Datenschutzdokumentationssysteme verfolgen vordergründig die Dokumentationspflicht gemäß DSGVO mit dem Ziel, spätesten jährlich einen PDF-Export zu generieren und sich vor evtl. Pönalisierung abzusichern.
Als ob damit alles erledigt wäre.
Den Behörden gegenüber mag so der Nachweis einer vermeintlichen Datenschutz-konformität genügen. Aber einer Datenschutzverletzung mit Datenschutzsystemen oder -abonnements ohne intensive Mitwirkung der Verantwortlichen und ohne fachlichen Beistand in Anspruch zu nehmen, vorzubeugen, scheint eher illusorisch, als man annimmt, dass ein alljährlich aktualisierter Zeitstempel ein aktives Datenschutzmanagement rechtfertigen könnte.
Lediglich ein interner oder externer Datenschutzbeauftragte/r, allenfalls ein Datenschutzmanager verkörpert meistens als einzige Person den Datenschutz in einer Organisation. Bei Freelancern und Kleinunternehmen ist das nachvollziehbar, aber nicht in Unternehmen oder Vereinen, welche abteilungsweise oder zuständigkeitsweise mit einer Vielzahl von Mitarbeitern oder Mitgliedern echten Datenschutz mit Grundsätzen und Prinzipien praktizieren müssten. Sie dokumentieren lediglich den Idealzustand aber nicht den gegebenen und dynamischen Ist-Zustand der realen Arbeitsumgebung. Wer sich spätestens jetzt keine Gedanken dazu macht und meint, er habe seiner Datenschutz-verantwortung per Abonnement oder Delegierung gereicht, befindet sich auf dem #Holzweg.
Systemtechnischer sowie personeller und informeller Einsatz mag auf der Ebene der Datenschutzverantwortlichen ausreichen, wenn nicht mehr als nur eine Alibifunktion ausgefüllt werden soll. Wer nicht konsequent alle Verantwortlichen, Zuständigen, Mitarbeiter, Mitwirkende und Betroffene aktiv einbindet, hat den Datenschutz nicht verstanden und setzt früher oder später seine Organisation in Sichtweite der zuständigen Behörden.
Lösung ist ein agiles Datenschutzmanagement nach den Ansätzen von Scrum, Objektcs and Key Results (OKR) und Holokratie. Hier erreichen Verantwortliche mit einem entsprechenden Berechtigungskonzept ausnahmslos alle Mitwirkende und Betroffenen. Nur so kann man den Fortschritt und die Hindernisse des Datenschutzes erfahren, die Ergebnisse und Funktionalitäten bewerten und Anforderungen kontinuierlich strukturieren und anpassen.
Erst wenn sich der Grad der Durchdringung einer Datenschutzkonformität in allen Bereichen einer Organisation messbar steigert, befindet man sich auf dem richtigen Weg.
Insofern bedeutet Datenschutz:
ein Management von personenbezogenen Daten in Aufgaben bzw. Tätigkeiten mit konkreter Beschreibung, Orts und Zeitbestimmung, sowie Korrelationen mit Geschäftsprozessen und Fristen, Zuständigkeiten, Anwendungen und Rechtsgrundlagen, mit technischen und organisatorischen Maßnahmen (TOMs), mit Bedrohungslagen und Datenschutzfolge-abschätzungen (DSFA), mit Grundsätzen, Prinzipien, Berechtigungskonzepten und IT-Grundschutz
in Zusammenarbeit mit allen Mitwirkenden und Betroffenen und keine Administration zum systemgestützten Herstellen und Verteilen von Berichten, Exports sowie An- und Einweisungen.
Der bdvv rät seinen Vereins- und Verbandskollegen dringend nicht zu glauben, ein Datenschutzabonnement würde Datenschutzkonformität ersetzen.
Scheuen Sie nicht, uns zu kontaktieren. Der bdvv hält ein agiles und intrinsisches Datenschutzkonzept für seine Mitglieder, Vereine und Verbände und deren Mitglieder schon in petto.
Comments