Noch 3 Tage ... Letztstand zur DSGVO: Panikmache, Körberlgeld und Prozessverantwortung

Nun sind es nur mehr 3 Tage bis die DSGVO (Datenschutzgrundverordnung) nicht in Kraft tritt, sondern bis die Übergangsfrist von 2 Jahren endet. Per 25. Mai 2018 hatten also alle Unternehmen, Öffentliche Stellen, Vereine und sonstige Verarbeiter personenbezogener Daten außer Privatpersonen 2 Jahre Zeit, um sich entsprechend auf die Pflichten und die Verantwortung hinsichtlich Datenschutz und Datensicherheit vorzubereiten. In diesem Blogpost geht es nicht um die x-te Checkliste, die beste App oder "DSGVO for dummies" - unser Datenschutzteam beschäftigt sich seit 1,5 Jahren intensiv mit dem Thema der Umsetzung in der Praxis. Und wir können aus der Praxis berichten: Es wird so richtig spannend für uns alle ... oder?

Warum ist die DSGVO so wichtig?

Die Welt wird immer digitaler. Doch wir als Bürger kommen mit der Geschwindigkeit der modernen vereinfachten Kommunikation auch in eine Abhängigkeit von Datenkonzernen wie Facebook, Google, Amazon und Co. Um die europäischen Bürger zu schützen, wurden per 24. Mai 2016 die Datenschutzgesetze in Europa vereinheitlicht. Einerseits um die EU-Bürger vor einer ausufernden Datendiktatur zu schützen, andererseits um endlich zu erreichen, dass Datenschutzgesetze ernst genommen werden. Das wird nun per 25. Mai 2018 durch die hohen Strafen, die oft zitierten 20 Millionen oder 4% Jahreskonzernumsatz, und entsprechende Härte erreicht.

"trend"-Titel zur DSGVO: Das Monster kommt
"trend"-Titel zur DSGVO: Das Monster kommt

Und alle haben es unterschätzt. Beteiligungsunternehmen, die sich auf die Konzernmutter verlassen, Gemeinden, die sich auf die Landesregierung verlassen, und Firmen, die sich darauf verlassen, dass das "eh wieder nur sowas" ist wie die Registrierkassenpflicht oder die Allergenverordnung - und daher warten wir einfach mal ab, was passiert. Doch hier sind sich alle Experten einig. Nichts zu tun ist das einzige DSGVO-NO-GO. Ich habe letztes Jahr DSGVO-Experte Prof. Pollirer dazu interviewt.

Die DSGVO ist deswegen so wichtig, weil sie unseren Lebensraum Europa mit der digitalen Welt rechtlich verbindet, um in der Zukunft als Konsument nicht von den Launen eines Datenkonzerns abhängig zu sein. Glauben Sie mir, es ist wichtiger als sich die meisten Menschen vorstellen können.

Es ist aber eben nicht das Monster, das z.B. der "trend" so reißerisch getitelt hat. Es ist eine Chance für uns alle den Datenschutz in den Griff zu bekommen.

Das DSGVO-Trio

Einer muss bezahlen - im schlimmsten Fall. Doch was in jedem Fall per 25. Mai jedem Organisationsverantwortlichen auf Leitungsebene bewusst sein muss: Die Verantwortung liegt bei Ihnen. Es ist nicht der IT-Admin, weil er sich damit (und mit allem, bei dem irgendwo Strom und Internet drinnen ist) auskennt. Es ist nicht der Datenschutzbeauftragte, weil er ja mit der Behörde kommuniziert und dazu berät. Es ist auch nicht die Rechtsabteilung, ein Softwarehersteller oder ein Clouddienstanbieter. Der Chef macht's persönlich - und sollte es ernst nehmen, sonst trifft ihn auch die Haftung.

Jeder hat seine Aufgaben zu erledigen. Manche haben das schon erledigt, manche haben noch einiges zu tun. Der Chef muss sich als Teil eines Trios sehen, das er verantwortet und leitet. Neben ihm als Verantwortlichen sind auch noch der IT-Leiter und der Datenschutzberater Teil davon.

Das DSGVO-Trio sollte sich jedenfalls nicht so verhalten: Geschäftsführer, IT-Admin und Datenschutzberater
Das DSGVO-Trio sollte sich jedenfalls nicht so verhalten: Geschäftsführer, IT-Admin und Datenschutzberater

Der IT-Leiter, der bei kleinen Unternehmen meist der externe IT-Betreuer oder vielleicht sogar der Chef selbst ist, z.B. bei einem EPU (Ein-Personen-Unternehmen) muss die IT-Sicherheit angemessen sicherstellen. Er sollte sich an der ISO27001 und am BSI-Grundschutz orientieren. Es bedeutet nicht, dass man knappe 6.000 Seiten an IT-Praxis durchackert. Es geht nur darum, sich einen Rahmen zurecht zu legen, um nichts zu vergessen.

Der Datenschutzberater kann ein Datenschutzbeauftragter sein, der jedoch der Behörde zu melden ist. Wir empfehlen die Bestellung eines Datenschutzkoordinators, der die Aufgaben laut DSGVO Art. 39 ebenso durchführt und bei Bedarf auf den Titel Datenschutzbeauftragter umgestellt werden kann. Wir bieten diese Leistung als externer Datenschutzbeauftragter bzw. Datenschutzkoordinator aktuell mit 3 zertifizierten Consultants an und unterstützen Sie gerne. Hier können wir nur aus der traurigen Praxis berichten, wenn manche Juristen sich als IT-Profis versuchen. Es gibt auch juristische Partner (gerne geben wir eine Empfehlung ab), die sich ganzheitlich mit den Anforderungen des Kunden beschäftigen statt Prozesse rechtlich zu zersetzen. Es geht um die praktikable Umsetzung der DSGVO mit rechtlicher Absicherung und nicht um juristische Bürokratie statt DSGVO-Praxis.

Aber hier sieht man schon, es ist nicht einfach für Unternehmer den wichtigen ersten Schritt zu setzen. Wir machen dazu eine kostenlose Erstberatung, damit wir bei einem Telefonat gemeinsam abschätzen können, ob ein Einstiegsworkshop ausreicht, eine direkte Beratung gemeinsam mit dem IT-Betreuer, oder das Einfordern von einer übergeordneten Stelle besser wäre.

VdV oder Dokumentation gewinnt

Es hat sich schon längst herumgesprochen, dass man ein Verzeichnis der Verarbeitungstätigkeiten (VdV) benötigt. Und ja, man sollte Vereinbarungen mit Mitarbeitern, Kunden und Lieferanten überarbeiten. Doch bitte keine Panik. Es geht um nachweisbare Dokumentation von Prozessen zur Verarbeitung von personenbezogenen Daten. Und das wird neben einem Dienstvertrag, einem Auftrag des Kunden, der Einwilligung für Newsletter - in einfacher und verständlicher Form - und den Verträgen mit Auftragsverarbeitern ein VdV.

Im VdV steht der Verantwortliche für eine Verarbeitung. Außerdem stehen die Rechtsgrundlage, Empfänger, Datensicherheitsmaßnahmen und vieles mehr drinnen. Wir haben selbst eine Lösung, mit der man die Prozesse hinter der DSGVO leichter umsetzen kann, geschaffen. Doch bitte glaubt nicht an eine Wunder-App um € 9,90 mit der man alles erledigen kann.

Es geht darum, den Datenschutz lebbar zu machen, und nicht einen Haken darunter zu machen und einen Jahresbericht abzulegen. Es ist keine ISO-Zertifizierung, die man sich als goldene Plakette an die Wand hängt, von der im Unternehmen keiner außer dem Chef etwas weiß.

Wenn man noch nicht alles erledigt hat, also jegliche Anwendungen und Prozesse auf die Prinzipien der DSGVO hin zu durchleuchten, dann wird im VdV eben „in Planung“ oder „in Arbeit“ geschrieben und entsprechende Maßnahmen geplant, budgetiert und gesetzt. Aber die Verhältnismäßigkeit bedeutet nicht, dass man nichts macht, weil man sich nichts leisten kann. Wenn man sich bemüht und mit einer einfachstmöglichen Excelvorlage sein VdV startet, dann kostet das eben ein bisserl Zeit und Nerven. So eine Vorlage für's VdV und weitere Vorlagen für ADV, die Einwilligung für Newsletter, Bildaufnahmen, Zusätze für Dienstverträge und deren Anwendung in der Praxis klären wir morgen oder übermorgen mit unseren Workshopteilnehmern.

Jeder muss seine DSGVO-Hausaufgaben machen. Denn, wenn eine Prüfung ins Haus steht, dann muss man entsprechend reagieren.
Jeder muss seine DSGVO-Hausaufgaben machen. Denn, wenn eine Prüfung ins Haus steht, dann muss man entsprechend reagieren.

Der ADV (Auftragsdatenverarbeitungsvertrag laut Art. 28 DSGVO) muss mit Datenverarbeitern abgeschlossen werden, mit denen man Leistungen rund um personenbezogene Daten outsourct, die man selber nicht machen kann oder will. Ich war mit ca. 150 Juristen vor ein paar Wochen in Wien bei der Datenschutztagung der Manz Rechtsakademie. Aus aktueller Sicht ist bei vielen Branchenvertretern immer noch nicht klar, was sie Mitgliedern empfehlen sollen. Da wird von Steuerberatern gesprochen, die keinen ADV brauchen, weil es BMD ihnen so gesagt hat. Bei den IT-Dienstleistern kursieren Gerüchte, dass man vielleicht auch keinen ADV braucht. Ehrlich gesagt, wenn man personenbezogene Daten laufend im Auftrag eines Kunden verarbeitet, wird man einen ADV abschließen müssen. Sonst wäre die DSGVO hier eine Verschlechterung des Datenschutzstatus. Aber wie heißt es so schön: Es wird Präzedenzfälle geben - dann wissen wir was rechtens ist.

Bis dahin sollte jeder seine wichtigsten Hausaufgaben aber schon längst erledigt haben. Also, angehen, abhaken und dokumentieren, wenn es umsetzbar und notwendig laut DSGVO ist. Und angehen und den Status dokumentieren, wenn es nicht sinnvoll oder machbar ist.

Software in der Warteschlange

Doch was passiert mit Software, die nicht sicher ist? Was passiert mit WhatsApp, Mailchimp, Dropbox, Facebook-Messenger oder alte Software ohne Wartung?

Natürlich werden alle Hersteller versichern, dass sie Datenschutz als höchstes Gut des Kunden sehen, sehr ernst nehmen und alle Daten sicher verarbeiten. Tja, es ist teilweise nicht so einfach. Bei Mailchimp, einer Newslettersoftware, werden Daten außerhalb der EU verarbeitet, daher muss auf diese Verarbeitung der Daten durch Dritte hingewiesen werden - und ein ADV abgeschlossen werden, was unabhängig vom Serverstandort ist. Marketing- und Newsletter-Dienstleistungen sollte man sich genau ansehen. Unser Team von der Lösungsagentur.at beschäftigt sich schon lange damit, ein datenschutzkonformes Digital Marketing für Kunden anzubieten. Auch hier ist wichtig, sich Datenströme anzusehen, zu dokumentieren und entsprechend zu handeln.

Viele Apps sind in den letzten Monaten programmiert worden, um Datenschutzprozesse hinsichtlich DSGVO zu vereinfachen. Dabei gab es viele, die sich mit langfristigen Verträgen und Nutzung pro User ein nettes Körberlgeld verdienen wollten. Doch als Erkenntnis können wir berichten, dass es oft sinnvoll ist mit den vorhandenen Produkten zu arbeiten, da die Themen rund um den Datenschutz in die Unternehmenskultur integriert werden müssen, damit sie funktionieren. Wir haben daher Methoden aus der Praxis weiterentwickelt, die Datenschutz lebbar machen - und darum geht es in der DSGVO eigentlich.

WhatsApp übermittelt ungefragt alle Kontakte vom Handy an Dritte und ist daher ein No-Go - und kann im schlimmsten Fall teuer werden.
WhatsApp übermittelt ungefragt alle Kontakte vom Handy an Dritte und ist daher ein No-Go - und kann im schlimmsten Fall teuer werden.

Was passiert mit WhatsApp? Der Messenger gleicht Kontakte mit dem Adressbuch ab und macht die App so einfach super praktisch. Leider werden die Kontakte automatisch an Dritte, also außerhalb der EU, weitergeleitet, was den meisten Usern nicht bewusst ist. Für Firmen wird es dabei gefährlich und kann laut Medienberichten teuer werden. Man könnte sagen: Wo kein Kläger, da kein Richter. Aber genau das ist ein No-Go, da man seine Datenverarbeitungen ja kennen und dokumentieren muss.

Alternativen für Firmen gibt es. Wenn man also seine Abteilungsorganisation, Mitarbeiterkommunikation und den Austausch von Fotos, Dokumenten und Informationen sicher gestalten will, sollte man z.B. auf Threema umsteigen. Wir haben das Tool schon vor einigen Jahren getestet und, wenn man heute Kontakte aus Geheimdienstkreisen fragt, dann gibt es für sichere Kommunikation am freien Markt nur Threema als absolut sicheres Tool. Mittlerweile kann es auch schon richtig viel - Gruppen, Fotos, Dateien, Chatdownload und auch eine Webversion gibt es (jetzt schon für den Link zu Android, für Apple iOS gibt es seit Anfang des Jahres eine Beta-Version). Ein Umstieg ist nicht nur wegen WhatsApp und dahinter Facebook zu empfehlen, um ein Zeichen für mehr Datenschutz zu setzen. Es ist eine wichtige Awarenessmaßnahme für jeden Mitarbeiter und auch Kunden. Und die einmaligen Kosten von ca. 3,50 € erklären, wie man sichere Server und Weiterentwicklung auch finanzieren kann ohne die Bezahlung mit Daten an Facebook & Co. Also umsteigen und stolz weitererzählen - gerne schicken wir Ihnen die Verarbeitungstätigkeit für Ihr Verarbeitungsverzeichnis zu.

Und dann gibt es noch die Königin der Stammdaten. Das ERP-System (Enterprise Ressource Planning, also meist Software für Angebote, Rechnungen, Mahnwesen und Buchhaltung), das manchmal auch für das CRM (Customer Relationship Management, also Kundenverwaltung) missbraucht wird, ist hier das große Thema. Wenn das ERP nur für Angebote (vorvertraglicher Maßnahmen lt. Art. 6 Abs. 1 lit. b DSGVO), Aufträge und Rechnungen (Vertragserfüllung lt. Art. 6 Abs. 1 lit. b DSGVO) bzw. Buchhaltung und Lohnverrechnung (Erfüllung rechtlicher Verpflichtungen lt. Art. 6 Abs. 1 lit. c DSGVO) genutzt wird, passt es und man sollte auf die Datenschutzbestimmungen hinweisen.

Wenn jedoch die Stammdaten für Mailings, Newsletter etc. verwendet werden, muss man für die Verarbeitung dieser Daten die Einwilligung lt. Art. 6 Abs. 1 lit. a DSGVO einholen. Wenn man jedoch die Daten, die man für die Erstellung vom Angebot, Schreiben der Rechnung und Erstellen der Buchhaltung von den Stammdaten für laufende Kontaktaufnahme trennt, dann tut man sich sehr viel leichter. Also Kontakte ins CRM und Kundenstammdaten ins ERP, dann ist es sauber getrennt.

Hier hat sich Bitrix24 als gute Lösung für die laufende Kommunikation bewährt. Wenn man bisher kein CRM genutzt hat, macht es Sinn so eine Lösung zu implementieren. Kontakt und Terminverwaltung, E-Mail-Integration (z.B. statt Office 365), Social Intranet, Dateiabgleich mit Versionierung (z.B. statt Dropbox, Sharepoint, etc.), Messaging (statt Whatsapp), Telefonieintegration, Fotogalerien, Workflows und auch die Integration der eigenen Website und auch Social Media, wie Facebook, Twitter & Co. Es ist auch eine gute Alterantive zu Confluence, einem Tool, das vom Hersteller von Jira kommt, einem komplexen Projektmanagementtool. Spannend für alle, die sich der Agilität verschrieben haben - es gibt Ansichten für Gantt genauso, wie eine Kanban-Übersicht - beides greift auf die gleichen Projektdaten, Aufgaben und Stammdaten zu. Also sehr spannend für viele Unternehmen jeder Größenordnung.

Spannend für die einfache Umsetzung von Einwilligungen und Vereinbarungen ist die Möglichkeit Formulare online zu stellen bzw. per Code einzubinden, wo eingegebene Daten direkt in die CRM-Datenbank übertragen werden. So kann man für die laufende Einwilligung einfach einen Link erstellen, bei der Daten nach und nach reinplätschern. Und beim nächsten Versand eines Newsletters werden dieser Eintrag zu Artikel 6.1a-Zustimmung berücksichtigt. So einfach kann es gehen ohne viel Bürokratie.

Viel wichtiger als die Software sind aber die Benutzer. Also der Chef übernimmt auch für die Apps das Ruder und lässt sich von der IT-Abteilung und dem DSBA (Datenschbeauftragten) oder DSKO (Datenschutzkoordinator) dazu beraten. Dann wird die Awareness aller Benutzer auf Vordermann gebracht. Audits für die TOMs müssen eingerichtet werden, bitte aber angemessen der Betriebsgröße und Struktur. Und zum Abschluss sollte der Rechtsanwalt noch einen Blick auf die neuen Vereinbarungen werfen.

26. Mai - steht die digitale Welt Kopf?

Die Regierungsbeteiligung zum Thema DSGVO war meiner Meinung nach der Sache nicht förderlich. Neben der Neuwahl waren auch das rasch durchgewunkene Datenschutzanpassungsgesetz und das am 20. April folgende Datenschutz-Deregulierungsgesetz eher verwirrend als klärend. Die DSB (Datenschutzbehörde) hätte auch ohne des zuletzt genannten Dokuments verhältnismäßig und abschreckend bestraft. Das bedeutet zunächst verwarnen und danach natürlich strafen. Denn selbständige Handwerker oder Sportvereine werden keine 20 Millionen-Strafen entgegenwinken.

Gutes Beispiel, schlechtes Vorbild: Wir haben auch ein großes Unternehmen besser kennengelernt - das schon vor dem 25. Mai zum Thema DSGVO negativ in den Medien aufgefallen ist. Das Unternehmen hat die Vorträge zum Datenschutz, zu den Aufgaben des Datenschutzbeauftragten, zur DSFA (Datenschutz-Folgen-Abschätzung) etc. gehalten, aber die Mitarbeiter, das mittlere Management oder die Buchhaltungsabteilung haben nichts von irgendeiner Änderung oder Anpassung hinsichtlich DSGVO in den letzten Monaten mitbekommen. Genau so geht Datenschutz nicht.

Apps, Datenschutz und moderne Kommunikation und die Welt, wie wir sie kennen. Verträgt sich das auch nach dem 25. Mai?
Apps, Datenschutz und moderne Kommunikation und die Welt, wie wir sie kennen. Verträgt sich das auch nach dem 25. Mai?

Jeder muss seine Hausaufgaben machen. Nur nichtstun ist ein grober Fehler. Also Step by Step den Datenschutz angehen, Beratungsförderungen oder einen Workshop zum Start nutzen, damit man sinnvolle Vorlagen erhält und seine IT-Sicherheit prüfen lassen kann - organisatorisch und technisch. Hausaufgaben haben auch noch Behörden zu erledigen, so fehlt immer noch die Liste der Verarbeitungstätigkeiten, die eine DSFA erforderlich machen. Die sollte die Behörde bis zum 25. Mai zur Verfügung stellen. 3 Tage hat die DSB noch. Bei Fragen dazu steht der Kontakt auch am Ende unserer Datenschutzbestimmungen.

Und ich kann garantieren: Die Welt wird nicht untergehen. Zumindest nicht am Freitag, bzw. zumindest nicht wegen der DSGVO am Freitag. Vielleicht interessiert Sie dazu unser erstes Digital Breakfast am 26.6. im Sonnenland Teamspace. Einladung folgt, wenn Sie uns zur Kontaktaufnahme ihre Einwilligung geben und angeben, was Sie interessiert. Vielleicht sieht man sich ... sollte sich die Erde am 26. Juni noch immer drehen. ;-)