Vorbemerkung

Die EU-Datenschutz-Grundverordnung (DSGVO) verlangt von den Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen oder die Institution, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und deren Menge und der Qualität.

Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können hier von den Aufsichtsbehörden verhängt werden.

Was braucht ein effektives Datenschutzmanagement?

1. Planung und Konzeption
Die Risiken, die sich aus der Datenverarbeitung in Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen.

Das Unternehmen muss zuerst seine „Datenschutzpolitik“ beschreiben, und damit festlegen:

  • die Zuständigkeiten für den Datenschutz im Unternehmen – dazu gehört auch die Einbindung des betrieblichen Datenschutzbeauftragten
  • eine Sensibilisierung und Schulung der Mitarbeiter
  • Verpflichtung auf das Datengeheimnis. Das ist zwar gesetzlich nicht mehr vorgeschrieben, aber sehr ratsam. Alternativ muss sichergestellt werden, dass alle Mitarbeiter, die personenbezogene Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung tun. Für Auftrags-Datenverarbeiter ist vorgeschrieben, dass sie ihre Mitarbeiter auf Vertraulichkeit verpflichten müssen.
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen auch eingehalten werden
  • den Einsatz datenschutzfreundlicher Technologien
  • den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen)

Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Hierfür bieten sich bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement an. Oder auch ein spezielles IT-Sicherheits- bzw. Risikomanagement. 

2. Umsetzung
Diese umfasst die Konkretisierung der unter Punkt 1 genannten Maßnahmen in der Praxis. Dazu gehört eine ausreichende Dokumentation sowie die geeigneten technisch-organisatorischen Maßnahmen. 

3. Erfolgskontrolle und Überwachung
Die Planung und Konzeption sowie ihre Umsetzung müssen laufend auf ihre Wirksamkeit hin kontrolliert werden.

4. Optimierung und Verbesserung
Wird unter Punkt 3 festgestellt, dass Anpassungen notwendig sind, müssen diese auch vorgenommen werden. Dazu gehört auch die Erfüllung des angemessenen Stands der Technik bei den IT-Sicherheitsmaßnahmen, wie es die DSGVO verlangt.

Die Quintessenz

Im Ergebnis muss jedenfalls sichergestellt sein, dass die Rechtskonformität der Verarbeitung in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.

Ich möchte diesen Beitrag teilen

Ihre Kontaktperson

Bei Fragen hilft Ihnen Denis Wilde gerne weiter.

T: +49 341 1267-1308
F: +49 341 1267-1420
E: denis.wilde@leipzig.ihk.de

Aufnahme der IHK-Fahnen vor dem Haus