Da hab’ ich doch gestern wieder einige Leute verschreckt. Mit geweiteten Augen erwarteten die das Unheil, das gleich über sie hereinbricht. Der erste Termin mit dem neuen Datenschutzbeauftragten. Auweia.
Mir ist ja schon klar, dass meine Beliebtheitswerte in Unternehmen kurz vor denen des Finanzbeamten kommen. Immerhin. Umso schöner ist es, wenn man dann für etwas Aufklärung sorgen kann und nicht alles noch viel schlimmer kommt, als es die Leute erwartet haben.
Gerade Unternehmen, die beim Datenschutz nicht gut aufgestellt sind, schieben diese unangenehme Erkenntnis gerne weit von sich. Das kennen sicher viele vom Zahnarzt. Aber auch beim Datenschutz werden die Schmerzen irgendwann so groß, dass eine Behandlung unumgänglich ist.
Blöd, wenn dann schon so viel vorher schiefgelaufen ist, dass man gar nicht weiß, wo man anfangen soll. Die schlechteste Idee ist es, den Kopf wieder zurück in den Sand zu stecken.
An dieser Stelle habe ich meist mehrere (gute) Nachrichten:
- Die Vergangenheit ist Geschichte. Jetzt ist die Notwendigkeit, etwas zu tun, erkannt und ab jetzt werden die Dinge konsequent “richtig” gemacht. Möglichst viel Balast abwerfen, der behindert mehr als dass er nützt.
- Mit einem guten Plan in der Tasche, hat man auch mit Aufsichtsbehörden meist eine solide Diskussionsgrundlage, selbst wenn einige Dinge noch im Argen liegen. Wer sich ernsthaft bemüht, der trifft meist auf offene Ohren.
- Rom ist nicht in einem Tag erbaut. Was man über Jahre verbummelt hat, kann man deshalb auch nicht in einem Tag mal eben aufholen. Der Aufbau einer Datenschutzorganisation braucht Zeit. Die sollte man sich auch zugestehen, damit die Dinge gründlich erarbeitet werden können.
Als eine der allerwichtigsten Aufgaben steht zu Beginn die Transparenz. Viele bekommen dann gleich einen Fluchtreflex, wenn ich von der Dokumentation der Verarbeitungstätigkeiten (VVT) spreche. “Hilfe, nicht noch ein Bürokratiemonster. Wir müssen doch sowieso und ständig irgendetwas dokumentieren.”
Auch hier kann ich meist beruhigen. Im Gegensatz zu vielen “unsinnigen” Dokumentationspflichten, ist ein VVT auch für das eigene Unternehmen eine höchst sinnvolle Sache. Viele der regelmäßigen Datenschutzpflichten lassen sich mit einem gut gepflegten Verzeichnis der Datenverarbeitungen deutlich effizienter und genauer erfüllen.
Und wenn man es richtig macht, zahlen die gesammelten Informationen auch für QM und Informationssicherheit ein (oder auch umgekehrt).
Man kann beim Datenschutz viel falsch machen, aber nichts zu machen, ist definiv der größte Fehler, den man begehen kann.
Also, Monster gibt es im Datenschutz nur, wenn man das zulässt, weil man zu lange nichts gemacht hat. Und da hilft einfach nur, anfangen!
