#09 Das Datenschutzmanagement

[Michael] Moin, moin René, grüß dich.

[René] Moin. Von mir auch, guten Mor­gen in die Runde. Ja, ich würde sagen, gehen wir direkt zum The­ma, oder?

[Michael] Ich wollte ger­ade sagen, users lounge-Zeit, The­ma heute das Daten­schutz­man­age­ment. Das ist so, glaube ich, das let­zte und abschließende The­ma zu den tech­nis­chen organ­isatorischen Maß­nah­men, die wir in den let­zten users lounges so besprochen haben und durchge­gan­gen haben. Und ich denke, heute ist es Zeit, man guckt sich mal an und wir reden mal darüber, wie wir das Ganze, was wir jet­zt so erzählt haben, was man alles machen muss, was man alles machen darf, tech­nisch organ­isatorische Maß­nah­men, wie man das in irgen­dein­er Art und Weise zum Papi­er bringt, wie man das in irgen­dein­er Weise struk­turi­ert, nach­weis­bar in einem Unternehmen so zur Ver­fü­gung stellt, dass die Mitar­beit­er dann etwas anfan­gen kön­nen und dass man sel­ber auch in einem Viertel­jahr noch weiß, was man sich aus­gedacht hat und was man geschrieben hat. Das ist so das, worüber wir heute reden wollen.

[René] Fan­gen wir an.

[Michael] René, wie ist es los? Darf ich dir helfen? Also, es geht ja darum, wir haben ja ganz viel in den let­zten Wochen über tech­nis­che und organ­isatorische Maß­nah­men gesprochen. Das heißt, wir haben ganz viel darüber gesprochen, was man in einem Unternehmen wie regeln soll. Es ging los mit, wie kom­men Mitar­beit­er ins Unternehmen rein, Onboard­ing, Erteilung von Zugriff­s­recht­en, welche Pass­wor­trichtlin­ien habe ich im Unternehmen, was gebe ich den Mitar­beit­ern für IT-Geräte aus, was müssen die bei IT beacht­en und wir sind immer so auf diesen tech­nis­chen Aspek­ten reinge­gan­gen. Und jet­zt ist wirk­lich Zeit, mal darüber zu reden. Wenn ich das alles so umge­set­zt habe und das alles so wun­der­bar gemacht habe, dann fol­gt natür­lich auf dem Fuße die Doku­men­ta­tion von dem, was ich getan habe. Das heißt, ich muss mir selb­st in meinem Unternehmen an irgen­dein­er Stelle, ganz zen­tral, mir Unter­la­gen able­gen, wie ich mir das gedacht habe, wie ich das gemacht habe. Im ein­fach­sten Fall, die Ver­schwiegen­heit­serk­lärung für meine Mitar­beit­er, muss ich mir auf irgen­dein­er Stelle zen­tral able­gen, dass wenn die Per­son­al­abteilung kommt und hat einen neuen Mitar­beit­er, dass die eben auf diese Ver­schwiegen­heit­serk­lärung zugreifen kön­nen. Oder Aus­gabe mobil­er IT. Wir haben gesprochen, über Tech­nik muss aus­gegeben wer­den und es muss kon­trol­liert aus­gegeben wer­den, sodass ich weiß, welch­er Mitar­beit­er welch­es Note­book gekriegt hat, welchen USB-Stick etc. pt. Und dafür muss ich mir am Ende vom Tag ein Form­blatt bauen. Also ich muss A, so ein Blatt Papi­er haben, was ich den Mitar­beit­ern mit­geben kann, wo ich sagen kann, hey, pass auf, das ist jet­zt dein Lap­top, das ist dein Fir­men­handy, damit darf­st du dies und jenes tun, damit sollst du aber dies und jenes nicht tun und ich muss es für mich im Unternehmen doku­men­tiert haben, was er denn gekriegt hat, was er erhal­ten hat an IT, was er aus­gegeben bekom­men hat.

[Michael] Und das ist ein ganz ele­mentar­er Bestandteil vom Daten­schutz­man­age­ment. Und zwar als Man­age­ment in diesem Sinne halt wirk­lich als Man­age­ment so zu sehen, dass ich das ähn­lich wie bei ein­er ISO 9001 oder was alles einem gewis­sen Prozess fol­gt und so doku­men­tiert sein muss, dass es eben nachvol­lziehbar doku­men­tiert und rück­ver­fol­gbar ist. Und das ist das Wichtige an der Sache. Und ich meine, das erleb­st du ja bei Kun­den, ein kurz­er Satz noch, dann lasse ich dich auch mal. Du erleb­st das ja auch bei vie­len Kun­den, gehe ich mal von aus, wenn du in eine IT-Beratung reingehst und wenn du in einen IT-Sup­port reingehst, dass ihr erst­mal sagt, okay, wir haben jet­zt hier 20 Lap­tops, wie geben wir es denn aus, wir richt­en neue IT ein, wie soll es denn wer­den. Und auch da sind ja auch deine Unternehmen und meine Kun­den dann auch an der Stelle, die sagen, Moment, ich gucke mal bei uns in der Richtlin­ie, wie es denn wer­den soll und wenn du IT aus­gib­st, nimm mal den und den Zettel mit dazu. Ja.

[René] Nein. Also man muss mal da raus. Ja, genau, bei deinen, da kommst du ja von der anderen Seite logis­cher­weise. Also das ist ja das, was du qua­si schon direkt mit­bringst. Ja, wir berat­en natür­lich in die Rich­tung, aber ich stelle es halt ganz auch fest, dass die Richtlin­ien eher von uns kom­men, als aus dem Unternehmen her­aus selb­st. Das heißt, wir haben ja mit dir qua­si Form­blät­ter aus­gear­beit­et, da kann es dur­chaus sein, dass wir sagen, okay, die nehmen wir als Grund­lage auch für unsere Kun­den, damit wir zumin­d­est den Teil von unser­er Seite aus abgedeckt haben. Klar, jedes Unternehmen muss da sel­ber dann für sich natür­lich noch tätig wer­den. Was mich bei dem Man­age­ment immer ein biss­chen stört, wir haben es zum Glück ja gelöst, aber es ist halt so, dass ich ganz oft dann sehe, ja, warte mal, ich gucke mal hier in den Ord­ner rein und in dem Ord­ner liegen ein­fach 3.000 Dateien mit, keine Ahnung, irgend­was, immer so in Häp­pchen­weise und keine Ahnung was. Wie würdest du oder wie empfehlt ihr es oder wie macht ihr es auch, dass ihr das alles in geord­nete Bah­nen kriegt, alles irgend­wie in eine Form gegossen wird, dass man da wirk­lich alles an Ort und Stelle hat und schnell wieder reinkommt?

[Michael] Ja, also wir berat­en es bei Kun­den dur­chaus unter­schiedlich, je nach­dem, was wir vorfind­en. Was wir aber immer sehen, ist, dass es, also es muss auf jeden Fall in irgen­dein­er Art und Weise ein zen­traler Ablager da sein. Und wenn es ein Server­laufw­erk ist oder ein Netz, ein Ord­ner auf dem Serv­er ist, der Daten­schutz und Com­pli­ance heißt oder irgen­det­was.

[Michael] Also es muss eine zen­trale Stelle geben. Das Szenario, was du auch ger­ade beschrieben hast, was ich hin und wieder auch schon nochmal sehe, das heißt, naja, das liegt beim Gün­der auf dem Lap­top, dann müssen wir mal warten, bis der aus dem Urlaub wieder da ist, dann kön­nen wir guck­en, wie es heißt. Die Szenar­ien schaf­fen wir kom­plett ab, sehen wir aber nur noch sehr, sehr sel­ten in der aktiv­en Beratung drin. Liegt wahrschein­lich auch daran, dass inzwis­chen ganz, ganz viele Unternehmen, also ein Großteil der Unternehmen, die ich und mein Team in der Beratung haben, in irgen­dein­er Art und Weise eine Man­age­ment­norm haben. 1001, 1305, Pla­ton­man­age­ment, irgend­was. Das heißt, die sind von ein­er anderen Rich­tung schon in irgen­dein­er Art und Weise getrig­gert zu wis­sen, wie ich richtig mit doku­men­tierten Infor­ma­tio­nen, also Richtlin­ien, Vorred­ner, Ver­schwiegen­heit­serk­lärun­gen etc. pp. umzuge­hen habe, sodass du da in der Regel eine gute Struk­tur vorfind­est oder zumin­d­est eine Struk­tur vorfind­est, mit der du arbeit­en kannst. Ich per­sön­lich, ja.

[René] Wenn ich kurz ein­mal dabei darf.

[Michael] Ja, gerne.

[René] Kannst du gle­ich natür­lich das Opti­mum nen­nen. Nur mal so aus Nähkästchen. Michael berät uns ja auch in Daten­schutzthe­men und wir haben halt auch ver­schiedene Ansätze gehabt und wir haben ja nach­her noch mit Share­Point aus­pro­biert usw. Das heißt, es gibt ja eigentlich viele Möglichkeit­en, das zu zen­tral­isieren. Man muss halt nach­her für sich so den Kündi­gungsweg find­en, was ist wirk­lich ein­fach. Bei Share­Point zum Beispiel die Schwäche hat, dass man nicht so gut untere­inan­der ver­linken kann, die einzel­nen Dateien und Änderun­gen darin vornehmen usw. Der Aufwand ist dann recht hoch. Und dann kannst du eigentlich jet­zt zum Opti­mum überge­hen, weil ich glaube, das haben wir ger­ade erre­icht.

[Michael] Ja, was halt auch die DSGVO durch die Blu­men fordert, was in den Tex­ten immer ste­ht, die wollen ja im Prinzip ähn­liche Anforderun­gen haben, wie du sie auch in irgen­dein­er Nor­man­forderung drin hast. Das heißt, die wollen, dass du die Doku­mente ver­füg­bar hast, dass du ältere Ver­sio­nen hast, also dass du ein­fach auf dem aktuellen Stand bist. Das heißt, wenn du das in deinen Serv­er auf dein Net­zloch weglegst, musst du natür­lich darauf acht­en oder dann spielt Prax­is­bezug gle­ich die tech­nis­chen organ­isatorischen Maß­nah­men wieder eine Rolle. Son­dern da musst du schon die tech­nis­chen organ­isatorischen Maß­nah­men tre­f­fen für dein Daten­schutz­man­age­ment. Näm­lich, du musst das in den Back­up rein­nehmen, sodass du die Ver­füg­barkeit da hast und dass jet­zt eben nicht irgen­dein Luft­dikus mal löscht oder aus Verse­hen rauskommt oder irgen­dein Serv­er crasht, deine Doku­men­ta­tion crasht. Ja, also da ist ein ganz prak­tis­ch­er Bezug. Was sich aber etabliert hat und was ich immer wirk­lich immer mehr sehe und was wir auch in der Beratung ein­set­zen, was bei euch auch läuft, ist, es gibt inzwis­chen unfass­bar viele Anbi­eter von Soft­warelö­sun­gen, die auf die Daten­schutzver­wal­tung und auf ein Daten­schutz­man­age­ment zugeknüpft sind.

[Michael] Also es gibt wirk­lich viele Lösun­gen. Ich habe beim Bun­desver­band der Daten­schützer, beim BVB, BVB­net, genau, so hat es kor­rekt, habe ich eben mal geguckt, die haben eine Liste der Soft­ware­an­bi­eter, die noch nicht voll­ständig sind, da sind über 40 Anbi­eter drauf, die halt eben Soft­warelö­sun­gen anbi­eten, um genau sowas geführt zu man­a­gen. Und der Vorteil von ein­er konzen­tri­erten Soft­ware ist halt die, die ist halt dafür gemacht. Die ist dafür gemacht und die trig­gert dich entsprechend an. Wohinge­gen, wenn du mit einem Server­laufw­erk anfängst und sagst, ich will mir jet­zt ein Daten­schutzsys­tem auf­bauen, ja was brauche ich denn alles? Und dann geht es los, dann suche ich mir aus dem Inter­net die Sachen zusam­men, ja ich brauche mal irgend­wo Toms, ich brauche mal irgend­wo einen AV-Ver­trag, Ver­schwiegen­heit. Also ich fange halt ein­fach an, mir irgendwelche Vor­la­gen aus dem Inter­net run­terzuziehen und irgend­was struk­turi­ert, aber doch nicht ver­linkt und nicht ver­net­zt auf ein Net­zlaufw­erk zu leg­en. Und da ist halt der riesen­große Vorteil an der ganzen Sache, wenn ich eine Soft­ware habe, die halt für diesen Ein­satz gedacht ist, dann bringt die mir halt oder dann erfüllt die halt ganz smart die Anforderun­gen an die DSGVO. Näm­lich dann werde ich ein­fach abge­fragt. Ich habe irgendwelche Check­lis­ten schon als Vor­la­gen drin liegen, IT-Sys­teme kann ich mit Mitar­beit­ern verknüpfen, Ver­ar­beitungstätigkeit­en, also dieses Verze­ich­nis, die Ver­ar­beitungstätigkeit­en ist ein ganz, ganz ele­mentares Ding in der DSGVO, wo auch jed­er den Nach­weis brin­gen muss, dass er dieses Verze­ich­nis führt und aktuell hält. Will ich sowas in Excel machen? Ja, kann ich tun, ist aber in der Regel aufwendig, hat eine Tapete zufolge und max­i­mal noch der, der es erstellt hat, blickt durch, was da wirk­lich drin ist. Wohinge­gen, wenn ich das Ganze in der Soft­ware abdecke, ich halt eben den smarten Ansatz, ich werde durch das Sys­tem geführt, es gibt Sys­teme, die stellen Fra­gen, wie machst du das, wie machst du das und auf Basis dessen kriegst du halt eben dann ganz gezielt die Doku­mente hin­ten raus, um die Com­pli­ance-Anforderun­gen an die DSGVO vernün­ftig zu erfüllen. Und das ist schon so die Sache. Und da gehen wir halt auch ganz klar hin in der Beratung, dass wir sagen, nehmt euch oder guckt euch mal ein Daten­schutz­man­age­ment Sys­tem an, als Soft­ware solch­es.

[René] Also ich kenn das, kann ich im über­tra­ge­nen Sinne auf ganz nor­male IT über­tra­gen, da ist es halt so, Doku­men­ta­tion kenn ich eigentlich auch über­all, also so ziem­lich, ich frage mal, alle wäre jet­zt völ­lig über­trieben, aber ich sag mal, die Hälfte aller IT-Unternehmen oder auch auf der anderen Seite, meinetwe­gen interne IT-Abteilung, wenn die irgen­deine Doku­men­ta­tion haben, dann haben die entwed­er Word, Excel, OneNote, mit­tler­weile habe ich es gese­hen, Teams, das ist alles gut und schön, dass man die Infos erst­mal auf­schreibt, kann ich alles nachvol­lziehen, finde ich ja schon mal gut, aber let­zten Endes eine Soft­ware, die wirk­lich darauf aus­gelegt ist, Sys­teme mit Infor­ma­tio­nen zu verknüpfen, das ist nicht zu erset­zen, und wenn man es erst­mal genutzt hat, dann weiß man es nach­her auch wirk­lich zu schätzen, also es macht einen Riese­nun­ter­schied.

[Michael] Der Hah­nen­fuß an der ganzen Sache ist natür­lich, das sind zu 99 Prozent wieder Cloud-Anbi­eter, also es gibt ganz, ganz wenig Soft­ware-Sys­teme in dem Bere­ich, die du halt eben auf den Serv­er knallen kannst oder knallst du dir auf einen lokalen Desk­top-PC ein­fach drauf. Wobei, lokaler Desk­top-PC willst du ja eh nicht, dann hast du auch wieder eine Teufel­sküche mit Ver­füg­barkeit und hast du nicht gese­hen, wenn, dann willst du es auf dem Serv­er liegen haben und das ist halt auch schw­er. Das heißt, meis­tens Soft­ware-Anbi­eter haben es inzwis­chen ein­fach als Cloud-Lösung und da gilt es halt ein­fach, du soll­test dir den Anbi­eter mal anguck­en, hast du Ver­trauen in den Anbi­eter, hat der ein gescheit­er AV-Ver­trag, also das ist ein Dien­stleis­ter für dich und so wie wir über die Tom­sk und über die AV-Verträge schon gesprochen haben, musst du dir halt diesen Betreiber dieser Soft­ware auch mal in aller Ruhe anguck­en. Lass dir mal einen AV-Ver­trag kom­men, lese dir den durch, passt der für dich, hat der tech­nis­che Organ­i­sa­tion Maß­nah­men, die sich­er­stellen, dass das Ganze funk­tion­iert. Daten­hal­tung, EU, ja, nein, also all diese Dinge musst du bei so ein­er Auswahl von so einem Anbi­eter dir anguck­en und die gehen nach meinem Empfind­en noch vorm Bling-Bling an der Soft­ware. Also bevor du sagst, oh, die Soft­ware sieht aber schön aus, die hat ein schönes User-Inter­face, das ist aber schön geschmei­dig, abgerun­dete Kan­ten, schöne Far­ben etc. pp., was man ja da immer so hat, was ein Anträger, da liegt mein­er Ansicht nach vorge­lagert der Nutzen der Soft­ware und die Sicher­heit in der Ver­ar­beitung bei dieser Soft­ware. Und das ist auch so ein Ding, wenn wir über Cloud-Soft­waren reden und reden über Daten­schutz-Man­age­ment, kann man das sehr pauschal auch über all­ge­meine Cloud-Soft­ware erk­lären. Du musst bei diesen Cloud-Soft­ware-Anbi­etern, kön­nen wir vielle­icht mal einen eige­nen User-Log-Strauß machen, aber pass auf, du musst bei diesen Cloud-Soft­ware-Anbi­etern auch immer guck­en, wie kriege ich die Dat­en irgend­wann wieder da raus und wie stellt mir dieser Soft­ware-Anbi­eter die Ver­füg­barkeit der Dat­en sich­er. Weil bei ganz, ganz vie­len Soft­ware-Anbi­etern, ich habe jet­zt die Tage erst wieder einen Ver­trag mit einem Soft­ware-Anbi­eter durchge­le­sen, da ste­ht drin­nen, jo, wir machen Back­ups, wir machen Back­ups und wir haben ein 27001 Rechen­zen­trum, klingt erst­mal Mölkchen. Ja, aber hin­ten drin ste­ht, wann wir auf ein Back­up zugreifen und restoren, ob liegt in unserem Inter­esse. Wir kön­nen nicht für jeden einzel­nen Man­dan­ten Back­ups zur Ver­fü­gung stellen, son­dern die Back­u­pen ein­fach nur das Sys­tem und der Kunde ist für die Daten­ver­füg­barkeit ver­ant­wortlich. Das heißt, im ersten Moment sieht das richtig cool aus. Es gibt nicht ein 1001 Rechen­zen­trum, stand Frank­furt drin­nen, also Europa. Alles cool und wir machen Back­ups. Aber im zweit­en Abschnitt ste­ht ein­fach drin, ja cool, die machen Back­ups, aber wenn mir per­sön­lich was in die Bin­sen geht, sind die gar nicht in der Lage, reduziert meine Instanz, also mein Prob­lem zu lösen und für mich ein Restore zu machen, son­dern dadurch, dass sie halt eben pauschal, wahrschein­lich das ganze Serv­er-Sys­tem, Back­u­pen oder was auch immer, kriegen sie das halt ein­fach nur hin beim Hard­ware-Crash und sie nehmen keine Ver­ant­wor­tung für die Dat­en, die da drin liegen.

[Michael] Das heißt, geht denen das Back­up weg, jubeln, bin ich als Kunde in den Hin­tern geknif­f­en, weil die halt ein­fach keine Ver­ant­wor­tung für die Ver­füg­barkeit haben. Das heißt, ich muss mir par­al­lel für mich intern in meinem Unternehmen irgen­dein Sys­tem auf­bauen, wie back­up ich meine Cloud-Soft­ware, also wie back­up ich meinen Cloud-Betreiber, indem ich die Dat­en par­al­lel vorhalte, indem ich regelmäßig von der Cloud irgen­deinen Export fahre und irgendwelche Infor­ma­tio­nen mir darstelle und das ist halt bei ganz, ganz vie­len Cloud-Soft­ware-Anbi­etern ein Prob­lem und logis­cher­weise guckt man sich das erst recht bei seinem Anbi­eter von sein­er Daten­schutz-Man­age­ment- Soft­ware an.

[René] Ja, witzig finde ich ja da, wenn man jet­zt über so Back­ups von der Cloud spricht, promi­nen­testes Beispiel, um wieder den Namen zu nen­nen, Microsoft, so da ist es mit­tler­weile so, dass jed­er Bescheid weiß, so hier, hey, wenn da Dat­en ver­loren gehen, Microsoft ist nicht haft­bar, die ver­ant­worten das nicht, ich brauche also ein extra Back­up dafür, da ken­nt das jed­er und bei anderen Sys­te­men ver­lässt man sich oder ich jet­zt nicht, aber es ist halt oft so, dass man sich darauf ver­lässt, dass es halt funk­tion­iert und nein, da sich­ern sich natür­lich alle sep­a­rat ab und sagen, nee, wenn da Dat­en ver­loren gehen, dein Prob­lem, wir stellen das Sys­tem.

[Michael] Ist doch klar, also es ist doch logisch, dass die die Ver­ant­wor­tung nicht nehmen, also ein Teufel wer­den die tun und wer­den frohlock­end sagen, jawohl, gib mir’s, ich nehme dir die Ver­ant­wor­tung und wenn’s weg ist, gehe ich in die Haf­tung, etc., pp. Natür­lich ver­suchen die das und das ste­ht halt nicht in Schrift­größe 20 oben in einem hell­blauen Schrift, die schön ist, direkt neben dem Wer­be­ban­ner, son­dern da ste­ht in den AGB Seit­en 38 Absatz 3 Satz 5 oder sowas, also man muss sich das mal wirk­lich, wenn man sich so eine Soft­ware schnappt, muss man sich das mal durch­le­sen und muss sich das mal anguck­en. Aber dann ist mir, um auf The­ma Tech­nik und Cloud wegzukom­men, aber auch dann, wenn man das gemacht hat, ist man auf der sicheren Seite und ganz, ganz viele Sys­teme machen das auch und bei ganz vie­len Din­gen stellt man es ein­fach vernün­ftig sich­er. Wir haben ganz kurz, nur dass wir es rund machen, wir haben für uns den Weg gewählt, wir sind auf dem eige­nen Serv­er, also wir für uns, also unser Unternehmen ist auf dem eige­nen, dedi­zierten Serv­er und ich kann halt, darüber ist ein Back­up und Ver­füg­barkeit sichergestellt und ich kann als ganz dedi­ziert meinen Serv­er restoren, das geht über meinen Serv­er, wer­den die Back­ups gefahren, sodass ich meine eigene Instanz habe an dieser Stelle und nicht ein­er von tausend Man­dan­ten bin und darüber bin ich sichergestellt und ich kann mir selb­st eigene Back­ups nochmal von dem Serv­er run­terziehen, sodass wenn ich das Gefühl habe, boah, das Rechen­zen­trum ist zwar ganz schön und aus­ge­lagert und alles ist cool, dann kann ich nochmal sagen, ich für mich hätte jet­zt gerne davon einen Abzug und dann kann ich es bei mir auf dem Serv­er nochmal wegle­gen. Das sind halt ein­fach so Dinge, die man halt ein­fach beachtet. Wobei, bei mir ist es nochmal eine andere Num­mer, weil ich halt viele Kun­den drau­fliegen habe, die sich eben darauf wiederum ver­lassen, dass es funk­tion­iert und ich kann mir ein­fach nicht erlauben, irgen­deinen Schmutz zu treiben an der Stelle.

[René] Michael, dann mal weg von der Soft­ware, weg von allem, was wir vorher haben, was wir als Grund­lage haben, so möchte ich es mal nen­nen. Wir haben jet­zt alles toll gemacht, wir haben unsere Toms, wir haben alles Mögliche in der Soft­ware einge­tra­gen, aber was passiert dann? Das ist ja nicht so, dass wir es dann da liegen haben und dann lassen wir es liegen und in zwei Jahren guck­en wir uns das an und klopfen uns nochmal auf die Schul­ter, wie toll wir das gemacht haben, son­dern das ist ja ein laufend­er Prozess.

[Michael] Genau, das muss regelmäßig geprüft wer­den, also super, dass du es noch ansprichst. Natür­lich müssen die Maß­nah­men, die ich mache und mein Daten­schutz­man­age­ment muss regelmäßig auch Wirk­samkeit geprüft wer­den, ich muss guck­en, dass die Unter­la­gen noch aktuell sind und da muss ich ganz strin­gent durchge­hen.

[Michael] Die, die in der Norm unter­wegs sind, wer­den es als Audit ken­nen, als internes Audit sehr wahrschein­lich und sowas ähn­lich­es habe ich, will die DSGVO auch, dass ich ein­fach sage, ich muss regelmäßige Prü­fun­gen und Überwachun­gen machen. Das heißt, ich muss mich schon spätestens ein­mal im Jahr hin­set­zen, muss mal guck­en, was haben wir jet­zt alles für schöne Toms aus­gear­beit­et? Ja, das nehmen wir das sog­ar. Und wie sieht es denn in Real­ität aus? Haben wir das wirk­lich noch so? Ist diese Zwei-Fak­tor-Orden­ti­fizierung, die wir in den Toms angegeben haben, haben wir das noch im Ein­satz? Ziehen wir es wirk­lich mit vielle­icht neuer Soft­ware, die dazugekom­men ist, auch wirk­lich durch? Ist es über­all gegeben? Passen die Ver­schlüs­selung­stech­nolo­gien noch? Ist Zutritt und Zugriff ins Unternehmen noch geregelt? Passt das alles? Ganz banal, ich lasse mir mal eine Schlüs­sel­liste geben. Ich habe damals gesagt, im Zutrittskonzept zum Unternehmen, wo ich darüber gesprochen habe, ich muss ja irgend­wie regeln, wer ins Unternehmen reinkommt. Ist das noch so, wo ich gesagt habe, darf meinetwe­gen nur die Geschäft­sleitung alleine ins Unternehmen rein, alle anderen müssen an der Tür klin­geln, dass sie dann reinkom­men. Ist es auch wirk­lich so, oder haben inzwis­chen noch fünf Leute irgen­deinen Gen­er­alschlüs­sel bekom­men? Also diese Prü­fung der Maß­nah­men des Daten­schutz­man­age­ments, was ich mir für mein Unternehmen aufge­baut habe, ist ganz, ganz wichtig. Ein­mal auf der Toms-Seite und auf der anderen Seite aber auch auf der Ver­fahrens­seite. Und das merke ich ganz oft bei Kun­den. Wir machen das regelmäßig, dass wir sagen, stim­men eure Ver­fahren noch. Und dann ste­ht da drin, Ver­fahren, immer wieder gerne, immer wieder ein Klas­sik­er, hier ist das Ver­fahren vom Bewer­bung­sprozess, also dein Ver­fahrensverze­ich­nis, dein PPT für den Bewer­ber­prozess. Ist das noch, was da drin ste­ht, bei dir noch gelebte Prax­is? Passt das? Sind die Löschfris­ten einge­hal­ten? Arbeitest du noch so, wie es da drin ste­ht? Und nicht sel­ten kommt dann das Aha und sagt, ja, das haben wir zwar let­ztes Jahr mal schön beschrieben, aber wir haben vor zwei Monat­en oder vor drei Monat­en eine Cloud­soft geeignet mit Per­so­nio etc. Dass du sagst, schön, nice to have. Du weißt schon, nor­maler­weise Daten­schutzbeauf­tragte im Vor­feld zu informieren, dass der prüft, dass alles in Ord­nung ist und dass er das gemein­sam macht. Aber juhu, jet­zt müssen wir es aber wenig­stens anpassen und ger­ade ziehen. Also check­en wir das dann ab, ziehen das ger­ade. Also was ich sagen will ist, deine Daten­schutz­man­age­ment-Doku­men­ta­tion muss aktuell sein und die musst du dir regelmäßig vol­lum­fänglich anguck­en. Ganz wichtig.

[René] Auch da, ich kann mir sel­ber an die Nase fassen, wir sind IT-Dien­stleis­ter, wir haben halt, ja, man set­zt halt immer wieder neue Soft­ware ein. Das Gute ist, ich bin sehr häu­fig mit Michael im Gespräch, Michael weiß also, welche Soft­ware wir ein­set­zen oder pla­nen einzuset­zen, aber da ist es halt komis­cher­weise auch immer mal wieder so, dass ich mich sel­ber dabei ertappe, wir testen jet­zt ein Sys­tem und dann, ach ja, wir brauchen ja noch, also wir bleiben dann in der Test­phase, aber am Ende des Tages wer­den wir uns dafür entschei­den, es muss ja dann schon, AV muss geprüft sein, Michael muss die Soft­ware gese­hen haben, dass wir wirk­lich ein­fach sagen kön­nen, okay, das ist alles safe und wir kön­nen damit starten. Weil am Ende des Tages, wenn man jet­zt das auf die Spitze treiben möchte, brauchen wir die Soft­ware zum Beispiel gar nicht prüfen oder zum Test nutzen, wenn alles davor gar nicht erledigt ist oder klar ist. Und das ist halt so, worauf ich aber hin­aus möchte, ist halt, dass dann, also alleine, wenn wir diesen laufend­en Prozess nehmen mit Ver­fahren und so weit­er, keine Frage, aber es fängt halt schon niedrigschwelliger an, eigentlich ist es schon der AV, also wenn man eine Soft­ware irgend­wie ein­set­zt, der AV muss ja schon irgend­wie da sein, der wird natür­lich nicht immer alle Nase lang erneuert, aber alleine schon, dass das, das ist ja dieser laufende Prozess, ändere ich irgend­was, muss ich dafür auch sofort wieder die entsprechen­den Verträge haben. Also da fängt es ja ganz früh an. Wie gesagt, ich ertappe mich sel­ber dabei, hier und da, aber wie gesagt, ich habe halt das Glück, dass wir so engen Kon­takt haben, aber das hat halt nicht jed­er, deswe­gen also da muss man sehr nah dran sein, immer wieder.

[Michael] Aber auch das ist das, der Beweis oder der Nach­weis oder die Diskus­sion über ein funk­tion­ieren­des Daten­schutz­man­age­ment, also wie greift der Daten­schützer, das ist auch eine Anforderung aus der DSGVO, wie greift der Daten­schützer oder wie kann der Dat­en, wie wird der Daten­schützer in solche Prozesse von vorn­here­in involviert, wie kommt er mit dazu, wie greift er rein.

[Michael] In einem funk­tion­ieren­den Sys­tem kriegt der Daten­schützer eine Infor­ma­tion, wird mit ein­be­zo­gen, im Ide­al­fall ganz, ganz früh, weil das muss man mal sehen, es gibt Beispiel aus dem täglichen Leben, es gibt schon in manchen Unternehmen Mar­ketingabteilun­gen, die sehr kreative Ideen haben, was man für Soft­ware ein­set­zen kann und mit was man mit diesen per­so­n­en­be­zo­ge­nen Dat­en, die dann in dieser kreativ­en Soft­ware drin sind, so tun darf. Also um es mal vor­sichtig, char­mant auszu­drück­en, also da macht es schon Sinn, wenn man den Daten­schützer sehr, sehr früh mit in diesen Prozess involviert, dass der halt so zeit­nah auf den Start­knopf, auf den Stopf­knopf drück­en kann oder kann sagen, halt, Obacht, ich würde bitte Fol­gen­des betra­cht­en, bevor da halt ein­fach irgend­was gekauft und imple­men­tiert wird. Ja, ich hab das schon ein paar Mal gehabt, dann sagt der Kunde, ja, wir haben jet­zt übri­gens Soft­ware XY einge­set­zt. Hoho­ho, ja, ein­mal USA, ein­mal, also das war noch zu Zeit­en, wo man noch der Schrems 2 Prob­lematik hat. Ja, das und dann da kom­men per­so­n­en­be­zo­gene Dat­en hoch und wir wollen unser Gesund­heits­man­age­ment noch mit darüber machen, das ist doch sen­si­bel, stopp, langsam, schlechte Idee. Ja, aber dann haben wir es gekauft. Dadurch wird die Idee nicht bess­er oder dadurch wird die Soft­ware nicht bess­er, weil ihr dafür jet­zt Geld aus­gegeben habt. Und auch das ist gelebtes und vernün­ftiges Daten­schutz­man­age­ment. Und dann sind wir wieder bei den Prozessen, was wir im Vorn­hem­mig gesagt haben. Du musst halt irgend­wo Ver­fahren beschreiben, wie du dir das für dein Unternehmen denkst. Und das ist im Ide­al­fall ein Flow­chart. Ich habe eine Idee, ich möchte eine Soft­ware ein­fü­gen. Und dann ist der näch­ste Punkt, Kon­takt mit dem Daten­schutzbeauf­tragten aufnehmen. Und dann hast du so ein Flow­chart und wenn du den abge­hackt hast und hast alles grün, ja, und du bist mit deinem Flow­chart unten angekom­men, alles klar, in der ein­fach­sten Form, nimm ihn, scann ihn ein, leg ihn auf den Serv­er oder hefft ihn in einen sicheren Ord­ner rein und kannst sagen, Soft­ware freigegeben, Flow­chart sauber durch, also Check­lis­ten, was auch immer. Aber du brauchst Werkzeuge für dich, dass solche Dinge ein­fach einen geregel­ten Gang gehen. Weil son­st kommst du nach­her am Ende in Teufels Küche, beziehungsweise du hast halt viel Arbeit. Renn mal einem Unternehmen, du hast einen Ver­trag abgeschlossen, also hast du eine Soft­ware, die du gekauft hast, renn da mal einen MAV-Ver­trag hin­ter­her. Wenn der Ver­triebler den Ver­trag mit dir gemacht hat, also die AGBs akzep­tiert hat und du bist Kunde bei denen, dann sind die schw­er zu kriegen. Am Anfang rufen die jeden zweit­en Tag an, so sieht es aus mit der Soft­ware, haben die noch Inter­esse, kann ich ihnen noch was zeigen, etc. Wenn du sagst, ja, ich will, schick mir eine Rech­nung ab, dann ist die Erre­ich­barkeit sehr schw­er. Und wenn du dann den AV-Ver­trag zur Prü­fung kriegst und du dann Lück­en ent­deckst und sagst, naja, also eigentlich passt das nicht, weil dazu haben sie keine Regelung getrof­fen, dazu gibt es keine Aus­sagen, da ste­ht drin, sie wollen dich nicht unter­stützen, wenn behördliche Anfra­gen kom­men, da ste­ht drin, dass sie sich nicht bei dir melden wollen, wenn sie selb­st einen Daten­schutzvor­fall haben, etc. Dann rennst du ein­fach der Meute hin­ter­her. Und das kannst du ver­mei­den mit einem vernün­fti­gen Daten­schutz­man­age­ment, wo von vorn­here­in klar ist, frag mal den DSB und bleib bei ein­er Check­liste, Ver­trag unter­schreiben erst, wenn AV-Ver­trag gek­lärt ist.

[René] Das, was du ger­ade beschreib­st, oder auch eigentlich das ganze The­ma, das erk­lärt ganz gut, warum brauche ich eigentlich einen inter­nen Daten­schutzbeauf­tragten? Also jemand, der wirk­lich intern in meinem Unternehmen dafür zuständig ist. Weil ganz viele unser­er Kun­den auch ein­fach sagen, ich habe einen exter­nen. Ja, aber wer ist denn intern dafür zuständig? Woher soll der externe DSB denn wis­sen, dass bei mir im Sys­tem sich irgend­was ändert? Das erfährt er ja nicht, weil der nor­male Mitar­beit­er logis­cher­weise sich ja nicht an ihn wen­det. Das heißt, ich brauche eine zen­trale Per­son oder eine kleine Per­so­n­en­gruppe, die eben genau dafür zuständig ist und eben den Kon­takt zu meinem exter­nen Daten­schutzbeauf­tragten aufn­immt, um dann eben diese Dinge zu klären und um auch Dinge nachzu­ver­fol­gen und nachzuhal­ten.

[Michael] Bei uns, bei mir im Unternehmen sind das bei meinen Kun­de­nun­ternehmen immer Daten­schutzko­or­di­na­toren. Die heißen nicht offiziell Daten­schutzbeauf­tragter. Das bin ich. Ich bin der Externe. Ich bin der, der hil­ft und der, der die Ahnung hat, dass das alles cool ist. Und die, die im Unternehmen sind, die müssen auch nicht zwangsläu­fig, also die müssen auf gar keinen Fall einen Aus­bil­dungs- und Daten­schutzbeauf­tragten haben oder tief­ere DSG­VO-Ken­nt­nisse. Aber das sind so die Ohren und die Augen im Unternehmen, die bei mir sich melden und sagen, pass mal auf, die IT über­legt jet­zt dies, die über­legen jet­zt das. Wie sieht es denn aus? Was kön­nen wir denn tun? Also diese Relais­sta­tion ein­fach. Und ich habe in jedem Unternehmen, wo ich berate, habe ich diese Koor­di­na­toren drin sitzen. Das ist immer ein­er, der benan­nt wor­den ist. Es ist immer entwed­er ein­er aus der IT, ein­er aus dem QM-Man­age­ment etc. Also immer ein­er, der auch am Zahn der Zeit liegt. Das ist sel­ten die Per­son­alerin oder der Ver­triebler oder der Mar­ket­ingleit­er, son­dern das sind immer welche, die in irgen­dein­er Art und Weise einen Bezug zu dem Ganzen haben. Und dann funk­tion­iert das aber super. Also wenn das super einge­tak­tet ist und wenn du dann noch die Kom­bi­na­tion hast mit ein­er vernün­fti­gen Daten­schutz-Man­age­ment-Soft­ware, wo du zen­tral sowohl von Kun­den­seite als auch von DSB-Seite drauf zugreifen kannst, ganz zen­tral arbeit­en, ist Daten­schutz-Man­age­ment ein­fach zu real­isieren und hil­ft dir echt die DSGVO nach­weis­lich sauber weitest­ge­hend einzuhal­ten und die Anforderun­gen zu erfüllen. Ich will jet­zt nicht sagen, dass du mit ein­er, also diese Werbe­sachen muss man aber natür­lich auch diese Werbeslo­gans mit uns wer­den sie DSG­VO-kon­form in fünf Minuten.

[Michael] Oder diese Mar­ket­ing-Slo­gans mit Daten­schutz sichergestellt in zehn Minuten durch unsere Soft­ware. Und mit fünf Klicks zur richti­gen tech­nisch organ­isatorischen Werbe-Fly­er und Werbe-Ban­ner. Die Soft­ware an sich stellt die Plat­tform. Das Sich­er­stellen der Kon­for­mität und das Sich­er­stellen der kor­rek­ten Umset­zung der Daten­schutz-Grund­verord­nung im Unternehmen obliegt nicht in der Ver­ant­wor­tung der Soft­ware, son­dern die stellen ein­fach nur die Plat­tform. Und wie schnell und wie DSG­VO-kon­form ich bin, das entschei­de ich und nicht der Soft­ware-Anbi­eter. Und auch da, ich glaube eine 100%-Konformität zur DSGVO kick­et. Du kannst nur einen Prozentsatz haben, einen sehr hohen, um dich anzunäh­ern und das Risiko betra­chtet so sehen, dass du weißt, wo deine Prob­leme und deine Risiken sind. Da ist wie das Man­age­ment-Sys­tem, also ein Daten­schutz-Man­age­ment, wo du trans­par­ent drin hast, was los ist.

[René] Sehr umfan­gre­ich­es The­ma.

[Michael] Ja, da kön­nen wir noch drei Stun­den drüber philoso­phieren. Ich denke, genau. Ich bin es an der Stelle, ja. Ja, ich denke, es war genau das, auch abschließend, ich denke, es war so ein grober Überblick oder so ein schön­er Abschluss zu dieser The­men­rei­he Toms und Umset­zung, dass man ein­fach nochmal so das Gesamt­paket betra­chtet und nochmal sieht, wo mün­det es denn alles oder wo sollte es denn mün­den und glaube ich, da war das heute der richtige Punkt, den wir da set­zen kon­nten an dieser Stelle.

[René] Genau. Sieht nicht so aus, als hätte jemand Fra­gen, dann würde ich sagen, beschließen wir es für heute. Ja, vie­len Dank, dass ihr dabei wart und dann hören wir uns in 14 Tagen wieder. In 14 Tagen wird es dann um das The­ma Mobile Device Man­age­ment und Fir­mengeräte gehen. Mal wieder im tech­nis­chen Bere­ich, dann habe ich auch wieder was zu sagen.

[Michael] Beim näch­sten Mal ziehe ich mich zurück und lasse dich erzählen.

[René] Ja, wir schauen mal. Genau. Bis dahin gerne www.users-lounge.de oder auf allen sozialen Plat­tfor­men und wenn Fra­gen sein soll­ten, immer gerne hier bei LinkedIn stellen, also uns anschreiben oder eben per Mail auf allen möglichen Wegen gerne melden und dann würde ich sagen, von mir aus, schönes Woch­enende und bis zum näch­sten Mal. Von mir aus auch.

[Michael] Tschüss, bis zum näch­sten Mal.