no risk - no fun Datenschutz for everyone E-Book

Jürgen Recha

no risk - no funDatenschutz for everyone

DSGVO - Was muss ich wirklich tun?

© 2018 Jürgen Recha

Verlag und Druck: tredition GmbH, Hamburg

ISBN

Hardcover:

978-3-7482-0380-3

e-Book:

978-3-7482-0381-0

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Übersetzung, Verbreitung und öffentliche Zugänglichmachung.

No Risk – No Fun

Datenschutz for everyone

Datenschutz mit Begeisterung

Jürgen Recha

Der DatenschutzBegeisterer

Ich stimme aktiv den allgemeinen Lesebedingungen zu.

Wer in Deutschland sitzt, darf nicht mit Daten schmeißen.

Aus datenschutzrechtlichen Gründen wurde auf die besondere Trennung der Geschlechter in diesem Buch verzichtet. Wenn die männliche Ansprache erfolgt, ist damit auch die weibliche gemeint. Somit ist eine Identifikation erschwert. ☺

Inhaltsverzeichnis

   Vorwort

1. Meine Datenschutzstory

2. Was ist Datenschutz?

3. Geschichte des Datenschutzes

4. Die 4 Säulen des Datenschutzes

a)Außen

b)Mitarbeiter

c)Kunden

d)Lieferanten

5. Kluges Vorgehen

6. Das Beste kommt zum Schluss

Vorwort

Noch so ein trockenes Buch über Datenschutz? Besteht sicher nur aus Artikeln und Paragraphen. Schön kleingeschrieben und in Blocksatz. Da macht der Autor ganz bestimmt wieder einen auf Panik und Besserwisserei und die Welt wird morgen untergehen, wenn nicht alle sofort alle Daten schützen und alle, die bei einer Begrüßung den Namen des Gegenüber angeblich aus Freundlichkeit nennen, verhaftet werden.

Ich muss Sie enttäuschen. Leider ist dies nicht so ein Buch. Fast nicht. Das mit dem Blocksatz stimmt. Mehr aber nicht. Als die ersten Gedanken zu diesem Buch aufkamen, verspürte ich die Lust, genau das, was ich in den vielen Seminaren, Vorträgen, Workshops und Videos darstelle, auch zu Papier zu bringen. Das fühlt sich gut an und macht die Möglichkeiten der Präsentation rund. Es fehlte noch.

Zugegeben, kurz habe ich auch an den Spruch gedacht: Autorität kommt von Autor. Also hole ich mir eben auch noch Autorität. Ich habe nichts dagegen.

Doch was erzähle ich genau, wenn ich über Datenschutz rede? Bevor ich dies präsentiere, kurz zu meiner Person und wer ich bin. Ich heiße Jürgen Recha und während ich dieses Buch schreibe, sitze ich meistens in unserem Büro in Langenhagen bei Hannover. Oder ich mache es mir gemütlich und tippe auf meinem Laptop in einem der vielen schönen Gärten irgendwo zwischen Niedersachsen und dem Havelland. Ich bin Geschäftsführer der interev GmbH und der datarev GmbH. Die interev GmbH besteht seit Jahren und wächst kontinuierlich in Deutschland mit den Themen Datenschutz und IT-Revision. Der Sitz ist, wie bereits erwähnt, in Langenhagen in Steinwurfnähe zum Flughafen Hannover. Hier arbeiten wir mit einem extrem starken Team, das entweder im Büro, im Home-Office oder bei unseren Kunden die zugesagten Leistungen erbringt, damit der Partner und Kunde sich auf sein Kerngeschäft konzentrieren kann. Jeder macht das, was er kann und wozu er Lust hat. Das macht das Business einfacher und schafft Bock, weiter das Unternehmen zu entwickeln.

Während ich dieses Buch schreibe, passiert gerade so einiges in der interev GmbH. Wir haben uns entschieden, dass so, wie wir Datenschutz in Deutschland machen, es mehrere machen sollten. Grundlage für diese Gedanken ist die Tatsache, dass wir seit Jahren permanent wachsen und sich nunmehr die Frage stellt: Wie wollen wir weiter wachsen? Schaffen wir Filialen in Deutschland und wächst unsere Angestelltenzahl oder finden wir ein Verfahren, dass die Marke, die Art, die Philosophie der interev lebt, der Chef in Gebiet X aber trotzdem brennt für das, was er macht, und auch entsprechend belohnt wird. Diese Belohnung ist nicht nur finanziell gemeint, sondern vielmehr emotional. Dies erhält man vornehmlich, wenn man selbstständig ist. Wenn man selbst ein Unternehmen aufbaut und für Entscheidungen die echte Verantwortung trägt. Wie toll ist es dann, wenn man ein System übernehmen kann, das bereits funktioniert. Ein fertiges Marketing, fertige Konzepte und ein funktionierender Vertrieb. Damit ist der Gedanke zu einem Lizenzgeschäft entstanden, der – während an diesem Werk geschrieben wurde – so weit gereift ist, dass das Konzept für dieses Lizenzsystem steht, der Mustervertrag beim Anwalt liegt und es die ersten Interessenten gibt. Um dies angemessen aufzubauen, haben wir die datarev GmbH gegründet. Diese Gesellschaft wird den Datenschutz von der interev GmbH übernehmen und das Lizenzgeschäft nach vorne bringen.

An meinen ersten Ausführungen merken Sie sicherlich, dass dieses Buch wenig mit nur rationalem Datenschutz zu tun hat. Datenschutz ist für mich so etwas wie Selbstschutz. Es ist die Würde, die ich mir behalten möchte. Ordentlich und ANGEMESSEN mit meinen Daten umgehen. In dem Wort angemessen steckt alles drin, was ich mir unter Datenschutz vorstelle und wie wir Datenschutz in der interev, in der datarev und bei unseren Kunden leben. Grundsätzlich mit der Antwort auf die Frage: Gehst du würdevoll mit den Daten um, die dir anvertraut wurden? Und wenn man dann die Gesetze dazu nimmt und erkennt, dass diese vom Grundsatz her nichts anderes wollen, als das man ordentlich, angemessen, also würdevoll mit den Daten von Menschen umgeht, dann ist dieser Datenschutz ein emotionaler und nicht rationaler Schutz. Wenn man einen Strich unter das ganze Schaffen zieht, ist das Ergebnis ein Datenschutz, der sich sehr gut anfühlt. Der gerecht ist und den ein jeder haben möchte.

Damit das Ergebnis für jeden stimmt, ist es wichtig, die Definition von Datenschutz zu verstehen und dessen Sinn als positive Eigenschaft zu erkennen. Damit ist eine gute Basis geschaffen, um die folgenden Kapitel der Umsetzung anzugehen und umzusetzen. Mit der Betrachtung der direkten Außenwelt in der Online-Darstellung beginnt der Datenschutz direkt praktisch ausreichend Potential zu bieten, um einen angemessenen Datenschutz zu entwickeln. Danach betrachten wir die Säulen der Mitarbeiter, der Kunden und der Lieferanten. Jeder Bereich hat seine Herausforderung, hinter jeder Säule stecken unterschiedliche Menschen, von denen wir unterschiedliche Daten haben, die mir als Unternehmer anvertraut werden. Und jeder dieser Menschen mit seinen verschiedenen Informationen hat den berechtigten Anspruch, dass ich angemessen mit seinen Daten umgehe.

Der Datenschutz, den die interev lebt, den ich hier in diesem Buch beschreibe, hat eine Entwicklung durchgemacht. Er ist dadurch entstanden, dass wir als Team funktionieren, unsere Erfahrungen austauschen, Ansichten teilen und Meinungen diskutieren. Das Team sind die Mitarbeiter der interev GmbH. Jeder Einzelne steuert täglich viel Content und noch viel mehr Inspiration zu dem bei, was wir Firma nennen. Dazu gehört auch dieses Buch, so dass es richtig ist, dieses Werk als Produkt des Teams zu flankieren. Alles was an Fachwissen zusammengetragen wurde, hat einer vom Team eingebracht, erlebt oder als Gedanken aufgefangen und weiter ausgearbeitet.

Datenschutz, wie wir ihn verstehen, ist eben keine Marketingidee, sondern die Basis unseres Tuns.

Ich wünsche Ihnen ganz viel Spaß beim Lesen dieses Buches und freue mich, dass sich bei Ihnen eine Begeisterung für den Datenschutz entwickeln wird.

1. Meine Datenschutzstory

1998 begann ich nach meinem Studium zum Diplom-Betriebswirt eine Anstellung in einer externen Revision. Als klassischer Jahresabschlussprüfer reiste ich durch die Lande und prüfte bei den Mandanten den Jahresabschluss. Ausgestattet mit einem Laptop, der seinerzeit noch riesig war und dem Begriff Laptop nicht wirklich gerecht wurde. Es war die Zeit, als man noch viel selber unternahm, damit die Software lief. In einem Prüferteam von insgesamt 10 Kollegen hatte jeder seine informelle Position. Der eine war der Experte für Steuerrecht, der andere für öffentliches Haushaltsrecht. Man konnte sogar Experte für einfache und pragmatische Lösungen sein. Der wurde immer dann von den Kollegen kontaktiert, wenn zügig und kurzfristig eine Lösung her musste.

Durch meine vorherige Ausbildung zum Radio- und Fernsehtechniker war ich recht schnell zuständig für die Technik. Manchmal fühlte ich mich wie der Hausmeister im Anzug mit Krawatte und hochgekrempelten Hemdsärmeln. Lief ein Laptop nicht mehr, wurde ich angerufen, egal wo ich in Deutschland war. Mussten neue bestellt werden, durfte ich dies tun und dann konfigurieren. Dies ging soweit, dass ich sogar zusammen mit echten IT-Experten im ganzen Büro in Münster ein neues Netzwerk verlegt habe. Ich fühlte mich in dieser Position tatsächlich wohl. Es war eine Positionierung, die kein anderer innehatte, und da war ich recht gut drin. Zumindest besser als die anderen Kollegen, die sich um Handels- und Steuerrecht kümmerten.

Seit meinem Beginn in der Revision nutzten wir zur Abrechnung unserer Reisetätigkeit ein Abrechnungsprogramm, das irgendwo zwischen DOS und Windows hängen geblieben war. Die Möglichkeit des Kopierens, Einfügens bzw. Löschens war in dem Programm noch nicht angekommen. Und wie es so ist bei Menschen, die unzufrieden sind und sehr pragmatisch arbeiten: Sie finden selbständig Lösungen. Und so schlug ich meinem Chef vor, dass ich ein neues Reisekostenprogramm programmieren wollte. Damit war meine Verbindung zu IT-Systemen geboren. Nach anfänglichen Herausforderungen auf dem neuen Fachgebiet und dem Studium von einigen Access-Kompendien wuchs ein kleines und sehr individuelles Programm. Dabei hatte ich ganz nebenbei viel über das Zusammenspiel von Datenbanken, Redundanzen, Unveränderbarkeit und Konsistenz gelernt.

Als dann ein Mandant von uns einen Prüfer suchte, der bei der Einführung eines Enterprise-Resource-Planning (ERP) Systems sicherstellen sollte, dass das, was das Softwarehaus liefert, auch ordnungsgemäß ist, stieg ich mit voller Wucht in die IT-Revision ein. Seit diesem Tag beschäftige ich mich mit dem Thema. Heute ist das Thema bei uns so groß, dass sich mein Unternehmen interev GmbH und dessen Mitarbeiter tagtäglich die Frage stellen: Ist das System Y von Hersteller X ordnungsgemäß? Entspricht es den gesetzlichen Vorgaben, die für den Kunden gelten?

Ein Prüfungsmerkmal bei der Sichtung der IT-Anwendung ist auch der Bereich des Datenschutzes. Damals hatte er noch eine kleine Bedeutung. Vielleicht maximal einen Absatz, aber noch nicht ein Kapitel im Buch der IT-Revision. Es war auch noch nicht wirklich klar, was eigentlich Datenschutz genau ist. Wenigstens mir nicht. Vielmehr beschäftigte ich mich zu dieser Zeit mit der Plausibilitätsprüfung von Eingaben in Programmen und ob diese richtig rechnen. Bis 2006 mein Chef meinte, dass die Prüfungsgesellschaft einen Datenschutzbeauftragten brauche. Und wen sollte man da nehmen? Natürlich den, der sich mit IT am besten auskennt. Seit meinem Lehrgang zum betrieblichen Datenschutzbeauftragten im Februar 2006 beschäftige ich mich mit dem Thema. Es lässt mich nicht mehr los. Doch warum tut es das? Warum beschäftige ich mich mit einem Thema, das kaum ein anderer mag? Was ist mir wirklich, wirklich wichtig?

Das liegt unter anderem an meinem Charakter. Dazu eine kleine Vorstellung meiner Ausprägung. Nach Hippokrates ist meine höchste Ausprägung der Sanguiniker. Das ist der Entertainer, der gelb dargestellt wird. Es ist der, der auf die Bühne möchte, der Spaß hat, der reden möchte und kann. In dem Koordinatensystem von Gereon Jörn ist es der emotionale, extrovertierte Mensch. Der Begriff Sanguiniker ist bei uns in Deutschland nicht weit verbreitet. Bei den Italienern dagegen sehr. Meine zweithöchste Ausprägung ist die des Melancholikers. Der liegt diagonal von dem Sanguiniker entfernt. Das bedeutet, dass man Spaß an Zahlen, Daten und Fakten hat. Und somit steht es in extremem Widerspruch zum Sanguiniker. Melancholiker sind eher introvertiert und rational orientiert und werden in der Farbenwelt blau dargestellt. Diese besondere Kombination bei mir bedeutet im Alltag, dass ich ein gutes Gefühl für Zahlen, Gesetze, Verordnungen und Richtigkeit habe und ich diese Neigung gerne mit Spaß und Freude und „laut“ verpacke. Dies ist in der Revision nicht immer gut angekommen.

Ein Revisor verhält sich unnahbar, ist zurückhaltend und eher eine Maschine. Die ungeschriebene Berufsordnung begründet dies damit, dass ein Prüfer/Revisor ganz eng am Gesetz arbeitet und dessen Hardfacts anwendet. Die Nutzung von Softfacts bedeutet Schwäche, Individualität zum Mandanten und Gefahr der Manipulation durch diesen. Ein Prüfer ist freundlich, aber nicht nett. Er interessiert sich für alles, redet nicht über Privates. Wer lacht, arbeitet nicht. Interessant ist, dass ich durch meine eher lustige Art häufig an Informationen herangekommen bin, die meine Kollegen, wenn überhaupt, nur durch falsche Buchungssätze entdeckt haben. Das Mittagessen mit der Buchhaltung brachte immer interessante Gespräche über menschliche Befindlichkeiten, die sich dann auch in dem zu prüfenden Abschluss widerspiegelten. Dabei ist es wichtig, dass man bei dem persönlichen Kontakt niemals den Auftrag, das Prüfen des Mandanten, aus den Augen verlieren durfte. Bleib Profi.

Kurzum, ich interessiere mich für Datenschutz, weil sich in diesem Thema neben den Hardfacts ganz viele Softfacts befinden. Es ist die Verbindung zum wichtigsten Buch in Deutschland. Dem Grundgesetz, geschrieben von sehr intelligenten Menschen und im Jahre 1949 erlassen. Auf diesem einen Buch steht Deutschland. Es funktioniert so, so wie es heute funktioniert, weil es das Grundgesetz gibt. Und in diesem wichtigen Statut haben die Autoren das Wichtigste an den Anfang gesetzt. Im Artikel 1 steht geschrieben: „Die Würde des Menschen ist unantastbar“.

Diese Aussage ist für mich Datenschutz. Nichts anderes. Es ist für mich fast unwichtig, was in den Gesetzen und Ordnungen der heutigen Zeit über Datenschutz steht. Ich prüfe immer, ob die Würde eines Menschen durch ein bestimmtes Verhalten einen Schaden nimmt oder nicht. In diesem einen Satz ist alles drin. „Der Mensch“, so steht es geschrieben, und somit hat nur eine natürliche Person Recht auf Datenschutz. Die Würde bedeutet, dass er keinen Schaden haben darf bei dem, was ich da mache. Die Würde bedeutet dabei sehr viel. Von dem Risiko für Leib und Leben bis hin zur Rufschädigung oder einer ungewollten Öffentlichstellung. Und die Aufforderung der Unantastbarkeit sichert zu, dass eben diese ungewollte Darstellung meiner Person nicht erfolgt. Da bekommt der Satz „Gehe angemessen mit meinen Daten um“ eine sehr starke Bedeutung. Man ist Herrscher über seine eigenen Daten.

Und damit das so bleibt, steht im Satz 2 zu Artikel 1 die klare Aufforderung: „Sie zu achten und zu schützen ist Verpflichtung aller staatlicher Gewalt.“ Damit bekommt die Regierung die Verpflichtung zugesprochen, Regelungen zu finden, die eben diese Würde sicherstellen. Die derzeit fast 160 Gesetze und Ordnungen, die sich in irgendeiner Art und Weise mit dem Thema Datenschutz beschäftigen und ihn regeln, sind das Ergebnis des Satzes 2.

Ich glaube, dass im Jahre 1949 den Autoren und auch den Alliierten, die dem Grundgesetz zugesprochen haben, der Begriff Datenschutz und die Verbindung des Artikels 1 noch nicht bewusst war, doch das Ziel des Artikels 1 lebt im Datenschutz weiter. Welche Mächte gibt es heute? Was ist das größte Gut vieler Unternehmer? Womit lässt sich wirklich Geld verdienen? Mit Daten von anderen! Somit sehe ich eine Transformation des Artikels 1 in die Neuzeit als richtig und angemessen an.

Wenn man in diesem Grundsatz den Datenschutz sieht, also dass man würdevoll und angemessen mit den Daten anderer umgeht, dann ist Datenschutz ganz plötzlich einfach, nachvollziehbar und unendlich wichtig. Es muss so sein. In der täglichen Arbeit der interev nutzen wir genau diese Grundeinstellung. Wir prüfen, ob bei einem Verfahren unseres Kunden ein Mitarbeiter, ein Kunde oder ein Lieferant einen Schaden dadurch hat oder nicht. Und erst wenn ein Ja vorliegt, gehen wir in das entsprechende Gesetz. Es ist damit viel einfacher, eine Bewertung abzugeben, und es fühlt sich richtig an.

Wenn man nun seit 12 Jahren in dem Thema Datenschutz steckt, kombiniert mit der festen Überzeugung des Artikels 1 des Grundgesetzes, und als Charakter ein Sanguiniker ist, bekommt man „Datenschutz mit Begeisterung“. Es macht mir Spaß, es macht mir Freude, es begeistert mich, dieses Thema so zu leben, wie ich es richtig finde. So wie ich es oben beschrieben habe. Dies ist keine Marketingidee gewesen, sondern es musste in der Kombination genau das herauskommen. Und die Anfänge waren sehr schwer. Selbst heute noch definieren bestimmte Personengruppen Begeisterung mit Schwäche und Ungenauigkeit. Interessanterweise sind es die Melancholiker, die immer wieder klar herausstellen, das nur ihre Zahlen, Daten und Fakten wichtig sind. Alles andere ist unprofessionell und damit schädlich. Man macht das nicht. Dass man aber genau so professionell ist und auch Recht und Gesetz achtet, nur mit einer anderen Brille, ist für diese Charaktere nicht nachvollziehbar. Dass man mit Freude und Spaß an eine Sache viel weiter kommt und dass diese Menschen dann auch Datenschutz leben, ist für Melancholiker nicht akzeptabel. Unser Datenschutz-Parcours, bei dem wir spielerisch die Mitarbeiter unserer Kunden für das Thema Datenschutz begeistern, wird genau aus diesem Grund manchmal anfangs belächelt. Die Mitarbeiter sollen durch Angst und Druck die geltenden Regeln eingebläut bekommen. Dass sie dann aber im Alltag nicht funktionieren, versteht sich für mich von selbst. Später dazu mehr.

Dieses Kapitel heißt „Meine Datenschutzstory“. Nun, es ist genau so, wie beschrieben, warum ich Datenschutz mache, ich ein Unternehmen führen darf, das sich darum kümmert, und wofür ich und ein jeder meiner Mitarbeiterinnen und Mitarbeiter steht: Gehe angemessen mit den Daten anderer um. Dann macht Datenschutz Spaß.

2.Was ist Datenschutz?

Datenschutz und Datensicherheit laufen thematisch immer wieder zusammen. Manchmal werden sie sogar synonym gesehen. Wenn man andere fragt, was eigentlich Datenschutz ist, bekommt man selten eine gute Antwort. Ganz lustig ist es, diese Frage an einem Abend zu stellen, der in der Einladung schon das Thema Datenschutz führt. Wenn dann die Antwort kommt, dass Datenschutz der Schutz von Daten sei, ergibt sich unmittelbar die Frage, warum die Teilnehmer anwesend sind, obwohl sie nicht wissen, was das Thema ist.

Datenschutz ist, wie eingangs oben beschrieben, die Sicherung der Würde einer natürlichen Person beim Umgang mit seinen Daten. Doch was sind das für Daten? Was sind personenbezogene Daten? Nun es sind all die Daten, die auf eine einzelne Person schließen können. So ist der Vorname und der Nachname alleine nur bedingt in diese Kategorie einzusetzen. Der Name Peter Müller führt nicht direkt zu einer einzelnen Person. Da müsste schon die genaue Adresse und evtl. sogar noch das Geburtsdatum beigefügt werden. Dann ist die Person zu identifizieren. Der Name Jürgen Recha dagegen ist bereits eindeutig. Da gibt es nicht so viele. Ich kenne keinen weiteren, der diesen Namen trägt. Ist dieses einzigartige Aushängeschild nun was Besonderes? Ja, aus Sicht des Datenschutzes. Wenn nun Peter Müller noch seinen Wohnort, die Straße und Hausnummer sowie vielleicht das Stockwerk angegeben hat, dann ist Peter Müller identifizierbar.

Aus dieser Erkenntnis heraus ist aus dem Zusammenführen von Informationen über eine eindeutige Nummer, wie z.B. der Personalnummer von Angestellten aus einer Tabelle mit Vor- sowie Nachnamen und weiteren Angaben wie der Adresse, plötzlich eine identifizierbare Person geworden.