Blog
Pia bloggt
Meinung und Wissenswertes zwischen den Zeilen
bye bye Selbständigkeit
Selbständig zu sein war eine tolle Zeit. Ich kann mir keine angestellte Tätigkeit vorstellen bei der man so viele verschiedenen Unternehmen und Menschen kennenlernt. Während der Interimsmandate steigt man tief in Unternehmen und deren Kultur ein, als Datenschutzbeauftragte kennt man alle Prozesse in Unternehmen - vor allem die jenigen, die nicht funktionieren und wie die Mitarbeitenden damit umgehen. Das war aufregend, lebendig, inspirierend und lehrreich.
Bevor jetzt der Verdacht aufkommt, ich hätte es wie viele andere nicht geschafft, das Gegenteil war der Fall. Ich war erfolgreich, sehr erfolgreich sogar. Ich habe aufgehört, weil ich nicht den Eindruck hatte, als Selbständige in diesem Land gewollt zu sein. Das begann nicht erst mit der Coronapandemie wo man lange gebraucht hat, Hilfsmaßnahmen für Selbständige auf den Weg zu bringen, die im Vergleich zu der Versorgung von Beamten und Angestellten immer noch ungerecht waren. Nein, mir ging die Ungleichbehandlung bei sozialer Absicherung, Einkommensteuer usw., und die Rechtfertigungen im Umfeld (Ja, ich bin auch innerhalb Deutschlands geflogen, weil man nach einem anstrengenden Arbeitstag bei einem Auftraggeber nicht noch 6 Stunden mit der Bahn fahren will.) schon vorher gegen den Strich. Ich wollte das nicht mehr. So einfach ist das.
Blicken Sie noch durch?
Geschichte wiederholt sich, so heißt es immer. Aber so schnell?
Mein letzter Blog ist erst ein Jahr her und aktuell stellt sich die Frage wieder: "Blicken Sie noch durch?" Damals war es ein Chaos an Corona-Regeln, jetzt ist es Energiepreis-Bremse, Gas-Umlage, Abschaffung EEG-Umlage, Einmalzahlung, Übernahme des Gasabschlags im Dezember 2022 in Höhe des Abschlags aus September, Abwehrschirm und Deckelung des Preise für 80% des Energieverbrauchs irgendwann in 2023.
Blick da noch irgendwer durch? Ich vermute niemand tut das. Mein Umfeld kann mir jedenfalls nicht erklären, wie teuer das Aufdrehen der Heizung in diesen Tagen mit Minustemperaturen ist und was davon aus der Steuerkasse kommt, bzw. was ich dann viel später selbst als Nachzahlung an meinen Vermieter zahlen darf. Es bleibt ein Rätsel.
Blicken Sie noch durch?
In welcher Corona-Welle wir uns gerade befinden? Ob der der Wellenbrecher-Lockdown, Lockdown-Light ist? 2G,3G, 3G+ aber nicht für Kinder unter 13 3/4 gilt?
Dieses ganze Durcheinander erinnert an chaotische Projekte, die in der Regel am Ende krachend scheitern. Woran das liegt? Es fehlt die wesentliche Zutat: Der gesunde Menschenverstand.
Vielleicht sollten die Damen und Herren, die über die Maßnahmen und Regeln entscheiden, den Bürgerinnen und Bürgern einfach mal wieder mehr gesunden Menschenverstand zutrauen, statt detailliert zu regeln zu welchen Feiern sich wieviel Menschen in Räumen oder außerhalb von Räumen aufhalten dürfen.
Datenstrategie 2021
"Täglich erleben wir als Bürger, als Gesellschaft sowie in Wirtschaft und Wissenschaft, wie wichtig Daten und deren Nutzung sind. Deshalb hat das Kabinett am 27. Januar 2021 die Datenstrategie der Bundesregierung mit rund 240 Maßnahmen beschlossen." so zulesen auf der Internetseite der Bundesregierung.
Auf rund 120 Seiten ist in dem Strategiepapier zusammengestellt, wo die Bundesregierung Anpassugnsbedarf in Bezug auf Datennutzung und Digitalisierung sieht. Dabei wird auch festgestellt: "Der Schutz personenbezogener Daten muss von Anfang an, also bereits bei der Entwicklung von
Produkten und Dienstleistungen, berücksichtigt
werden." - so wie es die DSGVO schon vorsieht.
Mehr zu der Datenstrategie ist hier auf der Seite der Bundesregierung zu finden: Datenstrategie.
Prozessoptimierung für Impftermine
Update 03.01.21: Hamburg kündigt für die Impfterminvergabe an, künftig eine Ansage zu schalten, wenn aktuell keine Termine vergeben werden. Das macht wirklich jeden, der schon mal mit Prozessen in einer Hotline oder in einem Kundencenter zu tun hatte, sprachlos. Da hat man bisher Menschen stundenlang in der Warteschleife ausharren lassen, um dann zu sagen "Sorry, alle Termine schon vergeben" ? Wie sinnlos, für alle Beteiligten. Das blockiert die Telefonleitungen, beschäftigt Mitarbeiterinnen und Mitarbeiter, die sich den Ärger der Anrufenden anhören dürfen.
Eine Ansage zu schalten, weil es das gewünschte Produkt , in diesem Fall einen Impftermin, nicht mehr gibt, ist Standard- seit mehr als 20 Jahren!
Impftermine - es könnte so einfach sein...
Heute mal ganz ohne Datenschutz. Es geht um Prozesse.
Kein Tag ohne erstaunlichste Schilderungen wie die Vergabe von Impftermine an Personen, die älter sind als 80 Jahre, nicht funktioniert. Dabei könnte das so einfach sein. Ein paar Vorschläge
mit meinen Erfahrungen aus Hotlines und Prozessen.
- Direkt im Anschreiben einen Termin nennen. Bei der Hotline soll der Empfänger sich nur melden, wenn er den Termin nicht wahrnehmen möchte oder verschieben will. Damit das ganze anonym bleibt, könnte man statt Namen die Termine einer Nummer zuordnen und damit das Procedere an dieser Stelle anonym halten. Erst im Impfzentrum wird aus den Nummern ein Name, damit dort ein nachvollziehbarer Terminplan vorliegt. Die meisten Personen, die älter als 80 sind, haben viel freie Zeit. Die Wahrscheinlichkeit, dass ein vorgeschlagener Termin auch angenommen wird, ist hoch und das Anrufaufkommen an der Hotline reduziert sich damit erheblich. (Nebenbei, bei Masseneinladungen zum Mammographie-Screening wird das seit Jahren so gemacht.)
- Im Anschreiben in einfachen Worten die wesentlichen Fragen für die Zielgruppe erklären. Zum Beispiel, ob eine Begleitperson mitkommen darf, ob es vor Ort Hilfe beim an- und ausziehen gibt und wohin man sich wenden kann, wenn man nicht selbständig zum Impfzentrum kommen kann.
- Der Prozess muss einfach sein- gerade bei der derzeit angesprochenen Zielgruppe. Ich lese von TANs, die per SMS an die Senioren verschickt werden. Kein Wunder, dass damit keiner klar kommt. Es geht um die Generation, die es gewohnt ist, irgendwo anzurufen und einen Termin zu vereinbaren. Ist es nicht auch eine Frage von Respekt sich ein Verfahren einfallen zu lassen, das deren Lebenswirklichkeit entspricht? Die Generation Z kann dann ja gerne Termine über eine App machen, mit Video-Ident-Verfahren.
- Ein einfacher Weg, um Anrufvolumen zu reduzieren, ist a) nicht alle Postsendungen auf einmal zu versenden sondern nur in Margen, die auch von der Hotline personell und technisch verarbeitet werden kann.
- Wenn man im Anschreiben die Zeiten der Erreichbarkeit nennt und darum bittet auch abends anzurufen, hilft das auch ein wenig.
- Die Technik muss funktionieren. Sind wir wirklich so schlecht in Bezug auf Digitalisierung aufgestellt, dass die Server zur Online-Terminbuchung nicht ausreichen? Hätte man da nicht jemanden fragen können, der sich damit auskennt oder wurden wieder die Unternehmen mit den schönsten Internetseiten und der Höchstzahl an Buzzwords beauftragt? "Wer es nicht einfach erklären kann, hat es nicht verstanden" sagte schon Albert Einstein.
Datenschutz verhindert Digitalisierung - ernsthaft?
Da war sie wieder die erboste Stimme. Ein Bekannter berichtet über die mangelnde Digitalisierung einer öffentliche Stelle und schloss mit der Feststellung "... das ginge auch anders, aber ihr Datenbeauftragte verbietet das ja. Es ist Corona, da muss man auch mal ein Auge zu drücken können."
Puhh, also mal zur klarstellung:
1.) Datenschutzbeauftragte sind gar nicht in der Position irgendwas zu verbieten.
2.) Datenschutzbeauftragte beraten Unternehmen ( oder auch Behörden und Ämter) zur Einhaltung der datenschutzrechtlichen Vorgaben. Dazu hat man das Risiko für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen im Blick und auf der anderen Seite den Bedarf des Unternehmens. Gute Datenschutzbeauftragte suchen nach pragmatischen Umsetzungsmöglichkeiten. Das ist immer eine Abwägung der jeweiligen Situation, aber man findet immer Lösungen. Ein schlichtes "Nein, das geht nicht" sollte es bei Menschen, die Unternehmen oder Behörden beraten, nicht geben. Da heißt es doch ehr: "Tool A ist aus Sicht des Datenschutzes nicht gut, man könnte aber so und so vorgehen, um es datenschutzkonform zu nutzen, oder ein alternatives Tool, wie beispielsweise Tool B, C oder D nutzen."
3.) Bei öffentlichen Einrichtungen sollte das nicht anders sein. Nur weil die Verwaltung kein geeignetes Verfahren oder Tool findet, kann man nicht einfach "ein Auge zudrücken" und gegen europaweit geltende Gesetze verstoßen. Da ist die Kreativität der Beteiligten und der behördlichen Datenschutzbeauftragten gefragt, Lösungen zu finden.
Videokonferenzen und Datenschutz
Dezember 2020. Wir lernen mit der Distanz zu leben, solange uns Corona fest im Griff hat. Dass die ganzen Tools, die für Videokonfernzen angeboten werden, nicht so toll sind, hatte ich im Frühjahr schon beschrieben. Viele Anbieter haben in Bezug auf Datenschutz und Datensicherheit nachgebessert, aber es bleibt ein ständiges Abwägen zwischen den Anforderungen des Datenschutzes und den Risiken, die diese Tools beinhalten. Super vertrauliche Dinge sollte man vielleicht über die in der Masse genutzten Tools austauschen.
Oft fühlen sich auch Beschäftigte nicht wohl, wenn die Kollegen oder Kunden Einblick in die häusliche Umgebung haben. Daher sollte immer auch eine Anweisung an die Beschäftigten ausgeteilt werden, wie der Hintergrund anonymisiert werden kann. Ich sehe inzwischen immer häufiger Bilder von Stränden, das Panorama von NewYork oder einen Urwald vor dem meine Gesprächspartner virtuell sitzen.
Wenn dann einzelne noch Ihre Kaffeetasse des Tages zu Beginn vorstellen, kann eine Videokonferenz auch unterhaltsam sein.
Mal abseits vom Datenschutz: Videokonferenzen sparen vielen Menschen gerade viel Reise- und Fahrzeiten und das tut der Umwelt bestimmt auch ganz gut.
Datenschutz und die Corona-Warn-App
Ja, der Datenschutz ist manchmal lästig. Aber verhindert er die Eindämmung des Corona-Virus? Das scheint mir doch häufig ein "Überschriften Argument" zu sein. Spielen wir es doch mal durch:
Die App registriert, wenn Smartphones mit eben dieser App in meiner Nähe sind und das über einen längeren Zeitraum. Sofern jemand dann erfasst, dass er positiv getestet wurde, meldet meine App, dass ein Risiko besteht. Nein, sie sagt mir nicht, wann und wo das passiert ist, denn das ist auch irrelevant. Die Entscheidung, ob es überhaupt eine relevante Begegnung war, wird doch schon vorher getroffen. Durch die App. Es hilft nicht weiter, wenn ich weiß, dass ich Mittwoch in der U-Bahn jemandem begegnet bin, der jetzt positiv getestet wurde, denn es sagt nichts darüber aus, ob ich auch Corona habe und verbreiten könnte. Ohne Test geht der Prozess überhaupt nicht weiter.
Dass die App nicht so funktioniert, wie sie sollte, liegt viel mehr daran, dass sie nur für neuere Geräte funktioniert, viel zu wenige die App installiert haben, das Smartphone nicht ständige mitgeführt wird und diejenigen, die einen positiven Test haben, diesen nicht teilen. (Man fragt sich, warum diese Personen die App überhaupt installiert haben. Sie selbst wollen gewarnt werden, warnen andere aber nicht? Wie unfair.)
Cookies und Cookiebanner
Das Chaos ist groß. Dass man für diverse Cookies eine Einwilligung benötigt, hat vermutlich jeder Internetnutzer inzwischen bemerkt. Keine Seite ohne Cookiebanner oder Consentbanner, um Einwilligungen für dies und das und jeden was einzuholen. Ob das jeder wirklich liest und versteht, was dort an Texten angeboten wird, bezweifel ich.
Ich verzweifel allerdings auch an den diversen Tools. Diese Seite ist bei einem Provider gehostet und über ein Baukastensystem zusammengestellt. Ich habe keinerlei Cookies für irgendwas beauftragt. Google Analytics ist hier nicht vorhanden, also auch nicht aktiviert. Dennoch taucht es in dem vom Anbieter zur Verfügung gestellten Banner auf. Nach mehreren Stunden habe ich auch nicht gefunden, wie man das Banner passend zur Seite erstellen könnte. Laut Anbieter funktioniert das auch weitestgehend automatisch. Nutzt man verschiedene Analysetools, die jetzt kostenfrei im Internet zu finden sind, findet jeder Anbieter irgendwelche Cookies oder ähnliche Technologien. Allerdings jeder etwas anderes.
Da ich hier überhaupt nichts selber programmiere, sondern auf das angewiesen bin, was mir zur Verfügung gestellt wird, bleibe ich ratlos. Irgendwie hatte ich mir das mit dem Datenschutz anders vorgestellt. Das Banner-Einwilligungs-Gedöns kann jedenfalls nicht die Lösung sein. Wie wäre es mit einer technischen Lösung? Wenn der Browser voreingestellt ist, dass keine Cookies zugelassen werden sollen, sollte das doch technisch sicher umzusetzen sein und die Einwilligung in Cookies kann dann über den Browser bei Bedarf erfolgen. Unternehmen müssten nicht Informatik studieren, um in die Tiefen einer Homepage einzusteigen, um eine korrekte Einwilliung einzuholen und Nutzer müssten sich nicht die Finger wund klicken.
Mittelstand goes Homeoffice
Wir sind Mitglied im Netzwerk "Mittelstand goes Home-Office " und beraten ehremamtlich Unternehmen, die im Zuge der Corona-Krise kurzfirstig auf Homeoffice ausweichen. Unser Schwerpunkt liegt dabei (natürlich) auf Datenschutz und Prozessanalyse sowie die Fragen der Mitarbeiterführung im Rahmen der ad hoc Digitalisierung. Näheres zu der Inititative finden Sie bei Klick auf das nebenstehende Logo.
Beratungsförderung
Das Bafa (Bundesamt für Wirtschaft und Ausfuhrkontrolle) fördert - unter bestimmten Voraussetzungen - von Corona betroffene kleine und mittlere Unternehmen jetzt unbürokratisch, schnell und ohne Eigenanteil. Gefördert werden auch Beratungen zu Prozessoptimierungen, Organisationsanpassungen u.ä. Fragen, die beispielsweise bei der Implementierung von Homeoffice, Führen auf Distanz, Digitalisierung eine Rolle spielen.
Telefon- und Online-Beratung
Selbstverständlich beraten wir auch telefonisch, per E-Mail oder per Videokonferenz/Webmeeting/Online Konferenz. Update 02.04.2020:
Streichen Sie das mit der Videokonferenz.
Egal welches gängige Tool man auswählt, ob Skype, Zoom oder andere, es gibt Sicherheitsthemen. Kaum sagt ein technisch versierter Mensch, ein Produkt sei nutzbar, kommt ein anderer und findet Lücken, Datenübertragungen an Facebook, Verschlüsselungen, die nicht funktionieren, usw. Ich bin keine Informatikerin und muss mich irgendwie auf das verlassen, was die Anbieter in Bezug auf Datensicherheit sagen. Solange die Informationen zur Datensicherheit mehr Marketingtext als Fakten sind, werde ich diese Tools nicht nutzen.
Solange wir uns nicht persönlich treffen können, reicht mir Telefon und E-Mail für Beratung und Terminvereinbarungen für Präsenzschulungen ab Sommer diesen Jahres.
Datenschutz, Corona, (Covid-19) und Homeoffice - Teil 3
Nicht alle Unternehmen sind auf Homeoffice eingestellt und können oder konnten den Beschäftigten, die jetzt vielleicht Zuhause arbeiten, ein Notebook zur Verfügung stellen. Vielleicht bieten auch Beschäftigte an, vom privaten PC aus zumindest einen Teil der Arbeit zu erledigen. Aus Sicht des Datenschutzes ist das nicht super, aber natürlich sollen Unternehmen weiterarbeiten können. An dieser Stelle ist auch nochmals zu sagen: Datenschutzbeauftragte entscheiden nicht und sie können auch nichts verbieten. Datenschutzbeauftragte beraten. Hier also mein Rat:
1.) Die IT-Verantwortlichen, kennen die Prozesse und die Möglichkeiten der IT-Landschaft des Unternehmens. Sie können am besten sagen, was geht und was nicht. Binden Sie diese zwingend in das Krisenkonzept mit ein.
2.) Soweit wie möglich sollte via Internet und VPN-Verbindung auf den Unternehmensservern gearbeitet werden. Je weniger Datenverarbeitung auf dem privaten Endgerät erfolgt, um so besser. Das bedeutet, dass ggf. der Kreis der Beschäftigten, die die entsprechenden Zugriffsrechte haben, erweitert werden muss. Bitte nicht vergessen, diese Zugriffsrechte wieder zurückzusetzen, wenn die Situation sich normalisiert hat. Wir reden hier von einer Ausnahmesituation.
3.) Nicht immer läßt es sich verhindern dass z.B. Tabellen, Präsentationen oder Textdateien zur Bearbeitung runtergeladen, bearbeitet und wieder auf den Server geladen werden, oder es ist kurzfristig nicht anders möglich, Unterlagen an eine private E-Mail-Adressse zu senden. Dann sollten die Beschäftigten einen eindeutige Anweisung erhalten, diese Daten nach Erledigung endgültig von dem privaten Gerät zu löschen. Es reicht nicht, die Datei einfach nur in den Papierkorb zu verschieben und nicht jedem Beschäftigten ist das bewußt. Hier sollte die IT-Abteilung Hilfestellung anbieten.
Datenschutz, Corona, (Covid-19) und Homeoffice - Teil 2
d) Daten sollten nicht lokal gespeichert werden. Besser wäre es mittels VPN-Verbindung auf dem Unternehmensserver zur arbeiten. Allerdings hat nicht jeder eine stabile und schnelle Internetverbindung daheim. Sofern lokal gespeichert werden muss, sollten die Datenträger - USB-Stick, Festplatte des Notebooks- verschlüsselt werden.
e) Auch Unterlagen in Form von Akten und Ausdrucken müssen vor fremden Blicken geschützt werden. Fehlausdrucke gehören in die Aktenvernichtung und nicht in die Papiertonne vor der Tür, den Hausmüll oder ins Kinderzimmer als Malpapier.
f) Nur zur Erinnerung: Werden personenbezogene Daten unrechtmäßig Dritten zur Kenntnis gegeben, liegt eine Datenschutzverletzung vor. Das kann u.U. bedeuten, dass die betroffenen Personen und die Aufsichtsbehörde informiert werden müssen.
e) Auch Unterlagen in Form von Akten und Ausdrucken müssen vor fremden Blicken geschützt werden. Fehlausdrucke gehören in die Aktenvernichtung und nicht in die Papiertonne vor der Tür, den Hausmüll oder ins Kinderzimmer als Malpapier.
f) Nur zur Erinnerung: Werden personenbezogene Daten unrechtmäßig Dritten zur Kenntnis gegeben, liegt eine Datenschutzverletzung vor. Das kann u.U. bedeuten, dass die betroffenen Personen und die Aufsichtsbehörde informiert werden müssen.
Datenschutz, Corona, (Covid-19) und Homeoffice - Teil 1
Wer hätte gedacht, dass das Thema Virus im Datenschutz auch außerhalb von Virenscannern der IT plötzlich eine Rolle spielt. Homeoffice ist plötzlich aus ganz praktischen Erwägungen heraus gefragt. Was ist dabei mit Blick auf den Datenschutz zu beachten?
a) Die Beschäftigten müssen zum Datenschutz sensibilisiert und geschult sein. Ist dass bisher nicht erfolgt, sollte das jetzt mittels schriftlicher Informationen erfolgen. (Wir bieten dafür z.B. eine Broschüre an. Finden Sie hier)
b) Im idealen Fall steht ein Arbeitszimmer zur Verfügung, in dem gearbeitet werden kann und Notebook oder PC und Unterlagen vor fremden Blicken geschützt sind. Nicht immer steht das zur Verfügung und es wird im Wohnzimmer. Wichtig: Auch bei kurzem Verlassen des Arbeitsplatzes muss dieser mittels Bildschirmschoner - natürlich mit Passwort - geschützt werden.
c) Ist die Hardware vom Unternehmen zur Verfügung gestellt worden gilt: Das ist ein Arbeitsgerät, private Daten haben auf dem Rechner nichts zu suchen! Auch Software, die nicht vom Unternehmen autorisiert wurde, darf nicht auf diesen Geräten installiert werden. Unternehmen sollten die Beschäftigten daran eindringlich erinnern, sonst besteht die Gefahr, dass sie es neben Corona noch mit Viren zu tun bekommen, die das Unternehmen technisch gefährden.
a) Die Beschäftigten müssen zum Datenschutz sensibilisiert und geschult sein. Ist dass bisher nicht erfolgt, sollte das jetzt mittels schriftlicher Informationen erfolgen. (Wir bieten dafür z.B. eine Broschüre an. Finden Sie hier)
b) Im idealen Fall steht ein Arbeitszimmer zur Verfügung, in dem gearbeitet werden kann und Notebook oder PC und Unterlagen vor fremden Blicken geschützt sind. Nicht immer steht das zur Verfügung und es wird im Wohnzimmer. Wichtig: Auch bei kurzem Verlassen des Arbeitsplatzes muss dieser mittels Bildschirmschoner - natürlich mit Passwort - geschützt werden.
c) Ist die Hardware vom Unternehmen zur Verfügung gestellt worden gilt: Das ist ein Arbeitsgerät, private Daten haben auf dem Rechner nichts zu suchen! Auch Software, die nicht vom Unternehmen autorisiert wurde, darf nicht auf diesen Geräten installiert werden. Unternehmen sollten die Beschäftigten daran eindringlich erinnern, sonst besteht die Gefahr, dass sie es neben Corona noch mit Viren zu tun bekommen, die das Unternehmen technisch gefährden.
Datenschutz am Deich?
Zugegeben unser Sitz ist nicht direkt am Deich, sondern unsere Straße beginnt am Deich. Tatsächlich gibt es hier sogar zwei Deichlinien und ein Sperrwerk, das den hinteren Deich gesondert schützt. In diesem Februar besonders beruhigend, da kaum eine Nacht vergeht, ohne dass die Katwarn-App auf die Gefahr der bevorstehende Sturmflut hinweist.
Bei der berühmten Sturmflut 1962 stand hier alles unter Wasser und wir haben eine Information der Stadt hier liegen, was wann zu tun ist, falls die Deiche nicht halten oder die schwere Sturmflut besonders hoch ist. Wir sind vorbereitet.
Und genauso bereiten Datenschutzbeauftragte auch Szenarien vor, von denen jedes Unternehmen hofft, dass sie nicht vorkommen, wie beispielsweise Datenschutzverletzungen. Unternehmen brauchen dafür Anleitungen, was wann zu tun ist, wer wen informiert und wie man Schaden begrenzt. Um das Risiko zu minimieren analysieren Datenschutzbeauftragte die Prozesse und empfehlen Verbesserungen.
Regelungen zu Passworten, Zwei-Faktor-Authentifizierung und ähnliches sind im Grunde nichts anderes als Deiche, die schützen. Ja, das ist aufwendig und manchmal auch lästig. Genauso wie die Erhaltung der Deiche, aber dieser Tage möchte niemand in Hamburg darauf verzichten.
Soziale Netzwerke und Datenschutz bleibt ein Dauerbrenner
An dieser Stelle möchte ich auf einen Beitrag des ehemaligen Bundesbeauftragten für den Datenschutz und Informationsfreiheit Peter Schaar
verweisen, der vor wenigen Tagen die Problematik mit dem Zitat:
"Man schlägt den Sack und meint den Esel“
zusammengefasst hat. Nachfolgend finden Sie den Link zu seinem Beitrag.
E-Scooter als Datenkrake?
Das Hamburger Abendblatt titelt heute (26.11.2019) "Datenkrake E-Scooter: Sammeln die Tretroller unsere Daten?" Ja, natürlich sammeln die Daten. Wann wo welches Gerät ausgeliehen wurde, wo man es wieder abstellt und Zahlungsdaten hätte der Anbieter sicher auch gerne und muss diese nach diversen Vorschriften sammeln und aufbewahren. Die Anbieter haben Nutzungsbedingungen und klären über die Datenverarbeitung auf, manches ist vielleicht zu wage, aber niemand wird gezwungen einen E-Scooter zu nutzen. Und wenn die Informationen für nicht ausreichend Transparenz sorgen, könnten die Datenschutzaufsichtsbehörden ja tätig werden.
Zu vermuten, dass die Anbieter auch mit der Nutzung oder dem Verkauf von Daten ein Geschäft machen wollen, ist reine Spekulation und sorgen einmal mehr dafür, dass Datenschutz als Verhinderung von Innovation wahrgenommen wird. "Die E-Scooter-Verleiher bestreiten das Geschäft mit den Daten" so das Abendblatt. Vielleicht sollte man dem zunächst Glauben schenken, statt schwarzzumalen und gleich von Datenkrake zu reden.
Natürlich gibt es hier Risiken, aber Risiken gab es auch lange vor der Digitalisierung unserer Welt. Auch das Meißeln in Steintafeln war nicht ohne Risiko. Die konnten auf den Fuß fallen und ob da die Löschung von Daten immer sichergestellt war?
Digitalisierung im Gesundheitswesen
Das scheint das Thema im Herbst / Winter 2019 zu werden. Fitnessarmbänder und Gesundheitsapps vom Sportartikelhersteller sind da nur der Anfang, der Gesundheitsminister plant Größeres. Vernetzung der Ärzte und Apotheker, eine digitale Gesundheitsakte, usw. Vieles davon klingt sinnvoll, es spart Zeit, vermeidet doppelte Untersuchungen und doppelte Untersuchungen. Aber, wann waren Sie zuletzt beim Arzt und haben auf dem Monitor nicht die Daten des vorherigen Patienten gesehen? Wenn es schon nicht klappt, sicher den Bildschirm zu sperren, habe ich wenig Vertrauen darauf, dass eine Arztpraxis sicher Daten verschlüsselt übermittelt, den Zugang zur Telematikinfrastruktur sicher gestaltet und nicht der Zugriffspunkt auf die Gesundheitsdaten von allen Bundesbürgern wird.
google analytics - Hinweis der Aufsichtsbehörden
(14.11.2019)Der Bundesbeauftragte für Datenschutz und Informationsfreiheit sowie die Aufsichtsbehörden u.a. aus Hamburg, Niedersachsen, Schleswig-Holstein weisen heute nochmals darauf hin, dass für die Nutzung von google analytics und ähnliche Dienste die ausdrückliche und informierte Einwilligung der Seitenbesucher erforderlich ist. "Wenn Sie auf unserer Seite weitersurfen, stimmen sie der Verwendung von ... zu." reicht nicht aus!
Hier
die Mitteilung der Landesbeauftragten für den Datenschutz aus Niedersachsen.
Hier
die Mitteilung der Landesbeauftragten für den Datenschutz aus Schleswig-Holstein.
Und die Mitteilung des Hamburgischen Beauftagten für Datenschutz und Informationsfreiheit finden Sie hier.
Homeoffice und Vorgesetzte
Homeoffice oder mobile worker sind Themen, die viele Unternehmen umtreiben. Für viele administrative Arbeiten benötigt man kein Büro sondern einen PC (Laptop, Tablet, Smartphone) und eine Internetverbindung. In Hamburg kann man so die eine oder andere Stunde im Stau oder das Warten auf verspätete Bahnen und Busse sparen. Viele Mitarbeiterinnen und Mitarbeiter freuen sich über mehr Flexibilität bei Kinderbetreuung, Pflege von Angehörigen oder einfach der Hausarbeit. Und sich im Herbst nicht bei erkälteten Kollegen anstecken, mag auch ein Argument sein.
Vorgesetzte hingegen vermuten Sicherheitslücken und offenbaren Lücken in Führungskompetenz. Zur Datensicherheit gibt es diverse Maßnahmen die getroffenen werden können. Angefangen von der Sichtschutzfolie auf dem Notebook, dem Verbot der privaten Nutzung und der Weitergabe von Geräten an Familienangehörige, über VPN-Verbindung zum Firmenserver bis hin zur Sperrung von Dateien für den Ausdruck auf firmenfremden Rechner. Das lässt sich alles regeln. Bei den Begehrlichkeiten von Vorgesetzten über logfiles o.ä. die Arbeitszeit zu kontrollieren oder über die Handyortung den Standort der/des Beschäftigten ausfindig zu machen, muss ich als externe Datenschutzbeauftragte jedoch oft warnen. Dafür sind diese Daten i.d.R. nicht da und es gibt Grenzen in der Überwachung von Personen.
Vorgesetzte hingegen vermuten Sicherheitslücken und offenbaren Lücken in Führungskompetenz. Zur Datensicherheit gibt es diverse Maßnahmen die getroffenen werden können. Angefangen von der Sichtschutzfolie auf dem Notebook, dem Verbot der privaten Nutzung und der Weitergabe von Geräten an Familienangehörige, über VPN-Verbindung zum Firmenserver bis hin zur Sperrung von Dateien für den Ausdruck auf firmenfremden Rechner. Das lässt sich alles regeln. Bei den Begehrlichkeiten von Vorgesetzten über logfiles o.ä. die Arbeitszeit zu kontrollieren oder über die Handyortung den Standort der/des Beschäftigten ausfindig zu machen, muss ich als externe Datenschutzbeauftragte jedoch oft warnen. Dafür sind diese Daten i.d.R. nicht da und es gibt Grenzen in der Überwachung von Personen.
Was ich mich oft frage: Ist es nicht egal wann und wo eine Person die gestellte Aufgabe erledigt. Sollte es am Ende nicht darum gehen, dass ein Ergebnis zu einem vereinbaren Zeitpunkt vorliegt. Gerade Tätigkeiten im Homeoffice setzen doch keine Anwesenheit voraus. Wird hier nicht ganz oft versucht, mit Techniken wie Kontrolle Menschen zu führen, wo ganz andere Führungskompetenzen gefragt wären?
Cookies, Technik und Bußgelder
... und die Frage, wie man so überhaupt noch arbeitsfähig bleibt.
Ja, auch ich bin betroffen. Auch ich muss für mein Unternehmen die DSGVO einhalten. Zum Glück kann ich aus allen Datenbanken Daten endgültig löschen, aber ich habe hier auch kein komplexes CRM-System, um Millionen Datensätze zu verwalten und zu archiveren. (Ein Unternehmen in Berlin hat diesbezüglich gerade ziemlichen Ärger. Hier
die Pressemitteilung der Aufsichtsbehörde)
Dafür kostet die Homepage inzwischen richtig Zeit. Da ich kein Webseiten-Programmierer bin, nutze ich ein Baukastensystem eines Hostinganbieters. Das ist praktisch und auch ohne Informatikstudium bedienbar. Hinsichtlich der Themen Cookies, Tracking-Pixel usw. bin ich allerdings komplett auf den Dienstleister angewiesen. Und das kostet Zeit!
In den FAQs findet man nicht alle Antworten, dann schreibt man dahin und bekommt unvollständige Antworten, dann bezieht man sich auf die Auftragsverarbeitung und weist an, usw. Stunden und Tage vergehen und man hat keine Zeit für den eigentlichen Job oder wie ein Kunde gestern sagte "irgendwann müssen wir ja auch mal Geld verdienen"
Als ich in der Oberstufe war, geisterte immer das Motto "Mut zur Lücke" durch den Klausurraum. Ich bin geneigt, dies auch für den Datenschutz auszurufen. Zumindest bis der Dienstleister sich verbindlich äußert, gibt es jetzt eine Lücke in meinem Datenschutzkonzept.
Cookie-Einwilligung und das Ankreuzfeld
Der EuGH hat heute (01.10.2019) entschieden, dass ein vorangekreuztes Feld ("ich stimme der Nutzung von Cookies zu") keine Einwilligung ist. So haben wir die DSGVO schon immer verstanden, aber nun gibt es eine richterliche Entscheidung dazu.
Wer noch Texte wie "Wir nutzen Cookies, wenn Sie weitersurfen, stimmen Sie dem zu." auf seiner Homepage hat oder ein Ankreuzfeld in dem das Häkchen schon gesetzt ist, sollte das schnellstens ändern und mit Cookies datenschutzkonform umgehen.
Datenschutzhinweise für Internetseiten
Kaum ein Thema beschäftigt uns (externe) Datenschutzbeauftragte so sehr wie Datenschutzhinweise für Internetseiten. Ich habe es gerade gewagt und die Datenschutzhinweise einer Homepage ausgedruckt. 18 (in Worten: achtzehn) Seiten! Das kann keiner gewollt haben.
Sinn der Datenschutzhinweise ist es die Informationspflicht (Art. 13
und 14
DSGVO) umzusetzen. Diese Artikel sind in das Gesetz geschrieben worden, um Transparenz über die Datenverarbeitung zu schaffen. Jeder soll informiert werden, wie die personenbezogenen Daten durch das jeweilige Unternehmen verarbeitet werden, wohin die ggf. weitergeben werden und wann Daten gelöscht werden. Natürlich oder insbesondere bei der digitalen Verarbeitung über eine Internetseite. So weit so gut.
Jetzt finde ich Datenschutzhinweise in denen erstmal diverse Begriffe definiert werden. Meistens sind hier die Begriffsbestimmungen der DSGVO
abgeschrieben worden. Und das Abschreiben geht dann noch weiter. Artikel um Artikel wird zitiert, gefühlt steht die halbe DSGVO auf der Homepage. Vielleicht hat dort jemand gedacht "viel hilft viel" oder aber die Anbieter, die automatisch Datenschutzhinweise generieren, wollten besonders viel Text liefern (könnte ich verstehen, wenn die Texte nach Wortanzahl bezahlt werden.)
Was ich jedoch ganz selten finde, sind Hinweise was denn nun konkret mit meinen Daten passiert, wenn ich das Kontaktformular nutze oder warum ich bei einer Bestellung meine Telefonnummer angeben soll, wenn die Lieferung doch in den Postkasten passt.
Und was ich auch vermisse, ist die Umsetzung der Information in leichter und verständlicher Sprache. Es gibt ein schönes Zitat, ich glaube es ist von Albert Einstein "Wenn Du es nicht einfach erklären kannst, hast Du es noch nicht verstanden" und ich befürchte, dass das bei manchen Unternehmen genau der Grund für 18 Seiten Datenschutzhinweise ist.
Ab wie vielen Beschäftigten braucht man einen (externen) Datenschutzbeauftragten?
Diese Frage ist gerade wieder im Bundestag aktuell. In der DSGVO steht irgendwas von 250 Beschäftigten, das BDSG sagt ab 10 und diskutiert wird jetzt neu die Grenze 20 Beschäftigte.
Dabei sollte die Anzahl der Beschäftigten nicht der Beweggrund sein, einen (externen) Datenschutzbeauftragten zu bestellen, denn das Datenschutzrecht gilt für alle Unternehmen. Die Frage, die sich ein Unternehmen stellen sollte, ist also viel mehr: Ist die Kompetenz die Anforderungen des Datenschutzes einzuhalten im Unternehmen vorhanden oder wie stellt man sicher, dass das Fachwissen stets aktuell vorhanden ist. Die Erhöhung des Schwellwertes zur Verpflichtung wird keine Unternehmen entlasten und das Datenschutzrecht wird damit auch nicht entschärft, wie man in Tageszeitungen lesen konnte. Im Gegenteil. Das Datenschutzrecht muss ohne Datenschutzbeauftragten bei der Geschäftsleitung stets präsent sein, sie muss Änderungen und Anpassungen im Blick haben, usw. Und das ist sogar für uns, die wir hauptberuflich Datenschutz machen, eine ständige Herausforderung.
Videoüberwachung
Wenn Datenschutzbeauftragte in Köln unterwegs sind, sehen sie auch den Dom - natürlich, der ist ja auch nicht zu übersehen.
Was uns aber sofort ins Auge fällt, sind die Infoschilder zur Videoüberwachung. An den Masten mit den Kameras, an Laternenpfählen, an wirklich jedem Zugang zu den Plätzen rund um den Dom. Niemand kann sagen, er oder sie hätte nicht gewußt aufgenommen zu werden. Das Polizeipräsidium informiert flächendeckend. Mir fehlt allerdings der Hinweis, wohin ich mich Zwecks Auskunft zu meinen Daten wenden kann (Info nach Art. 13 DSGVO usw.).
Während ich den Kölner Dom besichtigte kam auch irgendeine Änderung zur Regelung zur Videoüberwachung im BDSG. Ich habe bisher nur die Überschrift gelesen, denn so ist das ein Jahr nach Start der DSGVO: Es gibt jeden Tag neue Themen, Anpassungen, Informationen... Die oft unterschätzte Arbeit von Datenschutzbeauftragten ist es, zu lesen und auf dem Laufenden zu bleiben. Mir ist es manchmal ein Rätsel, wie interne Datenschutzbeauftragte, die auch noch andere Aufgaben im Unternehmen wahrnehmen, das machen.
1 Jahr DSGVO- Bußgeld
"Das mit dem Datenschutz ist doch verpufft, das wird sich nicht durchsetzen. Von Bußgeldern hört man nie etwas." hörte ich auf der besagten Messe.
Interessante These, dass sich der Schutz von personenbezogenen Daten nur durchsetzt, wenn es Bußgelder gibt. Könnte ja auch sein, dass man nichts von Bußgeldern hört, weil viele Unternehmen die DSGVO gut umsetzten oder weil man vor allem Medien konsumiert, die darüber nicht berichten.
Doch, es gab in den letzten Monaten Bußgelder. Welt am Sonntag und heise.de berichten z.B. über 75 verhangene Bußgeldern, die sich insgesamt auf knapp EUR 450.000 belaufen. Das klingt nicht viel, aber die Aufsichtsbehörden sind auch nicht ab 25.05.2018 losgezogen und haben Bußgeldbescheide verteilt. Wenn man sich dieses Thema europaweit anguckt, haben 11 Länder bereits Bußgelder mit einer Gesamtsumme von EUR 55.955.871 verhangen.*
Auch wenn es nicht täglich auf Seite 1 der Medien erscheint oder in der Tagesschau gemeldet wird, bleibt Datenschutz natürlich ein Thema. Und jemehr unser (Berufs-) leben digitalisiert wirde, je mehr Daten verarbeitet werden, um so wichtiger wird dieses Thema. 2006 gab es noch Unternehmen, die einen eigenen Prozess "Datenschutz" in ihrem Qualitätsmanagement hatten. Heute ist Datenschutz Bestandteil aller Prozesse.
Nebenbei: Von anderen Bußgeldern gegenüber Unternehmen hört man übrigens auch selten etwas und dennoch gibt es sie, wenn Gesetze und Vorschriften nicht beachtet werden..
* Quelle: European Data Protection Board: First overview on the implementation of the GDPR...)
Datenschutz verbietet alles?
Wir waren auf einer Businessmesse. An sich eine gute Sache, man kommt mit vielen Menschen ins Gespräch, bekommt neue Anregungen und Ideen (und in diesem Fall unbegrenzten Zugang zum Kaffee).
Anstengend ist allerdings, dass nach einem Jahr DSGVO immer noch das Vorurteil herrscht, dass Datenschutz alles verbietet und kompliziert macht. Nachvollziehbar, wenn man sich die Menge an falschen oder unvollständigen Informationen, die seit einem Jahr durch das Netz geistern anguckt. Wenn wir dann sagen, dass das alles gar nicht so kompliziert ist und man vieles pragmatisch und einfach lösen kann, ernten wir erstaunte Blicke.
Doch, Datenschutz kann man auch leicht machen. Unkompliziert und pragmatisch. Ist dann halt weniger Arbeit für interne oder externe Datenschutzbeauftragte, IT-Berater und ähnliche Berufsgruppen. Daran hat vielleicht nicht jeder ein persönliches Interesse, aber wer Datenschutz als Bürokratiemonster aufstellt und es verkompliziert, hat meines Erachtens die DSGVO nicht verstanden. "Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten."
sagt Art. 8 der EU-Grundrechtecharta. Das ist das Ziel der DSGVO und das kann man auch pragmatisch und angemessenem Aufwand erreichen.
DSGVO ist nur Bürokratie
.., sagte ein befreundeter Unternehmer neulich zu mir, und berichtete von seinem Datenschutzbeauftragten, der immer mit Ordnern unter dem Arm zum Termin mit dem Geschäftsführer kommt und will, dass dieser Formulare ausfüllt.
Mir ist es ein Rätsel welche Formulare, Ordner und Bürokratie da künstlich aufgebaut werden. Ziel des Datenschutzes ist es doch nicht sein, noch mehr Daten zu sammeln und Akten anzulegen oder Datenschutz so kompliziert zu machen, dass Unternehmen ihn nicht umsetzen können oder wollen. Hier geht es nicht um Bürokratie, sondern um den Schutz des Grundrechts auf Schutz der personenbezogenen Daten.
Bei einem Online-Shop mit Nutzeranalyse, Bonitätsprüfung, Newsletter und Werbung über soziale Medien, ist da sicherlich viel zu bedenken und auch zu dokumentieren. Im produzierenden Gewerbe ist das allerdings überschaubar. Dort beschränkt sich der Datenschutz fast auf die Personaldaten, neue Technologien zur Verarbeitung personenbezogener Daten halten dort auch nicht ständig Einzug.
Da kann man natürlich monatlich einen Termin mit dem Geschäftsführer machen, damit man wichtig ist (oder noch ein paar Stunden abrechnen kann) oder man läßt die Kirche im Dorf.
(Bild: Kirche in unserem Dorf Hamburg-Moorfleet)
Datenschutz und google analytics
Datenschutzbeauftragte sind in diesen Tagen wieder als Spielverderber unterwegs. Es gibt eine neue Orientierungshilfe der Datenschutzkonferenz, die die Anforderungen an einen datenschutzkonformen Einsatz von Tracking und Analysetools auf Webseiten beschreibt. Kurz: google analytics und Datenschutz passen nicht so wirklich zusammen. Also weißt man als verantwortungsbewußter (externer) Datenschutzbeauftragter die Unternehmen darauf hin und empfiehlt, sich nach Alternativen umzugucken. "Das nutzen doch alle", " Das ist das verbreiteste Tool", " Die Agentur, die unsere Webseite betreut, hat das empfohlen" ,"Aber wir brauchen doch die Daten",... lauten die Reaktionen. Fragt man dann weiter, welcher Zweck genau verfolgt wird und welche Daten genau benötigt werden, lautet die Antwort zumeist "unsere Agentur sagt, man braucht das" oder "wir wollen wissen, wieviele Besucher unsere Seite hat". Es reicht also häufig eine reine Besucherzählung, ohne Analyse des Nutzerverhaltens. Dafür gibt es diverse datenschutzkonforme Tools.
Wie in anderen Bereichen auch, sollte man sich auch bei den vielen hübschen Tools für Internetseiten fragen:
- Welches Ziel will ich erreichen?
- Mit welchem Mittel kann ich mein Ziel erreichen?
Und dann kommen die Fragen nach der datenschutzfreundlichkeit des Mittels/Tools. Nur, weil alle ein Produkt nutzen, muss das nicht das sicherste, beste, einfachste, tollste sein - oder wie wir hier am Deich sagen: "Wenn alle anderen in die Elbe springen, heißt das nicht, dass man das auch tun muss." (Aktuell ist der Sprung in die Dove-Elbe nicht zu empfehlen. Es ist Niedrigwasser und man landet dann nur im Matsch und stört die am Ufer brütenden Enten, Gänse und Schwäne.)
Datenschutz von Überschriftenkennern
Ja, auch Datenschutz gibt es von Überschriften-kennern....Glauben Sie mir, wenn Datenschutz ähnlich wie Fast-Food Bestellungen am Drive-in durchgeführt werden, nämlich immer mit den gleichen Antworten, Textvorlagen und Musterformularen, hätte ich hier einen Drive-in. Doch das geht nicht, denn jedes Unternehmen und jeder Prozess ist anders. Leider beherzigen das nicht alle und so bekommt man immer wieder vollkommen sinnlose Entwürfe zu Verträgen, Datenschutzhinweisen usw. auf den Tisch, in denen jeder Bezug zur eigentlichen Tätigkeit fehlt.
Wenn ich Sie dann bestelle, hab ich mit Datenschutz keinen Aufwand mehr ?
Ein verbreiteter Irrtum. Ich weiß, dass Unternehmen so werben „sorgenfrei mit einem externen Datenschutzbeauftragten. Wir erledigen das für Sie.“ Das ist Blödsinn!
Als externer Datenschutzbeauftragter muss man das Unternehmen zunächst kennenlernen, die Prozesse verstehen und dazu oft auch ins Detail gehen. Das bedeutet natürlich auch Aufwand im Unternehmen. Außerdem ist es auch gar nicht im Sinne der DSGVO, dass das Thema Datenschutz an den Datenschutzbeauftragten ausgelagert wird - ganz im Gegenteil. An vielen Stellen in der DSGVO wird ausdrücklich der Verantwortliche (also i.d.R. die Geschäftsleitung) als handelnde Instanz genannt, z.B. bei der
Datenschutz-Folgenabschätzung.
Der (externe) Datenschutzbeauftragter berät und informiert, aber er entscheidet nicht, er weist nicht an, er verbietet oder untersagt nichts. Das Unternehmen ist in der Pflicht datenschutzkonform zu arbeiten. Ohne die Kommunikation mit der Geschäftsleitung und die Mitarbeit der Leitungsebene kann ein Datenschutzbeauftragter seiner Tätigkeit nicht nachkommen. Kurzum, ein Unternehmen muss sich auch dann mit dem Thema Datenschutz beschäftigten, wenn es einen externen Datenschutzbeauftragten bestellt hat.
Alexa und Datenschutz
"Alexa, kennst Du Datenschutz"
"Ja, natürlich."
"Alexa, wann ist die Verarbeitung von Daten zulässig?"
"Die Rechtmäßigkeit der Verarbeitung ist in Art. 6 DSGVO geregelt. So ist es z.B. zulässig Daten zu verarbeiten, wenn eine Einwilligung vorliegt, es zur Durchführung eines Vertrages notwendig ist, oder ein berechtigtes Interesse besteht."
Dieser Dialog ist fiktiv, denn ich besitze ein Gerät wie Alexa nicht. Aber es hat mich nur wenige Klicks gekostet herauszufinden, wie Amazon Daten von Sprachdiensten nutzt. "Wenn Sie Sprachdienste nutzen, verarbeiten wir Ihre Spracheingabe und andere persönliche Informationen, um auf Ihre Anfragen zu antworten, Ihnen den gewünschten Dienst zu erbringen und die Amazon Services Angebote zu verbessern."
Jetzt mag man streiten, ob man mit der Nutzung des Gerätes schon einwilligt, es um die Vertragserfüllung geht oder um ein berechtigtes Interesse des Herstellers an der Produktverbesserung. Klar ist aber doch, dass es transparent ist, dass Amazon dieser Daten nutzt. Anders als durch eine Übersetzung durch Menschen, kann man einer KI wohl auch kaum beibringen, Sprache zu verstehen.
Wie vermeiden wir die Empörung der letzten Woche? Auch wenn es schwer fällt: Nutzungsbedingungenen, Datenschutzerklärungen etc. muss man lesen und verstehen. Letzteres ist nicht immer einfach, wenn in hübschen Marketingworten erklärt wird, man wolle doch nur Gutes. Ich warte auf die ersten Urteile zu Informationpflichten, den in der DSGVO ist vorgeschrieben, dass diese in einfacher und verständlicher Sprache erfolgen müssen.
Die elektronische Patientenakte
Das Smartphone macht uns gesund?
Nachdem schon vor Jahren - ich meine es war 2006 - die elektonische Gesundheitskarte eingeführt werden sollte, damit wichtige Gesundheitsdaten des Patienten auf dem Kärtchen und für alle Ärzte verfügbar sind. Nun also die nächste Idee mit fixem Termin: 2021 soll die elektronische Patientenakte an den Start gehen. Als Patient soll ich meine Arztbriefe, Verordnungen, Medikamente, etc. jederzeit z.B. auf dem Smartphone einsehen können.
Ziel soll sein die gesundheitliche Versorgung zu verbessern. Ich habe da so meine Zweifel... Das wird doch auch nicht dafür sorgen, dass auf dem Land wieder mehr Hausärzte zur Verfügung stehen oder man schneller einen Facharzttermin erhält. Dafür sorgt es erstmal für Unsicherheit, hinsichtlich des Schutzes der Daten. Wer hat wann Zugriff auf die Daten? Wie ist wirklich sichergestellt, dass in der "Patienten-App" nicht auch Hinweise auftauchen, wie oft ich über die total-ungesundes-essen-lieferdienst-App bestellt habe? Und was ist mit Menschen, die keinen Computer oder Smartphone nutzen? Da sind noch viele Fragen ungeklärt und ich bin gespannt, wie man das bis 2021 lösen will, so dass die Generation Z damit genauso klar kommt, wie der Hundertjährige.
PS: Bucht dann eigentlich das Smartphone selbständig einen Termin beim Orthopäden, wenn ich es zulange genutzt habe und an Nackenschmerzen leide?
10.04.2019
Datenschutz für kleine Unternehmen
Datenschutz fragt nicht nach der Unternehmensgröße, nicht nach dem Umsatz oder Gewinn. Die Anforderungen der DSGVO, dem BDSG und weiteren Vorschriften gelten für alle Unternehmen und z.B. auch für Vereine. Das sorgt seit letztem Jahr für einige Unruhe, allerdings muss man sagen: Das war vorher auch nicht anders. Und wenn jetzt wieder alle schreien: Die Straßenverkehrordnung unterscheidet auch nicht nach Farbe des PKW, Anzahl der Personen im Auto oder Fahrtziel.
Immer wieder hört man auch die Forderung, dass die Grenze ab der ein Datenschutzbeauftragter in Deutschland bestellt werden muss, mit 10 Beschäftigten, zu niedrig sei. Die DSGVO ließe da mehr Spielraum. Aber was würde es ändern, wenn man erst ab 50 oder 100 Beschäftigten einen Datenschutzbeauftragten bestellen müsste? Es gäbe dann zwar keine bestimmte Person mehr, die sich um Datenschutz kümmert, aber das heißt nichts anderes, als dass der Geschäftsführer diese Aufgabe wahrnehmen muss. Auch mit der Konsequenz stets auf dem Laufenden zu bleiben, was angesichts der vielen Unsicherheiten, die knapp ein Jahr nach dem Wirksamwerden der DSGVO noch bestehen, selbst für hauptamtliche Datenschutzbeauftragte eine Herausforderung bleibt.
Pia Kiekenbeck
08.04.2019
Die Frage nach den Kosten
Wenn unser Telefon klingelt und jemand auf der Suche nach einem externen Datenschutzbeauftragten ist, lautet die erste Frage immer "Haben Sie noch Kapazitäten frei?" [Ja, haben wir]
und die zweite Frage: "Was kosten Sie?" [Laut meiner besseren Hälfte bin ich unbezahlbar ;-) ] Im weiteren Gespräch stellt sich heraus, dass das Dilemma die Unübersichtlichkeit der Angebote ist. Auch ich kenne die Super-Schnäppchen-Angebote: Datenschutzbeauftragter für 149,-€ im Monat. Wenn man dann fachkundig ins Kleingedruckte guckt, findet an dort die Einschränkungen wie z.B. "bis zu 20 Beschäftigte und 3 Verfahren". Drei Verfahren?
Welches Unternehmen hat nur drei Verfahren / Prozesse in denen Daten verarbeitet werden? Alleine im Personalbereich sind die Klassiker schon:
- Bewerbungsverfahren
- Einstellung / Anstellungsvertrag / Anmeldung der neuen Mitarbeiterin bei Sozialversicherung, Steuer, usw.
- Personalaktenverwaltung / Personalmanagement
- Zeiterfassung
- Urlaubsplanung
- Lohn- und Gehaltsabrechnung
- betriebliche Altersvorsorge
- BEM-Verfahren
Das sind schon allein 8 Verfahren, ohne das wir uns Dienstleister, Verkauf, oder Marketing angeguckt hätten. Wenn Ihr Unternehmen tatsächlich nur 3 Verfahren hat, sind Sie bei den Schnäppchen-Anbietern sicher gut aufgehoben. Haben Sie mehr, sprechen Sie uns an.
Pia Kiekenbeck
05.04.2019
Gender* sternchen
Das Geschlecht einer Person gehört zweifellos zu den personenbezogenen Daten, hat also auch etwas mit Datenschutz zu tun. Ob aber nun Binnen-I , Gendersternchen oder Stellenausschreibungen mit dem Hinweis w/m/div für mehr Gleichberechtigung sorgen, weiß ich nicht. Tatsächlich gibt es noch soziale Netzwerke und Suchmaschinen, die die weibliche Form einer Berufsbezeichnungen ignorieren. Wenn nach „Datenschutzbeauftragter“ gesucht wird, werden nicht automatisch auch „Datenschutzbeauftragte“ in den Ergebnissen mit aufgeführt. Da aber viel mehr nach männlichen Berufsbezeichnungen gesucht wird - ich habe das nicht nur für Datenschutzbeauftragte sondern auch für andere Berufe über verschiedene Tools analysieren lassen - schreibe ich hier auch vom Datenschutzbeauftragten, denn ich will natürlich auch, dass diese Seite gefunden wird.
Pia Kiekenbeck
15. März 2019
Pia Kiekenbeck
15. März 2019