Datenschutz im Unternehmen umsetzen

Du willst endlich den Datenschutz im Unternehmen umsetzen, weißt aber nicht so richtig, wie du damit anfangen sollst und welche Schritte du gehen musst? In diesem Beitrag erkläre ich dir, worauf es ankommt. Als Goodie erhältst du außerdem eine Checkliste: Datenschutz im Unternehmen umsetzen.

Wer übernimmt die Verantwortung

Bevor es so richtig losgeht, solltest du klären, wer die Verantwortung für das Thema in deinem Unternehmen übernimmt. Damit meine ich jetzt nicht die rechtliche Verantwortung. Die rechtliche Verantwortung für das Thema liegt bei der Unternehmensleitung: Datenschutz ist Chefsache! Je größer dein Unternehmen ist, desto höher ist aber die Wahrscheinlichkeit, dass die Geschäftsleitung einfach keine Zeit findet, das Thema Datenschutz im Unternehmen umsetzen zu können. Hier musst du jemanden benennen, der die organisatorische Verantwortung für das Projekt übernimmt. Je nach Größe deines Unternehmens kann das eine einzelne Person sein oder gleich ein ganzes Datenschutzteam. Die verantwortliche Person sollte genügend Freiraum haben, um das Thema umzusetzen. Das bedeutet einmal genug Zeit (neben der eigentlichen Arbeit). Es bedeutet aber auch genug Handlungsspielraum, um mit dem entsprechenden Stakeholder zu sprechen und die notwendigen Informationen zusammenzutragen. Wenn du diesen Artikel liest, besteht eine nicht ganz unerhebliche Chance, dass du diese Person sein wirst. Herzlichen Glückwunsch zu dieser spannenden Reise!

Überblick verschaffen

Im nächsten Schritt solltest du dir einen Überblick über dein Unternehmen verschaffen. Das heißt, du solltest dir alle Prozesse und Tätigkeiten erarbeiten, bei denen personenbezogene Daten verarbeitet werden. Hierbei kann dir ein Organigramm deines Unternehmens helfen. In das Organigramm kannst du die einzelnen Abteilungen auflisten und was diese machen. Das ganze dient dir als Übersicht und ist nur für den internen Gebrauch. Im Organigramm kannst du ggf. auch schon die Ansprechpartner in den Abteilungen benennen, die dich bei der Umsetzung unterstützen sollen.

Verzeichnis der Verarbeitungstätigkeiten

Nachdem du dir einen Überblick verschafft hast, geht es an die Details. Du benötigst ein Verzeichnis der Verarbeitungstätigkeiten oder kurz Verarbeitungsverzeichnis. Das Verzeichnis der Verarbeitungstätigkeiten ist das Fundament für deinen Datenschutz.

Verarbeitungsverzeichnis als Fundament des Datenschutzes

Hier führst du alle Tätigkeiten auf, bei denen in deinem Unternehmen personenbezogene Daten verarbeitet werden. Dabei geht es nicht nur um Daten von Kunden, sondern auch um die Daten deiner Mitarbeiter, Geschäftspartner und Lieferanten. Du verarbeitest zum Beispiel für die Lohnabrechnung personenbezogene Daten deiner Mitarbeiter. Schau dir hier unseren Artikel zum Verarbeitungsverzeichnis an, wenn du mehr wissen willst: Warum du ein Verarbeitungsverzeichnis für den Datenschutz in deinem Unternehmen benötigst. Typische Tätigkeiten sind etwa Kommunikation per E-Mail, Verkauf, Newsletter, Lohnbuchhaltung, Finanzbuchhaltung oder Besuchertracking einer Webseite. Ein Muster eines Verarbeitungsverzeichnisses findest du in unserem Downloadbereich.

Im Verarbeitungsverzeichnis musst du aber nicht nur deine internen Verarbeitungen aufführen, sondern auch die Tätigkeiten, die du ausgelagert hast. Das kann z. B. das Hosten der Webseite sein oder das Newslettermarketing.

Verarbeitungsverzeichnis als Übersicht der Rechtsgrundlagen

Außerdem musst du im Verarbeitungsverzeichnis die Rechtsgrundlage angeben, auf der du die personenbezogenen Daten verarbeitest. Das ist ein zentraler Punkt für die Umsetzung des Datenschutzes im Unternehmen. Datenschutz ist ein Verbot mit Ausnahmevorbehalt. Das heißt, dass du personenbezogene Daten nur verarbeiten darfst, wenn dafür eine Rechtsgrundlage besteht. Das heißt jetzt aber nicht, dass du gar keine Daten mehr verarbeiten darfst, sondern nur, dass du schauen musst, welche Rechtsgrundlage passt und welche weiteren Voraussetzungen du beachten musst.

Es gibt eine ganze Reihe von Rechtsgrundlagen, auf die du die Verarbeitung von personenbezogene Daten stützen kannst. Die bekannteste Rechtsgrundlage ist die Einwilligung. Aber du musst selbstverständlich nicht jede Verarbeitung auf eine Einwilligung stützen und das solltest du auch nicht. Warum erfährst du hier: die Einwilligung im Sinne der DSGVO. Andere Rechtsgrundlagen sind etwa die Verarbeitung zur Durchführung eines Vertrages oder das berühmte berechtigte Interesse. Die Rechtsgrundlagen für eine Verarbeitung findest du in Art. 6 DSGVO.

Pflege ist das A und O

Außerdem solltest du das Verarbeitungsverzeichnis regelmäßig pflegen. Im Laufe der Zeit wirst du sicherlich die eine oder andere Verarbeitung aufnehmen oder nicht mehr durchführen. Das musst du im Verzeichnis festhalten.

Sicherheit: technische und organisatorische Maßnahmen

Das ganze Thema ist für die Katz, wenn du deine Daten nicht ausreichend schützt. Die DSGVO verpflichtet dich, durch entsprechende technische und organisatorische Maßnahmen deine Daten zu schützen. Hier geht es einerseits um deine IT und digitalen Prozesse. Es geht aber auch um ganz analoge Maßnahmen wie die Schlösser an der Eingangstür oder dem Zugang zum Serverraum. Das Grundziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten zu gewährleisten. Ziel ist also nicht nur der Schutz vor fremden und unerlaubten Zugriff, sondern der Schutz der Daten an sich. Damit gehören z. B. auch Backups zu den TOM.

Welche Maßnahmen du konkret einsetzt, hängt von unterschiedlichen Faktoren ab. Stand der Technik, Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen, können hier eine Rolle spielen. Mehr zum Thema erfährst du in meinem ausführlichen Artikel: Technische und organisatorische Maßnahmen im Datenschutz.

Transparenz

Du musst betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informieren. Das geht auf deiner Webseite los für die Besucher deiner Seite. Die Informationspflicht hört dort aber nicht. Du musst auch deine Mitarbeiter und auch schon deine Bewerber über eine entsprechende Datenverarbeitung informieren, ebenso deine Geschäftspartner und Kunden oder Kontakte, die du auf einer Messe knüpfst oder von Personen, die du auf einer Veranstaltung fotografierst usw.

Die Information muss beim Beginn der Verarbeitung erteilt werden. Bei Webseitenbesuchern passiert das z. B. über die Datenschutzhinweise auf der Webseite.

Welche Informationen du genau teilen musst, ergibt sich aus Art. 13 und 14 DSGVO. Zu den Pflichtinformationen gehören z. B. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen oder die Rechtsgrundlage für die Verarbeitung.

Oft vergessen, aber wichtig: Die Informationspflicht aus Artikel 13 und 14 DSGVO verpflichtet dich dazu, die betroffenen Personen zu informieren, nicht mehr! Die betroffene Person muss die Gelegenheit bekommen, die Informationen wahrzunehmen, nicht mehr. D. h. im Umkehrschluss, dass die betroffene Person nicht zustimmen muss. Tatsächlich muss sie die Informationen nicht einmal wahrnehmen, sondern nur die Gelegenheit dazu bekommen. Checkboxen, in denen die betroffene Person bestätigt, dass sie die Informationen akzeptiert, sind also völlig überflüssig und sogar gefährlich. Mehr dazu findest du in unserem Ratgeber „Warum du niemanden zwingen solltest, deine Datenschutzhinweise zu akzeptieren!“.

Auftragsverarbeitung

In verschiedenen Konstellationen setzt du eventuell Dienstleister ein, die personenbezogene Daten für dich verarbeiten. Du bleibst zwar Verantwortlicher im Sinne des Datenschutzes, also derjenige, der allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Ein Dritter führt aber die eigentliche Verarbeitung durch. Man spricht dann von einer sogenannten Auftragsverarbeitung. Auftragsverarbeitungen sind in vielen Konstellationen denkbar. Als Faustregel gilt: Immer dann, wenn ein Dritter personenbezogene Daten für dich zu einem konkreten Zweck verarbeitet, liegt eine Auftragsverarbeitung vor.

Bei einer Auftragsverarbeitung muss sichergestellt werden, dass die Datenverarbeitung durch den Dienstleister ebenfalls datenschutzkonform erfolgt. Das Ganze musst du in einem Vertrag festhalten (Vertrag zur Auftragsverarbeitung oder Auftragsverarbeitungsvertrag, Art. 28 Abs. 3 DSGVO). Der Vertrag hat formelle Mindestinhalte und legt den Parteien unterschiedliche Pflichten auf. Ein Muster für einen Vertrag und weitere Informationen findest du ebenfalls in unserem Blog: Auftragsverarbeitungsvertrag.

Um den Datenschutz im Unternehmen umsetzen zu können, solltest du genau schauen, an welcher Stelle Dritte für dich personenbezogene Daten verarbeiten. Mit diesen Dritten musst du einen Auftragsverarbeitungsvertrag schließen. Wie gesagt, sind Konstellationen vielfältig. Typische Konstellationen sind:

 

  • MS 365
  • Cloud-Dienste
  • Newsletterdienste
  • angemietete Server in Rechenzentren
  • Externe IT-Dienstleister
  • Newsletterdienstleister wie MailChimp oder Rapidmail
  • externe Ticketsysteme
  • externe CRM-Tools wie Pipedrive
  • externer Telefonservice

Sonderkonstellation gemeinsame Verantwortung

Es kann Konstellationen geben, in denen du personenbezogene Daten verarbeitetest und ein Dritter ebenso, der Dritte aber eigene Zwecke verfolgt. IN diesem Fall spricht man von einer gemeinsamen Verantwortung. Ein Klassiker ist hier der Betrieb einer Facebook Fan Page. In diesem Fall bist du verantwortlich für die personenbezogenen Daten, die du über diese Fanpage verarbeitest, etwa Nachrichten, die du mit potenziellem Besuch anschreibst. Gleichzeitig verarbeitet allerdings auch Mieter, der Mutterkonzern hinter Facebook, die Daten völlig eigenen Zwecken. In diesem Fall ist Mieter nicht dein Auftragsverarbeiter, sondern gemeinsamer Verantwortlicher. In einer solchen Konstellation benötigst du ebenfalls eine vertrauliche Grundlage für die Zusammenarbeit (Vertrag über die gemeinsame Verantwortung, Joint-Controller-Agreement, Art. 26 DSGVO).

Mitarbeiter

Wenn du den Datenschutz im Unternehmen umsetzen willst, wird es viele Berührungspunkte mit deinen Mitarbeitern geben. Einmal sind deine Mitarbeiter als natürliche Personen selbst betroffene Personen im Sinne des Datenschutzen, wenn es um die Verarbeitung ihrer Daten geht. Das geht bei der Verarbeitung von Bewerberinformationen los. Außerdem musst du Daten für Lohn und Altersvorsorge verarbeiten usw. Besonders sensible Punkte sind Fotos auf der Webseite oder in Social Media, die Überwachung des Unternehmens mit Videotechnik oder Zeiterfassung. Hier kann sogar eine Datenschutzfolgenabschätzung notwendig werden. In der Regel wirst du folgende Punkte immer beachten müssen:

  • Sind alle Tätigkeiten im Verzeichnis der Verarbeitungstätigkeiten
  • Gibt es ausreichende Datenschutzinformationen für Bewerber und Mitarbeiter und werden diese „bei Beginn der Verarbeitung“ erteilt?
  • Werden Fotos (auf Webseiten, Social Media, Print …) verarbeitet und liegt dafür die Einwilligung des Mitarbeiters vor?

Aber deine Mitarbeiter sind nicht nur betroffene Personen im Sinne des Datenschutzes, sondern kommen regelmäßig auch mit anderen personenbezogenen Daten in Berührung und verarbeiten diesen. Das können interne Daten sein, wenn z. B. deine Personalabteilung Mitarbeiterdaten verarbeitet. Das betrifft aber auch fast jede andere Abteilung. Der Vertrieb verarbeitet Daten potenzieller Geschäftspartner oder Kunden, die Marketingabteilung verarbeitet Daten für den Newsletter oder beim Tracking der Webseite und selbst der Projektmitarbeiter hat vermutlich E-Mail-Kontakt mit seinem Ansprechpartner beim Kunden.

Damit hier keine Datenpannen passieren, musst du deine Mitarbeiter regelmäßig schulen. Außerdem solltest du sie auf Vertraulichkeit verpflichten. Ein Rollen- und Berechtigungskonzept stellt sicher, dass Mitarbeiter nur auf die Daten Zugriff erlangen, die sie für ihre Tätigkeit benötigen. Ein Mitarbeiter in der Personalabteilung muss (und darf dann auch) keinen Zugriff auf Kundendaten haben. Umgekehrt besteht kein Grund, warum das Marketing Zugriff auf Personaldaten haben sollte. Wichtige Themen sind hier:

 

  • regelmäßige Mitarbeiterschulungen
  • Verpflichtung auf Vertraulichkeit
  • Rollen- und Berechtigungskonzepte

Datenschutzbeauftragter

Sofern in deinem Unternehmen mindestens 20 Personen arbeiten, die regelmäßig personenbezogene Daten verarbeiten, benötigst du einen Datenschutzbeauftragten. In unserem Blog findest du weitere Informationen: Ab wann benötige ich einen Datenschutzbeauftragten? Personen, die regelmäßig Daten verarbeiten, sind etwa, Geschäftsleitung, Verwaltung, Vertrieb und Marketing, Personal und auch Projektmitarbeiter, wenn diese Kundenkontakt haben. Handwerker, die auf die Baustelle fahren und dafür „nur“ Namen und Adresse des Kunden bekommen oder reine Produktionsmitarbeiter zählen in der Regel nicht zu Personen, die regelmäßig personenbezogene Daten verarbeiten.

Datenschutzbeauftragte kann eine Mitarbeiterin sein oder z. B. ich als externer Datenschutzbeauftragter. Ich habe auf unserem Block einmal 10 Gründe zusammengestellt, warum ein externer Datenschutzbeauftragter die bessere Wahl ist. Das ist aus Sicht eines externen Datenschutzbeauftragten natürlich ein wenig befangen. Aber schau selbst. Eine Mitarbeiterin musst du in der Regel erst schulen und ihr dann die notwendige Zeit für das Thema einräumen. Außerdem genießt die Person dann Kündigungsschutz auch bis zu einem Jahr nach Abbestellung als Datenschutzbeauftragte, nur um ein paar Vorteile zu nennen.

Löschen

Das Speichern von personenbezogenen Daten ist eine Verarbeitung im Sinne des Datenschutzes (Art. 4 DSGVO). Wenn der Zweck der Verarbeitung nicht mehr existiert, darfst du die Daten nicht weiter verarbeiten. D. h. du darfst diese auch nicht länger speichern. In diesem Fall müssen Daten gelöscht werden.

In der Praxis stellt sich das in der Regel vor zwei Herausforderungen. Einmal musst du ein System etablieren, mit dem du regelmäßig überprüfst, welche Daten noch gespeichert werden dürfen und welche gelöscht werden müssen. Das Ganze ist also ein fortlaufender Prozess. Hier hilft dir in der Regel ein Löschkonzept. Ein anderes Thema ist das richtige Löschen der Daten. Je nachdem wie sensibel die Daten sind, sind die Anforderungen an den Löschvorgang höher oder niedriger. Mehr zum Thema erfährst du in meinem Artikel: Löschkonzept Muster. Die Erstellung eines Löschkonzepts ist damit ein weiterer wichtiger Baustein, um den Datenschutz im Unternehmen umzusetzen.

Regelmäßige Überprüfung

Datenschutz im Unternehmen umzusetzen, ist keine einmalige Angelegenheit, sondern ein laufender Prozess. Du musst regelmäßig prüfen, ob alle vorgenannten Punkte noch aktuell sind. Im Idealfall hast du entsprechende Richtlinien oder ein System, dass dich dabei unterstützt. Die regelmäßige Überprüfung ist wichtig und sorgt dafür, dass der Datenschutz in deinem Unternehmen auch noch zwei, drei oder mehr Jahren aktuell ist. Ich empfehle wenigstens einmal pro Jahr eine Prüfung der Prozesse, um hier auf einem aktuellen Stand zu bleiben.

Datenschutzfolgenabschätzung

Sofern eine geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet, bist du verpflichtet, vor dem erstmaligen Einsatz des Verfahrens eine sog. Folgenabschätzung (Art. 35 DSGVO) durchzuführen. Hierzu solltest du rechtzeitig ein Konzept zur Durchführung und Dokumentation eines solchen Verfahrens erarbeiten. Wenn du noch wenig Berührung mit dem Thema Datenschutz hast, fällt es vermutlich nicht leicht, überhaupt ein Gespür dafür zu bekommen, welche Tätigkeit betroffen ist. Die Datenschutzkonferenz hat eine Liste von Tätigkeiten erstellt, für die eine Datenschutzfolgenabschätzung durchzuführen ist: Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist.

Fazit

Datenschutz im Unternehmen umzusetzen, ist kein Hexenwerk, sondern in erster Linie Fleißarbeit. Fast niemand hat bis heute ein 100 % perfektes Datenschutz-Management und in seinem Unternehmen sicher noch die ein oder andere Baustelle. Du solltest einfach anfragen, den Datenschutz in deinem Unternehmen umzusetzen. Done is better then perfect. Das soll jetzt nicht heißen, dass du das Ganze halbherzig angehen sollst. Aber mach dir keine Sorgen, wenn alles sofort 100 % perfekt ist. Dafür sind auch noch zu viele Fragen offen.

Bei Fragen stehe ich natürlich gerne zur Verfügung und unterstütze dich als Externer Datenschutzbeauftragter. Ich habe mehr als 10 Jahren Berufserfahrung im Datenschutz, bin zertifizierter CIPP/E und Fachanwalt für IT-Recht. Ruf mich einfach an oder mache einen Termin für ein kostenloses Kennenlerngespräch.

Weiterführende Links

Ziele einer Datenschutzschulung