AllgemeinesUncategorized

KISS oder Weniger ist mehr

KISS als Prinzip im Datenschutz

Für die schnelle Umsetzung kann KISS als Prinzip im Datenschutz helfen.

KISS ist ein aus dem amerikanischen Marketing stammendes Prinzip: keep it simple stupid!

Im Moment wird überall die große Panikmache verbreitet, wie schwierig das Thema Datenschutz zu handhaben sei und das es gerade für kleine Unternehmen gar nicht mehr möglich sei, rechtzeitig zum 25.05.2018 für die DS GVO bereit zu sein.

Das ist aber nur eingeschränkt richtig! Selbstverständlich ist umfassende Datenschutz-Compliance bis zu diesem Termin kaum noch zu schaffen, wenn man alles perfekt haben will.

Vorgeschrieben nur das “WAS”

Aber die DS GVO schreibt in vielen Bereichen nur das “Was” vor, also was man haben muss. Das “Wie” jedoch wird nicht vorgesschrieben. Es ist also völlig offen, wie beispielsweise einzelne Dokumente konkret aussehen müssen.

Außerdem ist bei vielen Punkten noch überhaupt nicht klar, wie sie denn genau zu erfüllen sind. Auch bei den Datenschutzbehörden herrscht vielfach noch Unklarheit.

Man kann also entweder versuchen, bis zum Stichtag einen der vielen verschiedenen Standards zum Datenschutz zu erfüllen. Dies wird jedoch nur noch gelingen, wenn man sich ab sofort nahezu ausschließlich nur noch um den Datenschutz kümmert.

Unklarheiten nutzen

Oder aber man macht sich die Offenheit und die bestehenden Unklarheiten zu nutze!

Dann kann man die meisten Dinge erst einmal ganz grob erledigen.

Ein Datenschutzkonzept muss nicht in die Tiefe gehen. Es kann vielmehr sehr allgemein gehalten werden.

Das Verzeichnis der Verarbeitungstätigkeiten kann zunächst einmal nur die Pflichtangaben enthalten und Prozesse ganz allgemein beschreiben. Zum Beispiel besteht der Prozess “Vermietung” sicherlich aus einer Vielzahl einzelner Prozesse wie “Abschluss des Mietvertrages”, “Verwaltung des Mietvertrages” und “Beendigung und Abwicklung des Mietverhältnisses”. Und diese bestehen möglicherweise wiederum aus verschiedenen Prozessen. An keiner Stelle ist vorgeschrieben, wie weit in die Tiefe das Verzeichnis der Verarbeitungstätigkeiten gehen muss. Zu Beginn kann man also im Beispiel allein den Prozess “Vermietung” in das Verzeichnis übernehmen und zu diesem die erforderlichen Angaben dokumentieren.

Datenschutz als KVP

Wenn die Aufsichtsbehörde das später für ungenügend halten sollte, kann man darauf hinweisen, dass Datenschutz künftig ein kontinuierlicher Verbesserungsprozess (KVP) sein soll. Deshalb muss er am Anfang noch nicht perfekt sein. Er wird vielmehr nie perfekt sein, sondern es wird immer wieder Verbesserungsmöglichkeiten geben und geben müssen.

Also nicht abschrecken lassen, sondern erst einmal grob umsetzen und das und die Verbesserungsabsicht dokumentieren!

 

 

Schreibe einen Kommentar