Betrieblicher Datenschutz

Die Europäische Datenschutz-Grundverordnung

Durch das Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU-DS-GVO) am 25. Mai 2016 und dem Ende der Übergangsfrist bis zur Anwendung ab dem 25. Mai 2018 ergaben sich für Unternehmen umfangreiche Neuerungen im Bereich Datenschutz von personenbezogenen Daten.

Sinn oder Unsinn ?

Fakt ist, durch die EU-DS-GVO wurde von der EU-Kommission ein zentrales Rahmenwerk zur Harmonisierung des Datenschutzes geschaffen um den Veränderungen im technischen Umfeld und den wachsenden internationalen Handelsbeziehungen in datenschutzrechtlichen Belangen Rechnung zu tragen.

Auswirkung für Sie als Unternehmer

Unternehmen, die personenbezogene Daten verarbeiten und speichern, müssen nun einige Prozesse überprüfen und an die Änderungen im Datenschutzrecht anpassen, bestimmte Dokumentationspflichten einhalten, Dokumente zu den Datenverarbeitungs-prozessen im Unternehmen erstellen, und Verfahren implementieren wie mit Informationspflichten, Einwilligungen, Widersprüchen, Datenpannen usw. umzugehen ist. Denn bei Verstößen gegen die Bestimmungen des neuen Datenschutzrechts sieht die Datenschutz-Grundverordnung Sanktionen der Behörden und auch höhere Bußgelder als bisher vor.

Datenschutz, Aufwand <> Vorteil?

Warum soll sich Ihr Unternehmen mit dem Datenschutz befassen?
Zeigt sich der Datenschutz doch eher als erzwungen, durch gesetzliche Vorschriften aufgedrückt, unnötigen Aufwand produzierend und geschäftliche Chancen eher behindernd als fördernd. Doch die Vorteile des Datenschutzes werden dabei übersehen.

Datenschutz ist nicht einfach eine gesetzliche Verpflichtung, sondern Datenschutz resultiert aus den Wünschen der Kunden, der Beschäftigten, ja der ganzen Gesellschaft nach Selbstbestimmung, Privatsphäre und Sicherheit.

Datenschutz ist Kundenschutz. Die Schlagzeilen sind voll von Datenpannen, -missbrauch und Hackerangriffen. Kundenvertrauen = Wettbwerbsvorteil

Datenschutz ist Qualitätsmerkmal für eine gute Unternehmensführung und steht für Zuverlässigkeit un Vertrauenswürdigkeit bei Kunden, Mitarbeitern und Geschäftspartnern.

Datenschutz spart Kosten. Wenn auch nicht gleich ersichtlich, sind aber die anfallenden Aufwendungen und Kosten zur Implementierung und Beibehaltung des Datenschutzes doch geringer als die Kosten die durch mangelnden Datenschutz oder eventuell ausge-sprochene Sanktionen der Datenschutzbehörden entstehen können. Bedenken Sie auch eventuelle zivilrechtliche Strafen oder die Haftungsfrage bei Verstoß gegen die Sorgfaltspflichten.

Datenschutz verbessert Abläufe und Prozesse. Willkommene Nebeneffekte von Maßnahmen zum Datenschutz zeigen sich in optimierten Abläufen, einer besseren Datenhaltung, einer gesteigerten Transparenz in der IT und resultierend daraus Einsparungspotential durch Optimierung in der Datenverarbeitung.

Datenrisiken vermeiden heißt Betriebsrisiken vermeiden.

Der Datenschutz im Betrieb

Als zertifizierter Datenschutzbeauftragter (IHK) unterstütze ich als Berater oder als externer Datenschutzbeauftragter, gemäß Art. 37 EU-DSGVO und § 38 BDSG, Sie und Ihr Unternehmen bei der Errichtung und Aufrechterhaltung einer Ihrem Unternehmenszweck angemessenen Datenschutzorganisation nach den Bestimmungen des Art. 39 EU-DSGVO.

In meiner Tätigkeit als ein externer Datenschutzbeauftragter/-berater biete ich Ihnen ein umfangreiches Spektrum an Leistungen, insbesondere

  • Beratung und Betreuung der Geschäftsführung eines Unternehmens zu Datenschutzrisiken, in Datenschutzfragen und in Fragen der Erfüllung gesetzlicher Pflichten;
  • das Erarbeiten von Maßnahmen zum Datenschutz; Anpassen von Betriebsvereinbarungen an die DS-GVO;
  • Einweisung und durchführen von zielgerechten Schulung von datenverarbeitendem Personal, Durchführen von Kontrollen und Audits;
  • Planung und Einführung eines Risikomanagementsystems zur Festlegung geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz;
  • Bearbeitung von Auskunftsersuchen von Betroffenen; 
  • Unterstützung bei der datenschutzgerechten Ausgestaltung von Verträgen bei externer Auftragsdatenverarbeitung;
  • Unterstützung bei der Gestaltung von datenschutzkonformen Formularen und Verträgen;
  • Mitwirkung bei der gesetzlich vorgeschriebenen Dokumentation, bei den Informationspflichten, bei Einwilligung/Widerruf, bei Datenpannen;
  • Informationsmittler für Aufsichtsbehörde und Überprüfung von Allgemeinen Geschäftsbedingungen (AGB) zu Erfordernissen im Datenschutz;

Wie läuft eine Zusammenarbeit ab

Ein betrieblicher Datenschutzbeauftragter hat grundsätzlich die Aufgabe, auf den Datenschutz im Unternehmen hinzuwirken. Er hat damit eine begutachtende und eine beratende Funktion.

Da kein Unternehmen wie das andere ist, unterschiedliche Voraussetzungen und Systeme einsetzt, muss erst geklärt werden ob, wo und welche personenbezogenen Daten, die im Unternehmen verwendet werden, gespeichert und verarbeitet werden. Damit kommt ein nicht geringer Aufwand für die Analyse der datenverarbeitenden Prozesse auf die Unternehmen zu, denn in vielen kleineren und mittelständischen Firmen fehlt der Überblick, wo die Daten im Unternehmen verteilt liegen.

Dafür bieten sich folgende Schritte an:

  • Vorgespräch mit Verantwortlichen
    Die Basis einer Zusammenarbeit, egal ob beratend oder als bestellter Datenschutzbeauftragter, ist das Vorgespräch mit dem Verantwortlichen im Unternehmen. Nur mit ausreichender Informationsbasis kann der Verantwortliche, wenn er gewillt ist, den Schutz von persönlichen Daten im Unternehmen als Notwendig und Erforderlich anerkennen und die Richtlinien, die zum Datenschutz beitragen und gesetzlich gefordert sind, durchsetzen. Nur so ist ein erfolgreicher Standard zu erreichen.
  • Ist-Aufnahme
    Zunächst sind alle datenschutzrelevanten Prozesse im Unternehmen zu ermitteln. Dazu kann mit den jeweiligen Abteilungen, wie z.B. Personal, IT, Marketing und Vertrieb, über den momentanen Umgang mit personenbezogenen Daten gesprochen werden. Außerdem können Unterlagen, Verträge und Richtlinien, die bereits zum Datenschutz vorhanden sind, zusammengetragen werden.
  • Datenschutzstandard bewerten (Gap-Analyse)
    Anhand der Ist-Aufnahme kann der Datenschutzstandard bewertet werden. Wo ist bereits ein gutes Level erreicht, an welcher Stelle befinden sich noch Lücken? Sind alle notwendigen Unterlagen vorhanden?
  • Priorisierung und Maßnahmenplan
    Sind die Lücken beim Datenschutz bekannt, kann eine Priorisierung der weiteren Maßnahmen erfolgen. Außerdem bringt eine weitere Planung Struktur in das Thema Datenschutz. Einführung, Prüfung und Dokumentation der Maßnahmen nach Maßnahmenplan.
  • Mitarbeiter sensibilisieren
    Datenschutz im Betrieb funktioniert nur, wenn die datenverarbeitenden Mitarbeiter umfassend auf das Thema sensibilisiert sind. Der Datenschutzbeauftragte ist in gewisser Weise darauf angewiesen, von den jeweils zuständigen Mitarbeitern über die aktuelle Verarbeitung personenbezogener Daten informiert zu werden. Eine Sensibilisierung kann durch regelmäßige Schulungen, aber auch durch Richtlinien erfolgen.
  • Laufende Tätigkeit
    Datenschutz ist ein fortlaufender Prozess. Auch wenn der Maßnahmenplan abgearbeitet wird, ist der Datenschutzstandard ständig neu zu bewerten und zu beurteilen. Dabei müssen neue Entwicklungen, sowohl im Unternehmen, als auch auf Seiten des Gesetzgebers und der Aufsichtsbehörden, mitberücksichtigt werden.

Bild von Pete Linforth auf Pixabay