Datenschutz - Lösungsansätze für ein „vernünftiges“ Datenschutzmanagement Datenschutzskandale gehen fast täglich durch die Presse. Großunternehmen der Branchen Telekommunikation und Personenverkehr sowie Lebensmittel-Discounter haben die gesetzlichen Anforderungen des Datenschutzes ignoriert, Glückspielunternehmen haben den Verkauf und damit auch den Missbrauch von personenbezogenen Adressdaten im großen Stil gefördert. Die öffentliche Wahrnehmung von Verstößen im Umgang mit sensiblen Daten ist in den vergangenen Jahren drastisch gestiegen. Zwischenzeitlich erreichen auch mittelständische Unternehmen die öffentliche Aufmerksamkeit. Sensible Daten liegen in Unternehmen vor, wo sie auf den ersten Blick gar nicht vermutet werden. Die Praxis zeigt: Erst muss etwas passieren, dann wird gehandelt. Schnell reagieren muss dann das betroffene Unternehmen, um einen irreparablen (Image-)Schaden zu vermeiden. Andere verfahren nach dem Motto, wo kein Kläger, da kein Richter, und bemerken nicht, wie oft sie bereits knapp an einem Datenskandal „vorbeigeschrammt“ sind. Gehandelt hat jedenfalls der Gesetzgeber im Jahr 2009 mit der Verschärfung des Bundesdatenschutzgesetzes. Die Aufsichtsbehörden waren in den letzten Jahren zwar auf die „großen“ Verstöße fokussiert, allerdings überprüfen die Aufsichtsbehörden inzwischen auch Unternehmen, zu denen weder eine Beschwerde noch ein medienwirksamer Skandal vorliegt. Es ist damit zu rechnen, dass die anlassunabhängigen Untersuchungen der Aufsichtsbehörden weiter ausgedehnt werden. Aber auch die von Datenschutzmissbräuchen selbst Betroffenen werden sensibler. Die Anzahl der Eingaben beim Landesbeauftragten für Datenschutz des Landes BadenWürttemberg steigt stetig.1 Hierbei reicht es schon aus, wenn sich ein Arbeitnehmer anonym, berechtigt oder unberechtigt, beschwert. Schon ist das Unternehmen im Visier der Aufsichtsbehörden. Liegt dann das gesetzlich geforderte Verfahrensverzeichnis nicht vor, ist ein Datenschutzbeauftragter nicht bestellt oder werden personenbezogene Daten tatsächlich ohne Rechtsgrundlage verwendet, kann bereits ein empfindliches Bußgeld drohen. Hat man ein oder zwei Tochterunternehmen mit gleichem Sachverhalt, kann schnell ein Bußgeld im sechsstelligen Bereich, bei schweren Fällen auch eine bis zu zweijährige Haftstrafe, verhängt werden. über die aktuelle Datenschutzsituation. Als Ergebnis werden die Stärken und Schwächen bei der Erfüllung des Datenschutzgesetzes im Unternehmen aufgezeigt und ggf. erste Maßnahmen zur Verbesserung empfohlen. Als zweiter Schritt sollte ein Datenschutzbeauftragter bestellt werden. Nachdem die Anforderungen an den Datenschutzbeauftragten mittlerweile jedoch das Bild eines rechtsgelehrten IT-Spezialisten aufzeigen, und er aufgrund der Stärkung des Kündigungsschutzes dem Betriebsrat nahezu gleichgestellt ist, wird in der Praxis vermehrt auf externe Datenschutzbeauftragte zurückgegriffen. Parallel hierzu sollte damit begonnen werden, sich seiner Verfahren, in denen personenbezogene Daten Verwendung finden, bewusst zu werden und diese in einem vom Gesetzgeber vorgeschrieben Verfahrensverzeichnis aufzunehmen. Diese Verfahren sind zunächst einer rechtlichen Prüfung zu unterziehen, in der unter anderem der Zweck sowie die Zulässigkeit des jeweiligen Verfahrens festzustellen sind. Erst für die aus der rechtlichen Prüfung resultierenden gültigen Verfahren ist es sinnvoll, eine Bewertung hinsichtlich des ausreichenden Schutzes zu erstellen. Hierzu sind den Verfahren Gefährdungen2 zuzuordnen und den Gefährdungen die bestehenden Schutzmaßnahmen gegenüber zu stellen. Sind diese nicht ausreichend, werden in Zusammenarbeit mit dem Datenschutzbeauftragen weitere Maßnahmen definiert und in Abstimmung mit der Geschäftsführung umgesetzt. Die Maßnahmen sind sodann zu den Verfahren im Verfahrensverzeichnis zu dokumentieren. Dabei treten nach unseren Erfahrungen nicht unerhebliche Potentiale für eine effektivere und effizientere Datenverarbeitung zu Tage. So kann beispielsweise durch die Beachtung der gesetzlich geforderten Datensparsamkeit das Datenvolumen reduziert und Kosten gespart werden, die sich trotz aller Preissenkungen bei Speichermedien durch den Betrieb der IT-Systeme (Laufzeiten, Energieverbrauch, Wartung, Klimatisierung, Datensicherung, Administration etc.) bemerkbar machen. Zuletzt ist ein Informations- und Entscheidungssystem für den laufenden Regelbetrieb, d.h. ein Datenschutzmanagementsystem, zu etablieren. Doch wie sieht es mit dem Datenschutz in Ihrem eigenen Unternehmen aus? Haben Sie sich schon mit dem Thema Datenschutz beschäftigt? Und wissen Sie, ob Sie die Bestimmungen des Bundesdatenschutzgesetzes erfüllen? Nachfolgend skizzieren wir Lösungsansätze für ein „vernünftiges“ Datenschutzmanagement, die sich nach unseren Erfahrungen in mittelständischen Unternehmen bewährt haben. Oberstes Ziel dabei ist die Schaffung eines auf die individuellen Bedürfnisse des jeweiligen Unternehmens zugeschnittenen Datenschutzmanagements. Es ist nicht zweckmäßig, die Anforderungen, die an ein Großunternehmen zu stellen sind, einem mittelständischen Unternehmen überzustülpen. Vielmehr bedarf es einer Lösung mit Augenmaß, die mit einem angemessenen Aufwand zu bewerkstelligen ist. Als erster Schritt zur Beantwortung der Frage, wo das Unternehmen steht und wie eine „vernünftige“ Lösung aussehen könnte, bietet sich beispielsweise die Durchführung eines Datenschutz-Quick-Scans durch einen unabhängigen Datenschutzauditor an. Dieser liefert einen guten Überblick 1 29. Tätigkeitsbericht 2008/2009 des Landesbeauftragten für den Datenschutz, Seite 35 Seite 1 2 BfDI: Baustein B 1.5 Datenschutz (BSI Grundschutzhandbuch) Seite 2 Im Rahmen eines solchen Datenschutzmanagementsystems wird die Einhaltung eines ordnungsgemäßen Datenschutzes durch den Datenschutzbeauftragten überwacht und die Ergebnisse an die Unternehmensführung berichtet. In Form eines kontinuierlichen Verbesserungsprozesses werden neue Verfahren dem Datenschutzbe- auftragten gemeldet und bestehende Verfahren optimiert. Sind dann noch Bedenken vorhanden, kann das Datenschutzmanagementsystem durch einen unabhängigen Datenschutzaudit, wie im Bundesdatenschutzgesetz unter § 9a vorgesehen, geprüft werden. Ihr Ansprechpartner zum Thema Datenschutz: Bei Fragen rund um das Thema Datenschutz steht Ihnen Herr Dirk Schugardt gerne zur Verfügung. Dirk Schugardt CISA, externer Datenschutzbeauftragter und zertifizierter Datenschutzauditor (TÜV) Tel.: 07121 489-421 [email protected]
© Copyright 2024 ExpyDoc
