Low-Budget-Konzept für KMU (Datenschutz)

Speziell in KMU erschweren vergleichsweise geringe budgetäre Spielräume („low budget“) und das vergleichsweise geringe Wissen im Rahmen der gesetzlichen und Organisationserfordernisse das notwendige Erfüllen von Mindeststandards. Oftmals wird die Meinung vertreten, dass für Datenschutz „kein Geld, keine Zeit und auch keine Lust“ vorhanden ist, da die gesetzlichen Vorgaben nicht zum Kerngeschäft gehören und „schon nichts passieren wird“. Auch „verdient man hiermit schließlich nichts!“

Natürlich müssen auch in KMU die gesetzlichen Anforderungen umgesetzt werden und in aller Regel ein Datenschutzbeauftrag-ter bestellt werden. „Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals praktische Schwierigkeiten“, so sagt selbst die Datenschutz-Aufsichtsbehörde NRW in ihrem 17. Tätigkeitsbericht, wenn die Anforderungen nach Fachkunde und Zuverlässigkeit berücksichtigt werden müssen.

Sinnvoll kann der Datenschutz häufig nur durch ein Outsourcing effizient umgesetzt werden. Externe Beraterleistungen sind aber oftmals teuer. Insbesondere aufgrund der individuellen Leistungen, der Reise- und Rüstzeiten sind externe Berater insbe-sondere für kleine und mittlere Unternehmensgrößen (KMU) kaum erschwinglich.

Es ist aus oben genannten Umsetzungsproblemen dabei das Ziel, die kostenintensiven Leistungen zu reduzieren und gleichzeitig die internen Aufwände zu minimieren. 

Wie kann ich mit geringem Budget dennoch meinen Datenschutzverpflichtungen nachkommen??

Die Idee des Low-Budget-Konzepts besteht darin, die gesetzlich verankerte Angemessenheit zu berücksichtigen. Durch ein hohes Maß an Standardisierung, die Nutzung erprobter, standardisierte Hilfsmittel und die Reduzierung der Vor-Ort-Leistungen wird es ermöglicht, eine pragmatische, wenig aufwändige Lösung für das Datenschutzproblem zu akzeptablen Preisen zu realisieren. Kostengünstige Pauschalen stellen ferner eine hohe Planungssicherheit dar.
Da KMU in der Regel einen geringen Organisationsgrad aufweisen, muss auch der organisatorische Gehalt angemessen gestaltet werden. Die Bedeutung des Datenschutzes wird dabei durch uns und unsere Organisationsmittel vermittelt, aber nicht über-betont und überbewertet. Durch Nutzung

  1. moderner Kommunikationstechniken, 
  2. standardisierter Organisationsmittel sowie 
  3. computergestützter Verfahren (z. B. für die Analyse und Schulung)

werden hoch individuelle (Warum das Rad neu erfinden?) und Vor-Ort-Leistungen reduziert. Dadurch werden der interne Auf-wand und die externen Kosten für Sie optimiert.

Wie läuft eine externe Datenschutzbeauftragung mittels Low-Budget-Konzept ab?

Ausgangspunkt ist stets ein Datenschutz-Checkup, um eine Bewertung der aktuellen Ist-Situation vorzunehmen. Dies tun wir stets mit Hilfe des UIMC-Tools für Analyse und Berichterstattung (UTAB). Innerhalb eines Interviews bzw. Workshops werden die Informationen anhand eines computergestützen Fragenkatalogs erfasst sowie durch die UIMC ausgewertet und in Form eines Status-Quo-Berichts inkl. Schwachstellen und eines Maßnahmenkatalogs zur Verbesserung dokumentiert. 
Die vorgeschlagenen Maßnahmen können durch die UIMC innerhalb einer Aktivitätenliste so vorpriorisiert werden, dass eine sukzessive Abarbeitung der Schwachstellen festgelegt werden kann. Dies ist erforderlich, weil Erfahrungswerte zeigen, dass ein gleichzeitiges Beseitigen verschiedenster Schwachstellen u. a. aus Effizienz-, Akzeptanz- und Effektivitätsgründen nicht sinnvoll ist.
Zentrales Instrument für die Umsetzung des Datenschutzes ist das Organisations-Kit. Es enthält alle wesentlichen Anweisungen, Vorgaben, Formblätter etc. und umfasst alle aufbau- und ablauforganisatorischen Fragestellungen, welche allgemein verbindlich sind. Das Organisations-Kit ist ein standardisiertes, auf langjähriger Erfahrung und den Datenschutzgesetzen basierendes Regelwerk. Es ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist. Neben der Einzellösung (Datenschutz oder IT-Sicherheit) kann/sollte diese Lösung  aufgrund der großen Nähe der beiden Gebiete sinnvollerweise auch in Form eines integrierten IT-Sicherheits- und Datenschutz-Handbuchs eingesetzt werden.
Ferner ist es unerlässlich, die Mitarbeiter im Hinblick auf die Risiken zu sensibilisieren und auf die Maßnahmen zu schulen. Aus unserer langjährigen Erfahrung sind vor allem folgende Formen zielführend, welche wir auch umsetzen und auch sinnvoll miteinander kombinieren, wobei wir gerne ein individuelles Schulungskonzept erstellen:

  1. Präsenz-Schulungen durch einen erfahrenen Referenten und/oder
  2. eLearning zur Selbstschulung mittels eCollege der UIMC.

Was ist alles im Low-Budget-Konzept enthalten?

Die UIMC stellt einen fachkundigen und zuverlässigen Datenschutzbeauftragten, der die wesentlichen Funktionen gemäß §§ 4f und 4g BDSG übernimmt. Ferner sind folgende Komponenten Inhalt des Konzepts:

sowie eine fachliche Unterstützung durch Betreuung per Telefon und/oder E-Mail. Ferner werden die o. g. Komponenten durch die UIMC regelmäßig geprüft und aktualisiert; auch findet ein mindestens jährlich stattfindendes Revisions- und Kontrollge-spräch bei Ihnen vor Ort statt.

Welche Aufgaben verbleiben bei uns im Hause?

Intern ist ein Ansprechpartner zu benennen, der als Anlaufstation des Datenschutzbeauftragten dient und Anliegen intern weiterleitet. Verschiedene Aufgaben sind ferner sinnvollerweise durch das Unternehmen zu erfüllen, da diese entweder einfacher umzusetzen sind oder auch nicht in das Aufgabenfeld des Datenschutzbeauftragten fallen. So sind beispielsweise Änderungen der Konfiguration der IT-Systeme durch die IT-Abteilungen, Schulungen ggf. durch die Personalabteilung und das Einholen von Einwilligungserklärungen für Veröffentlichungen durch die Marketingabteilung durchzuführen. Die UIMC stellt gerne die notwendigen Informationen, Anweisungen oder Formulare zur Verfügung (z. B. innerhalb des Organisations-Kits).

Wie kann ich den Datenschutz in Konzernen oder Unternehmensgruppen einheitlich umsetzen?

Das Low-Budget-Konzept eignet sich ebenfalls gut für den Einsatz in Tochterunternehmen, in stark dezentralen Institutionen oder in Konzernen/Unternehmensverbünden. Hierdurch kann einheitlicher und qualitativ hochwertiger Datenschutz im Verbund sichergestellt werden. Dabei profitieren Sie von etablierten Best-Practice-Lösungen, die an den besonderen Bedürfnissen des Verbunds/Konzerns einmalig angepasst werden können, um sie dann in sämtlichen Institutionen einzubringen.

Aufgrund von Schnittmengen von Datenschutz und IT-Sicherheit/Informationssicherheit ist zudem eine integrierte Betrachtung zu empfehlen!

Unterstützen Sie auch Kirchen- oder Landesrecht?

Die UIMC unterstützt alle Institutionen, unabhängig welchem Landes- oder Kirchenrecht Ihre Institution unterliegt. 
Sie sind unsicher, welche Rechtsgrundlage für Ihr Haus gültig ist? Kein Problem, diese Fragestellung diskutieren wir gerne mit Ihnen. Sprechen Sie uns an!

Kann das Low-Budget-Konzept auch einen intern bestellten Datenschutzbeauftragten nützlich sein?

Neben der Bestellung eines externen Datenschutzbeauftragten können wir mit Hilfe des Low-Budget-Konzepts auch einen intern Bestellten unterstützen (sog. Coaching). Hierbei kann der designierte Datenschutzbeauftragte beispielsweise zunächst im Rahmen von UIMCollege-Seminaren mit den Grundzügen des Datenschutzes und der Arbeit vertraut gemacht und später durch einen Berater insbesondere in der Anfangszeit unterstützt werden. Ferner stehen dem Datenschutzbeauftragten von Anfang an die entsprechenden Hilfsmittel und Tools zur Verfügung (siehe oben: Organisations-Kit).

Was kostet mich die Unterstützung durch die UIMC?

Die Leistungen werden mehrheitlich über vorher festgelegte Pauschalen berechnet und bei Vertragsabschluss festgelegt. Dies erhöht die Kostentransparenz und Planungssicherheit. Sofern abweichend vom festgelegten Vertragsinhalt Sonderleistungen gewünscht oder erforderlich sind, können diese individuell und flexibel abgefragt werden. Dies kann ebenfalls pauschalisierbar oder aufwandsbezogen vereinbart werden (Sie behalten stets die Budget-Hoheit).

Um die Konditionen genau beziffern zu können, ist es jedoch erforderlich, dass wir die Rahmenbedingungen Ihres Hauses kennenlernen. Sofern Sie also ein konkretes Angebot wünschen, können Sie gerne auf uns zukommen.

Warum sollten wir als KMU den Datenschutz mittels Low-Budget-Konzept umsetzen?

Vorteile des Low-Budget-KonzeptsIhr Nutzen durch das Low-Budget-Konzept

sehr hohe Fachkompetenz

Synergien aus Mehrfachbestellungen

Kostenersparnis und kalkulierbare Kosten

keine „Unkündbarkeit“ des Datenschutzbeauftragten im Vergleich zu intern Bestelltem

keine Betriebsblindheit

Neutralität bei „brisanten“ Themen (UIMC als Mediator)

kurzfristige Verfügbarkeit

Berücksichtigung von pragmatischer Umsetzbarkeit („angemessener Datenschutz“)

kein Schulungsaufwand und Einarbeitungszeit für einen intern bestellten Datenschutzbeauftragten

„Das Rad wird nicht neu erfunden“ (Best Practice)

effiziente Aufgabenerfüllung

Existieren im Rahmen des Konzepts für KMU auch Kooperationen?

Die UIMC berät grundsätzlich vollkommen systemunabhängig, so dass wir keinerlei Kooperationen oder Abkommen mit Systemhersteller, Software-Anbietern oder Systemhäusern abgeschlossen haben. Wie sind stets an der „richtigen“ Lösung für Sie interessiert.

Die UIMC kooperiert aber mit verschiedenen Verbänden, Vereinigungen oder Interessensverbünden. Dies ist u. E. eine Win-Win-Situation, schließlich profitieren wir durch die verbesserte Ansprache von Unternehmen und die Mitglieder von Vergünstigungen oder gemeinsame bzw. koordinierte Projekte (beispielsweise gemeinsame Schulungen oder abgestimmte Dienstleister-Audits). 

Sie sind Teil eines Verbands und interessieren sich für eine Kooperation mit der UIMC? Sprechen Sie uns an! Wir entwickeln gerne eine Lösung.