Die DSGVO hat für viel Unsicherheit gesorgt – auch deshalb, weil sie einige merkwürdige Lücken lässt, z.B. bei Fragen der Datenschutz-Zertifizierung. Experten wie Dr. Sebastian Kraska haben das früh erkannt und sind mit eigenen Umsetzungen auf den Markt gegangen.
Der Leidensdruck gerade kleiner und mittlerer Unternehmen ist weiterhin groß, berichtet Dr. Kraska im Interview vor Ort in den Räumen der Münchner Kanzlei:
„‚Was muss ich machen, um die DSGVO zu erfüllen? Unterstützen Sie mich, einen roten Faden zu finden in der Vielzahl der Anforderungen?‘ – Das ist eigentlich die häufigst gestellte Frage, die Einstiegsfrage bei Klein wie Groß: ‚Bringen Sie mir den roten Faden in das unüberschaubar dichte Thema!‘“
Die IITR Datenschutz GmbH hat für solche Zwecke Lösungen je nach Umfang der Datenverarbeitungstätigkeiten und Firmengröße im Programm: für kleine Unternehmen, die einen Teil der DSGVO-Arbeit selbst übernehmen können, eine webbasierte Datenschutzplattform mit integriertem E-Learning namens Datenschutz-Kit und für größere Unternehmen das auf den ISO-Normen 27001 (IT-Sicherheit) und 27701 ( Datenschutz-Management) aufbauende Compliance-Kit 2.0, dazu Online-Seminare und DSGVO-Trainings sowie eine Audit-Plattform zum Thema Datenschutz-Zertifizierung.
Hintergrund dieser Kombination ist zum einen die Beobachtung, dass die DSGVO Auftragsverarbeiter und Auftraggeber gemeinsam für haftbar erklärt. Der Bedarf, solche in Zeiten der Digitalisierung unumgänglichen Geschäftsbeziehungen auf eine solide – sprich: zertifizierte – Vertrauensbasis zu stellen, ist entsprechend groß. Grundlage jeder Konformitätsbewertungsaussage sind jedoch belastbare Informationen dazu, wie das jeweilige Unternehmen seine Vorgänge der Datenverarbeitung regelt. Im Idealfall strukturiert und dokumentiert dies ein DSMS (Datenschutz-Managementsystem) wie das Datenschutz- bzw. das Compliance-Kit.
Die grundsätzliche Struktur der DSGVO-Compliance zeichnet Dr. Kraska in Form eines antiken Tempels: Fundament sind immer die Beschäftigten selbst – schließlich sind sie es, die konkret mit Daten umgehen und entsprechend durch Schulungen vorbereitet und sensibilisiert sein sollten. Damit steht und fällt das Hauptgebäude, das drei tragende Säulen hat: das Verzeichnis der Verarbeitungstätigkeiten, die Regelung der Auftragsverarbeiter und last, but noch least die IT-Sicherheit. Das Dach ganz oben bildet schließlich das Datenschutz-Handbuch. Es umfasst Richtlinien und Policies, überhaupt „irgendeine interne Dokumentation“.
Zum Thema DSGVO-Umsetzung hat IITR bereits über 200.000 Schulungen durchgeführt. Einen kleinen Eindruck davon bekommt man bereits, wenn man die Kanzlei betritt. Denn Dr. Kraska ist zugleich Sammler von DSGVO-Cartoons, die Datenschutz-Zwickmühlen prägnant in Szene setzen. Im Auftrag der IITR hat der Münchner Illustrator und Comiczeichner Christoph Schöne sogar eine eigene Kunstfigur geschaffen: „Sir Datelot“ heißt der ebenso humorvolle wie furchtlose Ritter, der bei IITR auch die Abenteuer der Schulungsunterlagen mitmacht.
Mehr Audio und Video zur DSGVO
- Warten und Nichtstun ist nicht mehr opportun (Podcast mit Dr. Kraska, Teil 1)
- Verantwortliche und Auftragnehmer stecken im Haftungsdilemma (Podcast mit Dr. Kraska, Teil 2)
