Was passiert ist

Nach einer Datenpanne bei einer Kita-App mussten betroffene Einrichtungen prüfen, ob personenbezogene Daten aus ihrem Verantwortungsbereich betroffen waren und ob eine Meldung erforderlich ist.

Interessant ist daran nicht der Einzelfall als Schlagzeile. Interessant ist das Muster dahinter. Die Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschreibt damit keinen exotischen Sonderfall, sondern eine Schwachstelle, die in vielen Unternehmen leise mitläuft, bis jemand sie ausnutzt oder bis ein Betroffener nachfragt.

Wo es im Betrieb teuer wird

Teuer wird es, wenn Technik und Organisation getrennt behandelt werden. Die IT schaut auf Systeme, die Geschäftsleitung auf Tagesgeschäft, Datenschutz auf Meldefristen. Wenn diese drei Ecken nicht verbunden sind, steht im Ernstfall jeder mit einem anderen Schraubenschlüssel vor derselben Maschine.

Dann ist Datenschutz kein Ordner mehr im Regal. Dann geht es um Arbeitszeit, Nachweise, Kundenvertrauen und die Frage, wer jetzt entscheidet. Genau an dieser Stelle wird aus einem scheinbar kleinen Prozessfehler ein Managementthema.

Was Unternehmen daraus ableiten sollten

Für Unternehmen in Freiburg im Breisgau ist der Fall ein brauchbarer Prüfstein. Nicht als Panikfolie. Als Werkstattlampe. Man hält sie auf die eigenen Abläufe und sieht schneller, wo Kabel lose sind.

Verantwortliche bleiben auch bei App- und SaaS-Dienstleistern in der Pflicht. Außerdem: auftragsverarbeitung muss praktisch steuerbar sein. Außerdem: datenpannen brauchen vorbereitete Bewertungs- und Meldeprozesse.. Das klingt trocken, ist aber handfest: Wer diese Punkte vorher klärt, muss im Vorfall nicht erst Zuständigkeiten suchen, Systeme sortieren und Formulierungen abstimmen.

Wie daraus eine bessere Anfrage wird

Der Fall ist gut geeignet, um Dienstleistersteuerung, Auftragsverarbeitung, Datenkategorien und Meldewege abzufragen.

Der praktische Weg ist kurz: erst grob einordnen, dann die richtigen Unterlagen und Zuständigkeiten prüfen, dann entscheiden, ob ein Audit, laufende Betreuung oder ein konkretes Umsetzungspaket passt. Kein Großprojekt ausrufen, wenn zuerst drei Schrauben nachgezogen werden müssen. Aber auch nicht warten, bis die Aufsicht oder ein Kunde die Fragen stellt.