Die DSGVO und Unternehmen – können wir Datenschutz messen?

Ein Kommentar von Michael Hollmann, Senior Management Consultant bei BASYS

In meiner täglichen Arbeit spreche ich mit vielen Entscheidern, IT-Verantwortlichen und Administratoren. Dabei fällt mir auf, dass viele bis heute noch keinen richtigen Umgang mit der Datenschutzgrundverordnung (DSGVO) gefunden haben. Es wurden zwar Datenschutzbeauftragte benannt, Belehrungen abgesessen und Checklisten erstellt. Was aber der berühmte „Stand der Dinge“ ist – das scheint keiner so richtig zu wissen. Was ist zu tun, welche Mittel sind ausreichend? Ich habe mir das ein Jahr lang angeguckt und dann diesen Artikel geschrieben. Ich bin kein Jurist, aber aus der IT-Perspektive kann ich Orientierung stiften.

Die gute Nachricht: Die DSGVO kam – und die meisten Unternehmen sind trotzdem noch da

Es war der 25. Mai 2018. Der Tag kam ein wenig wie Weihnachten: Er weckte große und sehr unterschiedliche Erwartungen und jeder wusste, dass er kommt. Im Vorfeld gab es viele Gedankenexperimente, Planung und Stress. Trotzdem war der Tag dann (gefühlt) sehr plötzlich da und viele Rechts-, Compliance und IT-Abteilungen waren überraschter als nötig. Und der Tag danach? Die Welt war nicht untergegangen. Sie ging auch nicht in den nächsten Monaten unter. Die DSGVO hat für Unternehmen die Cookie-Banner auf der Website verändert – sonst noch was?

Die DSGVO ist nicht der Millenium Bug – wir müssen sie als Prozess begreifen

Ich hatte in den Wochen und Monaten vor dem 25. Mai 2018 häufig den Eindruck, es käme ein neuer Millenium Bug auf uns zu. Dass an genau diesem 25. Mai riesige Abmahnwellen die Unternehmen in Europa erschüttern und die DSGVO altgediente Mittelständler verschlingt. Aber die DSGVO ist für Unternehmen auf zwei Arten anders als der – letztlich kaum existente – Millenium Bug. Zum einen ist die DSGVO eine Verordnung, die von Menschen erfunden wurde, von Menschen umgesetzt und kontrolliert wird. Sie ist keine abstrakte technische Unsicherheit, sondern ein Bündel von Verordnungen, zu dem es Ansprechpartner und Fachleute gibt. Zum anderen:

Die DSGVO ist nicht der 25. Mai 2018, sondern vielmehr alles danach. Die DSGVO ist für Unternehmen ein Reifeprozess, der sehr individuell ist.

Die DSGVO ist für Unternehmen eine Reise

Auch über ein Jahr später muss sich unser Rechtssystem noch langsam auf die DSGVO „einruckeln“. Es braucht Präzedenzfälle und juristische Routine. 2019 konnten wir sagen: Wer den Kopf in den Sand steckt, muss mit Konsequenzen rechnen – und auch nur, wenn jemand sich auf die Krawatte getreten fühlt.
Alles andere war 2019 erst einmal guter Wille. Es gibt Aufzeichnungspflichten, Löschpflichten, Auskunftspflichten – und wer auch nur kleinste Schritte unternimmt, diese Pflichten nach und nach immer mehr einzuhalten, kann mit sanfter Behandlung rechnen. Denn das alles zu implementieren dauert seine Zeit. In der Regel verstehen die Behörden, dass Unternehmen unterschiedliche Startpunkte und Voraussetzungen haben. Die DSGVO ist noch so frisch, dass Unternehmen vieles über Good-Will abdecken können. Die Gerichte bestrafen bei der DSGVO vor allem Gleichgültigkeit und Passivität.

Die DSGVO ist sonst aber ein relativ scharfes Schwert, denn im schlimmsten Fall kostet ein Verstoß 4 % des jährlichen Umsatzes.

Wenn Sie ein DSGVO-Assessment gemacht haben, sind Sie meist aus der Schusslinie von Strafzahlungen

Ein DSGVO-Assessment besteht aus etwas mehr als 300 Fragen aus vier Bereichen. Die Fragen richten sich an Stellen, die mit personenbezogenen Daten in Berührung kommen. Am Ende dieses Assessments kennen Sie Ihren IST-Zustand und bekommen konkrete
Handlungsempfehlungen, um Gaps oder Deltas zu schließen. Hauptfelder des Assessments sind:

Sie brauchen eine Strategie, die festhält, wie Sie kontinuierlich die DSGVO einhalten und auf der richtigen „Flughöhe“ bleiben. Das kann für den Start einmalig ein wenig mehr Energie kosten. Die Reisehöhe dann zu halten, ist einfacher.

Ich glaube, wenn die Rechtsprechung ein wenig mehr Urteile gefällt hat, geht auch der Good-Will der Behörden zurück. Dann müssen Unternehmen mehr Dokumentationen vorweisen.

Die Auskunftspflicht ist für viele das Damoklesschwert
Die DSGVO trägt Unternehmen auf, dass es auf Nachfrage ausnahmslos alle Daten herausrücken muss, die es über eine Person gespeichert hat. Das ist gar nicht so einfach, denn Daten sammeln sich fast unbemerkt an. Alleine eine Bewerbung ist ein personenbezogener Datenhaufen. Wie würden Sie im Ernstfall nachweisen, dass diese Bewerbung die Gesamtheit aller Daten über die betreffende Person ist, die Sie haben – und dass Sie diese auf Nachfrage gelöscht haben? Auf wie vielen Devices ist diese Bewerbung gelandet? In der Personalabteilung, beim Abteilungsleiter Müller, beim Chef, im Backup? Hier braucht es Dokumentation und Strukturen. Aber noch mal: Das muss nicht sofort 100 % funktionieren. Es ist viel wert, wenn Sie zumindest daran arbeiten, eine Roadmap haben.

Ein Datenschutzbeauftragter ist Pflicht, nicht Kür

Der Datenschutzbeauftragte ist ab 10 Mitarbeitern, die mit personenbezogenen Daten arbeiten, Pflicht. Damit ist aber noch nicht unbedingt etwas geleistet. Was viele Datenschutzbeauftragte nicht (so gut) leisten können, ist, Awareness für die technischen Prozesse herzustellen, in denen Sie personenbezogene Daten verarbeiten und verbreiten.

Ein Datenschutzbeauftragter ist einer der wenigen Schritte, der den Behörden nicht ausreicht. Ein guter IT-Dienstleister hingegen kann nach einer Analyse den DSGVO-Umsetzungsgrad bestimmen.

DSGVO ist mehr Change Management

Viele vergessen auch, dass es Datenschutz schon vorher gab. Datenschutz war aber vor 2018 kein so großes Thema für den IT-Bereich. Wir haben mit unserer IT-Security auch Daten geschützt: nach außen mit Sicherheitsmaßnahmen, nach innen mit Rechtemanagement. Wir werden als IT-Dienstleister auch noch nicht als Experte für die DSGVO wahrgenommen. Technisch sind wir das aber, weil sich IT-Konzepte neu etablieren oder verändern müssen.

Wir kennen die technischen Anforderungen und wissen, welche IT-Lösung auf welche Punkte der DSGVO einzahlt. Viele IT-Lösungen gehen theoretisch mit der DSGVO konform – man muss sie nur richtig konfigurieren.

Wenn ein Tool sagt, es sei DSGVO-konform, bedeutet das nicht, dass die Sache gegessen ist. Es bedeutet, dass dieses Tool mit der richtigen Konfiguration DSGVO-konform arbeiten kann. Das ist eine neue Form der Technologieberatung, die nicht nur Performance, Kosten und Verfügbarkeit im Auge hat. Die DSGVO zahlt darauf ein, was ich schon länger glaube: Wer in Zukunft IT-Prozesse verändert, verändert das Unternehmen – und sollte diese Veränderung auch begleiten können.

Eine ausreichende Dokumentation für die DSGVO ist kein Problem. Investieren Sie zwei Personentage in ein entsprechendes Assessment und schließen Sie die wichtigsten Lücken – die „low hanging fruits“ können wir identifizieren. Dann beschließen wir gemeinsam, wie, ob und wann es weitergeht.