Christian Köhler, Leiter Datenschutz bei fly-tech, erklärt im Interview, worauf es bei der Umsetzung der DSGVO im Mittelstand ankommt.
Christian, es gibt noch immer Unternehmen im Mittelstand, die sich nicht mit dem Thema Datenschutz und der DSGVO auseinandersetzen. Woran liegt das?
Das ist meines Erachtens in vielen Fällen schlicht und ergreifend der fehlenden Zeit geschuldet. Viele Geschäftsführer aus dem Mittelstand stecken so tief im Tagesgeschäft, dass sie einfach nicht dazu kommen, sich mit den Themen Datenschutz und DSGVO zu beschäftigen. Andere sehen das Thema Datenschutz einfach als Kostenfaktor, der nichts einbringt. Wobei das zu kurz gedacht ist.
Aber mit Datenschutz verdient man doch auch kein Geld?
Nicht direkt. Aber gerade mittelständische Unternehmen, die mit größeren Firmen zusammenarbeiten, brauchen immer häufiger eine saubere Dokumentation des Datenschutzes, um überhaupt mit ihnen ins Geschäft zu kommen. Daher ist es wichtig, Datenschutz als Qualitätsfaktor zu sehen, um sich vom Wettbewerber abzuheben.
Für dich muss Datenschutz etwas Praktisches sein. Bei der Flut an Paragrafen, die sich um das Thema dreht, scheint es mir schon sehr theoretisch …
Bei aller Theorie muss Datenschutz in der Praxis leicht anzuwenden sein. Es geht nicht darum, Buchstabe für Buchstabe das Gesetz anzuwenden. Es geht darum, pragmatische und einfache Lösungen zu finden, die mit möglichst wenig Aufwand umgesetzt werden können. Wenn man zu sehr am Gesetz hängt, dann ist man zu weit weg von der betrieblichen Realität. Wir prüfen, was der Gesetzgeber erreichen wollte und setzen es möglichst einfach für die Unternehmer um.
Wenn du als externer Datenschutzbeauftragter zum ersten Mal in ein Unternehmen kommst, wie läuft das dann genau ab?
Das Wichtigste ist die Kennenlernphase. Als erstes möchten wir verstehen, wie das Unternehmen funktioniert. Welche Strukturen hat es? Wie sind die Verantwortlichkeiten? Was wurde in Sachen Datenschutz bereits gemacht?
Und wenn ein Unternehmen schon einmal aktiv geworden ist?
Dann sichten wir die vorhandenen Unterlagen und bewerten den Status Quo. Falls nötig, geben wir hier schon Tipps, was noch umgesetzt werden muss.
Was, wenn ein Unternehmen aus dem Mittelstand noch nie mit Datenschutz und der DSGVO in Berührung kam?
Wir haben die DS-GVO in 20 Arbeitspakete aufgeteilt und gehen diese im Unternehmen Schritt für Schritt durch. So finden wir heraus, wo die Firma steht und was zu tun ist. Das spart ein aufwendiges Datenschutz-Audit, das in erster Linie Kosten verursacht. Im Anschluss definieren wir eine Datenschutzleitlinie für das Unternehmen.
Was ist dann der erste konkrete Schritt?
Wir erstellen das Verzeichnis der Verarbeitungstätigkeiten. Das ist auch immer das erste, was die Aufsichtsbehörden im Falle einer Kontrolle sehen wollen. Darin steht, wo die personenbezogenen Daten im Unternehmen gespeichert sind, welche überhaupt erfasst werden, wann sie an wen weitergegeben werden und ähnliches.
Und zweitens?
Zweitens steht die Mitarbeitersensibilisierung an. Weil das so wichtig ist, kommt das bei uns schon in einer frühen Phase. So verhindern wir, dass sich falsche Informationen und Anforderungen verbreiten. Dann kommt ein sehr wichtiger Schritt: Transparenz herstellen.
Transparenz und Datenschutz klingt aber nicht so, als würde es zusammenpassen …
Transparenz ist sogar etwas sehr Wichtiges. Das Unternehmen muss den Kunden gegenüber transparent sein. Sie müssen mitteilen, was sie mit den Daten machen. Das gilt übrigens auch für die Daten der Mitarbeiter und Bewerber. Dabei achten wir darauf, dass wir unseren Kunden dieses Thema so leicht wie möglich machen. Beispielsweise bringen wir Hinweise auf Websites unter, nutzen vorgefertigte PDFs oder Links in Signaturen. Unsere Kunden sollen nicht bei jeder Mail überlegen, was sie nun mitteilen müssen, oder nicht. Das ist praktischer Datenschutz.