Kommentar zur DSGVO: Schluss mit der Zettelwirtschaft!

Ein Kommentar von Oliver Diedrich

Dr. Oliver Diedrich ist seit 2016 stellvertretender Chefredakteur bei iX, dem Heise-Magazin für professionelle IT. Davor schrieb er bei c't und leitete heise open, das Open-Source-Portal auf heise online.

Hat sich Ihre Inbox in den letzten Wochen auch mit Mails gefüllt, in denen Sie neue Nutzungs- und Datenschutzbestimmungen abnicken oder dem Empfang weiterer Mails zustimmen sollen? Das ist der (angesichts einer Vorlaufzeit von zwei Jahren erstaunlich kurze) Schatten, den die europäische Datenschutz-Grundverordnung vorausgeworfen hat. Denn ab dem heutigen Freitag ist sie nun wirksam.

Panik überall

Und die Wirtschaft zittert. Was konnte man in den letzten Wochen nicht alles lesen: Mit der DSGVO kommen auf Unternehmen schier nicht zu bewältigende Dokumentations-, Transparenz- und Informationspflichten zu. Die günstigen Irgendwas-as-a-Service-Anbieter in Übersee sind ab sofort tabu. E-Mail-Marketing wird völlig unmöglich. Kunden und Nutzer dürfen von jetzt auf gleich die Löschung aller ihrer Daten einfordern ("und die Backups?"). Websites müssen seitenlang aufklären und für alles und jedes um Erlaubnis bitten. Und bei Verstößen drohen ruinöse Bußgelder in Millionenhöhe.

Da ist eine Menge Panikmache dabei. Wenn die DSGVO mit Erscheinen dieses Hefts am 25. Mai wirksam wird, setzt sie einige einfache Grundprinzipien um. Dazu gehört die – im deutschen Datenschutz schon lange verankerte – Datensparsamkeit: Unternehmen sollen nur die Daten der Kunden erheben, die zur Erfüllung des Geschäftsverhältnisses tatsächlich nötig sind. Daten sind durch IT-Sicherheitsmaßnahmen vor Missbrauch und Diebstahl zu schützen – das sollte eigentlich eine Selbstverständlichkeit sein. Und Unternehmen müssen wissen, welche Daten wo gespeichert sind und wer zu welchem Zweck darauf zugreifen darf. Das freilich ist ziemlich weit von der Realität vieler Firmen entfernt.

Die DSGVO

Nach zwei Jahren Übergangsfrist trat die DSGVO am 25. Mai in Kraft. Sie soll den Datenschutz in Europa vereinheitlichen und den Kontrolleuren mehr Macht geben. Zuvor hat es noch einmal jede Menge Verunsicherung gegeben.

• DSGVO – Das sollten Sie über die Datenschutz-Grundverordnung wissen
• Fit für die DSGVO (PDF)
• DSGVO: Last-Minute-Hilfe
• Folterfragebogen im Selbsttest
• Analyse zur DSGVO von Peter Schaar: Die notwendige Zumutung Datenschutz
• Kein Privacy-Paradies: Stärken und Schwächen der Datenschutzreform

Das Prinzip Zettelwirtschaft

Hier herrscht nämlich oft noch das Prinzip Zettelwirtschaft. Da liegen die Daten von Online-Kunden im CRM, während telefonische Besteller in einem Excel-Sheet landen – aus Gründen der Bequemlichkeit für alle Mitarbeiter les- und beschreibbar im Intranet. Die Mail-Adressen der Empfänger des Firmen-Newsletters sind in der alten Mailinglisten-Software gespeichert, für die sich niemand mehr zuständig fühlt. Kundenberater führen neben dem CRM Schattenlisten, um die Daten ihrer Kunden jederzeit zur Hand zu haben. Und so weiter und so fort.

Wenn es in Ihrer Firma ähnlich aussieht, dann könnte die DSGVO tatsächlich eine Herausforderung sein. Aber nicht, weil sie Unmögliches verlangt, sondern weil sie dazu zwingt, endlich mal aufzuräumen – und zwar nicht nur im Wohnzimmer, sondern auch im Schuppen hinterm Haus. Was, wenn man ehrlich ist, schon lange mal nötig gewesen wäre.

Die gute Nachricht: Man muss nicht schon am 25. Mai im Schuppen vom Fußboden essen können, um im Bild zu bleiben. Solange nichts Gravierendes passiert, dürfte es den Datenschutzbehörden erst einmal reichen, zu sehen, dass eine Putzkolonne aufgestellt wurde und mit der Arbeit begonnen hat. Dafür allerdings ist es jetzt höchste Eisenbahn. (mho)