Florian Padberg
Datenschutzbeauftragter
„Durch ein umfassendes Datenschutzmanagement-System vermeiden Sie gefährliche Bußgelder!“ So oder ähnlich gingen und gehen zahlreiche Akquisiteure seit Anfang 2018 durchs Land und versuchen, Unternehmen durch einen „Management-by-Angst-Ansatz“ von ihren Leistungen in der Datenschutzberatung oder ihrem Softwareprodukt zu überzeugen.
Um es kurz zu machen: Natürlich ist es auch ein Ziel im Datenschutzmanagement, das Risiko von Bußgeldern möglichst auszuschalten oder wenigstens deutlich zu minimieren. Die letzten Monate haben gezeigt, dass inzwischen auch in Deutschland die Aufsichtsbehörden im Sanktionsumfeld angekommen sind und nun durchaus spürbare Strafen verteilen – bis hin zu zweistelligen Millionenbeträgen.
Allerdings muss man dabei berücksichtigen, dass erstens bislang (und wohl auch bis auf Weiteres) primär diejenigen Unternehmen für ihre Datenschutz-Verstöße belangt werden, die wenig bis nichts getan haben um sie abzustellen, und die sich zudem uneinsichtig und unkooperativ gegenüber mehrfachen Hinweisen der Behörden zeigen.
Und zweitens finden oft nur die in einem Bußgeldverfahren initial ausgesprochenen Beträge den Weg in die Medien – die meist in der Folge gerichtlich entschiedenen finalen Strafen dürften deutlich unterhalb dieser teils horrend wirkenden Erstbeträge liegen.
Diese Darstellung soll keine Verniedlichung des Themas „Bußgeldrisiko“ sein, jedoch lohnt es sich bei der Bewertung des Datenschutz-Aufwands neben den – durchaus bestehenden – finanziellen Gefahren auch die positiven Effekte mit einzubeziehen.
Mit den diversen formalen Anforderungen und nötigen Dokumentationen rund um den Datenschutz geht in den allermeisten Fällen auch die kritische Überprüfung der eigenen Prozesse und der Informationslage des Unternehmens:
Diese Aspekte verdienen Berücksichtigung, wenn es um den Sinn des Datenschutzmanagements geht.
Letztlich beruhigt ein konsequentes Datenschutzmanagement nicht nur das Gewissen der Unternehmensleitung, sie kann es auch vertrauensbildend nach außen einsetzen und so in einem wettbewerblich umkämpften Markt Kunden davon überzeugen, ihr nicht nur ihr Geld sondern auch ihre Daten anzuvertrauen.
Denn die Kunden werden in der Zukunft immer stärker auch darauf schauen, ob ein Dienstleister oder Lieferant ihre personenbezogenen Daten auch datenschutzfreundlich behandelt und offen darlegt, wie er mit ihnen umgeht.
Das prozessorientierte Management hat inzwischen in den allermeisten Branchen Einzug gehalten. Ressourcen, Verantwortlichkeiten und Erfolgsmessungen werden immer häufiger auf klar definierte und abgegrenzte Geschäftsprozesse ausgerichtet, ein effizienter Durchlauf und ein harmonisiertes Ineinandergreifen gehören zu den dauerhaften Erfolgsfaktoren einer modernen Prozesswirtschaft.
Da ist es nur verständlich, dass auch eine unterstützende Managementdisziplin wie der Datenschutz nicht außen vor bleiben sollte sondern diesen Prinzipien folgen sollte.
Die gute Nachricht ist: Richtig aufgesetzt tut er es auch und liefert im Zusammenspiel mit den anderen Geschäftsprozessen die gewünschten Ergebnisse.
Denn der Datenschutz ist eben kein einmaliges Projekt, das man ausplant, mit Ressourcen versorgt und nach einer gewissen Laufzeit mit dem Ergebnis „Jetzt haben wir den Datenschutz fertig!“ mehr oder weniger erfolgreich abschließt.
Datenschutz ist ein fortwährender Kreislauf, der allein schon auf Grund der dynamischen technischen Entwicklung nicht stehenbleiben kann sondern immer wieder überprüft und angepasst werden muss.
Der gute alte Deming-Kreis aus „Plan – Do – Check – Act“ gilt auch für den Datenschutz im Unternehmen. Um den Prozess „Datenschutzmanagement“ korrekt einzuführen, sind die Schnittstellen (Input & Output), die einzelnen Aktivitäten (Sub-Prozesse) und die Verantwortlichkeiten (Rollen & Befugnisse) klar zu definieren:
Wer hat den Hut auf, wer kommuniziert mit wem, wo bekomme ich die relevanten Informationen her (ggf. auch wiederkehrende Aktualisierungen),
welche „Deliverables“ (= Dokumentationen) müssen durch den Prozess bereitgestellt werden, welche davon bedürfen einer regelmäßigen Überprüfung.
Je besser und eindeutiger diese Fragen frühzeitig mit den angrenzenden Bereichen und Prozess-Eignern abgestimmt werden, um so leichter wird sich die Organisation tun, diesen neuen Prozess aufzunehmen und so zu unterstützen, wie es auch andere stark vernetzte Support-Prozesse unterstützt (vgl. etwa das Qualitätsmanagement oder die IT).
Bei diesem Integrationsvorhaben sollten Sie sich definitiv von Experten unterstützen lassen.
Es hilft sicher sich bewusst zu machen, wo man durch Fehler im Datenschutz die größten Angriffsflächen bietet und wo diese (durch Dritte) am einfachsten identifiziert werden können.
Natürlich gehört die Website mit zu den ersten Dingen, die man sich zu Beginn anschauen sollte, denn sie ist für jedermann im Zugriff, und sie kann durch technische Hilfsmittel sogar sehr einfach auch von außen auf Lücken hin geprüft werden.
Eine aktuelle, einfach erreichbare und den tatsächlichen Gegebenheiten angepasste und transparente Datenschutzerklärung ist dabei ebenso ein Must-have wie ein DSGVO-konformes Cookie Consent, also die inzwischen berühmte „Einwilligungs-Vorschaltseite“ – dies dürfte sich ja weitestgehend herumgesprochen haben.
Die Herausforderung liegt dabei zum einen in der Dynamik der Rechtsprechung, die zeitnah immer wieder Eingang in diese Rechtstexte finden muss (wo bekomme ich die Updates her?), und zum zweiten in der User-freundlichen Einbindung in den Gesamtauftritt, um die Absprungrate so gering wie möglich zu halten.
Das datenminimierte Kontaktformular, gut erreichbare Informationspflichten oder durch saubere Einwilligungen untermauerte Referenzen sind weitere wichtige Aspekte in einem Datenschutz-konformen Online-Auftritt. Bei aller Außenwirkung dürfen aber bestimmte interne Elemente des Datenschutzmanagements nicht zu sehr nach hinten auf der Zeitlinie geschoben werden.
Im Falle einer Routine-Überprüfung durch die Behörden sollten manche dieser internen Dokumentationen umgehend vorliegen, damit der Kelch einer tiefergehenden Prüfung noch die Chance hat vorüberzugehen.
Das Verzeichnis der Verarbeitungstätigkeiten, die Verpflichtung auf Vertraulichkeit Ihrer Mitarbeiter sowie die wichtigsten Verträge zur Auftragsverarbeitung mit Ihren zentralen Dienstleistern zählen sicher dazu.
Was in diesen ersten „Lostopf“ gehört und mit welchen Bausteinen sie ggf. ein klein wenig warten können, wird Ihnen Ihr Datenschutzberater aufzeigen können.
Wer seine Prioritäten vor diesem Hintergrund bewusst setzt, bringt sich trotz zahlreicher „Baustellen“ gerade am Anfang zeitnah in Stellung, um die größten Datenschutz-Risiken effektiv abzuwehren.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!