Datenschutz – Skalierende Prozesse als best-practice

Haben Sie heute schon ein Cookie-Banner (oder Consent-Tool) weggeklickt? Dass der Begriff Datenschutz in der Geschäftsführung schon mal für Frösteln sorgt, dürfte nicht wundern. Gerade bei wachsenden Unternehmen sollte das Thema jedoch keinesfalls in den Hintergrund rücken, denn Nacharbeiten sind aufwändig und die Bußgeldbemessung wächst mit dem Umsatz. Und doch kann der Schutz personenbezogener Daten– sinnvoll implementiert – weit mehr, als das bloße Zufriedenstellen einer Aufsichtsbehörde. 

Freiwillige vor (oder einen Schritt zurück) 

Das Geschäft läuft und eigentlich hat niemand Zeit (geschweige denn Ambitionen) sich dem Thema Datenschutz anzunehmen. Das ist normal. Ist jeder verantwortlich, kümmert sich erfahrungsgemäß niemand darum. 

Die Grenze zur Benennungspflicht eines oder einer Datenschutzbeauftragten (DSB) liegt bei 20 Personen im Unternehmen, die regelmäßig personenbezogene Daten verarbeiten. Nicht gemeint ist also regelmäßig die Belegschaft, die an Maschinen arbeitet. Sind Sie ein innovatives Unternehmen, entwickeln beispielsweise neuartige Fitnessarmbänder und Datenschutz ist für Sie keine Randerscheinung, benötigen Sie von Beginn an einen oder eine DSB. 

Praxistipp: DSB-Verpflichtung oder nicht – ernennen Sie eine oder einen Verantwortliche(n) für das Thema, geben Sie Ressourcen frei und weisen Sie das Team an zuzuarbeiten. Am Anfang ist die Geschäftsleitung selbst sicherlich die richtige Adresse. Mit zunehmender Größe sollten IT-Verantwortliche, HR oder das Controlling diese Rolle übernehmen. Doch Obacht: Aufgrund von Interessenskonflikten ist später nicht jede Position als DSB zulässig. 

Das Datenschutzdreieck – rechtzeitiges Handeln spart Zeit und schont den Geldbeutel 

VVT, TOM, DSE. Hinter diesen Fantastischen Drei verbirgt sich der essentielle Dreiklang des Datenschutzes. 

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist die Landkarte der Prozesse, bei denen personenbezogene Daten verarbeitet werden. Hier sollte auch in Phasen des Wachstums Sorgfalt herrschen, denn ist das VVT durchdacht, vollständig und angemessen detailliert, sind viele sonstigen gesetzlichen Anforderungen leichter einzuhalten. Bonus: Auch in Wachstumsschüben wissen Sie jederzeit was in der Prozesslandschaft vor sich geht. 

Praxistipp: Erklären Sie Ihren Führungskräften, was ein VVT ist und verdeutlichen Sie die Relevanz der (unverzüglichen) Erfassung – und zwar bereits in der Planungsphase der Verarbeitung (Privacy by Design). Kontrollieren Sie regelmäßig stichprobenartig die Aktualität. 

Technische und organisatorische Maßnahmen (TOM) sollten bei schnellem Wachstum eines Unternehmens zunächst standortbezogen erfasst werden. Denken Sie daran: Es liegt in Ihrem Interesse, die personenbezogenen Daten des Unternehmens zu schützen. Bonus: Geschäftsgeheimnisse werden durch die Maßnahmen häufig ebenfalls geschützt. 

Praxistipp: Änderungen in Bereichen mit sensiblen personenbezogenen Daten prüfen Sie priorisiert (Personalabteilung vor Fertigung). Ab einer bestimmten Unternehmensgröße lohnt zudem ein Blick in den IT-Grundschutz des BSI. 

Datenschutzerklärungen (DSE) schaffen Vertrauen, auch wenn sie – zugegeben – leider kaum gelesen werden. Ihre Kunden sollen jedoch sehen, dass Sie den Datenschutz ernst nehmen (Stichwort Außenwirkung). Haben Sie ein vollständiges VVT, so wissen Sie genau, welche Daten warum und wie lange verarbeitet werden. So können Sie die Betroffenen mühelos informieren. 

Praxistipp: Verwenden Sie tabellarische DSE, deren Inhalte Sie bequem aus dem VVT kopieren. Platzieren Sie die Informationen auf der Website (z.B. als Hidden-Page) und verlinken Sie in E-Mails und Briefpapier standardmäßig auf die Seite. So können Sie die DSE bei neuen (oder geänderten) Verarbeitungen zentral an einer Stelle anpassen. 

Erfinden Sie das Rad nicht neu 

Das Standard-Datenschutzmodell (SDM) und rudimentäre Vorlagen auf den Webseiten der Aufsichtsbehörden können am Anfang hilfreich sein. Zudem finden sich im Internet viele (mehr oder weniger) hilfreiche Tools. 

Praxistipp: Für kleine Start-Ups könnte das „Datenschutz-Tool“ der Kollegen Thomas Werning und Stephan Moers interessant sein. Bei hohem Schutzbedarf oder zunehmender Anzahl an Daten hilft eine Prüfung mit dem kostenlosen „PIA-Tool“. Auch unser Institut hilft mittels Spezialvorlagen (z.B. Passwortrichtlinien, Telearbeitsrichtlinien, Erfassung der Webseitenkonformität) und Standardabläufen (z.B. Incident-Response, Intervenierbarkeit), das Datenschutz-Management deutlich zu vereinfachen. 

No risk, no fine 

Je sensibler und umfangreicher die Verarbeitungen sind (oder werden), umso zeitiger müssen Sie sich dem Datenschutz widmen. Der Risiko-Ansatz ist zudem das probate Mittel, wenn die Unternehmung rasch gewachsen ist, der Datenschutz jedoch zunächst auf der Strecke geblieben ist. 

Praxistipp: Überlegen Sie auch beim Erschließen neuer Geschäftsfelder genau, welche Prioritäten Sie im Datenschutz setzen: Gesundheitsdaten, Daten von Kindern oder in umfangreichen Datenbanken müssen präferiert und nachweislich datenschutzkonform verarbeitet werden. Hier verstehen die Aufsichtsbehörden (zurecht) keinen Spaß. 

Fazit 

Mit klarer Verantwortlichkeit und dokumentierten, wie gelebten Prozessen im Sinne eines angemessenen Datenschutz-Managements lassen sich rechtliche Vorgaben auch bei zunehmender Unternehmensgröße on-the-fly erfüllen. Ihre Kundschaft dankt es Ihnen mit Vertrauen. 

Praxistipp: Datenschutz ist Chefsache – lesen Sie die Art. 1 bis 39 DSGVO und § 26 BDSG. Die Normen sind greifbarer als manch anderes Gesetz und tragen zum grundlegenden Verständnis der Materie bei. Lassen Sie sich von den Datenschutz-Verantwortlichen regelmäßig beauskunften und steuern Sie im Wachstum die Ressourcen anhand des Risikos. Holen Sie sich externe Hilfe, spätestens wenn die eigenen Verantwortlichen fachlich oder zeitlich an die Grenzen stoßen. 

Ihrer aufstrebenden Unternehmung wünsche ich alles Gute und eine gesunde Portion Datenschutz. 

Weitere Beiträge von Ralko Nebelung

In den Zeiten von Corona bedeutet es für viele Firmen und Berufstätige eine Verlagerung von Arbeitsplätzen in das Homeoffice. Natürlich, um eine Ansteckungsgefahr zu minimieren, ein probates Mittel. Was da datenschutzrechtlich zu beachten ist, möchte ich, nur kurz, vorstellen. Vorab steht der Arbeitgeber in der Pflicht, dem Beschäftigten eine IT- Ausstattung zur Verfügung zu stellen, […]

Haben Sie heute schon ein Cookie-Banner (oder Consent-Tool) weggeklickt? Dass der Begriff Datenschutz in der Geschäftsführung schon mal für Frösteln sorgt, dürfte nicht wundern. Gerade bei wachsenden Unternehmen sollte das Thema jedoch keinesfalls in den Hintergrund rücken, denn Nacharbeiten sind aufwändig und die Bußgeldbemessung wächst mit dem Umsatz. Und doch kann der Schutz personenbezogener Daten– […]