Lange nichts gelesen: Über neue Datenschutzberater und die Goldgräberstimmung in der Branche.

Zwei Jahre lange wurde dieser Blog von mir ziemlich stiefmütterlich behandelt. Kurz zusammengefasst: zu viel zu tun. In den letzten zwei Jahren hat sich viel zum Thema Datenschutz getan: Ich schreibe hier nur „EU-Datenschutzgrundverordnung“. Und obwohl die Arbeitsmenge aktuell – viele Organisationen wachen erst jetzt, zum Zeitpunkt des Ablaufes der zweijährigen Übergangszeit auf – nachwievor zu und nicht abnimmt, so ist es doch Zeit, dringend wieder etwas zu schreiben.

Anlass ist die offensichtliche Goldgräberstimmung bei durchaus zweifelhaften Datenschutzberatern und Datenschutzbeauftragten.

Viele Kollegen – natürlich sind auch die Kolleginnen gemeint – sind seit vielen Jahren tätig, haben die Entstehung der DSGVO begleitet, ihre Stärken und Schwächen analysiert, teilen die Meinung, dass der Grundsatz der DSGVO gut ist und sehen aber auch die Schwierigkeiten in der Umsetzung, gerade für kleinere und mittelständische Organisationen. Sie erarbeiten Wege, ihre Kunden Grundverordnungskonform aufzustellen. Viele ächzen unter der Mehrbelastung und der Problematik, die Rollenverschiebung in der Tätigkeit des betrieblichen Datenschutzbeauftragten zu vermitteln.

Datenschutz ist noch anspruchsvoller geworden, als es als in den letzten Jahren schon war. Die Dokumentationspflichten, sowohl für die verantwortlichen Stellen als auch für die betrieblichen Datenschutzbeauftragten, werden durch die DSGVO erheblich umfangreicher. Zusätzlich wächst das Haftungsrisko für beide massiv. Und nur sorgfältige und sehr gut dokumentierte Arbeit kann diese Haftungsrisiken verbinden.

Gehen Sie, wenn Sie Mitarbeiter beschäftigen, in sich: Kennen Sie z. B. die genauen Rechtsgrundlagen der Datenübermittlung von Beschäftigtendaten an die Finanzbehörden? Sie müssten diese Wissen, um Ihr Verzeichnis der Verarbeitungstätigkeiten korrekt zu führen. Und wissen Sie die korrekten Löschfristen? Sagen Sie jetzt bitte nicht pauschal „10 Jahre“. Wenn Sie dieser Meinung sind, die leider an vielen Stellen zu lesen ist, würde ich mich freuen, wenn Sie mir Ihre Begründung für diese Frist mitteilten.

Was ich vermitteln will: Auf viele Fragen, warum welche personenbezogene Daten auf welche Weise verarbeitet werden, bekomme ich bei Interessenten und Neukunden die Antwort – einfach ausgedrückt „das haben wir schon immer so gemacht“. Doch diese Antwort ist sicherlich angesichts der drohenden Folgen bei Datenschutzverstößen eher suboptimal.

Neue Märkte für Datenschutzberater?

Und ich beobachte mit Schrecken, wie neue Angebote aus dem Boden sprießen: Das „Datenschutzsorglospaket“ für 500 € pro Jahr – inklusive betrieblichem Datenschutzbeauftragtem, Datenschutzhandbuch, Formularen und Zertifikat. Bedenken Sie: Für die korrekte Bestellung eines betriebliche Datenschutzbeauftragten sind Sie als verantwortliche Stelle zuständig. Ist dieser fachlich nicht geeignet oder kommen recht offensichtlich seinen Überwachungsfunktionen Ihnen gegenüber nicht nach, so begehen Sie den Datenschutzverstoß. Ich bekomme Unterlagen, die offensichtlich aus diversen Quellen im Internet zusammen kopiert wurden und nun für teuer Geld an unbedarfte Unternehmen als Weisheiten verkauft werden. Problematisch ist weniger das Geld, das hierfür ausgegeben wird. Problematisch ist, das sich Unternehmen auf diese „Informationen“ vertrauen – und dann Datenschutzverstöße begehen.

Überlegen Sie, wie hochwertig ein qualifizierter Datenschutzbeauftragter, ob Jurist oder Ingenieur oder Informatiker, für 500 € pro Jahr den Datenschutz in Ihrem Unternehmen überwachen kann, Sie beraten kann, Sie unterstützen kann. Es tut mir leid: Eine Organisation datenschutzgrundverordnungskonform aufzustellen, ist teurer.

 

 

Markierungen: ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.