Datenschutz: Grundlagen und Anforderungen

Durch verschiedene Datenschutzgesetze sind allen Unternehmen wie auch Behörden Vorgaben im Umgang mit personenbezogenen Daten gegeben:

  • So bedarf es bei der Datenerhebung einer Rechtsgrundlage, 
  • sind die Daten durch technische und organisatorische Maßnahmen angemessen zu schützen, 
  • sind die Mitarbeiter zu verpflichten und zu schulen oder 
  • müssen klar definierte Anforderungen beim Outsourcing beachtet werden.

Datenschutz ist demnach ein juristisches, (IT-Sicherheits-) technisches und organisatorisches Thema zugleich und sehr vielschichtig.

Aktuell wird das Datenschutzrecht auf EU-Ebene reformiert. Mit der UIMC haben Sie auch hier den richtigen Partner. Unter www.EU-Datenschutz-Grundverordnung.info haben wir wichtige Informationen zusammengetragen.

Diese Anforderungen gelten unabhängig von Größe, Branche und anderen Einflussgrößen. Nur die Frage der Bestellung eines Datenschutzbeauftragten ist an eine Größenordnung geknüpft; die Branchenzugehörigkeit und die Unternehmensgröße beeinflussen die Frage der Angemessenheit.

Doch viele Unternehmen verstoßen bewusst oder unbewusst gegen Vorschriften der Datenschutzgesetze. Ein Verstoß stellt in vielerlei Hinsicht ein Risiko dar: 

  • Die Sensibilität hinsichtlich des Umgangs und der Sicherheit von Daten steigt in der Bevölkerung und somit auch bei Mitarbeitern und Kunden zusehends, so dass ein Verstoß zu einem Imageverlust führen kann.
  • Datenschutz wird von „gegangenen“ Mitarbeitern oder unzufriedenen Kunden oft als Mittel für deren Zweck missbraucht.
  • Das Qualitätsmanagement verlangt auch sichere, gesetzeskonforme IT-Systeme, was mit steigender IT-Abhängigkeit wichtiger wird.
  • Wirtschaftsprüfer gehen zunehmend dazu über, auch die Ordnungsmäßigkeit hinsichtlich des Datenschutzes regelmäßig zu prüfen.

Hier finden Sie einen Schnelleinstieg in die meistgesuchten Unterstützungsleistungen der UIMC im Datenschutz:

Zum Einstieg möchten wir Ihnen die Anforderungen des Datenschutzes näher erläutern:

Welche Gesetze sind einschlägig (Rechtsgrundlagen)?

Innerhalb von Deutschland existieren diverse Datenschutzgesetze und Gesetze mit datenschutzrechtlichen Regeln. Welche Gesetze für Sie einschlägig sind, können Sie dem Informationsblatt „Rechtsgrundlagen“ entnehmen. Gerne können Sie aber auch auf uns zukommen; wie beraten Sie gerne.

Wer ist für den Datenschutz verantwortlich?

Grundsätzlich ist stets der Geschäftsführer, Leiter der Behörde, Vorstand etc., also der „Leiter der datenverarbeitenden Stellle“ für den Datenschutz verantwortlich. Es gibt verschiedene Herangehensweisen, das Risiko der persönlichen Haftung maßgeblich zu mindern, wie z. B. den Aufbau einer Datenschutz-Organisation. Aber es trägt auch jeder Mitarbeiter einen Teil der Verantwortung

Welche Anforderungen muss ich beim Datenschutz in meinem Hause beachten?

Es existiert eine Vielzahl an Forderungen, die gesetzlich erfüllt werden müssen. Viele dieser Anforderungen sind unabhängig von den Rechtsgrundlagen, gelten sinngemäß also sowohl im Bundes- als auch im Kirchen- und Landesrecht. Die wesentlichen Anforderungen und Empfehlungen sind u. a.:

  • Bestellung eines fachkundigen und zuverlässigen Datenschutzbeauftragten,
  • Überwachung der ordnungsgemäßen Anwendung der EDV,
  • Etablierung einer Aufbau- und Ablauforganisation (Datenschutz-Managementsystem),
  • Schulung und Sensibilisierung der Mitarbeiter,
  • Erstellung einer Übersicht der verwendeten Verfahren,
  • Verpflichtung und Überprüfung der Dienstleister,
  • Umsetzung von technisch-organisatorischen Maßnahmen (unter Berücksichtigung der Angemessenheit),

Was muss ich bei der Bestellung eines Datenschutzbeauftragten beachten?

Der Datenschutzbeauftragte muss sowohl fachkundig als auch zuverlässig sein. Gerade im Rahmen der Zuverlässigkeit entstehen oftmals Probleme, wenn der Teilzeit-Datenschutzbeauftragte mit weiteren Tätigkeitsfeldern in einen Interessenkonflikt gerät. Näheres finden Sie auch unter Aufgaben des Datenschutzbeauftragten.

Muss der Datenschutzbeauftragte ein interner Mitarbeiter sein?

Dies ist in den verschiedenen Datenschutzgesetzen unterschiedlich geregelt. Innerhalb des Bundesdatenschutzgesetzes, welches für die Privatwirtschaft gilt, ist explizit die Bestellung einer externen Person ermöglicht. Somit kann die UIMC sowohl einen intern bestellten Datenschutzbeauftragten im Rahmen eines Coachings als auch durch einen externen Datenschutzbeauftragten unterstützen.

Was muss ich tun, damit ich nicht in "Einzelmaßnahmen ertrinke"?

Im Rahmen des Datenschutzes müssen „technische und organisatorische Maßnahmen“ (TOMs) getroffen werden, die erforderlich und geeignet sind, die gesetzlichen Anforderungen in der Institution sicherzustellen. Zentrales Instrument für die Umsetzung des Datenschutzes ist hierbei ein verbindliches Datenschutzkonzept, welches auch die gesetzlichen IT-Sicherheitsanforderungen berücksichtigt. Hierzu hat die UIMC beispielsweise das Datenschutzhandbuch entwickelt.

Wie Stelle ich sicher, dass der Datenschutz auch (pragmatisch) gelebt wird??

Über die Schaffung von transparenten und verbindlichen Regelungen hinaus ist es zur effektiven Umsetzung unerlässlich, die Mitarbeiter im Hinblick auf die Risiken zu sensibilisieren und auf die Maßnahmen zu schulen. Sie sind unsicher, welche Schulungsformen für Sie am besten geeignet sind? Hier finden Sie einige Informationen zur Schulung.

Was muss ich beim Outsourcing an einen Dienstleister beachten?

In den meisten Datenschutzgesetzen werden Sie dazu verpflichtet, sich beim Dienstleister von der Ordnungsmäßigkeit der Datenverarbeitung bzw. Dienstleistungsausführung zu überzeugen. Dies kann von der Unterzeichnung einer Selbstverpflichtung des Dienstleisters über das Einfordern eines Zertifikats bis hin zu einer eigenen, koordinierten oder beauftragten Auditierung ausgestaltet werden. Das konkrete Vorgehen sollte stets mit dem Datenschutzbeauftragten auf Basis einer Risikoanalyse/-betrachtung abgestimmt werden.

Was tun, wenn ich spezifische Fragen zu aktuellen Themen habe?

Ob neue IT-Trends wie Bring Your Own Device (BYOD), die Nutzung von Smartphones und anderen Mobile Devices, die Einführung einer Social-Media-Strategie, die Installation einer Videokamera oder der Start einer Markting-Kampagne: Wenn Sie Unterstützung zu datenschutzrechtlichen Anforderungen benötigen, können Sie uns gerne ansprechen. Die UIMC ist Vollsortimentler und kann bei einzelnen Fragen oder mit Unterstützungs-Tools bis hin zum Komplett-Outsourcing in Form einer externen Datenschutzbeauftragung kompetent weiterhelfen. Das Gleiche gilt natürlich auch im Zusammenhang mit der IT-Sicherheit bzw. Informationssicherheit. Schauen Sie doch auch einmal in unser Angebot an Praxis-Workshops.

Wir unterstützen Sie durch