Mit der Bestellung eines Datenschutzbeauftragten sind die Pflichten hinsichtlich des Datenschutzes in einem Unternehmen noch nicht erfüllt. Die Empfehlungen müssen auch konsequent umgesetzt und eingehalten werden. Dabei hilft ein professionelles Datenschutzmanagementsystem.
Genau wie in anderen Managementbereichen obliegt es auch im Datenschutz allein der Geschäftsführung, die Einhaltung der Datenschutzanforderungen sicherzustellen, also zu organisieren und überhaupt erst zu ermöglichen.
Oft wird jedoch davon ausgegangen, dass sich die Pflichten der Geschäftsführung auf die Bestellung eines Datenschutzbeauftragten beschränken und sich fortan der Datenschutzbeauftragte um alle weiteren Angelegenheiten kümmern muss. Das ist leider falsch!
Der Datenschutzbeauftragte berät und unterstützt die Geschäftsleitung bei der Einhaltung der datenschutzrechtlichen Bestimmungen. Er sorgt jedoch nicht selbst dafür, dass diese eingehalten werden. Dafür muss die Geschäftsführung selbst sorgen.
Völlig unabhängig von der Bestellung eines Datenschutzbeauftragten trägt die Geschäftsführung eines Unternehmens also die Verantwortung für den Aufbau einer geeigneten Organisation, die Bereitstellung angemessener Ressourcen und die Vorgabe einer Umsetzungsstrategie, zur Erfüllung der Datenschutzanforderungen. Ebenso hat die Leitung dafür zu sorgen, dass alle vorgesehenen Umsetzungen gesteuert erfolgen und kontrolliert werden. Das ist aber kein leichtes Unterfangen.
Hier kommt das professionelle Datenschutzmanagement ins Spiel. Ähnlich wie andere Managementsysteme oder auch eine Zertifizierung (z.B. nach DIN 2001) hilft Ihnen ein Datenschutzmanagementsystem dabei, die datenschutzrechtlichen Anforderungen zu erfüllen und einzuhalten – und insbesondere auch den Überblick zu behalten.
Außerdem kann man so auch gegenüber Kunden oder Behörden nachweisen, dass man die Datenschutzvorschriften einhält.
Das PDCA-Modell ist ein bewährtes Tool des Qualitätsmanagements. Auch für das Datenschutzmanagement hat es sich als besonders praxistauglich erwiesen, denn es durchläuft immer wieder die vier Phasen Plan – Do – Check – Act und sorgt damit für die konstante Einhaltung des Datenschutzes durch Planung, Umsetzung, Kontrolle und Optimierung.
Die Einbindung des Datenschutzes in die Geschäftsabläufe muss durchdacht und geplant werden, um einerseits einen optimalen Schutz der Daten gewährleisten zu können und andererseits den Ressourceneinsatz möglichst gering zu halten. Daher gilt es zunächst einmal, den datenschutzrechtlichen Ist-Zustand zu erfassen und ihn mit dem gewünschten Soll-Zustand zu vergleichen.
Hierzu sollte sich die Geschäftsführung bewusst machen, dass es in einem Unternehmen kaum Bereiche gibt, in denen Datenschutz keine Relevanz hat. So finden sich personenbezogene Daten in jeder E-Mail, jeder Rechnung, jedem Lieferschein, jeder Terminvereinbarung, in jedem Smartphone usw. Selbst eine Strichliste am Kaffeeautomaten ist datenschutzrelevant.
Hierbei unterstützt der Datenschutzbeauftragte natürlich gerne.
Stehen das gesetzlich geforderte oder von der Leitung gewünschte Niveau und die zu erreichenden Ziele fest, müssen die Wege zu deren Erreichung bestimmt und nachvollziehbar vorgegeben werden.
Mindestens ist sicherzustellen, dass keinerlei personenbezogene Daten unkontrolliert oder ohne Rechtsgrundlage verarbeitet werden.
Auch ist unumgänglich, Änderungen des Rechts (neue Gesetze und Verordnungen oder aber ergangene Rechtsprechung hierzu) und der Sicherheitstechnik konstant zu verfolgen und ggf. Anpassungen vorzunehmen.
Dies erfordert einiges an Zeit und Energie und kann nicht vollständig von der Geschäftsführung persönlich umgesetzt werden. Daher sollten die Aufgaben sinnvoll nach Qualifikationen und Kompetenzen delegiert und dabei stets darauf geachtet werden, den Überblick über die Verteilung zu wahren. Auch die Zuweisung von Verantwortung an geeignete und zuverlässige Personen ist originäre Aufgabe der Geschäftsführung.
Als Nächstes werden die Regelungen, also Anweisungen und Leitlinien erstellt, an denen sich die Mitarbeiter bei der täglichen Arbeit orientieren können. Ergänzend dazu werden die begleitenden technischen Maßnahmen umgesetzt.
Regelungen müssen stets angemessen sein, sowohl was die Anforderungen angeht als auch was die an bestimmte Adressaten gerichteten Forderungen betrifft.
Allgemein gilt, dass Abläufe im Unternehmen standardisiert und schriftlich fixiert werden sollten. Wichtige Regelungsbereiche sind, um nur einige wenige zu nennen, beispielsweise:
Im Rahmen der Kontrolle wird überprüft, ob die umgesetzten Maßnahmen eingehalten werden und ob diese die beabsichtigte Wirkung entfalten.
Es geht vor allem darum, Bereiche mit weiterem Handlungsbedarf zu identifizieren und Verbesserungsmöglichkeiten festzustellen.
Wesentlich ist hier, die Umsetzungserfolge sinnvoll messbar zu machen und dann in bestimmten Abständen auch tatsächlich zu messen, um überhaupt eine Vergleichsmöglichkeit zu erhalten. Denn sind zwar Datenschutzvorschriften vorhanden, werden diese aber durch Mitarbeiter ignoriert oder nur unzureichend umgesetzt, kann dies zur Verhängung von Bußgeldern führen.
Abschließend gilt es, das Vorgehen und die zugrundeliegenden Regelungen regelmäßig zu überdenken und festzustellen, wie deren Wirksamkeit verbessert werden kann oder sogar muss.
Dabei sind auch alternative Maßnahmen oder Anpassungen in Betracht zu ziehen.
Auch veränderte Rahmenbedingungen machen meist eine Anpassung des Vorgehens erforderlich.
Haben Sie noch Fragen? Oder möchten Sie uns beauftragen? Nehmen Sie gern Kontakt mit uns auf!
Wir beraten mittelständische Unternehmen aus diversen Bereichen rund um das Thema Datenschutz. Zudem sind wir auch seit mehreren Jahren als Externer Datenschutzbeauftragter (DSB) für viele Unternehmen, Sportanlagen und Vereine tätig.