Datenschutz? Top secret – am besten nicht drüber sprechen… Oder doch?

Warum?

Der Mitarbeiter schweigt besser, war es doch schon „seit Jahren so“, „das wird schon richtig sein so“ und schließlich würde sein Abteilungsleiter ihn ja informieren, sollte er nicht richtig handeln …

Der Abteilungsleiter findet es seltsam, Fehlerquellen aufzudecken, die er doch schon seit Jahren vor Augen hat.  Würde es nicht auffallen, wenn ausgerechnet er über den „Missstand in seinem Unternehmen“ informiert, der in seinen Aufgabenbereich fällt und doch eigentlich schon so lange nach Optimierung geschrien hat? Müsste er nicht Blöße zeigen und hätte die Befürchtung, seine  Mitarbeiter könnten ihn nicht mehr für voll nehmen? Sollte er doch, als Abteilungsleiter, über alle Arbeitsabläufe Bescheid wissen und für deren korrekte Durchführung geradestehen…? „Und die großen IT-Partnerfirmen, die müssen es doch eigentlich auch wissen! Das wird schon alles richtig sein so …“

Der Chef legt all sein Vertrauen in die Mitarbeiter, die ihre Arbeitsabläufe bis ins kleinste Detail kennen. „Läuft doch alles super hier! Jawohl!“

Datenschutz – immer noch ein Tabuthema in vielen kleinen und mittelständischen Unternehmen?

Ich erinnere mich an den Tag, der nunmehr einige Jahre zurückliegt, an dem wir alle beisammen saßen und das Kind beim Namen nannten: Wie sicher war denn UNSER Haus wirklich in Sachen Datenschutz?

Auslöser hierfür war das Aufräumen der im Haus angesammelten Daten in unserem Reservierungssystem (automatisch sah das System dies nicht vor, also musste es von unseren Mitarbeitern angestoßen werden) einerseits und die zunehmend von uns geforderten digitalen Vernetzungen und Software-Schnittstellen unserer Vertriebspartner andererseits.

Klar war, dass wir, als städtischer Betrieb, einen anderen Weg einschlagen und offen über Optimierungsbedarf an den verschiedensten Stellen in unserem Haus sprechen wollten. Einmal mit dem Thema intensiv auseinandergesetzt merkte man schnell, in welchen kleinen Winkeln jeder Abteilung sich das Thema Datenschutz verbarg. Ein Berg an Arbeit türmte sich vor uns auf und es wurde offensichtlich, dass das Optimieren der Prozesse, mit dem Ziel sich zu einem datenschutzsicheren Haus zu entwickeln, eine lange Zeit in Anspruch nehmen würde. Nach dem Motto: „Du musst nicht spitze sein, um anzufangen. Aber du musst anfangen, um spitze zu werden!“, nahmen wir die Herausforderung an.

Unser Konzept sah vor, intern an dem Thema zu arbeiten und zusätzlich einen externen Datenschutzbeauftragten in Form eines Rechtsanwaltes zu bestellen, der uns zu allen rechtlichen Fragen Antworten liefern konnte und die Mitarbeiter zu allen allgemeinen Themen in Sachen Datenschutz schulen würde. Meine Rolle definierte ich als Schnittschnelle zwischen Mitarbeitern (PRAXIS) und Datenschutzbeauftragtem (THEORIE):

Wir kamen ins Gespräch mit der Sicherheitsexpertenorganisation DEKRA, die Unternehmen hinsichtlich des Themas Datenschutz untersucht und bewertet, und wir entschlossen uns dazu, die Datenschutz-Zertifizierung zu erarbeiten und uns fortan noch mehr mit dem Thema auseinanderzusetzen.

Mit dem Siegel werden Unternehmen und Produkte ausgezeichnet, die nachweislich definierte Standards in puncto Datenschutz erfüllen. Um ein Zertifikat für den Datenschutz zu erhalten, muss zunächst ein Zertifizierungsverfahren nach einem einheitlichen Anforderungskatalog durchlaufen werden. Im Rahmen eines eintägigen Audits wird im Unternehmen überprüft, inwieweit die Anforderungen der europäischen Datenschutz-Grundverordnung berücksichtigt und umgesetzt wurden. Dabei werden folgende Themen geprüft und bewertet:

  1. Zulässigkeit der Datenverarbeitung
  2. Verarbeitungsübersichten
  3. Datenschutz-Folgenabschätzung
  4. Sicherheit der Verarbeitung
  5. Regelungen zum Datenschutz und zur IT-Sicherheit
  6. Bestellung des Datenschutzbeauftragten
  7. Compliance der Webseite
  8. Nationale und internationale Datenübermittlung
  9. Transparenz- und Informationspflichten
  10. Werbliche Ansprache und Direktmarketing
  11. Rechte des Betroffenen (z. B. „Vergessen werden“)
  12. Recht auf Datenübertragbarkeit
  13. Datenschutzfreundliche Voreinstellungen
  14. Technische und organisatorische Anforderungen an das Unternehmen
  15. Videoüberwachung
  16. Einwilligung des Betroffenen und von Kindern
  17. Benachrichtigungspflichten bei Datenschutzverletzungen
  18. Haftung und Recht auf Schadensersatz
  19. Haftungserstreckung auf ausländische Unternehmen
  20. Auftragsverarbeitung

Als Ergebnis bekommt man eine Zusammenfassung aller Unstimmigkeiten und Hinweise für die Optimierung des eigenen Datenschutzsystems.

Also machten wir es und zum Ziel das erste datenschutzzertifizierte Hotel Deutschlands zu werden. Wir waren uns allerdings alle einig, dass bei allen Prozessen, die wir ändern oder anpassen würden, das Alltagsgeschäft nicht eingeschränkt werden oder darunter leiden darf.

Das war die Krux!

Die eine Möglichkeit wäre gewesen, alle Prozesse komplett nach Datenschutzrichtlinien umzustellen und allen Mitarbeitern neue Vorgehensweisen überzustülpen (hinterlegt mit Paragraphen natürlich, die keiner liest oder dann sowieso wieder vergisst).

Wir entschieden uns dafür, das Pferd von hinten zu satteln und baten alle Mitarbeiter um ihre ehrliche Mithilfe. Zugute kam uns hierbei, dass wir von Haus aus eine offene Fehlerkultur fördern und die Mitarbeiter keine Angst davor haben, Fehler kundzutun. Also holten wir die Mitarbeiter mit ins Boot und ließen sie  verschiedene Kernabläufe aller Abteilungen erarbeiten und zu Papier bringen. Welche Abläufe im Zusammenhang mit sensiblen Daten werden in der jeweiligen Abteilung durchgeführt? Wie werden Abläufe ausgelöst? Welche Tätigkeiten werden erledigt und wie werden  Abläufe abgeschlossen? Als eines von hundert Beispielen sind z. B. die Personalabteilung und das Bewerberhandling zu nennen. Ein Prozess, der genau angeschaut werden muss, da es sich um streng vertrauliche Daten handelt.

Im zweiten Schritt übermittelten wir die Ergebnisse an unseren Datenschutzbeauftragten, der die Abläufe prüfte und offene Fragen beantworten konnte. Die Ergebnisse wurden im dritten Schritt in Form einer Datenschutzsitzung wieder zurück in die Abteilung gespielt, die sich daran machte die Abläufe demensprechend anzupassen.

In der Zwischenzeit machten wir daran Punkte zu verbessern, die schon seit längerem angedacht und auch tlw. als (Ersatz-)Investition geplant waren wie z. B.:

  • Postbehälter anschaffen, damit Post nicht offensichtlich durch das Haus getragen wird
  • Meldescheine in verschließbaren Schubladen lagern, nicht direkt am Rezeptionstresen
  • Einführen von Verschlüsselung bestimmter E-Mails
  • Einführung neues Schließsystem
  • Anschaffung neuer Kopierer mit Auftragsspeicherfunktion, damit Kopien nicht unbeaufsichtigt im Kopierer liegen
  • Abschluss von Auftragsdatenverarbeitungsverträgen mit relevanten Partnern
  • Erstellen von Dokumentationsvorlagen und verstärkte Dokumentation von z. B.: Verantwortlichkeiten im Haus, neuem Berechtigungskonzept, Schlüsselausgabe, Videoüberwachungsrecherche nach 4-Augensystem, EDV-Notfallplänen
  • u. v. m.

Manchmal waren es kleine Stellschrauben, die man drehen musste, um ein sichtbares Ergebnis zu bekommen und manchmal bedurfte es zeitintensiverer Umstellungen, die teilweise immer noch andauern. Wenn wir mal ein Meeting oder eine Schulung verlassen hatten und zu keinem direkt umsetzbaren Ergebnis kamen, so war es doch so, dass bei den Mitarbeitern wieder mehr ein Stück Bewusstsein für das Thema Datenschutz geschaffen wurde. Mittlerweile ist es so, dass die Mitarbeiter von alleine auf mich zukommen und Dinge ansprechen, die als Nächstes angegangen werden müssen.

Als die Informationen über die Neuerungen der EU-Datenschutzgrundverordnung publik wurden, fielen wir nicht aus allen Wolken, sondern nahmen dies als Motivation unser Konzept weiterzuentwickeln. Gleichzeitig waren wir aber froh darüber, nicht bei „null“ beginnen zu müssen.

Lösch- und IT-Sicherheitskonzepte sind weiterhin Herausforderungen, u. a. weil wir gemerkt haben, dass auch unsere Partner, von denen wir zumindest kurzfristig abhängig sind, noch ihre Hausaufgaben machen müssen und tlw. nicht darauf vorbereitet waren, dass ein einzelnes Hotel Fragen stellt und Antworten fordert.

Datenschutz ist ein immer präsentes Thema, das jeden Betrieb tagtäglich begleiten sollte. Die Arbeit in Sachen Datenschutz dauert an, denn mit jedem Wandel in den Betriebsabläufen, mit jedem neuen Partner, den man gewinnt, mit jedem neuen digitalen System, das hinzukommt, wird man erneut gefordert, die Prozesse zu prüfen. Ein kontinuierliches Betrachten alter und neuer Arbeitsabläufe, die Schulung der Mitarbeiter und die Dokumentation der einzelnen Schritte und natürlich die Umsetzung  sind unabdingbar.

Wir bleiben am Ball.

nach oben