01

Organisieren

Schaffen Sie gute Voraussetzungen!

Schaffen Sie gute Voraussetzungen!

02 Überblicken

Worum geht‘s?

Beim Organisieren geht es darum, vorbereitet zu sein. Vorbereitet darauf, dass neue Beschäftigte bei Ihnen anfangen und sich in Sachen Datenschutz und Datensicherheit schnell orientieren können. Vorbereitet darauf, dass die Umsetzung von Datenschutz in der Regel alle Geschäftsbereiche betrifft und eine für den Datenschutz beauftragte Person über die individuellen Umstände eines Unternehmens informiert sein sollte.

Die Datenschutz-Grundverordnung (DSGVO) gibt keine konkreten Vorgaben dazu, wie ein Unternehmen im Hinblick auf den Datenschutz organisiert sein sollte. Jedoch ist es Aufgabe der Verantwortlichen für den Datenschutz, angemessene organisatorische Maßnahmen für die Verarbeitung personenbezogener Daten zu treffen, um die Einhaltung der DSGVO sicherzustellen. Dafür bedarf es einer Kenntnis darüber, welche Geschäftsprozesse und Abhängigkeiten existieren, welche Vorgaben zu berücksichtigen sind und wer sich um die Umsetzung von Datenschutz kümmert.

Wenn Sie den Datenschutz organisiert und Vorgaben getroffen haben, dann sollten Sie diese für alle Beschäftigten zentral verfügbar machen und regelmäßig schulen. So haben Sie bereits viel für die Rechenschaftspflicht getan.

Betreffende Artikel der DSGVO und Erwägungsgründe

  • Art. 1 Abs. 1 DSGVO – Gegenstand und Ziele der DSGVO
  • Art. 2 Abs. 1 DSGVO – Anwendungsbereich der DSGVO
  • Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht
  • Art. 37 Abs. 1 DSGVO – Benennung eines Datenschutzbeauftragten
  • Art. 29 DSGVO - Verarbeitung unter Aufsicht des Verantwortlichen
  • Erwägungsgrund 78 - Verwendung ... organisatorischer Maßnahmen

Was ist zu tun?

Legen Sie einen Datenschutz-Grundstein. Schaffen Sie die Voraussetzungen dafür, dass Ihr Kleinunternehmen besser in der Lage sein wird, die Vorgaben aus der DSGVO umzusetzen. Die nachfolgenden Empfehlungen sind keine Pflichten aus der DSGVO. Wir legen Sie Ihnen dennoch unbedingt nahe, da sie ein Umfeld fördern, in dem sich datenschutzrelevante Themen umsetzen lassen.

Auf die Schnelle

  • Organigramm über Geschäftsprozesse, Abteilungen, Zuständigkeiten, insb. im Hinblick auf Datenschutz erstellen
  • Verantwortlichkeiten für den Datenschutz im Unternehmen festlegen
  • Prüfen, ob Datenschutzbeauftragter benannt werden muss (i. d. R. ab 20 Beschäftigen)
  • Datenschutz-Richtlinie erstellen und damit interne Regeln für die Beschäftigung bestimmen
  • Schulungen zum Datenschutz organisieren und durchführen – durch interne Mitarbeiter oder externe Dienstleister

Werden Sie sichtbar(er) – mit einem Organigramm

Wie ist Ihr Kleinunternehmen aufgebaut? Welche Geschäftsprozesse oder Abteilungen gibt es? Wer ist wofür zuständig? Es gibt viele Muster, wie eine Firma in einem sogenannten Organigramm dargestellt werden kann.

Auch wir sparen nicht mit Mustern, geben Ihnen jedoch den Hinweis mit, dass jedes Organigramm auf die unternehmensspezifischen Gegebenheiten ausgerichtet ist – genauso wie der Datenschutz. Ein Organigramm ist niemals in Stein gemeißelt und lässt sich jederzeit an gegebene Veränderungen anpassen.

Bereits eine sehr einfache Skizze stellt die verschiedenen Arbeitsbereiche dar. Es ist nicht notwendig, diese einer Person zuzuordnen.

Legen Sie Verantwortlichkeiten für den Datenschutz fest

Gesetzlich verantwortlich in Datenschutzangelegenheiten sind entweder Sie als Person, wenn Sie ein Einzelunternehmen innehaben, oder Ihr Unternehmen selbst (GmbH, OHG, GbR u. ä.). Wesentliches Merkmal für die Verantwortlichkeit ist die Entscheidungshoheit über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Das heißt jedoch nicht, dass Sie den Datenschutz jeder Verarbeitung höchstpersönlich in die Hand nehmen müssen. Praxisgerecht ist es, im Rahmen der Aufgabenverteilung eine geeignete Person zu bestimmen, die sich in Ihrem Unternehmen um den Datenschutz kümmert und als Ansprechperson dient. Dennoch bleibt die Geschäftsführung Verantwortlicher im Sinne der DSGVO.

Wer kümmert sich um die IT?

Idealerweise sollten Sie eine verantwortliche Person für IT-Fragen bestimmen. Diese kümmert sich in der Regel auch um die technische Sicherheit der IT-Systeme, die Sie benutzen, oder ist Ansprechperson für externe IT-Dienstleister.

Schauen wir also noch einmal auf das erste Organigramm ohne Personen. Jetzt können Sie den einzelnen Bereichen eine Person zuordnen, die grundsätzlich dafür zuständig ist. Und nun ist es auch recht einfach, eine zuständige Person für den Datenschutz „sichtbar“ zu machen. Diese ist erste und zentrale Anlaufstelle für alle Datenschutzbelange.

Um den Datenschutz zu gewährleisten und voranzubringen, sollte eine Person als zentrale Ansprechperson zuständig sein – auch ohne gesetzliche Benennungspflicht. Die Verantwortung verbleibt grundsätzlich bei der Geschäftsführung.

Wissen Sie, ob Sie eine gesetzliche Benennungspflicht für einen „DSB“ haben?

DSB steht für Datenschutzbeauftragter. Prüfen Sie zunächst, ob Sie gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Nähere Informationen können Sie in unserem Basiswissen abrufen.

Wie gehen Sie dabei vor?

  1. PRÜFEN Sie, ob ein Datenschutzbeauftragter zu benennen ist. Nutzen Sie gern unsere ARBEITSHILFEN > Checkliste DSB.
  2. ENTSCHEIDEN Sie, ob ein interner oder externer Datenschutzbeauftragter besser zu Ihnen passt.

  3. BENENNEN Sie den Datenschutzbeauftragten. Ein Muster hier:  ARBEITSHILFEN > Vorlage Benennung DSB

  4. MELDEN Sie den Datenschutzbeauftragten Ihrer zuständigen Landesdatenaufsichtsbehörde.

  5. VERÖFFENTLICHEN Sie die Kontaktdaten des Datenschutzbeauftragten, insbesondere in Ihren Datenschutzhinweisen.

Wer schreibt, der bleibt – und erstellt eine Datenschutz-Richtlinie

Fassen Sie Ihre nun geschaffene „Datenschutzorganisation“ in einem kurzen Dokument, z. B. in einer Datenschutz-Leitlinie, zusammen. Ergänzen Sie die Leitlinie mit speziellen Richtlinien oder konkreten Arbeitsanweisungen an Ihre Beschäftigten.

Vergessen Sie Ihre Beschäftigten nicht

Je mehr Ihre Beschäftigten über die DSGVO wissen, desto besser können sie diese umsetzen. Schulungen zum Datenschutz und zur Datensicherheit sind eine weitere geeignete Maßnahme, um eine ordnungsgemäße Verarbeitung von personenbezogenen Daten zu gewährleisten. Planen Sie, wen Sie wann und wie unterrichten wollen und verwahren Sie die tatsächlichen Teilnahmebescheinigungen für Ihre Nachweiszwecke. Ein Schulungskonzept hilft bei der Planung, schauen Sie sich gerne unsere Vorlage für ein Schulungskonzept an.

Die Schulungen können, müssen Sie aber nicht persönlich vornehmen. Auch ob Sie Schulungen in Präsenz oder per E-Learning anbieten, bleibt Ihnen überlassen. Präsenzschulungen haben den Vorteil, dass die Teilnehmenden Fragen stellen können. Ziehen Sie hierfür gerne eine externe, fachkundige Datenschutzberatung in Betracht, die auch auf Ihre besonderen Umstände eingehen kann.

Sofern dies auf Ihr Unternehmen zutrifft, können die Datenschutz-Schulungen zusammen mit den Terminen zu Unterweisungen zur Arbeitssicherheit geplant werden.

Die Stiftung Datenschutz stellt Handreichungen für Beschäftigte zur Verfügung, welche für eine grundlegende Aufklärung Ihrer Beschäftigten zum Datenschutz kostenfrei genutzt werden kann. Es empfielt sich, die Inhalte der Broschüre in einer Präsenzschulung zu vermitteln.