Mehr als ein Jahr DSGVO – dem einen Freud, des anderen Leid? Wie ein externer Datenschutzbeauftragter das sieht.

Robert, bei Dir dreht sich alles um Daten, aber aus einer anderen Perspektive. Du bist externer Datenschutzbeauftragter und Berater für Informationssicherheit. Beides sehr wichtig im Bezug auf den Schutz der Daten, vor allem auch im Zusammenhang der meist „ungeliebten“ DSGVO.

Wie schon gesagt, die meisten Menschen und auch Unternehmen empfinden Unbehagen, wenn sie DSGVO hören. Warum ist das so?

Weil im Vorfeld der Einführung im Mai 2018 sehr viel falsch gemacht wurde! Es entstand der Eindruck das die DSGVO total überraschend kommt. Das ist falsch, denn Datenschutz gibt es als Gesetz in Form des „BDSG“ in der alten Fassung schon seit 1977! Für die DSGVO gab es eine Übergangszeit von zwei Jahren. Leider haben hier die Bundesregierung-, die Berufsverbände und auch die Medien es versäumt, rechtzeitig zu informieren.

Du arbeitest als externer Datenschutzbeauftragter für Firmen und berätst diese in allen Belangen des Datenschutzes. Kannst Du uns kurz beschreiben, wie ein solches Projekt abläuft?

Aktuell berate ich beispielsweise ein mittelständisches Unternehmen, das innovative und kreative Verpackungen und Anwendungen aus Kunststoff herstellt. Im ersten Schritt war es wichtig, zu analysieren, wo im Unternehmen personenbezogenen Daten verarbeitet werden.

Dazu ist eine enge Zusammenarbeit mit allen Bereichen bzw. Abteilungen des Unternehmens notwendig. Ob Finanz, Rechnungswesen, Personal, Vertrieb, Marketing, Produktion, IT usw., es betrifft alle. Im nächsten Schritt habe ich geprüft, in wie weit diese Verarbeitungen den Regularien der DSGVO entsprechen. Wichtig ist hierbei, dass für die Verarbeitung eine sogenannte Rechtsgrundlage besteht. Ist dies der Fall, wird die Verarbeitung in das Verarbeitungsverzeichnis aufgenommen. Zum Schluss gibt es dann noch eine Risikobewertung der Verarbeitung, aus Sicht des Betroffenen.

Ganz wichtig bei einem solchen Projekt ist die offene und vertrauensvolle Zusammenarbeit zwischen meinem Kunden und mir, denn als externer Datenschutzbeauftragter bekomme ich Einblick in nahezu alle Unternehmensprozesse.

Datenschutz und Informationssicherheit, beides taucht im Zusammenhang mit der DSGVO auf. Wie gehört beides zusammen?

Letztendlich ist beides notwendig wenn es um Datenschutz geht. Die DSGVO kümmert sich ausschließlich um personenbezogene Daten. Die Informationssicherheit geht noch einen Schritt weiter und betrachtet die Datensicherheit firmenweit. Dazu gehören zum einen die personenbezogenen Daten (DSGVO) und zum anderen aber auch die IT-Sicherheit.

Es gibt verschiedene Ansätze, um ein solides Informationssicherheits-Managementsystem im Unternehmen zu etablieren. Aber der Aufwand in der Umsetzung scheint immens hoch. Was macht da ein Mittelständler? Gibt es spezielle Modelle für sie?

So pauschal kann ich dies nicht beantworten. Hier gilt wieder mein Standardspruch – „weniger ist oftmals mehr“. Es macht keinen Sinn einem Mittelständler eine ISO Zertifizierung zu empfehlen, wenn der Bedarf einfach nicht da ist. Es ist aber durchaus empfehlenswert, ein ISMS System (Informationssicherheitssystem) aufzubauen. Allein schon der Tatsache geschuldet, zu wissen, wie es überhaupt mit der Datensicherheit im Unternehmen bestellt ist und wo eventuell Lücken bestehen.

Aufgrund dieser Tatsache ist beispielsweise „ISIS12“ für Mittelständler durchaus ein praktikabler Einstieg. Bei ISIS12 handelt es sich um eine verkürzte Version der bekannten „ISO 27001“ Zertifikation. Ein Idealer Einstieg um Informationssicherheit im Unternehmen einzuführen. Anhand des Aufbaus von ISIS12 ist es jederzeit möglich, sich auch zertifizieren zu lassen. Das kann dann ein ISIS12 Zertifikat sein oder mit ein wenig Zusatzarbeit die größere ISO-27001 Zertifizierung.

Ganz aktuell hat der Bundestag die Anforderungen an den Datenschutz in Kleinbetrieben per Gesetz entschärft. Da meint man rauszuhören, kleine Betriebe müssen sich der DSGVO nicht mehr stellen. Ist dem so?

Leider falsch gehört. Bei diesem Gesetz geht es darum, ab wie vielen Beschäftigten zwingend ein Datenschutzbeauftragter bestellt werden muss. Diese Grenze wurde von 10 auf 20 Beschäftigte angehoben. Aber ACHTUNG dies entbindet die Betriebe nicht sich an die DSGVO zu halten. Dies befreit auch nicht die Verarbeitung von personenbezogenen Daten schriftlich festzuhalten und ein Verarbeitungsverzeichnis zu führen.

Einzig und allein wird in diesen Betrieben die Qualität des Datenschutzes sinken und die Gefahr sich nicht datenschutzkonform zu verhalten steigt. Meine Empfehlung ist, auch hier kann ein externer Datenschutzbeauftragter mit Rat und Hilfe zur Seite stehen. Besser vorher in den Datenschutz investieren, als unter Umständen Geldbußen in Kauf nehmen zu müssen. Es lohnt sich, auch für kleinere Unternehmen.

2019 Entschärfung auf der eine Seite und 2020 Erweiterung der DSGVO auf der anderen Seite – Stichwort e-Privacy Verordnung. Was genau kommt da auf die Unternehmen und die Privatpersonen zu?

Ob die ePrivacy VO in 2020 kommt steht ja noch in den Sternen. Grund hierfür ist die Komplexität. Es geht ja nicht darum die DSGVO zu verschärfen (wie viele meinen) sondern das in Deutschland existierende TMG (Telemediengesetz) und TKG (Telekommunikationsgesetz) in der ePrivacy VO abzubilden und das ganze DSGVO konform umzusetzen. Sicherlich wird für Unternehmen in mancher Vorgehensweise ein Umdenken notwendig sein. In wie weit und wo genau ist derzeit noch nicht abzuschätzen.

Die Einführung der DSGVO ist nun schon mehr als ein Jahr her und doch hört man, dass doch manche Unternehmen bei der Umsetzung der Vorgaben straucheln. Es herrscht nach wie vor Verwirrung und Unsicherheit. Wie und wo können sich Unternehmen Hilfestellung dazu holen?

Das ist vollkommen richtig. Und jetzt sind wir wieder bei der Frage, in wie weit die Entscheidung des Bundestages Sinn macht!

Ich würde empfehlen, sich für eine erste Beratung an einen versierten externen Datenschutzbeauftragten zu wenden. Aber ACHTUNG, hier gibt es große Unterschiede, was die Qualifikation betrifft. Sicherlich macht es Sinn, sich bei einer anerkannte Stelle für den Datenschutz zu informieren. Der B.v.D e.V. (Berufsverband der Datenschutzbeauftragten Deutschlands) z.B. führt eine Liste über Datenschutzbeauftragte, die einen hohen Qualitätsanspruch im Datenschutz gewährleisten und sich auf das „Berufsbild des Datenschutzbeauftragten“ verpflichtet haben. Dieses Berufsbild wurde in Zusammenarbeit mit Aufsichtsbehörden und Datenschutzexperten entwickelt.

Und zum Schluss noch eine „persönliche“ Frage. Für mich als Marketing-Verantwortliche der mip hat die DSGVO einiges an Anforderungen gebracht, die es zu beachten gilt. Will mal checken, ob ich alles richtig gemacht habe 😉 Was sind aus Deiner Sicht die wichtigsten Punkte?

Liebe Gabi, das ist doch ganz einfach 🙂 Der verantwortungsvolle Umgang mit personenbezogenen Daten. Die Kunden und Interessenten müssen sich darauf verlassen können, dass Ihre Daten nur dafür verwendet werden wozu sie übermittelt wurden.

Robert, vielen Dank, dass Du uns dieses oft so unliebsame Thema so eindrücklich näher gebracht hast.

 

Das Interview führte Gabriela von Bargen / Marketing

 

Robert Schneid-Karl externer Datenschutzbeauftragter

Robert Schneid-Karl


Robert muss in seinem Job als externer Datenschutzbeauftragter die gesetzlichen Vorgaben zum Datenschutz mit den Bedürfnissen und Entwicklungen seiner Kunden zusammenbringen. Den Ausgleich zu dieser verantwortungsvollen Aufgabe findet er in seiner Freizeit. Begeistern kann man ihn mit gutem Essen und erlesenem Wein, am liebsten in Begleitung seiner Familie und seinen Freunden. Dabei spielt es für ihn keine Rolle, ob das in seiner familiären Umgebung stattfindet, in München oder in anderen Städtemetropolen. Hauptsache es schmeckt!

KONTAKT

Wir zeigen Ihnen Ihre Entwicklungsmöglichkeiten auf.