Was darf Datenschutz kosten?

Es ist jetzt mehr als ein Jahr her, dass die EU Datenschutzgrundverordnung (EU DSGVO) das Thema Datenschutz für Unternehmen und Nutzer in den Fokus gerückt hat. Vor- und Nachteile kann man diskutieren, wie ich es zum Beispiel in diesem Beitrag auch schon getan habe. Sicher ist aber, Unternehmen jeder Größenordnung müssen sich irgendwie drum kümmern. Laut einer Statista-Umfrage im Jahr 2018, haben das auch 40% der Unternehmen schon getan. Schaut man etwas genauer hin, stellt sich die Frage, ob die Datensicherheit dadurch tatsächlich verbessert wurde.

 

 

Worum geht’s?

Ich spreche eigentlich nie von Datenschutz, sondern vom Datenschutz-Dreieck aus Datenschutz, Datensicherheit und IT Sicherheit. Dabei steht Datenschutz für den juristischen Part, aktuell eben die Datenschutzgrundverordnung sowie weitere Gesetzgebung und Initiativen der EU aus verwandten Bereichen, die wiederum einen Einfluss auf die Datensicherheit in Unternehmen haben.

Daten die nach diesen Gesetzen schützenswert sind, sind damit aber noch lange nicht sicher. Gesetzgeber und Juristen geben ja keine klaren Prozesse vor, die Unternehmen bei der Umsetzung des Datenschutzes weiterhelfen. Auch der physische Datenschutz wird leider viel zu selten beachtet.  Die Datensicherheit ist also die eigentliche Herausforderung für Unternehmen. Datensicherheit herstellen ist dabei auch im Sinne des Unternehmens, da es hier nicht nur um Kunden- und Mitarbeiterdaten geht, sondern auch um sensible Informationen in Bezug auf das Geschäftsmodell, Strategien sowie Forschung & Entwicklung.

IT Sicherheit mit allen Unter-Disziplinen ist dann wiederum das Tool, mit dem Datensicherheit im Unternehmen hergestellt und die Vorgaben des Datenschutzes umgesetzt werden können. Der Gesetzgeber spricht von TOMs, „technischen und organisatorischen Maßnahmen“. Hier kann es in der Praxis aber sogar zu einem Konflikt zwischen Datenschutz-Kriterien und notwendigen Maßnahmen der IT Sicherheit kommen. Die Umsetzung von Datenschutz-Kriterien kann daher in jedem Unternehmen anders aussehen.

Zum Datenschutz-Dreieck habe ich übrigens auch einen Videokurs mit Masterplan.com gedreht.

 

Real Life

So weit kommen die meisten Unternehmen aber leider nicht. Viel zu häufig ist schon von außen erkennbar, dass auch die Datenschutzgrundverordnung den Umgang mit Kunden- und Mitarbeiter-Daten nicht verbessert hat, geschweige denn Prozesse nun für alle transparenter sind. Dabei ging es Politikern, die sich für einen besseren Datenschutz eingesetzt haben, genau darum. Nutzer sollten einen besseren Einblick in die Nutzung ihrer Daten bekommen und Unternehmen verantwortungsvoller mit Daten umgehen und mit ihren Kunden dazu kommunizieren.

In der Realität angekommen, sind gerade größere Konzerne und Digitalunternehmen für normale Nutzer, aber auch Institutionen und Ermittlungsbehörden, immer noch extrem schwer zu erreichen. Die meisten versuchen, sich um das Thema drum herum zu schummeln. AGBs und Datenschutzerklärungen sind so lang und kompliziert, dass sie nicht gelesen werden. Nutzer klicken sie einfach weg. Nervige Werbung ist vom Mail-Postfach auf Plattformen gewandert, wo die Datenschutz-Lage für den Werbetreibenden auf den ersten Blick einfacher ist. Auch Startups schummeln sich viel zu häufig in Sachen Datenschutz durch. Obwohl gerade sie die Möglichkeit hätten, von Anfang an transparente und zeitsparende Prozesse zu implementieren, da sie keine Daten-Altlasten beachten müssen.

Unternehmen, die mehr Geld ausgeben möchten, bevorzugen die eigene App, weil sie darüber Nutzer immer wieder erreichen können, ohne sich jedes Mal eine Zustimmung holen zu müssen. So richtig nutzerfreundlich ist das alles irgendwie nicht. Das fühlen auch die meisten Menschen, mit denen ich über den Themenbereich spreche. Wer noch dazu an seinem Arbeitsplatz mit dem Thema und dem damit verbundenen Chaos und Mehraufwand konfrontiert wird, hat selten eine positive Einstellung zum Datenschutz und weiß auch nicht automatisch, wie er seine eigenen Daten schützen soll. Digitale Kompetenz ist eine wichtige Grundlage, um Datenflüsse und Datenverarbeitung zu verstehen. Ein klassisches Aus- und Weiterbildungsthema.

 

Geht das nicht auch umsonst?

Budgets für Extrathemen und Weiterbildungen bereit zu stellen, noch dazu in der sich aktuell ankündigenden Konjunkturflaute und für Mitarbeiter unterhalb des Management-Levels, ist bei vielen Unternehmen nicht sehr beliebt. Traurigerweise hat das nichts mit der Unternehmensgröße zu tun. Sowohl Mittelständler als auch Dax-Konzerne sparen hier gerne (am falschen Ende).

Die einzige Chance, kein Geld für das Datenschutz-Dreieck (Definition siehe oben) auszugeben, besteht also darin, den Kopf in den Sand zu stecken und darauf zu hoffen, dass niemand etwas merkt. Der Handwerker auf dem Land mit 20 Angestellten mag damit eine Zeit lang durchkommen. Größere Mittelständler und alle, die umfangreich Kundendaten verarbeiten oder deren komplettes Geschäftsmodell aus der Verarbeitung von Daten besteht, sollten nicht erst warten, bis Beschwerden beim zuständigen Landesdatenschutzbeauftragten eingehen. Denn Kunden (und Medien) reagieren immer zuerst auf der Gefühlsebene, auch wenn operative und technische Hintergründe (noch) gar nicht bekannt sind.

Außerdem wissen wir mittlerweile auch, in welchem Rahmen die Strafen wegen Datenschutzverstößen so liegen könnten:
Spiegel Online-Bericht zum Datenleck der Marriott Hotelkette

 

Preistabelle

0,00 EUR > Datenschutzgrundverordnung durchlesen und ein Gefühl für das Thema bekommen

0,00 EUR > Einen Monat lang aufschreiben, was in Sachen IT Infrastruktur und Datentransfers eigentlich besser funktionieren könnte

0,00 EUR > Mit den Mitarbeitern/ Kollegen über das Thema sprechen und den Panik-Status abklopfen

5,50 EUR > Erste Hilfe-Ratgeber, herausgegeben vom bayerischen Landesamt für Datenschutzaufsicht

24,90 EUR > Monatsabo von E-Recht24, wo es z.B. Vorlagen für Datenschutzerklärungen und viele juristische Beiträge zum Thema gibt

Vorsicht! Hier ist der eigene Arbeitseinsatz gefragt! Die Datenschutzerklärung z.B. auf einer Website, muss den tatsächlichen aktuellen Stand der Datenverarbeitung widerspiegeln!

Ab 250,00 EUR > Externer Datenschutzbeauftragter, dessen Namen man auf seine Website schreiben darf

Vorsicht! Da ist dann in Sachen Datenschutz, Datensicherheit, IT Sicherheit noch nichts passiert!

Ab 2.500,00 EUR > Weiterbildung zum Datenschutzbeauftragten, z.B. bei den TÜV Akademien

Ab 5.000,00 EUR > Team-Workshop zum Datenschutz-Dreieck

Ab 50.000,00 EUR > Realistisches Budget für ein Datenschutz-Projekt für ein mittleres Unternehmen im ersten Jahr

Knapp 67.000,00 EUR > Jährliche Brutto-Personalkosten für einen internen Datenschutzbeauftragten, der ein durchschnittliches Gehalt in dieser Berufsgruppe erhält (Quelle: Stepstone, TK Gehaltsrechner)

Hat ein Unternehmen erhöhten Bedarf seine Datensicherheits-Standards zu strukturieren und nach außen transparent zu machen, kann sich auch eine Zertifizierung nach ISO 27001 lohnen. So können zum Beispiel Agenturen oder andere Service-Anbieter – die etwa dem Automobil- oder Gesundheits-Sektor zuarbeiten – sicher stellen, dass sie auch weiterhin bei lukrativen Aufträgen bedacht werden. Denn die Zertifizierung erleichtert wiederum dem Datenschutzbeauftragten des Kunden seine Arbeit was die Prüfung und Dokumentation angeht.

 

Warum wird Datenschutz oft teurer als geplant?

Es gibt ein paar Faktoren, die sowohl für schnelle flexible Arbeitsprozesse als auch für den Datenschutz relevant sind. Dazu gehört eine logisch aufgebaute, gut gepflegte Datenbasis ohne Altlasten genauso wie eine zeitgemäße IT Infrastruktur und die stetige Weiterbildung von Mitarbeitern zu beidem. Selbst Unternehmen, die selber Software oder Technologien verkaufen, scheitern meist mindestens an einem Punkt.

Sobald dann das Thema Datenschutz oben drauf kommt, fallen bisherige Versäumnisse auf. Ein klassisches Beispiel ist die Frage „Was passiert, wenn uns ein Kunde kontaktiert und verlangt, dass seine Daten gesperrt bzw. gelöscht werden?“ In einem Unternehmen, in dem jeder Mitarbeiter noch seine eigenen Excel-Tabellen nutzt und die übergreifende Datenbank – falls vorhanden – doch mehr ein wildes Chaos ist, eine sportliche Aufgabe.

Fairerweise müsste das entsprechende Datenschutzprojekt also in mindestens zwei Budgets aufgeteilt werden. Eins für „Hilfe, unsere veraltete IT Infrastruktur braucht ein Update“ und eins für das Datenschutz-Dreieck. Leider sparen sich Unternehmen gerne den Infrastruktur-Part und verbieten einfach rigoros alles, was diese Schwachstelle offenlegen könnte. Statt einen Schritt in die Zukunft zu machen, wird Mitarbeitern dann z.B. „aus Datenschutzgründen“ das Home Office gestrichen.

Ob das die richtige Lösung ist?