Durch die wachsende Digitalisierung nimmt auch der Datenfluss immer weiter zu. Themen wie Datenschutz-Compliance und die Datensicherheit werden dadurch für Unternehmen immer wichtiger. Das hat auch die Politik schon seit einigen Jahren erkannt.
Der Einsatz von Technologien und automatisierten Prozessen führt allerdings zu einem Risiko für den Datenschutz. Unternehmen müssen während der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten besonders gewissenhaft und sorgfältig vorgehen.
Eine Strategie für Datenschutz-Compliance kann dabei helfen, die gesetzlichen Vorgaben zu erfüllen und einen Überblick über den Stand der Verarbeitungen und Prozesse zu gewinnen. Welche Vorgaben genau nach der DSGVO erfüllt werden müssen und wie Sie dabei am besten vorgehen können, zeigen wir Ihnen in diesem Artikel.
Sie benötigen Unterstützung bei der Umsetzung datenschutzrechtlicher Vorgaben? Wir sind Experten aus den Bereichen Datenschutzrecht, IT und Sicherheit und beraten Sie gerne zu Ihren Möglichkeiten. Wenden Sie sich für ein unverbindliches Kontaktieren Sie uns jederzeit an uns.
Das Wichtigste in Kürze
- Compliance meint die Integration von Richtlinien in das Unternehmen zur Einhaltung der gesetzlichen Vorgaben.
- Teil einer solchen Unternehmens-Compliance ist auch der Datenschutz, dessen Hauptziel der Schutz personenbezogener Daten ist.
- Die Datenschutz-Compliance hilft dabei, Strukturen und Prozesse im Unternehmen zu integrieren, die zu einem umfassenden Compliance-Managementsystem zusammenwirken und so die Einhaltung der DSGVO ermöglichen.
- Der Datenschutz spielt auch bei anderen Compliance-Massnahmen eine Rolle. Hierfür arbeiten Compliance-Manager und Datenschutzbeauftragte eng zusammen.
Definition: Datenschutz-Compliance
Unter dem Begriff Compliance. wird die Einhaltung aller für Unternehmen relevanten Gesetze und Richtlinien verstanden. Davon sind sowohl Normen auf nationaler als auch internationaler Ebene umfasst (hier insbesondere EU-Recht). Dazu zählen neben einschlägigen handels- und gesellschaftsrechtlichen Normen unter anderem auch das Strafrecht und Datenschutzrecht. In EU-Staaten ist dabei insbesondere die DSGVO wichtig.
Sogenannte Compliance-Manager überprüfen dabei das gesetzeskonforme Verhalten des Unternehmens in allen Geschäftsbereichen - von arbeitsrechtlichen Vorgaben in der Personalabteilung über die Abrechnungspraxis im Vertrieb bis zum abteilungsübergreifenden Datenschutz. Im Rahmen des Datenschutz-Managements werden Prozesse erschaffen, die notwendig sind, um die wesentlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung und dem Betrieb von Datenverarbeitung umzusetzen und zu gewährleisten.
Um einen gesetzeskonformen Datenschutz im Unternehmen zu gewährleisten, sind effektive Massnahmen zum Schutz personenbezogener Daten notwendig. Dabei geht es speziell um sensible Daten, die die Rechte natürlicher Personen betreffen.
Gut zu wissen: Unternehmenssensible Daten sind für die gesetzlichen Regelungen weitgehend irrelevant. Auch wenn Unternehmen daran interessiert sind, Geheimnisse zu schützen (z. B. Betriebsgeheimnisse), spielen diese bei der Umsetzung der DSGVO keine Rolle. Die GDPR - ein einheitlicher Datenschutzstandard auf EU-Ebene - hat im Mai 2018 die nationalen Datenschutzgesetze abgelöst. Wer die gesetzlichen Vorgaben erfüllen will, muss sich daher an der GDPR orientieren.
Datenschutz-Compliance meint also die Einhaltung von Datenschutz-Regelungen in Unternehmen. Zentrales Ziel ist es, die betroffenen Personen zu schützen, Haftungsrisiken für Unternehmen zu vermeiden und Schaden für ihr Image infolge von Datenleaks und unzulässigen Datenverarbeitungen zu verhindern. Die Datensicherheit im Unternehmen hat demnach einen direkten Einfluss auf dessen Reputation.
Durch die voranschreitende Digitalisierung und moderne Unternehmensprozesse ist eine Compliance-Strategie ohne Berücksichtigung der DSGVO nicht möglich. Benötigt wird daher ein wirksames Datenschutz-Compliance-Managementsystem, welches nach der Implementierung fortlaufend kontrolliert und weiterentwickelt werden muss.
Datenschutz-Compliance nach der DSGVO
Die DSGVO setzt voraus, dass die Verarbeitung personenbezogener Daten so organisiert wird, dass Unternehmen jederzeit die Einhaltung gesetzlicher Vorgaben nachweisen können (sog. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
Dies bezieht sich auf alle im Gesetz verankerten Grundsätze zur Datenverarbeitung:
- Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindungsgrundsatz
- Datenminimierung
- Gebot der Richtigkeit der Daten
- Grundsatz der Speicherbegrenzung
- Integrität und Vertraulichkeit
Unternehmen müssen daher abwägen, welche Maßnahmen sie ergreifen können, um gewisse Anforderungen zu erfüllen. Dabei müssen auch weitere Faktoren wie technische Möglichkeiten, Kosten, Art und Umfang der Datenverarbeitung und die Risikoschwere berücksichtigt werden. Ziel ist es, den Datenfluss zu minimieren und die Rechte der betroffenen Personen zu schützen.
Implementieren Sie diese technische und organisatorische Massnahmen in Ihrem Unternehmen, um sie kontinuierlich zu überwachen und gegebenenfalls zu verbessern. In vielen Fällen werden durch den neutralen Blick eines externen Datenschutzbeauftragten typische Fehler oder ineffiziente Prozesse sofort erkannt.
Sie sind unter anderem dazu verpflichtet, ein Verzeichnis über Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Dieses Verzeichnis zu erstellen bzw. regelmässig zu pflegen ist aufwändig, ermöglicht Ihnen aber langfristig eine gezielte und wirksame Datenschutz-Compliance.
Bei einigen Prozessen müssen Sie darüber hinaus eine Datenschutz-Folgeabschätzung durchführen (Art. 35 DSGVO). Bei der Fülle an Verpflichtungen im Datenschutz kann es helfen, einen Datenschutzbeauftragten zu engagieren, was in einigen Fällen sogar vorgeschrieben ist (Art. 37 DSGVO).
Zusätzlich müssen Mechanismen integriert werden, um im Falle einer Datenschutzpanne oder einer anderen Verletzung des Datenschutzes innerhalb von 72 Stunden Meldung an die zuständige Aufsichtsbehörde zu erstatten (Art. 33 DSGVO). Darüber hinaus ist es ggf. erforderlich, die vom Datenpanne betroffenen Personen zu benachrichtigen (Art. 34 DSGVO). Generell sollten Unternehmen sowohl mit den zuständigen Aufsichtsbehörden als auch mit den Betroffenen kooperieren und den Austausch pflegen.
DSGVO: Betroffenenrechte von zentraler Bedeutung
Unternehmen müssen zudem die Rechte der betroffenen Personen beachten (Art. 12-22 DSGVO). Darunter fallen etwa:
- die Informationspflicht
- die Aufklärungspflicht über die Erhebung von Daten
- der Widerruf der Einwilligung
- das Recht auf Auskunft
- das Recht auf Löschung von Daten
- das Recht auf Datenübertragbarkeit
Betroffene sollten zudem schnellstmöglich in Kontakt mit Ihrem Unternehmen treten können und dort einen kompetenten Ansprechpartner vorfinden, der für die datenschutzrechtliche Angelegenheiten in der Praxis zuständig ist. Das Priverion Datenschutz-Portal ist dabei ein nützliches Hilfsmittel.
Datenschutz-Compliance-Management für Unternehmen
Bevor Sie sich mit der Umsetzung von Datenschutzgesetzen befassen und entsprechende Massnahmen in Ihre Prozesse implementieren, sollten Sie zunächst eine Bestandsaufnahme durchführen. Dabei betrachten Sie den Status quo genau und beginnen damit, den aktuellen Status Ihrer Datenschutz-Compliance zu analysieren.
So können Sie vorgehen:
- Vorhandene Datenverarbeitungsvorgänge erkennen und dokumentieren (dabei kann auch gleich ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden)
- Bestehende Organisation auf Effizienz und Gesetzeskonformität überprüfen
- Unternehmensinterne Prozesse einer Gefährdungsanalyse unterziehen
Aus Ihrer Bestandsaufnahme ergibt sich idealerweise ein Anpassungsbedarf, der nun in kleinere, einzelne Handlungsschritte gegliedert und sodann umgesetzt werden kann. Wichtig ist dabei, die Verantwortlichkeiten klar zu definieren und abzugrenzen sowie Fristen zu dokumentieren.
Meist ist es aufgrund des Umfangs der Massnahmen unumgänglich, bestimmte Änderungen zu priorisieren: Dazu sollte analysiert werden, welche Bereiche das grösste Risiko in sich tragen und wo die Eintrittswahrscheinlichkeit eines Datenschutzverstosses am höchsten ist.
An diesem Punkt lässt sich eine DSGVO-konforme Folgeabschätzung durchführen, die Aufschluss über das Risiko der einzelnen Tätigkeiten gibt. Zudem sollten Sie abwägen, welche Verarbeitungen und Datenerhebungen überhaupt notwendig und sinnvoll sind und wo ggf. Datenmengen minimiert werden können, um folglich auch das rechtliche Risiko zu senken.
Die DSGVO verlangt, dass nur notwendige Daten erhoben, verarbeitet und gespeichert werden - aber je weniger Daten tatsächlich im Umlauf sind, desto weniger Arbeitsaufwand und das Haftungsrisiko, je weniger Daten tatsächlich im Umlauf sind.
Interne Datenschutz-Richtlinie für Unternehmen
Nachdem Sie Datenschutz-Massnahmen erfolgreich umgesetzt haben, ist es wichtig, eine interne Richtlinie für künftige, stetig durchzuführende Überprüfungen festzulegen. Es liegt in der Natur der Unternehmensstrukturen, sich mit dem Wandel der Zeit zu verändern.
Damit es durch Umstrukturierungen oder andere Änderungen in Arbeitsabläufen, Organisationen oder technischen Bedingungen nicht zu Datenschutzverstössen oder einer Compliance-Massnahmen in Vergessenheit geraten, müssen diese regelmässig kontrolliert und ggf. angepasst werden.
Auch für interne Untersuchungen wegen potenzieller Compliance-Verstösse braucht es einen klaren Verhaltenskodex bzw. eine interne Checkliste, um einheitliche Lösungen zu gewährleisten. Schöpfen Sie oder Ihre Mitarbeiter etwa den Verdacht, dass Compliance-Massnahmen nicht oder nicht richtig angewandt wurden, muss der Vorfall unverzüglich aufgeklärt und im Zweifel sanktioniert werden. Um Verstösse zu vermeiden, sollten Ihre Mitarbeiter präventiv sensibilisiert werden und Schulungen bezüglich der Einhaltung des Datenschutzes und der zu befolgenden Massnahmen erhalten.
Ermöglichen Sie es Ihren Teams, anlassbezogene Hinweise abzugeben, Hilfestellungen zu erhalten und Vorschläge für Verbesserungen. zu machen. So können Sie Ihre Datenschutz-Compliance stetig verbessern und ein angenehmes Arbeitsklima schaffen.
Was ist ein Datenschutz-Compliance-System?
Das Datenschutz-Compliance-System vereint Massnahmen, die für den Datenschutz im Unternehmen ergriffen werden. Es geht also darum, ein funktionierendes System zu erarbeiten, um das Datenschutzrecht wirksam umzusetzen.
Das System bildet die Schnittstelle zwischen Datenschutz und Compliance in Ihrem Unternehmen. Darunter fallen viele verschiedene Faktoren, die die Massnahmen und Vorgehensweisen beeinflussen. Zwei der wichtigsten Faktoren erläutern wir Ihnen im Folgenden.
Technische und organisatorische Massnahmen (TOM)
Technische und organisatorische Massnahmen (kurz: TOM) spielen im Datenschutz eine besondere Rolle. Sie sind aber auch für die Informationssicherheit wichtig - d.h. der Bereich der nicht-personenbezogenen Daten (z.B. Unternehmensinterna, Betriebsgeheimnisse und technische Daten).
Das Ziel besteht darin, auch die Unternehmenswerte (sog. Assets) zu schützen. Während TOM in der Informationssicherheit nicht vorgeschrieben sind, sondern viel mehr aus Eigeninteresse des Unternehmens implementiert werden, gibt es für den Datenschutz klare Forderungen aus der DSGVO (Art. 32 DSGVO).
Die DSGVO schreibt vor, dass bestimmte TOM mit geeigneten Schutzstandards integriert, dokumentiert und überwacht werden, um personenbezogene Daten im Unternehmen zu schützen. Um also wirksame Compliance zu betreiben, ist es unumgänglich, strukturierte und wenn möglich automatisierte TOM zu wählen.
Das Whistleblowing-System
Die EU-Whistleblowing-Richtlinie verpflichtet Unternehmen ab 50 Mitarbeitern und den öffentlichen Sektor dazu, Hinweisgebersysteme einzurichten. Ein solches System ermöglicht es Mitarbeitern, personalisiert oder anonym Hinweise auf bestimmte Missstände oder Straftaten im Unternehmen abzugeben. EU-Mitgliedsstaaten sind dazu verpflichtet, eigene nationale Gesetze zum Schutz von Whistleblowern zu erlassen.
Aber auch vor Inkrafttreten der gesetzlichen Bestimmungen war ein Hinweisgebersystem ein wichtiges Hilfsmittel in der Compliance. Viele börsennotierte Unternehmen arbeiten seit Jahren mit solchen Systemen, um ihre Reputation zu schützen. Hinweisgebersysteme sorgen als Teil des Compliance-Systems dafür, dass Risiken und Verstösse intern gemeldet werden und so frühzeitig bekämpft werden können.
Das Schlüsselwort für den Datenschutz lautet hier - anonym. Denn diese Compliance-Strategie funktioniert nur, wenn die Identität des Whistleblowers geheim bleibt. Es ist richtig, dass die neue Hinweisgeberschutzgesetz, das bald in Deutschland verkündet werden soll, keine vorrangige Stellung anonymer Hinweise vor. Allerdings hat es sich bewährt, auf Anonymität zu setzen, um wertvolle Informationen zu erhalten, ohne dass die die Identität des Whistleblowers bekanntgegeben wird.
Auch wenn im Unternehmen ein vermeintlich gutes Arbeitsklima herrscht: Niemand gibt gerne eigene Fehler zu, schwärzt einen Kollegen an oder bemängelt Verhaltensweisen in der Chefetage. Um gesetzliche Anforderungen umzusetzen, braucht es demnach ein System, das interne Lösungen ermöglicht, ohne sich für die Beteiligten nachteilig auszuwirken (z.B. durch Sanktionen).
Datenschutz-Compliance: Wer ist verantwortlich?
Grundsätzlich ist in Unternehmen jeder in seinem eigenen Bereich für die Umsetzung des Datenschutzes und der Compliance verantwortlich. Schliesslich übernehmen die meisten Mitarbeiter Aufgaben, die das Datenschutzrecht berühren oder Schnittstellen dazu aufweisen.
Da allerdings das Unternehmen für datenschutzrechtliche Verstösse haftet, ist es erforderlich, eine eigene Abteilung oder ein Compliance-Team zu strukturieren, das sich hauptsächlich mit diesem Themenfeld befasst. Ein Compliance-Officer oder einer Compliance-Manager wird dabei meist in leitender Funktion tätig.
Aufgaben von Compliance-Managern
Compliance-Manager überprüfen die Einhaltung von geltenden Gesetzen, Richtlinien und Verordnungen sowie weitere Verpflichtungen des Unternehmens. Sie entwickeln dabei Compliance-Management-Systeme und greifen auf geeignete Software-Tools zur Unterstützung der Compliance zurück.
Meist durchlaufen Compliance-Officer eine juristische Ausbildung oder stammen aus der freien Wirtschaft. Wichtig ist ebenfalls, dass Compliance-Manager sich regelmässig fortbilden und somit auf dem neuesten Stand im Hinblick auf datenschutzrechtliche Regelungen bleiben.
Aufgaben von Datenschutzbeauftragten
Dagegen sind Datenschutzbeauftragte für den Datenschutz im Unternehmen zuständig. Sie werden nicht unbedingt operativ, sondern vielmehr beratend tätig. Neben der Analyse der Datensicherheit im Unternehmen sprechen sie als Experten gewisse Handlungsempfehlungen oder Verbesserungsmöglichkeiten aus und kontrollieren das datenschutzrechtliche Geschehen im Unternehmen.
Viele Unternehmen setzen hier auf einen externen Datenschutzbeauftragten, da ihre Überwachungsfunktion durch die neutrale Aussenstellung gewährleistet ist. Wer auf externe Datenschutzbeauftragte zurückgreift, hat dabei den Vorteil, dass diese nicht geschult werden müssen, sondern bereits über tiefgreifende Kenntnisse im Datenschutz verfügen. Im Gegensatz zu internen Datenschutzbeauftragten, die sich unter Umständen mit dem Unternehmen verbunden fühlen, haben externe einen objektiven Blick auf das Unternehmen.
Wie bereits erwähnt, gibt es eine deutliche Schnittstelle von Datenschutz und Compliance, weshalb Datenschutzbeauftragte und Compliance-Teams stets eng zusammenarbeiten. Neben den Absprachen zur spezifischen Datenschutz-Compliance kann eine Zusammenarbeit auch dabei helfen, die hier getroffenen Massnahmen auf andere Bereiche zu übertragen.
Fazit
In der Praxis zeigt sich, dass bestehende Compliance-Management-Strukturen den gesetzlichen Anforderungen der DSGVO häufig nicht genügen. Die zunehmende Datenverarbeitung, insbesondere auf automatisierter Ebene, macht eine gute Datenschutz-Compliance-Strategie aber nunmehr unumgänglich. Unternehmen sollten Datenschutzfragen also nicht als ein Problem der Zukunft ansehen, sondern sich schon heute intensiv damit befassen, um zukunftsfähig zu bleiben.
Datenschutz-Compliance ist keine kostenintensive, bürokratische Bürde, sondern eine grossartige Möglichkeit, das Vertrauen in das Unternehmen zu verbessern und die Reputation zu schützen. Unternehmer sollten sich ebenso bewusst sein, dass Verstösse gegen datenschutzrechtliche Vorschriften sensible Strafen nach sich ziehen können. Beim Datenschutz geht es schliesslich nicht allein um den Schutz der betroffenen Personen, sondern auch um den Schutz des Unternehmens vor Imageschäden und Haftungsrisiken.
Sie haben offene Fragen zum Thema Datenschutz-Compliance? Unser juristisch sowie technisch geschultes Team berät Sie umfassend zu allen Fragen des Datenschutz- und IT-Rechts. Nehmen Sie gern jederzeit Kontakt auf.