Was heute vom Datenschutz-Hype noch übrig ist
Von irrationaler Panik bis blinder Aktionismus
Seit Ende 2017 bis ungefähr Ende 2018 gab es einen riesigen Hype um den Datenschutz. Grund dafür war natürlich die EU-Datenschutzgrundverordnung, die am 25.05.2018 ihre Wirkung entfaltete. Viele Unternehmen hörten – ihrer Reaktion nach zu urteilen – das erste Mal von dem Phänomen Datenschutz. Irrationale Panik und blinder Aktionismus setzten ein. Dokumente wurden aus dem Boden gestampft und es wurde wild mit Einwilligungen um sich geworfen.
Auf der anderen Seite fühlten sich zahlreiche ITler und Juristen, die sich bisher nicht besonders tiefgehend mit der Thematik beschäftigt hatten, dazu berufen, Datenschutzbeauftragte zu werden. Wohl, um den großen Andrang für neue Geschäfte zu nutzen. Kurzum – es war ein riesiges Spektakel.
Jetzt, auf das Ende 2019 hingehend, ist der Hype über den Datenschutz erst einmal vorbei und das ist auch gut so. Datenschutz-Themen werden viel strukturierter und durchdachter abgearbeitet. Unternehmen bekommen wieder Fachleute mit Praxiserfahrung für ihren Datenschutz, um Aufgaben strukturiert und pragmatisch umzusetzen.
In vielen Unternehmen wurde sehr viel getan, um sich datenschutzkonform in der neuen Welt der EU-DSGVO aufzustellen. Ein großer Teil der Unternehmen ist immer noch mitten in der Umsetzung. Und dann gibt es auch noch zahlreiche Unternehmen, die trotz des Hypes bisher noch gar nichts oder nur minimal etwas für den Datenschutz getan haben. Capgemini spricht in seiner Studie davon, dass nur 28% der Unternehmen meinen DSGVO-konform zu sein (Studie “Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century”)
Der Status, wie ich ihn am Markt wahrnehme:
Die „konformen“Unternehmen
Eine 100-prozentige Datenschutzkonformität gibt es einfach nicht. Jedenfalls kann man diese sicher nicht in einem normalen Unternehmen erreichen. Es gibt immer Bereiche, in welchen man sich in einem Graubereich befindet und anders ist das auch nicht möglich.
Jedenfalls gibt es die Unternehmen, die ich als die konformen Unternehmen bezeichnen würde. Diese haben eine Menge getan, um ihren Pflichten nachzukommen und arbeiten weiter fleißig daran das Level im Datenschutz zu halten bzw. dieses weiter zu verbessern. Diese Unternehmen haben entweder einen sehr guten eigenen Datenschutzbeauftragen oder einen externen Profi an der Seite, der sie fachmännisch berät und auch die letzte Meile für sie geht.
Die Lückenbehafteten Unternehmen
Diese Unternehmen haben in der Regel zu spät gestartet, sind unterwegs falsch abgebogen und stecken geblieben oder befinden sich durch fehlendes Fachwissen (intern wie extern) oder fehlende Ressourcen nicht auf einem Stand, der die Geschäftsführung ruhig schlafen lässt.
Vor allem das Problem mit den Ressourcen begegnet mir immer wieder. In größeren Organisationen mit einer guten Datenschutz-Organisation und Struktur fehlt es sehr häufig an Ressourcen, um auch die einzelnen Fachabteilungen ausreichend zu betreuen. Deswegen gibt es hier teilweise noch große Lücken, die geschlossen werden müssen. Gegebenenfalls durch weitere externe Unterstützung.
Andere Unternehmen haben oder hatten schlichtweg die falschen Leute an Bord. Viele interne und externe Datenschutzbeauftragte wurden erst kurz vor oder sogar nach dem 25.05.18 zertifiziert und besitzen einfach nicht die nötige Praxis, um Unternehmen pragmatisch auf dem Weg zur Datenschutzkonformität zu begleiten.
Sicher gibt es auch unter den neuen Kollegen und Kolleginnen viele, die einen sehr guten und akkuraten Job machen. Auf der anderen Seite gibt es aber auch viele, die mit Dumping-Preisen glänzen, keine Ahnung von der Praxis haben und dem Kunden hier und da mal eine Excel-Tabelle zum Ausfüllen rüberschicken. Dies reicht jedoch leider nicht aus, um sie ausreichend zu unterstützen. Viele Unternehmen müssen an die Hand genommen werden, um das Ziel zu erreichen.
Die Kopf-in-den-Sand-Stecker
Die Vogel-Strauß-Taktik kommt beim Thema Datenschutz häufig vor. Viele Unternehmen wissen, dass sie sich mit dem Datenschutz und der DSGVO beschäftigen müssen und es ist ihnen durchaus bewusst, dass sie ganz weit weg davon sind sattelfest zu sein. Jedoch gibt es immer wieder andere Themen, die eine höhere Priorität haben, beim Thema Datenschutz wird sprichwörtlich der Kopf in den Sand gesteckt.
Diese Unternehmen müssen manchmal einfach gut beraten werden, sie müssen wissen was Getan werden muss und was es für Konsequenzen hat, kritische Punkte auf die lange Bank zu schieben. Ein Datenschutz-Profi muss ihnen eine klar strukturierte Maßnahmenliste an die Hand geben, die (gemeinsam) abgearbeitet werden kann. Dann wird es auch was mit dem Datenschutz und diese Unternehmen können sich recht strukturiert in die erste Gruppe einreihen.
Die Verweigerer
Bei den Verweigerern ist aktuell noch kein Blumentopf zu gewinnen. Sie wissen, dass sie blank sind. Aber es ist ihnen egal, dass sie den Datenschutz, die DSGVO, das BDSG und die ganze Gesetzgebung nicht einhalten. Sie halten dieses für einen absoluten Blödsinn und überflüssigen Bürokratismus. An dieser Grundeinstellung kann man auch nur ganz schwer etwas ändern. Aber wir dürfen nicht vergessen, auch in diesen Unternehmen geht es um den Schutz personenbezogener Daten!
Hier müssen wir auf die Datenschutzaufsichtsbehörden hoffen, die ja jetzt sehr viel reger geworden und besser aufgestellt sind als noch 2018. Bußgelder werden ausgesprochen und das auch nicht nur im Peanuts-Bereich. Nur durch entsprechende Strafen können diese Verweigerer dazu gebracht werden, den Datenschutz ernst zu nehmen. Bußgelder ändern nicht ihre Einstellung zum Datenschutz, aber das Level des Datenschutzes im Unternehmen und das ist der wichtige Aspekt.
Und die sogenannten „Datenschutz-Profis“?
Wie ich ja bereits am Anfang erwähnt habe, haben sich viele dazu berufen gefühlt, sich zum zertifizierten Datenschutzbeauftragten ausbilden zu lassen. Ein paar dieser neuen Kollgen habe ich selbst als Referent beim TÜV ausgebildet. Es sind einige dabei, die diese Berufung auch ernst nehmen, sich gewissenhaft fortbilden und bei Fragen und Unsicherheiten an erfahrene Datenschutzbeauftragte wenden. Diese Kollegen und Kolleginnen gehen genau den richtigen Weg und sind mit meiner Kritik auch nicht gemeint.
Ich kritisiere diejenigen, die auf die Schnelle die Zertifizierung zum Datenschutzbeauftragten gemacht haben, um damit den schnellen Euro zu machen. Und meines Erachtens gibt es von dieser Kategorie leider recht viele.
Diese vermeintlichen Datenschutzbeauftragten beraten die Unternehmen in der Regel nicht umfassend, da ihnen logischerweise jegliche Praxiserfahrung fehlt. Und manchen fehlt auch schlichtweg die Motivation, sich weiter und tiefer in die Materie einzuarbeiten. Standard-Abfragen und Excel-Files an den Kunden zu verschicken ist jedoch einfach nicht genug.
Man braucht als Datenschutzbeauftragter Praxiserfahrung, wie sie ja auch die DSGVO fordert und ein Netzwerk aus Datenschutz-Fachleuten, mit welchen man sich austauschen kann. Viele Punkte sind auch noch in ganz grauen Graubereichen und lassen jede Menge Raum für Interpretationen. Es ist enorm wichtig, sich mit anderen auszutauschen, um die beste pragmatische aber auch gesetzeskonforme Lösung für den Kunden zu finden. Schließlich muss der Datenschutzbeauftragte und der Unternehmer selbst sowieso, den empfohlenen Weg auch immer begründen und bei kritischen Nachfragen verteidigen können.
Positive Effekte für Unternehmen
Sowohl auf Unternehmensseite als auch auf Seiten der externen Datenschutzbeauftragten (bedingt) setzen nun nach gut 1,5 Jahren nach Start der EU-DSGVO positive Effekte ein.
Unternehmen, die sich bis jetzt gut aufgestellt haben, haben keine Angst vor Überprüfungen durch die Aufsichtsbehörden, da ihre Prozesse und Dokumentationen passen. Diese Unternehmen fangen jetzt teilweise an, ihre Prozesse zu reorganisieren und zwar auf Basis der Datenschutz-Dokumentation.
Das Erstellen des Verzeichnisses der Verarbeitungstätigkeiten brachte beispielsweise die ein oder andere Firma dazu, vorhandene Prozesse überhaupt zu definieren und erstmalig sauber zu dokumentieren. In manchen Bereichen ist Unternehmen gar nicht bewusst, was genau getan wird und welche Prozesse es gibt. Dies führt wiederum dazu, dass Prozesse intern teilweise auf den Prüfstand gestellt werden, um das Unternehmen effizienter aufzustellen.
Viele Unternehmen nutzen außerdem die Datenschutz-Dokumentation auch als Basis für die Einführung einer ISO9001-Zertifizierung. Denn – warum das Rad nochmal erfinden, wenn man schon eine gute Basis an beschriebenen Prozessen hat.
Deshalb: Datenschutz ist nicht nur schlecht, nervig und lästig, sondern führt auch zu positiven Effekten, über die man einmal nachdenken kann.
Und die Effekte für die Fachleute am Markt?
Nun ja, die Datenschutzbeauftragten, die es ernst meinen (auch durchaus die, die noch nicht so lange dabei sind) sammeln so nach und nach die Mandate ein, die von den Nicht-Profis halbherzig betreut werden oder wurden. Die Unternehmen wollen nun mal keine Listenschubser oder Theoretiker. Vielmehr wollen sie Kümmerer mit pragmatischen Ansätzen für das Thema Datenschutz, die ihr Geschäft und ihre Herausforderungen verstehen. An dieser Stelle trennt sich sie Spreu vom Weizen.
Datenschutz-Profis, die im letzten Jahr komplett unter Wasser waren, haben sich in diesem Jahr größtenteils wieder an die Oberfläche gekämpft und können auch die Schiffbrüchigen wieder aufnehmen.
Zum Schluss
Es gibt immer noch sehr viel zu tun für Unternehmen und Datenschutzbeauftragte. Daran ändert auch die Gesetzesänderung bezüglich der Bestellpflicht eines Datenschutzbeauftragten erst ab 20 Mitarbeitern nichts. Unternehmen, die jetzt keinen Datenschutzbeauftragten mehr benötigen, brauchen trotzdem weiterhin Unterstützung im Datenschutz. Denn unabhängig davon wie die Grenze zukünftig aussieht, die Pflichten und Aufgaben aus der EU-DSGVO bleiben. Und einer muss den Hut aufhaben.
Möchten Sie vom Kop-in-de-Sand-Stecker zum "konformen" Unternehmen werden? Wir helfen
gerne!
Angebote, Anfragen, Anmerkungen
Wir freuen uns über Ihre Nachricht – kontaktieren Sie uns!
Montag-Freitag 9:00 - 17:00 Uhr
Fraunhoferstraße 9, 85221 Dachau
Sonnenbergstrasse 23, 8610 Uster