Datenschutz im Unternehmen: Wann sollte der Datenschutzbeauftragte eingebunden werden?
Ein Datenschutzbeauftragter (DSB) unterstützt Unternehmen bei der Einhaltung und Überwachung datenschutzrechtlicher Vorgaben, ist jedoch nicht für deren Umsetzung verantwortlich. Die frühzeitige Einbindung des DSB in Prozesse wie neue Software, Dienstleister oder Formulare hilft, Datenschutzrisiken zu minimieren. Der DSB berät bei der Führung des Verzeichnisses von Verarbeitungstätigkeiten, der Bearbeitung von Betroffenenanfragen, dem Umgang mit Datenpannen sowie bei Datenschutzfolgeabschätzungen. Außerdem unterstützt er bei der Prüfung von Auftragsverarbeitungsverträgen und der Sensibilisierung der Mitarbeitenden durch Schulungen.
Der Schutz personenbezogener Daten muss für jedes Unternehmen ein zentrales Thema sein. Ein gut integrierter Datenschutzbeauftragter (DSB) soll das Unternehmen beraten und unterstützen, die gesetzlichen Regelungen einzuhalten und damit persönliche Risiken natürlicher Personen zu vermeiden.
Häufig wird angenommen, dass der Datenschutzbeauftragte für den Datenschutz und dessen Einhaltung zuständig ist. Vorweggenommen soll klargestellt sein, dass der Datenschutzbeauftragte zwar die Einhaltung datenschutzrechtlicher Vorgaben überwacht, jedoch nicht für deren Einhaltung zuständig ist. Diese Zuständigkeit liegt allein beim verantwortlichen Unternehmen. Idealerweise arbeiten Unternehmen und Datenschutzbeauftragter dergestalt miteinander, dass der Datenschutzbeauftragte das Datenschutzniveau analysiert und kontrolliert und der Geschäftsleitung bei Bedarf Vorschläge zur Verbesserung unterbreitet.
Doch wann genau sollte Ihr Datenschutzbeauftragter aktiv eingebunden werden?
Da in fast jedem Unternehmensprozess personenbezogene Daten verarbeitet werden, sollten Sie bereits bei der Planung von neuen Projekten auch immer an den Datenschutzbeauftragten denken! Sei es eine neue Software, ein neuer Dienstleister, neue Formulare, Verträge oder Dokumente, mit Sicherheit werden hier Daten Ihrer Kunden, Beschäftigten oder sonstigen Personen verarbeitet.
Binden Sie uns gern in der frühen Phase der Planung ein. Im Idealfall werden die Prozesse und die erforderlichen technischen und organisatorischen Regelungen von Beginn an datenschutzkonform ausgerichtet und möglicherweise unnötige Kosten vermieden, sollte sich beispielsweise eine neue Software als zu risikobehaftet herausstellen.
Beratung bei der Führung des Verzeichnisses von Verarbeitungstätigkeiten (VVT)
Das Führen des Verzeichnisses von Verarbeitungstätigkeiten obliegt dem verantwortlichen Unternehmen, es ist das Kernstück des Datenschutzmanagements und enthält alle relevanten Informationen zu den Prozessen, bei denen personenbezogene Daten verarbeitet werden.
Der Datenschutzbeauftragte kann hier eine beratende und überwachende Funktion einnehmen. Besondere Herausforderung nach dem initialen Aufbau des Verarbeitungsverzeichnisses ist es, dieses Verarbeitungsverzeichnis auch laufend aktuell zu halten und insbesondere bei der Einführung neuer Tools oder Prozesse jeweils zu aktualisieren.
Dazu ist erforderlich, dass neue Verarbeitungsprozesse dokumentiert und eingepflegt werden, Änderungen an bestehenden Prozessen entsprechend angepasst und schließlich auch nicht mehr existente Verarbeitungen gelöscht werden.
Ein gut geführtes Verarbeitungsverzeichnis lebt von der Mitwirkung aller Beschäftigten. Bestenfalls treffen Sie Maßnahmen, damit die MitarbeiterInnen frühzeitig vor der Einführung neuer Verfahren oder deren Änderung diese im Verzeichnis dokumentieren. Binden Sie uns ebenfalls gern so früh wie möglich in den Ablauf ein, sodass wir gemeinsam die Rechtmäßigkeit Ihrer geplanten Neuerungen überprüfen und – wenn nötig – Entscheidungsalternativen aufzeigen können.
Unterstützung bei Datenpannen
Hacker-Angriffe, Verlust firmeneigner Handys, Laptops, etc., Einbrüche und Datendiebstähle – Datenschutzvorfällen treten immer wieder auf. Dies stellt nicht nur die betroffenen Unternehmen vor (technische) Herausforderungen, sondern ist auch für die natürlichen Personen mit großer Unsicherheit belastet, da ein Missbrauch der Daten nicht ausgeschlossenen werden kann.
Das verantwortliche Unternehmen und auch Auftragsverarbeiter sind zur internen Dokumentation und Prüfung einer Datenschutzverletzung verpflichtet. Je nach Schwere des Vorfalls (Risiko für die Personen) ist außerdem die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden ab Entdeckung zu informieren.
Die Meldung der Schutzverletzung ist federführend durch das verantwortliche Unternehmen durchzuführen.
Aufgrund der relativ kurzen Frist sollte unbedingt ein effektives internes Konzept erarbeitet werden, damit die MitarbeiterInnen einen Datenschutzvorfall erkennen und diesen unverzüglich der Geschäftsführung und dem Datenschutzbeauftragten melden können. Gemeinsam mit Ihnen prüfen wir den Vorfall und können Ihnen eine Einschätzung geben, ob eine Meldung an die Aufsichtsbehörde erfolgen sollte. Darüber hinaus können gemeinsam Maßnahmen zur Schadensbegrenzung und Prävention abgestimmt werden.
Unterstützung bei der Bearbeitung von Betroffenenanfragen
Ihre Mitarbeiter, Kunden, Patienten oder Geschäftspartner (betroffene Personen der Datenverarbeitung) haben das Recht auf Auskunft und ggf. Löschung, Korrektur, Herausgabe ihrer personenbezogenen Daten. Solche Anträge müssen unverzüglich, spätestens einen Monat nach Eingang beantwortet sein.
Wenden sich Betroffene an Sie, um ihre Rechte geltend zu machen, so lassen Sie sich nicht direkt in Aufruhr versetzen. Der Datenschutzbeauftragte kann Sie bei der Beantwortung begleiten. Bestenfalls ist bereits im Vorfeld ein einheitlicher Unternehmensprozess etabliert worden, wie eine gut organisierte Prüfung abläuft und entsprechend schnell gehandelt werden kann.
Der Datenschutzbeauftragte ist jedoch nicht für das Übersenden der Auskunft an die betroffene Person zuständig. Diese Verantwortung verbleibt beim Unternehmen.
Auftragsverarbeitungen
Mit Dienstleistern, die Daten in Ihrem Auftrag verarbeiten, sind Verträge zu schließen, die die Verarbeitung der Daten streng nach Weisung des verantwortlichen Unternehmens regeln sollen. Diese sog. Auftragsverarbeitungsverträge prüft der Datenschutzbeauftragte gern für Sie und erteilt Ihnen eine entsprechende Rückmeldung bei datenschutzrechtlichen Bedenken.
Datenschutzfolgeabschätzungen
Insbesondere in den Fällen, in denen das Verarbeiten von besonders sensiblen Daten – wie beispielsweise Gesundheitsdaten, biometrische Daten (vgl. Art. 9 (1) DSGVO) oder auch Daten von Kindern mit neuen Technologien geplant ist, muss ohnehin ein mögliche Risiko für die betroffenen Personen durch das Unternehmen abgeschätzt und ggf. durch entsprechende Maßnahmen reduziert werden. Im Zusammenhang mit einer sog. Datenschutzfolgeabschätzung stehen wir Ihnen dann jederzeit gern zur Seite und unterstützen Sie bei der Dokumentation.
Schulung der Mitarbeitenden nach Beauftragung
Damit in Ihrem Unternehmen Ihre geforderten Maßnahmen auch in alle Abteilungen durchgreifen, sind die Mitarbeiter zu schulen und zu sensibilisieren. Hier sind zumindest sämtliche Mitarbeiter einzubeziehen, welche mit personenbezogenen Daten zu tun haben.
Der Datenschutzbeauftragte ist nicht zwingend derjenige, der die Schulung durchführen muss, da ihm zunächst primär eine Überwachungsfunktion zukommt. Dennoch zeigt unsere Erfahrung, dass eine Sensibilisierung der Beschäftigten direkt durch den DSB die Thematik praxisnah vermitteln lässt.
Neben unseren monatlichen Datenschutz-Webinaren stehen wir selbstverständlich auch darüber hinaus auf Ihre Anfrage jederzeit für spezifische Online oder Präsenz-Schulungen Ihrer MitarbeiterInnen zur Verfügung.
Unser Ansatz ist nicht die reine Vermittlung der Datenschutz-Theorie, sondern Ihren MitarbeiterInnen ein Gefühl für Risikosituationen in Ihrem Unternehmen und deren Handhabe zu vermitteln. Wir wollen Sie dabei unterstützen, das Bewusstsein für Datenschutz, Datensicherheit und den Schutz Ihrer Unternehmensgeheimnisse zu stärken. Das reduziert das Risiko von Datenschutzverletzungen oder unwissentlichen Datenpannen.
Fazit: Das frühzeitige Einbinden ist der Schlüssel
Der Datenschutzbeauftragte kann dazu beitragen, Datenschutzrisiken frühzeitig zu erkennen und zu vermeiden. Wir freuen uns auf eine proaktive Einbindung durch Sie, statt uns erst im Krisenfall hinzuzuziehen.
