Alle Jahre wieder kommt … der Datenschutzbeauftragte. Zu selten, denke ich. Manche Unternehmen glauben aber, selbst das sei noch zu oft. Zehn Indizien sprechen dafür, den Datenschutz künftig ernster nehmen zu müssen. Sie erfüllen einige davon? Jackpot. Sie haben sich für Ärger mit der Aufsichtsbehörde qualifiziert. Ein Kommentar.
Der Inhalt im Überblick
Datenschutz? Nee, lass mal
Wir kennen sie alle, diese Unternehmen, für die die DSGVO nicht nur Fremdwort, sondern sogar Fluch ist, in deren Fluren über den bösen Datenschutz geschimpft wird, als sei gerade Stammtisch und bei denen jeder zwanghaft zu Boden schaut, wenn der einsame Datenschutzbeauftragte seine Runden zieht. Datenschutz – ist das nicht das Ding, das erst dann eine Rolle spielt und in Lichtgeschwindigkeit umgesetzt werden muss, wenn zufällig, ganz plötzlich eine Zertifizierung im Raum steht?
Nach fast viereinhalb Jahren DSGVO scheuen manche Unternehmen deren Umsetzung noch immer wie der Teufel das Weihwasser. Da wird diskutiert, nach Auswegen gesucht oder schlichtweg ignoriert, wir Datenschützer kennen das. Natürlich gibt es auch vorbildliche Unternehmen, das will ich gar nicht in Abrede stellen. Wir wollen uns heute jedoch mit einem Paradebeispiel beschäftigen, einem fiktiven Unternehmen namens Privacyis4losers GmbH, das definitiv mehr Datenschutz braucht. Wenn Sie darin Ihr Unternehmen oder Ihren Arbeitgeber wiederfinden, dann herzlichen Glückwunsch! Nicht. Prüfen Sie selbst: Treffen die 10 Anzeichen bei Ihnen zu?
Bei folgenden Symptomen sollten Sie Ihren DSB aufsuchen
Datenschutzunlust ist trotz wirksamer DSGVO-Heilverfahren immer noch auf dem Vormarsch. Die Übertragung erfolgt mittels dämlicher Facebook-Posts und des den Datenschutz als Sündenbock verkaufenden, faktenbefreiten Politiker-Blablas. Anstatt deren rechtliche Hilfe anzunehmen, werden Datenschutzbeauftragte manchmal gemieden wie die Pest. Wenn Sie diesen Beipackzettel lesen und die hier dargestellten Nebenwirkungen der Datenschutzunlust bei sich bemerken, ist es allerhöchste Eisenbahn: Nur Ihr DSB kann Ihnen helfen – bei verzögerter Behandlung droht Kontakt mit der Aufsichtsbehörde.
Die Geschäftsführung weiß, wo es lang geht …
… auch im Datenschutz, ist doch selbstverständlich. Die Geschäftsführer der Privacyis4losers GmbH, Gustav und Gabi, geben den Ton an, denn hier spielt die Musik. Und zwischen all den wichtigen Geschäften, die zu führen sind, hat die DSGVO eben keine Priorität. Ich meine, Gustav und Gabi haben keine Zeit, die machen Business, Mensch.
Nichtsdestotrotz haben sich die beiden nun entschlossen, das Geld für den Datenschutzbeauftragten einzusparen und das bisschen Datenschutz einfach selbst zu machen. Wieso auch jemanden einstellen oder beauftragen? Die zwei Stunden im Jahr können Gustav und Gabi auch noch aufbringen.
Anzeichen Nr. 1:
Ihr Unternehmen hält Datenschutz nicht für wichtig, weil man keine Zeit dazu hat, sich darum zu kümmern. Denn wie jeder weiß, hat sich an Datenschutzvorgaben nur zu halten, wer sich den ganzen Tag langweilt.
Anzeichen Nr. 2:
Der Datenschutzbeauftragte Ihres Unternehmens wurde eingesetzt, als Ende Mai 2018 aufgefallen ist, dass da ganz überraschend die DSGVO daherkam. Die Rolle des DSB erfüllt nun wahlweise eine Person, die diese Position ohne Vorkenntnisse auf den Tisch geklatscht bekam (egal, ein Kurs wird es schon richten) oder die Geschäftsführung selbst. Interessenskonflikt? Nicht doch, es besteht ja kein Interesse am Datenschutz.
Gar nicht so schwer, denkt HR
Die Personal-Paula unserer Privacyis4losers GmbH hat Datenschutz so richtig kapiert, weil sie drei Jahre zuvor an einer halbstündigen Datenschutzschulung teilgenommen hat. Für mehr war kein Budget da.
Jedenfalls weiß Paula, dass die Daten von Personal und Bewerbern geschützt werden müssen. Aus diesem Grund bewahrt sie auch die Daten abgelehnter Bewerber sorgfältig auf – für Jahrzehnte. Man kann ja nie wissen, vielleicht ist man auf den Trottel doch noch angewiesen. Eine Einwilligung vom abgelehnten Bewerber hat sie ganz klassisch eingeholt: Sie hat gar nicht erst danach gefragt und geht davon aus, der meldet sich schon, wenn ihm was nicht passt.
Anzeichen Nr. 3:
Von Datenschutzschulungen hält Ihr Unternehmen nichts. Eine verstaubte Richtlinie aus dem Jahr 2005 im Intranet, irgendwo zwischen Brandschutzhinweisen und den Kontaktdaten des bereits ausgeschiedenen DSB tuts auch.
Die oberste Regel wird den Mitarbeitern Ihres Unternehmens sowieso gleich am ersten Arbeitstag eingebläut: Gelöscht wird nicht, es sei denn, einer fragt nach Auskunft.
Anzeichen Nr. 4:
Ihr Unternehmen erfüllt eines der folgenden Kriterien:
- Es holt überhaupt keine Einwilligungen ein.
- Oder es holt ständig für alles Einwilligungen ein.
Ob die Einwilligung notwendig ist oder nicht, spielt keine Rolle. Wird eine eingeholt, dann selbstverständlich in einem Zweizeiler, denn Papier kostet Geld.
Sales: Ein Lead geht noch, einer geht noch rein
Sales-Susi ist bei Privacyis4losers in ihrem Element. Im Minutentakt haut sie Nachrichten an vielversprechende Leads raus, auf LinkedIn, per E-Mail, in Facebook, egal. Auf die Frage, woher sie die Daten hätte, antwortet Susi gar nicht. Das machen ja alle so und was online aufzufinden ist, steht zur freien Verfügung, also warum die Aufregung.
Besonders stolz ist sie auf die gerade erst erworbene E-Mail-Adressen-Liste, deren Daten sie ins CRM-Tool übertragen hat. Den Datenschutzbeauftragten hat sie vor dem Kauf natürlich nicht gefragt, der hält nur auf. Dass die Liste als Exe-Datei im Anhang verschickt wurde, macht ihr auch nicht weiter Sorgen – wie auch, die letzte IT-Sicherheitsschulung erfolgte parallel zur Einführung von Windows Vista.
Anzeichen Nr. 5:
Ihr Unternehmen braucht Kundendaten. Was Ihr Unternehmen nicht braucht, ist Kundendatenschutz. Der vermiest einem nur die Prospects. Und wie jeder weiß, verschwinden Betroffenenanfragen wieder, wenn man sie ignoriert.
Anzeichen Nr. 6:
Der Datenschutzbeauftragte Ihres Unternehmens ist die meiste Zeit chronisch unterfordert. Auf Hochtouren läuft er erst, wenn er von bereits umgesetzten Vorhaben informiert wird.
Marketing nutzt fancy Tools
Der Marketing-Markus bei privacyis4losers liefert Content. Datenschutz kann er nicht gebrauchen, wie soll er denn sonst die Target Group erreichen? Seine E-Mail-Newsletter sind absolut awesome, jede Kampagne über Mailchimp läuft super. Einwilligungen gibt es bei ihm nicht, sonst können sie ja gar keine Werbung mehr machen.
Um Cookies kümmert sich Karsten, sein Tracking erwischt jeden User. Weil andere Cookie Banner haben und ihm der DSB in den Ohren liegt, hat er nun auch einen pro forma auf die Website gestellt – ohne Ablehn-Button, versteht sich. Cookies, Pixel und Plugins sind ihm nun mal wichtiger als Privacy.
Anzeichen Nr. 7:
Die Marketing-Abteilung Ihres Unternehmens kann tun und lassen, was sie will. Wieso auch Grenzen setzen, wenn die Möglichkeiten grenzenlos sind?
Anzeichen Nr. 8:
Selbst wenn Ihr Unternehmen für alles Einwilligungen einholen sollte (wir erinnern uns: Variante 2 des Anzeichens Nr. 4), so gilt dies nicht für Ihr Marketing. Dort sind Einwilligungen in etwa so häufig anzutreffen wie Ketchup neben der Weißwurst.
IT-Tom ist völlig losgelöst …
Nicht einfach mit TOM. Die durch Sales-Susi geöffnete Exe-Datei hat das ganze System verseucht. All seine Bitten an die Geschäftsführung, in die IT-Sicherheit zu investieren, verhallten ergebnislos. Nun ist er es, der versuchen kann zu retten, was noch zu retten ist.
Von der im Unternehmen eingesetzten Software hat Tom leider keine Ahnung, da die Beschäftigten wild rauf und runter downloaden können, was ihnen gefällt. Auf den Diensthandys tummelt sich Malware neben TikTok, die Laptops sind voll mit US-Tools, die entweder kein Mensch kennt oder deren Nutzung vollkommen ohne Einhaltung datenschutzrechtlicher Anforderungen erfolgt oder beides.
Anzeichen Nr. 9:
Ihr Unternehmen nimmt die persönliche Freiheit sehr ernst. Selbstverständlich sind alle Mitarbeiter frei darin zu entscheiden, was sie nutzen wollen. Einzige Vorgabe: Einfach zu bedienen muss es sein, billig und bestenfalls aus den USA. Wirbt der Dienstleister noch mit „100 % datenschutzkonform“ ist das Ding total safe. Sollte der ein oder andere dennoch Bedenken haben, wird die Software einfach konzernweit zur verbindlichen Nutzung ausgerollt.
Anzeichen Nr. 10:
IT-Sicherheit hat in Ihrem Unternehmen einen hohen Stellenwert. Leider hat sich auch die IT-Abteilung an das Budget zu halten und wenn da nicht mehr drin ist als die Gehaltszahlung des einzigen IT-Mitarbeiters und den Einsatz einer zweitklassigen Virensoftware, dann ist das halt so.
Ich würde ja lachen, wenn es nicht so zum Heulen wäre
Auch wenn man es nicht glauben will: Solche Steinzeit-Unternehmen gibt es tatsächlich. Hin und wieder wird das ein oder andere aufgrund eines Bußgelds bekannt, die Dunkelziffer dürfte aber sehr viel höher sein. Selbst unsere Datenschutzheldin Bettina weiß hier nicht mehr zu helfen. Nun, wer nicht will, der hat schon. Im Zweifel halt Kontakt mit der Aufsichtsbehörde.
—
Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wider. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.
Wie wahr! Guter Beitrag!! Hier hat sich mancher Datenschützer wieder erkannt. Sehr witzig formuliert, das erleichtert die (notwendigen) Erkenntnisse. Und Datenschutz muss nun auch nicht immer schwer daher kommen.
Szene: heiße, staubige Prärie. Zwei DSBs am Lagerfeuer futtern im Sonnenuntergang Bohnen mit Speck aus verbeulten Campingtellern. Eines ihrer Pferde äpfelt genüsslich auf Bilanzunterlagen des Verantwortlichen, dem der WP gerad den Bestätigungsvermerk verweigert hat. „Wir sind das dreckige Dutzend, Jim“ – „Ja, John.“
Super Beitrag! Bringt alles auf den Punkt. Der Hinweis auf Kontakt mit der Ausichtsbehörde ist zwar gut, diese aber selbst überfordert und reagiert auf Anfragen erst gar nicht. Die Schutzmaßnahmen für interne DSB bringen auch nichts, denn wer nicht passt wird schnell durch einen externen DSB ersetzt. Dieser ist weit, weit weg und das Problem gelöst.