Das Thema Datenschutz ist und bleibt aktuell. Zuletzt sorgte das aktuelle EuGH-Urteil zur Einwilligungspflicht von Cookie-Bannern für hitzige Diskussionen. Hinzu kommt die Ungewissheit was mit der anstehenden ePrivacy-Verordnung auf Website-Betreiber in Sachen neuer Regularien zum Datenschutz zukommen wird. Unternehmen müssen sich in diesen Zeiten also bestehenden und immer neuen Datenschutz-Herausforderungen stellen und sich intensiv mit diesem Thema auseinandersetzen.
Dabei ist es sinnvoll mit einem Experten zusammenzuarbeiten. Eine Möglichkeit kann das Hinzuziehen eines externen Datenschutzberaters bzw. Datenschutzbeauftragten sein, um gemeinsam die gesetzlichen und betrieblichen Anforderungen anzugehen und alles korrekt umzusetzen.
Doch welche Aufgaben fallen dabei an? Was muss man beachten, wenn man das Thema Datenschutz im eigenen Unternehmen angehen möchte und wie sieht die Zusammenarbeit mit einem Datenschutzbeauftragten aus?
Wir haben die Datenschutzbeauftragte Jasmin Lieffering, die mit ihrer Beratung lieffering ITCONSULTING (LITC) verschiedene Unternehmen dabei unterstützt das Thema Datenschutz zu implementieren, gebeten uns einen Einblick in ihre Tätigkeit zu geben. Seit 2019 kooperiert Lieffering zudem mit DAS Labor AG.
In ihrem Erfahrungsbericht zeigt die TÜV-zertifizierte Datenschutzbeauftragte (DSB), wie die Zusammenarbeit mit einem Unternehmen aussieht und welche Herausforderungen es anzugehen gilt.
Vorweg möchte ich eines klarstellen: Dies ist ein persönlicher Erfahrungsbericht aus meinem Arbeitsalltag als externe Datenschutzbeauftragte. Dieser Artikel beschreibt meine Wahrnehmung und ist nicht übertragbar auf andere Branchen oder andere Arbeitsweisen.
Situation in Unternehmen
Das wirklich Positive, was ich persönlich erlebe ist, dass viele Unternehmen sich Hilfe suchen. Es gibt auch die, die das Thema als wichtig ansehen und auch daran arbeiten wollen. Daran wachsen, weil Sie es nicht nur als Vorschrift sehen, sondern auch als Wettbewerbsvorteil. Hierbei liegt viel in der Kommunikation mit den Kunden und Interessenten.
Unsicherheit und andere Herausforderungen
In vielen Unternehmen herrscht jedoch noch immer eine große Unsicherheit bezüglich der Anforderungen des Datenschutzes an das eigene Unternehmen, die Mitarbeiter und Dienstleister.
Häufig wird der Datenschutz auch gerne nur als Papierberg gesehen. Sobald die wichtigsten Dokumentationspflichten erledigt sind, wandert der Fokus für viele Unternehmen wieder auf andere Themen. Gerade jetzt, kann das natürlich verheerende Folgen haben, denn im Moment werden viele Gerichtsentscheidungen gefällt und Bußgelder verhängt.
Aktuell beschäftigt viele Kunden das EuGH-Urteil zur Einwilligungspflicht bei Cookies. Hier ist wohl die größte Hürde, erst einmal herauszufinden, welche Cookies gesetzt werden und welchen Zweck diese überhaupt erfüllen. Häufig gehen Website-Betreiber bei der Auswahl der eingebundenen Tools und Auswertungsmöglichkeiten vor, wie Kinder in einem Süßwarenladen.
Sie wollen mehr zur Einwilligungspflicht bei Cookie-Nutzung wissen? Lesen Sie unsere Blogartikel “Nach EuGH-Urteil: Cookie-Banner müssen Consent abfragen”.
Das viele bunte Zeugs ist so verlockend und landet dann im Körbchen bzw. auf der Seite. Die Abwägung, ob das wirklich etwas bringt erfolgt meist gar nicht. Zumindest nicht, wenn man nichts dafür zahlen muss. Das ist kein Vorwurf, so sind wir Menschen nun mal. Hinter dem ganzen Tracking und Profiling steckt ja keine böse Absicht. Der Betreiber einer Website möchte eben das beste Angebot für seine Kunden und Interessenten machen. Dazu muss man diese eben verstehen. Das ist mir schon klar. Das ist die Sicht des Unternehmens.
Probleme aus Sicht betroffener Personen
Aus Sicht des Betroffenen, und das ist ja meine Aufgabe, diese Sicht einzunehmen und das Unternehmen dahingehend zu beraten, sieht das Ganze etwas anders aus. Leider wurde in der DSGVO das Thema Profiling umgangen, das findet sich dann in der ePrivacy wieder. Das Problem, das Tracking und Co. verursachen, ist, dass es gegen die Grundsätze einer rechtmäßigen Verarbeitung von personenbezogenen Daten verstößt bzw. dass es sehr schwer wird diese einzuhalten.
Ich möchte an dieser Stelle einmal kurz zeigen, anhand der Grundsätze, was zu Problemen führen kann:
- Rechtmäßigkeit, Verarbeitung nach Treue und Glauben, Transparenz: Meist ist den Website-Betreibern selbst nicht so ganz klar wie die Daten verarbeitet werden. Das macht es eigentlich unmöglich dann der betroffenen Person das in einem Banner oder einer Datenschutzerklärung nachvollziehbar zu machen.
- Zweckbindung: Also die Frage, wozu dieser Cookie dient. Hier wird meist nicht tief genug gegraben. Der Cookie muss einen festgelegten, eindeutigen und legitimen Zweck haben.
- Datenminimierung: Angemessen und auf das notwendige Maß beschränkt. Um ein Gefühl zu bekommen – wenn mehr Daten im Marketing gesammelt werden, als im Unternehmen anfallen durch das Produkt selbst, ist das nicht mehr so ganz angemessen. Denn ein Unternehmen verkauft ein Produkt oder eine Dienstleistung und nicht die eigene Website.
- Richtigkeit: Ob Daten richtig sind oder nicht, liegt bei den Anbietern der Cookies.
- Speicherbegrenzung: Daten, die über Cookies gesammelt werden, dürfen nur so gespeichert werden, dass die Identifizierung der betroffenen Person nur so lange möglich ist, wie es für den Zweck (siehe Punkt 2) erforderlich ist. Und hier kann man wunderbar diskutieren.
- Integrität und Vertraulichkeit: Klar ist, der Betreiber einer Website ist der Verantwortliche. Wenn irgendeine Datenpanne bei einem Tool erfolgt, hängt man unter Umständen mit drin. Eine gründliche Prüfung, was man sich da an Bord holt, ist einfach unerlässlich.
DSGVO-konforme Webanalyse
Identifizieren Sie die Customer Journey über alle Kanäle hinweg
Wie das Ganze sich jetzt im DACH-Raum weiter entwickeln wird, bleibt spannend. Ich denke, wir werden die nächsten drei bis vier Jahre noch viele Entscheidungen vom EuGH und nationalen Gerichten sehen, die dazu führen, dass man sein Geschäftsmodell deutlich flexibler halten muss.
Auch wenn zwar beim Start mit Datenschutz gesagt wird: “Das ist ein kontinuierlicher Verbesserungsprozess”, kommt irgendwann doch die Frage: “Wann sind wir fertig?”.
Datenschutz ist ein Prozess
Ähnlich wie die Themen Compliance und Qualitätsmanagement, ist das Thema Datenschutz zu sehen. Wirklich fertig ist man nie. Der Anfang ist meist ein Kraftakt für alle Beteiligten. Gerade deswegen ist es wichtig, Datenschutz nicht als etwas Nutzloses und Ressourcenfressendes zu sehen, sondern Prozesse dahinter zu erschaffen und die Wirkung auf Betroffene, also Kunden, Interessenten und Mitarbeiter, nicht zu unterschätzen.
Mir fällt immer wieder auf, dass Datenschutz fast immer nur negativ gesehen wird, der Innovations-Verhinderer, der Papiertiger, etc. Es wird viel geschimpft und dann kommt natürlich das Argument warum sollen wir das machen, wenn die Großen das auch nicht tun? Meine Antwort darauf?
Will man reagieren oder agieren? Will man in Zukunft das Vertrauen seiner Kunden verlieren oder nicht? Oder ganz profan, kann man sich die Bußgelder leisten oder ist dann Ende?
Das klingt hart, ist es auch. Und ganz ehrlich, ich kann es nicht mehr hören. Statt zu schimpfen und zu meckern, wäre es kein Innovations-Verhinderer, wenn man im Datenschutz nach Lösungen sucht und sich nicht ewig mit dem Problem beschäftigt. Da kann ein Datenschutzbeauftragter übrigens auch etwas beisteuern.
Wie läuft die Arbeit mit einem Unternehmen ab?
Für viele Unternehmen ist es wichtig den Garten schön zu haben, also die Website und Social-Media-Kanäle. Danach steht das Verzeichnis der Verarbeitungs-Tätigkeiten auf der Agenda und dann werden noch die Dienstleister auf Datenschutzkonformität geprüft. Das ist so was sich die Geschäftsführung meistens vorgenommen hat.
Die Realität sieht natürlich immer etwas anders aus. Ich nehme nur noch Mandate an, bei denen auf jeden Fall ein Termin vor Ort im Unternehmen stattfindet. Dieser Termin hat mehrere Funktionen und kann sich auch über mehrere Tage ziehen, je nach Größe des Unternehmens und Komplexität des Geschäftsmodells.
Vom Kennenlernen zum Konzept
Eine Funktion ist das Kennenlernen. Das Kennenlernen der Geschäftsführung, ihrer Ziele und Erwartungen, der Führungskräfte und Mitarbeiter der einzelnen Abteilungen. Mir ist wichtig, dass bei diesem Kennenlernen Ängste abgebaut werden und allen bewusst wird, dass immer ein Weg der Kommunikation zu mir offen ist, ob das nun per E-Mail oder über ein Telefonat ist.
Der Grund dafür ist simpel, ich muss auch als Externe wissen, was für Leichen im Keller schlummern. Es muss also ein sehr gutes Vertrauensverhältnis aufgebaut werden.
Wenn ich schon mal vor Ort bin, dann mache ich auch gleich das Audit mit. Hierbei geht es darum, die technischen und organisatorischen Maßnahmen (TOM), die ein Unternehmen schon hat, aufzunehmen und später anhand einer Analyse der Datenkategorien zu bewerten, ob diese TOM’s ausreichend sind und wo wir dann bei den Datenkategorien sind.
An dieser Stelle nehme ich auch die Prozesse im Unternehmen auf. Das erfolgt meist ohne Geschäftsführung mit den einzelnen Mitarbeitern. Ich frage bei diesem Termin auch nach bereits vorhandener Dokumentation und schaue mir diese ebenfalls an. Am Ende erfolgt eine erste Einschätzung und natürlich gibt es dann auch zeitnah einen Bericht und konkrete Konzepte.
Die Umsetzung hängt vom Stellenwert des Datenschutzes ab
Im weiteren Verlauf der Zusammenarbeit findet sich meist ein Team zusammen, dass in einzelnen Bereichen die Umsetzung des Datenschutzes weiter vorantreibt. Wie gut die Zusammenarbeit tatsächlich klappt, hängt vor allem damit zusammen, welchen Stellenwert der Datenschutz für die Geschäftsführung hat. Das ist eigentlich wie in jedem Projekt.
Echter Datenschutz und Sicherheit mit der Piwik PRO Analytics Suite
Erfahren Sie wie der Internet-Provider XS4ALL seinen Kunden zu mehr Datensicherheit verhelfen konnte.
Zur Fallstudie
Nach ein paar Monaten hat sich meist alles gefunden und der größte Batzen an Dokumentation ist erledigt. Ab hier startet dann die eigentliche Betreuungsphase. In dieser Phase unterscheiden sich dann auch die einzelnen Branchen sehr.
Datenschutz als Chance: Im Interview mit uns spricht auch Rechtsexpertin Dr. Karolin Nelles über Möglichkeiten das Thema Datenschutz als Wettbewerbsvorteil zu verstehen.
Unterschiede in den Branchen
In der Werbebranche ist es zumeist ziemlich ruhig, bis dann ein Gerichtsurteil gefällt wird oder die Aufsichtsbehörden etwas veröffentlichen. Da kann man die Uhr nach stellen. Sobald sich hier etwas tut, läuft das Postfach über. Hier geht es darum, dem Mandanten zu erklären, was genau das jetzt für sein Geschäftsmodell oder seine Kunden bedeutet.
In der IT-Branche bin ich viel mehr in einzelne Projekte involviert. Einige meiner Mandanten haben auch schon entdeckt, dass es von Vorteil sein kann, den Datenschutzbeauftragten schon bei der Anforderungsevaluierung mit einzubeziehen und nicht erst am Ende, wenn der Auftraggeber anfängt Fragen zu stellen. Hier sind Themen, die immer wieder auftauchen, Umsetzung von Privacy by Design, interne Richtlinien und das Prüfen von Tools.
Die anderen Mandanten, die ich betreue, kommen oftmals aus einem Beratungssektor. Ob das nun Personal, Bau oder Business ist, nach der anfänglichen Euphorie geht es in der Betreuungsphase meist eher darum, regelmäßig zu informieren und zu kontrollieren. Denn ganz leicht wird hier ein neuer Geschäftsbereich eröffnet, neue Verarbeitungs-Tätigkeiten aufgenommen und dann ganz vergessen, dies dem Datenschutzbeauftragten auch mitzuteilen.
100 % Datenbesitz, Kontrolle & Sicherheit
Steigen Sie ein ins Data Driven Marketing und testen Sie Piwik PRO Analytics
Was macht eine gute Zusammenarbeit aus und welche Probleme können auftauchen?
Generell ist es wichtig, seinem Datenschutzbeauftragten oder Berater, den man sich dann für ein Projekt holt, zu vertrauen. Das ist mit das Wichtigste: Vertrauen. Also beide Seiten, Mandant und Beauftragter/Berater, müssen immer ehrlich und transparent miteinander kommunizieren.
Beide Seiten müssen wissen, dass sie nicht gegenüber dem Anderen weisungsberechtigt sind. Der Mandant kann mir nicht sagen was ich tun muss oder lassen soll und ich kann meinem Mandanten nur Vorschläge machen, ob er sie nun umsetzt oder nicht, liegt nicht in meinem Einflussbereich.
Hier arbeite ich auch gerne mit einer Ampel.
- Grün = alles ok
- Gelb = naja nicht soooo ganz ok aus meiner Sicht
- Rot = geht mal gar nicht
Aber auch das ist und bleibt letztlich eine kaufmännische Entscheidung und hat mit der Risikofreudigkeit des Mandanten zu tun.
Eine enge und gute Kommunikation als Basis
Im Idealfall hat der Mandant das Gefühl, ich würde nur einen Raum weiter sitzen.
Das größte Problem, das auftauchen kann, ist fehlende Kommunikation. Also wenn zwischen dem Mandanten und dem Datenschutzbeauftragten keine Kommunikation mehr stattfindet.
Dann folgt daraus schnell, dass der Mandant sich nicht mehr optimal betreut fühlt. Deswegen gehe ich auch proaktiv auf den Mandanten zu und frage einmal im Monat nach, wie es denn aussieht oder was aktuell ansteht.
Eine gute Zusammenarbeit kann nur gelingen, wenn beide Parteien ihre Erwartungen an die Betreuung kommunizieren. Ich will ja schließlich nicht den Betrieb lahmlegen, sondern den Unternehmen mit Struktur und modularen Bewertungssystemen zur Seite stehen, auch wenn ich natürlich durch die Brille des Betroffenen schaue.
Manchmal ist mein Einsatz eben auch zwischen Unternehmen gefragt. Die Kunden meiner Mandanten sind häufig branchenfremd oder haben ein anderes Rechtsverständnis und da kann es schon mal zu Missverständnissen kommen. Gerade mit Kunden aus den USA ist es manchmal schwer für meine Mandanten die richtigen Worte zu finden oder sich auch abzugrenzen.
Fazit
Datenschutz ist ein fortwährender Prozess, der nicht mit ein paar Maßnahmen abgeschlossen ist. Das zeigt Jasmin Liefferings Bericht ganz klar. Grundsätzlich sollte man das Thema Datenschutz nach den ersten Schritten und den ersten Umsetzungen nicht wieder in den Hintergrund befördern. Ganz im Gegenteil: Man muss das Thema konstant im Auge behalten und sich mit neuen Entwicklungen und Regularien seitens des Gesetzgebers befassen oder dies durch eine enge Zusammenarbeit in die Hände seines Datenschutzbeauftragten legen.
Zudem ist eine offene Kommunikation in der gemeinsamen Arbeit von unschätzbarem Wert, denn nur so lassen sich die Projekte rund um den Datenschutz mit all ihren Tücken meistern. Sie sollten das Thema für Ihr Unternehmen also keinesfalls auf die leichte Schulter nehmen, sonders es gezielt mit der entsprechenden fachlichen Unterstützung angehen und als stetigen Prozess begreifen.
100 % Datenbesitz, Kontrolle & Sicherheit
Steigen Sie ein ins Data Driven Marketing und testen Sie Piwik PRO Analytics