Worauf Unternehmen achten müssen

Aufbau einer Datenschutzorganisation



Renate Oettinger war Diplom-Kauffrau Dr. rer. pol. und arbeitete als freiberufliche Autorin, Lektorin und Textchefin in München. Ihre Fachbereiche waren Wirtschaft, Recht und IT. Zu ihren Kunden zählten neben den IDG-Redaktionen CIO, Computerwoche, TecChannel und ChannelPartner auch Siemens, Daimler und HypoVereinsbank sowie die Verlage Campus, Springer und Wolters Kluwer. Am 29. Januar 2021 ist Renate Oettinger verstorben.
Immer mehr Unternehmen beschäftigten sich mit dem Aufbau zentraler Datenschutzabteilungen und begleitender Prozesse zur strukturierten Betreuung in datenschutzrechtlichen Themen. Sebastian Kraska gibt einen Überblick der hierbei zu berücksichtigten Fragestellungen.

Warum beschäftigt sich das Unternehmen mit Datenschutz?

Es gibt verschiedene Ziele, weshalb sich Unternehmen mit dem Thema Datenschutz beschäftigen. Und so trivial die Frage klingen mag, so wichtig ist es, von Beginn an klare Zielsetzungen zu treffen.

  • Möchte das Unternehmen allein den rechtlichen Anforderungen entsprechen lautet die Zielsetzung, im Fall des Kontakts mit Datenschutz-Aufsichtsbehörden die gesetzlich erforderlichen Unterlagen und Prozesse nachweisen zu können.

  • Verfolgt das Unternehmen das Ziel, mit dem Nachweis der eigenen Datenschutzkonformität auch vertrieblich werben zu können, sind ergänzende Maßnahmen zu den Themen Zertifizierung/Außendarstellung zu bedenken.

  • Basiert das Geschäftsmodell zusätzlich auf der Auswertung personenbezogener Daten ist eine enge interne Verzahnung mit den Abteilungen erforderlich, welche die Entscheidung über Art und Umfang der Analyse-Technik treffen.

In gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen. Es genügt nicht, nur einzelne Mitarbeiter zu sensibilisieren.
In gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen. Es genügt nicht, nur einzelne Mitarbeiter zu sensibilisieren.
Foto: Marco2811 - Fotolia.com

Klares Berichtsystem schaffen

In Abhängigkeit der gewählten Zielsetzung sollte ein klares Berichtsystem im Unternehmen geschaffen werden, welches den Datenschutzverantwortlichen ermöglicht, Empfehlungen auf Ebene der Entscheidungsträger abzugeben.

Datenschutztrainings: regelmäßig in Kontakt bleiben

Es ist in der Regel nicht ausreichend, wenn sich nur einzelne Personen um den formalen Datenschutz in einem Unternehmen kümmern. In datenschutzrechtlich gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies gelingt nur, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden.

Hierzu bieten sich persönliche Schulungen bzw. bei größeren oder räumlich verteilten Unternehmen webbasierte Schulungsmöglichkeiten an. Zudem sollten hausinterne Kommunikationswege (Newsletter, Intranet-Seite, Datenschutz-Jour fixe) genutzt werden, um für Beschäftigte in datenschutzrechtlichen Angelegenheiten auch sichtbar und ansprechbar zu sein.

Datenschutz und IT-Sicherheit sind untrennbar verbunden

Das beste Datenschutz-Konzept ist nutzlos, wenn dem Unternehmen grundlegende Fehler bei der IT-Sicherheit unterlaufen. Jeder Datenschutzverantwortliche sollte daher den engen Austausch zu den IT-Sicherheitsverantwortlichen suchen. Relevante IT-Sicherheitsdefizite sollten in das Reporting der Datenschutzabteilung aufgenommen werden.

Strukturierter Prozess für "Datenpannen"

In Anbetracht der wachsenden Zahl der Meldepflichten bei "Datenpannen" empfiehlt es sich, einen klaren Prozess für dieses Szenario vorzubereiten und sicherzustellen, dass die Datenschutz- bzw. Rechtsabteilung zeitnah Kenntnis von (möglichen) "Datenpannen" erhält.

Bindung von Dritt-Dienstleistern

Eine aus datenschutzrechtlicher Sicht vorhandene Schwachstelle ist häufig die nicht ausreichende/konsistente datenschutzrechtliche Bindung von Dritt-Dienstleistern. Unabhängig von der Frage des anwendbaren Rechts bzw. der möglichen rechtlichen Bindungs-Optionen empfiehlt sich schon aus betrieblichem Eigeninteresse, sich einen Überblick der eingesetzten Dritt-Dienstleister zu verschaffen und eine konsistente vertragliche Situation mit diesen Unternehmen zu schaffen.

"Privacy by design": Neueinführung von Systemen

Die Datenschutzverantwortlichen sollten sich nach Möglichkeit in den Prozess der Neueinführung von Systemen integrieren. Je früher datenschutzrechtliche Anforderungen in einen Prozess eingeführt werden, desto leichter ist deren technische Implementierung. Spätere Anforderungen hinsichtlich der Anonymisierung/Pseudonymisierung von Daten oder der strukturieren Datenlöschung lassen sich so leichter und kostengünstiger realisieren.

Standardisierung bei Datenschutzanfragen

Werden Unternehmen regelmäßig von Interessenten oder Kunden zu datenschutzrechtlichen Themen kontaktiert sollten unter Führung der Datenschutzabteilung standardisierte Unterlagen geschaffen werden, um diese Anfragen einheitlich zu beantworten.

Zertifizierung

Wenngleich ein einheitlicher Zertifizierungs-Standard im Datenschutz nach wie vor fehlt mehren sich doch die Ansätze, zertifizierbare Regelungswerke zum Nachweis der eigenen Datenschutzkonformität zu schaffen. Verfolgt das Unternehmen strategische Zielsetzungen mit dem Thema Datenschutz bietet es sich an, in Verantwortung der Datenschutzabteilung hier Zertifizierungen (z.B. ISO 27001, ISO 27018 etc.) anzustreben.

Fazit

Zentraler Bestandteil beim Aufbau einer Datenschutz-Organisation im Konzern ist eine klare Zielsetzung zu Beginn. Je nach den hierbei getroffenen Vorgaben lassen sich verschiedene Maßnahmen ableiten, wie die Datenschutz-Organisation zu strukturieren ist.

Weitere Infos und Kontakt: Sebastian Kraska (www.iitr.de) ist Rechtsanwalt, Diplom-Kaufmann und externer Datenschutzbeauftragter (www.iitr.de/datenschutzbeauftragter.html).

Zur Startseite