Leitthema Heft 2018-1

DS-GVO | Individualität statt Pauschalität

Datenschutz ist unter dem aktuellen BDSG und auch unter der künftigen DS-GVO, begleitet von dem BDSG-neu und der geplanten ePrivacy-Verordnung, vor allem eines: Individuell auf das Unternehmen oder die Einrichtung und die vorhandenen Prozesse und Arbeitsabläufe anzupassen. Wie ein Maßanzug soll das Datenschutzmanagement den gesamten Betrieb mit allen Prozessen und Verfahren optimal passend abdecken und, wie das Nervensystem in einem Körper, alle Bereiche und Abteilungen erreichen.



Zunehmend ist die Rede der knappen, noch verbleibenden Zeit bis zum Stichtag der DS-GVO im Mai. Ein Stichtag, an dem auch die Neufassung des Bundesdatenschutzgesetzes (BDSG) in Kraft tritt. Doch immerhin sind es positiv gesehen noch einige Wochen, die gerade für Kleinst- und Kleinunternehmen noch eine ausreichende Zeitspanne für die Umsetzung einer passenden Datenschutzorganisation darstellt. Dabei gilt allerdings, wie so oft bei umfangreichen und komplexen Themen und Projekten, je eher begonnen wird, desto entspannter können die notwendigen Aufgaben in Angriff genommen und erledigt werden. Dabei gilt: „Individualität statt Pauschalität“.



Standardvorlagen sind unpassend

Datenschutz ist weniger von der Komplexität der unterschiedlichen Verordnungen, als viel mehr von der nötigen Individualität geprägt. Die komplexen und herausfordernden Prozesse eines Unternehmens bei der Datenverarbeitung sind so individuell, wie die Unternehmen selbst. Passende Musterschablonen für die Umsetzung zu finden ist nahezu aussichtslos. Mustertexte, Ratgeber und Checklisten können in der Mehrheit daher lediglich eine Tendenz und Richtung aufzeigen, in welche der bevorstehende Arbeitsaufwand läuft oder welche Kriterien zu berücksichtigen sind. Ein schlüsselfertiges System ist hiermit noch nicht geschaffen.



Muster als Orientierungshilfe

Doch Stopp: Bevor nun alle Dokumente im (digitalen) Papierkorb landen – die pauschal gehaltenen Ratgeber, Checklisten und Fragebögen haben auch einen echten Mehrwert, der nicht zu unterschätzen ist. Wahrheitsgemäß ausgefüllte Checklisten und Fragebögen können ein informatives Bild des Unternehmens liefern, wo es im Verhältnis zum Datenschutz steht. Welche Themen und Vorschriften sind wirklich relevant? Wie steht das Unternehmen aktuell unter dem BDSG dar? Wo gibt es noch Handlungsbedarf zur DS-GVO | BDSG-neu und welche Themen sind bereits in Arbeit? Ein guter Fragebogen gibt über diese und weitere Fragestellungen Aufschluss. Einschränkend gesehen, ist hiermit natürlich noch keine fertige Datenschutzorganisation geschaffen. Jedoch gelingt es hierdurch, Lücken zu erkennen und die notwendigen Arbeitsschritte zu identifizieren und zu planen.



Behörden als Anlaufstelle

Für praxisnahe Ratgeber und Orientierungsbroschüren empfiehlt es sich, die Websites der entsprechenden Aufsichtsbehörden zu besuchen. Themenbezogen werden die wichtigsten Elemente auf wenigen Seiten verständlich beschrieben und kompakt zusammengefasst. Zudem halten einige Behörden Musterformulierungen und Textbausteine für datenschutzrelevante Verträge und Vereinbarungen parat. Ferner lohnt sich ein regelmäßiger Blick in die veröffentlichten Tätigkeitsberichte der einzelnen Aufsichtsbehörden. Konkrete Beschwerden oder Prüfergebnisse werden skizziert und die datenschutzrechtlichen Verstöße mit Hinweisen für eine konforme Umsetzung erläutert. Eine gelungene und kostenfreie Informationsquelle für Verantwortliche und Interessierte, die im Zuge der DS-GVO zur Pflichtlektüre werden sollte. Gerade die ersten Berichte zum diesjährigen Jahreswechsel werden aller Voraussicht nach wertvolle Informationen und Stellungnahmen der Behörden über die Auslegung und Herangehensweise zu noch ungeklärten und diskutierten Umsetzungs- und Interpretationsfragen enthalten.



Kostenoptimierung durch Passgenauigkeit

Neben den gelobten und hoffentlich eintretenden Vorteilen der Datenschutzbestimmungen, muss auch Farbe bekannt werden. Die Umsetzung und Implementierung eines umfassenden Systems ist zeit- und auch kostenaufwendig. Je weniger in den letzten Jahren im Bereich Datenschutz geleistet wurde, desto höher werden die Kosten für eine umzusetzende und ganzheitliche Organisation. Ausbleibende Investitionen können, anders als bisher, zukünftig doppelt teuer werden. Zum einen sind festgestellte Mängel innerhalb einer vorgegebenen Frist abzustellen, zum anderen können durch die neuen Bußgeldrahmen verschärftere Sanktionen verhängt werden. Um bei all den gesetzlichen Anforderungen und Verpflichtungen eine überschaubare Budgetplanung realisieren zu können, sollte die Datenschutzorganisation so optimal und individuell angepasst ausfallen wie möglich. Werden für die eigene Organisation nur die relevanten Elemente der Bestimmungen umgesetzt, entfallen unnötige Kosten für die Implementierung und Pflege von nicht benötigten Bausteinen, die unter Umständen in fertigen (Software)Modulen oder Handbüchern definiert wurden.



Die Pflege nicht vergessen

Durch die Strategie der Individualität ist die kontinuierliche Pflege der Systeme und der Organisation entscheidend. Werden (Software)Module oder Handbücher genutzt, können Updates oder Nachträge nicht automatisch die sich ergebenden Veränderungen für die individuell gestaltete Datenschutzorganisation abdecken. Speziell in der Anlaufphase der DS-GVO, die ersten Monate nach dem Stichtag, können veränderte Grundlagen und Auslegungsentscheidungen zu kontinuierlichen Anpassungen führen. Für eine optimale Organisation und schnelle Reaktionen auf Veränderungen, werden bereits im Vorfeld personelle und finanzielle Ressourcen für die Systempflege eingeplant. Idealerweise sind diese Ressourcen auch in einem Haushaltsplan für 2019 noch berücksichtigt.