Kaizen 2 go 104 : DSGVO-Prozesse


 

Inhalt der Episode

  • Was ist die DSGVO? Was verändert sich im Datenschutz?
  • Was haben Geschäftsprozesse mit der DSGVO zu tun?
  • Welchen Vorteil hat es, wenn man den Umgang mit personenbezogenen Daten ins Prozessmanagement integriert?
  • Welche Aspekte der DSGVO lassen sich mit geeigneten Prozessen abdecken?
  • Was machen Unternehmen, die noch kein Prozessmanagement haben bzw. leben?

Notizen zur Episode


Mitmachen?

Wenn Sie selbst ein interessantes Thema für eine Episode im Umfeld von Geschäftsprozessen haben, können Sie mir das auf dieser Seite mit Vorbereitungsfragen vorschlagen.

Ich freue mich darauf!

Ihnen hat der Inhalt gefallen? Dann bewerten Sie die Episode bitte bei iTunes.
Jetzt eintragen und Artikel zukünftig per eMail erhalten.

(Teil)automatisiertes Transkript

Episode 104 – DSGVO-Prozesse

Herzlich willkommen zu dem Podcast für Lean Interessierte, die in ihren Organisationen die kontinuierliche Verbesserung der Geschäftsprozesse und Abläufe anstreben, um Nutzen zu steigern, Ressourcen-Verbrauch zu reduzieren und damit Freiräume für echte Wertschöpfung zu schaffen. Für mehr Erfolg durch Kunden- und Mitarbeiterzufriedenheit, höhere Produktivität durch mehr Effektivität und Effizienz. An den Maschinen, im Außendienst, in den Büros bis zur Chefetage.

Götz Müller: Heute habe ich Artur Habel bei mir Podcast-Gespräch. Artur Habel, einer der Gründer der agentbase, die sich mit der Automatisierung und Digitalisierung von Geschäftsprozessen beschäftigt. Hallo, Herr Habel.

Artur Habel: Hallo, Herr Müller. Ja, schönen Abend und danke für das Gespräch. Ein paar Worte zu mir selber … Ich bin mittlerweile, wie ich feststelle, ja doch zweieinhalb Jahrzehnte in dem Geschäft, erklärungswürdige Software zu verkaufen. Bei uns im Unternehmen bin ich zuständig eben für die Neugewinnung von Kunden und die Pflege der bisherigen. Ich habe mal die Idee gehabt, mit einem Kollegen die agentbase bis zu gründen, damals noch zu einer anderen Idee und 2011 haben wir die sozusagen neu organisiert und konzentrieren wieder uns auf das was wir eigentlich seit zweieinhalb Jahrzehnten am besten können: nämlich wirklich Prozesse angehen und aus dem Prozessen unserer Kunden IT-Lösungen zu bauen. Das ist so unser Schwerpunkt.

Götz Müller: So, jetzt bin ich auf Sie gestoßen über einen langen umfangreichen XING-Beitrag von ihnen ….

Artur Habel: Doch so lang? Ok.

Götz Müller: Ja, ich fand schon im Vergleich zu anderen … mit dem Schwerpunkt DSGVO, also die Datenschutzgrundverordnung, die neben so dem allgemeinen Digitalisierungsthema, glaube ich, gerade ziemlich präsent ist, sagen wir mal, auf den einschlägigen Plattformen. Jetzt vielleicht an der Stelle müssen wir, glaube ich, weil wir ja auch mit Rechtsgeschichten das ein oder andere sagen … also, was wir jetzt hier diskutieren, für alle Zuhörer: Es handelt sich hier nicht um Rechtsberatung. Da darf man sich dann natürlich gerne an seinen Anwalt wenden, wenn man das möchte. Aber jetzt glaube ich durch ihren längeren Artikel habe ich definitiv rausgehört, dass Sie da gewisse Kenntnisse haben und deshalb zum Einstieg für die wenigen, die es vielleicht nicht mitgekriegt haben: Was ist denn die DSGVO und was wird sich da verändern?

Artur Habel: Mache ich gerne, ja. Noch mal ganz kurz zum Thema Rechtsberatung. Anwalt ist das eine. Datenschutzbeauftragte, die sowas als Dienstleistung anbieten sind tatsächlich ein anderer Ansprechpartner und die machen das sehr gut und werden im Moment allerdings mit Anfragen überhäuft. Also nicht nur Anwälte, sondern auch Datenschutzbeauftragte. Ja, um was geht's jetzt? Eigentlich geht's um ein altes und ein neues Thema. Es geht um personenbezogene Daten, die eine natürliche Person, also Herr Müller, Sie und ich, einfach besser unter Kontrolle bekommen sollen. Ich möchte da einfach wissen, welcher Anbieter nutzt denn meine Daten. Wie nutzt der sie und gegebenenfalls will ich mir dann auch anzeigen lassen, was er damit macht beziehungsweise, welche Daten er von mir hat. Das soll in Europa einheitlich geregelt werden und was spannend ist, eigentlich haben wir das schon seit 2016 auf dem Bildschirm. 25.-26. Mai 2016, allerdings mit der Übergangsfrist. Nur dieses Jahr am 25. Mai 2018 schaltet diese Europäische Datenschutzgrundverordnung scharf und was sie diesmal macht und was auch diesmal alle so ein bisschen erzählen, jetzt werden tatsächlich auch Behörden, wahrscheinlich auch Anwälte und so weiter werden sich da wirklich reinknien, weil jetzt geht's wirklich ein bisschen ans Eingemachte, denn jetzt geht's nicht um die personenbezogenen Daten, die ich bisher im Innenverhältnis eines Unternehmens hatte, wenn ich mit meinen Mitarbeiterinnen und Mitarbeitern, sondern jetzt geht um die personenbezogene Daten im Außenverhältnis, also mit uns beiden als Kunden und unseren Kundendaten.

Götz Müller: So. Jetzt habe ich da definitiv rausgehört, um das Thema Datenschutz kommt man nicht drumrum. Die zweite Sache, um die man im Grunde nicht drumrum kommt, selbst wenn man es so nicht bewusst auf dem Schirm hat … Ähnlich wie Kommunikation und Verhalten, man kann es nicht nicht haben, genauso ist es ja mit Geschäftsprozessen. Das heißt, selbst wenn ich nicht so denke, habe ich sie trotzdem und dann, glaube ich, ist es sinnvoll zum Einstieg die Frage zu stellen: Okay, was haben die Geschäftsprozesse mit der DSGVO zu tun?

Artur Habel: Da muss man jetzt einen ganzen ganzen langen Bogen betreiben, aber eigentlich kann man das ganz kurz fassen. Die Datenschutzgrundverordnung hat ne Menge an Regeln, die man einhalten muss. Jetzt kann man die Regeln in Papier fassen beziehungsweise sie sind schon vorgegeben im Papier. Ich muss sie übersetzen für meinen eigenen Unternehmensgebrauch. Gut, das packe ich eine PDF-Datei, schule ich meine Kolleginnen und Kollegen, Mitarbeiterinnen und Mitarbeiter und fertig ist. Dann sitzen die allerdings im Falle eines Falles, beispielsweise Auskunftspflicht, da und blättern dann in ihren Regeln und sagen sich: „Oh Mann, was muss ich denn jetzt tun?“ Und schon ist mal bei Prozessen. Ganz rein manuell. Es geht einfach nur darum. Kunde kommt mit nach Auskunftfrage, die da heißt: „Herr Müller, ich bin der Herr Habel, was haben Sie denn von mir für Daten bei sich im Unternehmen gespeichert und wie? Und wie ist ihr angemessener Umgang damit?“ Ich bringe jetzt schon ein bisschen das Wording mit rein, wie die Datenschutzgrundverordnung zum Teil klingt. Ja, was ist angemessen? Aber hinter all dem stecken Abläufe. Abläufe, Prozesse, Workflows. Da bin ich schon mittendrin.

Götz Müller: Gut, und was würden Sie sagen, was hat es jetzt für einen Vorteil, wenn ich den Umgang mit personenbezogenen Daten in meinen Prozessmanagement, sofern ich es dann hoffentlich habe oder haben sollte, wenn ich das da reinintegriere?

Artur Habel: Die Frage ist interessant formuliert, weil sie sozusagen meine Gedankenwelt auf den Kopf stellt. Ich versuch's deswegen auch mal, mich selber aber auf den Kopf zu stellen. Ich sag mal, alles was mit Stammdaten zu tun hat, das sind personenbezogene Daten auch, sollten im Unternehmen immer dann erstellt werden, geändert werden, gelöscht werden, indem man sie wirklich einem Prozess unterlegt. Was ist für mich ein Prozess? Ein Prozess ist für mich etwas … dass ich einen Ablauf habe, dass ich im Unternehmen genau weiß, wie gehe ich mit dem erstanlegen eines Datums um, eben personenbezogene Daten? Wie gehe ich mit Änderungswünschen um? Wie gehe ich mit dem Wunsch nach Löschen um? Weil: Ein Prozess soll mir darstellen, wer hat wann was gemacht? Ich möchte das jetzt transparent haben, ich möchte wissen, wen ich involvieren muss und ich möchte am Schluss das Ergebnis sehen. Deswegen ist das Anfassen der Datenschutzgrundverordnung im Zusammenhang meiner Prozesse genauso wichtig wie alles andere.

Götz Müller: Wenn man jetzt mal reinschaut in die Datenschutzgrundverordnung – Klammer auf – wobei ich vermute, dass es kaum jemand gemacht hat und immer nur die diversen Artikel liest, die eben durchs Internet geistern. Welche Aspekte der Datenschutzgrundverordnung sind es denn, die man mit geeigneten Prozessen abdecken kann? Oder ich schieb mal die Frage nach, weil ich ja vermute, in der Datenschutzgundverordnung steht nicht drin, dass man Daten erfasst, sondern da steht ja drin, wie ich mit den erfassten Daten umgehen soll. Ganz einfach ausgedrückt.

Artur Habel: Die Datenschutzgrundverordnung sagt schon ganz genau, was ich mit meinen Daten auch machen soll und vor allem sagt die Datenschutzgrundverordnung, auch ganz genau, was ich denn machen soll, wenn beispielsweise ein Kunde auf mich zukommt und sagt zu mir: „Herr Habel, ich möchte wissen, was sie mit meinen Daten gemacht haben.“ Die Datenschutzgrundverordnung hat für mich fünf schwere Bereiche. Und so sollte man es sich eigentlich auch mal anschauen. Ich möchte bloß ein kleinen Ausflug machen zur ihrer Aussage, es hat sich noch keiner gesehen. Das stimmt so leider, oder Gott sei Dank, Gott sei Dank muss ich sagen, nicht leider, Gott sei Dank nicht. Leider muss ich deshalb sagen, es sind nur 50%. Die anderen 50% sind tatsächlich in einem Status, dass ich wirklich sagen muss … Man fängt jetzt im März mal März an, einen Datenschutzbeauftragten zu sich einzuladen, oder ein Anwalt, und sich zu erklären zu lassen, was denn die DSGVO macht. Die anderen sagen, ja, da ist was, da müssen wir langsam was tun und kommen dann auf mich zu und wenn ich dann sage „Ja, mit haben sie denn angefangen?“: „Ja, Herr Habel, mit ihrer Einladung jetzt.“ und wir reden jetzt von einem Zeitraum, sagen wir mal, ab 2. Januar diesen Jahres. Ich muss aber auch zugeben, dass sie großen, müssen jetzt unbedingt die ganz großen, Versicherungen, Banken und Industrien sein, es ist also industrieunabhängig übrigens, da muss man trotzdem sagen, die sind gut fortgeschritten und die sind auch gut drauf und haben auch ihre Lösung. Aber der ganze Mittelstand, den wir mit, sagen wir mal mit 100.000 Unternehmen bezeichnen, die ganzen KMU-Unternehmen, klein-mittlere Unternehmen, verzeihen mir jetzt alle, die mir zuhören, aber Halleluja, da wird noch was auf uns zukommen. Also, ich glaube auch erst, dass am 26.Mai, also einen Tag nach dem schweren Datum, da kommen die meisten Anfragen. So jetzt aber zurück. Datenschutzgrundverordnung ist erstmal eine Tatsache … damit, dass ich tatsächlich mich damit beschäftigen muss, ich kann das subsumieren indem ich mir helfen hasse, aber da muss ich mir ganz klar überlegen, was für Werte werden da drin abgefragt, welche Normen müssen verwendet werden und welche Maßnahmen leiten wir ab? Und die Maßnahmen muss ich priorisieren und ich muss sie vor allem ergreifen. Und eine der ersten Maßnahmen, die ich machen muss, ist wirklich: Wo stehen denn bitte meine personenbezogenen Daten? Intern wie extern. Und das ist spannend. Bei kleinen Unternehmen vielleicht 3-4 Datentöpfe. Bei mittleren Unternehmen schon eine Null hintendran: 30-40 Datentöpfe. Bei den großen Unternehmen wage ich schon gar keine Prognose. Dann muss man sich wirklich … Security ist dann der nächste Punkt, also Sicherheit … wirklich Gedanken machen: Wer darf auf die Daten zugreifen? Vertraulichkeit ist das Thema, Schutz der Sicherheitsist das Thema und dann kommt wirklich das Wort angemessene Verwendung. Es ist also wirklich so, dass die Datenschutzgrundverordnung ganz klar sagt: Erklärt uns doch mal bitte, warum ihr die Daten wie verwendet. Wow.

Götz Müller: Ja, so ein kurzer Ausflug vielleicht mal, mir ging dann auch heute mal durch den Kopf, weil ich bei einem Kunden waren und da ein paar Mitarbeiter saßen und da hatte ich das so sein Firmenhandy oder Smartphone und sein privates Smartphone, ich vermute mal ganz stark, dass auf dem privaten Smartphone sich auch der ein oder andere geschäftliche Kontakt findet. Und da habe ich mich dann gefragt: was ich jetzt mit den Daten eigentlich? Ich meine, das müssen wir nicht weiter vertiefen, aber ich könnte mir vorstellen, dass das auch schon mal eine spannende Frage ist, wo dann die Unternehmen eher vielleicht gar nicht wissen, was da passiert.

Artur Habel: Also, Nichtwissen schützt nicht vor Verurteilung. Das ist aber noch ein heißes Thema, was für Strafen jetzt angedroht werden mit der Datenschutzgrundverordnung. Das ist ein heißes Thema. Das haben wir auch. Ich glaube es mal aus dem Nähkästchen, was wir für eine Diskussion haben. Ich habe, ich sage jetzt mal, eine Newsletter-Liste von, ich sage mal, ein paar hundert, egal wie die Zeit wirklich ist. Dann sage ich also meinem Datenschutzbeauftragten: „Wie muss ich jetzt damit umgehen?“ Das hat sagt er: „Ja, da müssen Sie jetzt wirklich jeden Einzelnen wirklich anfragen und der muss aktiv genehmigen, dass Sie ihn weiterhin informieren dürfen.“

Götz Müller: Selbst, wenn ich das in der Vergangenheit schon hatte?

Artur Habel: Ja. Da wird’s spannend. Ich bin noch nicht ganz sicher, ob das jetzt die individuelle Interpretation unseres Datenschutzbeauftragten ist, aber er sagt für die neuen Kontakte definitiv. So was machen wir jetzt mit unseren Handys und Notebooks? Ganz schwieriges Thema. Aber, ich will damit, und damit komme ich eigentlich zum vierten Punkt der Bereiche der Datenschutzgrundverordnung. Das ist nämlich, ich muss das meinen Kolleginnen und Kollegen kommunizieren. Das heißt, ich muss den Mitarbeiterinnen und Mitarbeitern wirklich sagen: „Hier, Leute. Da gibt's Regeln, da gibt’s Risiken und dazugehörige Auswirkung, das müsst ihr wissen. Und jetzt kommen wir zum fünften Bereich. Dann sagen wir natürlich die Menschen zurecht, das kann ich mir doch alles mit merken. Dann sagen wir also agentbase: Dann drück auf den großen Knopf DSGVO-Prozesse und dann startet unsere Lösung, so jetzt habe ich den großen Bogen blitzschnell zu unserer Lösung gespannt. Nein, also der fünfte Bereich ist wirklich die Prozesse. Was für Einflüsse hat die Datenschutzgrundverordnung auf die vorhandenen Prozesse? Theoretisch sollten nämlich die Prozesse für die personenbezogenen Daten der Mitarbeiter ja schon existieren – Klammer auf – hat sich keiner drum gekümmert die letzten acht bis zehn Jahre – Klammer zu – ganz trauriges Thema. Wirklich keiner. Also schwarz-weiß ne, also 10 % vielleicht. Und dann gibt's natürlich neue Prozesse. Die neuen Prozesse sind auch spannend. Die gehen also wirklich einfach dahin, das man sagt, ich muss was melden und benachrichtigen im Katastrophenfall, ich muss darauf reagieren können, dass jemand sagt „Ich möchte Auskunft haben, wie schauen meine Daten aus bei euch, liebe agentbase?“ Ich möchte es berichtigen, dass sie sage, ich habe geheiratet, einen neuen Namen angenommen, also Klassiker, ne. Ich möchte auch einfach meine Daten löschen lassen. Dafür habe ich ein Recht. Datenübertragbarkeit, das ist wieder so ein komplizierter Begriff. Da hat man erst ursprünglich gedacht, das sind so die Facebook und Googles diese Welt. Also dass ich bei Facebook sagen kann: „Lösch mal meine Daten, ich möchte es aber vorher itlesbarer Form haben, weil ich will jetzt in Zukunft mit linkedin probieren.“ Geht einfach auch nur darum, dass selbst wir, wenn es einer anfragt, die Daten in itlesbarer Form bringen müssen. Jetzt wird es nur spannend in was für einer Form. Wir sind momentan gerade am diskutieren bei uns, wir werden es in einem Jason-Format liefern, das ist ein schönes Format, was ich schon per E-Mail weiterleiten kann. Jetzt sind wir heute schon auf der Diskussion das wir sagen „E-Mail? Oh Gott, E-Mail ist ja nicht sicher. Da darf ich die Daten ja gar nicht versenden.“ Also das ist zum Beispiel noch ein offener Punkt, den wir jetzt noch mal mit dem Datenschutzbeauftragten klären müssen. So und das letzte ist Widerspruchsrecht. Ich kann also auch der Verwendung widersprechen. Das sind so sechs Bereiche, sechs Anwendungen, für die wir gesagt haben, weil wir es selber benötigen. Wir sind ja eine Digitalisierungscompany für Prozesse. Dann haben wir uns gesagt, den Button dem bauen wir selber, dass wir einfach draufdrücken und sagen „Also, wenn da jemand sagt, er möchte sein Datum gelöscht haben, dann sagen wir einfach, okay zack, Button drücken, d en Anwendungsfall löschen, aktivieren und dann sag mir das System einfach okay, was hast du zu tun, lieber Artur Habel, um ein Datum zu löschen von personenbezogenen Daten. Das weiß das System. Das System kennt die Rollen, die da involviert werden müssen, das System kennt den Prozess. Das System kennt vor allem die Fristen, die eingehalten werden müssen und kümmert sich darum und sagt dann am Schluss auch: Transparenz haben wir geschaffen und wir haben's dokumentiert, was wir getan haben und haben damit einen wahnsinnig wichtigen Teil der Datenschutzgrundverordnung erledigt. Transparenz schaffen, dokumentieren und halt einfach die Regeln eingehalten, die Rollenkonzepte eingehalten und so weiter.

Götz Müller: Da ist mir jetzt gerade ein Punkt eingefallen, da werde ich Sie nachher noch kurz fragen, jetzt aber vielleicht, bevor wir dann auf die konkrete Lösung überleiten, zum Einstieg aber noch die Frage: Was machen jetzt all die, die eben noch gar nicht in Prozessen, in Geschäftsprozessen und Prozessmanagement denken.

Artur Habel: Oh, da machen Sie jetzt aber eine Aussage, die finde ich spannend. Kann jemand nicht in Prozessen denken? Ich denke nein.

Götz Müller: Also aus meinem Beraterleben würde ich sagen … ja, geht schon.

Artur Habel: Naja, gut, ich erlebe ja selber auch in Beratungsgesprächen, das Unternehmen sagen: „Okay, wir möchten von einer hierarchischen Organisation zu einer prozessorientierten Organisation. Da bin ich wieder bei Ihnen, da haben Sie recht, vollkommen. Ansonsten bin ich nämlich schon der Meinung, spätestens wenn ein Unternehmen drüber nachdenkt „Womit verdiene ich mein Geld?“, denke ich eigentlich schon, dass Unternehmen prozessorientiert denken. Ich habe mal mit Kiki-Lego-Bausteinen versucht in einem Video, aber das Video habe ich dann nie veröffentlichen lassen, weil es mir doch ein bisschen zu albern und kindisch war, mal versucht zu erläutern, was denn Prozessmanagement ist und ich erwähne es deshalb, weil spätestens dann war klar, Prozessdenken muss man eigentlich drauf haben. Ich habe nämlich versucht darzustellen. Es kommt links was rein, es verändert sich in meinem Unternehmen und kommt rechts raus in der geänderten Form. Das kann eine Dienstleistung sein, das kann ein Produkt sein, was auch immer. Und der Weg von links nach rechts ist eigentlich immer ein Prozess. Spätestens bei Fertigungsprozessen und selbst einen Artikel schreiben, würde ich mal sagen ist eine Anreihung von einigen Tätigkeiten, die schon sehr prozessnah sind und spätestens, wenn ich eine Vieraugenkontrolle habe, von meinem Chef, der noch mal meinen Artikel durchliest. Also egal, wie es anfasse, ich denke immer in Prozessen. So, was mache ich jetzt mit dem Unternehmen, das die Prozessdenke nicht hat, spätestens mit der Datenschutzgrundverordnung ist jeder drin. Ich will es nicht ins Lächerliche ziehen.

Götz Müller: Der Gedanke, den ich hatte, das, was ich vorhin andeuten wollte … Ich denke jedes Unternehmen hat Geschäftsprozesse, es ist nur eine ganz andere Sache, ob ich das auch so bewusst wahrnehme, eben so wie wir zwei jetzt miteinander kommunizieren haben wir die Kommunikation, selbst wenn ich jetzt still bin und Sie auch still wären, dann haben wir trotzdem noch eine Kommunikation. Nämlich keine Kommunikation. Jetzt, wenn es nur auf Audio basiert ist es ein bisschen etwas anderes, aber angenommen wir würden uns Auge in Auge gegenüberstehen und ich rede nicht mehr mit ihnen, sondern ich gucke weg, auch dann kommuniziere ich ja etwas, nach Watzlawick und so weiter. Und da sage ich eben, im Grunde ist das mit Prozessen genauso. Das heißt, ob ich drüber nachdenke oder so nenne oder nicht, ich habe es trotzdem, aber ich glaube eben schon, dass ich mich schwer schwerer tue, wenn ich das nicht so benenne.

Artur Habel: Bin ich voll bei Ihnen. Ich bin jetzt natürlich ein Freund von Automatisierung von Prozessen, also das Gießen in IT-Lösungen. Ich freue mich aber schon über Unternehmen, die einfach sich hinstellen und sagen „Okay wir haben es verstanden, wissen noch nicht was Prozesse sind, aber wir gehen es bei uns in Unternehmen mal an.“ Und dann bin ich tatsächlich einer der sagt „Schaut mal wirklich, wie verdient ihr euer Geld.“ Spätestens dann habe ich schon mal einen der wichtigsten Prozesse und dann kommt automatisch alles andere. Ein Liebling von mir ist Anfrage eines Kunden. Das kann ein Änderungswunsch sein, das kann Erstanfrage sein „Herr habel, was ist denn dieses DSGVO? Schicken Sie mir mal ein bisschen mehr Material.“ und schon stecke ich in Prozessen. Das ist dann im [20:58]-Prozess, etc. pp. Ich bin schon froh, wenn die Unternehmen anfangen, ihre Prozesse mal anzufassen, egal wie sie es dokumentieren. Von mir aus mit diesen ganzen Haftnotizen an der großen Wand. Wir müssen nicht über Vorteile und Nachteile von sich Methoden reden. Der nächste Schritt ist vielleicht dann, tatsächlich Tools zu nutzen, was ich immer beklage ist, das dann die meisten Unternehmen aufhören und das merkt man jetzt bei der Datenschutzgrundverordnung auch. Es wird dokumentiert, es wird in Papier gegossen, fast im wahrsten Sinn des Wortes. Dann wird es auf 180 Seiten in PDF gefestigt und auf den Schreibtisch gelegt. Ja und da muss es bei, irgendwann bei Bedarf dann rausgesucht werden und so weiter. Und dann, was muss ich dann halt sage, „Leute, wie wollt ihr auf Papierform Fristen einhalten?“ Wir reden nicht über die 30-Tage-Frist, wenn also eine Auskunft angefragt wird, sondern und jetzt kommen wieder auf das iPhone oder was haben wir noch Blackberry und wie heißen die Android-Geräte, ich muss sie ja alle erwähnen, also auf mein Smartphone zurück. Oder ich mache es mal noch schlimmer, auf mein Notebook. Das Notebook, das mir die Firma übertragen hat, ist mir abhanden gekommen. Da sind hundertprozentig personenbezogene Daten drauf. Das ist ein kritischer Fall. Kritische Fäll müssen binnen 72 Stunden einer zugehörige Behörde gemeldet werden und dann geht nämlich ein heißer Dialog los, übrigens auch innerhalb des Unternehmens. Ist es jetzt ein Fall, wo ich Einzelpersonen informieren muss? „Pass auf, Leute, wegen … also für eure Daten, da haben wir jetzt einen kritischen Fall, die sind uns nämlich verloren gegangen.“ oder beim Großunternehmens, zum Beispiel in der Telekommunikationsbranche muss ich es dann vielleicht anders veröffentlichen, weil ich kann nicht 5 Millionen Leute einzeln ansprechen, aber die Uhr tickt. 72 Stunden, egal ob ich Wochenende oder sonst habe. Da soll mir mal jemand beweisen, wie er das auf Papier oder PDF-Form macht, auch Mail-Benachrichtigen etc. Das können nur IT-basierte Systeme, am besten automatisierte Prozesse. Und das gilt übrigens auch für andere Dinge, also ich bin immer wieder fasziniert, wie viele Prozesse im Unternehmen wirklich mit einer Excel-Datei als Anhang zu einer Mail stattfinden. Und das wird dann, ich komme ja aus einer ganz irren Ecke, ich erwähne es nur ganz kurz, Notes Domino, nur ganz leise mal gesagt, da war ja alles schon Workflow-Management und IT und digitalisiert und automatisiert. Und ich sage heute Unternehmen, die Excel-Dateien mit E-Mails verschicken, das sind meine Lieblinge, weil die frage ich dann sofort „Können wir eure Excel ablösen mit einem richtigen Business Process Management System?“. Noch mal zu diesen was machen die armen Unternehmen? Also bei uns, wir machen es so. Wir liefern einfach out of the box eine Lösung und sagen „Konzentrier dich einfach auf diese Datenschutzgrundverordnung, wir haben hier einen Prozess mit seinen, mittlerweile sind es übrigens sechs Anwendungsfälle und nicht mehr fünf, und liefern dir das, du hast einen Jahr lang deine Ruhe, du hast deine Prozesse. Und kümmere dich auch nicht um Anwenderzahlen und worauf läuft es und so weiter.“, weil wir genau die Diskussion beim Unternehmen einfach vermeiden wollen. Das sagen wir einfach zum Datenschutzbeauftragten „Hey, mach keine große Diskussion, jetzt müssen wir Grundsatzdiskussion bilden, wie gehen wir das Thema Prozesse an, und so weiter. Nein, hier haben eine Lösung out-of-the-box für deine Automatisierung und gut ist. Die andere Diskussion gehen wir dann danach an.

Götz Müller: War jetzt ein gutes Stichwort. Ich habe es auch hier auf meinen Stichworten drauf. In Ihrem Artikel habe ich, sagen wir mal, einen Begriff gesehen. 3 in 1 habe ich so irgendwo das Bild im Kopf „Kauf 1 und krieg 3“ irgendwie. Deshalb das ein bisschen hinterfragt. Was ist also das eine, was sind die drei?

Artur Habel: Genau, was sind die 3? 3 in 1 heißt für uns, wir liefern zuerst mal schonmal einen fertigen Prozess, nämlich den DSGVO-relevanten Prozess für die 6 Anwendungsfälle, die ich genannt hatte, von der Meldung, Benachrichtigung bis zum Widerspruchsrecht. Zweitens: Wir sorgen für Support, wir schulen nach dem trained-Trainer-Konzept, also wir sorgen für den laufenden Betrieb über ein Jahr. Und das ganze läuft auf einer etablierten Business Process Management Engine und das sind für mich drei Angebote in einem Paket. Das bieten wir zu einem Preis an. Eigentlich haben wir sogar noch eine vierte Eigenschaft, aber sie ergibt sich indirekt und wir diskutieren nicht über den Server, welche Leistungsfähigkeit, der hat. Wir diskutieren nicht, ob wir über 20 oder 100 oder 1000 Anwender haben, ob wir die named user oder concurrent user nennen ist keine Frage, ist inkludiert. Die Pakete sind sogar noch so geschnürt. Sind drei Pakete, klassisch: small – medium – large. Je nachdem, was man investieren möchte, bieten wir an mindestens ein Workshop. In dem Workshop wird definiert, was machen wir mit den zur Verfügung stehenden Dienstleistungstagen, die wir inkludiert haben. Und dann kann ein Unternehmen sagen „Okay, wir möchten bein bisschen mehr die Dokumentation.“ Andere möchten vielleicht eine Schnittstelle bauen zu einem ihrer Daten Töpfe. Und das bieten wir alles mit an und das alles in einem Paket, das wir wirklich 3 in 1 nennen.

Götz Müller: Jetzt hätte ich noch mal die Bitte, weil ich nicht sicher bin, ob er über die doch längere Unterhaltung ja schon, ich guck mal auf die Uhr, über 25 Minuten, ob ob jeder diese 6 Anwendungsfälle noch so genau auf dem Schirm hatte. Wenn Sie die noch mal ganz kurz am Stück praktisch wiederholen können, damit auch jeder der Zuhörer sagt „Ja, das ist bei mir genau ein Thema.“

Artur Habel: Also die sechs Anwendungsfälle, die ich als Prozess sehe. Fangen wir also mit den kritischen an: Ein Unternehmen hat selber in sich erstmal die Situation Notebook verloren gegangen. Kleiner Ausflug. Der kritischste Fall, der in der Literatur oder auch jetzt in den Medien bekannt ist, ist ja der dass ich beim Kunden-Login einer Bank, dass ich die Möglichkeit hatte, die Bank-Informationen andere Kunden einsehen zu können. Das ist im Sinne der Datenschutzgrundverordnung der absolute worst case. Fahren wir es mal nicht ganz so extrem, aber wichtig ist, dass man in so einem Fall eine Frist einhalten können muss. Eben die 72 Stunden und die Frist ist das eine, das andere ist, dass eine Unmenge an nervtötenden Fragen gestellt werden. Man muss also wirklich, immer wieder Fragen beantworten „Was ist da verloren gegangen? Wie kritisch ist es?“ und so weiter und man hat auch einen Dialog mit einer Meldestelle, also wirklich mit seiner Landesdatenschutzbehörde, wer das dann immer ist, in Bayern, in Niedersachsen, in Nordrhein-Westfalen etc. Das ist Meldung und Benachrichtigung bis hin, dass man innerhalb eines Unternehmens sich überlegen muss, okay, ist es noch ein vertretbarer Aufwand oder muss ich der Meldebehörde sagen „Hey Leute, das geht nicht gut. Das ist allein ein Prozess. Der andere ist nur der Auskunft. Sie, Herr Müller, rufen mich an, schreiben mich an und sagen „Herr Habel, sagen Sie es mir doch einfach mal, was haben Sie von mir für Daten?“ Dann habe ich 30 Tage Zeit. Da kann man sich ein bisschen besser helfen, da sagen wir, innerhalb dieses Anwendungsfalles. Okay, dem Herr Müller seine Daten nehmen wir und schicken das einfach in unsere Systeme und dann sagen mir die Systeme „Pass mal auf in den und den Datentöpfen sind dann externe, Anfrage, keine interne, ist doch kein Bewerber, da haben wir also in folgenden, ich sage mal, 15 Datentöpfe Informationen erhalten.“ Das konsolidieren wir dann und sagen dann „Ab damit zum Herrn Müller.“ Erstmals als PDF oder vielleicht sogar als irgendein ein Anhang mit IT-lesbar Informationen und fertig. Haben wir unsere 30 Tage eingehalten, haben sämtliche Datentöpfe abgefragt und so, aber das vollautomatisch. So, die nächsten vier sind dann: Berichtigung, also ich möchte mein Datum ändern, Vorname, Nachname, was auch immer, vielleicht ist die Adresse falsch, mittlerweile umgezogen etc. Oder ganz hart „Bitte löschen Sie meine Daten.“. Datenübertragbarkeit, das hat ein bisschen was mit Auskunft zu tun, ist aber ein eigener Prozess, dass ich es wirklich sage, ich möchte meine Daten IT-lesbar lesbar zur Verfügung haben für eine Verwendung woanders hin. Und Widerspruchsrecht heißt, ich möchte nicht, dass ihr mit meinen Daten so umgeht, wie ihr mir das dargestellt habt. Das sind die sechs Anwendungsfelder. Meldung und Benachrichtigung ist eine. Härtefall. Auskunft ist einfach. Berichtigung ändert sich was. Löschen, die muss man einfach nachgeben. Datenübertragbarkeit, IT-lesbare Daten schaffen. Widerspruchsrecht, ich möchte nicht würde ich das jetzt mal übersetzen das sind die DSGVO-begleitenden Prozesse.

Götz Müller: Wenn der ein oder andere, so zum Abschluss, Zuhörer jetzt sagt „Ja, da habe ich wohl offensichtlich noch ein kleines Wissensdefizit.“, was wäre die Möglichkeit für die Menschen, sich weiter zu informieren?

Artur Habel: Da gibt es mehrere Möglichkeiten. Einmal natürlich der direkte Zugriff auf mich. Per Telefon oder per, machen wir es mal einfach, per E-Mail artur.habel@agentbase.de und weil ich es immer so gerne sage, den Arthur bitte ohne h, sie wissen ja, ist tatsächlich so, einer der seltenen Arturs ohne h. Ansonsten, das kann ich ihn ja gerne im Nachhinein zur Verfügung stellen, einfach bei der agentbase.de gibt es wirklich unter dem Kürzel DSGVO unsere Landingpage, in der alles zu finden ist, wirklich alles. Video. Ich habe zwei Blogs veröffentlicht. Einmal meiner Blogs, den kennen sie nur nicht Herr Müller, da vergleiche ich die DSGVO mit einer Zahnwurzelbehandlung. Ist genauso überraschend wie …

Götz Müller: Doch, den habe ich auch gesehen. Den wollte ich dann nicht adressieren.

Artur Habel: Ich habe es meinem Zahnarzt geschickt, er hat noch nicht reagiert. Wahrscheinlich, ich bin nächste Woche bei ihm wieder, werde ich eine besondere Behandlung von ihm bekommen, weil es sagt „Auf was für Ideen kommen sie den bei mir auf dem Behandlungsstuhl?“ Also ich blogge ja auch ein bisschen drüber, weil es mir wirklich mittlerweile am Herzen liegt, weil ich merke wie meinem ganzen Gesprächen, die ich mit Kunden führen, ich würde so ein bisschen gerne auf den Tisch hauen und sagen „Macht mal was.“ Ich weiß, dass die meisten Unternehmen sagen „Herr Habel, das ist eine Hürde, ich bin froh, wenn ich drunterspringen kann, drüber springen schaffe ich eh nicht mehr.“ Dann sage ich „Ja, aber macht wenigstens bisschen was.“ Also, Video haben wir, Blogs haben wir, wir haben einen Webcast durchgeführt, da brauchen wir noch ein paar Tage, bis der abrufbar ist, weil den müssen wir noch ein bisschen natürlich schön machen und ansonsten bitte direkt an uns wenden. Wir haben einen Flyer dafür und wir bieten natürlich auch an, individuell in einer Webclass oder vor Ort wirklich unsere Lösung einfach zu zeigen und beim Zeigen der Lösung kommt hundertprozentig die schönste Diskussion hoch.

Götz Müller: Ja, prima. Also da werde ich die Informationen noch in die Notizen reinnehmen. Herr Habel, ich danke Ihnen. Da war, obwohl ich mich jetzt selber mit dem Thema schon etwas beschäftigt hatte. Heute kam gerade von Google der Auftrags – wie heißt das Ding.? – Auftragsdatenverarbeitungbestätigung von Google zurück, also an der Stelle habe ich schon zumindest mal ein bisschen was getan. Deshalb, ja, im Grunde betrifft es ja jeden, selbst wenn ich nur eine Person bin wie in meinem Fall, komme ich nicht drumrum. Ich frage mich dann immer, was passiert bei dem Privatperson, wenn denen das Handy weg kommt, aber ich glaube da.
Artur Habel: Die Privatpersonen werden jetzt in dem Fall wirklich nicht betroffen. Das ist ein bisschen schwieriges Thema, wenn die Privatpersonen Unternehmerinformationen haben, ist es dann eine Frage des Unternehmens, dass sie das untersagen müssen. Wir haben mittlerweile auch so eine Regelung bei uns treffen müssen. Da gibt's ein paar Dinge ja, die einfach beachtet werden müssen. Weg mit Firmeninfos auf ihrem privaten Handy, ganz einfach.

Götz Müller: Gut, also noch mal vielen Dank für Ihre Zeit. War sehr spannend, was wir alles adressiert hatten.

Artur Habel: Danke auch und dann würde ich mal sagen: Kommen Sie gerne auf mich zu.

Götz Müller: Das war die heutige Episode im Gespräch mit Artur Habel zum Thema DSGVO-Prozesse. Notizen und Links zur Episode finden Sie auf meiner Website unter dem Stichwort 104.

Wenn Ihnen die Folge gefallen hat, freue ich mich über Ihre Bewertung bei iTunes.

Ich bin Götz Müller und das war Kaizen to go. Vielen Dank fürs Zuhören und Ihr Interesse. Ich wünsche Ihnen eine gute Zeit bis zur nächsten Episode. Und denken Sie immer daran, bei allem was Sie tun oder zu lassen, das Leben ist viel zu kurz, um es mit Verschwendung zu verbringen.

Hinweis: Ich behalte mir vor, Kommentare zu löschen, die beleidigend sind oder nicht zum Thema gehören.