„Nicht Fisch und nicht Fleisch“
von Gordon Römmler
Diese Aussage kann man auf Vieles anwenden und habe ich schon oft in Bezug auf mich selbst gehört. Als Betriebswirt für Wirtschaftsinformatik bin ich weder Kaufmann noch Informatiker. Eben von beiden etwas – quasi das Bindeglied, eine Schnittstelle, um zu übersetzen, damit der eine versteht, was der andere meint. „Anforderungen an Systeme verstehen, notwendige Anpassungen definieren und entwickeln sowie deren Umsetzung unter Berücksichtigung der bestehenden Prozesse überwachen“. Klingt toll oder? Hilft nur leider so nicht in der Praxis bzw., um das aktuelle Thema besser zu verstehen. Hier geht es um Anforderungen aus Gesetzen heraus, die technisch, also praktisch umgesetzt werden müssen.
Der Gesetzgeber macht es sich einfach und spricht zum Beispiel „vom Stand der Technik“. Aber nirgends ist ausreichend beschrieben, was das im Detail bedeutet. Und ab wann es wieder einen neuen Stand der Technik gibt. „Verschlüsselung ist wichtig“ keine Frage, aber womit, zu welchem Zeitpunkt und mit vielen Bits? Das sind die Fragen, die in der Praxis entstehen, geklärt und geregelt werden müssen. Als Qualitätsmanager schlägt mein Herz jetzt höher, was da an Arbeit auf die Abteilungen zu kommt für die Neubeschreibungen der Prozesse und gestiegenen Dokumentations- und Zugriffsbestimmungen – wow.
BDSG (Bundesdatenschutzgesetz) und DSGVO (Datenschutz-Grundverordnung) – oder „nicht Fisch und nicht Fleisch“. Die Rangfolge ist klar, die DSGVO steht über dem BDSG. So weit so gut, oder? Sie greifen natürlich ineinander und wenn etwas in der DSGVO nicht geregelt ist, greift das BDSG. Beide definieren aber nur das zu erreichende (juristische) Ziel und natürlich den Strafen-Katalog, sollte man das Ziel verfehlen. Beide müssen also entsprechend angewendet und umgesetzt werden. Siehe entsprechend BDSG neue Fassung (nF).
Kurz um, es geht nicht um Paragrafen und Bücher, sondern um Menschen und deren Schutz auf Unversehrtheit und Selbstbestimmung, in Juristendeutsch um „personenbezogene Daten“. Diese Daten gilt es zu schützen, koste es was es wolle – ganz so ist es nicht, der Gesetzgeber hat eine Obergrenze bei 20 Mio. Euro oder 4 Prozent vom Jahresumsatz pro Fall gesetzt – Gott sei Dank. Der Kaufmann in mir ist geradezu einer Supernova explodiert und anschließend im gerade entstandenen Schwarzen Loch verschwunden. Alarm, Alarm – Risikomanagement, welche Firma kann das aushalten? Etwa Ihre? Da hat man über Jahre und Jahrzehnte eine Firma aufgebaut und dann kann mit einem Vorfall alles vorbei sein. Beweislastumkehr, – aha – jede Firma muss im Stande sein, selber festzustellen, dass es zum Datenverlust gekommen ist und das natürlich zu jedem Zeitpunkt.
Alle Betroffenen sind mit entsprechender Nachweispflicht und in deren Sprache, sodass sie es auch verstehen können, zu unterrichten. Darüber hinaus muss man sich quasi bei den zuständigen Behörden selber anzeigen – toll oder? Lassen wir uns das mal auf der Zunge zergehen. „Nachweispflicht“ es reicht also nicht, eine E-Mail oder traditionell einen Brief zu versenden, wir brauchen zukünftig nicht nur eine Sendebestätigung, sondern eine ich habe „gelesen und verstanden“ Bestätigung zurück. Ok, das haben wir als zukünftigen Auftrag verstanden, aber das war ja nicht alles.
In einer Sprache, die der Betroffene versteht, ist ja klar, ist ja eine EU Richtlinie. Hmmm aber woher weiß ich, welche Sprache der Betroffene spricht bzw. angesprochen werden kann? In Zeiten vom Internet keine leichte Aufgabe, muss also ein neues Pflichtfeld her, was zusätzlich zu den bisherigen Daten aufgenommen werden muss. Und dann brauchen wir alle ein richtig gutes Übersetzungstool von deutsch in alle anderen Sprachen oder viele menschliche Übersetzer und Übersetzerinnen. Und was, wenn ich den Betroffenen weder über die angegebene Anschrift noch seine E-Mail-Adresse erreichen kann?
Solche Fälle gibt es natürlich in der Praxis nicht – quasi per Gesetzt nicht, dafür sind die ja da, „um Rechtssicherheit“ zu schaffen. Da war es wieder, zukünftige Geschäfte nur noch mit „Postident“, um für alle Beteiligten „Rechtssicherheit“ zu schaffen oder wie soll das gehen? „Rechtssicherheit“ ja „Rechtssicherheit“ klingt einfach, muss organisiert und überwacht werden, tolle Sache wirklich!
Ich könnte wetten, jeder hat schon im vorauseilenden Gehorsam von irgendeiner Firma eine E-Mail oder einen Brief bekommen mit dem Inhalt, „… wir haben von Ihnen gespeicherte personenbezogene Daten, die wir … sollten Sie dieses nicht wollen, können Sie unter folgendem Link oder Anlage ganz einfach widersprechen“ so oder so ähnlich. Klingt zwar nett, stellt aber unter dem Aspekt der „Beweislastumkehr und der Rechtssicherheit“ ein ziemlich dünnes Eis dar! Jetzt kommt es auf Schlagwörter an wie Datenvermeidung, Schutzwürdigkeit, andere mitgeltende Gesetze die z.B. Aufbewahrungspflichten auferlegen und natürlich die klassischen W-Fragen müssen beantwortet werden. Wofür (Zweck) werden die Daten gespeichert, wie lange und wo werden sie wie gespeichert? Ok, also dünnes Eis ist Mist, besser ist dicker Stahlbeton, Hochwasser- und Erdbeben sicher – ja das ist viel besser!
„Bei unserer maschinellen und individuellen Tiefenprüfung Ihrer personenbezogenen Daten haben wir unterschiedliche Sachverhalte festgestellt und dementsprechend eine Gruppierung vorgenommen: Gruppe A sind Daten, wo der Gesetzgeber Aufbewahrungsfristen definiert hat. Diese Daten sind, entsprechend aktueller Archivierungsvorschriften, in unserer verschlüsselten Cloud sowohl anonymisiert als auch pseudonymisiert, auf redundanten Datenträgern gespeichert und werden automatisch nach Erlöschung der Fristvorschrift unwiederherstellbar nach dem Stand der Technik gelöscht. Gruppe B sind Ihre Stammdaten und wurden vor Inkrafttreten der DSGVO erhoben und gespeichert, daher fehlen diverse Hinweise unsererseits und Ihre gesonderten und klassifizierten Freigaben zur Speicherung und Verwendung. Aus diesem Grund werden diese Daten unverzüglich gelöscht. Gruppe C sind Ihre Flussdaten, diese werden ebenfalls sofort gelöscht. Dieser Hinweis selber bzw. dieses Schreiben kommt in die Gruppe A und wird nach jetzigem Kenntnisstand mit den Löschhinweisen automatisch nach 30 Jahren gelöscht. Zukünftig können Sie, entsprechend unserer Verfahrensübersicht und Prozesslandschaft, den Umgang Ihrer Daten für die Gruppen B und C konfigurieren. Im Anschluss erhalten Sie eine Autorisierungs-E-Mail, die Sie bestätigen müssen. An diese geht dann einen detaillierten Bericht, in der ausgewählten Sprache, über ihre personenbezogenen Daten. Sie können jederzeit nach einem standardisierten Verfahren und der vorherigen Authentifizierung Ihre gespeicherten Daten erfragen und löschen lassen. Ansonsten werden diese automatisch entsprechend Ihrer Freigabe für die Nutzungsdauer gelöscht. Eine Verlängerung der Nutzungsdauer ist leider nicht möglich, da bei der Erhebung eine Klassifizierung erfolgt und das „Recht auf Vergessen“ schwerer wiegt, als das neu eingeräumte Nutzungsrecht. Wir versichern Ihnen, dass die Mitarbeiter und Mitarbeiterinnen, die die individuelle Tiefenprüfung durchgeführt haben, dafür autorisiert sind und eine gesonderte Geheimhaltungsvereinbarung unterschreiben mussten, die den Umgang von personenbezogenen Daten nach den gültigen Verordnungen und Gesetzen regelt.“
– Wow.. – Wer kann da noch meckern? Schade nur um die Daten, aber wer begibt sich schon gerne auf dünnes Eis – Sie?
Jetzt muss es nur schnell gehen und schwere Entscheidungen sind zu treffen, um in eine gesicherte Unternehmenszukunft gehen zu können.
Ich bin einer von mehreren Spezialisten, die verstanden haben, auf was es jetzt ankommt. Wir können Ihnen mit technischen Lösungen aus dem eigenen Haus und in Verbindung mit Microsoft individualisierte Cloudlösungen anbieten, um ihre Prozesse so anzupassen und ggf. neue einzuführen, damit Sie DSGVO konform arbeiten können.
Brauchen Sie noch einen Xpertenrat?
