Mai 2018 – Ein Hype! Alle wollten noch eben schnell Datenschutz. Irgendwie. Was auch immer das bedeutet. Hauptsache die Aufsichtsbehörde kann nicht sanktionieren. Wie auch immer sie das machen würde. Compliant sein. Wer auch immer das beweisen wollte.
Wenige Unternehmen erreichten zum Stichtag wirklich einen einigermaßen angemessenen Stand an Rechtskonformität. Und es waren ausschließlich jene, die auch zuvor schon vernünftig mit den internen Prozessen umgegangen waren.

 


 

1000 und eine Nacht

Märchen machten die Runde: „Die Geltung der DSGVO wird nochmal ausgesetzt.“ „Wir müssen für alles nochmal eine Einwilligung einholen.“ „Als Arzt darf man Briefe nicht mehr mit der Post schicken, weil sie ja geöffnet werden könnten.“ „Wir können Ihnen keinen Notenschnitt der Schulaufgabe nennen; aus Datenschutzgründen.“

Im Grunde kam das Thema Datenschutz vom Regen in die Traufe. Unternehmerinnen und Angestellte waren mehrheitlich weder willens, ernsthaft und konkret eigene Prozesse durch zu deklinieren, noch – und noch viel weniger – diese zu dokumentieren um damit auch „dazu zu stehen“.

Und nach einem Schuldigen musste nicht lang gesucht werden. Es war … der Gesetzgeber. Je simpler die Antwort, um so argwöhnischer sollte man sein.

Zwei vor – eins zurück – oder auch mal anders herum.

Unser Team hat einige Unternehmen begleitet. Wir haben wirklich viel bewegt und manchmal auch erlebt, wie in Unternehmen drei Schritte rückwärts gegangen wurde, weil eine Unterstützerin ausgewechselt oder in der Geschäftsführung ein anderes Thema gehypt wurde.

Beständig erklärten wir, dass Datenschutzcompliance nicht von außen verordnet, nicht über Textgräber-Papiere eingeführt und nicht nur mittels Vertragswerken umgesetzt werden kann.

Begriff/en und Verlaufen

Datenschutz ist erst einmal „nur“ ein sozialwissenschaftlicher Begriff.
Datenschutz meint auch grundlegend „nur“ den Schutz (eigener) personenbezogener Daten vor missbräuchlicher Verwendung und (missbräuchlicher) Datenverarbeitung. Hier muss die Einzelne für sich auch aktiv werden, selbst als Person etwas dafür tun. Damit in Verbindung stehen der Schutz des Persönlichkeitsrechts und der Schutz der Privatsphäre. Ziel: Informationelle Selbstbestimmung.

Datenschutzrecht ist ein juristischer Begriff und eben das, was ein Unternehmen einzuhalten hat. Hier gibt es durch die DSGVO und weitere entsprechende Gesetze durchaus mehrheitlich klare Anforderungen.

Dass einige Fachfrauen und Juristinnen im Elfenbeinturm in teleologischer Auslegung Sachverhalte diskutieren ist wichtig – denn die Verordnung ist jung und die diversen Anwendungsszenarien sind einer enorm dynamischen Entwicklung unterworfen – doch sollte dies nicht eben mal so als 3-Seiter auf die praktische Anwendung ohne Übersetzungshilfe übertragen und einer lokalen Datenschutzkoordinatorin zur „vermeintlich eben mal so Umsetzung“ von die Nase geklatscht werden.

Unwort 2018

Das Unwort 2018 war für mich „pragmatisch“. Ich selbst habe es oftmals verwendet. Denn die andere Seite (Geschäftsführung oder Management) wollte es so gerne hören. „Setzen Sie den Datenschutz bei uns im Unternehmen pragmatisch um“ war hier so oft die Anforderung.

Erinnerung: Datenschutz = Sozialwissenschaftlicher Begriff …. Damit Baustelle und Anspruchsbereich eines einzelnen Individuums.

Was im Unternehmen umsetzbar ist, weil man Prüfungen, entsprechende Änderungs-Prozesse und Kontrollprozesse aufsetzen kann, ist die Einhaltung von Datenschutzrecht.

Um allerdings die Einhaltung eines Rechts zu gewährleisten, muss Klarheit über die entsprechend relevanten internen Abläufe herrschen und darüber, wann etwas eigentlich relevant wird. Diesen Aufwand scheute so manches Unternehmen dann im ersten Schritt. Der Wunsch war: Über Anweisungs-Papiere und Verträge etwas zu schaffen, das so aussieht wie die Einhaltung von Datenschutzrecht, sich aber anfühlt als müsse niemand sich bewegen.

Als wenn man am Bildschirm den Avatar einen Marathon laufen lässt und dann sagt: „Läuft bei mir!“

Fremdschämen

Manche Datenschutzberatungsunternehmen arbeiten über reine „Fernwartung“ ohne jeden echten Kontakt. Es kommt mir manchmal vor, wie ein Abobausatz zu einem Modellflugzeug. Ein Unternehmen abonniert sozusagen das Erhalten von Beschreibung und Bausatz. Ob es ein passender Flieger ist und der auch noch irgendwann fliegt … Nebensache. Persönlicher Kontakt – Nö. Zeitnahes Eingehen auf individuelle Fragestellungen … Fehlanzeige. Auch betrieben manche der Kolleginnen Datenschützer reges Mandatesammeln und blicken nun vermeintlich stolz auf nun hunderte Kunden-Unternehmen, die sie im ??-Personenbetrieb als Datenschutzbeauftragte begleiten. Der Markt wurde zudem „bereichert“ von den von mir so genannten „Gmail-Datenschützern“; vormals branchenfremden, die – nachdem sie Umsatz witterten – eine 3-Tage-Ausbildung absolvierten und nun mit einer sonundso@gmail.de-Adresse als selbsternannte Profis mit einem sehr geringen Stundensatz aktiv sind.

Ein Standardbasisstundensatz von unter € 120.– € – so darf ich Ihnen offen sagen – weist nicht darauf hin, dass da jemand auch Geld für erforderliche Weiterbildungen und Strukturarbeit puffert.

Ganz irritierend sind dann jene Modelle, bei welchen Unternehmen eine Art Monatsgebühr rein für die „Erlaubnis“ zahlen sollen, eine Datenschutzbeauftragte des Dienstleisters benennen zu dürfen. Das wäre so, als ob Sie Ihrer Anwältin ein monatliches Salär geben – nur dafür, dass sie auf Anfrage behauptet, Ihre Anwältin zu sein. Oder der Autowerkstatt dafür Geld geben, dass sie Ihnen auf Anfrage mitteilt, wann TÜV zu machen ist und was (ohne Ihr Auto je gesehen zu haben) der TÜV wohl prüfen wird.

Pessimismus? Nein! Keinesfalls! Eher Vorfreude!

Das mag sich nun eher defätistisch (ich wollte das Wort endlich mal in einen Text einbauen) lesen, ist aber gar nicht letztlich meine Warte.

Ich habe im vergangenen Jahr meine eigenen Kolleginnen am Thema wachsen sehen, habe erlebt wieviel sie in kurzer, ja kürzester Zeit lernen konnten. Wir konnten Unternehmen in ihrer Datenschutzrechtseinhaltung (Buzzword: Compliance) gezielt im Schulterschluss fortentwickeln. Wir haben spannende Mandate gewinnen und Vorträge halten dürfen und waren uns nicht zu schade auch „kleine“ Unternehmen anzunehmen, die von anderen Datenschutzberatungsunternehmen noch nicht einmal mehr einen Rückruf erhielten.

Wir haben als Team enorm viel gelernt, Strukturen entwickelt, Weiterbildungen besucht und auch gegenseitig intern Vorträge gehalten und viele interne Diskussionen geführt. Und ich darf mich hier stolz in mitten eines wirklich großartigen Teams fühlen!

Wir haben Aufsichtsbehörden erlebt, die selbst ebenfalls Lehr- und Lernbereitschaft gelebt haben und dies auch noch immer tun.

Und last – but not least – wir haben immer noch eine spannende lehrreiche Zeit vor uns, die facettenreicher kaum sein könnte.

Dabei ist wichtig, nie aus dem Blick zu verlieren, dass „ich dachte es wäre so“ ebenso wenig ein klar strukturierter Prozess ist, wie „es hätte doch jedem klar sein sollen, dass“ ein guter Erklärungsansatz ist.

Und das Motto „Nicht Wasser predigen und Wein trinken.“ ist ein ebenso wahres Motto wie „Du musst nicht alles wissen, Du musst aber wissen, wen Du fragen kannst – UND ES DANN AUCH TUN!“.

In diesem Sinne: Ich freue mich auf ein weiteres Jahr Datenschutz und Datenschutzrechtseinhaltungsbegleitung (Datenschutz-Compliance) mit Ihnen allen! Und ich bleibe neugierig.

Ihre Daniela Duda