DSGVO – diese fünf Buchstaben sind seit Inkrafttreten der Datenschutzgrundverordnung im Jahr 2018 in der Geschäftswelt allgegenwärtig. Gleichzeitig handelt es sich um einen Begriff, dem UnternehmerInnen sowie MitarbeiterInnen gerne ausweichen. Egal, ob großes oder kleines Unternehmen: Mit trockenen Datenschutzthemen und komplexen IT-Themen, die damit einhergehen, beschäftigen sich die wenigsten gerne.
Wer als Soloselbstständiger tätig ist oder sein Business sogar gerade erst gestartet hat, hat andere Dinge im Kopf als die Erstellung einer Datenschutzerklärung. MitarbeiterInnen großer Unternehmen oder KMUs müssen sich um ihre operative Arbeit kümmern und GeschäftsführerInnen haben strategische Entscheidungen zu treffen. Da bleibt keine Zeit, sich in die 99 Artikel der DSGVO einzulesen und im Alleingang ein funktionierendes Datenschutzkonzept zu implementieren. Ganz davon abgesehen, dass die nötige Expertise fehlt.
Dennoch ist die Umsetzung der DSGVO für alle Unternehmen verpflichtend. Gerade darum kann es nicht schaden, sich zumindest mit den Grundlagen vertraut zu machen. Und das ist in der Praxis weniger schlimm, als es für manch eine/n angesichts des Paragrafendschungels erscheinen mag.
EXTRA: Must-Have Datenschutz: Start-ups und die DSGVO
Welche Pflichten haben Unternehmen im Zuge der DSGVO?
Die Pflicht zur Einhaltung der DSGVO wäre wertlos, wenn Unternehmen nicht darauf überprüft werden könnten. Genau das findet aber stichprobenartig oder aus gegebenem Anlass, zum Beispiel wegen einer Beschwerde, durch die Aufsichtsbehörde statt. Ein Unternehmen muss dann Rechenschaft über die Datenverarbeitung ablegen können (Rechenschaftspflicht). Das erfolgt in Form von Nachweisen. Unternehmen sind dazu verpflichtet, die DSGVO-konforme Verarbeitung von Daten nachweisen zu können (Nachweispflicht). Das geht wiederum nur, wenn die Datenverarbeitungsvorgänge ausreichend dokumentiert werden (Dokumentationspflicht).
Wie kann der Datenschutz im Unternehmen umgesetzt werden?
Zunächst muss im Rahmen einer Risikoanalyse, der sogenannten Datenschutzfolgenabschätzung, die Ist-Situation und Soll-Situation in Sachen Datenschutz im Unternehmen analysiert werden. Das heißt: Welche Folgen hat die aktuelle Art der Datenverarbeitung für die Betroffenen, welche Folgen hätte die geplante? Daraus werden in Form eines Datenschutzkonzepts Maßnahmen abgeleitet und in Form von einheitlichen Datenschutzvorgaben an alle MitarbeiterInnen kommuniziert.
Um der Dokumentations- und Nachweispflicht nachzukommen, müssen entsprechende Systeme entwickelt werden. Wo werden welche personenbezogenen Daten gespeichert? Wann und wie werden diese gelöscht? Wo wird vermerkt, welche Daten wie verarbeitet wurden? Diese Fragen müssen jedes Unternehmen für sich klären.
Wichtig ist auch eine DSGVO-konforme Website. Dazu gehört eine umfassende Datenschutzerklärung, die Erläuterung darüber, wie Cookies eingesetzt werden und die Möglichkeit für den User bzw. den Kunden, allen Erklärungen explizit einzuwilligen.
Wer braucht Datenschutzbeauftragte?
Kurz gesagt sind alle Unternehmen zur Ernennung eines Datenschutzbeauftragten (DSB) verpflichtet, in denen mehr als 20 MitarbeiterInnen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für kleinere Unternehmen ist ein Datenschutzbeauftragter also keine Pflicht.
Der DSB kann intern ernannt werden. Dann ist der ernannte Mitarbeiter neben seiner Kerntätigkeit im Unternehmen für die Implementierung und Kontrolle der Datenschutzmaßnahmen verantwortlich und muss dafür eine entsprechende Weiterbildung machen. Alternativ können Unternehmen auch externe Experten zu Datenschutzbeauftragten ernennen.
EXTRA: Datenschutz heute: Externe Beauftragte sind zunehmend gefragt
Wie kann man einen Datenschutzverstoß verhindern?
Trotz aller Maßnahmen sind Datenschutzverstöße, in einer schnelllebigen Welt wie der IT, immer noch möglich. Dabei handelt es sich meist um einen ungewollten Datenschutzverstoß durch MitarbeiterInnen aufgrund von fehlender Achtsamkeit und mangelndem Know-how. Die Datenschutzerklärung kann unvollständig sein. Personenbezogene Daten können aus Versehen für Unbefugte einsehbar gemacht werden oder Kundendaten werden unsicher gespeichert, unrechtmäßig erhoben oder zu spät bzw. zu früh gelöscht – die Liste ist lang. Neben einem Datenschutzverstoß durch falsches Verhalten kann es auch passieren, dass ein Unternehmen Opfer eines Cyberangriffs wird oder im IT-System Sicherheitslücken bestehen und Kundendaten in die falschen Hände geraten.
Wer externe Datenschutzbeauftragte engagiert, holt sich umfassendes Expertenwissen ins Haus. Außerdem habe externe DSB die zeitlichen Ressourcen, sich voll auf den Datenschutz im Unternehmen fokussieren zu können. Das ist nicht vergleichbar mit dem, was interne Datenschutzbeauftragte oder, falls die Ernennung eines DSB nicht verpflichtend ist, Geschäftsführende leisten können, die sich neben Ihrem Kerngeschäft um die Umsetzung der DSGVO kümmern müssen. Daneben sorgen IT-Sicherheitsbeauftragte für die Implementierung eines ausreichend sicheren IT-Systems, was zum Schutz der Daten beiträgt. Um einen Datenschutzverstoß zu verhindern, sollten zudem die MitarbeiterInnen für das Thema Datenschutz sensibilisiert und mit den Datenschutzrichtlinien Ihres Arbeitgebers vertraut gemacht werden. Das passiert am besten im Rahmen von regelmäßigen Schulungen.
Was ist zu tun, wenn es trotz allem zu einem Datenschutzverstoß kommt? Hier ist schnelles Handeln gefragt: Ein Datenschutzverstoß muss innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden.
Fazit: Unternehmen sollten sich Unterstützung holen
Der beste Weg ist es natürlich, vorher schon alles richtigzumachen und einen Datenschutzverstoß zu vermeiden. Wichtig dabei ist, das Thema Datenschutz, sich als Geschäftsführender und den eigenen MitarbeiternInnen bewusster zu machen und ein Datenschutzkonzept zu entwickeln, das eine DSGVO-konforme Datenverarbeitung ermöglicht. Dabei müssen nicht alle Hebel in Bewegung gesetzt werden; es reicht aus, die absolut notwendigen Maßnahmen für einen nach Unternehmensgröße und Art der Datenverarbeitung angemessenen Datenschutz durchzuführen.
Auch ein Bein ausreißen für den Datenschutz muss sich niemand, denn jeder im Unternehmen hat letztlich Besseres zu tun, als sich um dieses Thema zu kümmern. Gleichzeitig ist die Thematik viel zu komplex, um nebenher erledigt zu werden. Es reicht also, sich selbst mit den Grundlagen der DSGVO auseinanderzusetzen und zu wissen, wie sie in der Praxis bei den eigenen Arbeitsabläufen umzusetzen sind, damit alle Pflichten erfüllt werden. Für den Rest holen Unternehmen sich idealerweise die Unterstützung externer Datenschutzbeauftragten, dessen Spezialgebiet die 99 Artikel der DSGVO und die Komplexität des Themas Datenschutz ist. Damit stehen Unternehmen auf der sicheren Seite.
This content is very nice!
Ein gutes Logo ist wirklich entscheidend für den ersten Eindruck eines Unternehmens. Ich habe mich selbst schon oft gefragt, welche…
Auch für mich als Freiberufler gestaltet sich die Projektarbeit für Auftraggeber mit zertifiziertem QM sehr viel einfacher und zielführender als…