Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
20 Irrtümer zur DS-GVO... und wie man es richtig macht
Ab dem 25.05.2018 gilt in ganz Europa ein neues Datenschutzrecht: Die EU Datenschutz-Grundverordnung (DS-GVO). Wir liefern Ihnen ehrliche Antworten auf die wichtigsten Fragen. Zugegebenermaßen etwas provokativ rechnen wir mit den 20 typischen Irrtümern ab. Danach werden Sie verstehen, warum ein erfahrener Datenschutz-Experte für Sie die optimale Lösung ist. Dann legen wir mal los...
... alles halb so schlimm?
- Die DS-GVO muss doch erstmal in nationales Recht umgesetzt werden, oder?
Insofern haben wir in Deutschland nicht viel zu befürchten.
Das stimmt so nicht. Es handelt sich hier um eine EU-Verordnung, die unmittelbar geltendes Recht in ganz Europa darstellt. Anders als bei der EU Datenschutz-Richtlinie von 1995 ist kein nationales Parlament mehr gefordert. Berlin kann uns nicht mehr retten und die Umsetzung - wie seinerzeit - um sechs Jahre verzögern. - Aber nach dem 25.05.2018 gibt es doch erstmal eine Übergangsfrist, damit wir uns vorbereiten können?
Nein, die Frist läuft bereits seit Mai 2016. Insofern müssen alle Pflichten der DS-GVO bis zum 25.05.2018 erfüllt sein. Es gibt keinen Grund zur Annahme, dass Brüssel uns eine weitere Übergangfrist gewähren würde. Auch die deutschen Datenschutz-Aufsichtsbehörden geben klar zu verstehen: Der Termin steht! - Es wird alles heißer gekocht als gegessen... warten wir erstmal ab.
Nun, wir sollten den Kopf besser nicht in den Sand stecken. Die Aufsichtsbehörden lassen nicht erkennen, dass sie erstmal keine Bußgelder verhängen würden. Und die möglichen Schadenersatzforderungen von betroffenen Personen nehmen sicherlich keine Rücksicht auf die Zeitnöte von Unternehmen. Siehe unseren Artikel "Motivation".
In der Tat stellt sich die Frage, ob die laxe Bußgeldpraxis der deutschen Datenschutz-Aufsichtsbehörden Bestand haben wird. Alle europäischen Datenschutz-Aufsichtsbehörden MÜSSEN eine EU-weit einheitliche Bußgeldpraxis entwickeln. Und wer mit dem Auto schon einmal in Südeuropa mit 5 Km/h zu hoher Geschwindigkeit erwischt wurde, der weiß, was das heisst: Es wird empfindlich teuer. Der Artikel 83 macht es da nicht besser: "Geldbußen müssen in jedem Einzelfall wirksam und abschreckend" sein. Da ist nicht mehr viel Platz für die bisher helfende Hand der deutschen Datenschutz-Aufsichtsbehörden. Wenn sich ein spanischer Kunde bei seiner spanischen Aufsichtsbehörde über Sie beschwert, dann geht es möglicherweise richtig zur Sache. - Die Verordnung ist nur für große Unternehmen geschaffen. Unser Unternehmen ist dafür zu klein.
Sorry, aber es gibt keine Unternehmens-Mindestgröße für den Datenschutz. Auch ein Ein-Mann-Unternehmen muss die DS-GVO in vollem Umfang erfüllen.
In anderer Hinsicht stimmt es schon: Die Bußgeld-Obergrenze von 20 Mio. Euro bzw. 4% vom Konzern-Jahresumsatz zielen wohl vor allem auf die US-Megakonzerne ab; doch sie gelten deswegen trotzdem auch für jeden von uns. - Unser Unternehmen ist zu klein... und fliegt unterhalb des Radars der Aufsichtsbehörde.
Auf den ersten Blick mag das schon sein. Aber wenn sich eine betroffene Person über Ihr Unternehmen beschwert, dann MUSS die Aufsichtsbehörde dem nachgehen. Da gibt es keinen Bonus für kleine Unternehmen. Darüber hinaus interessieren sich verärgerte Personen nicht für Ihre Unternehmensgröße, wenn es darum geht, dass Sie Schadenersatz zahlen sollen. - Wenn der "neue" Datenschutz so wichtig wäre, dann hätte man uns schon längst informiert.
Das wäre schön, wenn der Staat die Unternehmen über alle neuen Regelungen informieren würde. Doch so funktioniert das nicht. Die DS-GVO ist beschlossen und sie gilt am 25.05.2018. Egal, ob Sie sich gut oder schlecht informiert fühlen. Schauen Sie auch nicht in Richtung Ihrer Geschäftspartner, denn es ist unerheblich, was andere tun oder nicht tun. Im Zweifelsfall stehen Sie im Fokus von Bußgeldern und Schadenersatzforderungen. - Wer soll uns schon erwischen? Auch ohne Datenschutz bleiben wir weiterhin unentdeckt!
Keine Chance. Die DS-GVO legt Ihnen so viele Transparenz-Pflichten auf, dass Sie garantiert sofort auffliegen. Beispielsweise muss der Datenschutzbeauftragte gemäß Artikel 37 (7) aktiv der Datenschutz-Aufsichtsbehörde gemeldet werden. Vermutlich lässt eine Massen-E-Mail der Datenschutz-Aufsichtsbehörden nicht lange auf sich warten. Und auch den betroffenen Personen ist u.a. der Datenschutzbeauftragte gemäß Artikel 13 (1a) aktiv zu melden. Wir garantieren Ihnen: Wenn Sie die öffentlichkeitswirksamen Pflichten nicht erfüllen, dann gibt es ganz schnell unerfreuliche Post.
... brauchen wir nicht?
... haben wir schon?
Hoffentlich konnten wir Sie überzeugen, dass die DS-GVO wirklich kommt und angewendet wird. Doch Sie glauben, dass das alles für Ihr Unternehmen trotzdem nicht relevant ist?
- Wir müssen keinen Datenschutzbeauftragten bestellen, also müssen wir auch keinen Datenschutz betreiben.
Ein klassisches Missverständnis. Die Benennungspflicht eines Datenschutzbeauftragten gemäß § 38 BDSG-neu hat NICHTS mit den restlichen Pflichten zu tun. Sehen Sie es eher mal andersherum: Wie wollen Sie denn die umfassenden und komplizierten rechtlichen Gegebenheiten OHNE einen ausgebildeten Datenschutzbeauftragten erledigen? - Wir haben das Bundesdatenschutzgesetz erfüllt. Also erfüllen wir automatisch auch die DS-GVO!
Schön wär's. Doch leider ist das auch nicht ansatzweise korrekt. Die DS-GVO hat viel mehr Pflichten zu bieten als das (noch aktuelle) BDSG. Außerdem muss die Einhaltung sorgfältig geplant und regelmäßig überprüft werden. Compliance ist gefragt. Es dürfte wohl KEIN Unternehmen in Deutschland geben, welches sich nicht ganz neu aufstellen müsste. - Wir verarbeiten doch gar keine personenbezogenen Daten. Wir verkaufen Maschinen.
So einfach ist es nicht. Denn Sie speichern doch die Daten Ihrer Mitarbeiter, oder? Und Sie haben eine Kunden-Datenbank! Außerdem lesen/schreiben Sie E-Mails an Personen. Und das Kontaktformular im Internet wird von Menschen ausgefüllt. Auf Ihrem Betriebshof werden Personen von der Videoüberwachung erfasst. Allein schon diese Beispiele verdeutlichen: JEDES Unternehmen verarbeitet personenbezogene Daten und muss die DS-GVO erfüllen. - Wir betreiben bereis aktiv Datenschutz. Beispielsweise machen wir Backups.
Dies ist der häufigste Einwand... ehrlich! Hier liegt allerdings ein folgenschweres Missverständnis vor: Datenschutz ist nicht gleichzusetzen mit IT-Sicherheit. Ganz im Gegenteil. Der Datenschutz ist zu mindestens 75% eine juristische und organisatorische Herausforderung. Die obige "Backup-Argumentation" zeigt letztendlich nur, dass der Datenschutz in seinem Kern noch nicht begriffen wurde. Sorry. Es geht um PERSÖNLICHKEITSRECHTE, um RISIKEN, um COMPLIANCE mit Plan-Do-Check-Act-Zyklen.
... aber das kann doch gar nicht klappen!
Möglicherweise stimmen Sie uns zu, dass der Datenschutz unumgänglich ist. Gehen Sie auf Abwehr?
- Wir können die DS-GVO nicht einhalten, weil wir noch nicht einmal den Verordnungs-Text kennen.
Zugegeben: Das ist nicht trivial. Brüssel hat sich keinerlei Mühe gegeben, dass "normale" Geschäftsleute die DS-GVO überhaupt erfassen können. Der Text ist im Internet versteckt und ohne Inhaltsverzeichnis und Querverweise gestaltet. Genau deswegen haben wir www.privacy-regulation.eu ins Leben gerufen. Schauen Sie mal rein! - Da soll es auch noch ein neues Bundesdatenschutzgesetz geben? Das hat uns niemand gesagt!
Ja, das stimmt leider. Das neue BDSG steht im Schatten der übermächtigen DS-GVO. In der Fachliteratur findet man auch nur sehr wenige konkrete Hinweise und Hilfestellungen. Zu allem Überfluss ist das neue BDSG auch noch EXTREM verschachtelt aufgebaut und formuliert. Es braucht schon sehr viel Hartnäckigkeit, um die relevanten Texte zu finden und in Deckung zur DS-GVO zu bringen. Wir haben dies unter www.bdsg2018.de für Sie erledigt. - Das ist alles viel zu viel. Da blicke ich nicht durch. Das sitze ich aus.
Eine verständliche Reaktion. Das alte BDSG hatte (für die Privatwirtschaft) einen Umfang von ca. 26 Seiten, und nun stürzen 85 Seiten an neuem Verordnungs- und Gesetzestext auf Sie ein. Angesichts dieser Komplexität überspringt so mancher Leser die Phase der Panik und verfällt sofort in eine Lethargie. Aber das ist keine Lösung. Mit dem PrivazyPlan® zerlegen wir die DS-GVO und da BDSG-neu in ca. 50 Pflichten. Alles orientiert sich am Bußgeldkatalog. Jede Pflicht wird ausführlich erklärt und angeleitet. Damit kommen Sie zum Ziel. - Das wird viel zu teuer. Das kann ich mir nicht leisten.
Es lässt sich nicht leugnen: Die Umsetzung von DS-GVO und BDSG-neu macht viel Arbeit. Es gilt viel zu durchdenken, zu planen, zu handeln und zu dokumentieren. Bürokratie pur. Aber was ist die Alternative? Sie können doch nicht tausende Euro an Rücklagen bilden, um eventuelle Bußgelder zu zahlen. Abgesehen davon: Ein gezahltes Bußgeld entbindet Sie nicht von diesen bürokratischen Arbeiten; denn auch in diesem Fall werden Sie anschließend die Einhaltung des Datenschutzes nachweisen müssen.
Und noch ein Aspekt: Verarbeiten Sie als Dienstleister die personenbezogenen Daten anderer Unternehmen? Wenn ja, dann satteln Sie aber die Pferde! Ihre Auftraggeber werden schon im Februar 2018 von Ihnen "hinreichende Garantien" gemäß Artikel 28 fordern. Wenn Sie diese nicht liefern können, dann werden Sie Ihre Auftraggeber unwiderbringlich verlieren. Die Konkurrenz steht in den Startlöchern. Können Sie sich das leisten?
... dann hole ich mir einen Datenschutzbeauftragen für 50 € im Monat!
Sie sehen Handlungsbedarf für Ihr Unternehmen? Aber es soll nichts kosten?
- Im Internet gibt es dutzende Datenschutzbeauftragte für kleines Geld. Wo ist das Problem?
Auf den ersten Blick stimmt das. Aber wie ist es mit den versteckten Kosten? Möglicherweise kommt da ganz schnell eine böse Überraschung auf Sie zu. Überlegen Sie mal: Bei einem moderaten Experten-Stundensatz von 100 € sind hier gerade mal 30 Minuten monatlich zu erwarten. Das ist im Rahmen des BDSG vielleicht denkbar (wenn alle Prozesse soweit gestaltet sind)... aber bei einer derart umfassenden rechtlichen Änderung....?
Denken Sie an das Sprichwort: "Wer billig kauft, der kauft zweimal". Ein billiger aber ineffizienter Datenschutzbeauftragter kommt Sie später teuer zu stehen (siehe unten im Fazit). - Alle Datenschutzbeauftragte liefern doch die gleiche Leistung. Da nehme ich den Billigsten!
Aber ein Datenschutzbeauftragter ist doch kein Kochlöffel. Selbstverständlich gibt es riesengroße Unterschiede im Leistungsspektrum. Fragen Sie den potentiellen Dienstleister ganz ausdrücklich:
- Liefern Sie uns die Texte von DS-GVO und BDSG-neu in übersichtlicher Form, oder müssen wir uns durch irgendwelche PDF-Dokumente aus Brüssel und Berlin durcharbeiten?
- Können Sie uns alle (!) Pflichten von DS-GVO und BDSG-neu abschließend aufzählen? Genau das verlangt der Artikel 39 im Rahmen der "Unterrichtungs"-Pflicht des Datenschutzbeauftragten. Sollte der Kandidat hier herumdrucksen oder von "Prinzipien" und "Säulen" schwafeln, dann ist Vorsicht geboten. Sorry.
- Können Sie die Pflichten auch beratend begleiten? Erklären Sie den Sinn und den Hintergrund einer jeden Pflicht? Oder stellen Sie uns vor abstrakte Aufgaben und sagen: "Dann macht mal schön!".
- Gibt es ein abgeschlossenes Konzept, wie die ca. 50 Pflichten konkret erfüllt werden können? Gibt es einen Plan? Wurden Checklisten erarbeitet? Gibt es vorbereitete MS-Excel-Sheets? Je mehr der Datenschutzbeauftragte konkret vorbereitet hat, desto schneller kommen SIE ans Ziel. Das spart Zeit, Nerven und bares Geld.
Übrigens liefern wir genau dies mit unserem PrivazyPlan®. Sie werden staunen, wie transparent und beherrschbar die DS-GVO und das BDSG-neu plötzlich werden. Unsere 100-seitige Leseprobe wird Sie überzeugen. - Ein Datenschutzbeauftragter braucht keine umfassende Berufserfahrung. Jeder kann das!
Glauben Sie das? Meinen Sie, ein Programmierer kann "eben mal" eine Software zum Datenschutz bauen und ein bisschen Dienstleistung drumherum basteln? Wir haben viel "Software" gesehen; meistens handelt es sich um PDF- oder DOCX-Formulare, die das Unternehmen selbst ausfüllen muss. So etwas kann mächtig schief gehen.
In unserem Falle arbeiten alle Datenschutzbeauftragten mit dem bewährten Ansatz von DSB-MIT-SYSTEM®. Hier werden Formulare und Programme genutzt, die sich bei über 100 Kunden über viele Jahre bewährt haben und kontinuierlich weiter gepflegt werden. Beispielsweise das Praxishandbuch zum Datenschutz - der TOM-Guide® - wird von Herrn Vollmer seit Mai 2005 (!!!) monatlich aktualisiert und liefert allen betreuten Unternehmen praktisches Knowhow auf über 600 Seiten.
Und - last but not least - liefert Ihnen unser PrivazyPlan® den entscheidenden Turbo, um die ca. 50 Pflichten von DS-GVO und BDSG-neu zu erfüllen. - Na gut, dann suchen wir uns spontan einen Datenschutzbeauftragten, wenn's mal eng wird.
Das könnte problematisch werden. Die Fachkräfte zum Datenschutz (vielleicht sogar mit Berufserfahrung - siehe oben) sind nicht so zahlreich vorhanden. Je länger Sie zögern, desto schwieriger wird es sein noch einen externen Datenschutzbeauftragten zu finden. Ein seriöser Datenschutzbeauftragter kann nach unserem Verständnis nicht 200 Unternehmen betreuen - selbst wenn der Arbeitstag 20 Stunden hätte. Aus unserer Sicht (SecureDataService) ist es so, dass wir auch ohne DS-GVO voll ausgelastet sind; daher sind wir froh mit erfahrenen Lizenznehmern zusammenzuarbeiten, die (noch) freie Kapazitäten haben. - Dann machen wir es halt selbst. Zwei unserer besten Mitarbeiter schicken wir in eine gute Schulung.
Wenn's doch nur so einfach wär. Die besten Mitarbeiter haben sowieso keine Zeit, sondern sind optimal aus- oder überlastet. Außerdem haben wir selbst - und alle andere auch - die folgende Erfahrung gemacht: In eine Datenschutz-Fortbildung geht man mit 10 Fragen hinein... und man kommt mit 1000 Fragen wieder raus. Danach weiß man eigentlich nur, dass man nichts weiß. Es beginnt das wochenlange Lesen von Fachbüchern, bis man das ursprüngliche Selbstbewußtsein - natürlich auf höher Ebene - wiedererlangt hat. Wir sagen klipp und klar: Es ist ZU SPÄT, um jetzt im Dezember 2017 noch irgendwelche Schulungen zu buchen, wenn es darum geht einen Einsteiger fit zu machen. Die Techniker verzweifeln an der Jura, und die Juristen verzweifeln an der Technik. Uns ist keine Schulung bekannt, die die ca. 50 Pflichten der DS-GVO erklärt und konkret anleitet.
Fazit
Das waren die 20 typischen Irrtümer zum Datenschutz. Was lernen wir daraus?
- Blicken Sie der Wahrheit ins Auge.
Der Datenschutz lässt sich nicht leugnen oder wegdiskutieren. Niemand wird untentdeckt bleiben. Wer sich nicht vorbereitet, der geht ein unkalkulierbares Risiko ein. Stellen Sie sich dieser Herausforderung! - Suchen Sie sich einen Dienstleister
Ganz alleine und mit gesundem Menschenverstand werden Sie bis zum 25.05.2018 keine überzeugenden Ergebnisse liefern können. Alle Anstrengungen wären vergebens. Angesichts des Zeitdrucks brauchen Sie professionelle Hilfe. - Was zählt: Expertise, Effizienz und Erfahrung
Das sind die Punkte, auf dies es beim externen Dienstleister ankommt. Kann er Ihnen die DS-GVO verständlich machen? Hat er einen konkreten Plan vorbereitet, mit dem Sie schnell zum Ziel kommen? Bietet er Ihnen ein überzeugendes Gesamtkonzept oder nur ein loses Bündel an Einzelmaßnahmen? - Nehmen Sie Geld in die Hand
Datenschutz im Sinne der Compliance-orientierten DS-GVO ist nicht kostenlos zu haben. Der mit Abstand teuerste Posten ist die Arbeitszeit Ihrer hochqualifizierten Mitarbeiter, die sich intensiv kümmern müssen. So muss die IT ein Informations-Sicherheits-Managementsystem im Sinne des Artikel 32 erarbeiten. Die Personalabteilung und die anderen Fachabteilungen müssen jede einzelne Verarbeitung sorgsam in Hinblick auf ca. 40 Pflichten gestalten und dies gut dokumentieren.
Da fallen die Kosten für einen guten Datenschutzbeauftragten von beispielsweise 500 € monatlich kaum noch ins Gewicht; und wenn er die Effizienz Ihrer Mitarbeiter angemessen steigert, dann amortisiert er sich sofort. Außerdem werden Ihre kostbaren Mitarbeiter mental entlastet und schauen dem 25.05.2018 (einigermaßen) gelassen entgegen.
Sie möchten mit uns diesen Weg gehen, und unseren PrivazyPlan® in Ihrem Unternehmen anwenden? Dann lassen Sie uns darüber sprechen. Rufen Sie uns an unter 02432/934420-0.
Oder forden Sie eine Leseprobe an unter info@privazyplan.eu.