Wir freuen uns sehr, dass Herr Jürgen Litz, Geschäftsführer bei cobra CRM computers brainware GmbH, uns zur Teilnahme an der Blogparade zu dem Thema „365 Tage DSGVO“ eingeladen hat. Gerne beteiligen wir uns mit nachfolgendem Beitrag.

Ein Punkt, der uns bei sehr vielen Bestandsaufnahmen, Schulungen und Leserfragen aufgefallen ist, ist dass die DSGVO die Unternehmen indirekt „zwingt“, sich um die Datenverarbeitung im Unternehmen Gedanken zu machen und dies oftmals sehr zum Vorteil der Unternehmen.

Mehr Gruppen von Personen (und somit Betroffene) als gedacht

Klassischerweise erhalten wir auf die Frage von welchen Personengruppen im Unternehmen Daten verarbeitet werden die Antwort „Kunden“ und manchmal noch „Mitarbeiter“. Eher seltener tauchen dann noch „Lieferanten / Dienstleister“ auf. Völlig übersehen werden häufig Interessenten, Bewerber, Webseitenbesucher, usw.

Mehr Daten als gedacht 

Die zweite Frage, welche Daten verarbeitet ihr Unternehmen über diese Personen, wird im Regelfall mit „Name, Anschrift, Rufnummer“ und manchmal „E-Mail-Adresse“ beantwortet. Auch die Frage, ob „besondere Kategorien von Daten“, wie Gesundheitsdaten, Religionsdaten, biometrische Daten zur eindeutigen Identifizierung oder die sexuelle Orientierung verarbeitet werden, wird – nicht selten leicht errötet – „verneint“.

Groß ist das Erstaunen, wenn sich diese Daten z. B. in der Personalabteilung wiederfinden. Die Religionsdaten z. B. häufig zur Abrechnung der Kirchensteuer, die Gesundheitsdaten für die Meldung zur Schwerbehindertenausgleichsabgabe, die sexuelle Orientierung teilweise seit der eingetragenen Lebenspartnerschaft als Kennziffer im Feld „Famlienstand“ in der Gehaltsabrechnung und die biometrischen Daten für Türschlösser mit Fingerabdruck oder das Entsperren von Computern. Und diese eben teilweise nicht nur für die aktuellen Beschäftigten, sondern auch die ehemaligen Beschäftigten und Bewerber.

Mehr Anwendungen als gedacht

Noch größer wird das Erstaunen, wenn über die Folgefragen erkennbar wird, dass diese Daten auf vielen Geräten, in vielen Anwendungen und Diensten, als auch teilweise den privaten Geräten und Cloud-Services der Beschäftigten verarbeitet werden. Dazu reicht es oftmals schon, wenn die Daten an die private E-Mail-Adresse weitergeleitet werden, um von unterwegs oder dem Homeoffice damit arbeiten zu können.

Sind die oben genannten Fakten erst einmal klar, kann die DSGVO einen großen Mehrwert bringen – jenseits des „wir halten uns an die Vorschriften“.

Die DSGVO hilft bei der Sicherheit

Bei vielen Bestandsaufnahmen mussten wir feststellen, dass auch heute noch viele Unternehmen nicht alle Daten sichern. Klassischerweise wird z. B. der zentrale Server oder NAS gesichert. Die Beschäftigen und hier insbesondere auch die Beschäftigten in der Buchhaltung und Personalverwaltung kleinerer Unternehmen speichern die Daten aber häufig nur auf den lokalen Computern. Dies betrifft sowohl einzelne Dateien, also z. B. Verträge, als auch lokale Datenbankdateien, z. B. die Datenbank der Buchhaltungs- oder Personalabrechnungssoftware. Deshalb können wir hier gut nachvollziehen, warum Kriminelle versuchen die Computer bzw. Dateien der Opfer z.B. mit Schadsoftware verseuchten Bewerbungen zu verschlüsseln. Die Dateien aus der Personalabteilung und Buchhaltung sind wichtig und ohne Backup sind die Unternehmen häufig auch bereit das entsprechende „Lösegeld“ zu bezahlen.

Wie ein Bericht von heise.de zeigt, welcher unter https://heise.de/-4437046 aufgerufen werden kann, erzielen die Kriminellen damit nach eigenen Angaben bis zu 2,5 Millionen Dollar – pro Woche.

Auch wenn Online-Anwendungen zum Einsatz kommen sollte das Thema „Sicherheit“ bedacht werden. Unser Lieblingsbeispiel, aus einer Liste vieler entsprechender Themen, ist hier die Unternehmenswebseite. Die Unternehmensleitung geht davon aus, dass die Web- oder Werbeagentur für das Backup und das Einspielen der Updates verantwortlich ist. Die Webagentur verweist auf die Allgemeinen Geschäftsbedingungen des Hosters und in den FAQ findet sich dann ein Hinweis, dass das Backup auch aktiviert und konfiguriert werden muss, worum sich dann aber in der Praxis häufig niemand gekümmert hat. Fatal auch jenseits des Datenschutzes, wenn die Webseite durch eine Sicherheitslücke, wie sie oft gemeldet werden, mit Schadsoftware versucht wird, die Suchmaschinen vor dem Aufruf warnen und die Webseite im Ranking „abstürzt“ bzw. nicht mehr von Interessenten und Kunden aufgerufen wird. Noch relevanter für den Datenschutz wird es dann natürlich, wenn entsprechende Login-Bereiche vorhanden sind oder ein Online-Shop betrieben wird.

Die DSGVO hilft sogar oftmals bei der Werbung

Zu Beginn ist vielleicht schon einmal interessant zu erfahren, dass die DSGVO „Direktmarketing“ als ein berechtigtes Interesse (nach Art. 6 Abs. 1 lit. f DSGVO) betrachtet (Erwägungsgrund 47). Mit der DSGVO wäre Direktmarketing somit relativ einfach möglich. Aber in Deutschland gilt – wie auch zuvor – das UWG – das Gesetz gegen den Unlauteren Wettbewerb und hier insb. § 7 UWG, welches Werbung via Telefon und E-Mail (bzw. elektronischer Nachrichten) bei uns schwieriger macht.

Hier wird sich wohl nichts ändern, weshalb wir uns der grundlegenden und eigentlich auch wichtigen Frage zuwenden: wen will das Unternehmen eigentlich wie bewerben?

Viele Unternehmen können diese Frage nicht schlüssig beantworten. So finden sich die Daten von Kunden in der Warenwirtschaft, Kunden und Interessenten in dutzenden Excel-Dateien und E-Mails. Relevante Daten zu den Kunden müssen vor Werbeaussendungen mühsam zusammengetragen werden. Selbst wenn ein CRM, ein Customer Relationship Management System, vorhanden ist fehlen darin die entsprechenden Daten, es gibt keine durchgängige Pflege oder Verwaltung der Daten.

Das kann sich, jenseits der DSGVO, negativ für das Unternehmen auswirken. So kann z. B. ein Unternehmen nicht gezielt die relevanten Ansprechpartner kontaktieren, wenn nur bei einem kleinen Teil der Kunden überhaupt Ansprechpartner mit Funktion entsprechenden Selektionsmerkmalen hinterlegt  sind. Ein anderes Unternehmen verschickt sein Kundenmagazin teilweise vielfach an einzelne Anschriften, weil dort ein fleissiger Mitarbeiter alle Familienangehörigen hinterlegt hat, während große Unternehmen nur mit einer Ausgabe bedacht werden, welche dann direkt im Altpapier landet, weil intern kein Empfänger ermittelbar ist. Oder es werden Monat für Monat die gleichen Personen angeschrieben, obwohl diese seit Jahren keinen Umsatz mehr generiert haben oder umgezogen sind und die Postrückläufer nicht entsprechend dazu geführt haben, dass diese Kunden in der zentralen Datenbank gelöscht oder stillgelegt werden.

Es ist also durchaus eigentlich auch häufig im Interesse des Unternehmens sich im Vorfeld Gedanken zu machen über welchen Kanal (Post, E-Mail, Telefon, …) möchte ich welche Zielgruppen und -personen kontaktieren. Wie müssen die Daten in welcher Anwendung gepflegt werden und in welchem Schritt holen wir im Bedarfsfall die erforderliche freiwillige und jederzeit widerrufbare Einwilligung ein?

Die DSGVO hilft bei der effizienteren Bearbeitung 

Auch der Geburtstagsgruß an einen Familienangehörigen der seit Jahren verstorben ist, welches dem Unternehmen mehrfach mitgeteilt wurde, ist häufig ein Ergebnis davon, dass niemand so wirklich genau weiß, welche Daten in welchen Anwendungen eigentlich wofür genutzt werden oder ob z. B. der gelöschte Kundendatensatz über eine Schnittstelle am nächsten Tag wie „von Zauberhand“ wieder im CRM-Programm vorhanden ist.

Sind die oben genannten Punkte „zu welchem Zweck verarbeiten wir eigentlich von welchen Personen(gruppen) welche Daten in welchen Anwendungsprogrammen?“ geklärt, stellen die meisten Unternehmerinnen und Unternehmer von sich aus fest, dass durch Anpassungen häufig eine viel effizientere Verarbeitung der Daten möglich ist. Teilweise finden sich Verarbeitungen in Unternehmen, die nur noch existieren„weil es immer schon so gemacht wurde“ und deren Daten niemand nutzt. Oder es lassen sich manuelle und häufig fehleranfällige Eingaben über Schnittstellen vermeiden. Dank neuer Anwendungen, Schnittstellen und Dienstleistungen können teilweise sogar bisher manuell durchgeführte Arbeiten automatisiert werden.

Ein Beispiel direkt aus unserem Unternehmen: „früher“ meldeten unsere Kunden neue Beschäftigten zur Online-Datenschutzschulung per E-Mail, Telefon etc. an. Diese Daten wurden in Excel-Listen eingepflegt und die angemeldeten Mitarbeiter dann individuell und manuell angeschrieben. Damit wäre es nicht nur schwer gewesen einer Auskunft nach Art. 15 oder Löschung nachzukommen, es war insgesamt aufwendig und somit auch teuer.

Heute melden die Unternehmen oder sogar die neuen Beschäftigen sich selbst über eine spezielle Webseite an und die dahinterliegende Software verschickt automatisch eine Bestätigung, Erinnerung und den Link zur Teilnahme an der Online-Schulung. Die Daten sind zentral in einer Anwendung, so dass eine Auskunft und Löschung einfach möglich ist. Die manuellen Arbeiten wurden automatisiert und die Einrichtung des Tools war ohne Programmierung durch uns möglich. Auch finanziell ist diese Vorgehensweise von Vorteil.

Unser Fazit

Die DSGVO hat sicherlich einige Schwachstellen und es gibt auch Auslegungen, die im Wesentlichen keine positiven Effekt für den Datenschutz bewirken, sondern im Gegenteil für Bürokratie sorgen und dann für eine Ablehnung der Vorschrift sorgen. Auf der anderen Seite können Unternehmen und Organisationen davon profitieren, wenn sie sich Gedanken über ihre Verarbeitungen machen und dabei auch die Sicherheit im Blick behalten.