Den Einstieg in den Datenschutz meistern

Den Einstieg in den Datenschutz meistern

Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25. 05. 2018 anzuwenden. Trotzdem gibt es weiterhin eine Vielzahl an Unternehmen, die dieses Thema immer wieder in die Zukunft verschieben. So konnten sie bisher noch nicht den Einstieg in den Datenschutz meistern. Dieser Beitrag soll Sie daher voranbringen.

Rechtliche Grundlagen

Die DSGVO wurde zur Regelung der Verarbeitung personenbezogener Daten und zur Vereinheitlichung der Datensicherheit auf dem Gebiet der EU in Kraft gesetzt. Sie beinhaltet Vorschriften dazu, welche Maßnahmen datenverarbeitende Unternehmen zum Schutz der von ihnen verarbeiteten personenbezogenen Daten einzuführen haben, welche Verträge abzuschließen sind, ab wann oder in welchem Fall ein Datenschutzbeauftragter zu benennen ist usw. Das Bundesdatenschutzgesetz (BDSG) regelt in den von der DSGVO zugelassenen Sonderfällen Einzelheiten der Datenverarbeitung und den Datenschutz für das deutsche Bundesgebiet.

Benennung eines Datenschutzbeauftragten oder eines -koordinators

Wie in vielen Bereichen des Lebens muss man den Anfang machen, um sich in das Thema Datenschutz Stück für Stück einzuarbeiten und es im Unternehmen zu integrieren. Zuerst sollten Unternehmen prüfen, ob sie einen Datenschutzbeauftragten (englisch: Data Protection Officer/DPO) benennen müssen. Anfänglich legte Art. 37 DSGVO i. V. m. § 38 BDSG fest, dass ein Unternehmen ab einer Anzahl von zehn Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten betraut sind, einen Datenschutzbeauftragten benennen muss. Inzwischen ist die Zahl auf mindestens zwanzig geändert worden, sofern nicht eine der seltenen Ausnahmen greift.

Wenn ein Unternehmen nach den rechtlichen Vorgaben keinen Datenschutzbeauftragten benötigt, ist es dennoch empfehlenswert, einen Datenschutzkoordinator zu bestimmen. Unternehmen müssen unabhängig davon alle datenschutzrechtlichen Bestimmungen beachten und entsprechende Maßnahmen ergreifen. Hilfreich ist es, die Koordination des Themas auf möglichst wenige Personen zu konzentrieren. So kann man Missverständnisse vermeiden, Know-How bündeln und die Schulungskosten konzentrieren. Sobald geklärt ist, wer welche Aufgabe übernimmt, kann man sich an die eigentliche Umsetzung des Datenschutzes machen.

Vorgehensweise

In welcher Reihenfolge man bei der Umsetzung des Datenschutzes im Unternehmen vorgeht, ist jedem Unternehmen selbst überlassen. Denklogisch wäre jedoch der erste Schritt, festzustellen, in welchen Bereichen besonders viele oder besonders sensible personenbezogene Daten verarbeitet werden, also nach Risikoschwerpunkten vorzugehen. Sodann muss eine Firma analysieren, wie der Stand der Datensicherheit ist. Es ist also eine Ist-Analyse durchzuführen. Anhand der Ergebnisse dieser kann der Datenschutzbeauftragte das Unternehmen bei Lösungen und Maßnahmen zur Beseitigung eventueller Datenschutzmängel beraten.

Sodann sollten Sie damit beginnen, alle erforderlichen Dokumente wie z. B. Verarbeitungsverzeichnisse, Datenschutzrichtlinie, Richtlinie für E-Mail- und Internetnutzung, Regelungen zu Bring/Use Your own Device, Home-Office-Regelungen, Verschwiegenheitsverpflichtungen und Verpflichtung auf Datenschutz, Erfüllung datenschutzrechtlicher Informationspflichten gegenüber Mitarbeitern, Kunden, Geschäftspartnern sowie Bewerbern, Prozesse für Meldepflichten bei Datenpannen, Regelungen zur Videoüberwachung, IT-Sicherheitskonzepte etc. zu erstellen und eventuell nötige Verträge, insbesondere zur Auftragsverarbeitung anzubahnen, zu prüfen und abzuschließen. Der Datenschutzhinweis für die Webseite sollte hierbei nicht vergessen werden. Diese ist sozusagen Ihr Aushängeschild nach außen und zeigt, wie sorgfältig Sie sich mit dem Datenschutz auseinandersetzen. Wenn Sie das nicht gut machen, ist dies zugleich der Aufhänger für mögliche Abmahnungen oder Datenschutzprüfungen durch die Datenschutzaufsichtsbehörde.

Fazit

Schwierigkeiten ergeben sich bei mangelnden Kenntnissen zum Datenschutz und diese können, wenn sie von Kunden oder (ausscheidenden) Mitarbeitern entdeckt werden, zu erheblichen Bußgeldern führen. Wenn Sie sich also mangels interner Ressourcen oder Datenschutzwissen entscheiden, eine externe Firma mit der Datenschutzberatung, der Erarbeitung eines Datenschutzkonzeptes samt Datenschutzdokumentation oder der Funktion des Datenschutzbeauftragten zu betrauen, kontaktieren Sie uns gerne. Unsere Datenschutzberater unterstützen Sie bei der notwendigen Dokumentation, der Mitarbeiterschulung zum Datenschutz und stehen bei konkreten datenschutzrechtlichen Fragen zur Seite. Haben Sie hingegen intern jemanden mit dem nötigen Wissen, aber Bedenken, diese Person zum Datenschutzbeauftragten zu benennen oder benötigen von der Unternehmensgröße her keinen Datenschutzbeauftragten, kann die dpc Data Protection Consulting GmbH Ihre Mitarbeiter unterstützen, entlasten und Ihnen mehr Sicherheit geben.

Falls Sie unsicher sind, wie Sie diese Thematik in Ihrem Unternehmen regeln und umsetzen können, kontaktieren Sie uns. Wir haben die nötige Erfahrung und können helfen, den Datenschutz in Ihrem Unternehmen zügig und gewissenhaft umzusetzen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.