DSGVO – fünf Buchstaben mit großer Wirkung. Seit Mai 2018 ist die Datenschutzgrundverordnung in Unternehmen anzuwenden. Während anfänglich eine Mischung aus Zustimmung, Sorge, Kritik und Zuversicht durch die Medien schwappte, ist es nun merklich ruhiger geworden um die DSGVO. Doch der Schein trügt, wie Nora Podehl von der Rucon Gruppe klarstellt. Für das Unternehmen ist sie als externe Datenschutzbeauftragte bei Mandanten tätig. Eine Momentaufnahme, ein Interview.
Seit Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) anzuwenden. Spüren Sie seither als Datenschutzbeauftragte mehr Druck vonseiten der Kunden?
Nora Podehl: Auf jeden Fall. Gerade vor Inkrafttreten der DSGVO waren Unternehmer und deren Verantwortliche verständlicherweise besonders angespannt und vor allem verunsichert. In diesem Zuge wünschen sich die Kunden einerseits Klarheit und Transparenz über den gesamten Prozess zur Datenschutzgrundverordnung in der eigenen Organisation. Andererseits suchen sie auch eine einfache und praktikable Lösung für die Umsetzung sowie tägliche Anwendung. Zwischen diesen beiden Stühlen sitzt man teilweise als Datenschutzbeauftragte und muss nach individuellen Lösungen suchen. Nicht zu vergessen ist die Flut an Presseberichten zu diesem Thema. Was wurde nicht alles geschrieben, ob pro oder kontra. Das hat die DSGVO zum Dauerthema gemacht und ist in den Köpfen des Managements präsent.
Was ist eigentlich der Unterschied zwischen Datenschutz und Datensicherheit?
Nora Podehl: Datenschutz und Datensicherheit sind untrennbar miteinander verbunden. Datensicherheit beschäftigt sich als Teil des Datenschutzes mit der Sicherheit der personenbezogenen Daten vor allem durch technische und organisatorische Maßnahmen. Datenschutz hat den Menschen, also die betroffene Person dem die Daten gehören, im Blick und das Ziel ihn vor unangenehmen oder intransparenten Umgang mit seinen Daten zu schützen. Hierzu kann zum Beispiel Diskriminierung, Rufschädigung oder einfach nur die Unkenntnis zählen, wie und warum die Daten überhaupt verarbeitet werden. Werden zum Beispiel personenbezogene Daten automatisiert verarbeitet so muss eine Datenflussanalyse aufzeigen, wie die Daten über den gesamten „Lebenszyklus“ durch die IT-Infrastruktur „fließen“. Macht man das gründlich, wird es möglich, Schwachstellen zu entdecken und dann notwendige Schutzmaßnahmen bereits frühzeitig festzulegen.
Nun wird in den Medien immer wieder geschrieben, dass es keine klare Definition der beiden Begriffe Datenschutz und Datensicherheit gibt. Diese müssten vielmehr je nach Kontext interpretiert werden. Besteht damit nicht das Risiko einer unübersichtlichen Gemengelage an Begriffen und Inhalten?
Nora Podehl: Absolut. Die DSGVO hat in der Tat – gefühlt – ein „Füllhorn“ an neuen Fragestellungen mit sich gebracht, die auch noch nicht alle geklärt werden konnten. Es ist und bleibt insgesamt eine Herausforderung, die DSGVO so umzusetzen, dass die Grundsätze für die Verarbeitung personenbezogener Daten nachweislich eingehalten werden. Das Kerngeschäft in den Unternehmen muss ja weiterlaufen können. Und so unterschiedlich Unternehmen sind und die Beweggründe personenbezogene Daten zu erheben und zu verarbeiten, so unterschiedlich können die Begriffe Datensicherheit und -schutz interpretiert werden. Es muss darum gehen, das gesamte Unternehmen zu betrachten, um dann gute Datensicherheit und guten Datenschutz gewährleisten zu können.
Verstehen Unternehmen und ihre verantwortlichen Mitarbeiter diese Unterschiede richtig einzuschätzen oder gibt es an dieser Stelle Nachholbedarf?
Nora Podehl: Ehrlich gesagt: Viel wichtiger wäre, dass Unternehmen und Mitarbeiter den Sinn des angestrebten Schutzes verstehen. Zugegeben kann das alles wirklich verwirrend sein, die Begriffsvielfalt obendrein.
Dennoch geht es letztlich darum, dass Daten und Informationen auf sicherem Wege von geeigneten Systemen und sorgfältig handelnden Menschen verarbeitet werden. Das macht ein verantwortungsbewusstes Unternehmen aus; auch im Umgang mit personenbezogenen Daten. Können Sie das etwas konkretisieren?
Nora Podehl: Ich habe einen smarten Kunden, der die DSGVO weniger als schlimmes Übel verstand, sondern als Hebel benutzte. Das Unternehmen sagte nicht nur, dass man Datenschutz einhalten muss, sondern ergriff mit positivem Aktivismus die gute Gelegenheit eigene Prozesse zu durchleuchten und sich nochmal mehr abzusichern. Und es war dann auch kein Wunder, dass die Mitarbeiter einen ganz anderen, guten Zugang zum Datenschutz und zur Informationssicherheit hatten und diesen auch heute leben.
Apropos Zugang zum Datenschutz und der Informationssicherheit. Das Ganze scheint in vielen Fällen mehr Wunsch als Wirklichkeit oder täuscht das?
Nora Podehl: Ich habe oft das Gefühl, das Thema ist zu abstrakt und für Mitarbeiter sehr fern und un(be)greifbar. Aber letztlich ist es einfach ein allgemeiner und uralter Wunsch sowie Anspruch eines jeden, dass persönliche Grenzen nicht überschritten werden. Und es geht darum, dass man selbst entscheiden darf was man wann und wie von sich preisgibt und dass vertrauenswürdige Inhalte nicht weitererzählt werden. Das sind eigentlich Grundsätze jeden sozialen, respektvollen Miteinanders. Diese Analogie zum echten, sozialen Kontakt hilft hier schon: Oder würden Sie die Telefonnummer Ihres besten Freundes einer an ihm interessierten Unbekannten mit dem Hinweis geben, die Ehe befinde sich ohnehin gerade in Scheidung?
Kommen wir auf Ihre Tätigkeit zu sprechen. Was sind die konkreten Aufgaben eines externen Datenschutzbeauftragten?
Nora Podehl: Meine Aufgabe ist es, dabei zu unterstützen, den Schutz für die betroffenen Personen dauerhaft und wirksam aufrechtzuerhalten und dabei die Geschäftstätigkeit des Unternehmens nach Möglichkeit sogar zu stärken. Dazu zählt natürlich Bewusstseinsschärfung, den Überblick über die Datenflüsse und mögliche Bedrohungen zu gewinnen, um dann gezielte Sicherungsmaßnahmen abzuleiten. Und das in Bezug auf das Sicherheitsniveau so umfangreich wie nötig und in Bezug auf die unternehmerischen Prozesse so schlank wie möglich. Damit meine ich: Datenschutz soll praktizierbar sowie wirksam sein und kein Papiertiger.
Nach Außen hat es den Anschein, als hätte sich die „Hysterie“ um die DSGVO in Politik, Wirtschaft und den Medien etwas gelegt. Täuscht das oder brodelt es nur unter den jeweiligen Organisationsdeckeln weiter?
Nora Podehl: Es brodelt. Ich vermute viele sind froh, dass es bislang zu keinen systematischen Abmahnwellen oder drakonischen Geldbußen im eigenen Haus kam. Aber ich denke, dass man dies eher als Schonfrist empfindet, die man gerne nutzt, um nochmal nachzuziehen. Und das ist auch gut so. Das Bayerische Landesamt für Datenschutzaufsicht, kurz BayLDA, hatte bereits angekündigt, die Datenschutzkontrollen auszuweiten. Und das gilt wohl auch für andere Aufsichtsbehörden, da sie dafür zuständig sind die Einhaltung der rechtlichen Vorgaben zu kontrollieren. Und dann gilt nur eines: Zeige, dass Du den Datenschutz einhältst – nachweisbar. Und wer möchte, kann sich auch selbst einmal unter die Lupe nehmen und die Prüffragen, zum Beispiel des BayLDA durchgehen. Dabei ist wichtig: Es geht nicht nur um die bloße Beantwortung einer Fragenreihe sondern um echte Menschen, die zu den Daten gehören und geschützt werden sollen. Seien Sie also ehrlich zu sich selbst. Auch, weil im Falle einer Prüfung der Behördenmitarbeiter prüfen wird, ob ihre Angaben im Fragebogen wahr sind.
Laut einer Studie der Verbraucherschützer in Nordrhein-Westfalen aus dem vergangenen Jahr leisten soziale Medien zu wenig für den Datenschutz. Ist das nicht ein Grundproblem für viele Unternehmen, die auf Social-Media-Anwendungen setzen?
Nora Podehl: Ja natürlich. Vor allem weil man ja wirklich oft nicht wissen kann, was die Social-Media-Anbieter mit den Daten wirklich machen oder vielleicht nicht machen; beziehungsweise wie sie diese geeignet schützen. Gleichzeitig wird man ohne Social Media in den Unternehmen nicht auskommen. Hier gilt es einen tragfähigen Weg zu finden, der von Fall zu Fall unterschiedlich aussehen kann.
Welche grundsätzlichen Fallstricke gibt es beim Thema Datenschutz und wie lassen sich diese vermeiden?
Nora Podehl: Grundsätzlich, dass Unternehmen den Datenschutz einfach systemlos angehen und nicht wirklich Überblick über mögliche Lücken haben. Es ist ein Wechselspiel aus technischen und organisatorischen Maßnahmen, die gut aufeinander abgestimmt einen guten Schutzwall bieten. Und dann bleibt immer noch eines: Fehler passieren. Das ist menschlich oder auch mal ein Systemfehler, aber dann geht es immer noch darum nachweisen zu können, dass man sich vorab darum gekümmert hat und es halt trotzdem passiert ist.
Welchen Wertbeitrag und Mehrwert kann ein Unternehmen, wie die Rucon Gruppe, in diesem Kontext leisten?
Nora Podehl: Wir schaffen als Dienstleister zunächst Überblick zum Datenschutz sowie der Datensicherheit in Organisationen. Dabei kommt uns die Expertise unseres Serviceteams zugute, um Dinge richtig einzuschätzen. Wir wollen für unsere Klienten die richtigen Schlüsse ziehen, damit daraus sinnvolle und zugeschnittene technische sowie organisatorische Maßnahmen abgeleitet werden. Wir arbeiten für unsere Kunden aus einem Servicekatalog mit datenschutzspezifischen Einzelservices, gebündelt in unserem Lösungsportfolio „Managementsystem (as a) Service“.
Nora Podehl ist Senior Beraterin bei der Rucon Gruppe mit Sitz in Nürnberg. Zu ihren Spezialisierungen gehören die Bereiche Datenschutz (inklusive externe Datenschutzbeauftragte), ISO/IEC 27001, DIN EN ISO 9001, Compliance sowie das Feld der integrierten Managementsysteme.
Weitere Informationen zum Thema Datenschutz finden Sie auf: www.3grc.de/Datenschutz