(Mynewsdesk) Die Europäische Datenschutzgrundverordnung (EU-DSGVO) ist 2018 Angstthema in vielen Chefetagen deutscher Unternehmen. Lesen Sie im heutigen FPZ-Interview die Einschätzung der aktuellen Situation aus Sicht eines erfahrenen Fachmanns.
Dr. Ralf Schadowski ist geschäftsführender Gesellschafter der ADDAG GmbH & Co. KG, TÜV-zertifizierter Datenschutzbeauftragter und spezialisiert auf Informationssicherheit. Er ist Fachgruppenleiter für Datenschutz und Mitglied des Vorstandes im Bundesfachverband der IT Sachverständigen und Gutachter BISG e.V.
Außerdem ist Dr. Schadowski seit vielen Jahren der externe Datenschutzbeauftragte der FPZ GmbH und hier ein geschätzter Geschäftspartner. Wir empfehlen die Lektüre dieses Interviews in Ergänzung zum Interview mit Dr. Frank Schifferdecker-Hoch.
Lieber Dr. Schadowski, betrachten Sie bitte rückblickend die letzten sechs Monate im Hinblick auf die DSGVO: Wie hat sich Ihr Leben verändert?
Wir haben zahlreiche junge Datenschutzbeauftragte ausgebildet, um dem Ansturm durch neue Mandate gerecht zu werden. Wir erleben eine extrem starke Nachfrage, den Datenschutz für Unternehmen im Auftrag zu organisieren. Es ist allgemein eine starke Beunruhigung in der Firmenlandschaft zu spüren. Plötzlich fangen alle an und wollen das Ganze noch auf den letzten Drücker erledigen. Erschreckend ist, dass selbst einige große, namhafte Unternehmen bisher nichts richtig organisiert haben.
Sie klären dort also erstmal grundlegend zum Thema Datenschutz auf? Wie gehen Sie dabei vor?
Nein, das haben die meisten schon irgendwie verstanden, auch dass die DSGVO unaufhaltsam näher rückt. Jedoch haben viele selbst einfachste Datenschutzaufgaben, die seit 20 Jahren gesetzliche Pflicht sind, nicht annähernd umgesetzt. Folglich müssen wir vielfach einfachsten Datenschutzarbeiten durchführen, um überhaupt eine Grundlage für weitere DSGVO Maßnahmen zu schaffen. Da klaffen Anspruch und Wirklichkeit wirklich weit auseinander. Die Unternehmensleiter denken, ich organisiere mir einfach einen Berater und dann mache ich das ein paar Tage und dann ist alles erledigt. Doch wo kein Fundament ist, da lässt sich auch noch kein Gebäude errichten. Das funktioniert nicht. Bisher war es ja noch recht bequem, denn man konnte praktisch die Verantwortung an den externen Datenschutzbeauftragten auslagern. Aber das ist ab Mai 2018 nicht mehr möglich.
Wenn künftig die ganze Verantwortung beim Unternehmen und damit bei der Geschäftsführung liegt, warum sollte diese dann noch Teile des Datenschutzes auslagern?
Was ich in vielen Bereichen und Betrieben festgestellt habe ist, dass dort die Zuständigkeiten ordentlich geregelt sind. D.h. man hat einen Mitarbeiter ordnungsgemäß zum Datenschutzbeauftragten bestimmt. Dieser erhält anschließend aber nur wenig oder sogar gar keinen Support. Wenn es gut gelaufen ist, hat man denjenigen qualifiziert, indem man ihn zwei, drei Tage auf einen passenden Lehrgang geschickt hat. Dort hat er dann eine Sachkundeausbildung bekommen. Wie gesagt, so ist es auch völlig in Ordnung. Doch dann kommen diese Mitarbeiter zurück in den Betrieb und merken schnell, dass sie keine echte Arbeitsbefähigung erlangt haben. Sie wissen nach einem Sachkunde-Training einfach nicht genau, wie man eine individuelle Auftragsdatenverarbeitungsvereinbarung erstellt, wie man das ganze Thema unternehmensweit argumentiert und wie man die entsprechenden Verfahrensdokumentationen aufsetzt. Die notwendigen Details lernen sie in einem Sachkunde-Training einfach nicht. Oftmals vergeht Quartal um Quartal und die Beteiligten geraten in eine immer schwierigere Situation. Am Ende des Tages passiert dann gar nichts. Das führt zu beidseitiger Frustration – also beim bestellten internen Datenschutzbeauftragten ebenso wie bei der Geschäftsleitung. In vielen Betrieben kriegen die Leute dann kalte Füße und treten lieber von ihren Ämtern zurück. Dann sind verstärkt wieder wir externen Datenschutzbeauftragten gefordert.
Wir? Beschreiben Sie bitte kurz Ihr Team.
Ich arbeite momentan mit rund 20 Angestellten und 15 assoziierten Datenschutzbeauftragten. Nur so ist diese Arbeit überhaupt noch leistbar. Da fällt schon eine Menge Papier an, bis man das mal für einen Mandanten umgesetzt hat.
Wer trägt Ihrer Meinung nach die Verantwortung für die scheinbar verfahrene Gesamtsituation?
Der Fisch stinkt vom Kopf her, wie der Volksmund so schön sagt. Viele Geschäftsführer und Vorstände haben sich des Themas nicht wirklich angenommen, weil es in der Vergangenheit immer wichtigere Dinge zu tun gab. Jetzt fällt ihnen das alles auf den Tisch. Motto: Oha, wenn da jetzt solche Bußgelder für grobe Ordnungswidrigkeiten und Fahrlässigkeit erhoben werden können, dann steigt ggf. ja auch unsere Versicherung aus. D.h., das Ganze kann dann durchaus bis in die persönliche und private Haftung der Geschäftsführer und Vorstände hineinreichen.
Wie reagiert die Mehrheit der Geschäftsführer darauf?
Das ist vielen gar nicht bewusst. Wenn sie das alles mal verstanden haben, sagen sie, um Himmels willen, wie kann ich wenigstens meinen Privatbereich da raushalten?
Wie antworten Sie auf diese Frage?
Mit Taten. Wir zeigen in kürzester Zeit auf, wo steht ihr, was gibt es zu tun, was ist der rote Bereich, wie löst man das, wie lösen das andere. Und das ist genau das Modell, was wir momentan verwenden. Sie können sich vorstellen, dass auf diesem Weg sehr dankbare und treue Mandate entstehen. So können wir selbst auch (mit)wachsen.
Wie lang ist Ihr durchschnittlicher Arbeitstag?
25 Stunden. Das ist kein Witz. Also ich meine, ich bin seit 25 Jahren selbstständig. Ich habe schon immer viel zu tun gehabt. Aber im Moment ist es in der Tat so, dass wir sieben Tage die Woche arbeiten. 220 Stunden an Arbeitszeit im Monat reichen mir nicht und meinen Mitarbeitern geht’s ähnlich. Darum rekrutieren wir ständig neue Mitarbeiter. Ich bilde alle sechs Wochen ungefähr 25 neue Datenschützer im Fachverband aus; darüber holen wir uns natürlich die besten Kollegen ins Haus. Unser Team wächst im Moment in hoher Geschwindigkeit und wir können skalieren. Es funktioniert also alles, was ich in den letzten Jahren aufgebaut habe. Das ist meine persönliche Motivation, diese besonders arbeitsintensive Zeit durchzuhalten.
Gibt es denn auch Unternehmen, die Ihnen die Arbeit leicht machen?
Die gibt es. FPZ ist ein solches Vorzeigeunternehmen. Der Geschäftsführer Dr. Frank Schifferdecker-Hoch ist in jeder Hinsicht eine Ausnahme. Er ist einer der Geschäftsführer, Vorstände, Inhaber, die schon sehr frühzeitig die Bedeutung von Datenschutz erkannt haben. Vor vielen Jahren, als wir den ersten Kontakt hatten, demnach vor ungefähr acht Jahren, da konnte er nur wenig mit Thema Datenschutz anfangen. Damals empfand er es als lästige Pflicht und Last, hat dann aber sehr schnell gemerkt, dass es eigentlich ein Qualitätsmerkmal ist. Heute sieht er den Datenschutz als Kernbestandteil einer jeden Geschäftsbeziehungen an. Er ist vielen anderen da weit, weit voraus. Beispiel: Obwohl er selbst die Funktion intern nicht bekleiden möchte, hat er sich eine Zusatzqualifikation zum Datenschutzbeauftragten auferlegt. Clever, denn so erlangt er noch mehr Einblick in die Thematik.
In dem oben verlinkten Interview wird klar, dass Dr. Schifferdecker-Hoch den Datenschutz als Wettbewerbsvorteil ansieht. Was sagen Sie dazu?
Genauso ist es. FPZ ist in einer Nische unterwegs, in der Vertrauen das A und O ist. Deswegen ist FPZ auch so erfolgreich.
Im Interview mit ihm erfuhren wir außerdem vom Datenschutzportal. Wann sind Sie in das Thema eingestiegen? Wann hat das alles ein Gesicht bekommen?
Vor rund einem Jahr. Aber es ist halt schwierig, dieses ganze Thema auch umzusetzen. Viele reden, wenige machen. Und Dr. Schifferdecker-Hoch ist jemand, der gesagt hat, wir müssen das skalieren können, wir müssen das für viele Nutzer umsetzen können. Seit ca. einem halben Jahr ist das alles nun sehr konkret – die Nachfrage steigt.
Sie sind also an der Portal-Lösung beteiligt?
Nein, aber ich unterstütze das Projekt nach Kräften. Es gibt auch erste Gedanken zu einer engeren Kooperation. Ich eruiere gerade, inwieweit sich das Portal in unser eigenes Geschäftsmodell integrieren lässt.
Sie sehen also die Möglichkeit, Ihr Angebot durch das Portal weiter ausbauen und Ihr Geschäftsmodell skalieren zu können? Wie genau?
Wir haben unser erfolgreiches, handgemachtes und über Jahre gewachsenes Konzept. Wenn wir das jetzt durch das Portal der FPZ Data Protection auf eine elektronische Ebene heben könnten, würden beide davon profitieren. Wir könnten weiter skalieren, ohne die Manpower noch mehr hochfahren zu müssen. Dr. Schifferdecker-Hoch könnte innerhalb seiner Branche mit unserer Hilfe weitere Märkte außerhalb der Rückenprävention gewinnen, etwa Krankenhäuser, Rehazentren und Facharztpraxen.
Das Portal ist ja ursprünglich für die FPZ Partner aufgesetzt worden. Wie schätzen Sie, werden die einzelnen Rückenzentren das Angebot annehmen?
Die größeren Zentren werden das gut annehmen. Bei den kleineren Einheiten bin ich mir da noch nicht so ganz sicher. Die größeren Zentren, also wenn wenigstens 40 angestellte Mitarbeiter vorhanden sind, wissen, dass sie ihren Datenschutz für die DSGVO noch irgendwie organisieren müssen. Sie stellen das nicht in Frage. Die Zentren mit nur einer Handvoll Mitarbeiter werden da sicherlich mehr zögern. Da ist es wie in den anderen Branchen auch: Wir haben z.B. Kleinstmandate, sogar unterhalb der gesetzlichen Frist. Man kann sagen, größer als neun Mitarbeiter müssen Organisationen einen Datenschützer bestellen. Viele tun’s nicht. Es gibt aber einige, die sind kleiner als neun Mitarbeiter und haben uns trotzdem als Datenschutzbeauftragten bestellt, weil sie das Thema professionell bearbeiten wollen, als Merkmal nach außen.
Was müssen Unternehmen tun, die weniger als neun Mitarbeiter haben?
Sie müssen keinen externen Datenschutzbeauftragten bestellen, aber mit dem Datenschutz müssen sie sich dennoch beschäftigen. Das ist ja vielen gar nicht klar, denn mit der Gründung eines Unternehmens muss auch der Datenschutz organisiert sein. Ob die Gründer das dann eigenständig machen oder aber ob der Gesellschafter oder Geschäftsführer einen Externen bestellt, ist diesen Anbietern aber freigestellt. Die Bestellpflicht bei Firmen größer neun Mitarbeitern gibt es allerdings seit vielen Jahren. Nur: Auch da hat sich bisher kaum einer drum geschert.
Berichten Sie uns doch bitte mal von einem konkreten Fall/einem Verstoß, bei dem Sie selbst nur noch den Kopf schütteln konnten.
Also Namen darf ich ja nicht nennen, aber natürlich gibt es Extremformen. Da gab es beispielsweise das Großunternehmen mit 200.000 Mitarbeitern und sage und schreibe 37 Datenschutzbeauftragten. Trotzdem war der Datenschutz im Haus nicht ordentlich organisiert. Das läuft für mich sogar unter dem Tatbestand der Täuschung.
Was tun Sie in einem solchen Moment?
Der Vorstand muss entscheiden, ob die 37 Datenschützer endlich mal aktiviert werden. Die meisten der internen Datenschützer haben den Posten vom Chef zugewiesen bekommen. Motto: Du bist ab morgen Datenschutzbeauftragter. Doch die wenigsten wissen, worauf sie sich einlassen. Das ist vergleichbar mit IT-Abteilungen, bei denen der Geschäftsführer sagt, ihr macht alles, was IT-relevant ist. Gleichzeitig bekommen die IT-Abteilungen aber überhaupt keine Vorgaben, keine Unterstützung, kein Budget für Tools, Werkzeuge und Compliance-Maßnahmen. Anschließend wundert sich der Vorstand, dass ihm die IT, bildhaft gesprochen, um die Ohren fliegt. Im Datenschutz schließen wir diese Lücke, indem wir Datenschützer erstmal sachkundig machen und fundiert ausbilden.
Nun gibt es ja den DSGVO-Stichtag im Mai. Ist es damit getan?
Nein, das wird nie aufhören. Aber am 26. Mai hört das Leben auch nicht auf. D.h., die Behörden werden nicht gleich schwarmartig ausrücken und Unternehmen bestrafen und schließen. Das wird nicht passieren. Die Aufsichtsbehörden, mit denen ich in den letzten Jahren zu tun gehabt habe, waren immer froh, wenn sie in ein Unternehmen gekommen sind, bei dem aus eigener Motivation heraus der Datenschutz organisiert worden ist, zumindest aber damit begonnen worden ist. Die Beamten wissen auch, was da draußen im Feld los ist. Und die Aufgabe muss sein, dass man die Geschäftsführer und Vorstände noch rechtzeitig aus der groben Fahrlässigkeit rausholt. Und das kann man in kürzester Zeit bewerten und erreichen. Man kann den Verantwortlichen in kürzester Zeit einen Fahrplan an die Hand geben. Innerhalb von ein, zwei Tagen wissen sie genau Bescheid, was zu tun ist und mit welchen Vorlagen gearbeitet werden muss. Der Rest ist Fleißarbeit, das können schon fast Sekretariate erledigen. Und wir Datenschützer stehen dann hintendran und moderieren alles sachkundig.
Und die Strafen? Sind bis zu vier Prozent des Jahresumsatzes nur eine Drohkulisse?
Ja und Nein. Das alte Bundesdatenschutzgesetz (2003) legt ganz klar eine maximale Strafnorm von bis zu 300.000 Euro fest. Ich kenne nicht ein Unternehmen, welches mit der Maximalstrafe belegt worden ist. Ich kenne aber viele, die 50.000, 60.000 oder 70.000 Euro zahlen mussten.1 Ein Beispiel: Sie arbeiten mit einem Dienstleister zusammen. Mit diesem hätten Sie die sogenannte Auftragsdatenverarbeitung regeln müssen, haben Sie aber nicht. Dann droht Ihnen eine Strafzahlung von bis 50.000 Euro. Ich kenne aber kein einziges Unternehmen, welches für einen fehlenden Vertrag die Maximalstrafe bekommen hat. Trotzdem gibt es viele Firmen, die 15.000 bis 20.000 Euro für einen fehlenden Kontrakt aufbringen mussten. Und das ist doch viel Geld für ein einfaches Blatt Papier.
Was passiert demnach einem kleinen FPZ Rückenzentrum, sollte es die Vorgaben nicht erfüllen?
Die Zielgruppe einer FPZ wird nicht mit vier Prozent zur Kasse gebeten werden. Bei den Krankenkassen funktionieren die vier Prozent des Gesamtkonzernumsatzes als Drohgebärde aber sehr wohl. Aber die vielen Rehazentren, bei denen geht es eher um die absoluten Beträge, nämlich um bis zu 20 Millionen Euro. So etwas ist nicht rückversicherbar. Als Inhaber kann ich darüber keine Versicherung abschließen. Das ist ein Bußgeld wie im Straßenverkehr, dies muss der Geschäftsführer oder der Gesellschafter dann aus seiner versteuerten Schatulle bezahlen. Das ist nicht witzig und das hat auch keiner nötig. Deswegen fehlt mir jedes Verständnis dafür, dass die Unternehmen nicht wenigstens eine Basisdatenschutzorganisation aufbauen. So kompliziert ist das nämlich nicht. Wenn wir heute ein Logistikunternehmen oder eine Spedition betrachten, dann muss dort jeder Gabelstaplerfahrer zur jährlichen Unterweisung antreten, ansonsten wird keine Versicherung für verursachte Unfälle aufkommen – auch nicht die Berufsgenossenschaft bei einem Betriebsunfall. Das ist jedem Unternehmer klar. Im Bereich Datenschutz machen die Leute nicht mal die Hausaufgaben, also nicht mal die grundlegenden Aufgaben. Man muss ja keine Doktorarbeit daraus machen, aber Grundsätzliches bekommt man leicht organisiert. Das kostet kein Vermögen, das verkompliziert den Alltag einer Firma nicht, sofern dort ein vernünftiger Datenschützer Hand anlegt.
Dr. Schadowski, vielen Dank für Ihre Zeit, die wertvollen Informationen und vor allem auch die Abschlussmotivation für Datenschutzsäumige.
Das Interview führte Peter Laaks. Der freie Journalist mit eigenem Pressebüro in Essen schreibt für verschiedene Print- und Online-Medien im Bereich HealthCare und Wirtschaft. Außerdem unterstützt er Unternehmen bei ihrer Presse- und Medienarbeit, u.a. das Forschungs- und Präventionszentrum (FPZ GmbH). E-Mail: redaktion @ pressebuero – laaks . de.
[1]: Anmerkung der Redaktion: Die DEBEKA hat 2013 ein Bußgeld in Höhe von 1,3 Millionen EUR und eine Stiftungsprofessur in Höhe von 600.000 UER wegen Datenschutzverstößen bezahlen müssen: Link-Tipp: http://www.spiegel.de/wirtschaft/unternehmen/debeka-muss-in-datenaffaere-bussgeld-zahlen-a-1010660.html
Diese Pressemitteilung wurde via Mynewsdesk versendet. Weitere Informationen finden Sie im FPZ GmbH
Shortlink zu dieser Pressemitteilung:
http://shortpr.com/46bzwi
Permanentlink zu dieser Pressemitteilung:
http://www.themenportal.de/gesundheit/interview-mit-dr-ralf-schadowski-externer-datenschutzbeauftragter-der-fpz-zur-dsgvo-51116
Das Unternehmen FPZ erforscht, entwickelt und vermarktet wirksame Präventions- und Therapieprogramme zur individuellen Verbesserung der durch Bewegungsmangel verursachten Funktionsverluste und zur Steigerung der Lebensqualität von Menschen mit Rückenschmerzen.
Mit ihren kooperierenden Ärzten, Rückenzentren und Kostenträgern bildet die FPZ GmbH mit Zentralsitz in Köln ein bundesweites Netzwerk der Rückenexperten unter der Leitung des Sozialwissenschaftlers Dr. Frank Schifferdecker-Hoch. Bereits 1990 wurde mit der Entwicklung der analyse- und gerätegestützten Rückenschmerztherapie FPZ Therapie für Patienten mit chronischen oder wiederkehrenden Rücken- und/oder Nackenschmerzen begonnen. 1993 wurde das damalige Forschungs- und Präventionszentrum (FPZ) gegründet. Die dort entwickelte, individuelle Therapie wird von Ärzten verordnet, von Therapeuten in FPZ Rückenzentren persönlich betreut und von aktuell mehr als 50 Kostenträgern erstattet. Das FPZ unterhält inzwischen eine einmalige Datenbank wissenschaftlicher Auswertungen zum Thema Rückenschmerz. // FPZ GmbH. GF: Dr. rer. soc. Frank Schifferdecker- Hoch. HRB 24453 Köln.
Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Sammelbezeichnungen wie Ärzte, Mitarbeiter, Patienten, Wissenschaftler sind daher als geschlechtsneutral anzusehen.
Firmenkontakt
FPZ GmbH
Peter Laaks (extern)
Gustav-Heinemann-Ufer 88a
50968 Köln
+49 201 50733454
redaktion@pressebuero-laaks.de
http://www.themenportal.de/gesundheit/interview-mit-dr-ralf-schadowski-externer-datenschutzbeauftragter-der-fpz-zur-dsgvo-51116
Pressekontakt
FPZ GmbH
Peter Laaks (extern)
Gustav-Heinemann-Ufer 88a
50968 Köln
+49 201 50733454
redaktion@pressebuero-laaks.de
http://shortpr.com/46bzwi