ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/aufbau-einer-datenschutzorganisation,3045615

Worauf Unternehmen achten müssen

Aufbau einer Datenschutzorganisation

Datum:15.06.2015
Autor(en):Renate Oettinger
Immer mehr Unternehmen beschäftigten sich mit dem Aufbau zentraler Datenschutzabteilungen und begleitender Prozesse zur strukturierten Betreuung in datenschutzrechtlichen Themen. Sebastian Kraska gibt einen Überblick der hierbei zu berücksichtigten Fragestellungen.

Warum beschäftigt sich das Unternehmen mit Datenschutz?

Es gibt verschiedene Ziele, weshalb sich Unternehmen mit dem Thema Datenschutz beschäftigen. Und so trivial die Frage klingen mag, so wichtig ist es, von Beginn an klare Zielsetzungen zu treffen.

  • Möchte das Unternehmen allein den rechtlichen Anforderungen entsprechen lautet die Zielsetzung, im Fall des Kontakts mit Datenschutz-Aufsichtsbehörden die gesetzlich erforderlichen Unterlagen und Prozesse nachweisen zu können.

  • Verfolgt das Unternehmen das Ziel, mit dem Nachweis der eigenen Datenschutzkonformität auch vertrieblich werben zu können, sind ergänzende Maßnahmen zu den Themen Zertifizierung/Außendarstellung zu bedenken.

  • Basiert das Geschäftsmodell zusätzlich auf der Auswertung personenbezogener Daten ist eine enge interne Verzahnung mit den Abteilungen erforderlich, welche die Entscheidung über Art und Umfang der Analyse-Technik treffen.

In gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen. Es genügt nicht, nur einzelne Mitarbeiter zu sensibilisieren.
Foto: Marco2811 - Fotolia.com

Klares Berichtsystem schaffen

In Abhängigkeit der gewählten Zielsetzung sollte ein klares Berichtsystem im Unternehmen geschaffen werden, welches den Datenschutzverantwortlichen ermöglicht, Empfehlungen auf Ebene der Entscheidungsträger abzugeben.

Datenschutztrainings: regelmäßig in Kontakt bleiben

Es ist in der Regel nicht ausreichend, wenn sich nur einzelne Personen um den formalen Datenschutz in einem Unternehmen kümmern. In datenschutzrechtlich gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies gelingt nur, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden.

Hierzu bieten sich persönliche Schulungen bzw. bei größeren oder räumlich verteilten Unternehmen webbasierte Schulungsmöglichkeiten an. Zudem sollten hausinterne Kommunikationswege (Newsletter, Intranet-Seite, Datenschutz-Jour fixe) genutzt werden, um für Beschäftigte in datenschutzrechtlichen Angelegenheiten auch sichtbar und ansprechbar zu sein.

Datenschutz und IT-Sicherheit sind untrennbar verbunden

Das beste Datenschutz-Konzept ist nutzlos, wenn dem Unternehmen grundlegende Fehler bei der IT-Sicherheit unterlaufen. Jeder Datenschutzverantwortliche sollte daher den engen Austausch zu den IT-Sicherheitsverantwortlichen suchen. Relevante IT-Sicherheitsdefizite sollten in das Reporting der Datenschutzabteilung aufgenommen werden.

Strukturierter Prozess für "Datenpannen"

In Anbetracht der wachsenden Zahl der Meldepflichten bei "Datenpannen" empfiehlt es sich, einen klaren Prozess für dieses Szenario vorzubereiten und sicherzustellen, dass die Datenschutz- bzw. Rechtsabteilung zeitnah Kenntnis von (möglichen) "Datenpannen" erhält.

[Hinweis auf Bildergalerie: Wesentliche Bereiche der IT-Compliance] gal1

Bindung von Dritt-Dienstleistern

Eine aus datenschutzrechtlicher Sicht vorhandene Schwachstelle ist häufig die nicht ausreichende/konsistente datenschutzrechtliche Bindung von Dritt-Dienstleistern. Unabhängig von der Frage des anwendbaren Rechts bzw. der möglichen rechtlichen Bindungs-Optionen empfiehlt sich schon aus betrieblichem Eigeninteresse, sich einen Überblick der eingesetzten Dritt-Dienstleister zu verschaffen und eine konsistente vertragliche Situation mit diesen Unternehmen zu schaffen.

"Privacy by design": Neueinführung von Systemen

Die Datenschutzverantwortlichen sollten sich nach Möglichkeit in den Prozess der Neueinführung von Systemen integrieren. Je früher datenschutzrechtliche Anforderungen in einen Prozess eingeführt werden, desto leichter ist deren technische Implementierung. Spätere Anforderungen hinsichtlich der Anonymisierung/Pseudonymisierung von Daten oder der strukturieren Datenlöschung lassen sich so leichter und kostengünstiger realisieren.

Standardisierung bei Datenschutzanfragen

Werden Unternehmen regelmäßig von Interessenten oder Kunden zu datenschutzrechtlichen Themen kontaktiert sollten unter Führung der Datenschutzabteilung standardisierte Unterlagen geschaffen werden, um diese Anfragen einheitlich zu beantworten.

Zertifizierung

Wenngleich ein einheitlicher Zertifizierungs-Standard im Datenschutz nach wie vor fehlt mehren sich doch die Ansätze, zertifizierbare Regelungswerke zum Nachweis der eigenen Datenschutzkonformität zu schaffen. Verfolgt das Unternehmen strategische Zielsetzungen mit dem Thema Datenschutz bietet es sich an, in Verantwortung der Datenschutzabteilung hier Zertifizierungen (z.B. ISO 27001, ISO 27018 etc.) anzustreben.

Fazit

Zentraler Bestandteil beim Aufbau einer Datenschutz-Organisation im Konzern ist eine klare Zielsetzung zu Beginn. Je nach den hierbei getroffenen Vorgaben lassen sich verschiedene Maßnahmen ableiten, wie die Datenschutz-Organisation zu strukturieren ist.

Weitere Infos und Kontakt: Sebastian Kraska (www.iitr.de1) ist Rechtsanwalt, Diplom-Kaufmann und externer Datenschutzbeauftragter (www.iitr.de/datenschutzbeauftragter.html2).

Links im Artikel:

1 http://www.iitr.de
2 http://www.iitr.de/datenschutzbeauftragter.html

Bildergalerien im Artikel:

gal1 Wesentliche Bereiche der IT-Compliance
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.