Datenschutz: Aufbau einer Datenschutz-Organisation im Konzern

iitr-icon_65x65 Das IITR (https://www.iitr.de) informiert: Immer mehr Unternehmen beschäftigten sich mit dem Aufbau zentraler Datenschutz-Abteilungen und begleitender Prozesse zur strukturierten Betreuung in datenschutzrechtlichen Themen. Der folgende Beitrag gibt einen ersten Überblick der hierbei zu berücksichtigten Fragestellungen.

Beitrag von Dr. Sebastian Kraska (https://www.iitr.de), externer Datenschutzbeauftragter (https://www.iitr.de/externer-datenschutzbeauftragter.html).

Warum beschäftigt sich das Unternehmen mit Datenschutz?


Es gibt verschiedene Ziele, weshalb sich Unternehmen mit dem Thema Datenschutz beschäftigen. Und so trivial die Frage klingen mag so wichtig ist es, von Beginn an klare Zielsetzungen zu treffen.

  • Möchte das Unternehmen allein den rechtlichen Anforderungen entsprechen lautet die Zielsetzung, im Fall des Kontakts mit Datenschutz-Aufsichtsbehörden die gesetzlich erforderlichen Unterlagen und Prozesse nachweisen zu können.
  • Verfolgt das Unternehmen das Ziel, mit dem Nachweis der eigenen Datenschutzkonformität auch vertrieblich werben zu können, sind ergänzende Maßnahmen zu den Themen Zertifizierung/Außendarstellung zu bedenken.
  • Basiert das Geschäftsmodell zusätzlich auf der Auswertung personenbezogener Daten ist eine enge interne Verzahnung mit den Abteilungen erforderlich, welche die Entscheidung über Art und Umfang der Analyse-Technik treffen.

Klares Berichtsystem schaffen


In Abhängigkeit der gewählten Zielsetzung sollte ein klares Berichtsystem im Unternehmen geschaffen werden, welches den Datenschutzverantwortlichen ermöglicht, Empfehlungen auf Ebene der Entscheidungsträger abzugeben.


Es ist in der Regel nicht ausreichend, wenn sich nur einzelne Personen um den formalen Datenschutz in einem Unternehmen kümmern. In datenschutzrechtlich gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies gelingt nur, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden. Hierzu bieten sich persönliche Schulungen bzw. bei größeren oder räumlich verteilten Unternehmen webbasierte Schulungsmöglichkeiten an. Zudem sollten hausinterne Kommunikationswege (Newsletter, Intranet-Seite, Datenschutz-Jour fixe) genutzt werden, um für Beschäftigte in datenschutzrechtlichen Angelegenheiten auch sichtbar und ansprechbar zu sein.

Datenschutz und IT-Sicherheit sind untrennbar verbunden


Das beste Datenschutz-Konzept ist nutzlos, wenn dem Unternehmen grundlegende Fehler bei der IT-Sicherheit unterlaufen. Jeder Datenschutzverantwortliche sollte daher den engen Austausch zu den IT-Sicherheitsverantwortlichen suchen. Relevante IT-Sicherheitsdefizite sollten in das Reporting der Datenschutzabteilung aufgenommen werden.

Strukturierter Prozess für „Datenpannen“


In Anbetracht der wachsenden Zahl der Meldepflichten bei „Datenpannen“ empfiehlt es sich, einen klaren Prozess für dieses Szenario vorzubereiten und sicherzustellen, dass die Datenschutz- bzw. Rechtsabteilung zeitnah Kenntnis von (möglichen) „Datenpannen“ erhält.

Bindung von Dritt-Dienstleistern


Eine aus datenschutzrechtlicher Sicht vorhandene Schwachstelle ist häufig die nicht ausreichende/konsistente datenschutzrechtliche Bindung von Dritt-Dienstleistern. Unabhängig von der Frage des anwendbaren Rechts bzw. der möglichen rechtlichen Bindungs-Optionen empfiehlt sich schon aus betrieblichem Eigeninteresse, sich einen Überblick der eingesetzten Dritt-Dienstleister zu verschaffen und eine konsistente vertragliche Situation mit diesen Unternehmen zu schaffen.

„Privacy by design“: Neueinführung von Systemen


Die Datenschutzverantwortlichen sollten sich nach Möglichkeit in den Prozess der Neueinführung von Systemen integrieren. Je früher datenschutzrechtliche Anforderungen in einen Prozess eingeführt werden, desto leichter ist deren technische Implementierung. Spätere Anforderungen hinsichtlich der Anonymisierung/Pseudonymisierung von Daten oder der strukturieren Datenlöschung lassen sich so leichter und kostengünstiger realisieren.

Standardisierung bei Datenschutz-Anfragen


Werden Unternehmen regelmäßig von Interessenten oder Kunden zu datenschutzrechtlichen Themen kontaktiert sollten unter Führung der Datenschutzabteilung standardisierte Unterlagen geschaffen werden, um diese Anfragen einheitlich zu beantworten.

Zertifizierung


Wenngleich ein einheitlicher Zertifizierungs-Standard im Datenschutz nach wie vor fehlt mehren sich doch die Ansätze, zertifizierbare Regelungswerke zum Nachweis der eigenen Datenschutzkonformität zu schaffen. Verfolgt das Unternehmen strategische Zielsetzungen mit dem Thema Datenschutz bietet es sich an, in Verantwortung der Datenschutzabteilung hier Zertifizierungen (z.B. ISO 27001, ISO 27018 etc.) anzustreben.

Fazit


Zentraler Bestandteil beim Aufbau einer Datenschutz-Organisation im Konzern ist eine klare Zielsetzung zu Beginn. Je nach den hierbei getroffenen Vorgaben lassen sich verschiedene Maßnahmen ableiten, wie die Datenschutz-Organisation zu strukturieren ist.

 

Kontakt

Informieren Sie sich über den Einsatz eines externen Datenschutzbeauftragten

IITR Institut für IT-Recht - IITR GmbH
Externer Datenschutzbeauftragter
Telefon: 089-18 91 73 60
E-Mail: email@iitr.de

Das Institut für IT-Recht berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird das Institut von einem wissenschaftlichen Beirat unterstützt. Auf www.iitr.de finden Sie regelmäßig neue Beiträge zu Fragen des Datenschutzrechts.

„Zeigen Sie Ihren Kunden und Mitarbeitern, dass Sie Datenschutz betreiben.
Nutzen Sie den Datenschutz als Ihre positive Botschaft.“

IITR - qualifizierter Datenschutz

Kontakt

Sie erreichen uns unter folgender Adresse:

IITR GmbH - Institut für IT-Recht

Marienplatz 2
80331 München

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

 

Kontakt zum Datenschutz:

Dr. Sebastian Kraska Rechtsanwalt, Diplom-Kaufmann Spezialisiert auf DatenschutzrechtDr. Sebastian Kraska
Rechtsanwalt, Diplom-Kaufmann
Spezialisiert auf das Datenschutzrecht

Tel.: +49 (0)89 1891 7360

E-Mail: email@iitr.de

IITR GmbH ist zertifiziert
DIN EN ISO 9001

Wir sind zertifiziert nach DIN EN ISO 9001-2015Mitglied DIN