Blog

Datenschutz - Die 9 wichtigsten Punkte für Geschäftsführer

Das Thema Datenschutz-Compliance und der Schutz von Geschäftsgeheimnissen ist durch die gesetzlichen Corona-Vorgaben aktueller denn je.

Ergänzend zu unseren Artikeln zum technischen Datenschutz möchten wir Ihnen kurz die 9 wichtigsten Punkte im Bereich des Datenschutzrechts darstellen.

Diese sollen Ihnen dabei helfen, die DSGVO in Ihrem Unternehmen rechtskonform und effizient umzusetzen, um betriebliche und persönliche Haftungsrisiken zu vermeiden!

1. "Datenschutz-Verantwortlicher" - Was allgemein zu beachten ist

Die Verantwortung für die Einhaltung des Datenschutzes liegt beim jeweiligen Unternehmen bzw. bei den vertretungsberechtigten Personen, letztlich also bei der Geschäftsführung.

Die Pflicht der Geschäftsführung besteht allgemein darin, durch geeignete technisch-organisatorisch Maßnahmen (TOMs) sicherzustellen, dass die Verarbeitung von personenbezogenen Daten nach den Vorgaben der Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) erfolgt.

Nun stellen Sie sich die Frage, was man unter „geeignete Maßnahmen“ denn genau verstehen soll? Eine ebenfalls sehr vage formulierte Antwort gibt der Gesetzgeber in Art. 32 DSGVO. Zusammengefasst muss die Geschäftsführung technische und organisatorische Maßnahmen umsetzen, die sich nach der Art, des Umfangs, den Umständen, dem Zweck der Datenverarbeitung sowie dem aktuellen Stand der Technik richten.

Da diese abstrakte Antwort nur sehr bedingt weiterhilft, möchten wir Ihnen nun die wichtigsten Punkte für den Datenschutz in Ihrem Unternehmen darstellen!

2. Bestellung eines Datenschutzbeauftragen - wann braucht man einen?

Zunächst einmal stellt sich die Frage, ob jedes Unternehmen einen Datenschutzbeauftragten benennen muss? Nach § 38 BDSG braucht ein Unternehmen einen Datenschutzbeauftragten, sofern mindestens 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Personenbezogene Daten, insbesondere von Mitarbeitern und Kunden, werden in jedem Unternehmen verarbeitet!

Bei Unternehmen mit weniger als 20 Mitarbeitern muss ein Datenschutzbeauftragter nur dann ernannt werden, wenn besonders sensible Daten verarbeitet werden. Das sind Daten über die Gesundheit, Sexualität, Ethnie, Gewerkschaftszugehörigkeit Rasse, politische, weltanschauliche oder religiöse Überzeugungen eines Menschen sowie genetische und biometrische Daten.

Unternehmen, die weniger als 20 Mitarbeiter haben und keine besonders sensiblen Daten verarbeiten, müssen keinen Datenschutzbeauftragten ernennen.
Dennoch besteht auch für solche Unternehmen die Pflicht, die verschiedenen Vorgaben der DSGVO und des BDSG einzuhalten. Da der Geschäftsführer gegen Datenschutzverstöße persönlich haftbar gemacht werden kann, lohnt sich auch für kleinere Unternehmen die Bestellung eines Datenschutzbeauftragten.

DSS IT Security bietet beispielsweise für kleinere Unternehmen und Start-ups Sonderangebote, damit sie von Beginn an datenschutzkonform wachsen können!

3. Datenschutzbeauftragter - Expertise und Nutzen für das Unternehmen?

Der Datenschutzbeauftragte muss sowohl fachlich als auch persönlich für das Amt des Datenschutzbeauftragten geeignet sein. Personen, bei denen ein Interessenkonflikt zu befürchten ist, scheiden als Datenschutzbeauftragte aus. Dazugehören unter anderem Geschäftsführer, Personal- und IT-Leiter.

In fachlicher Hinsicht sind insbesondere Datenschutzpraxis und die fundierte Kenntnis der DSGVO und des BDSG unabdingbar. Darüber hinaus sollte der Datenschutzbeauftragte ein gutes Verständnis von IT-Prozessen haben, da Datenschutz nicht ohne IT-Sicherheit funktioniert!

Die DSGVO beinhaltet eine Vielzahl technischer Vorgaben, um die Sicherheit digitaler Daten zu gewährleisten, wie z.B. E-Mail-Verschlüsselung, sichere VPN-Technologie, differenzierte Firewallsysteme, Implementierung abgestufter Benutzerrechte in der verwendeten Firmen-Software, Datensicherung durch Back-Ups usw..

Angenehmer „Nebeneffekt“ eines hohen IT-Sicherheitsniveaus ist ein deutlich vermindertes Risiko für das Unternehmen, Opfer eines Hacker-Angriffs zu werden. Dadurch wird der Schutz von Geschäftsgeheimnissen sowie der Funktionsfähigkeit des Unternehmens gewährleistet!

Darüber hinaus hilft der Datenschutzbeauftragte dem Unternehmen bei einem effizienten Datenmanagement. Im Zeitalter von Big Data, KI und und datengetriebenen Geschäftsmodellen werden Daten auch als Gold des 21. Jahrhunderts bezeichnet. Doch auch konventionelle Unternehmen benötigen ein gutes Datenmanagement, dass sowohl die DSGVO-Konformität als auch die effiziente Datennutzung zum Ziel hat.
Kaum etwas ist frustrierender, als dass benötigte Daten nicht auffindbar sind oder die zuständigen Mitarbeiter nicht auf diese zugreifen können.

4. Datenschutzschulungen - „Risikofaktor Mensch“

Mitarbeiter, die personenbezogene Daten verarbeiten, müssen nach Art. 39 I DSGVO regelmäßig im Datenschutz geschult werden. Ziel der Datenschutzschulung ist die Sensibilisierung der Mitarbeiter für den Datenschutz.

Dadurch kann der Mitarbeiter ein Bewusstsein für datenschutzrechtliche Probleme in seinem Aufgabenbereich entwickeln und wird in die Lage versetzt, datenschutzkonform zu arbeiten, ohne dabei Angst vor eigenen Fehlern zu haben.

Da Datenschutz von vielen Mitarbeitern häufig als „langweilig“ oder „bedrohlich“ empfunden wird, empfiehlt sich unser Erfahrung nach ein interaktives Schulungsformat, in dem Mitarbeiter konkrete Fragen und Probleme aus ihrem Arbeitsalltag aufwerfen und besprechen können.

Damit die Mitarbeiter die Schulung gut annehmen und einen praktischen Nutzen daraus ziehen können, empfiehlt sich ein differenziertes Schulungsformat:
So können Mitarbeiter ohne Vorkenntnisse im Datenschutz zunächst in grundlegenden Datenschutzfragen geschult werden und Mitarbeiter mit Vorkenntnissen können Ihre Kenntnisse in Praxisworkshops vertiefen.

Die Datenschutzschulung kann sinnvoll ergänzt werden durch Seminare zur IT-Sicherheit, welche auch die Achtsamkeit gegen Hackerangriffe und den Schutz von Betriebsgeheimnissen umfassen.