Die Anpassungen im Datenschutz gelassen meistern (Praxiserfahrungen)

 

In dieser Woche habe ich im Hinblick auf die kommenden Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ein Datenschutzkonzept für meine Arbeit erstellt.

Wissen Sie was das schwierigste dabei war? Der Start!

Entgegen den Empfehlungen aus Fortbildungen, die ich zum Thema DSGVO absolviert hatte, habe ich mich nicht nur auf die Rechts-Absicherung konzentriert, sondern mich in den Kern der Sache eingearbeitet. Nun ja, der Datenschutz ist ja bereits ein stetes Thema in der Dokumentation von Daten, aber der Umgang mit Information hat sich durch das Internet wesentlich geändert. Und nach meiner Auffassung reicht es eben nicht, im Hinblick auf die kommenden Sanktionen einfach nur die  Datenschutzerklärung auf den Webseiten zu aktualisieren. 

Hier meine Erfahrungen:

das EU-Datenschutzgrundverordnung (DSGVO) nimmt die Verantwortung von Unternehmen im Umgang mit personenbezogenen Daten strenger in die Pflicht.
Neu ist die Definition dieser Daten. Neben den persönlichen Stammdaten kommen nun die Daten hinzu, welche die Identifizierung einer Person zulassen, z.B. Standortdaten, IP-Adresse, Cookies, Pseudo-Logins u.a.   

Diesen erweiterten Datensatz gilt es im Unternehmen in den Fokus zu nehmen. Durch den Bereich der Webentwicklung wird schnell klar, warum es diese EU-Regelungen gibt. Bei all zu zügiger Inanspruchnahme neuer Funktionalitäten im Umgang mit Information (Apps, Web-Helferleins, usw.), fehlt es oft am Blick, wie diese Daten gespeichert und weitergenutzt werden. (Und ich nehmen es gleich voraus - in der Webentwicklung ist für mich der Verzicht auf Google und Facebook keine Alternative - dazu sind uns diese Unternehmen in dieser Zeit in der Informationsvernetzung noch viel zu weit voraus).

Es geht also darum sich ein Bild zu machen, wie die Daten im eigenen Unternehmen verarbeitet werden. Diesen Blickwinkel sind wir gewohnt und es erscheint leicht machbar. Schwieriger wird es erst, wenn ich mich auf die Unternehmen konzentriere, die ich für die Weiterverarbeitung meiner personenbezogenen Daten als 'verlängerten Arm' beauftrage, z.B. Google-Analytics für die Nutzeranalyse von Webseiten, Microsoft Cloud-Speicherung, Marketing-Newsletter-Kampagne über einen Anbieter in den USA oder z.B. Wartungsfirmen, welche die Möglichkeit eines personenbezogenen Zugriffs haben.  

Diese Unternehmen gilt es im Hinblick auf die DSGVO nach Unternehmenssitz (EU/außer EU) zu unterteilen und entsprechende Regelungen zu treffen. Es geht darum sich ein Bild zu machen, wie die weiterverarbeitenden Unternehmen mit unserer Einordnung des Datenschutzes umgehen. Bei meinen Recherchen sind hier viele Unternehmen noch aktuell in der Klärung.

Im Gegenzug muss ich mir unternehmerisch auch darüber klar werden, für wen ich über meine Dienstleistungen personenbezogene Daten verarbeite und welche Absprache es mit meinen Auftraggebern bedarf, z.B. in Form eines Vertrags für Auftragsdatenverarbeitung.   

Soviel zum grundrechtlichen Verständnis. 

Viel wichtiger ist es allerdings, den eigenen Umgang mit personenbezogenen Informationen und Daten einmal zu durchleuchten, transparent abzubilden und ggf. auf das Wesentliche einzuschränken. Mit etwas Disziplin kann hier schon viel erreicht werden.

Diese Maßnahmen gilt es zu protokollieren. Damit kann aufgezeigt und ggf. belegt werden, was zum Thema Datenschutz erfolgt (Auskunftspflicht). Dazu gehören z.B. die Informationspflichten zur Datenspeicherung und zur Einflussnahme des Nutzers sowie die technischen Anpassungen (u.a. Datenschutzerklärung, Verschlüsselung von Daten, Hinweis auf Cookies usw. ).
Beim Umsatz dieser Aktionen wird schnell klar, dass die Maßnahmen für Digitalisierung und Datenschutz strikt miteinander daher gehen. Das macht den Datenschutz zum begleitenden Prozess im Unternehmen, den es stetig zu reflektieren gilt.

Mein Resümee: die Auseinandersetzung mit der neuen Datenschutzverordnung war differenziert und hat viel Zeit gekostet, da bin ich ehrlich. Weiter gebracht hat es mein Grundverständnis für Datenschutz. Das Thema, bisher ein internes Thema in einem geschlossenen Unternehmenssystem, bricht durch die Entwicklung des Internets auf und umfasst zunehmend den offenen und ungeschützten Umgang mit Daten im Netz. Für diesen Zwiespalt in der Digitalisierung gilt es im Unternehmen Kompromisse zu finden. Zudem lässt mich der Einblick in den weltweiten Datenmarkt nun z.B. Google viel vorurteilsfreier sehen. Diese Vorreiter sehe ich auch im Thema Datenschutz mächtig und überraschenderweise sehr transparent in Bewegung.

Last but not least geht es auch bei der DSGVO-Verordnung um Souveränität im Umgang mit Informationen im weltweiten Informationsnetz. In dieser Zeit ein wichtiger Hebel für jedes Unternehmen.  

 

Dokumentation & Information
Ellen Langenstein
Mühlacker
21.04.18