Home News Über mich Kontakt
Datenschutzbeauftragter Leistungen
Externer
Datenschutzbeauftragter Verzeichnis der
Verarbeitungstätigkeiten Analyse der betrieblichen
Datensicherheit Datenschutzkonzepte Datenschutz-Folgenabschätzung Datenschutzhinweise Datenschutzschulungen
Datenschutzgesetze
EU-Datenschutzgrundverordnung Bundesdatenschutzgesetz Berliner Landesdatenschutzgesetz Brandenburgisches Datenschutzgesetz
Kosten
News

Die betriebliche Umsetzung der EU - Datenschutzgrundverordnung

21/06/2017

Wir haben weniger als ein Jahr Zeit, bis die Datenschutzgrundverordnung (DS-GVO) ab dem 25. Mai 2018 in Ihrem Unternehmen angewendet werden muss.

Die Aufsichtsbehörden haben dieses Datum im Blick! Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat bereits an 150 bayrische Unternehmen Prüffragebögen verschickt. Die Fragen zielen auf die konkrete Umsetzung von Maßnahmen, die aufgrund der gesetzlichen Änderungen nach der DS-GVO erfolgen müssen.

Alle Unternehmen sollten die knapp werdende Zeit aktiv nutzen. Doch gerade für kleinere Unternehmen stellen sich die Fragen: Was ist konkret zu ändern? Wie organisiere ich die Umsetzung im Unternehmen?

Besonders schwierig wird es für Betriebe, die keinen Datenschutzbeauftragten aufgrund ihrer Betriebsgröße bestellt haben. Kaum eine Geschäftsleitung hat die Zeit, sich in die komplexe Materie des neuen Datenschutzrechts einzuarbeiten. In der Regel haben Unternehmen dieser Größe auch keine juristische Abteilung die sich um die Datenschutz-Compliance kümmert. Anderseits erhöhen sich das Haftungsrisiko und die Gefahr von existenzbedrohenden Bußgeldern enorm.

Eine Geschäftsleitung, die das Thema Datenschutz ignoriert, handelt grob fahrlässig. Daher ist gerade für kleinere Unternehmen ggf. sinnvoll, freiwillig einen Datenschutzbeauftragten zu bestellen oder durch Unternehmensberatung die notwendige Fachkunde einzukaufen.

Schutzbedarfsanalyse:

Für die Schutzbedarfsanalyse eignet sich das dreistufige Modell nach den Schutzklassen:
normal, hoch und sehr hoch.

Schutzbedarfskategorien:

normal

Schadensauswirkungen: begrenzt

hoch

Schadensauswirkungen: beträchtlich

sehr hoch

Schadensauswirkungen: existenziell, katastrophal

Im Datenschutz ist die Betroffenenperspektive und nicht die Unternehmensperspektive relevant. Es muss daher die Zuordnung der personenbezogenen Daten zu den Schutzbedarfskategorien nach der Beeinträchtigung des informellen Selbstbestimmungsrechts der Betroffenen erfolgen.

Beeinträchtigung des informellen Selbstbestimmungsrechts bei der Verarbeitung:

normal

Der Betroffene kann in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden.

hoch

Der Betroffene kann in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden.

sehr hoch

Es besteht Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen.

 

Einschätzung der Risiken bei der Verarbeitung:

Die Formel:

Höhe des Risikos = möglicher Schaden x Eintrittswahrscheinlichkeit

ist zwar logisch nachvollziehbar, aber im praktischen Leben sehr schwer zu bestimmen.

Unter IT-Geschichtspunkten kann sie der Geschäftsleitung eine Entscheidungsgrundlage bieten. Es kann hier sogar rational sein, unter bestimmten Umständen ein sehr hohes Risikos zu verantworten.

Im Datenschutz bedeutet jeder Schaden aus Sicht der Betroffenen eine Verletzung der persönlichen Grundrechte und kann daher nicht als betriebswirtschaftliche Kosten / Nutzen-Abwägung verhandelt werden. Das Risiko und der Schaden liegen primär bei den Betroffenen und daher muss immer ein angemessener Schutz im Sinne der DS-GVO gewährleistet werden

Die Geschäftsführung muss entscheiden, welcher Schutzbedarf die Rechte der Betroffenen bei akzeptablen Implementierungskosten angemessen schützt. Es ist immer zu prüfen, ob nicht veränderte oder andere den Zweck erfüllende Verfahren das Risiko vermindern.

Unternehmer und Geschäftsführer sind verpflichtet, zum Wohl des Unternehmens zu agieren.  Da jede Datenschutzpanne sekundär dem Unternehmen schaden kann, muss die Geschäftsleitung diese Risiken mit im Auge haben. Unter Umständen sind Sicherheitsmaßnahmen selbst bei "normalem Schutzbedarf" eher höher anzusetzen, wenn das Renommee des Unternehmens gefährdet sein könnte.

Die Folgen bei Datenschutzpannen, die die Geschäftsleitung im Blick haben muss sind:

  • Verstoß gegen Gesetze, Vorschriften, Verträge
  • Bußgelder und strafrechtliche Konsequenzen für Verantwortliche
  • Beeinträchtigung der Aufgabenerfüllung des Unternehmens
  • Negative Innen - und / oder Außenwirkung für das Unternehmen
  • Finanzielle Auswirkungen für das Unternehmen

Die Aufgabe der Geschäftsleitung ist, die betrieblichen Abläufe und die IT-Sicherheit so zu organisieren, dass diese Schadenszenarien möglichst nicht eintreten. Wenn es jedoch trotzdem zu einer Datenschutzpanne kommt, sollte sie zeigen können, dass alle rechtlichen Vorgaben zum Datenschutz eingehalten wurden. Der Schaden für den Betrieb kann insbesondere im Bezug auf Bußgelder und Renommee-Verlust somit niedrig gehalten werden.

Zusätzlich sollte trotz gutem Schutzniveau ein Notfallplan für den Umgang mit Datenschutzpannen existieren, um im Schadensfall schnell und konsequent reagieren zu können.

Die umfangreiche Rechenschaftspflicht in der DS-GVO, die letztlich eine Beweislastumkehr ist, zwingt die Unternehmen so wie so jederzeit die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten nachweisen zu können. Denn in Zukunft muss der Verantwortliche beweisen, dass die Verfahren und die technisch-organisatorischen Maßnahmen den gesetzlichen Vorgaben entsprechen.

Die Geschäftsleitung muss das Kunststück schaffen, den Datenschutz auf dem gesetzlichen Niveau zu etablieren, bei möglichst geringem Aufwand.

Jeder zusätzliche Aufwand bedeutet zusätzliche Kosten und belastet die finanzielle Situation des Unternehmens.

Und, damit sind wir gerade bei den kleinen bis mittleren Unternehmen beim Thema:

In den letzten Jahren sind die Bürokratie-Kosten und die Kosten zur Einhaltung von gesetzlichen Vorgaben permanent gestiegen. Große Unternehmen haben schon seit längerem mit der Einrichtung von Compliance-Abteilungen reagiert. Deren Aufgabe besteht allein darin, die Einhaltung der gesetzlichen und betriebsinternen Regeln zu organisieren und zu überwachen. Für KMUs heißt Compliance-Management meist ein weiteres Aufgabenfeld für die Geschäftsleitung. Die Neueinstellung eines unproduktiven Mitarbeiters auf diesem Qualifikationsniveau ist oft finanziell kaum möglich.

Für den Datenschutz bietet es sich an, die Kompetenz eines externen Datenschutzbeauftragten zu nutzen. Er kann der Geschäftsführung im Rahmen einer Unternehmensberatung helfen, ein effektives Datenschutz-Managementsystem zu installieren. In vielen Betrieben kann die Bestellung eines externen Datenschutzbeauftragten sinnvoll sein, um einen ständigen Ansprechpartner für alle Belange des Datenschutzes zu haben.

Alle Artikel anzeigen

Kontakt
+49 (0) 30 91 43 66 11
info@datenschutzbeauftragter-berlin.com

Rechtliches
Impressum
Datenschutzhinweise

Zertifikate
Zertifizierter externer Datenschutzbeauftragter und Datenschutzauditor (TÜV Rheinland)
Zertifizierter externer Datenschutzbeauftragter und Datenschutzauditor (TÜV Rheinland)