Daten

Datenschutz und Digitalisierung in Einklang bringen

LinkedIn

Datenschutz und Digitalisierung stehen häufig im Konflikt.  Denn im Zuge der Digitalisierung werden immer mehr Daten gesammelt und ausgewertet. Damit dies im Einklang mit den vorherrschenden Gesetzen geschieht, muss jemand mit dem Schutz der Daten beauftragt werden.

Eine sogenannter Datenschutzbeauftragter stellt dies bei Unternehmen sicher. Dabei sollte er oder sie stets lösungsorientiert arbeiten und dem Unternehmen nicht unnötige Hürden aufzwingen. Häufig ist aber nicht klar, wer geeignet ist, diese Stelle zu besetzen und welche Befugnisse er oder sie haben sollte. Ist eine geeignete Person ausgewählt, ist Datenschutz keine lästige Arbeit mehr. Dann kann er auch Freude machen!

Willst Du wissen, was guten Datenschutz ausmacht und warum sich heutzutage jedes Unternehmen mit Datenschutz beschäftigen sollte? Dann erfahre in diesem Leitfaden, wie guter Datenschutz realisiert werden kann und wie er auch bei zunehmender Digitalisierung in Unternehmen zu gewährleisten ist.

1.

Überblick über den Datenschutz bekommen

1.

„Eine Vielzahl von Datenschutzverletzungen treten durch das Versenden von Dokumenten per Mausklick an falsche Adressaten ein!“

Als Unternehmer:in musst Du die zahlreichen Dokumentations-, Auskunfts- und Nachweispflichten der DSGVO (Datenschutz-Grundverordnung) erfüllen. Deshalb solltest Du das Thema Datenschutz in fachlich gute Hände geben und Dich von Grund auf rechtlich abzusichern.

Der oder die Datenschutzbeauftragte (DSB) sollte die notwendige Einhaltung aller Datenschutzvorschriften rechts- und abmahnsicher gewährleisten. Damit Du als Unternehmer:in den Kopf frei hast für andere wichtige Dinge. Denn der Datenschutz wird vor dem Hintergrund der fortschreitenden Digitalisierung, der künstlichen Intelligenz und der immer größer werdenden Datenmengen viele Unternehmen mehr als bisher beschäftigen.

2.

Die Aufgaben von Datenschutzbeauftragten kennen

2.

„Der Datenschutzbeauftragte ist kein Prüfer oder Schnüffler in Deinem Unternehmen, sondern kompetenter Fachbegleiter der verantwortlichen Unternehmensführung!“

Der oder die Beauftragte für Datenschutz wirkt innerhalb Deines Unternehmens auf die Einhaltung des Datenschutzes hin. Er oder Sie beschäftigen sich vor allem mit den individuellen Unternehmensabläufen, die sich mit personenbezogenen Daten befassen bzw. in denen Daten mit Bezug zu natürlichen Personen erhoben, verarbeitet und gespeichert werden.

DSB beraten Dich in allen Fragen der datenschutzrechtlichen Zulässigkeit und geben umsetzbare Handlungsempfehlungen, wie und mit welchen Maßnahmen Du die Datenschutzvorgaben praktisch umsetzen kannst, um ein angemessenes und wirkungsvolles Datenschutzniveau in Deinem Unternehmen zu erreichen und auch nachweisen zu können.

Wird ein qualifizierter DSB frühzeitig in alle datenschutzrechtlichen Fragen eingebunden, sorgt er für:

  • Rechtskonformität
  • Reduziert Haftungsrisiken
  • Einhaltung der individuellen Datenschutzregelungen

Somit ist er ein wichtiger Baustein auf dem Weg zur digitalen Transformation in Deinem Unternehmen
Auch wenn Datenschutzbeauftragte keine Entscheidungskompetenz besitzen, haben sie eine erhebliche Verantwortung in Deinem Unternehmen. Denn mit der zunehmenden Komplexität der gesetzlichen Bestimmungen nimmt auch der Aufgabenbereich stetig zu.

3.

Arbeitsgebiete im Überblick

3.

„Die nachfolgenden Arbeitsgebiete mögen sich eher theoretisch anhören, aber bei qualifizierten und erfahrenen Datenschutzbeauftragten profitierst Du von vielen Beispielen aus deren erlebter Praxis!“

Die nachfolgend ausgewählten Punkte zum Arbeitsgebiet können an dieser Stelle nur rudimentär angesprochen werden:

  1. Durchsicht von automatisierten Datenverarbeitungsprogrammen und -prozessen, die bei der Verarbeitung personenbezogener Daten eingesetzt werden (oder werden sollen)
  2. Durchführung regelmäßiger Schulungen aller Personen, die direkt und auch indirekt mit der Datenverarbeitung beschäftigt sind
  3. Einweisung neuer Mitarbeiter (m/w/d) in die datenschutzrechtlichen Unternehmensvorgaben
  4. Durchführung eines qualifizierten Datenschutz-Audits
  5. Hinwirkung auf die ordnungsgemäße Anwendung der DSGVO
  6. Erstellung von Verzeichnissen der Verarbeitungstätigkeiten und weiterer
    erforderliche Dokumentationen
  7. Planung und Erarbeitung einer umsetzbaren Datenschutzrichtlinie für Dein gesamtes Unternehmen
  8. Erstellung der Datenschutz-Folgenabschätzung
  9. Durchsicht von Verträgen mit externen Dienstleistern im Hinblick auf datenschutz-rechtliche Anforderungen und Besonderheiten
  10. Überprüfung von Überwachungssystemen (z.B. Videoüberwachung) auf Datenschutz und rechtliche Zulässigkeit
  11. Anwendungsempfehlungen für die Nutzung externer Software (u.a. Dropbox, WhatsApp, Facebook, Twitter, diverse Cloudanwendungen etc.)
  12. Umsetzung aller datenschutzrelevanten Inhalte auf Deiner Firmenwebseite, damit diese Homepage rechts- und abmahnsicher ist
  13. Analyse der Übermittlungsarten von Daten in das In- und das Ausland
  14. Kompetenter Ansprechpartner für die Aufsichtsbehörden in Sachen Datenschutz
  15. Analyse des ordnungsgemäßen Umgangs mit personenbezogenen Daten samt deren Verarbeitung und Löschung sowie Beantwortung von relevanten Auskunftsanfragender Kund:innen, Mitarbeiter:innen, Bewerber:innen und Dienstleister.

4.

Voraussetzungen eines Datenschutzbeauftragten

4.

„Der Datenschutzbeauftragte beschäftigt sich zwangsläufig mit den Urtiefen Deines Unternehmens. Bei der Auswahl der Person sollten neben der fachlichen Eignung auch (zwischen-) menschliche und kommunikative Aspekte eine entscheidende Rolle spielen!“

Dein DSB muss laut gesetzlicher Vorgabe fachkundig, integer und zuverlässig sein. Wie weit die Fachkunde sich erstreckt, hängt von der Ausbildung, der permanenten Fortbildung und vor allem seinen Praxiserfahrungen ab. Grundsätzlich kann jede Person Datenschutz verantwortlich sein, sofern sie sich die erforderlichen technischen, rechtlichen und betriebswirtschaftlichen Fachkenntnisse erarbeitet hat.

Allerdings darf der DSB nicht am Ertrag des Unternehmens beteiligt sein. Es dürfen keine Interessenkonflikte bzw. Selbstkontrollen vorliegen – damit scheiden Mitglieder der Geschäftsführung, der Wirtschaftsprüfer/Steuerberater, die Personalleitung sowie Führungskräfte aus der IT-Abteilung aus. Daher ist es vorab sinnvoll zu überlegen, ob überhaupt eine Person aus Deinem Unternehmen für diese relevante Position infrage kommt. Deine Auswahl sollte bei Zweifeln von der Datenschutzbehörde genehmigt werden. Ein Nachweis der Kenntnisse per Zertifikat ist auf jeden Fall unabdingbar.

Der DSB muss:

  • Ausreichende datenschutzrechtliche Fachkunde mitbringen. Seine Fachkunde muss in regelmäßigen Schulungen aktualisiert und erneut bestätigt werden.
  • Einblick in alle relevanten Unternehmensbereiche haben. Es muss die dort stattfindenden Prozesse verstehen, nachvollziehen und datenschutzrechtlich einschätzen können.
  • Gute kommunikative Fähigkeiten haben, um gezielte Nachfragen zu stellen.
  • Änderungsvorschläge vorzustellen, Unternehmensführung beraten und Mitarbeiter:innen schulen.
  • Ein persönliches Standing besitzen, um Änderungsprozesse konsequent zu begleiten und auch gegen Kritik zu verteidigen.

5.

Datenschutz interner oder externer umsetzen

 

„Die Benennung eines externen DSB bietet Dir entscheidende Vorteile. Du bekommst grundsätzlich schnellere qualifizierte Antworten, weil keine unternehmensinterne Konkurrenzverhältnisse bestehen und sich kein Beschäftigter als nerviger Datenschutzpolizist in den eigenen Reihen aufspielen wird!“

Wenn Du Dich weiterhin ernsthaft mit der Frage beschäftigst, einen internen oder externen DSB zu beschäftigen, dann solltest Du die nachfolgenden Punkte genauestens abwägen und Deine eigene Entscheidung treffen:

  • Der seriöse externe DSB bietet Dir eine verbesserte Absicherung bzw. Haftung seiner Beratungsleistungen, weil er verpflichtet ist, eine entsprechende Datenschutz-Haftpflicht-Versicherung nachzuweisen.
  • Erfahrene externer DSB legen Dir eine nachvollziehbare und transparente Kostenübersicht vor, die sich in feste und variable Kosten (je nach Arbeitsaufwand) aufteilen. Die Benennung zum externen DSB erfolgt grundsätzlich immer mit einem entsprechenden Dienstvertrag und beginnt mit der formalen Übergabe der Ernennungsurkunde.
  • Mit der Einsetzung eines externen DSB sparst Du Dir die Aus- und Fortbildungskosten für einen internen Mitarbeiter. Der Aufwand an Zeit für Deinen internen Mitarbeiter ist nicht unerheblich, da er für seine Aufgaben in Teilen von seinen ursprünglichen Aufgaben freigestellt werden muss. Interner Datenschutz läuft nämlich nicht mal so nebenbei!
  • Bei Dir im Unternehmen fallen verpflichtende Weiterbildungskosten weg
  • Ein externer DSB hat in der Regel mit unterschiedlichen Unternehmen zu tun. So hat er verschiedene Erfahrungen zu datenschutzrelevanten Themen.
  • Der interne DSB verfügt über einen erheblich erweiterten Kündigungsschutz. Das kann zu Problemen führen, wenn die Rolle missverstanden wird.
  • Datenschutz ist keine einmalige Aufgabe, die irgendwann beendet ist. Es ist ein Prozess, der gemeinsam begonnen und permanent weiterverfolgt wird.

6.

Datenschutz kostet Geld

6.

„Ernsthafter Datenschutz kostet Geld!  Aber diese Ausgaben rentieren sich mittel- und langfristig auf vielfältige Art und Weise!“

Die negativen Auswirkungen auf Dein Unternehmen bei Nichtbeachtung der Datenschutz-Vorgaben sind beträchtlich: Identitätsdiebstahl, Rufschädigung und finanzielle Verluste durch Einnahmeeinbußen.

Datenschutz ist eine Aufgabe, die individuell auf den Bedarf Deines Unternehmens abgestimmt werden muss. Die Kosten für einen DSB hängen in der Regel vom Umfang und der zu erbringenden Leistungen ab. Insbesondere Dein aktuelles Datenschutzniveau sowie der Art und der Umfang, in dem personenbezogenen Daten verarbeitet werden, beeinflusse die anfallenden Kosten.

7.

Die Zukunft des Datenschutzes

7.

„Datenschutz schafft ein gutes Gefühl, endlich abmahn- und rechtssicher unterwegs zu sein!“

Der Datenschutz auch in Deinem Unternehmen wird immer wichtiger und anspruchsvoller. Die Anforderungen an den DSB steigen permanent und das Aufgabenfeld des DSB wird sich im Rahmen der voranschreitenden Digitalisierung noch erweitern.

Um zu verstehen, welche Fragestellungen ein Datenschutzbeauftragter beantwortet, folgt hier eine kleine Auswahl aus der Praxis:

  • Dürfen meine Mitarbeiter (m/w/d) das Internet privat nutzen?
  • Darf ich in CORONA-Zeiten bei meinen Mitarbeitern Fieberkurven speichern?
  • Muss ich mein Arbeitszimmer im Home-Office verschließen?
  • Welche Unterlagen dürfen nicht auf meinem Schreibtisch liegen bleiben?
  • Sind Video-Überwachungen von öffentlichen Flächen datenschutzkonform?
  • Muss ich die dienstliche Nutzung von WhatsApp verbieten?
  • Haben meine Mitarbeiter (m/w/d) alle notwendigen datenschutzrechtlichen Papiere in ihren Personalakten?
  • Bin ich genügend abgesichert?
  • Wo liegen eigentlich die Server mit unseren Datensicherungen?
  • Wann hatten meine Mitarbeiter (m/w/d) die letzten Unterweisungen im Datenschutz?
  • Habe ich einen klaren Plan, wenn Daten abhandenkommen? Was ist zu tun?
  • Kennt meine IT-Abteilung die geltenden Datenschutzbestimmungen?

Jetzt weißt Du, was Du bei der Auswahl eines Datenschutzbeauftragten beachten musst und wie Du Datenschutz und Digitalisierung in Einklang bringst. Falls Du weitere Fragen oder Anregungen zum Thema Datenschutz haben solltest, melde Dich doch gerne bei uns. Wir stehen Dir jederzeit mit unserem Netzwerk zur Seite.

Weiterführende Quellen und Links

DSGVO (2016): „Datenschutz-Grundverordnung“
BMI (2018): „Neu­konzep­tion des Bundes­daten­schutz­gesetzes“
LDI (2021): „Tipps A – Z“
LDA (2021): „Informationen von A bis Z“

Bildnachweise:

Photos by Adobe Stock

Autor Thomas Lepping

Dipl.-Geograph Thomas Lepping ist Geschäftsführer der Digitalagentur DIMATA in Borken/Westf. und Datenschutzbeauftragter (TÜV Rheinland) aus Überzeugung und Leidenschaft. Er begleitet zahlreiche klein- und mittelständische Unternehmen aus den unterschiedlichsten Segmenten als externer Datenschutzbeauftragter.


Schreibe einen Kommentar