Was ist ein Datenschutz Generator?
12. August 2021
WhatsApp muss 225 Millionen Euro Strafe zahlen
3. September 2021
Was tun, wenn der Kunde Datenschutz verlangt?
Ein doch eigenartiger Vergleich - oder
Das ist doch ein eigenartiger Vergleich, oder? Dieser Vergleich stammt nicht von mir. Ein damals „noch nicht“ Kunde stellte mir diese eigenartige Frage.
Ich war irritiert. Daraufhin antworte er mir: „Das juckt so lange, bis man endlich reagiert und zum Arzt geht. Deshalb wäre ich nun bei ihm.“
Sichtlich genervt ließ er sich auf unser Gespräch ein. Der Mann Geschäftsführer einer KMU begann allmählich ein intensives Gespräch mit mir zu führen. Von meinem Partner schien er sich genervt zu fühlen. Der legte vielleicht zu sehr den Finger in seine offene Wunde – ich meine natürlich Fußpilz.
Was nervt ihn so am Thema Datenschutz?
Ein ihm bekanntes Problem ist immer noch offen und muss gelöst werden. Der Geschäftsführer kannte die Anforderungen der DSGVO nur zu genau. Nun will er die Sache anpacken. Nach einer Denkpause holte er einige Führungskräfte zum Gespräch hinzu.
Wir setzen unser Gespräch fort. Das Team um den Geschäftsführer folgte uns interessiert. So konnten wir nach und nach einen Einblick in die Problemstellung gewinnen. Hier ein kurzer Blick auf die uns gestellten Fragen.
2. Gibt es die Möglichkeit, Verantwortung zu delegieren?
Nein. Die DSGVO stellt hohe Anforderung an den Verantwortlichen. Verantwortliche sind zum Beispiel die Inhaber und Geschäftsführer. Sie haften persönlich für die Pannen, wenn bei der Verarbeitung von Daten etwas schief geht.
3. Die DSGVO schreibt den Umgang mit personenbezogenen Daten vor - warum?
Mit Blick auf die Tech-Konzerne wie Google und Facebook erkennt man die Notwendigkeit zum Schutz von Daten. Weil jedoch Firmen, Behörden oder Geschäfte auch die Daten ihrer Geschäftspartner speichern, stellt sich die Frage hier genauso. Im Grundgesetz ist bereits der Anspruch auf den Schutz der persönlichen Daten verankert. Nun fordert die DSGVO die Umsetzung. Die Unternehmen stehen unter Zugzwang.
4. Gab es Gründe, sich nicht um den Datenschutz zu kümmern?
Viele Gründe können hier aufgezählt werden. Das Tagesgeschäft geht vor. Weitere Kosten kommen auf die Firma zu. Der Wille und die Bereitschaft, den Datenschutz umzusetzen, fehlt. So sei auch kein Nutzen erkennbar, deshalb abwarten, bis kontrolliert wird. Außerdem hat man keine Vorstellungen, wie das alles gemacht werden soll.
5. Oft fehlt die Zeit, sich darum zu kümmern
Vielleicht fehlten die Vorstellungen darüber, was zu tun ist. Dann wird das Problem auf die lange Bank geschoben. Oft hilft externe Unterstützung, die Aufgaben schnell und richtig umzusetzen.
6. Ein Kunde verlangt die Umsetzung von Datenschutz
Ein Kunde verlangt für die weitere Zusammenarbeit die Anpassung der Verträge. Mit der Post wurde ein umfangreiches Vertragswerk zugestellt. Der Vertrag trägt die Überschrift: Vertrag zur Auftragsverarbeitung (auch AV-Vertrag genannt). Der IT-Leiter soll den Vertrag prüfen und ergänzen. Anschließend würde der Geschäftsführer den Vertrag dann unterschreiben. Doch es gibt ein Problem. Er soll die Umsetzung der Vorgaben der DSGVO bestätigen.
Warum fordern Kunden den Nachweis so nachdrücklich?
Mit der Erteilung des Auftrags erhält der Auftragnehmer viele Information, um die Aufträge fertigen zu können. Die Produkte werden beschrieben, es gibt vielleicht auch Zeichnungen. Der Auftraggeber überträgt sein Wissen auf den Hersteller. Das Wissen um die Ware will der Auftraggeber auf jeden Fall schützen. Und genau diesen Schutz fordert der Kunde ein. Die Informationen sollen unter keinen Umständen in falsche Hände gelangen.
Es geht aber auch darum, Risiken bei der Verarbeitung von Daten zu verhindern.
Was ist jetzt zu tun, um die Forderung des Kunden umzusetzen?
In den folgenden Textzeilen werden wir uns um die Frage 6 kümmern: Der Kunde verlangt die Umsetzung.
Es ist tatsächlich so. Immer mehr Kunden fordern von ihren Auftragnehmern Nachweise zum Schutz und Umgang mit ihren Daten.
An dieser Stelle stellt sich nun die Frage nach der Umsetzung. Was ist genau zu tun? Wie soll Datenschutz im eigenen Unternehmen umgesetzt werden? In welcher Form kann man das dem Kunden nachweisen?
Die DSGVO schützt vorausschauend die Daten im digitalen Wettbewerb
Bereits seit vielen Jahren setzten sich Wissenschaftler und Politiker mit den Folgen der Digitalisierung auseinander. Welche Auswirkungen wird das auf die Gesellschaft und die Wirtschaft haben?
Mit den Möglichkeiten der Digitalisierung und dem Zusammenspiel mit dem Internet sind große Veränderungen für Mensch und Wirtschaft zu erwarten. Es werden große Mengen an Daten gesammelt und ausgewertet. Die DSGVO schiebt der Verwendung von persönlichen Daten einen Riegel vor. Ohne die Einwilligung der Personen dürfen die über sie gesammelten Daten nicht verwendet werden.
So ergibt sich ein zweifacher Nutzen: Die Daten von Menschen können nur geschützt werden, wenn die eingesetzten IT-Systeme diesen Schutz auch sicherstellen können. Wenn dem so ist, dann befinden sich auch alle Daten von Kunden in einer sicheren und geschützten IT-Umgebung. Die damit verbundenen Maßnahmen werden in den sog. TOMs beschrieben.
Die Umsetzung des Datenschutzes wird im AV-Vertrag vereinbart
Der AV-Vertrag (Vertrag zur Auftragsverarbeitung) ist ein zusätzlicher Vertrag, der zwischen den Geschäftspartnern abzuschließen ist. In dem Vertrag verpflichtet sich der Auftragnehmer die Vorgaben des Auftragnehmers einzuhalten. Darin enthalten ist eine Anlage die, die Maßnahmen zum Schutz von Daten aufzählt. In der Regel behalten sich die Auftraggeber dabei vor, die zugesagten Schutzmaßnahmen zu überprüfen. Der AV-Vertrag enthält außerdem weitere Vereinbarungen wie z. B. Auskunft über die Datenschutzmaßnahmen von Sub-Unternehmen.
Keine Zusammenarbeit ohne AV-Vertrag
Wenn Unternehmern zusammenarbeiten wollen, müssen sie AV-Verträge untereinander abschließen. Ist der Auftragnehmer dazu nicht bereit, darf lt. DSGVO die Geschäftsbeziehung nicht eingegangen werden.
Keine Zusammenarbeit ohne Datenschutz
Bei unserer Betrachtung steht die Datenschutzorganisation im Mittelpunkt des Betrachters und nicht der AV-Vertrag. Erst wenn der Datenschutz in der Gesamtheit umgesetzt ist, können die umgesetzten Maßnahmen als Nachweis in die TOMs einfließen. Deshalb sollten Geschäftsführer nur nach genauer Prüfung der tatsächlichen Gegebenheiten die AV-Verträge unterschreiben.
Zurück zur Ausgangsfrage
Was haben nun Datenschutz und Fußpilz gemeinsam?
Erinnern Sie sich noch, was der Geschäftsführer gesagt hat? Das juckt so lange, bis man endlich reagiert und zum Arzt geht.
Ich kenne das verordnete Mittel nicht. Nach der Anwendung wird mit Sicherheit der Fußpilz verschwinden.
So ähnlich verhält es sich auch mit dem Datenschutz. Das verordnete Mittel kenne ich jedoch genau. Es heißt DSGVO. Bei einem flüchtigen Blick auf den Beipackzettel findet man: lebenslang einzunehmen.
Ein Blick in unseren Arbeitsalltag als Datenschützer
Wir stellen sehr oft fest, dass viele Unternehmen sich mit dem Datenschutz befasst haben. Doch es hapert an der konsequenten Umsetzung. Die meisten sind irgendwo stecken geblieben. Oft fehlen der Plan und Rat zur Umsetzung.
Was habe ich daraus gelernt?
Komplettes Datenschutz-Modell als Vorlage entwickelt
Aus diesem Grund habe ich eine digitale Datenschutzlösung entwickelt. Die hilft besonders den Firmen, die stecken geblieben sind.
