Webinar

Webinare, Webinaraufzeichnungen, Vorträge & mehr

Umsetzung von Datensicherheitsvorgaben (Grundlagen)

Am 23.08.2018 habe ich ein Webinar zum Thema Umsetzung von Datensicherheitsvorgaben (Grundlagen) veranstaltet.

Dieses Webinar ist primär für Personen gedacht, die keine oder nicht viele Vorkenntnisse im Bereich der Datensicherheit haben.

Datenschutz-Coaching-Mitglieder können sich die 90-minütige Aufzeichnung hier ansehen (PRO-Mitglieder können darüber hinaus das Video und eine MP3-Datei herunterladen):

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Datenschutz-Update Nr. 1

„Datenschutz-Update“ ist eine neue Webinarreihe, die gerade in einem Versuch für Datenschutz-Coaching-Mitglieder ausprobiert wird (Termine)

Im Datenschutz-Update-Webinar berichte ich im üblich lockeren (einige sagen „flapsigen“) Stil über die Dokumente, die in der vergangenen Zeit in meiner Wissensdatenbank gelandet sind. Das können Fachartikel, Beiträge aus dem Internet oder z.B. Urteile sein. Die Beiträge bespreche ich dann kurz & pointiert. So haben Datenschutz-Coaching-Mitglieder die Möglichkeit, sich in kurzer und prägnanter Form im Datenschutz auf dem Laufenden zu halten.

Für Datenschutz-Coaching-PRO-Mitglieder gibt es zudem die Möglichkeit, das Webinarvideo und die Audiodatei (MP3) herunterzuladen. Ideal für die „Fortbildung“ nach der sog. NET-Methode. NET steht für „no extra time“. Ihr könnt euch so also z.B. auf Reisen oder beim Sport einfach fortbilden.

In der ersten Ausgabe des Datenschutz-Updates führe ich euch allerdings zunächst einmal in meiner Methode der Informationsgewinnung im Datenschutz ein. Was sind meine Wissensquellen (Datenbanken, Internetseiten, Twitter etc.)? Und wo werden die Dokumente dann bei mir archiviert (DevonThink Pro Office).

Und natürlich ist in der ersten Folge auch vieles schief gegangen. So fehlt in einem Teil der Aufzeichnung mein Videobild, mir fällt eine Wasserflasche vom Tisch und was nicht sonst noch so alles passiert. Das Ganze ist also auch nicht bierernst, sondern soll unanstrengend der Fortbildung dienen.

In der nächsten Ausgabe werde ich bei der Videoaufzeichnung aber etwas professioneller angehen. Bemühe mich jedenfalls.

Also schnuppert hier mal in die Webinaraufzeichnung hinein:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Umgang mit Auskunftsersuchen von Betroffenen

Wie gehe ich im Unternehmen oder der öffentlichen Stelle mit Auskunftsersuchen von Betroffenen um? Während der eigentliche Inhalt des zweiphasigen Auskunftsanspruchs des Art. 15 DSGVO noch relativ klar ist, fangen die Schwierigkeiten dann schon recht schnell an. Ist der Anspruch auf Erhalt einer Kopie der Daten nun Teil des Auskunftsanspruchs oder ist es ein gesonderter Anspruch? Und: Ist das eigentlich wichtig oder nicht?

Das „A und O“ bei der Beantwortung von Auskunftsbegehren liegt nämlich ganz woanders. Ich habe etliche Auskunftsersuchen bei Mandanten den „Bach herunterlaufen sehen“, weil die Reaktion auf das Auskunftsersuchen einfach schlecht war. Der Betroffene wurde nicht ernst genommen. Manchmal haben sich die Sachbearbeiter auch einfach keine Mühe gegeben, das eigentliche „Begehren“ – also das, was der Betroffene wirklich möchte – zu erkennen. Hier liegt also die eigentliche Krux und das „Entscheidende“. Und so gehe ich am Ende des Webinars für Datenschutz-Coaching-Mitglieder noch einmal darauf ein, wie die „Königsklasse“ der Beantwortung von Auskunftsbegehren aussehen kann. Das ist nämlich hohe Kunst. Etwas dazu verrate ich: Jeder Mensch verwendet beim Schreiben (und Reden) vermehrt die Verben (und auch Nomen), die aus seinem bevorzugten Wahrnehmungssystem stammen. Was das nun allerdings mit der Beantwortung von Auskunftsersuchen zu tun haben kann, erfahren Datenschutz-Coaching-Mitglieder in der Webinaraufzeichnung. Hinweis: Datenschutz-Coaching-PRO-Mitglieder können sich das Video und auch die MP3-Datei auch herunterladen.

Und hier ist die Webinaraufzeichnung:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinar: Wie erwerbe ich (schnell) die Voraussetzungen, um als Datenschutzbeauftragter tätig zu sein?

Für Teilnehmer des Online-Kurses für Datenschutzbeauftragte fand heute ein Webinar statt, das ich hier auch für Datenschutz-Coaching-Mitglieder zur Verfügung stelle.

In dem Webinar ging es um Fragen, die viele DSB-Anfänger beschäftigen. Was muss ich können? Was gehört zum Fachwissen? Und ähnliche Aspekte.

Die Aufzeichnung könnt ihr hier sehen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Auftragsverarbeitung oder nicht?

Wann liegt denn nun eigentlich eine Auftragsverarbeitung vor und wann nicht? Die DSGVO ist da (genau wie das alte BDSG) alles andere als deutlich. Es gibt auch jetzt wieder neue Ansätze einer Auslegung unter den Juristen. Einige wollen einfach die bisherigen Abgrenzungslehren (Funktionsübertragung etc.) anwenden. Das geht natürlich nicht bzw. nur, soweit es europarechtlich passt.

Andere wollen jetzt jede Weitergabe von Daten oder jede Teilnahme eines Geschäftspartners an einem bestimmten Prozess als Auftragsverarbeitung einordnen.

Diese Ansicht verkennt allerdings den Sinn und Zweck des „Rechtsfigur“ der Auftragsverarbeitung und vor allem auch, dass die Auftragsverarbeitung systematisch im Lichte anderer Grundrechte und Grundfreiheiten der Grundrechtecharta der EU (GrCH) auszulegen ist. Und da ist vor allem Art. 16 GrCH zu nennen: Die unternehmerische Freiheit

Denn wenn ein Unternehmer nur durch bloße Kooperation zu einem Auftragsverarbeiter wird, unterliegt er wesentlichen Einwirkungs- und Kontrollrechten des Auftraggeber einer Auftragsverarbeitung. Das ist mit einer freien Berufsausübung nicht bzw. nur unter bestimmten Voraussetzungen zu vereinbaren. Denken wir nur einmal an das Szenario, dass ein Auftraggeber z.B. mindestens ein Widerspruchsrecht gegenüber neuen Unterauftragnehmern hat. Oder auch die Einräumung von Kontrollrechten gegenüber Unterauftragnehmern. Und auch der Gleichklang der Pflichten des Auftraggebers gegenüber dem Auftragnehmer, die dieser auch an den Unterauftragnehmer weiterreichen müsste. Ihr merkt schon: Das passt alles nicht mehr zusammen. Ich nenne es Auftragsverarbeitungsexzess.

Um den Anforderungen des Ausgleichs der Grundrechte zum Datenschutz in Art. 8 GrCH und Art. 7 GrCH und aber auch den Rechten der Unternehmen bzw. allgemein „Verantwortlichen“ Rechnung zu tragen, ist die Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, ganz gut nach der „GM-Methode“, also mit gesundem Menschenverstand zu beantworten. Und daraus ist bei mir die Schwerpunkttheorie entstanden, die ich einfach mal so nenne. Mit der Schwerpunkttheorie dürften sich die meisten Fragen, ob eine Auftragsverarbeitung vorliegt oder nicht sachgerecht – und unter Berücksichtigung der einschlägigen Grundrechte und Grundfreiheiten der Beteiligten (Betroffene, Verantwortliche, Auftragsverarbeiter) – lösen lassen. Die Schwerpunkttheorie benötigt sicher noch einen Feinschliff (daran und an einem Fachbeitrag dazu arbeite ich gerade), aber für einen ersten Aufschlag passt das m.E. ganz gut. Ich bekomme damit jedenfalls einen Großteil der Abgrenzungen gut gelöst.

In der Aufzeichnung des Webinars vom 12.06.2018 mit dem Titel „Auftragsverarbeitung oder nicht“ stelle ich die Grundlagen der Auftragsverarbeitung dar und erklären meinen Ansatz für die Schwerpunkttheorie.

Das in dem Webinar häufig angesprochene Arbeitspapier der damaligen Art. 29 Gruppe findet ihr hier:

Und hier finden Datenschutz-Coaching-Mitglieder die Aufzeichnung des Webinars:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Beschäftigtendatenschutz nach DSGVO und BDSG n.F.

Heute fand das Webinar zum Beschäftigtendatenschutz nach DSGVO und BDSG n.F. statt. Die Aufzeichnung von knapp zwei Stunden ist nun online:
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Datenschutz bei Internetseiten

Heute fand das Webinar „Datenschutz bei Internetseiten“ statt. Die gut 90-minütige Aufzeichnung können Datenschutz-Coaching-Mitglieder hier noch einmal anschauen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Videoüberwachung & Datenschutz

Am Dienstag, den 24.04.2018 fand das rund einstündige Webinar „Videoüberwachung und Datenschutz“ für Datenschutz-Coaching-Mitglieder statt. In dem Webinar habe ich vor allem dargestellt, warum das ab 25.05.2018 geltende neue Bundesdatenschutzgesetz mit seiner Regelung zur Videoüberwachung in § 4 BDSG n.F. im Unternehmensbereich nicht zur Anwendung kommt. Es gilt für Videoüberwachungen in Unternehmen allein die DSGVO, und zwar hier Art. 6 DSGVO. Eine Ausnahme hiervon besteht allerdings dann, wenn durch die Videoüberwachung Beschäftigte überwacht werden. Dann sind zudem die Regelungen des § 26 BDSG n.F. zu berücksichtigen. Neben einer Einführung in die Thematik habe ich vor allem auch eine ganze Reihe von Fragen der Webinarteilnehmer beantwortet.
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Datenschutz nach DSGVO in Arztpraxis und Apotheke

Am Montag, den 23.04.2018 hat mein Webinar „Datenschutz nach DSGVO in Arztpraxis und Apotheke“ stattgefunden. 90 Minuten waren angesetzt. Und über 2 Stunden Aufzeichnung sind es nun geworden. Für Ärzte und Apotheker als Einblick in die praktischen Probleme der DSGVO sicher interessant.

Im Webinar wurden über 150 Fragen gestellt, die ich natürlich nicht alle beantworten konnte. Aber ich habe es probiert.

Neben einem kurzen Einstieg in die Thematik der DSGVO in Arztpraxis und Apotheke wendeten wir uns dann im Rahmen der Beantwortung von Fragen den praktischen Problemen zu. Und da gibt es eine ganze Menge. Aber auch Lösungen. Vieles ist dann in der Praxis vielleicht doch nicht so schlimm wie befürchtet.

Die im Webinar angesprochenen Unterlagen werde ich hier ggf. später noch verlinken.

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: BDSG im Überblick

Diesen Mittwoch fand ein Webinar für Datenschutz-Coaching-Mitglieder statt, dass sich mit dem neuen Bundesdatenschutzgesetz (BDSG) befasste, das am 25.05.2018 in Kraft tritt.

Wir sind da nicht in die Tiefe gegangen. Ziel des Webinars war es, einen Überblick über das neue BDSG zu bekommen und vor allem die Struktur zu verstehen.

Ab den §§ 45 ff. BDSG n.F. werden nämlich die Normen für Unternehmen gar nicht mehr relevant sein. Und so ging es in dem Webinar dann auch u.a. darum, hier Anfängerfehler in der Datenschutzpraxis durch falsche Verweise auf § 64 BDSG n.F. oder § 53 BDSG n.F. zu vermeiden.

Das Video „Überblick über das BDSG-neu“ können Datenschutz-Coaching-Mitglieder hier sehen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Datenschutz-Folgenabschätzung nach der GM-Methode

Es gibt eine Reihe von Ansätzen dafür, wie eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden kann. Die sind auch alle gut und hilfreich. Am Ende muss aber jeder, der eine DSFA schreiben oder so ein Projekt zu leiten hat, seinen eigenen Weg finden müssen, um hier die Einhaltung der gesetzlichen Anforderungen mit dem entstehenden Aufwand in Einklang zu bringen.

Da eine DSFA nur bei Verarbeitungen mit einem voraussichtlich hohen Risiko für die Betroffenen durchgeführt werden muss, wird dies in der Regel Verfahren oder Prozesse im Unternehmen betreffen, die nicht unbedingt trivial oder schnell zu beschreiben sind. Einigkeit dürfte daher darüber bestehen, dass eine DSFA auf einer Seite, also sozusagen als „One-Pager“ selten möglich sein wird.

Aber es müssen vielleicht auch nicht über 50 Seiten einer Bewertung nach dem sog. Standard-Datenschutzmodell (SDM) sein.

Es gibt ein paar hilfreiche Dokumente, die bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) sehr hilfreich sein können:

Ich sitze nun aktuell an einigen DSFA. Und es zeigt sich folgendes:

  1. Es gibt keinen „One-Size-fits-all“- Ansatz. Mal passt z.B. das SDM, mal nicht. Warum nicht? Weil das SDM manchmal zu Aufwänden einer DSFA führen würde, die nicht im Verhältnis zum Risiko stehen. Das wird der eine oder andere anders sehen. Ist aber nun einmal meine Erfahrung.
  2. Eine DSFA ist nicht einfach. Die Ersteller brauchen nicht nur Erfahrung im Datenschutzrecht und Kenntnisse im technischen Bereich. Interdisziplinäre Teams, die es gewohnt sind, gemeinsam miteinander zu arbeiten, sind ein Schlüssel zu einer effektiven Erstellung von DSFA.
  3. Die Durchführung der DSFA ist eine rechtliche Anforderung. Leider wird bei der DSFA von manchen Personen Technik und Recht falsch bewertet. So höre ich von Technikern, dass bestimmte Maßnahmen nicht dem Risiko entsprechend seien. Auf die Frage „warum“ kommt ggf. die Antwort: „Weil das so ist.“
    Wenn es aber genau in der Frage schon z.B. eine eindeutige Stellungnahme des BGH oder eine ständige Rechtsprechung gibt, dann kann ich nicht zu dem Ergebnis kommen, dass hier ein hohes Risiko vorliegt. Eine juristisch als zulässig geklärte Datenverarbeitung kann im Ergebnis nicht dazu führen, dass in der DSFA ein voraussichtlich hohes Risiko verbleibt. Genau zu diesen Konsequenzen kann es aber bei strikter Anwendung des SDM kommen.
  4. Solange das SDM nicht eng an die Datenschutz-Grundverordnung (DSGVO) angepasst ist (das ist derzeit – Stand: 16.03.2018 – nicht der Fall), kann es als Standard für eine DSFA zu zu engen Ergebnissen führen. Das sollte den Erstellern von DSFA bei der Wahl der Methode bewusst sein.

Ich halte das SDM für ein geeignetes „Modell“, um Datenverarbeitungsvorgänge zu prüfen. Die Anwendung des SDM ist aber juristisch nicht erforderlich und auch nicht zwingend. Dieser Eindruck wird z.T. erweckt. Juristisch zwingend ist allein die Einhaltung der Vorgaben des Art. 35 DSGVO. Nicht mehr und nicht weniger. Von der Anwendung des SDM oder eines sonstigen Standards steht da nichts. Und entgegen der Auffassung, die zuweilen geäußert wird, lässt sich das SDM auch nicht direkt aus der DSGVO ableiten. Sowohl die Grundrechte-Charta der EU als auch die Grundsätze der Datenverarbeitung in Art. 5 DSGVO sind im Hinblick auf Wertung und Gewichtung der Schutzziele nicht deckungsgleich mit den Schutzzielen und vor allem deren Gewichtung im SDM.

Was denn nun die Anforderungen aus Art. 35 DSGVO sind und welche Konsequenzen für die Umsetzung einer DSFA daher nach „gesundem Menschenverstand“ sich daraus meiner bescheidenen Meinung nach ergeben, können Datenschutz-Coaching-Mitglieder dem nachfolgenden Video (1:49h) entnehmen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Umsetzung der DSGVO mit der GM-Methode

Schon bevor die DSGVO im Amtsblatt der Europäischen Union veröffentlicht wurde, habe ich mit den ersten DSGVO-Implementierungsprojekten begonnen. Warum? Für einige Mandanten von mir bedeutete die DSGVO gravierende Umwälzungen im Geschäftsmodell. Diese waren frühzeitig zu bedenken und umzusetzen.

Zudem habe ich einige größere Unternehmen mit sehr vielen Geschäftsprozessen bei der Implementierung der DSGVO frühzeitig unterstützt. Diese Unternehmen hatten richtigerweise erkannt, dass eine Änderung von Geschäftsprozessen erforderlich wird und dies unmittelbare und mittelbare Auswirkungen auf andere Prozesse im Unternehmen haben wird.

Wie dem auch sei. Seit 2015 habe ich etliche DSGVO-Projekte begleitet. Und viele, ja sehr viele sind gescheitert. Und ich finde das nicht schlimm. Im Gegenteil. Ich sehe das wie Thomas Edison, der nach nach angeblich 1.000 Fehlversuchen, eine Glühbirne zu bauen, gesagt haben soll:

Ich bin nicht gescheitert. Ich kenne jetzt 1 000 Wege, wie man keine Glühbirne baut.

Und genauso sehe ich das auch. Ein DSGVO-Projekt gegen die Wand fahren zu sehen, kann schmerzhaft sein. Für die Mandanten. Als Anwalt hat man dann vielleicht eher die Ruhe und Besonnenheit, das nicht als Scheitern, sondern hilfreiches Feedback zu sehen.

Und so wie Thomas Edison kann ich heute sagen:

Ich kenne eine Vielzahl von Wegen, wie die DSGVO nicht erfolgreich implementiert werden kann.

Und jeder von euch, der schon einige Datenschutz-Projekte hinter sich hat, wird wahrscheinlich auch schon zu Beginn eines solchen Projekts, das Gespür dafür haben, ob das Projekt „rocken“ wird oder ob es so eine Art „es-knirscht-überall“-Projekt wird. Also ein Projekt, das einfach nicht rund laufen wird. Das kann am Ansatz des Projekts, an den Methoden oder einfach an den Leuten liegen. Die Gründe können vielschichtig sein.

Wie setzen Unternehmen denn heute sinnvoll die DSGVO um? Da gibt es natürlich verschiedene Wege. Wahrscheinlich alle Wege werden eine Art eines irgendwie gestalteten Datenschutzmanagements beinhalten. Die Basis kann z.B. ein ISMS auf Basis von ISO 27001 ein, das man um „Datenschutz“ aufbohrt. Oder man geht gleich in Richtung ISO 29151. Vielleicht mag man es auch lieber etwas übersichtlicher und probiert sich an VdS 10010. Oder darf es etwas Standard-Datenschutzmodell (SDM) sein?

Nach über 15 Jahren Erfahrung im praktischen Datenschutz und Datenschutzrecht erlaube ich mir ein Urteil darüber, was in der Praxis funktioniert und was nicht. Ich habe die Weisheit sicher nicht mit Löffeln gegessen. Aber ich fühle mich im Gegensatz zu manchen Datenschutzrechtlern, die nur über Bücher und Aufsätzen den Datenschutz erleben (nicht negativ gemeint, auch wissenschaftliche Arbeit ist für die Weiterentwicklung des Datenschutzes sehr wichtig), manchmal eher als Handwerker. Und ich spreche sozusagen aus der Praxis.

Im Englischen gibt es einen sehr schönen Begriff, der ganz zu meiner Überzeugung von meiner Umsetzung von Datenschutzrecht passt: Craftsmanship – das ist frei übersetzt „Handwerkskunst“. Und das passt auch zu einer Art von Handwerkerehre. Und die habe ich auch als Datenschutzrechtler und -praktiker. Mein Modell von „Craftsmanship“ im Datenschutzrecht basiert auch darauf, auf Dinge zu setzen, die sich in der Praxis bewährt haben. Es bringt in der Praxis nichts, einen noch so schön gedachten Ansatz aus der Datenschutztheorie anzuwenden, wenn sich bei der Umsetzung in der Praxis zeigt, dass es einfach nicht funktioniert.

Ich mache es in der Praxis eben eher wie ein Handwerker. Ich habe mich mit verschiedenen Methoden befasst, probiert diese umzusetzen und bin damit gescheitert. Weil etwas nicht funktionierte. Dieses Feedback („Scheitern“) nehme ich aber gerne mit, denn daraus lerne ich am meisten. Und nach vielem Probieren nehme ich mir dann die Dinge, die ich aus verschiedenen Methoden gelernt habe, und kombiniere diese miteinander. Frei nach dem Motto „Take the best of everything“. Und das hat nichts mit besonderen Fähigkeiten zu tun, sondern es ist etwas, was die meisten von uns anwenden können, nämlich: Gesunder Menschenverstand

Da „Umsetzung der DSGVO mit gesundem Menschenverstand“ sich etwas bescheuert anhört, heißt es bei mir eben „Umsetzung der DSGVO mit der GM-Methode“, wobei „GM“ eben für das steht, was es ist: „Gesunder Menschenverstand“.

Die GM-Methode hat bei mir Tradition. Jahrelang war der beliebteste Beitrag auf diesen Internetseiten der Beitrag „So erstellen Sie ein IT-Sicherheitskonzept (Teil 2) – Die „GM“-Methode“. Der Beitrag ist mittlerweile allerdings hoffnungslos veraltet.

Nun aber zum eigentlichen Thema dieses Beitrages. Wie eine „Umsetzung der DSGVO mit der GM-Methode“ aussieht, könnt ihr dieser Webinaraufzeichnung entnehmen:


Wie ihr an Stimme (und Husten) merkt, bin ich gesundheitlich noch nicht ganz fit.

Die Präsentationsfolien könnt ihr hier (PDF) herunterladen.

Das in dem Webinar angesprochene Muster eines Datenschutzhandbuchs wird in Kürze für Datenschutz-Coaching-Mitglieder und Teilnehmer des Online-Kurses für Datenschutzbeauftragte zum Download zur Verfügung stehen. Gleiches gilt für die Muster-TOMs und das Muster-Verarbeitungsverzeichnis. Ihr werdet darüber dann gesondert informiert werden.