Dirk Wolf ist ein Datenschutz-Urgestein. Seit Mitte der 90er Jahre, also noch lange vor dem DSGVO-Hype, beschäftigt er sich mit dem Thema Datenschutz. Er hat bereits weit über 40 Workshops zum Thema geführt, ist für gemeinnützige Vereine und Unternehmen tätig und betreibt darüber hinaus noch einen (selbstverständlich DSGVO-konformen) Lettershop. Mehrere gute Gründe ein Interview mit ihm zu führen und herauszufinden, was seine Sicht auf die DSGVO ist.
Was zwei Todesfälle und eine gestohlene Festplatte mit einem betrügerischen DGSVO-Berater zu tun haben, erfahren Sie im folgenden Interview.
Seit wann beschäftigst Du Dich mit dem Thema Datenschutz?
Das begann eigentlich schon kurz nach der Gründung meines Unternehmens 1993. Ich bin 1996 in unseren Verband eingetreten und wurde dort sofort mit dem Thema Datenschutz konfrontiert. Durch die ehrenamtliche Tätigkeit im Verband wurde das dann immer intensiver. 2001 wurde ich zum Vorsitzenden meiner Fachgruppe gewählt. Das Hauptthema war von da an die Umgestaltung unseres Siegels, das bis dahin weitgehend daraus bestand, dass wir uns verpflichtet hatten uns an die gesetzlichen Bestimmungen zu halten. Das war mir zu wenig und so haben wir das Qualitäts- und Leistungssiegel des KompetenzCenters DirectMail Services im Deutschen Dialogmarketing Verband – langer Name – zu einem echten Mehrwert-Siegel gemacht. Da war und ist das Thema Datenschutz klar im Fokus.
Was inspiriert Dich jeden Tag aufs neue Dich mit der DSGVO zu beschäftigen?
Ich finde es einfach unheimlich wichtig, dass wir alle wieder Herr über unsere Daten werden. Damit meine ich gar nicht, dass jeder ängstlich seine Daten für sich behält. Ich nutze die Möglichkeiten des Internets auch sehr gern. Dabei gestatte ich Unternehmen – für manche Zuhörer sicher ziemlich überraschend – ziemlich viel. Aber ich mache das bewusst. Und ich bin jederzeit in der Lage, die Nutzung meiner Daten zu untersagen. Wenn man sich der Möglichkeit dazu bewusst ist und auch konkret weiß, wie man das anstellt, kann man die Bequemlichkeiten des Internets durchaus genießen. Was ich nicht mag, ist die Heimlichtuerei einiger Vertreter von Unternehmen, die uns damit schlicht hintergehen wollen.
Was ist das größte Problem Deiner Mandanten in Bezug auf die Datenschutz-Grundverordnung?
Zumeist fehlt das grundsätzliche Verständnis von der Materie. Die meisten Mandanten glauben, dass das alles viel zu kompliziert sei und beklagen oft ein „bürokratisches Monster“. Dabei ist eine gute Datenschutz-Organisation reines Handwerk. Ein Beispiel kennst Du ja besonders gut. Ich rede natürlich vom Verarbeitungsverzeichnis. Artikel 30 DS-GVO schreibt sieben Dinge vor, die dokumentiert werden müssen. Das ist kein Hexenwerk, sondern kann in eine einfache Excel-Tabelle geschrieben werden. Oder, noch besser, man nutzt Dein geniales Tool, dann ist es gar kein Hindernis mehr.
Wie lange brauchst Du durchschnittlich, um bei einem Mandanten ein Datenschutz-Management-System zu etablieren?
Das kommt natürlich auf die Komplexität und den Grad der Vorbereitung an, den der Mandant schon hat. Von einem Tag bis zu, bisher maximal, neun Tagen ging das bei mir. Aber die neun Tage sind außergewöhnlich. Das war eine Organisation, die Kinder-Patenschaften vermittelt in der ganzen Welt und die ihre Mütter-Organisationen in Australien und den USA haben. Das ist mit dem Versand der personenbezogenen Kinder-Daten natürlich extrem. Im Normalfall bin ich in zwei bis drei Tagen damit fertig.
Was ist denn überhaupt ein Datenschutz-Management-System?
Ja, das ist eine gute Frage. Das wird wahrscheinlich von jedem „Experten“ anders beantwortet. Gesetzlich definiert ist das nicht. Für mich geht es darum, die Dokumentation des Datenschutzes im Unternehmen von A bis Z zur Hand zu haben. Von einer formulierten Datenschutzleitlinie bis zu den „Technischen und organisatorischen Maßnahmen, von den Interessenabwägungen bis zur Datenschutzerklärung auf der Website. All das muss beachtet und dokumentiert werden. Das hört sich aber schlimmer als es in der Praxis ist. Am Ende gibt es einen „Datenschutz-Ordner“. Der kann im Schrank stehen oder auf dem Server abgelegt sein. Hauptsache, er ist zur Hand und kann von allen Berechtigten jederzeit eingesehen werden.
Zur aktuellen Entwicklung: die Anforderungen für die Benennung eines Datenschutzbeauftragten werden ja wohl angehoben. In Zukunft gilt die Benennungspflicht erst ab 20 MitarbeiterInnen, die personenbezogene Daten bearbeiten. Wie siehst Du diese Entwicklung?
Na ja, als externer Datenschutzbeauftragter muss ich das wohl kritisch sehen. Entgegen landläufiger Meinung müssen Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, natürlich trotzdem alle Datenschutzbestimmungen einhalten. Es geht nur darum, dass sie nicht mehr verpflichtet sind, sich dazu professionelle Unterstützung zu holen. Angesichts drakonischer Bußgelder kann ich nur davor warnen, das Thema Datenschutz abzutun und hier nur auf kurzfristige Spareffekte zu setzen. Mittelfristig kann diese Strategie teuer werden.
Welche erheblichen Änderungen hast du im Bereich Datenschutz in den letzten Jahren sowohl bei deinen Kunden als auch in der Gesellschaft allgemein wahrgenommen?
Die Wahrnehmung ist signifikant gestiegen. Ein Beispiel: Wenn Du 2014 100 Unternehmen gefragt hättest, was ein Verfahrensverzeichnis ist, hättest Du von 98 die Antwort gehört: Keine Ahnung. 2018 haben, das hat die Umfrage des Bitkom ja ergeben, 24 % offensichtlich ein Verarbeitungsverzeichnis, quasi den Nachfolger des Verfahrensverzeichnisses eingeführt. Das ist ja schon mal eine Menge mehr. In der Gesellschaft ist das Thema auch etwas stärker verankert, allerdings ist mir das noch nicht ausgeprägt genug. Da muss in den nächsten Jahren noch mehr passieren. Aber Facebook, Google und Co. werden mit diversen Datenschutz-Skandalen schon dafür sorgen, dass es gesellschaftlich relevanter wird.
Ich habe gehört du bist auch für gemeinnützige Vereine bzw. Unternehmen tätig, wieso arbeitest Du gerade mit diesen zusammen? Welche sind das?
Ja, nicht alle Mandanten sind gemeinnützig, aber ich habe schon viele gemeinnützige Organisationen als Mandanten. Wir sprechen ja sicher gleich noch über meine Workshops, da wurden die ersten vom Deutschen Fundraising Verband angefragt. Aus den Workshops habe ich dann viele Mandantschaften gewonnen. Wer ist das so? Ich bin beispielsweise Datenschutzbeauftragter bei Germanwatch, der Menschenrechtsorganisation, bei der Deutschen Aids Stiftung, bei ChildFund Deutschland und – darauf bin wirklich stolz, bei einer ganz tollen Organisation, die finde ich wirklich klasse, nämlich beim Deutschen Müttergenesungswerk. Die leisten eine so tolle Arbeit. Wenn es die nicht schon seit den frühen 50er Jahren geben würde, müsste man sie neu erfinden. Erwähnen möchte ich aber auch die Bürgerstiftung Hannover. Das war die erste Bürgerstiftung bundesweit. Die leisten auch wirklich eine tolle Arbeit. Aber die Arbeit mit mittelständischen Unternehmen ist mir auch sehr wichtig. Hier geht es vor allem darum, den GeschäftsführerInnen die Angst vor überbordender Bürokratie zu nehmen. Manchmal gelingt es mir sogar, dass ich dabei helfen kann, die Effizienz der Arbeitsabläufe zu verbessern. Das ist dann schon ein tolles Erlebnis.
Wie bildest Du Dich eigentlich zum Thema weiter?
Ich bin Mitglied sowohl in der Gesellschaft für Datenschutz und Datensicherheit, der GDD, als auch im Berufsverband der Datenschutzbeauftragten, also dem BvD. Beide Verbände bieten sowohl in ihren Jahrestagungen als auch in Fachveranstaltungen vielfältige Weiterbildungen. An denen nehme ich rege teil. In einer dieser Weiterbildungen haben wir uns ja vor Kurzem auch persönlich kennengelernt. Außerdem nehme ich regelmäßig an den Veranstaltungen der Stiftung Datenschutz teil. Aber vielleicht das Wichtigste: ich veranstalte selbst Weiterbildungen.
Spannend. Was machst Du da konkret?
Angefangen hat das 2017 mit einer Anfrage des Deutschen Fundraising Verbandes. Die wollten gern ihren Mitgliedern einen Workshop zur Datenschutz-Grundverordnung anbieten. Da der damalige Geschäftsführer des Verbandes mich von Vorträgen und Moderationen zum Thema kannte, hat er mich gefragt. Aus den anfänglich geplanten vier Workshops wurden am Ende 48 ganztägige Veranstaltungen, natürlich nicht nur für den Fundraisingverband. Da waren echt spannende Workshops dabei, zum Beispiel für den sächsischen Musikschulen-Verband oder die Aktion Deutschland hilft, die aus den Aufrufen für Katastrophenhilfe in den großen Nachrichtensendungen bekannt ist. Von der ostdeutschen Ostseeküste bis nach Zwickau und von Wien und Zürich bis nach Kiel war wirklich alles dabei.
Das ist aber jetzt vorbei, oder?
Ja, die Mono-Themen-Workshops zur Datenschutz-Grundverordnung sind Geschichte. Aber nach der DS-GVO ist vor der EPVO, also der ePrivacy-Verordnung. Gerade habe ich – wieder mit dem Fundraising-Verband – eine zweitägige Veranstaltung vereinbart. Am ersten Tag werden wir ein Seminar zur Gesamtthematik haben, also sowohl zur DS-GVO als auch zur EPVO bzw. der ePrivacy-Richtlinie. Und am zweiten Tag folgt dann ein Praxis-Workshop, der es in sich hat. Da wird konkret alles erledigt, was Unternehmen und Organisationen zu tun haben, um compliant zu werden. Und zwar sowohl für die analoge als auch für die elektronische Kommunikation.
Wenn es um die analoge und elektronische Kommunikation geht, sprichst Du also vor allem Leute aus dem Marketing an, sehe ich das richtig?
Ja, weitgehend schon. Für, sagen wir mal, Techniker aus einem Industrieunternehmen ist das nicht so spannend. Aber Marketingleute, Vertriebler, GeschäftsführerInnen sowohl aus Unternehmen wie auch aus gemeinnützigen Organisationen werden definitiv viel mitnehmen. Darf ich noch ein bisschen Werbung machen und über die Termine sprechen?
Klar. Leg los!
Also, wir starten am 7. und 8. August in Berlin, dann gehen wir am 4./5. September nach Köln, am 16. und 17. September sind wir in München und der vorläufige Abschluss findet am 25. und 26. September in Dortmund statt.
Okay, dafür wünsche ich Dir und Deinen TeilnehmerInnen viel Erfolg. Kommen wir zu einer anderen Frage.
Was wird sich Deiner Meinung nach in den nächsten 5 Jahren beim Thema Datenschutz ändern?
Das Thema wird allmählich in den Köpfen der Verantwortlichen in den Unternehmen ankommen. Es gab ja eine sehr merkwürdige Entwicklung vor dem Stichtag 25. Mai 2018. Nach einer Umfrage des Bitkom im Mai 2018 waren angeblich 24 % der Unternehmen auf die DS-GVO vorbereitet. Im September 2018 waren es immer noch 24 %. Das heißt, dass alle, die das Thema ernst genommen haben, sich rechtzeitig vorbereitet haben und alle anderen sich locker zurückgelehnt haben. Das wird sich aber ändern, sobald die Bußgelder bei ganz normalen Unternehmen angekommen sind. Das geht jetzt allmählich los und wird in den nächsten Jahren immer mehr werden. Dann werden die aufwachen, die meinten, sie könnten sich um das Thema herum mogeln. Das wird aber schon deshalb langfristig nicht funktionieren, weil die Menschen es sich immer weniger gefallen lassen werden, dass Unternehmen hemmungslos mit ihren kostenfreien Daten Geld verdienen.
Beschreib mal (natürlich gerne anonym) Dein verrücktestes Datenschutz-Erlebnis mit einem Kunden.
Das verrückteste war sicher die pure Verzweiflung einer Mandantin vier Tage vor dem 25. Mai 2018. Ich bekam einen Anruf von einer Frau, die mir völlig aufgelöst erzählte, dass ihr Datenschutz-Berater sie im Stich gelassen hatte. Er hatte ihr schon Geld abgenommen, immerhin über 1.000 Euro, und ihr versprochen, ihr ein fertiges Datenschutz-Management-System zu liefern. Nun wissen wir beide, dass das gar nicht möglich ist. So etwas kann man nur mit dem Mandanten gemeinsam erstellen.
Sie hatte ihn schon oft gemahnt, aber immer Ausreden bekommen. Zweimal war angeblich sogar jemand aus der Verwandtschaft gestorben. An diesem besagten Tag hatte sie ihn ultimativ aufgefordert zu liefern. Da hat er erzählt, es wäre alles fertig und liege auf einer Festplatte. Die hätte man ihm aber unglücklicherweise gerade gestohlen. Spätestens da war der guten Frau klar, dass sie einem Betrüger aufgesessen war. Die tat mir aber so leid – sie hat tatsächlich geweint am Telefon – dass ich am 25. Mai 2018 nach Berlin gefahren bin und mit ihr gemeinsam ihre Sachen in Ordnung gebracht habe. Dieser Kerl hatte ihr übrigens erzählt, sie müsse damit rechnen, dass in den Tagen nach dem 25. Mai die Aufsichtsbehörden vor der Tür stehen würden. Das hat mich echt wütend gemacht, ich kann diese Angstmacher nicht ausstehen.
Verrückt. Was war das denn für ein Unternehmen?
Das ist die Härte, echt. Die Frau war als Freelancerin für ein Immobilienunternehmen tätig. Die hatte also ein Ein-Frau-Unternehmen. Unglaublich, was dieser Kerl mit ihr gemacht hat.
Was wünscht Du Dir für den Datenschutz in Deutschland und Europa allgemein?
Als allererstes: Gelassenheit. Ohne irgendetwas herunterspielen oder verharmlosen zu wollen, aber die Aufgeregtheiten wie das Ding mit den Klingelschildern in Wien oder die unsinnigen Berichte darüber, dass die Namen von Brötchen-Bestellern in Bäckereien nicht mehr genannt werden dürfen, müssen endlich aufhören. Die Reaktionen der Aufsichtsbehörden zeigen, dass diese sich daran, glücklicherweise, auch nicht beteiligen. Kinkerlitzchen werden nicht verfolgt, aber wer meint, sich drücken zu können, wird die Aufsichtsbehörden kennenlernen in den nächsten Jahren. Wenn Du mit den Behörden redest, hörst Du immer wieder, dass, wer zumindest auf dem Weg zu ordentlicher Datenschutz-Organisation ist, nichts zu befürchten hat. Wer aber noch nicht einmal die absolute Grundlage, das Verarbeitungsverzeichnis vorzuweisen hat, im Fall einer Datenpanne mit der vollen Härte der Behörden rechnen muss. Da kann ich nur allen Drückebergern sagen: sorry, Pech gehabt. Kein Mitleid.
Dirk, vielen Dank für dieses spannende Interview. Ich wünsche Dir alles Gute.
Danke, Dir und Deinen Lesern wünsche ich das auch.
Das Interview führten Oliver Engel (Geschäftsführer DeinData GmbH ) und Dirk Wolf (skriptura dialog systeme GmbH).