Die zehn Eckpfeiler meiner Datenschutzarbeit
Nach mehr als fünfzehn Jahren als Datenschützer gibt es Phrasen, die bei mir immer wieder auftauchen, sei es bei Schulungen, Beratungen oder Gesprächen. Diese Standardsätze beschreiben recht gut, wie ich Datenschutz in der Praxis verstehe.
1. Schreibe nur auf, was du der Person auch ins Gesicht sagen würdest
Wenn ich nur einen einzigen Datenschutz-Grundsatz vermitteln dürfte, wäre es wahrscheinlich dieser:
Alles, was aufgeschrieben wird, sollte man der betroffenen Person auch offen ins Gesicht sagen können.
Das gilt insbesondere für Bewertungen, Vermerke und kritische Anmerkungen. Wer diesen Maßstab anlegt, dokumentiert bewusster, fairer und professioneller. Viele Probleme entstehen nicht dadurch, dass Informationen gespeichert werden, sondern dadurch, wie über Menschen geschrieben wird.
2. Tausche gedanklich die Rollen
Datenschutz wird oft deutlich verständlicher, wenn man die Perspektive wechselt.
Wie würdest du die Situation bewerten, wenn es deine eigenen Daten wären?
Würdest du akzeptieren, dass deine Daten auf diese Weise erhoben, gespeichert oder weitergegeben werden? Würdest du dich ausreichend informiert fühlen? Wärst du mit diesem Umgang einverstanden? Der Perspektivwechsel ist oft hilfreicher als jede Checkliste.
3. Reputationsschäden sind fast immer kostspieliger als Bußgelder
Wenn über Datenschutz gesprochen wird, denken viele zuerst an Bußgelder. Kein Wunder, denn Angst wird von vielen lauten Dienstleistern als Verkaufsargument für ihre Leistungen genutzt. Meine Erfahrung ist eine andere:
Ich habe deutlich weniger Angst vor Bußgeldern als vor Reputationsschäden.
Vertrauen ist eine der wertvollsten Ressourcen jeder Organisation. Ein Datenschutzvorfall kann das Vertrauen von Kunden, Bürgern, Patienten, Mandanten oder Beschäftigten nachhaltig beschädigen. Vertrauen aufzubauen dauert Jahre, es zu verlieren manchmal nur wenige Minuten.
4. Jede gespeicherte Information ist eine Verpflichtung
Diesen Gedanken halte ich für einen der wichtigsten überhaupt.
Jede gespeicherte Information ist eine Verpflichtung.
Das klingt sehr einfach. Wer Daten speichert, übernimmt Verantwortung. Die Informationen müssen geschützt, korrekt verarbeitet, zweckgebunden genutzt und irgendwann auch wieder gelöscht werden. Daten sind kein Vermögenswert ohne Nebenwirkungen. Jede gespeicherte Information bringt Pflichten mit sich.
5. Wenn man den Zweck nicht erklären kann, sollte man die Daten nicht speichern
Eine der einfachsten und zugleich wirksamsten Fragen im Datenschutz lautet:
Wofür benötigen wir diese Daten überhaupt?
Kann der Zweck einer Datenspeicherung nicht klar und nachvollziehbar erklärt werden, sollte die Speicherung kritisch hinterfragt werden. Oft zeigt sich bereits an dieser Stelle, dass Daten lediglich „für alle Fälle“ erhoben werden. Genau solche Datensammlungen werden später häufig zum Problem.
6. Der beste Datenschutz ist oft die Information, die gar nicht erst gespeichert wird
Datenschutz beginnt nicht bei der Absicherung von Daten. Nach der Frage des „Wofürs“ sollte sich unmittelbar die nächste Frage anschließen:
Benötigen wir diese Daten wirklich für den angestrebten Zweck?
Der beste Datenschutz ist oft die Information, die gar nicht erst gespeichert wird. Nicht gespeicherte Daten können nicht verloren gehen, nicht missbraucht werden und auch nicht Gegenstand eines Datenlecks werden. Datenminimierung ist deshalb nicht nur ein rechtliches Prinzip, sondern oft die wirksamste Schutzmaßnahme.
7. Wer Daten sammelt, muss auch Schutz, Schulung und Löschung beherrschen
Daten zu erfassen ist einfach. Verantwortungsvoll mit ihnen umzugehen, ist die eigentliche Aufgabe.
Wer Daten sammelt, sollte auch wissen, wie er sie schützt, Mitarbeitende schult und wann und wie er die Daten wieder löscht.
Datenschutz endet nicht mit der Erhebung von Daten. Er begleitet den gesamten Lebenszyklus einer Information.
8. Betroffene müssen verstehen können, was mit ihren Daten geschieht
Wenn ich meine Daten herausgebe, will ich genau wissen (können), was mit ihnen geschehen wird, daher:
Wer Daten verarbeitet, sollte den Umgang damit so erklären können, dass auch die betroffene Person ihn versteht.
Menschen akzeptieren Datenverarbeitungen deutlich eher, wenn sie nachvollziehen können, was geschieht und warum es geschieht. Transparenz schafft Vertrauen.
9. Nicht jeder, der Daten sehen kann, muss sie auch sehen dürfen
Datenschutz ist nicht nur eine Frage der Speicherung, sondern auch des Zugriffs.
Nicht jeder, der Daten sehen kann, muss sie auch sehen dürfen.
Rechte- und Rollenkonzepte gehören zu den wichtigsten Schutzmaßnahmen überhaupt. Informationen sollten immer nur den Personen zugänglich sein, die sie tatsächlich für ihre Aufgaben benötigen. Oder einfacher gesagt: Neugier ist keine Zugriffsberechtigung!
10. Wer Datenschutz erst am Ende einbindet, bekommt Hindernisse. Wer ihn von Anfang an einbindet, bekommt Lösungen.
Ein häufiger Irrtum besteht darin, Datenschutz erst dann einzubeziehen, wenn ein Projekt bereits fertig geplant oder umgesetzt ist. Dann werden aus offenen Fragen schnell Probleme, aus Anpassungen werden Verzögerungen und aus vermeidbaren Risiken entstehen zusätzliche Kosten. Deshalb lautet mein zweitwichtigster Grundsatz:
Wer Datenschutz erst am Ende einbindet, bekommt Hindernisse. Wer ihn von Anfang an einbindet, bekommt Lösungen.
Frühzeitig eingebundener Datenschutz verhindert selten ein Vorhaben. Er hilft vielmehr dabei, Prozesse sauber zu gestalten, Risiken früh zu erkennen und tragfähige Lösungen zu entwickeln. Ein guter Datenschutzbeauftragter sagt nicht nur „Nein“ (wobei er dies ohnehin nicht kann, da er empfiehlt und nicht entscheidet), sondern überlegt gemeinsam mit den Beteiligten, wie ein Prozess so gestaltet werden kann, dass das Projekt rechtskonform umgesetzt werden kann. Guter Datenschutz ist deshalb kein Bremsklotz, sondern ein Qualitätsmerkmal guter Projektarbeit.
Ich wäre sehr gespannt auf die Perspektive anderer, leider ist die Webseite dafür bisher noch nicht sehr geeignet. Aber einige der Leser sind mir vielleicht persönlich bekannt oder man ist zumindest vernetzt (LinkedIn).