Credit: Shutterstock
Datenschutz muss her – oder zumindest eine rechtliche Anpassung im Bereich des Datenschutzes. Was sind die ersten Steps?
Eine, die weiß, wie es geht, und sich in Sachen Datenschutzmanagement in Unternehmen bestens auskennt, ist Leila Concetti, eine von vier Datenschutzbeauftragten der SVG QTB GmbH. Der HVS hat nachgefragt.
Frau Concetti, was bedeutet für Sie Datenschutz?
In erster Linie das Recht auf informationelle Selbstbestimmung. In jedem Unternehmen sollten personenbezogene Daten datenschutzkonform verarbeitet werden. Damit sind nicht nur Beschäftigte und Kunden auf der sicheren Seite, sondern auch die Geschäftsführer selbst.
Gibt es eine gesetzlich vorgeschriebene Anzahl an Mitarbeitern, ab der ein Datenschutzmanagement bzw. eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter notwendig ist?
Es geistert immer wieder die Zahl von 20 Mitarbeitern durch die Medien. Das sollte aber nicht zwingend als einzige Voraussetzung für ein Datenschutzmanagement gelten. Denn: Setzt ein Unternehmen zum Beispiel Telematiksysteme ein, dann geht es auf keinen Fall ohne Datenschutzbeauftragte.
Wie sehen die ersten Steps für ein Unternehmen aus?
Entschließt sich ein Unternehmen, Datenschutz zu implementieren, und nimmt Kontakt zur SVG QTB auf, dann machen wir zunächst eine Erstanalyse.
Das heißt, dass der Stand des Datenschutzmanagements im Unternehmen sehr genau betrachtet wird – und zwar in allen Bereichen. Danach wird ein Bericht angefertigt, aus dem hervorgeht, was noch zu tun ist und ob eine Datenschutzbeauftragte für das Unternehmen beauftragt werden muss. Mit diesem Bericht erhalten die Unternehmen notwendige Unterlagen zur Abbildung ihres Datenschutzmanagements. Dazu gehört das Verarbeitungsverzeichnis, das ich im Zuge der Erstanalyse zusammen mit den Unternehmen erstelle. Aus ihm geht zum Beispiel hervor, mit welchen Unternehmen Verträge mit Dritten geschlossen werden müssen. Zusätzlich erhalten die Unternehmen weitere Unterlagen und Formulare, wie zum Beispiel ein Muster für die Datenschutzhinweise für die Beschäftigten, die technischen und organisatorischen Maßnahmen.
Übrigens: Diese Dienstleistung wird mit mindestens 50 Prozent vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) gefördert. Die SVG QTB GmbH unterstützt dabei gerne.
Wer ist im Unternehmen für das Datenschutzmanagement verantwortlich?
Grundsätzlich ist der Inhaber beziehungsweise der Geschäftsführer verantwortlich. Bei der Erstellung eines Datenschutzmanagements ist es jedoch ratsam, eine Ansprechperson, am besten eine Vertrauensperson, im Unternehmen zu benennen. Diese Datenschutzkoordinatorin oder dieser Datenschutzkoordinator wird von mir ausgebildet, und gemeinsam
erstellen wir dann alle Dokumente, die für ein gut funktionierendes Datenschutzmanagement notwendig sind. Erst ganz am Ende
dieses Prozesses wird der Geschäftsführer wieder mit ins Boot geholt, damit er weiß, wie alles zusammenhängt und funktioniert. Ab diesem Zeitpunkt wird die Datenschutzkoordinatorin oder der Datenschutzkoordinator aufmerksam das Geschehen im Unternehmen beobachten und wissen, wann eine Datenschutzbeauftragte einzuschalten ist. Damit wird diese Person interne Anlaufstelle rund um den Datenschutz und Schnittstelle zwischen der oder dem Datenschutzbeauftragten und der Geschäftsführung.
Wie und ab welchem Zeitpunkt werden die Mitarbeiter eingebunden?
Am besten so früh wie möglich. Die Beschäftigten müssen vor Beginn ihrer Tätigkeit und danach regelmäßig geschult und informiert werden. Die Unterweisung ist schon deshalb wichtig, weil sämtliche Mitarbeiter verantwortlich mit personenbezogenen Daten umgehen müssen, sobald diese in ihren Machtbereich gelangen. Sie müssen auch wissen, wie sie sich konkret verhalten sollen, beispielsweise bei dem Verdacht eines Hackerangriffs oder sonstigen Vorfällen im Datenschutz. Was tun, wenn’s passiert ist? Ich habe beispielsweise eine unbekannte E-Mail geöffnet und auf den Anhang geklickt … ein USB-Stick mit wichtigen Daten ist verschwunden … eine Mail mit Kundeninformationen wurde versehentlich an eine falsche Adresse geschickt … In jedem dieser Szenarien gilt:
Ist man sich nicht sicher, möglichst den Kontakt zum internen oder externen Datenschutzbeauftragten oder zur Geschäftsführung suchen. Besser einmal zu viel gefragt als einmal zu wenig. Außerdem sollten zu Beginn einer Anstellung, gegebenenfalls schon in der Bewerbungsphase, den (zukünftigen) Beschäftigten die ersten Datenschutzhinweise ausgehändigt werden. Das ist der erste Grundsatz der Verarbeitung (Art. 5 DSGVO). Derzeit noch sind Verstöße gegen die DSGVO am häufigsten hier zu finden, weil das immer wieder vergessen wird oder man nicht weiß, wie man das machen soll.
Sollte jedes Unternehmen eine Art Notfallplan haben?
Sind die Beschäftigten bestens informiert und regelmäßig unterwiesen, muss ein Notfallplan vielleicht nie in Anspruch genommen werden. Trotzdem ist es wichtig, einen Notfallplan zu haben. Bei den meisten Unternehmen gibt es ein kooperierendes IT-Unternehmen, das in Verdachtsfällen schnellstmöglich informiert werden sollte. Stellt sich heraus, dass das Kind tatsächlich in den Brunnen gefallen ist, dann muss der oder die Datenschutzbeauftragte und – je nach Tragweite – dann auch die zuständige Datenschutzbehörde informiert werden. Sie leiten weitere Schritte ein. Sind wirklich Kundendaten „abgeflossen“, muss dringend gehandelt werden. Hier gilt es, Fristen zu beachten – deshalb sollte zeitnah der oder die Datenschutzbeauftragte informiert werden. Mit ihr oder ihm zusammen wird geprüft, ob die Behörde und/oder die Betroffenen informiert werden und auf welche Weise.
Datenschutz budgetieren – warum ist das wichtig?
Erfahrungsgemäß empfinden es viele als eine Art „Diebstahl“, auch noch für Datenschutz Geld auszugeben. Nach dem Motto: „Jeder will nur mein Geld. Da kommen schon wieder Kosten auf mich zu.“ Dabei gibt es fast nichts Sinnvolleres, als in ein gut funktionierendes Datenschutzmanagement zu investieren. Das zahlt sich auch im Wettbewerb aus. Die Betroffenen merken, wenn ein Unternehmen den Datenschutz verstanden hat und diesen lebt, und es gefällt ihnen. Natürlich ist es sinnvoll, Datenschutzmanagement bereits zu Anfang des Jahres zu budgetieren. In diesem Moment hat man Datenschutz akzeptiert und weiß auch, dass immer mal wieder Kosten auf einen zukommen können.
Wenn etwas passieren sollte, dann ist es sinnvoll, Datenschutzmanagement im Unternehmen bereits implementiert zu haben. Denn Bußgelder können immens hoch sein, vor allem, wenn die Behörde bei der Prüfung des Falls bemerkt, dass bisher wenig im Datenschutz getan wurde. Am Ende bleibt es immer in der Verantwortung eines Unternehmens, ob es sich rechtskonform und sicher aufstellen möchte oder stattdessen in ständiger Unsicherheit leben möchte.