Noch 71 Tage bis zum Start der Datenschutz-Grundverordnung (DSGVO). Sicher arbeiten Sie mit Hochdruck an der Umsetzung. Aber, wo stehen Sie eigentlich? Wo stehen die anderen? Dieser Beitrag möchte diesen Fragen nachgehen.
Der Inhalt im Überblick
Die vier Phänomene der Umsetzung
In der Praxis sind natürlich alle denkbaren Stadien anzutreffen. Wir wollen uns hier auf die vier genannten Phänomene konzentrieren, die eine Vielzahl der verschiedenen Erscheinungsformen abdecken: Chaos, Organisation, Umsetzung, Optimierung.
Chaos
Vielleicht haben Sie gerade erst von der Datenschutz-Grundverordnung erfahren. Oder Sie wissen bereits seit einiger Zeit, möglicherweise schon seit Wochen und Monaten, von der DSGVO. Das Thema wurde aber bislang geschoben, weil Sie möglicherweise wichtigere Aufgaben zu erledigen hatten oder weil Sie bis heute das Gefühl haben, nicht zu wissen, wo Sie anfangen sollen.
Ein Datenschutzmanagement ist im Chaos-Stadium meist noch nicht im Ansatz erkennbar und noch in weiter Ferne. Keine oder inhomogene Prozesse sind Alltag. Häufig besteht auch noch Unklarheit über die Regelungen der Datenschutz-Grundverordnung und den konkreten Handlungsbedarf. Welcher Handlungsbedarf überhaupt besteht, ist in einer Vielzahl von Fällen auch nicht ersichtlich – eine Bestandsanalyse: Fehlanzeige.
Sofern ein Datenschutzmanagement gerade aufgebaut wird, kann es aber auch sein, dass die Organisation schlichtweg unstrukturiert ist. Wer welche Aufgabe übernimmt, ist etwa nicht festgelegt. Die Fragen der Kollegen zum Datenschutz häufen sich und die Umsetzung der DSGVO muss (nebenbei) noch erledigt werden. Viele Maßnahmen werden irgendwie umgesetzt, aber von einer erkennbaren Organisation oder „einem roten Faden“ gibt es keine Spur. Unbehagen im Hause soweit das Auge reicht. Das schlechte Gewissen kommt noch on top, zumal sich in diesen Fällen bislang auch noch überhaupt nicht oder nur stiefmütterlich mit Datenschutz beschäftigt wurde.
Organisation
Vielleicht ist aber auch alles ganz anders: Sie haben eine erste Organisation geschaffen oder Ihre Planungen zur Umsetzung der Vorgaben der Datenschutz-Grundverordnung liegt vor. Im besten Falle haben Sie sogar aus einer Bestandsanalyse zu Ihrem vorliegenden Datenschutzmanagement Rückschlüsse auf Ihren Handlungsbedarf ziehen können und daraus konkrete Maßnahmen abgeleitet, die nun für die Ausrichtung ihrer Datenschutz-Organisation maßgeblich ist. Eine gute Planung liegt vor.
Was Sie nun als große Herausforderung sehen, ist die konkrete Umsetzung. Hier haben sich derzeit nur kleine Fortschritte gemacht – oder etwa noch gar nichts?
Es gibt auch Fälle, in welchen die Organisation zwar angefangen wurde und auf einem guten Weg ist, letztlich aber ein Ende der Planungsarbeiten nicht in Sicht ist. Sie haben dann wohl gerade das Gefühl, dass Sie sich verzetteln. Um zu einer einheitlichen Struktur zu gelangen, sind dann oft noch Verbesserungen notwendig.
Umsetzung
Von einem Kollegen haben Sie erfahren, dass Ihr größter Konkurrent große Schritte bei der Umsetzung der Vorgaben der DSGVO gemacht haben soll. Sie auch?
Die Planungsarbeiten zur Umsetzung der Datenschutz-Grundverordnung sind abgeschlossen, Sie sind bereits dran: Umsetzungsarbeiten zur Gewährleistung der Rechtmäßigkeit der Verarbeitung sind in vollem Gange, die Gewährleistung der Betroffenenrechte –soweit wie möglich– und auch die richtige Handhabung von Datenschutzvorfällen ist sichergestellt. Sie haben ein gutes Gefühl.
Ein gutes Gefühl haben Sie aber möglicherweise auch, weil Sie wissen, dass Sie auf Spur sind. Sie arbeiten kontinuierlich an der Umsetzung. Es gibt zwar Rückschläge, aber Sie stellen sich der Herausforderung wacker und Sie sagen sich: „Weiter so!“.
Optimierung
Sie haben eine intensive Zeit hinter sich, die Umsetzung ist geschafft. Und nun? Das kann es nicht gewesen sein, oder doch?
Da haben Sie etwa erste Umsetzungsmaßnahmen bereits geprüft. Über ein Datenschutztraining –neben den Schulungen– haben Sie möglicherweise festgestellt, dass die Gewährleistung der Betroffenenrechte noch nicht ausreichend ist und noch optimiert werden müssen.
Sie prüfen weiter und stellen fest, dass auch in anderen Bereichen noch Verbesserungsbedarf besteht. Optimierungen müssen her. Diese planen Sie vielleicht gerade oder setzen bereits Ihre Optimierungsmaßnahmen um. Der Optimierungsbedarf ist mal mehr, mal weniger. Aber, Sie sind auf Kurs und möglicherweise auch ein bisschen Stolz auf sich und Ihre Arbeit.
Wo stehen Sie?
Sie finden sich mit großer Wahrscheinlichkeit in irgendeiner Form hier wieder. Teilen Sie uns Ihren Stand zur Umsetzung der DSGVO gern in den Kommentaren mit.
Sehr geehrte Damen und Herren,
als betr. DSB (ext) betreue ich seit 15 Jahren Mandanten im Großraum Dresden.
Um den eigenen Status in der Umsetzung der DSGVO zu prüfen, empfehle ich, den Fragebogen zur Umsetzung der DSGVO, der vom Bayr. Landesamt für Datenschutzaufsicht (BAYLDA) lanciert wurde. Ich bin sicher, dass die Aufsichtsbehörden sich in den laufenden Gesprächen zum SDM darauf einigen werden, diesen Fragebogen einheitlich zur verbindlichen Selbstauskunft spätestens Ende 2018 an alle Unternehmen zu verschicken. Ich empfehle jedem betr. DSB seine ToDo-Liste diesbezüglich zu prüfen.
Das größte Problem in der Umsetzung der DSGVO bei kleinen und mittelständischen Betrieben besteht derzeit darin, dass es nicht genügend Kollegen gibt, die das Thema strukturiert übernehmen können. Nach meiner Kenntnis fahren alle erfahrenen Kollegen derzeit am Limit. Eine Bearbeitung des Themas durch einen eigenen Mitarbeiter ist wegen der hohen Komplexität des Themas und der fehlenden Fachkunde kaum möglich. Ein Ausbildungsplatz zur geforderten Fachkunde ist kaum zu finden … die Lehrgänge sind überfüllt.
Für mich stellt die geforderte Datensicherheit für pb-Daten gem. Art 32 DSGVO (wenn Sie so wollen auch gem. Standard-Datenschutz-Modell (in dem sicherlich auch der bisher nur für den öffentlichen Bereich geltende § 64 BDSG-neu für alle Unternehmen berücksichtigt werden wird) und gem. Grundschutz IT des BSI das größte Problem für die Unternehmen dar. IT-Dienstleister und Fachabteilungen IT offenbaren hier regelmäßig mit der Frage ‚Was ist denn eine IT-Risikoabschätzung?‘ ihre größte Schwäche. Nun ja, das bedeutet ja auch ‚Verantwortung zu übernehmen!‘ und da hält man sich besser raus.
Klingt böse, entspricht aber den Tatsachen und bringt den betr. DSB in Nöte. Was soll ich über Datenschutz reden, wenn die IT-Sicherheit nicht gewährleistet ist??
Ein weiterer Problempunkt ist die Forderung der DSGVO, den Auftragnehmer einer AV nach Art 28 DSGVO aktiv zu kontrollieren. Stellen Sie sich einen Dienstleister oder Steuerberater im Bereich Lohn-/Gehaltsbuchhaltung mit 300 Mandaten oder mehr vor. Der müsste 2 Mitarbeiter zusätzlich einstellen um den ‚touristischen Verkehr‘ der kontrollierenden betr. DSB zu regeln.
Hinsichtlich Datensicherheit und aktiver Kontrolle halte ich ein Audit oder final die Zertifizierung gem. ISO/IEC 27001 (ISMS) derzeit für die beste Empfehlung(Selbstregulierung durch Zertifizierung gem. DSGVO), die man einem Unternehmer geben kann. Aber auch das kostet Geld und wird dazu führen, dass man möglichweise hier das Kind Datenschutz mit dem Bade ausschüttet. Das ‚ermüdete und fassungslose Kopfschütteln‘ des Unternehmers – konfrontiert mit den gesetzlichen Regelungen und dem damit verbundenen Aufwand – begleitet meine tägliche Arbeit.
Wenn man sich die gesetzlichen Rechtsnormen zum Datenschutz unter dem Aspekt der Marketingaktivitäten anschaut ist es längst keine Spekulation mehr, dass dies zu einem Standortnachteil für europäische Unternehmen führt.
MfG
H. Janz
Ich kann hier Herrn Janz nur zustimmen. Als Unternehmen dass über 700 Kunden betreut und wöchentlich mehrere neue dazugewinnt, ist die Flut an ADVs, AVVs, und Anfragen zum Datenschutz nicht mehr zu stemmen für mich als betriebl. DSB. Die Mitarbeiter sind alle in ihren Bereichen voll ausgelastet, sehen nicht ein, warum sie nun noch AVVs erstellen, prüfen, verstehen sollen. Die Kunden schieben sowieso die ganze Arbeitslast zum Auftragnehmer hin, selbst Einträge wie „welche pbD sollen verarbeitet werden?“ machen sie nicht selbst, dass soll der AN machen. Wir sollen also selbst festlegen, welche Daten der Auftraggeber bei uns verarbeiten lassen möchte! Liegt daran, dass hier meist Marketing-Mitarbeiter die Verhandlungen führen und die oft nicht mal den eigenen DSB kennen oder es einfach zu umständlich finden, diesen zu konsultieren. Wieder andere Kunden wollen alles auf Englisch haben, weil sie in Frankreich sitzen… wie soll ein deutsches Unternehmen das alles leisten? Sogar die GDPR selbst soll man ihnen auf Englisch erläutern. Als externer DSB könnte ich das wenigstens abrechnen…
Unternehmen dagegen sehen im DSB oft einen vom Gesetzgeber aufgedrückten Kostenfresser, der nichts im Sinne des Umsatzes beiträgt, ganz im Gegenteil, viele Prozesse lahmlegt oder verzögert. Sicher wollen alle DSGVO compliant sein, aber im Sinne des Werbeversprechens das damit verbunden wird, nicht im Sinne von umständlichen, teuren, langwierige und nervigen Neustrukturierungen. ITIL einzuführen dauert bei kleineren Unternehmen Jahre, die ISO27001 kann sich auch nicht jeder leisten, um sie zu erhalten muss man die ganze interne Vorarbeit geleistet haben, viel Geld bezahlen und am Ende hat das mit Datenschutz nur am Rande was zu tun. Viele Kleinunternehmen überleben heute nur, weil sie agil und damit ein Stück weit chaotisch sind. Die DSGVO zwingt auch eine 5-Mann-Klitsche dazu sich zu strukturieren wie ein 500 oder 5.000 Mann Unternehmen, ohne dies wirklich zu können.
Verfahrensverzeichnisse sind nah meiner Erfahrung das größte Problem. Es herrscht immer noch die Meinung vor: das macht doch der DSB. Oder es kommt die Frage – was ist das, eine Verfahrensbeschreibung? Leider kann auch der DSB das nur bedingt beantworten, denn es hängt stark vom Verfahren ab, eine Software Cloud Lösung wird andere Verfahren haben als ein fertigender Betrieb, Entwickler, Ingenieure und Designer sind grundsätzlich überfordert und „haben keine Zeit“ noch Verfahren zu beschreiben (in wie vielen kleinen Betrieben gibt es denn wirklich dokumentierten Code, Staging oder QA?). Wenn es länger dauert ein Verfahren zu beschreiben, als es zu programmieren, kann man nicht auf Verständnis hoffen. Datenschutzmanagement Software gibt es, aber teilweise ist diese auf Bedürfnisse zugeschnitten, die nicht kompatibel sind mit der Wirklichkeit. Bei einem der größten deutschen Anbieter habe ich nun die Erfahrung machen dürfen, dass man AVVs zwar grundsätzlich anlegen kann in der Software, darin aber nicht einen Kunden (ext. Unternehmen) als Auftraggeber auswählen kann, nur das eigene Unternehmen – wertlos für uns als Fließband-Auftragnehmer. Also muss man doch alles per Word/PDF in irgendeinem Ordner auf dem Firmenserver verstauen und hoffen, es im Notfall wieder zu finden…
Das Highlight ist dann die Forderung der Kunden: bitte füllen Sie auch den Anhang x des AVV vollständig und detailliert aus. Anhang x listet dann schön säuberlich die Punkte auf, die in unserem öffentlichen TOM Dokument alle abgehandelt sind. Der AG ist aber nicht willens, die Übertrag selbst vorzunehmen, oder unser Dokument als Anhang zum AVV zu nehmen. Nein, er besteht darauf, dass ich als DSB per Copy & Paste alles fein säuberlich ausfülle und ggf. noch ergänze. Oder er schickt gleich sein 195 Fragen XSL Questionnaire dazu, dass ebenfalls diese Fragen stellt und das nicht akzeptiert wird, wenn man irgendwo Nein ankreuzt – man MUSS detailliert Stellung nehmen warum man keine Richtlinie xyz hat oder benötigt.
Mit solchen Aufgaben kann man sich als DSB den ganzen Tag beschäftigen und ist nicht fertig. Viel Platz für die paar anderen Kleinigkeiten, die man eigentlich als Aufgabe hat, bleibt da nicht. Sicher ein Extremfall in einem Unternehmen dass immer pbD verarbeitet und bei dem jeder Neuauftrag individuell zu bewerten ist. Und darum hängt man dann auch bei Sachen wie Datenschutzkonzept oder einzelnen Verfahren auch mal hinterher.