Das Thema Datenschutz laut DSGVO ist auch für kleine und mittlere Unternehmen relevant
Der Datenschutz ist ein wichtiger Bestandteil der Sicherheit in Ihrem Unternehmen!
Die Anforderungen an Unternehmen im Bereich Backoffices steigen kontinuierlich. Hierbei den Überblick zu behalten, gesetzeskonform zu arbeiten und dabei keine Schäden entstehen, deren Konsequenzen in ihrer Gesamtheit oft erst viel später absehbar sind, wird immer schwieriger.
Mit der fortschreitenden Digitalisierung rückt der Datenschutz in einen immer größeren Focus und geht alle Firmen etwas an.
Sie als Inhaber und Geschäftsführer sind in der Pflicht und Haftung, auch wenn kein Datenschutzbeauftragter für das Unternehmen bestellt worden ist. Schützen Sie Ihr Unternehmen und minimieren das Risiko der Haftung und anderer Schäden!
Ein entstandener Schaden im Bereich des Datenschutzes kann sich auf vielen Feldern zeigen wie zum Beispiel:
- Imageverlust bei Mitarbeitern, Kunden und Geschäftspartnern
- Datenverlust*
- Datendiebstahl*
- Bußen durch die Aufsichtsbehörden
- Strafrechtliche Verfolgung
- Arbeitsrechtliche Konsequenzen
- Schadenersatzforderungen
(*dadurch entsteht zum Beispiel Verlust eines Informationsvorsprunges gegenüber den Mitbewerbern)
Das neue europäische Datenschutzrecht DSGVO
Zurzeit befinden wir uns in einer Übergangsphase bis zum 25. Mai 2018, in der das neue europäische Recht (DSGVO) und das deutsche Recht zur Geltung kommen (BDSG).
Bisher wurde dieses Recht nur von wenigen kleinen und mittleren Unternehmen vollumfänglich umgesetzt.
Nach der Übergangsphase gilt ausschließlich die DSGVO, es sei denn, es wird auf das nationale Recht der einzelnen Mitgliedsstaaten verwiesen (Öffnungsklauseln). Dann gilt für diese Punkte weiter das bisherige Recht der Nationalstaaten.
Gerade jetzt in der Übergangszeit sind Unsicherheiten zu spüren, weil viele Fragen der praktischen Umstellung und Haftung nicht klar sind. Es kann davon ausgegangen werden, dass diese Unsicherheiten auch nach dem Inkrafttreten der DSGVO weiter bestehen.
Hier ist Handlungsbedarf angesagt, um die Unternehmen rechtssicher in die Zukunft zu führen.
Unternehmen sind unter vorgegebenen Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu bestellen
Durch eine Öffnungsklausel im europäischen Recht wird Deutschland seine bisherigen Regelungen soweit behalten. Ein Datenschutzbeauftragter ist zu bestellen:
- ab 10 Personen, die eine automatisierte Datenverarbeitung im Unternehmen betreiben
- die Verarbeitung der Daten unterliegt einer Vorabkontrolle
- bei Verarbeitung von Daten für fremde Zwecke im geschäftlichen Bereich
Lassen Sie sich von einem Datenschutzbeauftragten darauf überprüfen, ob es sinnvoll ist, einen solchen zu bestellen oder ob Sie sogar vor dem Gesetz dazu verpflichtet sind.
Hier kann dann auch im Einzelfall geprüft werden, ob zum Beispiel Ihre Daten einer Vorabkontrolle unterliegen, inwieweit Sie meldepflichtig gegenüber der Aufsichtsbehörde sind (gerade ohne Datenschutzbeauftragten!) und ob Sie sich gegenüber Dritten weitgehend abgesichert haben, denen Sie Daten weiterleiten (denn auch hier kann es sein, dass Sie weiter die Verantwortung über die weitergeleiteten Daten tragen).
Bei einer solchen Auftragsdatenverarbeitung durch Dritte ist die verarbeitende Stelle Ihr verlängerter Arm, die Verantwortung tragen aber Sie weiterhin!
Hier müssen Sie sich absichern und sich bestätigen lassen, dass eine vorgegebene Verarbeitung der Daten in einem Umfeld gemäß den Bestimmungen stattfindet. Auch muss geprüft werden, ob es sich stattdessen doch um eine Funktionsübertragung handelt. Dann sieht die Rechtslage wieder anders aus.
Viele Fragen und Erforderlichkeiten werden sich während eines Gespräches ergeben, die sich erst durch eine individuelle Begutachtung Ihres Unternehmens ergeben können.
Der Datenschutzbeauftrage wird sich nach seiner eventuellen Bestellung durch Sie insgesamt Ihrem Unternehmen annehmen und auch das gesamte geschäftliche Umfeld auf die Eignung für eine sichere Datenverarbeitung prüfen.
Dazu gehört auch unter anderem die IT-Sicherheit und weitere Sicherheitsvorschriften. Wichtig ist hier die Zusammenarbeit zwischen der IT-Abteilung und dem Datenschutzbeauftragten. Für die IT-Abteilung bietet sich damit eine Chance, die vorhandenen Sicherheitsrichtlinien von einem Dritten sichten zu lassen, um damit seine Zuverlässigkeit zu dokumentieren. Weiterhin können aktuelle Vorgaben und Verbesserungen einfließen, die vielleicht vorher von den übergeordneten Stellen im Unternehmen abgelehnt wurden, obwohl sie unbedingt erforderlich sind.
Warum ein externer Datenschutzbeauftragter?
Bei einem internen Datenschutzbeauftragten ist immer darauf zu achten, dass er nicht in einen Interessenkonflikt gerät, wenn er selbst Daten verarbeitet oder sammelt. Aufgrund dieser auftretenden Konflikte hat es der Gesetzesgeber zum Beispiel untersagt, dass ein EDV-Leiter im Unternehmen gleichzeitig der Datenschutzbeauftragte sein kann.
In der Praxis kann das schon problematisch werden, sobald ein Mitarbeiter im Firmennetzwerk Administratorenrechte auf Daten hat und die Aufgabe des Datenschutzbeauftragten erfüllen soll. Das gilt auch für externe Mitarbeiter, denen solche Rechte im Unternehmen gewährt werden.
Der Mitarbeiter und dessen Vertretung ist zu schulen – hat damit aber noch nicht die praktische Erfahrung, den Datenschutz im Unternehmen sicher umzusetzen. Ohne praktische Erfahrung in der EDV ist er für die Aufgabe des DSB mehr als eingeschränkt, oder braucht noch einen weiteren (höchstwahrscheinlich externen) MitarbeiterIn, der ihn dabei unterstützt. In kleinen und mittleren Betrieben wird der interne DSB noch mindestens eine Hauptaufgabe des Kerngeschäftes haben, die ihn zeitlich einschränken.
Der externe Datenschutzbeauftragte befasst sich zu 100% mit Ihrem Datenschutz. Er prüft und sichtet neutral, vorbehaltlos und ist weisungsfrei. Er berichtet direkt an die Geschäftsführung.
Darüber hinaus ist der DSB eine Vertrauensperson, die von den MitarbeiterInnen vertrauensvoll angesprochen werden kann. Er unterliegt der Schweigepflicht.
Die Bestellung eines externen Datenschutzbeauftragten ist die optimale Lösung, um sich neutrales Know How von Außen zu holen, das weisungsfrei Ihr Risiko auf ein Minimum reduzieren kann, ohne dass Sie die eigenen Mitarbeiter mit zusätzlichen Aufgaben belasten, sie sich um Ihr Kerngeschäft kümmern können und nicht in eine Konfliktsituation geraten.
Unser Angebot zum Thema Datenschutz finden Sie hier: