Jetzt haben wir uns ein Dreivierteljahr lang intensiv mit Datenschutz beschäftigt, ein Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge, eine IT-Sicherheitsrichtlinie, ein in der Praxis getestetes Löschkonzept, Double-Opt-in- und Opt-out-Verfahren sowie ein Procedere für die Erfüllung unserer Informations- und Dokumentationspflichten und alles einmal mit allen Überlegungen und Rechtsgrundlagen aufgeschrieben für den Fall, dass irgendwann mal jemand danach fragt.
Auch acht Monate nach Inkrafttreten der DSGVO sind immer noch Punkte unklar, zum Beispiel, ob ein Steuerberater nicht doch Auftragsverarbeiter ist, wenn er auch Personaldaten verarbeitet, oder wie man Lösch- und Dokumentationspflichten unter einen Hut bringt. Entsprechende Empfehlungen seitens der Behörden abzuwarten, wird Sie und uns also noch weiter beschäftigen.
Uns durch den DSGVO-Dschungel hindurch zu kämpfen hat uns sehr viel Zeit gekostet. Die meiste Zeit haben wir auf den Versuch verwendet, die DSGVO möglichst zeitsparend umzusetzen. Wir haben Mustervorlagen gegoogelt, nach Software gesucht, die uns die Arbeit abnimmt, uns Juristen-Blogs, Tutorials und Podcast zu Gemüte geführt.
Irgendwann wurde uns klar, dass wir die Arbeit von Grund auf selber machen müssen. Eine Arbeit, die von Gewerbetreibenden überall in Europa redundant erledigt wird. Millionen Köpfe, die über Paragraphen brüten, sich fragen, ob sie noch Werbemails verschicken dürfen, ob sie guten Gewissens Geschäfte in Drittländern machen dürfen oder ob die Entscheidung für Google als E-Mail-Provider nicht ein Fehler war.
Ich denke oft darüber nach, wie sich diese Bindung von Ressourcen wohl auf das Bruttoinlandsprodukt auswirkt. Hat das schon mal jemand ausgerechnet?
Warum müssen sich Millionen Gewerbetreibende diese Arbeit machen? Nehmen wir einmal das Verzeichnis der Verarbeitungstätigkeiten. Wie detailliert muss es sein? Ist die Verarbeitung von Personaldaten eine einzige Verarbeitungstätigkeit oder sind es inklusive Reisebuchungen und Visaanträgen nicht eher fünfzehn? Muss bei der Öffentlichkeitsarbeit das Fotoarchiv mit aufgenommen werden? Und was läuft überhaupt in der IT? Davon hat glücklicherweise der IT-Beauftragte eine ungefähre Ahnung.
Eine brauchbares Muster für das VVT, das eins zu eins auf unsere Organisationsstruktur übertragbar war, gab es nicht.
Immer wieder hört oder liest man: Jede Organisation ist individuell aufgestellt und muss für sich selber herausklamüsern, wie es am besten passt. Ist ja auch richtig und zugunsten des Wettbewerbs unumgänglich, dass nicht alle das gleiche machen.
Wenn Sie auf Tipps aus sind, wie Sie mit möglichst geringem Aufwand datenschutzkonform werden oder bleiben – von mir können Sie keine bekommen. Nur so viel: Halten Sie sich nicht damit auf, Gesetzestexte zu lesen, das bringt Ihnen allerhöchstens etwas, wenn Sie auf Datenschutz spezialisierter Jurist sind.
Suchen Sie sich Rat und Anleitungen bei Leuten, die sich über die Auslegung und die Konsequenzen für die Praxis einigermaßen im Klaren sind.
Von unserem Datenschutzbeauftragten haben wir sehr hilfreiche Auskünfte und Handreichungen bekommen, z.B. Muster für Verträge, die auf die relevanten Paragraphen in der DSGVO und dem BDGS verweisen. Wenn Sie solche Handreichungen brauchen, fragen Sie Ihren Datenschutzbeauftragten. Wenn Sie meinen, dass der Vorschlag für Sie nicht passt, fragen Sie Ihren Datenschutzbeauftragten.
Wenn der Datenschutzbeauftragte Ihnen zu etwas rät, von dem Sie meinen, dass es Ihrem Geschäft schadet, denken Sie noch mal in Ruhe darüber nach. Holen Sie sich eine zweite Meinung, sprechen Sie mit anderen Unternehmen, die ähnlich aufgestellt sind, finden Sie einen Kompromiss oder eine Auslegung, die mit Ihrem Geschäftsmodell kompatibel ist.
Informationen und Muster gibt es bei den Datenschutzaufsichtsbehörden der Länder, z.B. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Kontakt: blog@ivam.de