Weniger als 100 Tage bis Datenschutz .....… und noch immer fehlt es in vielen Unternehmen an einem entscheidenden Faktor: der Umsetzung der DS-GVO und einer umfassenden Datenschutzdokumentation. Nach Studien von bitkom und anderen Organisationen dürften nicht einmal 40% aller Unternehmen zum Stichtag 25.05.2018 Ihre Hausaufgaben im Datenschutz umfänglich gemacht haben. Auch wenn die Aufmerksamkeit und Beachtung für die Datenschutz-Grundverordnung in den Medien zunimmt, bleibt für Unternehmen und sicher auch die öffentlichen Einrichtungen noch viel zu tun. Wer es bisher mit dem Datenschutz nicht sehr ernst genommen hat, dürfte es bis zum Stichtag kaum schaffen noch alle erforderlichen Voraussetzungen umzusetzen. Wenn Sie wissen möchten wo Sie im Datenschutz stehen, machen Sie den Selbsttest des BayLDA Alle Fragen positiv beantwortet? Dann können Sie hiereigentlich aufhören zu lesen. Wenn nicht, sollten Sie umgehend beginnen, Ihr Unternehmen für die DS-GVO vorzubereiten. Sicher werden Sie kaum noch alle Anforderungen in den knapp 3 Monaten schaffen – aber beginnen sollten Sie sofort. Nicht nur die Aufsichtsbehörden könnten sich für Ihren Datenschutz interessieren, auch Betroffene können in Kürze ihre neuen erweiterten Rechte einfordern, Partner und Auftraggeber Nachweise zur Umsetzung Ihrer Auftragsdatenverarbeitung und der Sicherungsmaßnahmen anfordern. Auch die Verbraucherschutzverbände können sich im Rahmen des UKlaG (Unterlassungsklagegesetz) um Ihren Datenschutz kümmern und Anwälte sind mit Abmahnungen und Unterlassungserklärungen zum Datenschutz, Impressum sowie fehlenden oder unvollständigen Datenschutzerklärungen bereits unterwegs. Wann haben Sie Ihre Webseite zuletzt geprüft? Sind alle vorgeschriebenen Angaben im Impressum? Alle Hinweise der zur Datenverwendung, eingesetzten Trackingtools, Cookies, Einwilligungen, etc. geprüft und angepasst? Wenn Sie das sogg. „öffentliche Verfahrensverzeichnis“ online gestellt haben, haben Sie Vorbereitungen getroffen, dass es zum 25.05. entfernt wird? Ist eine an die DS-GVO angepasste Datenschutzerklärung und die Angabe der Kontaktdaten Ihres Datenschutzbeauftragten vorbereitet? Der erste Fehler bei der UmsetzungUnternehmensleitung und Mitarbeiter glauben der Datenschutzbeauftragte sei für die Umsetzung und Gewährleistung der DS-GVO verantwortlich. Er müsse oder würde es schon richten. Muss er nicht - die Geschäftsleitung, als verantwortliche Stelle, muss sich um die Umsetzung und Einhaltung des Datenschutzes kümmern und diese angemessen kontrollieren. Natürlich können Aufgaben wie Schulung, Unterweisung, Sensibilisierung etc. an den Datenschutzbeauftragten oder vorhandene Datenschutzkoordinatoren übertragen werden. Die Verantwortung kann jedoch nicht delegiert werden. Der Datenschutzbeauftragte berät und unterstützt im Rahmen seiner Aufgabenstellung der DS-GVO. Anfangen - jetzt!Die ersten Schritte zur DS-GVO sind immer:
Dabei ist festzulegen, wer und wie künftig Informationen an den Datenschutzbeauftragten bereitgestellt werden. Dokumentation der eingesetzten Verfahren mit personenbezogenen Daten, Abläufe zur Gewährleistung von Betroffenenrechten, Datenschutzfolgeabschätzung - wenn erforderlich. Definition und Erstellung von Leit- und Richtlinien zum Datenschutz. Umfassende Dokumentation im Datenschutz wird selten zu den geliebten Aufgaben gehören, um die man sich im Unternehmen reißt. Besonders das so genannte Verfahrensverzeichnis und die Verarbeitungsübersicht erscheinen Vielen nur als unnötige Arbeit und als ein Anfertigen von Dokumenten, für die sich letztendlich niemand interessiert. Mit der Datenschutzgrundverordnung stehen aber Änderungen beim Verzeichnis der Verarbeitungstätigkeiten an. Auch wenn die DS-GVO keine Meldepflicht für Verfahren bei den Aufsichtsbehörden mehr vorsieht und es kein öffentliches Verfahrensverzeichnis für jedermann mehr gibt, bleibt das Verfahrensverzeichnis ein wichtiges Instrument für den Datenschutzbeauftragten und spielt auch für die Bewertung der IT-Sicherheit eine Rolle. Viele Mitarbeiter aus vielen Abteilungen sind beteiligtDie Komplexität der DS-GVO macht es erforderlich, dass sich viele Mitarbeiter eines Unternehmens mit der Datenschutz-Richtlinie und den Details beschäftigen. In den verschiedenen Abteilungen sind unterschiedlichste Prozesse zu identifizieren und zu dokumentieren. Ist dies nicht seit der letzten Novelle des BDSG 2009/10 erfolgt, steht Ihnen eine größere Analyse aller Datenflüsse und Datenstrukturen ins Haus. Sie müssen identifizieren, wie und wo personenbezogene Daten erfasst, gespeichert und verarbeitet werden. Vollständige Verfahrensdokumentationen können helfen, insbesondere bei Datenschutzvorfällen Risiken zu bewerten und angemessene Maßnahmen zu ergreifen. Nicht vergessen: Nehmen Sie die Mitarbeiter mit ins Boot. Informieren und sensibilisieren Sie zum Datenschutz durch Präsenzschulungen, E-Learning, Informationsbroschüren. Inzwischen gibt es viele Tools und Materialien, die Ihnen diese Aufgaben erleichtern. Sind Sie Datenschutzbeauftragter: Dann suchen Sie Unterstützung in Arbeitskreisen von beruflichen Verbänden. Auch die Landesdatenschutzbeauftragten bieten vielfach Informationsveranstaltungen an und halten auf Ihren Webseiten Informationen und Checklisten bereit. Natürlich werden derzeit auch eine Vielzahl von Seminaren und Veranstaltungen, von den unterschiedlichsten Anbietern für die Aus- und Weiterbildung zur Datenschutz-Grundverordnung angeboten. Andere Gesetze und VorschriftenBeachten Sie auch, dass neben der DS-GVO möglicherweise auch noch andere Gesetze und Vorschriften für Sie relevant sind. Neben der DS-GVO wird es auch weiterhin 16 Landes- Datenschutzgesetze geben. Arbeiten Sie mit Behörden oder Unternehmen öffentlichen Rechts zusammen, kann es sein, dass Sie auch diese Gesetze beachten müssen. Leider wird es auch in Zukunft kein harmonisiertes Landesdatenschutzgesetz geben. Je nachdem in welchem Bundesland Sie tätig sind oder welche Vorgaben Ihre Kunden machen, gelten unter Umständen unterschiedliche Vorschriften, die Sie beachten müssen, wie zum Beispiel die unterschiedlichen Landeskrankenhausgesetze und andere Vorschriften und Vorgaben. Ein Blick in das neue BDSG ist PflichtIn vielen Fällen lohnt sich dann auch ein Blick in das neue BDSG und die Landesdatenschutzgesetze. Neben den Grundregeln der DS-GVO ist im BDSG der Mitarbeiter-Datenschutz geregelt. So zum Beispiel auch der Umgang mit Bewerberdaten. Haben Sie diese, wie auch alle anderen Prozesse, die den Mitarbeiterdatenschutz betreffen, überprüft und bewertet? Werden Bewerberdaten tatsächlich gelöscht oder vagabundieren im Unternehmen auf unterschiedlichsten Systemen Bewerbungsunterlagen und Zeugnisse unerkannt herum? Oder werden Bewerberunterlagen ohne eindeutige Information an Dritte, zum Beispiel an Schwesterunternehmen, weitergegeben? Stellen Sie also auch den Mitarbeiterdatenschutz und alle damit verbundenen personenbezogenen Daten auf den Prüfstand. Nutzen Sie vielleicht zur Zeugniserstellung eine Cloud-Software, die personenbezogene Daten auf den Server ihres Dienstleisters speichert? Also auch in Bezug auf Bewerber- und Mitarbeiterdaten müssen die DS-GVO und das BDSG ernst genommen werden. Auch hier ist ab sofort nachweisbar zu dokumentieren, welche Daten zu welchem Zweck erhoben und gespeichert werden. Auch bei der Verarbeitung personenbezogener Daten im Arbeitsverhältnis sind alle Vorgaben des Art. 5 der DS-GVO zu prüfen und nachzuweisen. Nicht mehr benötigte Daten sind zu löschen. Es empfiehlt sich besonders im Bewerbungsverfahren ausführlich und frühzeitig auf die vorgesehene Datenverarbeitung und Datenspeicherung hinzuweisen. Wenn Sie bisher nicht mit der Umsetzung der DS-GVO begonnen haben und auch vorher unter dem BDSG dem Datenschutz nur wenig Aufmerksamkeit geschenkt haben, wird es höchste Zeit. Können Sie nicht ausreichend eigenes qualifiziertes Personal für den Datenschutz einsetzen, denken Sie über den Einsatz professioneller Hilfe nach. Wenden Sie sich zu z.B. an die Berufsverbände.
Dieser Artikel wird Ihnen in Zusammenarbeit von Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz präsentiert. Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten. Jürgen Hartz ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120 Mitarbeitern. Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangenen Jahre zu Gute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar. |
