„Datenschutz sichert und schafft Werte“
05.07.2019
[IITR – 5.7.19] Von der auf Datenschutz spezialisierten Beratung zum Anbieter von technischen Lösungen: Wie die Münchner IITR Datenschutz GmbH Unternehmen hilft, Datenschutz in Prozessen zu implementieren und zu dokumentieren.
Für die meisten Unternehmen ist Datenschutz ein rotes Tuch: Laut EU Datenschutz-Grundverordnung (DSGVO) müssen sie nachweisen können, dass sie personenbezogene Daten datenschutzkonform verarbeiten. Das hat den Dokumentationsaufwand seit Einführung der DSGVO im Mai 2018 erhöht – aber auch dazu geführt, dass ein Anwalt und Datenschutz-Dienstleister aus München sich zum Anbieter technischer Lösungen für den Datenschutz wandelte. Dr. Sebastian Kraska und sein Unternehmen, die Gesellschaft IITR Datenschutz GmbH, bieten Unternehmen praktische Datenschutz-Managementsysteme, mit deren Hilfe sich rechtssichere Prozesse zur Speicherung und Verarbeitung von Daten in allen Abteilungen aufbauen, weiterentwickeln und dokumentieren lassen.
Frau Susanne Vieser, freie Journalistin aus München, führte dazu mit Dr. Sebastian Kraska am 13. Juni 2019 in den Geschäftsräumen der IITR Datenschutz GmbH ein Interview.
Strukturierte und standardisierte Prozesse gefordert
„Schon seit zehn Jahren unterstützen wir Unternehmen als externe Datenschutzbeauftragte und schulen Mitarbeiter. Dabei entstand die Notwendigkeit, für die Beratung und die Trainings skalierbare Produkte zu entwickeln“, erzählt Kraska, promovierter Jurist und Geschäftsführer der IITR Datenschutz GmbH, von der Entstehung des Datenschutz- und des Compliance-Kits. „Datenschutz und die DSGVO fordern von den Unternehmen strukturierte und teils standardisierte Prozesse – diese unterstützen wir mit einem Zugang auf webbasierte Plattformen, in denen sich alle Datenverarbeitungs-Schritte dokumentieren lassen.“ Wie das funktioniert, wie Unternehmen Datenschutz umsetzen und ihre Maßnahmen mit wenig Aufwand nachweisen können, erklärt Sebastian Kraska im Interview.
Datenschutz ist für die meisten Unternehmer langweilig, aufwändig, kompliziert – was finden Sie daran spannend?
Dr. Sebastian Kraska: Ich bin während meines Jura-Studiums zum Datenschutz gekommen, weil ich mich zunächst mit IT-Recht beschäftigte und als Praktikant bei einer internationalen Kanzlei auch mit Fragen des Datenschutzes in Kontakt kam. Die Kanzlei widmete sich damals, Anfang der 2000er Jahre schon intensiv dem Datenschutz und war in das Safe-Harbor-Modell involviert, das den Austausch von personenbezogenen Daten aus Europa mit den USA klären sollte. Mit dem Erfolg von Google und anderen Internet-Unternehmen war es außerdem absehbar, dass neue Geschäftsmodelle auf Daten basieren und damit Datenschutz zum wichtigen Thema wird. Das faszinierte mich, und es bleibt ja weiterhin spannend.
Sicherheit durch elektronische Dokumentation
Die Datenschutz-Grundverordnung ist vor Kurzem ein Jahr alt geworden – welche Bilanz ziehen Sie?
Kraska: Eine gemischte, die Harmonisierung des Datenschutz-Rechts in Europa ist sinnvoll, die DSGVO verfolgt die richtigen Ziele, den Schutz persönlicher Daten, verbindliche Regeln zur Verarbeitung, vor allem das Begrenzen der Speicherung durch das Diktat der Zweckgebundenheit. Wie immer bei neuen Gesetzen braucht es aber noch mehr Zeit, damit Aufsichtsbehörden und Rechtsprechung Standards bilden, so dass es für Datenschutzbeauftragte oder Anwälte einschätzbarer wird, wie strittige Fragen gelöst werden und was sie ihren Klienten empfehlen können.
Trotzdem – Unternehmen fühlen sich immer noch verunsichert und überfordert, vor allem durch die Dokumentation ihrer Datenverarbeitung.
Kraska: Im Vergleich zur vorherigen europäischen Datenschutz-Richtlinie hat sich mit der DSGVO inhaltlich an vielen Stellen an sich nicht viel verändert, allerdings ist der Dokumentationsaufwand enorm gestiegen. Laut Artikel 5, Absatz 2 müssen Unternehmen die Rechtmäßigkeit ihrer Datenspeicherung und -Verarbeitung nachweisen. Dafür müssen sie ihre Prozesse so strukturieren, dass dieser Nachweis jederzeit möglich ist. Aus unserer langjährigen Arbeit als Datenschutzbeauftragte für Unternehmen haben wir deshalb das Datenschutz- sowie das Compliance-Kit entwickelt. Mit beiden webbasierten Plattformen können sich kleinere und größere Unternehmen in punkto Datenschutz rechtskonform aufstellen.
Tools vereinfachen den Nachweis von Datenschutz
Wie funktioniert das?
Kraska: Wir bieten mit dem Datenschutz- und dem Compliance-Kit Datenschutz-Managementsysteme, mit deren Hilfe Unternehmen Schritt für Schritt rechtskonforme Datenschutz-Prozesse aufbauen und diese dann weiterentwickeln und dokumentieren können. Checklisten helfen dabei, die Datenverarbeitung in allen Abteilungen zu prüfen und bei Bedarf neue Aufgaben zum Datenschutz strukturiert einzuführen. Mit Textvorlagen lassen sich wiederum Beschäftigte auf den Datenschutz verpflichten oder Verträge für Dienstleister formulieren. Archivieren Unternehmen diese und weitere Dokumente zum Datenschutz, etwa die Korrespondenz mit Kunden oder Behörden, entsteht automatisch eine vollständige Dokumentation ihrer Datenverarbeitung. Mit dieser können sie stets Rechenschaft ablegen und ihre Rechtskonformität nachweisen. Änderungen an den Dateien werden neu versioniert und nachweisfähig abgelegt. Beide Kits enthalten außerdem eLearning-Module, mit denen Beschäftigte nachweisbar geschult werden.
Kommt das bei den Unternehmen an?
Kraska: Ohne diese Tools wird der Nachweis, rechtskonform mit Daten umzugehen, nur sehr schwer und aufwändig zu führen sein. Sie minimieren außerdem Haftungsrisiken, in Streitfällen oder bei Kundenfragen können sofort alle Maßnahmen belegt werden. 125.000 Schulungen mit den eLearning-Modulen zeigen das hohe Interesse, und Anwender bestätigen uns immer wieder, dass die Tools von IITR Datenschutz leicht zu bedienen sind, Prozesse beschleunigen und Zeit sparen helfen.
Das richtige Werkzeug für jede Unternehmensgröße
Wen sprechen Sie damit an – größere oder kleinere Unternehmen?
Kraska: Das Datenschutz-Kit mit integriertem Leitfaden richten wir an kleine Betriebe, die bis zu 20 Angestellte beschäftigen, und an Einzelunternehmer, Dienstleister, Vereine oder Organisationen. Für knapp 30 Euro im Monat stellen wir zu Schulungen und Datenschutz-Management noch den externen Datenschutzbeauftragten. Das Compliance-Kit mit integriertem Handbuch nach ISO-Standard ist indes auf die Bedürfnisse mittelständischer und international agierender Unternehmen abgestimmt. Damit können mehrere Verantwortliche mit unterschiedlichen Zugangsrechten arbeiten. Das Compliance-Kit bildet eine Art „Schweizer Taschenmesser“ für das Datenschutz-Team im Unternehmen. Unser Datenschutz-Managementsystem ist darauf vorbereitet, um weitere Standards zur Informations- und Datensicherheit erweitert zu werden und internationales Datenschutzrecht abbilden zu helfen. Das Compliance-Kit selbst genügt den gängigen Standards für Managementsysteme, etwa der ISO High Level Structure (HLS).
Ersetzen die Kits einen Datenschutzbeauftragten?
Kraska: Nein, keines der Module ersetzt den Datenschutzbeauftragten. Laut DSGVO soll dieser das Unternehmen in Sachen Datenschutz unterstützen, er übernimmt daher in seiner Rolle auch rechtliche Pflichten. Im Datenschutz-Kit für kleine Betriebe wird der externe Datenschutzbeauftragte durch uns gestellt und ist in das Gesamtpaket integriert. Wer hingegen das Compliance-Kit nutzt, beschäftigt bereits entweder einen eigenen internen oder externen Datenschutz-Beauftragten oder delegiert diese Funktion zusätzlich an die IITR Datenschutz GmbH.
Mit mehr Kontrollen der Aufsichtsbehörden ist zu rechnen
Wie wichtig sind das Einhalten und die Dokumentation des Datenschutzes wirklich – kontrollieren die Aufsichtsbehörden das eigentlich?
Kraska: Es wird zunehmend geprüft. Wir beobachten in den letzten Monaten, dass nach einer Übergangsfrist die Behörden nun ihre Beratungstätigkeiten zugunsten von Kontrolle und Durchsetzung der DSGVO zurückfahren. Sie starten bei den Konzernen und wollen stichprobenartig auch im Mittelstand Datenschutzmaßnahmen samt Dokumentation prüfen. Auch ohne diese Kontrollen – Datenschutz sichert Werte, nämlich Daten. Durch die rechtmäßige Verarbeitung minimieren Unternehmen Haftungsrisiken oder die Gefahr von Verboten. Nicht zuletzt können sie mit Datenschutz auch werben, also eigene Werte schaffen.
Wo schauen die Behörden besonders genau hin?
Kraska: Der Fokus liegt sicher auf Unternehmen, die Gesundheitsdaten erheben und speichern, weil solche Daten als besonders sensibel gelten und ein Datenverlust hier schwer wiegt. Auch datengetriebene Unternehmen, etwa aus E-Commerce, Werbung, zunehmend auch aus der Produktion, stehen unter erhöhter Aufmerksamkeit.
Mit Datenschutz um das Vertrauen von Kunden werben
Sie meinen, Datenschutz kann auch zur Eigenwerbung genutzt werden. Ist Datenschutz Verbrauchern wichtig und achten sie überhaupt darauf?
Kraska: Sie reagieren jedenfalls immer sensibler auf Fragen rund um die Verarbeitung und Sicherung persönlicher Daten, das ist sicher eine Folge der Diskussionen rund um die DSGVO und der letzten Missbrauchsfälle. Daten zu schützen, heißt ja, Vertrauen zu schaffen: Unsere Tools machen Maßnahmen sichtbar und belegbar und so können sie leicht nach außen getragen werden. Viele Unternehmen sind immer noch unsicher, auf welchem Niveau sich ihre Organisation in Sachen Datenschutz befindet, deshalb bieten wir als weitere vertrauensbildende Maßnahme ein IITR-Zertifikat an. Die Crux für Unternehmen ist, Datenschutz nicht nur in ihren Prozessen umzusetzen, sondern Sicherheitsmaßnahmen auch so nachzuweisen, dass Dritte diese anhand der Dokumentation sofort nachprüfen können. Mit unseren Certified Private Standards ist das auf einen Blick möglich, CPS 100 zertifiziert Unternehmen, CPS 600 kleine Betriebe und CPS 300 Dienstleister und stellt sicher, dass sie nach geltendem Recht und mit standardisierten Prozessen personenbezogene Daten verarbeiten. Im Streitfall wirkt ein solches Zertifikat aus unserer Sicht haftungsmindernd.
Kann ein Zertifikat tatsächlich unter Mitarbeitern Einstellungen verändern helfen?
Kraska: Jede Form der Sensibilisierung und der aktiven Behandlung des Themas Datenschutz stärkt die Wahrnehmung im Unternehmen. Nicht umsonst liest man aus der DSGVO ja auch die Verpflichtung heraus, Schulungen durchzuführen und dies zu dokumentieren. Informationen und Zertifikate garantieren zwar nicht, dass sich jeder Beschäftigte immer datenschutz-konform verhält, aber die Implementierung sicherer Prozesse, Trainings, eventuell noch das Zertifikat zeigt Angestellten, dass Datenschutz dem Unternehmen wichtig ist.
Eine Messe und Netzwerke für den Wissensaustausch
Wie geht es weiter mit Ihren Datenschutz-Werkzeugen und mit der Rechtslage?
Kraska: Wir haben mit dem Compliance-Kit 2.0 gerade die nächste Version des Datenschutz-Managementsystems veröffentlicht. Das Tool zeigt den Nutzern den aktuellen Datenschutz-Status und wo noch Fragen zu bearbeiten sind, die eLearning-Module sind in Deutsch und Englisch abrufbar. Nicht jedes Unternehmen kann sich die Arbeit machen, ein solches Datenschutz-Managementsystem zu entwickeln oder wird die nicht unerheblichen Mittel dazu bereitstellen wollen, so dass wir unsere Datenschutz-Managementsysteme kontinuierlich weiterentwickeln und zu äußerst günstigen Konditionen den Profis sowie dem Markt zur Verfügung stellen. Nicht zuletzt wird gerade in der EU an der E-Privacy-Verordnung gearbeitet. Wir beobachten, dass gerade die deutsche Datenschutz-Behörden hier eine sehr strikte Linie fahren und eine eigene Zustimmung fordern, wenn Nutzer über die eigene Website hinaus im Internet nachverfolgt oder getrackt werden sollen. Setzt sich diese Auffassung durch, sind die wichtigsten, strittigen Punkte bereits vorentschieden – was wir natürlich in unseren webbasierten Tools und Datenschutz-Kits ebenfalls berücksichtigen werden.
Woher bekommen Sie denn all die Informationen rund um Datenschutz und Sicherheit?
Kraska: Die IITR Datenschutz GmbH arbeitet jetzt seit über zehn Jahren an Fragen des Datenschutzes. Wir haben im Lauf dieser Jahre ein zuverlässiges und nützliches Netzwerk zu Rechtsspezialisten, Aufsichtsbehörden, Datenschutzbeauftragten und Sicherheitsspezialisten aufgebaut, mit denen wir regelmäßig diskutieren. Seit einiger Zeit bin ich außerdem Country Leader der International Association of Privacy Professionals (IAPP) für den deutschsprachigen Raum. Das ist mit 50.000 Mitgliedern die weltweit größte Organisation von Datenschutz-Spezialisten und dient dem Wissensaustausch. Wir organisieren mit der IAPP einmal im Jahr einen Datenschutz-Kongress in München als wichtigem IT-Standort in Deutschland, das nächste Mal findet er am 18. und 19. September statt.
Vielen Dank für das Gespräch.
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.