Vielen kleinen und mittelständischen Unternehmen bereitet die Datenschutz-Grundverordnung Kopfzerbrechen. Ihr größtes Problem: Sie wissen nicht, ob sie sich gesetzeskonform verhalten oder wie sie sich in Bezug auf die DSGVO richtig aufstellen. So leben sie in permanenter Furcht vor Fehlern, teuren Abmahnungen oder empfindlichen Strafen. Dabei könnten sie die Unsicherheit schnell beenden: Externe Experten liefern maßgeschneidert alle benötigten Informationen.
Müssen in Wien wirklich alle Namen von den Klingelschildern verschwinden? Ist die Auskunft zu Hepatitis und anderen Krankheiten tatsächlich zwingender Bestandteil der Einverständniserklärung zur DSGVO beim Arzt? Und war das ernsthaft so gewollt, dass nun auf dem Erinnerungsbild der Kindergartengruppe alle Gesichter geschwärzt sind? https://www.sueddeutsche.de/panorama/datenschutz-bei-kindern-geschwaerzte-erinnerungen-1.4081411
Sie ahnen es vielleicht schon: alles das hat nicht wirklich mit der Datenschutz-Grundverordnung (DSGVO) zu tun. Auch wenn diese immer wieder als Grund angeführt wird. Die Vorgänge zeigen aber überdeutlich, wie groß die Unsicherheit in der Bevölkerung und bei den Unternehmen ist. Es fehlt an Erfahrungswerten und belastbaren Informationen. Das öffnet Tür und Tor für Falschinterpretationen, aber auch für Fake News, falsche Rechtfertigungen und vorgeschobene Argumente. In den meisten Fällen handelt es sich allerdings nicht um Böswilligkeit, sondern schlicht um Fehler aufgrund mangelnder Informationen.
Grundsätzlich gilt: Die DSGVO regelt den Schutz digital verarbeiteter persönlicher Daten. Bei den Wiener Klingeln handelt es sich genauso wenig um „digitale Datenverarbeitung“ wie beim Papier-Fotoprint des Kindergartens. Wenn also Immobilienkonzerne gerne die Türschilder nur noch nummerieren wollen, dann wohl eher deshalb, weil sie sich beim Mieterwechsel Kosten ersparen – aber nicht, weil eine EU-Norm dies vorschreibt. Und bei den Ärzten sollte eigentlich nur die Datenverarbeitung im Rahmen der bestehenden Hepatitis-C-Versorgung an die neue rechtliche Basis angepasst werden https://www.kvberlin.de/20praxis/80service/80rundschreiben/2018/rs_180606_dsgvo_v_hepc_aok.pdf. Hier hilft nur eines: den Hausverstand einzuschalten und ganz unabhängig zu entscheiden, wem man welche Daten geben will und wem nicht.
Datensicherheit – zwei Seiten der gleichen Medaille
Für Unternehmen gibt es in Bezug auf die DSGVO zwei unterschiedliche Sicherheitsaspekte zu beachten. Zum einen natürlich die Sicherheit der Daten selbst, vor Missbrauch, Verlust und unberechtigter Weitergabe. Dies nützt auch dem Unternehmen selbst, wenn es sicher sein kann vor Folgeschäden wie dem Diebstahl von geistigem Eigentum, Imageverlust und Regressansprüchen von Kunden im Schadensfall. Zum anderen aber auch die Sicherheit des Unternehmens, sich gesetzeskonform zu verhalten und so nicht zur Zielscheibe von Abmahnern oder des Staatsanwalts zu werden. Nur wer weiß, wie er sich richtig verhält, kann letztendlich die Datensicherheit in seinem Unternehmen gewährleisten.
Insofern sind Unternehmen, die um ihre unzulänglichen Prozesse wissen und sich Hilfe holen, schon einen Schritt weiter als viele andere. Bei IT-Dienstleistern wie ACP taucht das Thema aber oft im Rahmen von anderen Projekten auf, meist wenn es um Speicherung, Analyse und Nutzung von Daten geht. „Ist das im Rahmen der DSGVO überhaupt zulässig?“, ist die bange Frage, die den IT-Experten signalisiert, dass hier noch Unsicherheit und Aufklärungsbedarf herrscht. Die Erfahrung zeigt: Die Mehrheit der Unternehmen ist noch nicht gut genug über die verschiedenen Aspekte der DSGVO informiert.
DSGVO betrifft Strategie, Organisation und Technik
Aus ihrer täglichen Praxis kennen unsere ACP-Experten die drängendsten Fragen der kleinen und mittelständischen Unternehmen. Grob lassen sie sich in zwei Kategorien einteilen: Das „Was“ und das „Wie“. Doch erst wenn klar ist, welche Themen Datensicherheit und Datenschutz berühren, kann man den zweiten Schritt gehen und darüber sprechen, wie das konkrete Ziel aussehen kann. Dann bleibt noch die Frage, mit welchen Mitteln und Wegen man es erreicht. Diesem Muster entsprechend bietet ACP Workshops zur DSGVO in unterschiedlichen Ausprägungen an. Gemeinsame Ausrichtung aller Angebote ist es, Wege aufzuzeigen, wie das Unternehmen datenschutzkonform aufgestellt werden kann.
Stufe 1 zielt auf ein grundsätzliches Verständnis ab und klärt Fragen wie: Was bedeutet es, Datenverarbeitung im Unternehmen zu betreiben? Welche Facetten von Datensicherheit gibt es? Welche Konsequenzen und Risiken erwachsen aus mangelndem Datenschutz?
Mit Stufe 2 soll dann das nötige Know-how geschaffen werden, um relevante Prozesse in der Organisation zu identifizieren und die nötigen Anpassungen an DSGVO-konforme Abläufe zu definieren. Hier werden sowohl die strategische wie die organisatorische Ansicht des Datenschutzes abgedeckt.
In Stufe 3 geht es schließlich um das organisatorische wie technische Toolwork: mit welchen organisatorischen Maßnahmen und welchen digitalen Tools können die nötigen Prozess-Anpassungen realisiert und eine sichere Datenverarbeitung gewährleistet werden? Werden gänzlich neue Anwendungen eingesetzt, kann sich daran noch eine Produktschulung anschließen, mit Best-Practise-Beispielen von erfahrenen ACP-Mitarbeitern.
Maßgeschneiderte Informationen
Um den Teilnehmern größtmöglichen Nutzen zu bieten, werden die Workshops auf jeden Kunden individuell zugeschnitten. Im Vorgespräch klären wir, welche Erwartungen das Unternehmen hat und auf welchem Wissens- und Organisationsstand es sich befindet. Dazu gehören bereits eingeleitete Maßnahmen, vorhandene Tools oder spezielle Anforderungen, wie sie beispielsweise im Verhältnis von Konzern-Mutter und -Tochter auftreten.
Daneben ist auch zu klären, welche Zielgruppen abgedeckt werden sollen. Strategische Entscheider wie Management und Management-nahe Bereiche haben eben andere Informationsbedürfnisse als die eher operativ ausgerichteten Leads der Fachabteilungen. Und diese wiederum andere als die User und die IT, die zuvorderst Produkt- und Technik-spezifische Unterstützung erwarten.
Durchgeführt werden die Workshops von erfahrenen ACP-Mitarbeitern, die in den jeweiligen Themengebieten breite Kompetenzen aufweisen. Die Länge der Veranstaltungen richtet sich nach den zu vermittelnden Inhalten. Bewährt haben sich halb- bis ganztägige Veranstaltungen, weniger als vier Stunden sind nicht zu empfehlen. Wenn die zu vermittelnden Informationen sehr umfangreich sind, kann es sich auch lohnen, nicht die vollen acht Stunden auszuschöpfen, sondern die Veranstaltung auf zwei kürzere Tage zu splitten. Ansonsten droht, die Aufnahmefähigkeit der Teilnehmer zu überfordern. Nicht zuletzt kann es sich auch lohnen, unterschiedliche Projektphasen mit angepassten Veranstaltungen zu begleiten. So kann der jeweils erreichte Entwicklungsstand aufgenommen und der nächste Evolutionsschritt vorbereitet werden.
Fazit
An einem Punkt sollte es keine Zweifel geben: Datenschutz und Datensicherheit sind existenzielle Themen für jedes Unternehmen – nicht nur wegen des Strafrahmens, den die DSGVO vorsieht: bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Dementsprechend sollte es auch keine Unsicherheit geben, was zu tun ist. Wo es solche Unsicherheiten noch gibt, ist eine externe Unterstützung dringend geboten.
Pauschale Informationsangebote helfen allerdings nur in den seltensten Fällen weiter. Zu unterschiedlich sind Wissensstand und Umsetzung in den einzelnen Unternehmen. Während die einen noch am Anfang stehen und grundlegende Informationen brauchen, sind die anderen womöglich auf technischer Seite bereits fertig, bekommen aber die Umsetzung nicht hin, weil es noch am organisatorischen Feinschliff oder vielleicht einfach nur am konkreten Kick-off fehlt, der bei den Mitarbeitern endgültig den Schalter umlegt. Mit individuellen, maßgeschneiderten Workshops schafft ACP hier die besten Voraussetzungen, damit Datenschutz und Datensicherheit tief in der Unternehmens-DNA verankert werden und Unsicherheiten der Vergangenheit angehören.
