Folgen bewerten
Ebenfalls eine wichtige Rolle spielt die Datenschutz-Folgenabschätzung. Sie ist vergleichbar mit der im zuvor gültigen BDSG bekannten Vorabkontrolle und besagt, dass Risiken und mögliche Folgen für die persönlichen Rechte der Betroffenen im Voraus bewertet werden müssen. Hierfür müssen jedoch zuvor spezielle Kriterien erfüllt sein. Das ist beispielsweise der Fall, wenn das Unternehmen eine systematische und umfassende Bewertung persönlicher Aspekte vornimmt.
Ebenfalls als zutreffendes Kriterium gelten bestimmte Kategorien personenbezogener Daten, wie beispielsweise sexuelle Orientierung, Religion, politische Meinung, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder auch strafrechtliche Verurteilungen sowie Straftaten. In diesen Momenten greift der sogenannte Datenschutzbeauftragte ein, schätzt Risiken sowie Folgen ab und gibt eine entsprechende Bewertung an den Vorgesetzten durch.
Externe Unterstützung
Die Einführung der DSGVO erfordert einen Wandel, auch innerhalb der Unternehmen. Zwar verfügen manche Betriebe intern über die notwendigen Kompetenzen sowie Kapazitäten der Mitarbeiter, um Analyse und Dokumentation selbst zu übernehmen - allerdings macht dies nur einen geringen Anteil aus. Oftmals fehlen entsprechendes Know-how und Zeit in den eigenen Reihen. In diesem Fall sollten Unternehmen nicht zögern und externe Unterstützung in Anspruch nehmen. Gute Berater sind auf Datenschutz sowie Datensicherheit spezialisiert und können als Datenschutzbeauftragte neben ihrer beratenden Funktion auch konkrete Aufgaben übernehmen. Dazu zählen unter anderem die Auswahl der notwendigen Maßnahmen sowie auch die Unterstützung bei der Umsetzung. Vor allem Betriebe von geringer Größe profitieren hiervon, denn oftmals sind sie zu klein, um einen hauseigenen Datenschutzbeauftragten voll auszulasten.
Doch auch für mittelständische und Großunternehmen hat diese externe Dienstleistung einen besonderen Vorteil: In seiner Rolle als betrieblicher Datenschutzbeauftragter ist er weisungsbefugt und berichtet direkt der Unternehmensleitung. Übernehmen interne Mitarbeiter dies, können Konflikte mit anderen Aufgaben aus dem Tagesgeschäft sowie auch zwischen dem Mitarbeiter und dem Vorgesetzten bei der Durchsetzung der Datenschutzziele entstehen. Externe Dienstleister vermeiden diese problematischen Situationen und geben den Unternehmensverantwortlichen die Sicherheit, dass sie über die notwendigen Qualifikationen und Kompetenzen verfügt.
Krisenkommunikation anpassen
Die Grundlage, um sich mit Datensicherheit beschäftigen zu können, bildet die zuvor erstellte Analyse darüber, welche Daten wo im Unternehmen wie verwendet werden. In Zeiten der Digitalisierung und des stetigen Wandels ist jedoch die Gewährleistung eines hundertprozentigen Schutzes eine große Herausforderung. Die Verantwortlichen sind deshalb angehalten, die Krisenkommunikation um eine Lösungsstrategie für den Fall zu erweitern, dass die DSGVO tangiert wird. Dabei gilt es, die Frist für die Informationspflicht von 72 Stunden einzuhalten.
Die Strategie sollte dabei unter anderem folgende Punkte abdecken: Wie werden die Betroffenen informiert? Wer spricht mit der Aufsichtsbehörde? Wie wird die Öffentlichkeit informiert? Und wie kann der Schaden eingegrenzt werden? Grundsätzlich sollten Manager ihre Mitarbeiter für die Themen Datenschutz und Datensicherheit sensibilisieren, beispielsweise in Form von Schulungen. Das verringert die Anzahl an Datenschutzvorfällen merklich, denn häufig ist Leichtsinn oder Unachtsamkeit von Arbeitnehmern die Ursache für solche Vorfälle. (oe)
Lesetipp: Herausforderungen der DSGVO