Und täglich grüßt die DSGVO

Gastbeitrag von | 25.05.2018 | Projektmanagement | 6 Kommentare

Bestimmt haben Sie das in den letzten Tagen auch in dieser oder einer ähnlichen Form erlebt: Der Hersteller der Waschmaschine fragt, ob Sie weiterhin an seinen News interessiert sind, das Hotel-Portal Ihrer Wahl möchte eine Bestätigung, dass deren Informationen weiterhin von Ihnen gewünscht werden, Ihre beruflichen Kontakte bitten um die Aussage, dass Sie Ihr „Abo“ weiterbeziehen möchten. Immer gibt es einen entschuldigenden Verweis auf die neue europäische Datenschutzverordnung (DSGVO). Irgendwann fing es an zu nerven und egal, wer einen da anschreibt, man bestätigt einfach nicht mehr.

Wirtschaftlichkeit ade

Ich selbst bin tatsächlich schon vor 4 Wochen und eher zufällig wegen einer solchen Newsletter-Anfrage einer Uni über das Thema gestolpert und – Gott sei Dank – hatte mein Steuerberater ein paar gut aufbereitete Informationen für mich. Also habe ich mich gekümmert, Freunde und Kollegen aufmerksam gemacht und zeitlich sicherlich mehr als das investiert, was sich ein Kleinunternehmen eigentlich leisten kann. Erst haben viele meiner selbständigen Kollegen und Freunde abgelehnt, sich überhaupt mit dem Thema zu beschäftigen, am Ende wurden die meisten dann doch nervös und haben viel mehr Zeit investiert und umgesetzt als eigentlich für die Arbeit und den Umsatz eines solchen Unternehmens angemessen ist. Das habe ich mit allen mir bekannten Kollegen gemeinsam, wirtschaftlich verträglich leistbar war das Ganze nicht, und die Hilfestellungen offizieller Stellen konnten wir nur sehr eingeschränkt erkennen. Was all das in den Sektoren der kleinen Physiotherapie-Praxen oder lokaler Handwerksbetriebe ausgelöst hat oder hätte auslösen müssen, mag ich mir gar nicht vorstellen.

Der tägliche Wahnsinn

Parallel kriege ich in Facebook weiterhin den Hinweis, dass eine Freundin von mir die Inserate einer bunten Modekette „geliked“ hat, was diese nach erneutem Check weiterhin erbost abstreitet, Mr. Zuckerberg blamiert die EU-Abgeordneten, und heute höre ich in den Nachrichten, dass diverse Online-Apotheken so unsichere Bestellshops aufgesetzt haben, dass man via einfachem Hack der Sesssion-Id Kundendaten bis hin zur Bankverbindung auslesen kann, von Gesundheitsdaten einmal ganz abgesehen.

Aufgrund meiner Konzern-Erfahrungen bin ich sicher, dass die großen Unternehmen schon lange viele Mitarbeiter-Jahre in die Umsetzung der DSGVO gesteckt haben, um abgesichert zu sein. Und überhaupt: Abmahnungen haben gegen solche finanzkräftigen und juristisch perfekt aufgestellten Unternehmungen kaum eine Chance und staatliche Strafen werden im Konsens wegen der bedrohten Arbeitsplätze auf ein überschaubares Maß reduziert. Wird bei der DSGVO nicht anders werden.

Irgendetwas ist da schief gegangen, auch wenn die Bundesdatenschutzbeauftragte Andrea Voßhoff am Morgen des 24. Mai 2018 im RBB-Inforadio die Verordnung mehr als nur gelobt und sogar als „Chance für Unternehmen“ bezeichnet hat.

Ich jedenfalls habe, basierend auf meiner Erfahrung in der Pharmabranche, in der behördliche Regularien immer schon ein Thema waren, eine Risikoanalyse  gemacht und daraufhin entschieden, hier nicht alles mitzumachen und diese Entscheidung dann ganz verordnungskonform dokumentiert.

Natürlich, auch mein Datenschutz-Absatz ist jetzt so lang und unverständlich wie der aller Web-Auftritte, die ich so sehe – mmh, irgendwie scheint mir das mit den Zielen der DSGVO nicht verträglich, aber alle raten es an – und natürlich habe ich meinen Web-Auftritt verschlüsselt, um irgendwelchen Abmahnern zu entkommen, auch wenn es nur ein Kontaktformular ins Email gibt. Aber nach einer Risikoanalyse habe ich mich auch entschieden, keine Zustimmung der Menschen auf meinen Email-Verteilern einzuholen, sondern nur zu informieren; ist schließlich kein Newsletter. Und ich bin in Bezug auf „Vereinbarungen zur Auftragsverarbeitung“ eher entspannt, wenn sie denn fehlen, denn die Dienstleister meines Vertrauens sind eben genau das: nämlich vertrauenswürdig und haben trotz jahrelanger Zusammenarbeit meine Daten nicht verkauft – im Gegensatz zu (natürlich nur Mitarbeitern aus) Großkonzernen aus dem Telefonsektor oder Social Media. Insofern habe ich bei großen Providern schon solch eine Vereinbarung abgeschlossen und eine meiner Email-Plattformen für Geschäftspost verlassen, weil ich da mit vertretbarem Aufwand keine solche Vereinbarung fand. Gesucht habe ich auch bei anderen lange, denn die teilweise zugesendeten Emails sind in der Menge von deren sonstiger Werbepost einfach untergegangen.

DSGVO – am Ziel vorbei

Der wirtschaftliche Schaden, der durch die Aufwände und die zerstörten Newsletter-Verteiler kleiner Unternehmen entsteht, scheint mir hoch und wird viel zu wenig thematisiert. Ja und das durchaus unterstützenswerte Ziel, persönliche Daten zu schützen, scheint mir dagegen leider nicht erreicht – ich bin mal gespannt, ob ich in den nächsten Tagen weiterhin diese interessanten Werbe-Emails für Gartenschirme, Privatkredite und Baumaterial erhalte – die haben meine Adresse ganz sicher nicht vom PC-Betreuer meines Vertrauens…..

Und heij, ich warte schon gespannt auf eine Umweltschutzvereinbarung der EU – Dieselskandal lässt grüßen –,  die uns vorschreibt, wie wir zukünftig dokumentieren und damit kontrollierbar machen, wie wir unser Papier und unsere Kaffeekapseln ökologisch einwandfrei entsorgen und wie wir sicherstellen, dass die beim Büro-Onlinehandel bestellten Sichthüllen „fairtrade“ und aus umweltfreundlichem Plastik hergestellt sind …

 

Hinweise:

Interessieren Sie sich für weitere Tipps aus der Praxis? Testen Sie unseren wöchentlichen Newsletter mit interessanten Beiträgen, Downloads, Empfehlungen und aktuellem Wissen.

Gemeinsam mit Matthias Winnig bietet Astrid Kuhlmey im Rahmen von Projekt- und Veränderungsmanagement Kurse an, die einen Schwerpunkt auf das Handeln und Entscheiden in nicht vorherseh- oder planbaren Situationen legen. Wann der nächste Schnupperkurs stattfindet finden Sie unter https://sicher-durch-veraenderung.de/ueber-uns/news.

Astrid Kuhlmey hat im t2informatik Blog weitere Beiträge veröffentlicht, u. a.

t2informatik Blog: Planung unter Vorbehalt

Planung unter Vorbehalt

t2informatik Blog: Digitale Transformation – ein Plädoyer für Qualität

Digitale Transformation – ein Plädoyer für Qualität

t2informatik Blog: Das Erwartungsmanagement

Das Erwartungsmanagement

Astrid Kuhlmey
Astrid Kuhlmey

Dipl.Inf. Astrid Kuhlmey verfügt über mehr als 30 Jahre Erfahrung im Projekt- und Linienmanagement der Pharma-IT. Seit 7 Jahren ist sie als systemische Beraterin tätig und begleitet Unternehmen und Individuen in notwendigen Veränderungsprozessen. Ihr liegen Nachhaltigkeit sowie gesellschaftlicher und wirtschaftlicher Wandel und Entwicklung am Herzen. Gemeinsam mit einem Kollegen hat sie einen Ansatz entwickelt, Kompetenzen zum Handeln und Entscheiden in Situationen der Ungewissheit bzw. Komplexität zu fördern.

6 Kommentare

  1. Peter Eßer

    Ach ja, die alte Leier: Die böse EU verdirbt mit ihren unfähigen Bürokraten jede wirstschaftlich sinnvolle Aktivität!
    Immer wieder höre ich wie, schlimm das alles ist und wenn ich schon die Zahl 20 Mio. lese, weiß ich bereits : Hier wird wieder mit völlig unwahrscheinlichen Drohszenarien Angst geschürt und Geschäftemacherei legitimiert. Die exorbitanten Strafzahlungen werden nämlich aus den 2 Prozent des weltweiten Umsatzes abgeleitet, die von „kleinen Mittelständlern“ in der Regel wohl nicht erreicht werden.

    Interessant auch, dass dieselbe Branche von ausgefuxten Rechtsverstehern (-verdrehern?) uns vor Abmahnern warnt, die sie in ihren eigenen Reihen heranzüchtet und scheinbar nicht zur Räson bringen kann. Ganze Kanzleien leben ausschließlich von der geldmachenden Zweckentfremdung von Gesetzen! Die Standeskollegen schauen gelassen zu, da sie an der rechtlichen Vertretung der jeweiligen Opfer mitverdienen…

    Das eine Verordnung zum Schutz der Privatsphäre seit 2012 öffentlich diskutiert und vorbereitet wird und erst jetzt „völlig überraschend“ in Kraft tritt, ist natürlich auch denen zu verdanken, die mit extremster Lobbyarbeit genau für die Komplizierungen gesorgt haben, die nun beklagt werden. In der Zeit von nur 6 Monaten wurde im gleichen Zeitraum übrigens die Vorratsdatenspeicherung ohne große Verwerfungen durchgewunken; beim Rechte nehmen ist man allgemein schneller als beim Rechte geben?

    Datenschutz mit dem Hinweis auf Unvollständigkeit zu kritisieren ist unredlich und wird vorallem von denen forciert, die die öffentliche Meinung durch ihre Marktmacht bereits jetzt überproportional beeinflussen, um ihre Geschäfte mit unseren Daten möglichst ungestört ausweiten zu können – immer nach dem Motto: Verzichtet lieber auf alle Anstrengungen zum Datenschutz, denn ihr habt eh keine Chance, lasst uns lieber in Ruhe, dann reden wir auch nicht schlecht von Euch, Ehrenwort!

    Dass Anpassungen und Verbesserungen der DSGVO nötig sind, ist fraglos. Aber ebenso klar solltesein, dass der Schutz privater Daten lange überfällig war und nun endlich(!) ein erster wirksamer Schritt getan wird. Und nebenbei ist es bestimmt kein schlechte Nebeneffekt, dass der bedenkenlose Umgang mit Daten von anderen Menschen auch im Kleingewerbe mal überdacht wird!

    • Astrid Kuhlmey

      Hallo Herr Eßer, Ihr Kommentar hat mich irritiert. Meinen Sie wirklich meinen Artikel? Ich habe doch gar nichts von 20 Mio. geschrieben und halten Sie mich für eine von den erwähnten Rechtsverdrehern? Leider führen Sie nicht aus, worin Sie die Wirksamkeit der DSGVO sehen, das würde ich gerne mit Ihnen diskutieren. Ich jedenfalls plädiere weiterhin für Datenschutz, aber schlanke Regelungen (ich kritisiere nicht die Unvollständigkeit, sondern eher das Gegenteil, nämlich dass durch die Intransparenz, die unklaren Umsetzungsvorgaben und die Detaillierung der Sinn fraglich wird), die nach meiner Erfahrung Eigenverantwortung stärken, statt sie durch bürokratisches Handeln und Angst vor Strafe zu torpedieren. Interessant in diesem Kontext übrigens, dass der einzige Vorteil, den ich aus meinem Umfeld höre, der ist, dass man unliebsame Newsletter los ist – ging auch vorher, wenn man wollte…

      • Michael Schenkel

        Hallo Frau Kuhlmey,
        ich teile einen Großteil Ihrer Erfahrungen und Eindrücke. Vor allem die zusätzlichen Inhalte einer bereits vorhandenen Datenschutzerklärung schießen doch deutlich über das Ziel hinaus. Wir erläutern bspw. in unserer Datenschutzerklärung folgendes:

        „Wir setzen innerhalb unseres Onlineangebotes und insbesondere im Blog den Dienst Gravatar, der Automattic, Inc. 132 Hawthorne Street San Francisco, CA 94107, USA, ein.

        Gravatar ist ein Dienst, bei dem sich Nutzer anmelden und Profilbilder und ihre E-Mailadressen hinterlegen können. Wen Nutzer mit der jeweiligen E-Mailadresse auf anderen Onlinepräsenzen (vor allem in Blogs) Beiträge oder Kommentare hinterlassen, können so deren Profilbilder neben den Beiträgen oder Kommentaren dargestellt werden. Hierzu wird die von den Nutzern mitgeteilte E-Mailadresse an Gravatar zwecks Prüfung, ob zu ihr ein Profil gespeichert ist, verschlüsselt übermittelt. Dies ist der einzige Zweck der Übermittlung der E-Mailadresse und sie wird nicht für andere Zwecke verwendet, sondern danach gelöscht.

        Die Nutzung von Gravatar erfolgt auf …“

        Der Absatz über die Verwendung von Gravatar geht noch über zwei weitere Absätze. Leider sind das auch die Konsequenzen der neuen DSGVO, die vermutlich ursprünglich nicht im Fokus standen, sich aber jetzt in der Folge ergeben …

        Sonnige Grüße
        Michael Schenkel

        • Astrid Kuhlmey

          Genau das scheint mir eines der Hauptprobleme. Um einigermaßen DSGVO-konform zu sein und vor allem sicher vor Abmahnung, ist die Menge an Information einfach so hoch, dass die Person, die eigentlich zu schützen wäre, es gar nicht mehr liest, sondern einfach zustimmt – oder eben nicht aus Sorge, persönliche Daten zu publizieren, nicht zustimmt.

          DIeser Widerspruch zwischen scheinbar vollständiger Information und Verständlichkeit scheint mir nicht lösbar und doch ergeben sich beide Anforderungen offensichtlich aus der DSGVO… ich habe mich für den Weg entschieden, diese „Überinformation“ dort mitzumachen, wo ich öffentlich sichtbar bin und im direkten Kontakt mit mir bekannten Personen auf Verständlichkeit, Kürze und das damit durchaus auch verbundene Vertrauen in eine gute Zusammenarbeit zu setzen – nicht zuletzt auch deshalb, weil ich weiß, dass man Böswilligkeit auch mit den besten Vereinbarungen nicht verhindern kann… alles hinterlegt mit einer Risikoanalyse, so dass ich im Falle einer Inspektion aufzeige, dass ich umsichtig gehandelt habe.

  2. Kai-Uwe Kroll

    Hallo Frau Kuhlmey,
    danke für den guten Artikel, vor allem für den Vergleich der Wirksamkeit der Datenschutzgesetze bei großen und kleinen Unternehmen.
    Allerdings müsste ich hier keinen Kommentar schreiben, wenn da nicht doch etwas kritisch anzumerken wäre, und eben genau betreffend die „Kleinen“: Nach meiner Erfahrung als Berater in IT-Infrastruktur, wozu ja auch Sicherheit gehört, gibt es immer noch eine erschreckende Sorglosigkeit in KMU, wenn es um die technischen Maßnahmen, z.B. zur sog. „intrusion prevention“ geht, also der Vorsorge gegen unbefugtes Eindringen in IT-Systeme. Da setzen Anwaltskanzleien zehn Jahre alte Open-Source-Firewalls ein, Pflegedienste schicken Patientendaten im Klartext als E-mail-Anhänge herum und Produktionsbetriebe setzen Windows-2000-Rechner zur Prozesssteuerung ein, die im gleichen Netz wie der Groupware-Server stehen und über das Internet ferngesteuert werden.
    Es vergeht keine Woche, in der ich nicht solche und ähnliche Gruselgeschichten höre, und auch mehrfache erfolgreiche Erpressungen mit Ransomware halten manche Unternehmen nicht davon ab, nach Bezahlung des Lösegeldes einfach zur Tagesordnung überzugehen, weil man ja „eh nichts dagegen tun kann“.
    Jetzt kommt es aber dicke: Denn die Lösegelder in Höhe von 100 bis 1000 € waren ein Spaß gegen die Strafen, die seit 25.05. für Datenlecks angedroht sind. In Zukunft werden Erpresser also nicht mehr aufwendig Verschlüsselungssoftware platzieren, sondern einfach nur ein paar personenbezogene Datensätze vom ungeschützt im Internet stehenden Exchange-Server (oder dem daran angeschlossenen Smartphone eines Mitarbeiters) abziehen müssen, um den Unternehmer mit dem Gang zur Behörde erpressen zu können. 10% von dem, was die DSGVO dafür androht sind, verglichen mit der Strafe selbst, ein Schnäppchen, aber immer noch viel mehr als früher erzielbar war. Ja, es ist nicht nett, dass die Behörden damit quasi zu „Helfern“ der Internet-Gangster werden, aber vielleicht begreifen dann endlich mal ein paar Sorglose, dass IT kein Spaß ist, den man sich vom Neffen der Assistentin „schrauben“ lässt, weil der beruflich „irgendwas mit Computern macht“. State-of-the-Art-IT-Sicherheitsequipment kostet Geld, genauso wie der Zaun um das Lager, die Videoanlage und der Pförtner. Das haben Viele im Mittelstand noch nicht begriffen. Vielleicht braucht es dazu mal ein paar drastische Maßnahmen wie die Strafen der DSGVO.
    Freundliche Grüße,

    Kai-Uwe Kroll

  3. Astrid Kuhlmey

    Da bin ich absolut Ihrer Meinung, das ist das eigentliche Problem und auf genau solche Fälle wollte ich am Beispiel Online-Apotheke auch hinweisen (auch wenn die zugegebenermaßen sicher kein Kleinunternehmen ist). Und natürlich sind diese Fälle gerade in Kleinstunternehmen zahllos, werden aber nicht so publik wie eben bei öffentlich zugänglichen Online-Bestellshops.

    Obwohl – oder vielleicht gerade weil 😉 – Informatikerin und jahrzehntelang mit Betriebsaspekten vertraut, vergebe ich die Aufgabe der Betreuung meiner Infrastruktur nach extern. Ich habe das Glück, dass ich über einen exzellenten PC-Betreuer verfüge, und ich habe aufgrund meiner Ausbildung und Berufserfahrung eben auch die Kompetenz, das zu beurteilen. Ich fürchte genau an diesen Stellen hakt es in der Praxis: Oft begegne ich sog. IT-PC-Experten, die es eigentlich nicht sind oder der Kunde ignoriert die Warnungen dieser Experten, weil es eben schon auch Kosten sind, die da anfallen oder – noch schlimmer – IT hat ja inzwischen den Ruf, dass es jeder kann, und so macht „man“ selber.
    Setzte hier eine Vorgabe an, sei es durch entsprechende Qualifikationsnachweise bei den Experten (Handwerker haben ja auch den Meistergrad) und/oder seien es Regelungen zum ordnungsgemäßen Betrieb von IT-Klein-Anlagen (bei Strom geht das doch auch) – wäre viel gewonnen – und eine solche Regelung zum Betrieb von IT-Klein-Anlagen darf dann auch durchaus etwas detailliert sein, denn Experten ist das ja zuzumuten.