Mein Verkaufsleiter hat gekündigt und die Kundendatei mitgenommen. Was mache ich jetzt?
Niemand ist gegen Datenschutz. Das wäre auch idiotisch. Keiner hat ein Interesse, dass seine persönlichen Daten in falsche Hände kommen, noch hat der Verantwortliche ein Interesse, dass die Daten seiner Datenbank zur Konkurrenz kommen.
Ich habe das leidvoll selbst erfahren. Ein Kunde von mir hat mich aufgeregt angerufen: „Was haben Sie sich dabei gedacht meine Daten an die Firma „X-Consult“ weiterzugeben?“ Ich darauf: „Öh Ah Mhh Stotter Ich kenne die Firma X-Consult gar nicht und habe mit der Firma keinen Kontakt.“ Der Kunde: „Aber da steht …
Sie können sich vorstellen was sich in meinem Kopf abgespielt hat. Die Situation war die: mein EX-Verkaufsleiter hat die Kundendatei kopiert und begonnen meine Kunden für eine andere Firma abzuwerben.
Große Empörung, großer Ärger und natürlich große Enttäuschung, jede Menge Schaden und am Schluss Image- und Kundenverlust.
Natürlich kann ich dagegen vorgehen und klagen, aber das löscht den Schaden nicht.
Wie ist das überhaupt möglich?
Was war wirklich geschehen? Als ich den Verkaufsleiter eingestellt habe, hatte ich ihm natürlich auch Zugang zur Kundendatenbank geben lassen.
Mein IT-Verantwortlicher hat ihm einfach einen Admin-Zugang gegeben, der dem Verkaufsleiter alle Rechte über die Datenbank gegeben hat. Er hat ihm auch komplette Kopier- und Löschrechte gegeben. Ich hatte ja noch Glück, dass er die Daten nicht gelöscht hat. Du denkst vielleicht: „Aber Leute machen doch so was nicht“ Das stimmt – aber willst Du irgendwann feststellen, dass es 2,5{2db1a1605e5d4d3288edcdcef24473f949b034f2b73835c4b593b0dab919eaee} der Leute doch tun?
Um aber auf die Sache zurückzukommen der Verkaufsleiter bekam eine Blankovollmacht über die Datenbank ohne, dass ich davon gewusst hätte, ohne dass es dokumentiert wurde und ohne dass irgendwer Kontrolle darüber hatte was er eigentlich machte.
Er bekam vom „IT-ler“ den „Admin-Zugang“, weil der sich gedacht hat: „Der Verkaufsleiter ist wichtig also geben wir ihm alle Rechte.“
Hätte es damals so etwas wie eine DS-GVO gegeben, wäre dieses Szenario vielleicht gar nicht möglich gewesen?
Was mache ich bei Datenklau?
Die Wucherungen im EDV-Dschungel
Du fragst Dich berechtigterweise: „Wann kommt er endlich zum Punkt?“
Bitte etwas Geduld, ich möchte ein paar Dinge anbringen, die Dir die DS-GVO aus einem ganz anderen Blickwinkel ansehen lassen.
Der Virus genannt "Schatten-IT"
Das ist ein Phänomen, dass sich über die Jahre hin in vielen Unternehmen, extrem ausgebreitet hat. Da gibt es in der Firma etablierte Datenverarbeitungsprozesse, die sich vor vielen Jahren jemand mit viel Mühen und Zeit ausgedacht und etabliert hat. Natürlich hat er das nicht vollständig dokumentiert. Dann verging die Zeit aber, das EDV-System, hat mit der fortschreitenden Entwicklung der Firma nicht Schritt gehalten. Vielleicht ist die EDV-Firma die das einmal installiert hat, gar nicht mehr im Geschäft, oder das Produkt ist schon eingestellt.
Mit der Zeit wird das „alte“ System unpraktisch und der innovative Mitarbeiter findet einen „Workaround“ um seine Arbeit komfortabler zu machen, und baut sich seine eigene IT-Landschaft auf. Da werden eigene Lösungen gefunden und Skripte geschrieben und es entsteht eine praktische unabhängige EDV in der EDV.
Das schaut dann ungefähr so aus wie der Schreibtisch eines Blumenliebhabers – es fehlen nur noch die Gartenzwerge. Ich hoffe Du nimmst mir den Vergleich nicht übel.
Wenn Du nun versuchst in so einem Szenario ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, bist Du zum „DSGVO-Nervenzusammenbruch“ verurteilt.
Ist unter diesen Umständen die Datensicherheit gegeben?
Selbst auf die Gefahr hin mich unbeliebt zu machen, sage ich es gerade heraus: Wenn man kein Verfahrensverzeichnis führen kann, gibt es einen „Datensauhaufen“ und oder eine mangelhafte EDV-Landschaft.
Wer soll sich in dieser Unordnung zurecht finden?
Würdest Du bedenkenlos in ein Auto mit abgefahrenen Reifen und schlechten Bremsen steigen?
Das Verzeichnis für Verarbeitungstätigkeiten ist der Prüfstein für Deine Datenverarbeitung. Wenn Du es erstellen oder erstellen lassen kannst, dann hast Du eine gute und wahrscheinlich sichere EDV. Wenn nicht, dann ist das Verzeichnis Deine Chance nicht nur um den Datenschutz zu sanieren, sondern auch einen funktionierenden Geschäftsprozess zu etablieren.
