Das Grundgesetz Artikel 1, Absatz 1 sowie Artikel 2, Absatz 1, gewährleistet die informationelle Selbstbestimmung jedes Einzelnen. Dieses Grundrecht auf Datenschutz ist Voraussetzung für die freie Entfaltung der Persönlichkeit und stellt sicher, dass jeder selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen kann. Den Umgang mit personenbezogenen Daten, ihre Verarbeitung, regelt die EU-Datenschutz-Grundverordnung (EU-DSGVO).

Unternehmen müssen unter anderem technische und organisatorische Maßnahmen vorhalten, um das erforderliche Schutzniveau sicherzustellen. Da Datenschutz keine einmalige, sondern eine dauerhafte Aufgabe darstellt, ist ein Datenschutzmanagementsystem für Unternehmen jeder Größe bindend, um der Verpflichtung vollumfänglich nachzukommen. Ein externer Datenschutzbeauftragter bietet sich für die Umsetzung an.

Für ihre Geschäftszwecke nutzen Unternehmen personenbezogene Daten von Mitarbeitern, Bewerbern, Kunden und Partnern und müssen ihre Verfügbarkeit, Integrität und Vertraulichkeit gewährleisten. Die Verarbeitung personenbezogener Daten wird in der Breite von der DSGVO geregelt – dazu zählen unter anderem die Erhebung, Speicherung, Veränderung, aber auch ihre Übermittlung, Verbreitung und Löschung. Weitere Rechtsgrundlagen sind das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TKG) oder das Urheberrecht.

Gemäß Artikel 32 der DSGVO müssen Unternehmen die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten; das Schutzniveau muss dem Risiko angemessen sein. Das bedeutet die Notwendigkeit einer geeigneten Organisationsstruktur, aber auch technische Maßnahmen bzw. räumliche Vorkehrungen wie Zutrittssysteme mit Schließanlagen, Videoüberwachung oder Klingeln für Serverräume oder Büros. Auch softwareseitige Lösungen für Zugangskontrolle über Rechte- und Zugriffsverwaltungen sowie Verschlüsselung gewährleisten den Schutz und die geregelte Weitergabe von Daten. Weitere Verpflichtungen liegen unter anderem bei Pseudonymisierung oder der Trennungs- und Verfügbarkeitskontrolle. Auftragsverarbeiter und damit Partnerunternehmen müssen nach Art. 28 DSGVO diese Maßnahmen ebenfalls nachweisen.

Empfindliche Strafen bei Verstößen

Verstöße gerade gegen die DSGVO werden empfindlich bestraft: Es können Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Umsatzes eines Unternehmens verhängt werden, was den Druck stark erhöht hat. Die Kontrolle – auch ohne konkreten Anlass – erfolgt in Deutschland durch Aufsichtsbehörden der Bundesländer. Neben den finanziellen Strafen droht ein massiver Reputationsverlust: Datenlecks oder -missbrauch zerstören das Vertrauen von Kunden und Geschäftspartnern.

Insgesamt zeigen steigende Bußgelder und engmaschigere Kontrollen, dass der Gesetzgeber das Thema auf dem Schirm hat und gleichzeitig die Sensibilität bei den Betroffenen wächst: User etwa von Websites oder Webshops machen von ihrem Recht auf Auskunft Gebrauch und reichen Beschwerden ein. Unternehmen müssen deswegen mehr Aufwand für den Datenschutz betreiben.

So gelingt systematischer Datenschutz

Zur Organisation, Einhaltung und Umsetzung der geltenden Schutzbestimmungen benötigen Unternehmen eine systematische Herangehensweise: ein Datenschutzmanagement. Dieses ist keine Software, die einmal implementiert wird, sondern ein System, das den Datenschutz dauerhaft gewährleistet und auf dem PDCA-Zyklus – Plan, Do, Check, Act – und damit kontinuierlicher Verbesserung basiert. Dafür werden Anforderung definiert, die erforderlichen Maßnahmen implementiert, mit Audits überprüft und bei Abweichungen Anpassungen vorgenommen.

Datenschutz ist also ein Prozess, der gelebt werden muss. Das Datenschutzmanagementsystem entwickelt sich mit dem Unternehmen bei wechselnden Anforderungen, neuen Kunden, Geschäftsfeldern oder sich ändernder Gesetzeslage weiter. Gleichzeitig dient es als Dokumentation einer korrekten Datenverarbeitung. Für die Implementierung ist der Auf- oder Ausbau eines angemessenen Datenschutzkonzepts notwendig: Ziele und Aufgaben werden aufgenommen, Verantwortlichkeiten und Zeitpläne bestimmt. Das Datenschutzkonzept fungiert dann als Umsetzungs-Leitlinie.

Ein Datenschutzmanagementsystem lässt sich am besten mit einem externen Datenschutzbeauftragten etablieren. Nach § 38 BDSG und Artikel 37 der DSGVO haben Unternehmen, die personenbezogene Daten verarbeiten, ab 20 Mitarbeitern die Bestellpflicht eines Datenschutzbeauftragten – die Rolle kann intern oder extern vergeben werden.

Die Implementierung

Die DEUDAT GmbH implementiert Datenschutzmanagementsysteme. Am Beginn steht die Ermittlung des Datenschutzniveaus mit einem Standardfragenkatalog, der auf Anforderungen der DSGVO und Best Practices basiert. Daraus resultiert eine Reifegraddarstellung, aus der ein Managementbericht erstellt wird: Der Status Quo wird mit einer Ist-Analyse ermittelt, Empfehlungen erarbeitet und die geeigneten Maßnahmen in drei Dringlichkeitsstufen priorisiert.

Auf diesem Bericht setzt die Folgetätigkeit des externen Datenschutzbeauftragten auf. Er deckt Basistätigkeiten wie die Erstellung einer Datenschutzleitlinie oder eine Risikoanalyse der Verarbeitungssicherheit samt der Einführung von passenden Prozessen ab, führt später aber auch Tätigkeiten des Tagesgeschäfts durch, was meist die Aktualisierung der etablierten Prozesse bedeutet, ebenso Audits oder Datenschutz-Folgeabschätzungen.

Die Vorteile eines externen Partners

Ein Datenschutzmanagement bietet Rechtssicherheit und ist damit die Basis für den Unternehmenserfolg. Es bewahrt vor Datenschutzpannen und stärkt das Vertrauen der Kunden, Partner und Belegschaft. In der Praxis stehen Unternehmen aber oft noch am Anfang. Datenschutz ist ein oft lästiges Thema, das keine Wertschöpfung bringt. Wichtig ist deswegen, dass zunächst Verständnis geschaffen und die Bedeutung erkannt wird.

Der Einsatz externer Datenschutzbeauftragter ist sinnvoll, da interne häufig überlastet sind. Zudem bringen Externe in der Regel eine breitere Fachkunde mit. Gerade mittelständige Unternehmen unterhalten oft keine Rechtsabteilung mit Fachkräften. Externe Datenschutzbeauftragte haben zudem keine Interessenskonflikte.

Mit Corona-Regelungen zu 3G oder 2G werden viele Fragen laut, welche Daten erhoben, gespeichert und verarbeitet werden dürfen – hier muss eine Interessensabwägung zwischen Datenschutz und öffentlichem Interesse stattfinden. Dabei kann ein externer Datenschutzbeauftragter wertvolle Unterstützung leisten. Zudem kann er die Kommunikation mit Behörden übernehmen und Spielräume bei der Umsetzung des Datenschutzes zugunsten des Unternehmens nutzen.

Unternehmen sollten bei ihrem Partner auf Transparenz und idealerweise ein umfangreiches Servicepaket achten. Das erleichtert die Kalkulation und beugt unliebsamen Überraschungen vor. Idealerweise ist der externe Datenschützer Teil eines Teams: Dieses bringt nicht nur ein größeres Netzwerk ein, sondern garantiert auch Verfügbarkeit im Falle einer Datenschutzpanne.

Wird der Datenschutz von einem Profi etabliert, gereicht er Unternehmen immer zum Vorteil: Er erfordert Prozessanalysen, deckt Informationsflüsse auf und ermöglicht so die Optimierung von Abläufen.

Die rechtskonforme Organisation, Einhaltung und Umsetzung von Datenschutzbestimmungen ist für Unternehmen wesentlich, um als vertrauenswürdiger Partner auftreten zu können. Da Datenschutz eine dauerhafte Aufgabe ist, bietet sich ein Datenschutzmanagementsystem an, das nach der PDCA-Systematik für eine konstante Optimierung und damit die Einhaltung der Regularien sorgt.

Mario Arndt ist Geschäftsführer der DEUDAT GmbH.

DEUDAT GmbH