Hasardeure im Datenschutz

Heute muss ich einmal meinem Ärger ein klein wenig Luft machen. Worum geht’s? Um Glücksspieler!

Glückspieler oder Hasardeure sind Menschen, die unkalkulierbare hohe Risiken eingehen und dabei ihre Sicherheit weniger der eigener Einsicht und eigenem Können als einem wohlgesinnten Schicksal überantworten (Quelle: Wikipedia).

Was hat das jetzt mit Datenschutz zu tun? Eine ganze Menge, wenn man sich einmal anschaut:

a) wie „ernst“ manche Unternehmen das Thema nehmen und
b) was sich plötzlich an Datenschutz-„Profis“ (oder auch „Beauftragte“) auf dem Markt bewegt.

Kopf in den Sand bringt nichts

Es ist klar, dass die DSGVO viele Unternehmen, insbesondere Kleinbetriebe und Mittelständler, vor viele Fragezeichen gestellt hat und noch immer stellt. Das ist aber nicht das Problem. Das Problem besteht darin, dass – nach wie vor – etliche Unternehmer in dem Thema eine „Vogel-Strauß-Politik“ fahren. Getreu dem Motto: solange ich nichts mache, mache ich nichts verkehrt.

Und wenn ich was mache, dann darf es nichts kosten. Da kommt dann mal schnell die angestellte Mitarbeiterin (die, nebenbei bemerkt: noch nie was von dem Thema gehört hat) zur Funktion der Datenschutzbeauftragten wie die berühmte Jungfrau zum Kinde. Hauptsache, ich kann was in meiner Datenschutzerklärung auf der Homepage angeben.

Externe „Spezialisten“ oder doch eher Trittbrettfahrer

Oder aber es wird von irgendwo her ein externer Datenschutz-„Spezialist“ ausgegraben, der anscheinend über die erforderliche Qualifikation und Fachkenntnis verfügt (denn das ist ja schließlich gesetzlich vorgeschrieben). Recherchiert man dann einmal zu diesen „Spezialisten“, findet man im Netz keinerlei (!) Hinweise auf Qualifikationen, Mitgliedschaften in Berufsverbänden, fachliche Publikationen, eine eigene Homepage o.ä. – kurz gesagt: leere Blätter… und das im Online-Zeitalter – bemerkenswert, und das im wahrsten Sinne des Wortes.

Aktuelles Beispiel: eine Arztpraxis, die ja nun bekanntermaßen mit sehr sensiblen Daten umgeht, weist einen externen Datenschutzbeauftragten aus. Dieser Beauftragte wird zugleich als Verantwortlicher angegeben (was per se schon mal nicht funktioniert) und ist auf einer Handynummer als Mitarbeiter eines kleinen Unternehmens für Softwareentwicklung, Datenbank- und Grafikdesign erreichbar. Sowohl für diese Firma als auch für ihren Mitarbeiter gibt es nullkommanull Hinweise auf fachliche Expertise in punkto Datenschutz. Nebenbei bemerkt: diese Firma gibt weder in ihrer Datenschutzerklärung alle eingesetzten Tracking-Tools an, noch werden die gesetzlichen Anforderungen zur Einwilligung umgesetzt. Und da sollen Profis am Werk sein? Kaum zu glauben…

Und das kann es doch echt nicht sein. Hier kann ich mich des Eindrucks nicht erwehren, dass auf der einen Seite auf Teufel komm raus Geld gespart werden soll (Arztpraxis) und auf der anderen Seite noch schnell ein Euro mitgenommen wird („Beauftragter“).

Jeder Unternehmer, Arzt oder Apotheker, der tatsächlich ernsthaft mit dem Thema Datenschutz umgeht, muss sich doch von einer derartigen Handhabung vollkommen veralbert vorkommen. Dort wird Aufwand betrieben (denn eine DSGVO-Umsetzung bedeutet nun mal Aufwand) und es wird für externe Beratung/Beauftragung Geld in die Hand genommen (denn Qualität hat nun mal ihren Preis). Und dann gibt es diejenigen Zeitgenossen, die anscheinend der Auffassung sind, alles mit „Tricks“ erledigen zu können und sich freuen, dass Andere so dumm waren und Geld ausgegeben haben.

Aber diesen Zeitgenossen darf ich eine Aussage von Frau Barbara Thiel, ihres Zeichens Landesbeauftragte für Datenschutz Niedersachsen, auf den Weg geben: „2018 war aus Sicht der Aufsichtsbehörde das Jahr der Eingewöhnung. In 2019 kommt der Vollzug.“ So getätigt auf der regionalen Arbeitskreissitzung der Gesellschaft für Datenschutz und Datensicherheit e.V. am 21.03.2019.

Ich hoffe inständig, dass die Aufsichtsbehörde ihre Aussage wahrmacht und diesen Zeitgenossen die rote Karte zeigt. Denn ein derartiges Verhalten ist alles andere als seriös.