»100 % DSGVO-konform«

Was auf der Marketingseite nach Vertrauen klingt, ist in der Praxis ungefähr so aussagekräftig wie die TÜV-Plakette meines ersten Autos. Das war übrigens ein roter Ford Fiesta 1.6 D.

Stephan Witt

Stephan Witt

3 min read
Zertifikat: 100% DSGVO-Konform (AI-generiert)

Es hätte so einfach werden können. Der Dienstleister machte so einen guten Eindruck. Mein Auftrag: Was hältst Du von diesem Dienstleister und seiner App? Kannst Du uns dazu beraten? Im Anhang der Mail eine Powerpoint. Darin eine Beschreibung der App, die übliche Vorstellung des Dienstleisters. Und dann, auf Folie 3, prominent platziert: »100 % DSGVO-konform.« Ein grünes Häkchen.
Ich finde das problematisch.

»DSGVO-Konformität ist kein Zertifikat, das man einmal erwirbt und dann gerahmt ins Eingangsfoyer hängt.«

Ich würde ihnen hier nun gerne mein erstes Auto vorstellen, aber leider habe ich keine digitalen Fotos. »TÜV-geprüft – April 1990.« Wie auch immer der Vorbesitzer dieses Zertifikat ergattern konnte: Selbst im Mai 1990 wären Sie nicht freiwillig in diese Karre gestiegen. Und so wundert es auch nicht, dass unser gemeinsames Glück nur bis September 1990 hielt. Fragen Sie nicht.

Die DSGVO-Konformität funktioniert nach demselben Prinzip – nur dass es hier kein Nummernschild gibt, das man einziehen kann.

Ford Fiesta - in schön. Foto: Pixabay.

Was »konform« eigentlich bedeutet

Die DSGVO-konformität ist kein Produkt, das man kauft. Sie ist kein ISO-Zertifikat, das nach drei Jahren abläuft und dann einfach verlängert wird. Sie ist ein fortlaufender Prozess, ein lebendiges Regelwerk, das mit jedem datenschutzrelevanten Gerichtsurteil und jeder neuen Dienstleisterbeziehung neu justiert werden muss.

Was also gehört zu diesem Prozess? Hier – ohne Anspruch auf Vollständigkeit – ein kleiner Einblick in das, was eine wirklich belastbare Datenschutz-Governance ausmacht:

  • Regelmäßige Mitarbeitersensibilisierung – Nicht einmalig beim Onboarding, nicht als PDF im Intranet, das seit 2019 niemand geöffnet hat. Sondern kontinuierlich, praxisnah und nachweisbar.
  • Aktuelles Verzeichnis von Verarbeitungstätigkeiten (VVT) – Wächst mit jedem neuen Tool, jeder neuen Drittlandübermittlung, jeder neuen Funktion.
  • Datenschutz-Folgenabschätzungen (DSFA) – Immer dann, wenn neue Verarbeitungen ein hohes Risiko bergen.
  • Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern – Vollständig, rechtssicher, aktuell.
  • Drittlandtransfers und Standardvertragsklauseln – Seit Schrems II besonders heiß. Wer Daten in die USA überträgt, muss nachweisen können, warum das trotzdem rechtmäßig ist.
  • Technische und organisatorische Maßnahmen (TOMs) – Regelmäßig überprüft, dokumentiert, angepasst. Stand der Technik ist ein bewegliches Ziel.
  • Datenpannen-Management – Ein 72-Stunden-Prozess, der funktioniert, bevor er gebraucht wird. Nicht danach.
  • Betroffenenrechte-Prozesse – Auskunft, Löschung, Widerspruch. Innerhalb der Fristen. Mit Dokumentation.

Das Kernproblem: Compliance rostet

Was mich an der Marketingaussage »100 % DSGVO-konform« am meisten irritiert, ist nicht die Unwahrheit – es könnte ja sein, dass das Unternehmen wirklich aktuell gut aufgestellt ist. Es ist die Suggestion, man habe etwas ein für alle Mal erreicht.

Datenschutz ist eher wie Zähneputzen als wie Abitur machen. Das einmalige Bestehen hat nach dreißig Jahren keinen großen Einfluss mehr auf den Zustand Ihres Gebisses. Wer morgen aufhört, hat übermorgen einen reichen Zahnarzt.

Was ich als Berater frage – und was Sie fragen sollten

»Wann wurde Ihr Datenschutzkonzept zuletzt vollständig überprüft? Wer ist Ihr betrieblicher Datenschutzbeauftragter, und wann hat er zuletzt eine Schulung durchgeführt? Haben Sie ein aktuelles VVT, und darf ich es sehen?«

Die Antworten auf diese drei Fragen sagen mehr als jedes Marketingbanner.

Wie eine seriöse Aussage stattdessen klingen könnte

Ich mag Unternehmen, die schreiben: »Datenschutz ist uns ein fortlaufendes Anliegen. Wir arbeiten kontinuierlich an unserer Compliance und benennen Ihnen gern unseren Datenschutzbeauftragten als Ansprechpartner.« Das ist weniger punchig. Es passt nicht auf einen Button. Aber es ist ehrlich – und ehrlich ist in diesem Bereich die einzig belastbare Währung.

Das »100 %«-Versprechen hingegen hat ein strukturelles Problem: Es gibt keine Prüfinstanz, die es vergibt, und keine Behörde, die es bestätigt. Es ist ein marketinggetriebenes Selbstzeugnis.

Fazit: Das Häkchen ist kein Freifahrtschein

»100 % DSGVO-konform« auf der Website für mich kein Pluspunkt. Sie ist ein Warnsignal. Sie zeigt mir, dass entweder das Marketing die Rechtslage nicht verstanden hat – oder dass man hofft, der Kunde tue es auch nicht.

Beides ist unbefriedigend.

Read more