Interview mit Christopher Gerling
16. Januar 2023
Christopher Gerling ist Rechtsanwalt und Zertifizierter Datenschutzbeauftragter gem. DSGVO und BDSG-neu. Seit 2019 ist er bei KSB INTAX und unterstützt Mandanten bei Rechtsfragen und der implementierung der individuellen Datenschutz-Compliance in Unternehmen.
Im Interview spricht er über seine Erfahrungen aus der Beraterpraxis zu Thema Datenschutz-Compliance.
Herr Gerling, das Thema Datenschutz ist im Unternehmensalltag allgegenwärtig. Welche Herausforderungen für Unternehmen sehen Sie häufig in Ihrer Beraterpraxis?
Eines der größten Herausforderungen ist es, eine Sensibilisierung für datenschutzrechtliche Themen zu schaffen. Die meisten Personen, die unmittelbar mit personenbezogenen Daten arbeiten, sind aber leider häufig nicht ausreichend informiert bzw. geschult. Das bedeutet, dass Mitarbeitende oft nicht wissen, ob, zu welchem Zweck und wie lange sie die ihnen vorliegenden personenbezogenen Daten verarbeiten dürfen. Gerade im Bereich der Kundenakquise lässt sich diese Herausforderung häufig beobachten.
Kennen Unternehmen selbst die von Ihnen genannten Herausforderungen?
Das kann man so pauschal nicht sagen. Allerdings erlebe ich es häufig, dass Unternehmen den Datenschutz vor sich herschieben. Daher gilt es eine gewisse Awareness für das Thema „Datenschutz“ zu schaffen. Meist deckt sich erst in einem Beratungsgespräch auf, welches Defizit im Bereich der Datenschutz-Compliance besteht.
Wie reagieren Unternehmen, wenn ein solches Defizit aufgedeckt wird?
Es entsteht quasi automatisch ein gewisser Tatendrang, die identifizierten Defizite zu bereinigen. Allerdings wird mit Datenschutz meist auch etwas Negatives und „Blockierendes“ für die Unternehmensstruktur assoziiert. Das ist dann immer etwas schade.
Wie wirken Sie dem entgegen?
Mittlerweile ist es in Deutschland weit verbreitet, dass Unternehmen für vermeintlich kleine Vergehen empfindliche Bußgelder zahlen müssen, zum Beispiel wegen fehlender Informations- und Löschpflichten, unzureichender Dokumentationen von Verarbeitungstätigkeiten, Fehleinstellungen in Tools und Software sowie fehlender Datenschutzfolgeabschätzungen. Das wollen die Unternehmen natürlich vermeiden.
Aber auch rein abgesehen von den finanziellen Aspekten, sollte man den Datenschutz auch als Chance dafür begreifen, bestehende Arbeitsabläufe einmal kritisch auf deren Aktualität und Effektivität hin zu prüfen.
Durch die Datenschutz-Compliance wird eine Rechtskonformität hergestellt sowie personenbezogene Daten verstärkt geschützt. Gibt es daneben weitere positive Auswirkungen der Datenschutz-Compliance für Unternehmen?
Ja, auf jeden Fall! Mir ist es wichtig, nicht nur den rein rechtlichen Part zu betrachten, sondern die Datenschutz-Compliance auch in wirtschaftlicher Hinsicht zu nutzen.
Was genau meinen Sie damit?
Bei der Beratung sehe ich mir die Datenflüsse und die verwendete Software bzw. Tools des gesamten Unternehmens genauer an. So identifiziere ich „aufgeblähte“ Arbeitsabläufe, die auch „verschlankt“ werden können. Nicht selten nutzt das Unternehmen zahlungspflichtige Softwareanwendungen oder Tools, die den gleichen Zweck verfolgen und daher eigentlich überflüssig sind. Durch diese Vorgehensweise lassen sich Datenflüsse effektiver (und damit datenschutzfreundlicher) gestalten und finanzielle Ressourcen einsparen.
Was empfehlen Sie einem Unternehmen, welches noch keine Datenschutz-Compliance implementiert hat?
Zuallererst: Keine Panik! Machen Sie sich bewusst und akzeptieren Sie, dass der Datenschutz zu jedem Unternehmen rechtlich zwingend dazugehört.
Konkret kann man wie folgt vorgehen:
Machen Sie eine Ist-Bestandsanalyse. Dies meint, zu analysieren was Sie schon machen und was noch nicht bzw. in welchen Bereichen ggfs. Defizite vorliegen.
- Webseite checken und Interaktionsmöglichkeiten prüfen. Alles und überall, wo Daten gesammelt werden, muss sich in der Datenschutzerklärung auf der Website wiederfinden.
- Bestandsaufnahme von den genutzten IT-Systemen und Arbeitsabläufen durch ein Organigramm und/oder Tabellen visualisieren.
- Die gewonnen Informationen mit Blick auf den Datenfluss dokumentieren und soweit möglich, rechtlich bewerten bzw. einordnen.
- In regelmäßigen Abständen überwachen und anpassen.
Die Ist-Bestandsanalyse kann jedes Unternehmen selbst durchführen, dafür bedarf es lediglich Kenntnisse über das Unternehmen und dessen Strukturen. Bei der konkreten Umsetzung von datenschutzrechtlichen Vorschriften, empfehle ich einen externen Experten zu Rate zu ziehen. Dieser hat das vertiefte und rechtssichere Know-how und die nötige Erfahrung.