Bereit für den Albtraumbrief?
Demnächst ist es so weit – das lange Warten auf den EU-DSGVO-Stichtag hat ein Ende. Bald dürfen wir demonstrieren, wie gut wir auf diesen herbeigesehnten Tag vorbereitet sind. Der Tag des europäischen Datenschutzgesetzes, das es nun erlaubt, hart durchzugreifen. Die Gelegenheit, darauf zu reagieren, werden wohl bestimmt einige Unternehmen gleich am ersten Tag erhalten, wenn dann so ein Brief ins Haus flattert:
"Lieber Data Protection Officer, als Kunde Ihres Unternehmens wüsste ich gerne, welche Daten Sie von mir bearbeiten und zu welchem Zweck. Können Sie mir grundsätzlich alle Verarbeitungen aufzeigen, in welchen Systemen, Datenbanken, E-Mails Sie die Daten ablegen oder allenfalls auch unstrukturiert hinterlegt haben. Bitte geben Sie auch an, mit welchen externen Parteien Sie die Daten austauschen. Zeigen Sie mir die dazu notwendigen Rechtsgrundlagen sowie die vereinbarten Sicherheitsmassnahmen bei der Übermittlung auf. Ich hätte gerne von allem eine Kopie zugestellt – oder zumindest einen Zugriff darauf, um all diese Daten prüfen zu können. Können Sie mir dabei auch noch klar spezifizieren, von welchen Quellen Sie Daten über mich gesammelt und ob Sie automatisiert ein Profil von mir erstellt haben? Falls Sie eine Cloud einsetzen, wüsste ich gerne, in welchen Ländern meine Daten gespeichert sind und welche Provider und Sub-Unternehmen im In- und Ausland Zugriff darauf haben. Hatten Sie in den letzten 12 Monaten einen Security-Vorfall, in den meine Daten involviert waren? Was ist genau passiert, und besteht die Möglichkeit, dass meine Daten in falsche Hände gerieten? Welche organisatorischen, technischen und juristischen Sicherheitsmassnahmen haben Sie aufgrund der eingeschätzten Risiken getroffen, und wie sieht es mit deren Umsetzung aus?"
Nun, vielleicht ist es nicht nur ein Kunde, vielleicht sind es hunderte oder gar tausende Kunden, die auf diesen 25. Mai 2018 schon lange sehnlichst gewartet haben und nun gerne Ihre Organisation etwas testen möchten. Sie haben dann einen Monat Zeit, die Antworten aufzubereiten und zuzustellen – natürlich zu eigenen Kosten. Wie schön wäre es jetzt, Sie hätten Ordnung im Datenstall und könnten zu allen Fragestellungen einfach ein Register ziehen, das dann die Antworten fein säuberlich und strukturiert ausspuckt. Hmm – Sie sind noch nicht ganz so weit? Sie glauben, dass dies unmöglich ist? Dann hilft vielleicht doch nur noch beten, dass wir aus diesem Albtraum aufwachen und wieder in die guten alten Datenchaos-Zeiten zurückfinden.