Nun ist sie da - die Europäische Datenschutz-Grundverordnung (DSGVO) - Ordnung statt Datenchaos und Datensilo - am besten mit einem freiwilligen Verzeichnis von Verarbeitungstätigkeiten

25.05.2018 23:58:12, Jürgen Auer, keine Kommentare

So, es ist der 25.05.2018. Die Europäische Datenschutz-Grundverordnung ist seit heute endgültig in Kraft getreten. Und siehe da: Die Welt dreht sich weiter.

Allerdings hatte ich mich in den letzten Wochen und Monaten mehr und mehr gewundert: Denn wenn man sich den tatsächlichen Gesetzestext
.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679

.
einmal durchliest und sich bsp. die

> Artikel 13
>
> Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

2 * 6 = 12 Informationspflichten durchliest, auf die bei der Erhebung personenbezogener Daten hingewiesen werden muß: Dann ist das eine Liste, die man eben abarbeitet und auf der Website an einer geeigneten Stelle hinpackt. Vergleicht man die Liste mit den Punkten, die beim Impressum zu beachten sind, dann ist das durchaus überschaubar. Zumindest dann, wenn man auf der Website nicht tausend Tools von Drittanbietern eingebaut hat, die man jetzt erst einmal identifizieren und auflisten muß.

Kreuzt man das mit den Beispielen für

Kleine Unternehmen

https://www.lda.bayern.de/de/kleine-unternehmen.html

die sich inzwischen beim Bayerischen Landesdatenschutzbeauftragten findet, dann stellt man fest: In vielen der typischen Regelsituationen ist kein expliziter Datenschutzbeauftragter notwendig. Einfach deshalb, weil weniger als 10 Personen regelmäßig mit personenbezogenen Daten zu tun haben. Ein Verzeichnis ist beim regelmäßigen Umgang mit personenbezogenen Daten notwendig. Die mindestens 250 Mitarbeiter vom Artikel 30 DSGVO dürften für viele Unternehmen unrelevant sein, weil es eben regelmäßigen Umgang mit personenbezogenen Daten gibt. Für die Website mit Kontakt- und Bestellmöglichkeit braucht man eine Auftragsverarbeitung. Letztere gibt es aber bei hinreichend professionellen Anbietern per Download. Daß Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf den Datenschutz verpflichtet werden, ist eigentlich auch eine Selbstverständlichkeit. Das war es dann auch schon im wesentlichen.

Angesichts dieser Daten wundert es mich doch, daß laut Umfragen (etwa BITKOM vom 17.05.2018 - 3 von 4 Unternehmen verfehlen die Frist der Datenschutz-Grundverordnung - https://www.bitkom.org/Presse/Presseinformation/3-von-4-Unternehmen-verfehlen-die-Frist-der-Datenschutz-Grundverordnung.html ) Unternehmen nicht dazu in der Lage gewesen sind, das "einigermaßen rechtzeitig" umzusetzen:

24 % meinten, sie würden das bis heute vollständig umgesetzt haben. 32 % rechnen mit einer "Umsetzung größtenteils", 33 % mit einer teilweisen Umsetzung. Da wurden 500 Unternehmen in Deutschland befragt. Allerdings wurden nur Unternehmen ab 20 Mitarbeitern befragt. Was ich nun gar nicht repräsentativ finde. Schließlich ist die überwiegende Zahl der Unternehmen kleiner (ich meine, etwa 90 %).

Mir sieht das eher danach aus, daß in diversen dieser Unternehmen "Datenchaos" und eine Zettelwirtschaft (bzw. Excel-Wirtschaft) herrscht: Daß es zwar einerseits ein CRM oder irgendetwas in dieser Richtung geben mag. Daß es aber andererseits auch diverses an Excel-Listen oder an anderen, selbst kreirten Tools gibt. So nach dem Motto: "Das CRM ist mir zu umständlich, ich nutze lieber meine eigene Lösung". Quick and dirty - die Autonomie des Mitarbeiters ist alles. Aber ein Unternehmen kann nicht auf lauter isolierten dieser Datensilos basieren.

Genau dieses Datenchaos, bei dem Daten an verschiedenen Stellen und teils hochredundant rumliegen, heißt doch auch: Daten sind nicht gepflegt, veraltet. Die Unternehmensleitung weiß gar nicht, welche Daten im Unternehmen existieren. Stattdessen gibt es tonnenweise Datensilos. Und scheidet ein Mitarbeiter aus, verschwinden die Daten mit ihm. Weil ohnehin nur er sie hatte und er dann eben am Ende löscht.

Daß in so einem Unternehmen Panik ausbricht, wenn jemand wissen möchte, welche Daten zu ihm gespeichert sind: Das ist zu erwarten. Oder wenn jemand fordert, daß Daten von ihm gelöscht bzw. gesperrt werden, dann so ein Datensilo unberücksichtigt bleibt und erneut bsp. eine Nachricht rausgeht, die eigentlich nicht hätte rausgehen dürfen und eine Vertragsstrafe fällig wird. Das ist aber auch selbst verschuldet, weil diese Datensümpfe über Jahre hinweg gewachsen sind.

Die Folgerung? Unternehmen sollten sich grundsätzlich um eine ordentliche und gemeinsame Datenstruktur kümmern. Dann gibt es bestimmte Informationen nur an einer Stelle. Da läßt sich das berichtigen, falls die Daten falsch sind. Und es läßt sich sperren bzw. löschen, falls der Berechtigte sich mit einem entsprechenden Anspruch meldet. Die ganze "große Panik", die manche aktuell verbreiten, löst sich in Wohlgefallen auf.

Persönlich finde ich da übrigens das "Verzeichnis von Verarbeitungstätigkeiten" eine Hilfe, die sich eigentlich jedes Unternehmen (egal, wie groß oder klein) freiwillig anlegen sollte. Dann weiß man nämlich, was wo abgelegt werden soll und was eben nicht in irgendwelchen Datensilos verschwinden darf. Das kann man gleich ergänzen. Bsp. um die Rechtfertigung für die Datenspeicherung. Dann hat man all diese Informationen zentral beieinander.

Ansonsten dürfte die DSGVO längerfristig eher zu einem Wettbewerbsvorteil führen. Ein so großer Wirtschaftsraum: In dem es nun einheitliche Regeln zu einem Thema gibt, bei dem die USA grade mit dem Thema Wahlbeeinflussung dank passender Facebook-Werbung ahnt. Daß das schrankenlosen Verfolgen von Nutzern womöglich dafür mitverantwortlich sein könnte.

Mal sehen, wie die nächsten Wochen und Monate verlaufen werden.

PS: Ich wurde nach Beispielen für ein "Verzeichnis von Verarbeitungstätigkeiten" gefragt.

Der obige Link ( https://www.lda.bayern.de/de/kleine-unternehmen.html ) listet diverse Beispiele für kleine Unternehmen (Zahl der Mitarbeiter und ihre Tätigkeiten). Dann wird beantwortet: DSB notwendig, Verzeichnis notwendig usw. Falls ein Verzeichnis notwendig ist, gibt es ein Beispiel dafür. Das ist im Prinzip nur eine breite Excel-Tabelle.

Meine persönliche Empfehlung ist, da gleich die Rechtsgrundlage für die Speicherung (Artikel 6, Rechtmäßigkeit der Verarbeitung) zu ergänzen. Dann hat man das zusammen.

Ferner sind die "Kurzpapiere" unter

https://www.bfdi.bund.de/

sehr nützlich. Auffindbar, wenn man dort nach "Kurzpapier" sucht. Da werden gemeinsame Positionen der Datenschutzbeauftragten dargestellt. So ist der BITKOM der Meinung, daß bei EDV-Wartungsarbeiten keine Vereinbarung zur Auftragsverarbeitung notwendig sei. Ein Portal hält die Position zu diesem Thema für unklar. Das Kurzpapier leitet jedoch direkt aus dem Gesetz die Notwendigkeit für eine Vereinbarung zur Auftragsverarbeitung ab -> also machen.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.