Datenschutz-Doku: Warum so unbeliebt?

  • 4 Minuten Lesezeit

In den letzten 5 Jahren meiner Tätigkeit als Datenschutzbeauftragter habe ich noch kein Unternehmen angetroffen, das mit voller Freude seine Datenschutzdoku erstellt. Warum eigentlich nicht? Dieser Beitrag versucht eine Annäherung.

Rechenschaftspflicht Art. 5 Abs. 2 DSGVO

Wo kommt die Pflicht zur Anfertigung einer Datenschutzdoku her? In der Datenschutz-Grundverordnung heißt es in Art. 5 Abs. 2 ganz lapidar:



Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).




Was bedeutet dies? Kurz gesagt: Eine Beweislastumkehr!

Beweislastumkehr

Während der Staat Ihnen im Strafrecht nachweisen muss, dass Sie eine Straftat begangen haben, muss im Datenschutzrecht die Aufsichtsbehörde Sie nur dazu auffordern, Ihre Datenschutzdokumentation herauszugeben. Sie als Unternehmen müssen praktisch "die Hosen runterlassen" und vorlegen, was Sie haben. Wenn Sie nichts vorzulegen haben - schlecht. Dann gibt es die Probleme gleich im Doppelpack:

Zum einen verstoßen Sie gegen Art. 5 Abs. 2 DSGVO, was bereits zu einem Bußgeld führen kann.
Und zum anderen präsentieren Sie der Aufsichtsbehörde auf dem Silbertablett, dass Sie die übrigen Pflichten aus DSGVO und BDSG auch nicht erfüllt haben. Dafür dürfte es dann noch einmal ein Bußgeld geben.


Bußgeld gegen VfB Stuttgart 1893 AG

In der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg heißt es:


Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink schließt das Verfahren gegen die VfB Stuttgart 1893 AG ab und erlässt ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.



Bußgeld gegen Danske Bank

In der Pressemitteilung der dänischen Aufsichtsbehörde für den Datenschutz heißt es:


Die dänische Datenschutzbehörde stellt fest, dass die Danske Bank nicht in der Lage war, zu dokumentieren, dass sie personenbezogene Daten gemäß den Datenschutzbestimmungen gelöscht hat, und hat daher eine Geldbuße von 10 Millionen DKK empfohlen. 


Dies sind umgerechnet ca. 1,3 Millionen €.


Warum ist die Doku so unbeliebt?

Zugegeben: Durch eine vollständige Datenschutz-Dokumentation im Unternehmen werden temporär Ressourcen gebunden und das Unternehmen steigert (erst einmal) seinen Umsatz nicht um einen einzelnen Cent. Kurz gesagt: Es kostet nur Geld!

Zudem sind viele Verantwortliche der irrigen Auffassung, dass man ja diese Dokumentation dann noch erstellen könne, wenn die konkrete Anfrage von der Aufsichtsbehörde kommt.

ABER: Das ist ein Trugschluss. Je nach Unternehmensgröße kann eine vollständige Doku gerade nicht in mehreren Tagen angefertigt werden. Zumal eine zügige Erstellung meist daran scheitert, dass die nötigen Informationen aus dem Unternehmen erst einmal zusammengesammelt werden müssen. Denn die liegen nicht in einer Schublade. Sonst hätten Sie Ihre Doku ja bereits. Genau dieses "Informationen zusammensammeln" dauert Zeit.

Best practice

Bei meinen Mandanten hat sich folgendes Vorgehensweise bewährt:

  1. Struktur
    Ich versuche, meinen Mandanten eine Struktur an die Hand zu geben. Wie ein Setzkasten für kleine Figuren. Im Datenschutz ist das eine spezielle Cloud-Software, die genau die Anforderungen an eine Datenschutz-Dokumentation abbildet und meinen Unternehmen die Struktur vorgibt, die befüllt werden muss.
  2. Sinn und Zweck
    Meinen Mandanten erläutere ich, warum "gerade die Figur in jenes Feld muss" - mit anderen Worten: Warum welche Informationen in welche Felder eingetragen werden müssen. Dies vermittelt den Menschen, dass sie eine sinnvolle Tätigkeit machen und keine stupide.
  3. Erfolge sehen
    Psychologisch ist der beste Antrieb für eine Tätigkeit: Der sichtbare Erfolg. Wenn sich der Statusbalken von rot über orange nach grün ändert ist klar: Ich habe das erreicht, was von mir gefordert wurde.

Tempus fugit - die Zeit vergeht

Beim zeitlichen Ablauf kommt es entscheidend auf den Mandanten an. Die einen möchten kleine Brötchen backen - für die gilt der Leitspruch: "Steter Tropfen höhlt den Stein".

Die anderen Mandanten möchten das Projekt "en block" abarbeiten. Sprich: Lieber mal 4 Wochen richtig reingehängt und sich dann wieder um andere Sachen kümmern.

Welches Strategie für Sie die richtige ist? Das ermitteln wir natürlich zusammen!

Checkliste Datenschutz-Doku

  1. Es stellt sich nicht die Frage OB Sie es brauchen, sondern nur WANN Sie es machen.
  2. Holen Sie sich einen kompetenten Ansprechpartner dazu, der Sie einerseits mit Strukturen unterstützt und andererseits motiviert, das Projekt durchzuziehen.
  3. Überwinden Sie Ihren "Schweinehund" und fangen JETZT an. Bei den kommenden Vorsätzen für das neue Jahr können Sie sich dann bereits stolz auf Ihre eigene Schulter klopfen!

Als TÜV-zertifizierter Datenschutzbeauftragter steht Ihnen 

Marc Oliver Giel

gerne für ein erstes Kennenlernen zur Verfügung. Buchen Sie gleich Ihren unverbindlichen Telefontermin.

Foto(s): http://kurznach12.de/

Rechtstipp aus dem Rechtsgebiet

Artikel teilen:


Sie haben Fragen? Jetzt Kontakt aufnehmen!

Weitere Rechtstipps von Rechtsanwalt Marc Oliver Giel

Beiträge zum Thema