Veröffentlicht am Kategorien NewsTags , , , , , , , , , , , , , , , , , , , , , ,

Aufbau einer Datenschutz-Organisation im Konzern

IITR Information[IITR – 28.5.15] Immer mehr Unternehmen beschäftigten sich mit dem Aufbau zentraler Datenschutz-Abteilungen und begleitender Prozesse zur strukturierten Betreuung in datenschutzrechtlichen Themen. Der folgende Beitrag gibt einen ersten Überblick der hierbei zu berücksichtigenden Fragestellungen.

Warum beschäftigt sich das Unternehmen mit Datenschutz?
Es gibt verschiedene Ziele, weshalb sich Unternehmen mit dem Thema Datenschutz beschäftigen. Und so trivial die Frage klingen mag so wichtig ist es, von Beginn an klare Zielsetzungen zu treffen.

  • Möchte das Unternehmen allein den rechtlichen Anforderungen entsprechen lautet die Zielsetzung, im Fall des Kontakts mit Datenschutz-Aufsichtsbehörden die gesetzlich erforderlichen Unterlagen und Prozesse nachweisen zu können.
  • Verfolgt das Unternehmen das Ziel, mit dem Nachweis der eigenen Datenschutzkonformität auch vertrieblich werben zu können, sind ergänzende Maßnahmen zu den Themen Zertifizierung/Außendarstellung zu bedenken.
  • Basiert das Geschäftsmodell zusätzlich auf der Auswertung personenbezogener Daten ist eine enge interne Verzahnung mit den Abteilungen erforderlich, welche die Entscheidung über Art und Umfang der Analyse-Technik treffen.

Klares Berichtsystem schaffen
In Abhängigkeit der gewählten Zielsetzung sollte ein klares Berichtsystem im Unternehmen geschaffen werden, welches den Datenschutzverantwortlichen ermöglicht, Empfehlungen auf Ebene der Entscheidungsträger abzugeben.

Datenschutz-Trainings: regelmäßig in Kontakt bleiben
Es ist in der Regel nicht ausreichend, wenn sich nur einzelne Personen um den formalen Datenschutz in einem Unternehmen kümmern. In datenschutzrechtlich gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies gelingt nur, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden. Hierzu bieten sich persönliche Schulungen bzw. bei größeren oder räumlich verteilten Unternehmen webbasierte Schulungsmöglichkeiten an. Zudem sollten hausinterne Kommunikationswege (Newsletter, Intranet-Seite, Datenschutz-Jour fixe) genutzt werden, um für Beschäftigte in datenschutzrechtlichen Angelegenheiten auch sichtbar und ansprechbar zu sein.

Datenschutz und IT-Sicherheit sind untrennbar verbunden
Das beste Datenschutz-Konzept ist nutzlos, wenn dem Unternehmen grundlegende Fehler bei der IT-Sicherheit unterlaufen. Jeder Datenschutzverantwortliche sollte daher den engen Austausch zu den IT-Sicherheitsverantwortlichen suchen. Relevante IT-Sicherheitsdefizite sollten in das Reporting der Datenschutzabteilung aufgenommen werden.

Strukturierter Prozess für „Datenpannen“
In Anbetracht der wachsenden Zahl der Meldepflichten bei „Datenpannen“ empfiehlt es sich, einen klaren Prozess für dieses Szenario vorzubereiten und sicherzustellen, dass die Datenschutz- bzw. Rechtsabteilung zeitnah Kenntnis von (möglichen) „Datenpannen“ erhält.

Bindung von Dritt-Dienstleistern
Eine aus datenschutzrechtlicher Sicht vorhandene Schwachstelle ist häufig die nicht ausreichende/konsistente datenschutzrechtliche Bindung von Dritt-Dienstleistern. Unabhängig von der Frage des anwendbaren Rechts bzw. der möglichen rechtlichen Bindungs-Optionen empfiehlt sich schon aus betrieblichem Eigeninteresse, sich einen Überblick der eingesetzten Dritt-Dienstleister zu verschaffen und eine konsistente vertragliche Situation mit diesen Unternehmen zu schaffen.

„Privacy by design“: Neueinführung von Systemen
Die Datenschutzverantwortlichen sollten sich nach Möglichkeit in den Prozess der Neueinführung von Systemen integrieren. Je früher datenschutzrechtliche Anforderungen in einen Prozess eingeführt werden, desto leichter ist deren technische Implementierung. Spätere Anforderungen hinsichtlich der Anonymisierung/Pseudonymisierung von Daten oder der strukturieren Datenlöschung lassen sich so leichter und kostengünstiger realisieren.

Standardisierung bei Datenschutz-Anfragen
Werden Unternehmen regelmäßig von Interessenten oder Kunden zu datenschutzrechtlichen Themen kontaktiert sollten unter Führung der Datenschutzabteilung standardisierte Unterlagen geschaffen werden, um diese Anfragen einheitlich zu beantworten.

Zertifizierung
Wenngleich ein einheitlicher Zertifizierungs-Standard im Datenschutz nach wie vor fehlt mehren sich doch die Ansätze, zertifizierbare Regelungswerke zum Nachweis der eigenen Datenschutzkonformität zu schaffen. Verfolgt das Unternehmen strategische Zielsetzungen mit dem Thema Datenschutz bietet es sich an, in Verantwortung der Datenschutzabteilung hier Zertifizierungen (z.B. ISO 27001, ISO 27018 etc.) anzustreben.

Fazit
Zentraler Bestandteil beim Aufbau einer Datenschutz-Organisation im Konzern ist eine klare Zielsetzung zu Beginn. Je nach den hierbei getroffenen Vorgaben lassen sich verschiedene Maßnahmen ableiten, wie die Datenschutz-Organisation zu strukturieren ist.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Ein Gedanke zu „Aufbau einer Datenschutz-Organisation im Konzern“

  1. Sehr geehrter Hr. Dr. Kraska,
    ich hätte eine frage zum Datenschutz.
    Darf ein Verband Liste von Teilnehmer im Internet veröffentlichen, wo ich erkennen kann wer Premium Mitglied, Basis Mitglied oder nicht Mitglied ist?
    Das geschieht meisten beim Bayerischen Tennis Verband wenn Teilnehmer an Turnier im Portal stellt.
    Vielen Dank
    MfG
    [Gekürzt]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *