Wie gesagt ich will gerne über das Thema diskutieren. Eventuell ist es jetzt in den falschen Hals gekommen oder Ka.
Es wird zu dem Thema imho kaum diskutiert weil die Fronten sehr hart sind.
Die Fronten wo genau, hier im Forum, oder meinst du Hardliner, die wirklich auf jeden Pragmatismus verzichten wollen? Ich kann hierzu nur als halber Laie etwas sagen und teilen, was ich selbst bei meinen Arbeitgebern oder bei Kunden beobachten konnte.
Generell scheint fast niemand so wirklich Datenschutz zu verstehen oder verstehen zu wollen, teilweise schon im Wortsinne. Häufig werden irgendwelche Beispiele bei meinen Kunden angeführt, die eigentlich wenig bis nichts mit der DSGVO zu tun haben, sondern andere Baustellen sind. Typisch wäre hierfür das Zusammenwerfen von Arbeitsrecht, Geheimnisschutz, IT-Sicherheit und UWG. Hinzu kommen Missverständnisse aus anderen Rechts- und Firmenbereichen, egal ob jetzt Jugendschutz bei Azubis oder Compliance / Controlling, speziell in größeren Konzernen oder Unternehmen.
Konsequenz ist dann, dass der Datenschutz missverständlich als Ursache verstanden wird. Oder schlimmer, als Ursache verkauft wird und dann als solche über Hörensagen missverstanden wird. Klassiker ist oben beschriebenes UWG, Marketingleute hören es nicht gerne, dass man nicht random an info(at)unternhmen-Adressen oder besser noch direkte Ansprechpartner "Informationen" (Spam) verschicken darf, ohne vorher explizite Erlaubnis einzuholen. Typisch wäre auch alles rund um IT-Sicherheit, speziell Citrix- oder VPN-Dinge, die den 0815-Bearbeiter (verständlicherweise) total nerven. Häufig wird hier von irgendwelchen Halbspezialisten Datensicherheit mit Datenschutz im Sinne der DSGVO zumindest mündlich in einen Topf geworfen und schon hast du wieder eine Halbwahrheit. Aussagen wie "Freitextfelder können missbraucht werden, daher geht das wegen der DSGVO nicht", wären für mich genau diese Kategorie.
Ganz schlimm finde ich, dass Personengruppen, die so eine Halbwahrheit oder Fehlinterpretation verbreiten, es meist eher ein Feigenblatt für Unfähigkeit oder unwillkommene Nachrichten nutzen - es sind dann auch meist Leute, die die Sicherheit verschlimmbessern. Zumindest mein Gefühl dazu, meine aktuelle IT glänzt auch damit. Da werden essentielle Funktionen in Teams / Office / Fachsoftware über Nacht willkürlich deaktiviert und als Begründung die DSGVO genannt. Die User bauen dann Bypass-Lösungen (wie in deinem Beispiel) und du hast statt weniger Angriffsmöglichkeiten plötzlich mehr oder einfach nur andere. Tolle Wurst. Als Nebeneffekt dienen diese Herrschaften extrem effizient als Botschafter der angeblichen DSGVO-Verbote. Häufig lässt die DSGVO alles mögliche zu, solange es eben dokumentiert ist und präventive Risikomaßnahmen beschrieben sind. Nur hat halt irgendwo irgendwer keinen Bock und schiebt das dann ab.
Unter diesem Aspekt begrüße ich die DSGVO, bzw. gut gemachte Awarness und eine entsprechende Firmenkultur, die für die Datensicherheit im größeren Sinne eintritt. Privat bin ich auch eher laissez-faire unterwegs und bilde mir ein die Datenkrake nicht zu krass zu füttern, weil ich die ganz große Riesenbedrohung noch als sehr abstrakt empfinde. Beruflich habe ich aber auch einige Nummern erlebt, die ich mir damals nicht vorstellen konnte, u.a. das Ergebnis von Social Engineering-Attacken, die einmal in einer (erfolgreichen) Ransom-Ware-Attacke endete, einmal in einem ziemlich beeindruckenden Scam mit einem Schaden in höherer sechsstelliger Eurosumme endete. Das werden die Ausnahmen sein (hoffentlich) und mittlerweile haben sich die Maschen eventuell auch ein Stück überlebt. In den expliziten Beispielen wurden da auch eigentlich scheinbar harmlose Daten abgegriffen und genutzt, um später Angriffsvektoren oder Vorlagen für den Scam zu erzeugen. Zugegeben waren die Beispiele schon eher die Ausnahmen und es gehören an dieser Stelle immer zwei dazu, also auch die Naiven bei den Unternehmen. Trotzdem geht es tatsächlich manchmal mit Kleinigkeiten los.
Parallel dazu halt die Beobachtungen beim Verständnis (v.a. digital weniger affiner Personen) von Digitalisierung im Generellen. Völlig unabhängig ob öffentlich (Behörde, KdöR) oder privat (Unternehmen). Technologie ist für diese Gruppe generell blöd, weil es Veränderung bedeutet, die man nicht ständig haben muss, weil Anpassung Energie frisst, oder die eigene Arbeitsweise subjektiv gefühlt in Frage stellen könnte. Zwar möchte man auf der einen Seite weniger nervige Arbeit und gerne auch mehr Digitalisierung - bei anderen, solange es kein Umdenken und erst recht keine Energie braucht. Entsprechend großartig ist es in so einer Kultur Standards für eine Digitalisierung zu schaffen, das geht nur mit der Geschwindigkeit eines Gletschers.
Typisch hierfür sind dann solche Nummern, wie etwa, dass Software nur in einer Abteilung eingeführt wird, von der zweiten dann abgelehnt und von weiter entfernten gar nicht wahrgenommen wird. Ein Ergebnis sind dann Abteilungen mit viel Software im Einsatz, andere Abteilung mit anderer Software und eine dritte hat gar nichts - obwohl alle irgendwie an Prozessen arbeiten, die organisatorische Schnittstelle zu den Nachbarn haben. Über die gegenseitige Arbeitsweise weiß man schon etwas, aber irgendwie dann doch nicht, wenn es das Grobe verlässt. Onboarding von neuen Mitarbeitern oder Wechsel in andere Abteilungen ist eher so mittel für alle Beteiligten. Im kompletten Haus, bzw. den Ebenen eins oder mehr drüber, wird nichts koordiniert, da das Interesse fehlt, oder davon ausgegangen wird, dass die IT- und der DSB das schon irgendwie mal wissen werden. Stattdessen wird alles mögliche geduldet, solange die Zahlen (c) passen und keine hohen Kosten entstehen. Letztlich interessieren ja nur die Zahlen (c), nicht die Qualität dahinter, denn man kann so tun, als ob die Erfüllen der Zahlen(c) bereits die Qualitätssicherung ist. Alternativ wird (Fach)Software eingeführt, unter der Annahme, man müsse nur installieren, dann läuft das. Und dann ist man überrascht, dass es nicht ganz so easy ist.
Wie dem auch sei, setzt man in so einer Ordnung die DSGVO an, dann kann das nur Frust auslösen. Dann ist man ständig bei Kleinstbetrachtungen und braucht einen DSK für jede historisch entstandene Arbeitsweise. Der Auslöser für die Probleme ist nicht (nur) die DSGVO, sondern macht nur das hinterliegende System mit allen Facetten transparent.
Fairerweise muss man sagen, dass die DSGVO da ein guter Ansatzpunkt wäre mal über Standards und einer Reform der eigenen Arbeitsweise nachzudenken wäre. War sie aber nie, es wurde immer "der Schutz der Daten" vorgeschoben, statt es als einen Vorbau zu nutzen. Wie oben angesprochen, die DSGVO war für die Unternehmen und Behörden kein Ding, die vorher schon entsprechende QM-Systeme hatten. Es ist tatsächlich kein Hexenwerk und ich finde es daher auch halb so wild, bzw. sogar gut Energie reinzustecken, wenn man offensichtlich schon Probleme hat die relativ geringen Standards der DSGVO zu erfüllen. Im Vergleich zu TISAX und co. ist die DSGVO machbar.
Um bei deinem Beispiel zu bleiben, wir hatten auch ein Umfrage-Tool bei der Kammer, bzw. halt ein Konferenzsystem (wegen Corona), das auch Umfragen erzeugen konnte. Genutzt wurde das intern und extern für alles mögliche, auch um unter anderem Termine zu vereinbaren oder Feedback einzuholen. Es konnten also auch persönliche Daten (Klarnamen, E-Mails) auftauchen.
Ablauf war in etwa:
- Softwareauswahl auf Abteilungsleiterebene beschlossen
- Auswahl durchgeführt auf Sachbearbeiterebene
- gekauft / installiert durch IT (inkl. Rechtekonzept)
- Beschreibung im QM (Zweck, Wer, Wozu) durch Abteilungsleiter in der Verwaltung, bzw. delegiert an eine seiner Fachkräfte
- DSB hat es automatisch ergänzt (DSK)
- Kommunikation der neuen Software im Leiterkreis / via Info-Mail an Mitarbeiter
Das war es. Umfragen konnte da jeder erstellen, der entsprechende Rechte hatte. War jetzt einmal ein minimaler Aufriss, dann aber auch erledigt. Nebeneffekt ist, dass das im Onboarding auftaucht und im Wissensmanagement verortet ist. Der Ablauf ist nicht wegen der DSGVO so 'aufwändig' gewesen, sondern weil die Kammer durch DIN-ISO und andere Zertifikate das halt so tun muss und war dann eher indirekt DSGVO-konform. Bock hat auf den Verwaltungs'akt' keiner so wirklich, Überforderung oder Abschreckung löst es aber auch nicht aus, insgesamt waren damit iirc sechs Personen über zwei Arbeitswochen "immer mal wieder" beschäftigt. Tagesfüllend war's definitiv für niemanden, bzw. ist auch keine andere Arbeit deswegen liegengeblieben.
Verstehe ehrlich gesagt nicht, warum das bei euch so ein Act ist. Verstehe es aber, wenn du deswegen Frust schiebst. Es ist mir schon klar, dass man so etwas nicht einfach so in einem großen Konzern oder einer Bundesbehörde im Vorbeigehen machen kann. Trotzdem wäre es wichtig und hilfreich. Ich finde es schwierig ständig gegen die DSGVO und einen gefühlten Overhead zu ranten, hinten rum aber auch die Digitalisierung in Deutschland anzuprangen.