„Innovationen optimieren Ihr Forderungsmanagement. Abonnieren Sie den atriga Newsletter und erfahren Sie immer zuerst davon!“
atriga News
Kristin Pagnia, Datenschutzbeauftragte der atriga GmbH, im Gespräch: „Datenschutz muss aktiv im Unternehmen gelebt werden.“ (2/2)
Das im letzten Newsletter beschriebene Beispiel H&M zeigt ganz deutlich: Die Bundes- und Länderbehörden machen ernst, die Schonfrist bei Verstößen gegen die DSGVO ist vorbei. Unternehmen sollten das Risiko nicht auf die leichte Schulter nehmen. Für die atriga ist das selbstverständlich: Das Langener Unternehmen hat die Herausforderung DSGVO schon sehr frühzeitig angenommen und den Datenschutz zur Chefsache gemacht: Die Geschäftsführung bestellte im Januar letzten Jahres die langjährige atriga-Syndikusanwältin Kristin Pagnia zur neuen Datenschutzbeauftragten (DSB). Sie löst einen zuvor mit dieser Aufgabe betrauten externen Dienstleister ab. Wir haben mit Kristin Pagnia über die Hintergründe und Chancen dieser Entscheidung gesprochen und ein erstes Resümee eingeholt.
Was waren Ihre ersten Schritte als interne Datenschutzbeauftragte der atriga?
Wir haben in den ersten Monaten alle Datenschutz-Prozesse erneut durchleuchtet und geschaut, in welchen Bereichen wir noch besser werden können. Denn Datenschutz dient nicht nur dem Schutz der Privatsphäre, er muss von allen Akteuren aktiv gelebt werden. Unsere Mandanten und deren Kunden, also die Schuldner im Inkassoverfahren, müssen sicher sein, dass sie sich beim Datenschutz auf uns verlassen können. Das gilt im gleichen Maße für unsere Arbeitnehmer, Bewerber und andere Beteiligte. Leider wurde der geplante Workflow für meine ersten Schritte als interne Datenschutzbeauftragte durch die Corona-Pandemie kräftig durcheinandergewirbelt.
Von jetzt auf gleich schickte atriga im März letzten Jahres den größten Teil der Mitarbeiter ins Homeoffice. Kommunikation war plötzlich nur noch über Videokonferenzen möglich. Der Schwerpunkt meiner Tätigkeit lag demzufolge erst einmal auf Themen wie der Erstellung von Homeoffice-Richtlinien und der datenschutzrechtlichen Prüfung von Videokonferenzanbietern. Hinzu kamen Fragestellungen des Mitarbeiterdatenschutzes im Zusammenhang mit den klassischen Corona-Fragen des Arbeitgebers zu Urlaubsaufenthalten des Mitarbeiters, Aufenthalten in Risikogebieten und der Nutzung von Corona-bedingten Gesundheitsdaten.
„Unsere IT-Entwicklungsabteilung arbeitet nach dem Konzept ‚Privacy by design‘: Die Vorgaben des Datenschutzes sind automatisch in unsere Lösungen und Produkte integriert.“
Kristin Pagnia, Syndikusanwältin und interne Datenschutzbeauftragte der atriga
Sie sind nun ‚Betriebliche Datenschutzbeauftragte IHK‘, was haben Sie bei dem umfangreichen Lehrgang an Neuem erfahren?
Die rechtlichen Themen waren für mich als Juristin zum großen Teil Wiederholung. Interessant fand ich es, Einblicke in IT-Themen zu bekommen. Mit diesem Bereich hatte ich bisher nur im Rahmen des Tagesgeschäftes zu tun, also bei der Umsetzung von Projekten der IT-Abteilung, die den Datenschutz oder Rechtsfragen tangierten. Die atriga-eigene IT-Entwicklungsabteilung arbeitet ohnehin nach dem Konzept ‚Privacy by design‘: Die Vorgaben des Datenschutzes sind automatisch in unsere Lösungen und Produkte integriert. Durch den Lehrgang habe ich nun viele Begriffe aufgearbeitet oder tiefer definiert, die ich sonst nicht detailliert hinterfragt habe oder bei denen ich nur über Halbwissen verfügte. Bei den verschiedenen Dozenten der IHK war es interessant zu erleben, wie unterschiedlich die Praktiker aus verschiedenen Bereichen an datenschutzrechtliche Themen herangehen.
Wie erkennen potentielle Mandanten, wie ihr Inkassopartner beim Datenschutz aufgestellt ist?
Das erkennt man im Regelfall schon bei der detaillierten Betrachtung der Webseite. Dort sollte beispielsweise der Datenschutzbeauftragte genannt sein und eine Datenschutzerklärung bereitgestellt werden, die den Vorgaben der DSGVO entspricht. Auf unserer Webseite ist auch ersichtlich, dass wir uns im Bereich Datenschutz ständig fortbilden und engagieren. Wir sind zum Beispiel Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) und dort auch in Arbeitskreisen vertreten. Wir sind zudem Mitglied im Arbeitskreis Datenschutz des BDIU (Bundesverband Deutscher Inkasso-Unternehmen e.V.) und ich bin stellvertretende Vorsitzende im Arbeitskreis Datenschutz des Bundesverbands Credit Management e.V. (BvCM). Zudem wurde uns von großen Konzernen im Rahmen umfangreicher DSGVO-Audits hier im Haus mehrfach ein ‚vorbildlicher Datenschutz‘ attestiert.
Was passieren kann, wenn man im Bereich Datenschutz nicht zu 100 Prozent gesetzeskonform arbeitet und wie drastisch Strafen ausfallen können, sehen wir unter anderem im Fall von H&M. Letztlich geht es auch nicht nur darum, Bußgelder zu vermeiden, sondern die personenbezogenen Daten, die einem von Kunden, Schuldnern, Mitarbeitern, Bewerbern und anderen anvertraut werden, bestmöglich zu schützen und ein Partner zu sein, dem man vertrauen kann.
Haben Sie zum Abschluss noch einen Tipp für Auftraggeber?
Sehr gerne! Auftraggeber sollten einen besonders kritischen Blick auf die datenschutzkonforme Datenerhebung ihres potentiellen Dienstleisters bei digitalen Kommunikations- und Mahnprozessen werfen. Denn vor allem beim Einsatz von Machine Learning oder KI-gestützten Prozessen lauern eine Vielzahl von Risiken, die sich negativ auf die Reputation des eigenen Unternehmens auswirken können.
Das verrät ein Blick auf die Website eines Inkassounternehmens:
- Werden Name und Anschrift des Verantwortlichen genannt und hat das Unternehmen einen Datenschutzbeauftragten?
- Gibt es eine Datenschutzerklärung?
- Wird in der Datenschutzerklärung oder auf anderem Weg darüber informiert, was mit den Daten beim Kontakt mit dem Inkassounternehmen passiert?
- Wird darüber informiert, welche Rechte und Pflichten die Beteiligten haben?
