DSGVO am Bodensee – Fazit nach einem Jahr Datenschutzgrundverordnung
Seit über einem Jahr ist die DSGVO (europäische Datenschutzgrundverordnung) in Kraft getreten. Laut dem Gesetzgeber gab und gibt es keine Übergangsfrist da eine EU-Verordnung direkt in Kraft tritt.
Doch wie sieht die Realität aus? Als Datenschützer und IT-Berater mit Fokus auf die Bodenseeregion möchten wir hier kurz unsere Erfahrungen der vergangenen 18 Monate darlegen und analysieren.
Aller Anfang ist …. naja eine Willenssache
Wie bei jedem Vorhaben sind viele Firmen etwas skeptisch gewesen. Verständlicherweise denn auf den ersten Blick bringt die DSGVO nur eine Verkomplizierung bestehender Prozesse und das auch noch ohne einen echten Gegenwert!?! So oder ähnlich haben doch einige von uns betreuten Unternehmen gedacht als sie sich das erstemal über die neue Verordnung schlau gemacht haben.
Mittlerweile konnten wir jedoch klar die Vorteile herausarbeiten und diese in den Führungsebenen kommunizieren. Eine Verbesserung der Prozesse (nicht nur im Bereich Datenschutz), klarer Aufbau der geforderten Dokumentation, Anpassung der IT Strukturen und Richtlinien – alle Punkte stellen eine Optimierung der Abläufe hin zu mehr Effektivität und Rechtssicherheit dar. Auch die Angst vor unbewussten Datenschutzverstössen und Datenverlusten wurde durch klare Kommunikationsprozesse (Wer meldet was an wen, wann) der Schrecken genommen. Ein Imageschaden kann somit aktiv entgegengewirkt werden, so dass es erst gar nicht zu einem solchen kommen kann.
Dokumentieren, Dokumentieren, Dokumentieren
Viele unserer Klienten hatten bereits schon vor Jahren erste Anstrengungen in Sachen Datenschutz unternommen. Doch vieles wurde auch nicht zu Ende gebracht. Auch hier hat die DSGVO neuen Antrieb gegeben. Durch die Nachweispflichten und die hierdurch entstandene Dokumentationsaufgaben konnten bestehende Datenschutznachweise aktualisiert und erweitert werden. Wir konnten sogar den Eindruck gewinnen das viele Firmen „erleichtert“ über die Wiederaufnahme der Datenschutz Compliance waren. Das Thema hing schließlich schon viel zu lange wie ein Damokles Schwert über den Köpfen.
Nicht lang schnacken….
Sobald wir durch den ersten Auswahlprozess gekommen waren und die Aufgabe des Datenschutzbeauftragten übernehmen durften ging es auch schon los. Egal ob interne IT-Abteilung oder externer IT Dienstleister: alle sind direkt mit viel Elan (welcher sich bis heute gehalten hat) an die Sache rangegangen. Besonders der Bereich der technischen – organisatorischen Maßnahmen (TOM´s) wurde stets als Anlass genommen schon lange geplante Prozessanpassungen oder Neubeschaffungen (von Servern bis hin zu Sicherheitskomponenten) zu realisieren. Eine Argumentation gegenüber der Geschäftsleitung ist mit externer Unterstützung und handfesten Fakten übrigens erheblich leichter. Somit konnten bei allen Firmen die Sicherheit von Daten und auch der IT-Infrastrukturen an sich erheblich verbessert werden.
Marketingfaktor ?!?
Sollte man mit Datenschutz werben? Einerseits ist es eine Selbstverständlichkeit das Datenschutz vollumfänglich betrieben wird, andererseits ist dies nach wie vor ein Merkmal was nicht alle Firmen aufweisen können. Subtile Werbung und Hinweise das die Firma sich an die geltenden Datenschutzgesetze hält ist daher immer erlaubt und als positiv zu bewerten. Besondere Aussagekraft liegt immer noch darin den Datenschutz an einen Profi auszulagern – was immer sehr positiv aufgenommen worden ist. Zeigt dies doch klar den Stellenwert welchen ein Unternehmen dem Datenschutz einräumt.
Anfragen von Betroffenen
Tatsächlich können wir eine zunehmende Anzahl von Anfragen von Betroffenen festellen, welche Ihr Recht auf Löschung oder Auskunft bei den Verarbeitern ausüben. Die betreuten Firmen waren dementsprechend erleichtert diesen Auskunftsersuchen durch klar dokumentierte und kommunizierte Prozessen nachkommen zu können ohne die Antwortsfristen zu überschreiten. Besonders im Bereich Hotels konnten wir eine Vielzahl von Anfragen feststellen.
IT-Sicherheit
Da die DSGVO untrennbar auch mit der Forderung nach IT-Sicherheit / IT-Informationssicherheit einhergeht ist dies stets ein Punkt auf unserer To-Do Liste bei Kunden. Erfreulicherweise haben wir hier offene Türen vorgefunden. Die Geschäftsführungen waren sich stets der Gefahren von Cyberangriffen, Schadsoftware und Social Engineering bewusst. Dementsprechend schnell konnten wir die benötigten IT-Sicherheitsdokumentationen und Vorkehrungen nach BSI-Grundschutz in den Unternehmen etablieren.
Ausblick
„Jetzt haben wir schon soviel für den Datenschutz gemacht – reicht jetzt erstmal.“ Hören wir immer wieder das Statement 🙂
Die grundsätzliche Dokumentation ist erledigt, das Verfahrensverzeichnis ist geschrieben und die Risikoanalyse erledigt. Doch reicht das um den Datenschutz ruhen zu lassen? Die Antwort lautet „Leider Nein“ denn Datenschutz ist ein Unternehmensprozess nach dem PDCA Zyklus (Plan Do Check Act). Ein Prozess welcher stetig verbessert werden muss. Anpassungen, Reviews und interne Audits sind daher unumgänglich.
Ebenfalls steht noch die ePrivacy Verordnung aus. Geplant für 2019 scheint sich diese grundlegende EU-Verordnung nun doch auf 2020 zu verschieben. Ein wichtiger Bestandteil der DSGVO. Denn in der ePrivacy Verordnung werden verbindliche Vorschriften für den Umgang mit personenbezogenen Daten im Internet dargelegt.
Dennoch: die Entwicklung im Datenschutz kommt gut voran. Das ist eine gute Nachricht für uns alle – schließlich möchten wir das unsere personenbezogenen Daten, welche einen hohen Wert darstellen (warum sonst werden wir dauernd von Unternehmen danach gefragt) von Firmen weltweit mit der entsprechenden Sorgfalt behandelt werden.
Sie benötigen noch einen Datenschutzbeauftragten in der Bodenseeregion oder der Schweiz? Gerne können Sie die machCon Deutschland GmbH hierfür beauftragen. Ein Full-Service Beratungshaus in Engen am Bodensee.