Datenschutz: das ist schwerlich greifbar. Dieses komplexe Thema kann durch kleinste Verstöße schnell zu großen Auswirkungen für Sie führen. Das Bundesdatenschutzgesetz (BDSG) soll den Datenschutz hierzulande regeln – und bald schon von der EU-Datenschutz-Grundverordnung (EU-DSGVO) abgelöst werden. Nützt es überhaupt, jetzt noch irgendwie in den Datenschutz zu investieren?
Und wie das lohnt! Denn je mehr Sie bereits heute Ihre Organisation auf Datenschutz trimmen, umso rechtssicherer agieren Sie beim Start der EU-DSGVO. Dieser Start ist am 25.05.2018 – nicht mehr lang hin, weshalb sich das Handeln jetzt mehr denn je lohnt!
Um jedoch überhaupt klare Aussagen zum Datenschutz innerhalb Ihrer Organisation treffen zu können, ist eine Ist-Analyse unabdingbar. Sie zeichnet ein Bild des Datenschutzniveaus Ihres Unternehmens dadurch, dass Stärken und Schwächen aufgezeigt werden. Mit unseren professionellen und zertifizierten Sicherheitsexperten gelingt es im nächsten Step, die internen Sicherheitslücken Ihres Datenschutzes so zu füllen, dass Sie nicht nur dem BDSG entsprechen, sondern auch bestens auf die EU-DSGVO vorbereitet sind.
Wie eingangs erwähnt, ist Datenschutz ein unglaublich komplexes Thema – und das BDSG nicht weniger komplex. Daher ist es nahezu unmöglich, sämtliche relevanten Punkte für Unternehmen allgemeingültig in irgendwelche Checklisten zu pressen. Jedoch existieren so einige Bereiche, die für alle Unternehmen Relevanz haben können:
Es gibt zwei sehr gute Gründe, sich beim Umsetzen des Datenschutzes gemäß BDSG unterstützen zu lassen: zum einen verlangt die Komplexität der Thematik unbedingt nach professionellen Augen, die die Gesetzestexte und den Ist-Zustand in ein stimmiges Verhältnis setzen können.
1. Maßnahme: Compliance schaffen
Jeder einzelne Mitarbeiter unterschreibt in aller Regel eine Verschwiegenheitserklärung. Theoretisch ist damit jeder Mitarbeiter zum Wahren von Geschäfts- und Betriebsgeheimnissen verpflichtet. Aber ehrlich: wissen Ihre Mitarbeiter so genau, was Geschäfts- und Betriebsgeheimnisse sind? Kunden, die es gestatten, als Referenz genannt zu werden; Aussagen von Partnern; Aussagen des hauseigenen Vorstands – wo fangen Betriebsgeheimnisse an? Vielen Mitarbeitern ist das unklar, also schaffen wir Compliance. Das bedeutet, dass wir Ihr Team für Datenschutz sensibilisieren und konkret darüber aufklären, was das zugeschnitten auf Ihre Organisation für den Mitarbeiter bedeutet.
2. Maßnahme: technische & organisatorische Maßnahmen schaffen
Das BDSG fordert beispielsweise in § 9 BDSG technische und organisatorische Maßnahmen, die idealerweise in einer Dokumentation bzw. Richtlinie dargestellt werden. Dabei sollte es nicht nur um den Schutz von personenbezogenen Daten gehen, sondern das Verarbeiten sämtlicher Daten klären.
3. Maßnahme: mit Verfahrensverzeichnissen schon auf die EU-DSGVO vorbereiten
Unternehmen mit Verfahrensverzeichnissen sind deutlich besser auf die bevorstehende EU-DSGVO vorbereitet und genießen bereits mit dem BDSG diverse Vorteile.
4. Maßnahme: Sicherstellen besonderer Anforderungen bei Fern-/Remotezugriffen sowie Servicearbeiten
Vielfach greifen Unternehmen mittels Remotezugriff auf Tools und Systeme zurück, die prozessunterstützenden Einsatz finden. Für diese und für Servicearbeiten, die mit personenbezogenen Daten einhergehen, müssen verschiedene ineinandergreifende Lösungen die Sicherheit wahren, beispielsweise die folgenden Datensicherheits- und Datenschutzmaßnahmen:
Mit über 16 Jahren Erfahrung in der Informationssicherheit im Allgemeinen und im Datenschutz im Besonderen unterstützen wir Sie nicht nur mit professionellem Rat. Unsere Hands-on-Mentalität macht es Ihnen leicht, Datenschutz in Ihrer Organisation zu etablieren.
Was Sie jetzt bitte noch tun sollten, …
… ist, Kontakt zu uns aufzunehmen. Rufen Sie uns an, mailen Sie uns oder nutzen Sie unsere kostenfreie Rückruf-Option.
Telefonische Beratung
Beratung per E-Mail
Im anschließenden zweiten Schritt können Sie sich bereits mehr zurücklehnen. Wir erstellen die Ist-Analyse, die Antworten auf verschiedene Fragen benötigt. Wir befassen uns mit allgemeinen Angaben zum Datenschutz, mit Melde- und Informationspflichten oder auch mit der Compliance in Ihrer Organisation.
Zu guter Letzt stellen wir Ihnen unsere BDSG Ist-Analyse vor. Sie wissen danach ganz konkret, welche Datenschutz-Stärken Ihre Organisation schon jetzt hat und welche internen Sicherheitslücken idealerweise noch geschlossen werden. Weiter klären wir Sie darüber auf, inwieweit die Ergebnisse der Ist-Analyse zur bevorstehenden EU-Datenschutz-Grundverordnung relevant sind.
Aufgrund der Ist-Analyse können wir ein speziell auf Sie zugeschnittenes Datenschutzkonzept erstellen.
Ein Datenschutzkonzept – auch oft als Datenschutzrichtlinie bezeichnet – stellt ein unternehmensweit geltendes, verbindliches und übergeordnetes Regelwerk dar. Eine solche zentrale Datenschutzorganisation ergibt sich aus der gesetzlichen Verpflichtung, die der Anlage zu § 9 Satz 1 BDSG entspringt.
Diese gesetzliche Verpflichtung gemäß Bundesdatenschutzgesetz (BDSG) gilt für sämtliche Unternehmen im Bundesgebiet, die mit personenbezogenen Daten arbeiten. Damit ist jedes Unternehmen betroffen. Denn es existiert wohl kein Unternehmen, in dem keine persönlichen Personal-, Kunden-, Partner- oder Interessentendaten erhoben, verarbeitet und/ oder genutzt werden.
Nun erklärt die Gesetzesgrundlage, dass jede innerbetriebliche Organisation derart zu gestalten ist, dass die besonderen Anforderungen des Datenschutzes beachtet werden. Deshalb gilt es zunächst, eine grundlegende Strategie zu erarbeiten, wie mit personenbezogenen Daten umgegangen wird. Weiter gilt es abzustimmen, welchen Stellenwert Sie dem Datenschutz in Ihrem Unternehmen gewähren. An den sich hieraus ergebenden Zielen orientieren sich die individuellen Anforderungen an das Datenschutzkonzept gemäß BDSG.
Es gibt einige grundlegende Inhalte für das Datenschutzkonzept, an denen Sie sich orientieren können und die in jedem Fall geregelt werden müssen. Weitere mögliche Inhalte sowie deren Klärung sind selbstredend höchst individuell und in aller Regel nicht einfach zu beantworten. Hier finden vielfach Unternehmen wie Sie und Dienstleister wie wir zusammen.
Definieren Sie im Geltungsbereich sämtliche Personen(gruppen), für die dieses neue Regelwerk gilt. Naturgemäß sind dies Ihre Mitarbeiter. Ergänzend werden auch spezielle Gruppen erwähnt, etwa Personengruppen, die ebenfalls von der Datenverarbeitung betroffen sind; beispielsweise Kunden oder auch Lieferanten.
Hier stellen Sie die Grundsätze des Datenschutzes vor, die Ihr Unternehmen lebt. Beispiele wären etwa das Prinzip der Datensparsamkeit, aber auch das Transparenzgebot. Erläutern Sie Begrifflichkeiten, um Verständnis zu schaffen. Vergessen Sie nicht, dass Kundendaten genauso persönliche Daten darstellen wie Mitarbeiterdaten.
Wurde Ihrerseits ein Datenschutzbeauftragter bestellt, sollte er in Ihrem Datenschutzkonzept natürlich Erwähnung finden und inklusive Aufgaben sowie Kontaktdaten vorgestellt werden.
Skizzieren Sie in verständlicher Weise, nach welchen Grundsätzen in Ihrem Unternehmen Daten erhoben, verarbeitet und genutzt werden. Darüber hinaus sollte Ihnen klar sein, wie diese Tätigkeiten ausgestaltet werden, um den gesetzlichen Anforderungen zu entsprechend. Erwähnen Sie diese Vorgehensweise in Ihrem Datenschutzkonzept.
Rechtlich agieren Sie sicherer, wenn Ihr Datenschutzkonzept eine verbindliche Anweisung auf das Datengeheimnis an Ihre Mitarbeiter enthält. Konkret setzt § 5 BDSG voraus, dass alle Mitarbeiter, die mit personenbezogenen Daten umgehen, ab Aufnahme eben dieser Tätigkeit schriftlich auf das Datengeheimnis sowie auf das Einhalten dieser Datenschutzrichtlinie verpflichtet werden.
Um die vielfach geforderte Transparenz sowohl innerbetrieblich als auch Betroffenen gegenüber zu gewährleisten, sind interne Verfahrensübersichten sowie ein ergänzendes öffentliches Verfahrensverzeichnis ideal. Solche Übersichten erleichtern auch dem betrieblichen Datenschutzbeauftragten seinen Job: Ihm gelingt das Beurteilen neu eingeführter Prozesse besser, wenn er anhand der Verfahren die besonderen Risiken kennt und weiß, ob sie der Vorabkontrolle unterliegen. Darüber hinaus sind Verfahrensverzeichnisse eine exzellente Vorbereitung für die kommende EU-Datenschutz-Grundverordnung, die ab Mai 2018 das BDSG ablöst.
Im Datenschutzkonzept bieten sich auch Regeln zum Beschaffen sowie zum Umgang mit Hard- und Software an. Festlegen ließe sich beispielsweise die Zuständigkeit für Beschaffungen, mögliche Verfahren im Verlustfall sowie die Erlaubnis bzw. das Verbot, Hard- und Software auch privat zu nutzen.
Bedarfsweise lassen sich weitere Regelungen treffen, um mit dem Datenschutzkonzept unternehmensweit einheitlich das komplexe Thema Datenschutz zu regeln. Denken Sie beispielsweise auch an Richtlinien zur Passwortvergabe, an die technischen und organisatorischen Maßnahmen, an mögliche Verfahren bei Datenpannen sowie an die Rechte der Betroffenen, die mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) noch mal deutlicher ausfallen. Idealerweise bereiten Sie Ihr Datenschutzkonzept gemäß Bundesdatenschutzgesetz (BDSG) bereits bestmöglich auch für die EU-DSGVO vor.
Die obigen sieben Punkte klingen nach viel Arbeit – und die ergänzenden Punkte machen das Erstellen eines Datenschutzkonzepts nach BDSG nicht gerade einfacher. Idealerweise machen Sie Ihr Datenschutzkonzept darüber hinaus für die kommende EU-DSGVO fit. Das sind gute Gründe, weshalb wir uns als Zuspieler für Sie verstehen:
Unsere externen, auf Datenschutz gepolten Expertenaugen erkennen nach einer Ist-Analyse unternehmensinterne Stärken und Schwächen. Anhand in der Praxis bewährter Fragebögen können wir zügig und klar feststellen, wie es bei Ihnen um den Datenschutz steht, welchen Stellenwert er hat, etc. - kurzum: wir gehen die ersten Schritte, die es für Ihr Datenschutzkonzept braucht.
In enger Zusammenarbeit mit Ihrem betrieblichen Datenschutzbeauftragten (alternativ stellen wir Ihnen einen externen Datenschutzbeauftragten) erstellen wir Ihre Datenschutzrichtlinie und setzen diese um. Abgesehen davon, dass Sie somit die gesetzlichen Vorschriften erfüllen, erfahren Sie gleich mehr zu den Vorschriften der bevorstehenden EU-DSGVO. Weiter sind Sie für etwaige Prüfungen von Aufsichtsbehörden bestens gerüstet.
Eine gut ausgearbeitete Datenschutzrichtlinie führt, wie unsere Praxis zeigt, zu einem sehr hohen Grad an Compliance in Ihrer Organisation. Weiter trägt sie dazu bei, an Image und Vertrauen zu gewinnen. Ganz nebenher lässt sie sich auch vertrieblich geschickt einsetzen – auch dazu beraten wir Sie sehr gerne!
Holen Sie sich jetzt Unterstützung für das komplexe Thema Datenschutz! Wir unterstützen Sie mit zertifiziertem Know-how beim Umsetzen der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
Beratung durch Kommunikation
Damit wir Sie weiterhin kompetent und persönlich am Telefon oder per E-Mail beraten können, benötigen wir Ihre Einwilligung zur Kontaktaufnahme.
Hinweis
Sie können sich darauf verlassen, dass wir Ihre Daten absolut vertraulich behandeln und wir diese nicht an Dritte weitergeben. Diese Einwilligungserklärung ist freiwillig und kann jederzeit, ohne Einfluss auf das Vertragsverhältnis, mit Wirkung für die Zukunft widerrrufen werden. Ihre Widerrufserklärung können Sie schriftlich an die PSW GROUP Consulting & Co. KG, Flemingstr. 20-22, 36041 Fulda oder per E-Mail an info(at)psw-consulting.de richten. Folgende persönliche Informationen sind dann in unserer Datenbank gespeichert: Firma, Vorname, Nachname, Telefon, E-Mail.