Unsere zertifizierten Datenschutzbeauftragten kennen die Anforderungen der Datenschutzgrundverordnung an kleine und mittelständische Unternehmen und erarbeiten maßgeschneiderte Lösungen für Ihr Unternehmen.
Wir bieten Ihnen umfassende Analysen, um Schwachstellen in Ihren Datenverarbeitungsprozessen aufzudecken und unterstützen Sie bei der Entwicklung von Datenschutzrichtlinien, um Ihre Datenbestände und Prozesse zu schützen.
Darüber hinaus schulen wir Ihre Mitarbeiter:innen im Umgang mit personenbezogenen Daten und sorgen mit regelmäßigen Datenschutzaudits dafür, dass Ihr Unternehmen immer auf dem neuesten Stand der Datenschutzbestimmungen ist.
Sind Sie gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet? Oder haben Sie sich entschieden, die Umsetzung der datenschutzrechtlichen Vorgaben aus der DSGVO und dem BDSG auch ohne gesetzliche Verpflichtung in die Hände eines Datenschutzbeauftragten zu legen? Dann beantworten wir Ihnen hier gerne die damit verbundenen Fragen:
Gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und dem Bundesdatenschutzgesetz (BDSG) in Deutschland muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn eine der folgenden Voraussetzungen erfüllt ist:
Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dies können z. B. Name, Anschrift, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Standortdaten, Gesundheitsdaten oder Finanzdaten sein. Auch Fotos und Videos, mit denen eine Person identifiziert werden kann, sind personenbezogene Daten. Kurzum: Alle Informationen, die Rückschlüsse auf eine bestimmte Person zulassen oder die direkt oder indirekt zur Identifizierung einer Person herangezogen werden können, sind personenbezogene Daten.
Es ist wichtig zu beachten, dass auch scheinbar harmlose Informationen wie der Name oder die E-Mail-Adresse einer Person als personenbezogene Daten betrachtet werden und unter den Schutz der Datenschutzgesetze fallen können. Die folgenden Beispiele für personenbezogene Daten werden im Unternehmensumfeld häufig vergessen:
Insgesamt trägt der Datenschutzbeauftragte dazu bei, dass das Unternehmen alle datenschutzrechtlichen Vorschriften einhält und das Vertrauen von Kund:innen und Mitarbeiter:innen in den Umgang mit personenbezogenen Daten gestärkt wird.
Er muss über die erforderliche Fachkunde verfügen, um die ihm übertragenen Aufgaben erfüllen zu können.
Die Anforderungen an die Fachkunde hängen vom jeweiligen Unternehmen ab. Der Datenschutzbeauftragte muss daher immer entsprechend dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten geschult und qualifiziert sein.
Dies betrifft insbesondere juristische und organisatorische Kenntnisse, vor allem in der DSGVO und den nationalen Datenschutzgesetzen. Darüber hinaus muss er auch über Grundlagen der EDV / IT verfügen.
Der Datenschutzbeauftragte muss bei der Erfüllung seiner Aufgaben unabhängig von der Geschäftsführung agieren können. Auf die Vermeidung von Interessenkonflikten ist daher besonders zu achten.
Ausgeschlossen für die Position des internen Datenschutzbeauftragten sind daher in der Regel der Inhaber, der Geschäftsführer, der Prokurist, der Personalleiter, der Leiter der IT-Abteilung, alle Administratoren, die Mitarbeiter der EDV-Abteilung und der Vertriebsleiter des Unternehmens. Aber auch die Ehefrau oder die Kinder des Inhabers werden regelmäßig nicht über die erforderliche Unabhängigkeit verfügen.
Da bereits bei der Bestellung des Datenschutzbeauftragten Beanstandungen der Aufsichtsbehörde und auch Bußgelder drohen, ist hier besondere Vorsicht geboten.
Vorteile
Kenntnis der betriebsinternen Prozesse:
Der Vorteil eines internen Datenschutz-beauftragen liegt in der direkten Einbindung in die Unternehmensprozesse.
Nachteile
Freistellung von sonstiger Arbeit:
Der mitarbeiter muss mindestens teilweise von seiner bisherigen Aufgaben freigestellt werden, um die Tätigkeiten im Datenschutz pflichtbewusst ausführen zu können.
Notwendige Ressourcen:
Für die Tätigkeit ist in der Regel mit einer 0,25 bis 1,0 Vollzeitstelle zu planen. Für ein Mindestmaß an Schulungen und Fortbildungen sind erfahrungsgemäß zwei Tage pro Jahr zu ca. 1500€ Seminarkosten einzuplanen. Weiterhin fallen regelmäßige Kosten für die Bereitstellung von Fachzeitschriften und -literatur an.
Durchsetzungsfähigkeit/ Unabhängigkeit von GF:
Aufgrund der Weisungsabhängigkeit jedes Mitarbeiters vom Geschäftsführer oder Inhaber ist es in der Regel schwierig die völlige Unabhängigkeit des internen Datenschutzbeauftragten zu gewährleisten.
Sonderkündigungsschutz:
Interne, verpflichtend bestellte Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Sie können während der Dauer ihrer Benennung und auch für die Dauer von einem Jahr danach aus wichtigem Grund gekündigt werden. Zudem kann die Benennung selbst auch nur aus wichtigem Grund zurückgenommen werden.
Vorteile
Regelmäßige Fortbildung und Zertifikate:
Er hat selbst für dessen regelmäßige Fort- und Weiterbildung zu sorgen, die dieser auch stets nachzuweisen hat. Externe Datenschutzbeauftragte sind in der Regel nach einheitlichen Standards ausgebildet und gewährleisten damit ein durchweg hohes Beratungsniveau.
Interdisziplinäre und branchenübergreifende Erfahrungen:
Ein externer Datenschutzbeauftragter betreut in der Regel mehrere Unternehmen. Dadurch gewinnt er Einblicke in unterschiedlichste Prozesse und ist mit einer Vielzahl von datenschutzrechtlichen Problemen sowie deren Lösung vertraut.
Unabhängigkeit:
Er ist regelmäßig unabhängig, da er nicht in den sonstigen betrieblichen Ablauf integriert ist und sich fokussiert dem Thema Datenschutz widmen kann.
Versicherungsschutz:
Für den Fall, dass es zu einem verschuldeten Fehler durch ihn kommen sollte, ist er mit einer umfangreichen Versicherungspolice abgesichert.
Nachteile
Betriebsfremd:
Er ist zu Beginn seiner Tätigkeit nicht im Bilde über die aktuellen Strukturen und Prozesse im Unternehmen. Eine umfassende und tiefgründige Erstaufnahme ist daher unerlässlich.
Unabhängig davon, ob Sie sich für einen internen oder externen Datenschutzbeauftragten entscheiden müssen oder bereits entschieden haben, beraten wir Sie gerne über alle notwendigen Schritte.
Mit unserem 6-stufigen Datenschutz-Audit-Prozess führen wir eine umfassende Analyse Ihrer Datenverarbeitungsprozesse durch und identifizieren Schwachstellen, um sicherzustellen, dass Ihr Unternehmen die Anforderungen der DSGVO erfüllt.
Von der Planung bis zur Umsetzung und Nachbereitung unterstützen wir Sie bei jedem Schritt des Prozesses, um sicherzustellen, dass Sie Ihren Kund:innen das Vertrauen geben können, dass ihre Daten bei Ihnen in guten Händen sind. Ein Datenschutzaudit besteht aus 6 Phasen:
1. Information
Bevor mit der Bestandsaufnahme begonnen wird, ist es unabdingbar, die Fachbereiche im Unternehmen über die gesetzlichen Vorgaben und die daraus resultierenden Ziele des Unternehmens zu informieren.
Mit den Fachbereichsverantwortlichen werden die weiteren Projektschritte besprochen. Dabei sind Ansprechpartner zu benennen, die den Datenschutzbeauftragten mit den für die Bestandsaufnahme relevanten Informationen versorgen und ihm Raum für eigene Recherchen geben.
Die Sensibilisierung aller Mitarbeiter:innen ist der Schlüssel zu einem umfassenden Datenschutz. Ziel ist es, dass jeder Mitarbeitende zumindest über Grundkenntnisse des Datenschutzes verfügt.
2. Bestandsaufnahme:
Hier wird der IST-Zustand des Unternehmens aufgenommen. Hierfür muss gegebenenfalls ein Datenschutzbeauftragter (intern oder extern) bestellt werden. Dies ist vorab anhand des Art. 37 DSGVO zu prüfen.
Der Datenschutzbeauftragte führt dann eine Bestandsaufnahme im Unternehmen durch, die alle Prozesse dokumentiert, in denen personenbezogene Daten verarbeitet werden. Diese Dokumentation der Prozesse muss durch den Verantwortlichen anhand des Verzeichnisses der Verarbeitungstätigkeiten fortlaufend erfolgen.
Darüber hinaus muss sich der Datenschutzbeauftragte intensiv mit den gesetzlichen Vorgaben nach DSGVO und BDSG auseinandersetzen und diese mit dem Ist-Zustand im Unternehmen abgleichen.
3. Analyse:
Für die internen Prozesse und Regelungen werden nun die relevanten Rechtsvorschriften identifiziert, um die Datenschutzkonformität der jeweiligen Verarbeitungen prüfen zu können.
Um die Identifizierung der jeweils anwendbaren Rechtsvorschriften zu erleichtern, bietet sich eine Kategorisierung der Verarbeitungstätigkeiten an. Hierbei wird im Verzeichnis der Verarbeitungstätigkeiten zwischen den Kategorien der betroffenen Daten, Personen und Empfänger unterschieden.
4. Bewertung:
Das Verzeichnis wird nun überprüft und bewertet, ob datenschutzkonform gehandelt wird. Dies geschieht durch einen Abgleich der Verarbeitungstätigkeiten mit den gesetzlichen Vorgaben.
Werden Prozesse festgestellt, die nicht den gesetzlichen Anforderungen entsprechen und Risiken für den Verlust oder die Schädigung personenbezogener Daten bergen, sind Maßnahmen zur Behebung der Mängel zu ergreifen.
Unter Umständen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen, wenn Daten verarbeitet werden, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
So wie Bestandsaufnahme und Analyse zum Teil parallel ablaufen, ist dies auch bei der Bewertung der Fall. Die besondere Herausforderung besteht nun darin, angesichts der Komplexität der Dokumentation den Überblick zu behalten.
5. Aktualisierung:
Die in der Evaluierungsphase festgestellten Mängel müssen nun durch geeignete technische und organisatorische Maßnahmen (z.B. Zugangs-, Zugriffs-, Auftragskontrolle) behoben werden. Um den Überblick über alle Anpassungen zu behalten und der Rechenschaftspflicht nachzukommen, müssen alle Änderungen dokumentiert werden.
Bevor jedoch die nicht gesetzeskonformen Prozesse angepasst werden können, müssen die Verantwortlichen in den Fachabteilungen nochmals sensibilisiert werden, dass die entsprechenden Prozessänderungen aus datenschutzrechtlicher Sicht notwendig sind und das Unternehmen bei Nichtbeachtung mit hohen Strafen rechnen muss.
6. Kontrolle:
Die vorangegangenen Schritte sind entscheidend für ein funktionierendes und gesetzeskonformes Datenschutzmanagementsystem. Um langfristig einen umfassenden Schutz zu gewährleisten, muss dieses System in regelmäßigen Abständen überprüft und gegebenenfalls nachgebessert werden.
Wie in den Schritten 1 bis 5 werden die Prozesse überprüft, analysiert, bewertet und aktualisiert sowie die Mitarbeiter:innen informiert.
Die Überprüfung (Audit) kann intern durch das Unternehmen selbst oder extern durch Dritte erfolgen.
Bevor mit der Bestandsaufnahme begonnen wird, ist es unabdingbar, die Fachbereiche im Unternehmen über die gesetzlichen Vorgaben und die daraus resultierenden Ziele des Unternehmens zu informieren.
Mit den Fachbereichsverantwortlichen werden die weiteren Projektschritte besprochen. Dabei sind Ansprechpartner zu benennen, die den Datenschutzbeauftragten mit den für die Bestandsaufnahme relevanten Informationen versorgen und ihm Raum für eigene Recherchen geben.
Die Sensibilisierung aller Mitarbeiter:innen ist der Schlüssel zu einem umfassenden Datenschutz. Ziel ist es, dass jeder Mitarbeitende zumindest über Grundkenntnisse des Datenschutzes verfügt.
Hier wird der IST-Zustand des Unternehmens aufgenommen. Hierfür muss gegebenenfalls ein Datenschutzbeauftragter (intern oder extern) bestellt werden. Dies ist vorab anhand des Art. 37 DSGVO zu prüfen.
Der Datenschutzbeauftragte führt dann eine Bestandsaufnahme im Unternehmen durch, die alle Prozesse dokumentiert, in denen personenbezogene Daten verarbeitet werden. Diese Dokumentation der Prozesse muss durch den Verantwortlichen anhand des Verzeichnisses der Verarbeitungstätigkeiten fortlaufend erfolgen.
Darüber hinaus muss sich der Datenschutzbeauftragte intensiv mit den gesetzlichen Vorgaben nach DSGVO und BDSG auseinandersetzen und diese mit dem Ist-Zustand im Unternehmen abgleichen.
Für die internen Prozesse und Regelungen werden nun die relevanten Rechtsvorschriften identifiziert, um die Datenschutzkonformität der jeweiligen Verarbeitungen prüfen zu können.
Um die Identifizierung der jeweils anwendbaren Rechtsvorschriften zu erleichtern, bietet sich eine Kategorisierung der Verarbeitungstätigkeiten an. Hierbei wird im Verzeichnis der Verarbeitungstätigkeiten zwischen den Kategorien der betroffenen Daten, Personen und Empfänger unterschieden.
Das Verzeichnis wird nun überprüft und bewertet, ob datenschutzkonform gehandelt wird. Dies geschieht durch einen Abgleich der Verarbeitungstätigkeiten mit den gesetzlichen Vorgaben.
Werden Prozesse festgestellt, die nicht den gesetzlichen Anforderungen entsprechen und Risiken für den Verlust oder die Schädigung personenbezogener Daten bergen, sind Maßnahmen zur Behebung der Mängel zu ergreifen.
Unter Umständen ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen, wenn Daten verarbeitet werden, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
So wie Bestandsaufnahme und Analyse zum Teil parallel ablaufen, ist dies auch bei der Bewertung der Fall. Die besondere Herausforderung besteht nun darin, angesichts der Komplexität der Dokumentation den Überblick zu behalten.
Die in der Evaluierungsphase festgestellten Mängel müssen nun durch geeignete technische und organisatorische Maßnahmen (z.B. Zugangs-, Zugriffs-, Auftragskontrolle) behoben werden. Um den Überblick über alle Anpassungen zu behalten und der Rechenschaftspflicht nachzukommen, müssen alle Änderungen dokumentiert werden.
Bevor jedoch die nicht gesetzeskonformen Prozesse angepasst werden können, müssen die Verantwortlichen in den Fachabteilungen nochmals sensibilisiert werden, dass die entsprechenden Prozessänderungen aus datenschutzrechtlicher Sicht notwendig sind und das Unternehmen bei Nichtbeachtung mit hohen Strafen rechnen muss.
Die vorangegangenen Schritte sind entscheidend für ein funktionierendes und gesetzeskonformes Datenschutzmanagementsystem. Um langfristig einen umfassenden Schutz zu gewährleisten, muss dieses System in regelmäßigen Abständen überprüft und gegebenenfalls nachgebessert werden.
Wie in den Schritten 1 bis 5 werden die Prozesse überprüft, analysiert, bewertet und aktualisiert sowie die Mitarbeiter:innen informiert.
Die Überprüfung (Audit) kann intern durch das Unternehmen selbst oder extern durch Dritte erfolgen.
