Datenschutz-Compliance: Was die DSGVO von Unternehmen verlangt
Durch die wachsende Digitalisierung nimmt auch der Datenfluss immer weiter zu. Themen wie Datenschutz-Compliance und die Datensicherheit werden dadurch für Unternehmen immer wichtiger. Das hat auch die Politik schon seit einigen Jahren erkannt.
Der Einsatz von Technologien und automatisierten Prozessen führt allerdings zu einem Risiko für den Datenschutz. Unternehmen müssen während der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten besonders gewissenhaft und sorgfältig vorgehen.
Eine Strategie für Datenschutz-Compliance kann dabei helfen, die gesetzlichen Vorgaben zu erfüllen und einen Überblick über den Stand der Verarbeitungen und Prozesse zu gewinnen. Welche Vorgaben genau nach der DSGVO erfüllt werden müssen und wie Sie dabei am besten vorgehen können, zeigen wir Ihnen in diesem Artikel.
Das Wichtigste in Kürze
- Compliance meint die Integration von Richtlinien in das Unternehmen zur Einhaltung der gesetzlichen Vorgaben.
- Part of such corporate compliance is also data protection, the main objective of which is to protect personal data.
- Die Datenschutz-Compliance hilft structures and processes in the company, which work together to form a comprehensive Strukturen und Prozesse im Unternehmen zu integrieren, die zu einem umfassenden Compliance-Managementsystem zusammenwirken und so die Einhaltung der DSGVO ermöglichen.
- Der Datenschutz spielt auch bei anderen Compliance-Massnahmen eine Rolle. Hierfür arbeiten compliance managers and data protection officers eng zusammen.
Definition: Datenschutz-Compliance
The term compliance is understood to mean adherence to all laws and guidelines relevant to companies. This includes standards at both national and international levels (here, especially EU law). In addition to applicable commercial and company law standards, this includes criminal and data protection laws. In EU countries, the DSGVO wichtig.
Sogenannte Compliance-Manager überprüfen dabei das gesetzeskonforme Verhalten des Unternehmens in allen Geschäftsbereichen - von arbeitsrechtlichen Vorgaben in der Personalabteilung über die Abrechnungspraxis im Vertrieb bis zum abteilungsübergreifenden Datenschutz. Im Rahmen des Datenschutz-Managements werden Prozesse erschaffen, die notwendig sind, um die wesentlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung und dem Betrieb von Datenverarbeitung umzusetzen und zu gewährleisten.
Um einen gesetzeskonformen Datenschutz im Unternehmen zu gewährleisten, sind effektive Massnahmen zum Schutz personenbezogener Daten notwendig. Dabei geht es speziell um sensible Daten, die die Rechte natürlicher Personen betreffen.
Gut zu wissen: Unternehmenswichtige Daten sind für die gesetzlichen Regelungen weitestgehend unerheblich. Auch wenn Unternehmen an dem Schutz von Geheimnissen interessiert sind (etwa bei Firmengeheimnissen), spielen diese für die Umsetzung der DSGVO keine Rolle. Die DSGVO hat - als einheitlicher Datenschutz-Standard auf EU-Ebene - die nationalen Datenschutzgesetze im Mai 2018 abgelöst. Wer den gesetzlichen Anforderungen genügen will, muss sich also an der DSGVO orientieren.
Data protection compliance means adherence to data protection regulations in companies. The central goal is to betroffenen Personen zu schützen, Haftungsrisiken für Unternehmen zu vermeiden und damage to their image infolge von Datenleaks und unzulässigen Datenverarbeitungen zu verhindern. Die Datensicherheit im Unternehmen hat demnach einen direkten Einfluss auf dessen Reputation.
Durch die voranschreitende Digitalisierung und moderne Unternehmensprozesse ist eine Compliance-Strategie ohne Berücksichtigung der DSGVO nicht möglich. Benötigt wird daher ein wirksames Datenschutz-Compliance-Managementsystem, welches nach der Implementierung fortlaufend kontrolliert und weiterentwickelt werden muss.
Datenschutz-Compliance nach der DSGVO
Die DSGVO setzt voraus, dass die Verarbeitung personenbezogener Daten so organisiert wird, dass Unternehmen jederzeit die Einhaltung gesetzlicher Vorgaben nachweisen können (sog. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
Dies bezieht sich auf alle im Gesetz verankerten Grundsätze zur Datenverarbeitung:
- Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindungsgrundsatz
- Datenminimierung
- Gebot der Richtigkeit der Daten
- Grundsatz der Speicherbegrenzung
- Integrität und Vertraulichkeit
Unternehmen müssen daher abwägen, welche Massnahmen sie ergreifen können, um gewisse Anforderungen zu erfüllen. Dabei müssen auch weitere Faktoren wie technische Möglichkeiten, Kosten, Art und Umfang der Datenverarbeitung und die Risikoschwere berücksichtigt werden. Ziel ist es, den Datenfluss zu minimieren und die Rechte der betroffenen Personen zu schützen.
Implementieren Sie diese technische und organisatorische Massnahmen in Ihrem Unternehmen, so dass Sie sie fortlaufend kontrollieren und nötigenfalls verbessern können. In vielen Fällen hilft auch der neutrale Blick eines externen Datenschutzbeauftragten, der typische Fehler oder ineffiziente Prozesse sofort erkennt.
Sie sind unter anderem dazu verpflichtet, ein keep a register of processing activities (Art. 30 DSGVO). Dieses Verzeichnis zu erstellen bzw. regelmässig zu pflegen ist aufwändig, ermöglicht Ihnen aber langfristig eine gezielte und wirksame Datenschutz-Compliance.
Bei einigen Prozessen müssen Sie darüber hinaus eine Datenschutz-Folgeabschätzung (Art. 35 GDPR). With the abundance of data protection obligations, it can help to hire a data protection officer, which is even mandatory in some cases (Art. 37 GDPR).
Zusätzlich müssen Mechanismen integriert werden, um im Falle einer Datenschutzpanne oder einer anderen Verletzung des Datenschutzes innerhalb von 72 Stunden in case of a data protection breach (Art. 33 GDPR). In addition, it may be necessary to notify the individuals affected by the data breach (Art. 34 GDPR). Generally, companies should cooperate and maintain exchanges with the competent supervisory authorities and the data subjects.
DSGVO: Betroffenenrechte von zentraler Bedeutung
Unternehmen müssen die Rechte der betroffenen Personen beachten (Art. 12-22 DSGVO). Darunter fallen etwa:
- the duty to inform
- the duty of clarification about the collection of data
- the revocation of consent
- the right to information
- the right to deletion of data
- the right to data portability
Betroffene sollten zudem schnellstmöglich in Kontakt mit Ihrem Unternehmen treten können und dort einen kompetenten Ansprechpartner vorfinden, der für die datenschutzrechtliche Angelegenheiten in der Praxis zuständig ist.
Datenschutz-Compliance-Management für Unternehmen
Bevor Sie sich mit der Umsetzung von Datenschutzgesetzen befassen und entsprechende Massnahmen in Ihre Prozesse implementieren, sollten Sie zunächst eine Bestandsaufnahme durchführen. Dabei betrachten Sie den Status quo genau und beginnen damit, den aktuellen Status Ihrer Datenschutz-Compliance zu analysieren.
So können Sie vorgehen:
- Vorhandene Datenverarbeitungsvorgänge erkennen und dokumentieren (dabei kann auch gleich ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden)
- Bestehende Organisation auf Effizienz and legal compliance
- Unternehmensinterne Prozesse einer processes to a risk analysis
Ideally, your inventory will result in a need for adaptation, which can now be broken down into smaller, individual action steps and then implemented. It is essential to define and delineate Verantwortlichkeiten clearly and document deadlines.
Meist ist es aufgrund des Umfangs der Massnahmen unumgänglich, bestimmte Änderungen zu priorisieren: Dazu sollte analysiert werden, welche Bereiche das grösste Risiko in sich tragen und wo die Eintrittswahrscheinlichkeit eines Datenschutzverstosses am höchsten ist.
An diesem Punkt lässt sich eine DSGVO-konforme Folgeabschätzung can be performed, providing information about individual activities’ risks. In addition, you should weigh which processing and data collection activities are necessary and valuable and where data volumes can be minimized to reduce the legal risk.
Die DSGVO verlangt, dass nur notwendige Daten erhoben, verarbeitet und gespeichert werden – aber auch für Unternehmen sinkt der Arbeitsaufwand und das Haftungsrisiko, je weniger Daten tatsächlich im Umlauf sind.
Interne Datenschutz-Richtlinie für Unternehmen
Nachdem Sie Datenschutz-Massnahmen erfolgreich umgesetzt haben, ist es wichtig, eine interne Richtlinie für künftige, stetig durchzuführende Überprüfungen festzulegen. Es liegt in der Natur der Unternehmensstrukturen, sich mit dem Wandel der Zeit zu verändern.
Damit es durch Umstrukturierungen oder andere Änderungen in Arbeitsabläufen, Organisationen oder technischen Bedingungen nicht zu Datenschutzverstössen kommt oder Compliance-Massnahmen in Vergessenheit geraten, müssen diese regelmässig kontrolliert und ggf. angepasst werden.
Auch für interne Untersuchungen wegen potenzieller Compliance-Verstösse braucht es einen klaren Verhaltenskodex bzw. eine interne Checkliste, is also needed for internal investigations into potential compliance violations to ensure uniform solutions. Suppose you or your employees suspect compliance measures have not been applied or have not been applied correctly. In that case, the incident must be clarified immediately and, if in doubt, sanktioniert werden. Um Verstösse zu vermeiden, sollten Ihre Mitarbeiter präventiv für das Thema preventively sensitized to the topic and receive training regarding data protection compliance and the measures to be followed.
Enable your teams to submit event-related notices, receive assistance, and make suggestions for improvement. This way, you can continuously improve your data protection compliance and create a pleasant Arbeitsklima schaffen.
Was ist ein Datenschutz-Compliance-System?
Das Datenschutz-Compliance-System vereint Massnahmen, die für den Datenschutz im Unternehmen ergriffen werden. Es geht also darum, ein funktionierendes System zu erarbeiten, um das Datenschutzrecht wirksam umzusetzen.
Das System bildet die Schnittstelle zwischen Datenschutz und Compliance in Ihrem Unternehmen. Darunter fallen viele verschiedene Faktoren, die die Massnahmen und Vorgehensweisen beeinflussen. Zwei der wichtigsten Faktoren erläutern wir Ihnen im Folgenden.
Technische und organisatorische Massnahmen
Technical and organizational measures (TOMs for short) play a special role in data protection. However, they are also crucial for Informationssicherheit wichtig – also den Bereich, in dem es um nicht-personenbezogene Daten geht (z.B. Unternehmens-Interna, Firmengeheimnisse und technische Daten).
Das Ziel besteht darin, auch die Unternehmenswerte (sog. Assets While TOMs in information security are not mandatory but much more implemented out of the company’s interest, the GDPR clearly requires them for Datenschutz klare Forderungen aus der DSGVO (Art. 32 DSGVO).
Die DSGVO schreibt vor, dass bestimmte TOM mit geeigneten Schutzstandards are integrated, documented, and monitored to protect personal data in the company. Thus, it is inevitable to choose structured and, if possible, automated TOMs to operate effectively in compliance.
Das Whistleblowing-System
The EU Whistleblowing Directive verpflichtet Unternehmen ab 50 Mitarbeitern und den öffentlichen Sektor dazu, Hinweisgebersysteme Such a system enables employees to provide personalized or anonymous information about specific grievances or criminal acts within the company. EU member states must enact their national laws to protect whistleblowers.
But even before the legal provisions came into force, a whistleblower system was an important compliance tool. Many listed companies have worked with such systems for years to protect their reputations. As part of the compliance system, whistleblower systems ensure that risks and violations are reported internally and can thus be fought at an early stage.
Das Stichwort des Datenschutzes ist dabei – anonym. Denn nur wenn die Identität der Hinweisgeber geheim bleibt, funktioniert diese Compliance-Strategie. Zwar sieht das neue Hinweisgeberschutzgesetz keine vorrangige Stellung anonymer Hinweise vor. Allerdings hat es sich bewährt, auf Anonymität zu setzen, um wertvolle Informationen zu erhalten, ohne dass die Identität der hinweisgebenden Person bekanntgegeben wird.
Auch wenn im Unternehmen ein vermeintlich gutes Arbeitsklima herrscht: Niemand gibt gerne eigene Fehler zu, schwärzt einen Kollegen an oder bemängelt Verhaltensweisen in der Chefetage. Um gesetzliche Anforderungen umzusetzen, braucht es demnach ein System, das interne Lösungen ermöglicht, ohne sich für die Beteiligten nachteilig auszuwirken (z.B. durch Sanktionen).
Datenschutz-Compliance: Wer ist verantwortlich?
Grundsätzlich ist in Unternehmen jeder in seinem eigenen Bereich für die Umsetzung des Datenschutzes und der Compliance verantwortlich. Schliesslich übernehmen die meisten Mitarbeiter Aufgaben, die das Datenschutzrecht berühren oder Schnittstellen dazu aufweisen.
Da allerdings das Unternehmen für datenschutzrechtliche Verstösse haftet, ist es erforderlich, eine eigene Abteilung oder ein Compliance-Team zu strukturieren, das sich hauptsächlich mit diesem Themenfeld befasst. Ein compliance officer or compliance manager wird dabei meist in leitender Funktion tätig.
Aufgaben von Compliance-Managern
Compliance-Manager überprüfen die Einhaltung von geltenden Gesetzen, Richtlinien und Verordnungen sowie weitere Verpflichtungen des Unternehmens. Sie entwickeln dabei Compliance-Management-Systeme und greifen auf geeignete Software-Tools zur Unterstützung der Compliance zurück.
Meist durchlaufen Compliance-Officer eine juristische Ausbildung or come from the private sector. It is also essential for compliance managers to undergo further regular training and thus remain up to date about data protection regulations.
Aufgaben von Datenschutzbeauftragten
Dagegen sind Datenschutzbeauftragte für den Datenschutz im Unternehmen zuständig. Sie werden nicht unbedingt operativ, sondern vielmehr beratend tätig. Neben der Analyse der Datensicherheit im Unternehmen as experts, they make specific recommendations for action or possible improvements and monitor what is happening in the company in terms of data protection law.
Viele Unternehmen setzen hier auf einen externen Datenschutzbeauftragten here, as the neutral external position guarantees their monitoring function. The advantage of external data protection officers is that they do not need to be trained and already have nicht geschult werden müssen, sondern bereits über tiefgreifende Kenntnisse im Datenschutz verfügen. Im Gegensatz zu internen Datenschutzbeauftragten, die sich unter Umständen mit dem Unternehmen verbunden fühlen, haben externe einen objektiven Blick auf das Unternehmen.
Wie bereits erwähnt, gibt es eine deutliche Schnittstelle von Datenschutz und Compliance, weshalb Datenschutzbeauftragte und Compliance-Teams stets eng zusammenarbeiten. Neben den Absprachen zur spezifischen Datenschutz-Compliance kann eine Zusammenarbeit auch dabei helfen, die hier getroffenen Massnahmen auf andere Bereiche zu übertragen.
Fazit
In der Praxis zeigt sich, dass bestehende Compliance-Management-Strukturen den gesetzlichen Anforderungen der DSGVO häufig nicht genügen. Die zunehmende Datenverarbeitung, insbesondere auf automatisierter Ebene, macht eine gute Datenschutz-Compliance-Strategie aber nunmehr unumgänglich. Unternehmen sollten Datenschutzfragen also nicht als ein Problem der Zukunft ansehen, sondern sich schon heute intensiv damit befassen, um zukunftsfähig zu bleiben.
Datenschutz-Compliance ist keine kostenintensive, bürokratische Bürde, sondern eine grossartige Möglichkeit, das Vertrauen in das Unternehmen zu verbessern und die Reputation zu schützen. Unternehmer sollten sich ebenso bewusst sein, dass Verstösse gegen datenschutzrechtliche Vorschriften sensible Strafen nach sich ziehen können. Beim Datenschutz geht es schliesslich nicht allein um den Schutz der betroffenen Personen, sondern auch um den Schutz des Unternehmens vor Imageschäden und Haftungsrisiken.