DSGVO umsetzen! Aber richtig! Das hands-on DSB Programm unter der Lupe.

Die Datenschutzspezialisten Marion Steiner von der IT-Security@Work GmbH (ISW) und Alexander Jaber, Geschäftsführer der J-TEC GmbH haben ihre Expertise gebündelt und gemeinsam ein Schulungsprogramm für Datenschutzbeauftragte entwickelt. Im Januar 2020 startet nun der erste Kurs der hands-on DSB Schulung.

Im Interview erzählen uns die zwei u. a. vom Konzept und den besonderen Vorteilen des neues Schulungsprogramms, ihrer Mission Unternehmen bei der DSGVO konformen Umsetzung eines DSMS zu unterstützen und worauf sie sich hierbei am meisten freuen.

Der Bedarf ist da und das Angebot groß.

Erst ein Viertel der Unternehmen in Deutschland hat die neue Datenschutz-Grundverordnung (DSGVO) bis heute vollständig umgesetzt. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Firmen, die der Digitalverband Bitkom im September 2019 in Berlin vorgestellt hat. Zwar haben zwei Drittel der Unternehmen die neuen Datenschutzregeln größtenteils umgesetzt, aber mehr als die Hälfte (53 %) beklagt fehlende Umsetzungshilfen. Rechtsunsicherheit und schwer abzuschätzender Umsetzungsaufwand stellen für 68 % die größte Herausforderung dar (https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-Unternehmen-DS-GVO-groesstenteils-umgesetzt). Man kann also durchaus sagen, dass viele Unternehmen noch immer nicht DSGVO-konform sind und hier noch Bedarf an „fachkundiger Umsetzung“ besteht.

Frage an die Experten. Wie erklärt ihr euch die die Schwierigkeiten, selbst nach fast 1 ½ Jahren DSGVO?

Alex: Es gibt hier mehrere Faktoren, die das Thema DSGVO beliebig komplex machen können. Das sind zum einen der Umfang der geltenden Gesetzestexte, zum andern der Versuch das Gesetz möglichst an die Systematik eines ISO-Normsystems anzulehnen (was nur bedingt geglückt ist) und zuletzt, eben aus jener Generik entstehend die Unverbindlichkeit, die mit dem „angemessenen“ Umsetzen der DSGVO verbunden ist. Nach wie vor fehlen aber auch an vielen Ecken schlicht verbindliche Aussagen von oberster Stelle, oder aber auch schlicht der Wille zur Mitarbeit von global Playern (Siehe Facebook im Zusammenhang mit Fanpages als gemeinsam Verantwortlicher). Auch, wenn es im Vergleich zum alten BDSG viele Überschneidungen gibt, ist die DSGVO ein junges Gesetz, dass seine Reife und damit auch klarere Aussagen zu Umsetzung und Umsetzungstiefe erst mit der Zeit erlangen wird, wenn entsprechend damit „gelebt“ wurde.

Es bleibt akut häufig noch den Umsetzenden überlassen, die Regularien auch im Gesamtzusammenhang mit weiter geltenden Gesetzen zu interpretieren. Dies wird sich aber mit der Zeit und weiteren EUGh-Urteilen weiter legen.

Marion: Ich denke, eine weitere Problematik besteht darin, dass durch die Nachfrage an Unterstützung die Preise für externe Berater stark gestiegen sind, und viele Unternehmen nicht in der Lage sind, diese Preise für eine kontinuierliche Begleitung zu bezahlen. Gleichzeitig haben die Unternehmen aber auch keine eigenen Mitarbeiter, die diese Themen wirklich umsetzen können. Da spielen dann wieder die von Alex genannten Themen rein, ebenso aber auch die Verunsicherung, weil teilweise selbst die Aufsichtsbehörden scheinbar widersprüchliche Aussagen treffen. Oder in den Medien und im Internet Auslegungen publiziert werden, die in der Praxis einfach nicht umsetzbar sind und insbesondere auch am Ziel des Datenschutzes vorbei gehen.

Möglichkeiten sich zum Datenschutzbeauftragten ausbilden zu lassen, gibt es einige. Ungefähr 489.000 Ergebnisse (0,40 Sekunden) spuckt eine große Internet-Suchmaschine aktuell auf die Frage nach einer Schulung zum Datenschutzbeauftragten aus. Ob Vor-Ort-Seminar oder Online-Kurs, für die ganz Fixen sogar in 48 Stunden, die Auswahl im Teich der Schulungsanbieter ist groß. Und auf den ersten Blick sehen die meisten für den Laien erstmal ganz vernünftig aus. Alex/Marion, ihr habt langjährige Datenschutz-Erfahrung aus der Praxis. Wie seht ihr das?

Alex: Mit Schulungen ist es wie mit Handwerkern. Man ordert, sobald man eine gute Firma gefunden hat, diese immer wieder gerne. Kommt dann aber die falsche Person, kann das Ergebnis ganz anders als erwartet ausfallen. Ähnlich auch bei Schulungen. Neben der Grundausrichtung der Schulung ist auch immer der Trainer ein wichtiger Teil. Gerade im Rahmen der DSGVO ist es in meinen Augen wichtig, dass schon während der Schulung mit vielen Beispielen praktische Erfahrung vermittelt wird. Ein rein auf Theorie ausgebildeter DSB wird sich mit all den Spielweisen der DSGVO schnell weh tun. Spätestens, wenn er auch an die technischen Ebenen des Datenschutzes herantreten und diese bewerten darf.

Marion: Ich habe selber häufig festgestellt, dass ich nach Schulungen oder Veranstaltungen zum Datenschutz enttäuscht war, dass ich nur Theorie erzählt bekommen habe, damit aber der Lösung meines praktischen Problem nicht näher gekommen bin. Und gleiches habe ich auch von Kunden gehört, die eine Schulung gemacht haben, dann aber in der Praxis die Sicherheit fehlt, wie Dinge anzugehen sind. Wie detailliert muss ein Verfahrensverzeichnis denn nun sein? Wie gehe ich mit Mitarbeitern um, die Verpflichtungserklärungen nicht unterschreiben wollen. Das sind nur zwei Beispiele, wo Theorie allein nicht reicht. Ich stimme daher zu, es gibt viele Schulungen, die auch sicher gut sind. Die aber in meinen Augen hält einen wichtigen Aspekt nicht beinhalten: die praktische Umsetzung.

Jetzt habt ihr eure Expertise gebündelt und gemeinsam ein Schulungsprogramm entwickelt. Hands-on DSB geht im Januar an den Start. Was unterscheidet das hands-on DSB Programm von anderen Schulungsprogrammen?

Alex: Wie schon gesagt macht die praktische Erfahrung viel aus. Deshalb war unser Ansatz der, viel mehr auf praktische Anteile in der Schulung zu setzen und dabei nicht immer wieder die gleichen Fallbeispiele zu nutzen, sondern direkt mit den Teilnehmern ins kalte Wasser zu springen und mit Ihnen das eigene Unternehmen zu bearbeiten. So können gleich neben den Basics auch ein paar tiefergehende Problematiken angegangen werden und der Benefit für Unternehmen verbessert sich, da die künftigen DSBs garnicht wirklich auf einer Schulung sind, sondern schon direkt anfangen, die Anforderungen der DSGVO im eigenen Unternehmen umzusetzen. Zunächst mit Stützrädern durch uns Trainer, später dann immer freier, aber mit der Möglichkeit, uns auch jederzeit zu kontaktieren, oder in einer der Traineegruppen ihre Fragen zu stellen.

Marion: Genau. Im Grunde bekommt man damit bei hands-on DSB gleich drei Dinge auf einmal: die Fachkunde für den Schulungsteilnehmer, die erste Umsetzung zur DSGVO, bzw. ein Update der bisherigen, sowie Beratung durch die Kursleiter, die den Teilnehmer bei den ersten Schritten der Umsetzung begleiten.

Von Machern für Macher. Eben hands-on DSB! Kurz und knapp: Wie würdet ihr die “benefits” von hands-on DSB zusammenfassen?

Alex/Marion: Mehr Praxis, mehr Know-How, mehr hands-on eben 😉

Wir erleben euch hier ganz begeistert. Was ist worauf ihr euch am meisten freut?

Alex: Immer und in jeder Schulung ist das, was mich am meisten begeistert, in den Trainees das Leuchten der kindlichen Neugier in die Augen zu zaubern. Der Plötzliche Wunsch in den Trainees das geschulte Thema zu durchdringen und mit Spaß an der Sache zu erleben gibt mir immer einen unbändigen Auftrieb.

Marion: Und das Aha-Erlebnis, wenn die Leute feststellen, dass das Thema gar nicht so schwer ist. Und sie sich mit ein paar Tricks auch nicht zur Spaßbremse machen, mit der keiner was zu tun haben will, sondern sogar als Unterstützer der Fachbereiche gesehen werden.

Marion, Alex, vielen Dank für das Gespräch.