Menü
Bringen Sie Ihr Unternehmen in Stellung. Eine sortierte Unternehmensorganisation ist schon die halbe Miete.
Bevor Sie sich an den Datenschutz heranmachen, gibt es grundlegende Überlegungen, die sich im weiteren Verlauf als hilfreich erweisen können.
Welche gesetzlichen Datenschutz-Anforderungen bestehen und welche Voraussetzungen und Zuständigkeiten können Sie bereitstellen, um den Anforderungen gerecht zu werden? In anderen Worten: Welche Ressourcen haben Sie?
Bei Ihren Überlegungen, wer was im Datenschutz machen könnte, kommt zwingend die Frage auf, ob Ihr Unternehmen einer gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten gemäß der DSGVO unterliegt. Dies ist grundsätzlich ein im Vorfeld zu klärender Aspekt. Auch wenn Sie keine gesetzliche Pflicht zur Benennung haben, kann sich eine begleitende Datenschutzberatung lohnen, da diese – gerade zu Beginn Ihrer Datenschutz-Reise – mit entsprechender Fachkompetenz unterstützen kann.
Für kleine Unternehmen, Kleinunternehmen, Selbstständige, Freiberufler gibt es viele gesetzliche Vorgaben, an die sie sich halten müssen. Es ist hilfreich, sich über die Rechtsvorschriften, die für Ihr Unternehmen und Ihre Branche relevant sind, einen Überblick zu verschaffen. Neben der europaweit geltenden DSGVO sind auch die bundesweiten, landesweiten und spezifischen Regelungen zum Datenschutz zu berücksichtigen:
DSGVO – Datenschutzgrundverordnung – mit EU-weiten Regelungen zum Datenschutz
BDSG – Bundesdatenschutzgesetz – mit bundesweiten Regelungen zum Datenschutz
Branchenspezifische, sektorspezifische Regelungen
Verträge
Die DSGVO hat unmittelbaren Einfluss auf alle Ihre Bereiche, in denen Sie personenbezogene Daten verarbeiten.
Aber auch Auftraggeber, Kunden, Investoren und Geldgeber haben datenschutzrelevante Interessen, die es zu berücksichtigen gilt.
Zu Beginn ist es hilfreich, eine Art Absichtserklärung in einer Datenschutz-Leitlinie oder Datenschutz-Richtlinie zu dokumentieren. Diese muss nicht lang sein und kann bereits eine Beschreibung enthalten, wer wofür zuständig ist. In dieser übergeordneten Leitlinie wird in der Regel auf bestehende untergeordnete Richtlinien verwiesen. Ganz konkrete Anweisungen zum Umgang mit personenbezogenen Daten können Sie auch in bestehende Arbeitsanweisungen einbinden.
Müssen Sie die DSGVO überhaupt umsetzen? Die Antwort lautet in der Regel ganz klar JA. Die Voraussetzung dafür besteht bereits grundsätzlich, wenn Sie wirtschaftlich in der Europäischen Union tätig sind und wenn Sie personenbezogene Daten verarbeiten. Der Begriff der Verarbeitung ist dabei weit gefasst.
Die Benennung eines Datenschutzbeauftragten ist eine gesetzliche Pflicht, sofern Ihr Unternehmen nicht von einer Benennungspflicht ausgenommen wird. Kleine Unternehmen, Kleinunternehmen, neugegründete Unternehmen und Freiberufler müssen häufig keinen Datenschutzbeauftragten benennen.
Weitere Ausführungen zum Datenschutzbeauftragten, seinen Aufgaben und zur Benennungspflicht finden Sie im Basiswissen unter „Datenschutzbeauftragter“.
Ein Überblick über die Rechtsvorschriften, welche für Ihr Unternehmen und Ihre Branche relevant sind, erweist sich außerdem als hilfreich, wenn es später darum geht, die Informationspflichten gegenüber Betroffenen zu erfüllen oder die korrekte Rechtsgrundlage in einem Verzeichnis der Verarbeitungstätigkeiten (VVT) zu dokumentieren.
Wenn Sie sich um den Datenschutz in Ihrem Unternehmen kümmern sollen, ist es hilfreich, den Kontext Ihres Unternehmens zu verstehen. Erweitern Sie Ihren Blick über die reine Datenschutzbrille hinaus und bringen Sie so Geschäftsprozesse und Datenschutz logisch zusammen.
Entwickeln Sie eine Datenschutzorganisation, die auf Ihre spezifischen Umstände passt. Die Datenschutzorganisation kann sehr klein sein und sich in einer Person darstellen oder über verschiedene Arbeitsbereiche und Personen gehen. Finden Sie die für Ihr Unternehmen spezifischen Probleme heraus und gehen Sie diese gezielt an.
Die Dokumentation Ihres firmenspezifischen Umfeldes und Ihrer Organisation dient in erster Linie der eigenen Verdeutlichung von Anforderungen. Datenschutz-Leitlinien und ‑Richtlinien dienen als Orientierung für Ihre Beschäftigten und werden von diesen gelesen. Vorgaben aus den Richtlinien zum Datenschutz können vertraglich auch für Auftragnehmer von Ihnen gelten.
Eine Datenschutz-Leitlinie ist kein Geheimnis, im Gegenteil. Sie dokumentiert, dass sich die Geschäftsleitung ihrer Verantwortung bewusst ist. In der Regel wird das Dokument von der Geschäftsleitung unterschrieben und den Beschäftigten zur Verfügung gestellt, zum Beispiel im Rahmen einer Arbeitsaufnahme oder im firmeninternen Intranet.
Eine Leitlinie kann kurz oder lang sein, auch sehr lang, muss sie aber nicht. Sie kann von einem Rechtsanwalt geschrieben werden oder von Ihnen selbst. Konkret umzusetzende Punkte zum Datenschutz kommen in einer Leitlinie in der Regel noch nicht vor, da diese erst in einer Richtlinie vorgegeben werden. Im Großen und Ganzen steht in Ihrer Leitlinie, dass Sie sich der Verantwortung zum Datenschutz bewusst sind, die Verantwortung annehmen und in groben Zügen aufzeigen, wie Sie sie umsetzen wollen. Wichtig ist:
Im Einzelnen sollte eine Leitlinie folgende Punkte enthalten:
Ist die eigene Leitlinie einmal erstellt, dürften sich im Laufe der Zeit nicht allzu viele Änderungen ergeben. Dennoch sollten Sie Ihre Leitlinie regelmäßig (z. B. mindestens jährlich) prüfen. Insbesondere dann, wenn sich Gesetze ändern oder Sie Ihre Zuständigkeiten im Datenschutz und zur IT-Sicherheit neu aufgestellt haben.
Nehmen Sie Ihre Beschäftigten mit ins Boot. Nachdem Sie Ihre Datenschutz-Leitlinie umgesetzt haben, können weitere Vorgaben und Informationen an Ihre Beschäftigten erfolgen.
Eine „Verpflichtung zur Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten“ enthält zum Beispiel allgemeine Weisungen und Informationen zum Umgang mit personenbezogenen Daten und eine Information darüber, dass Datenschutzverstöße sanktioniert werden und arbeitsrechtliche Folgen nach sich ziehen können. Diese Verpflichtung wird auch gerne „DSGVO-Verpflichtung“ genannt.
Halten Sie auch das Wissen Ihrer Beschäftigten über den Datenschutz und über die Datensicherheit aktuell. Regelmäßige Schulungen zu den Themen Datenschutz und Datensicherheit sind eine geeignete Umsetzung. Achten Sie darauf, dass Sie diese Schulungen auch nachweisen können. Ein Schulungskonzept hilft bei der Umsetzung von wiederkehrenden Datenschutzschulungen.
In einem Audit wird festgestellt, ob die (vorher definierten) Ziele erreicht wurden. Interne Audits können Sie selbst durchführen, denn sie dienen in erster Linie der Eigenkontrolle und der Verbesserung von Datenschutz und Datensicherheit. Interne Audits sollten stets in zuvor fest abgesteckten Teilbereichen erfolgen. Auch externe Datenschutzbeauftragte mit Auditkenntnissen können ein internes Audit für Sie durchführen. Wurde eine interne Kontrolle oder ein Audit durchgeführt, können darin aufgezeigte Mängel korrigiert bzw. abgestellt werden. Damit kommen Sie dem Erfordernis der „Evaluation“ nach.