Datenschutz: Aufbau einer Datenschutz-Organisation im Konzern
Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter).
30.05.2015 - Das IITR informiert: Immer mehr Unternehmen beschäftigten sich mit dem Aufbau zentraler Datenschutz-Abteilungen und begleitender Prozesse zur strukturierten Betreuung in datenschutzrechtlichen Themen. Der folgende Beitrag gibt einen ersten Überblick der hierbei zu berücksichtigten Fragestellungen.
Warum beschäftigt sich das Unternehmen mit Datenschutz?
Es gibt verschiedene Ziele, weshalb sich Unternehmen mit dem Thema Datenschutz beschäftigen. Und so trivial die Frage klingen mag so wichtig ist es, von Beginn an klare Zielsetzungen zu treffen.
- Möchte das Unternehmen allein den rechtlichen Anforderungen entsprechen lautet die Zielsetzung, im Fall des Kontakts mit Datenschutz-Aufsichtsbehörden die gesetzlich erforderlichen Unterlagen und Prozesse nachweisen zu können.
- Verfolgt das Unternehmen das Ziel, mit dem Nachweis der eigenen Datenschutzkonformität auch vertrieblich werben zu können, sind ergänzende Maßnahmen zu den Themen Zertifizierung/Außendarstellung zu bedenken.
- Basiert das Geschäftsmodell zusätzlich auf der Auswertung personenbezogener Daten ist eine enge interne Verzahnung mit den Abteilungen erforderlich, welche die Entscheidung über Art und Umfang der Analyse-Technik treffen.
Klares Berichtsystem schaffen
In Abhängigkeit der gewählten Zielsetzung sollte ein klares Berichtsystem im Unternehmen geschaffen werden, welches den Datenschutzverantwortlichen ermöglicht, Empfehlungen auf Ebene der Entscheidungsträger abzugeben.
Es ist in der Regel nicht ausreichend, wenn sich nur einzelne Personen um den formalen Datenschutz in einem Unternehmen kümmern. In datenschutzrechtlich gut geführten Unternehmen sollte ein breit gefächertes Bewusstsein vorherrschen, dass bei der Verarbeitung personenbezogener Daten rechtliche und kulturelle Rahmenbedingungen zu berücksichtigen sind. Dies gelingt nur, wenn die Mitarbeiter regelmäßig zu dem Thema sensibilisiert werden. Hierzu bieten sich persönliche Schulungen bzw. bei größeren oder räumlich verteilten Unternehmen webbasierte Schulungsmöglichkeiten an. Zudem sollten hausinterne Kommunikationswege (Newsletter, Intranet-Seite, Datenschutz-Jour fixe) genutzt werden, um für Beschäftigte in datenschutzrechtlichen Angelegenheiten auch sichtbar und ansprechbar zu sein.
Datenschutz und IT-Sicherheit sind untrennbar verbunden
Das beste Datenschutz-Konzept ist nutzlos, wenn dem Unternehmen grundlegende Fehler bei der IT-Sicherheit unterlaufen:
Jeder Datenschutzverantwortliche sollte daher den engen Austausch zu den IT-Sicherheitsverantwortlichen suchen. Relevante IT-Sicherheitsdefizite sollten in das Reporting der Datenschutzabteilung aufgenommen werden.
Strukturierter Prozess für „Datenpannen“
In Anbetracht der wachsenden Zahl der Meldepflichten bei „Datenpannen“ empfiehlt es sich, einen klaren Prozess für dieses Szenario vorzubereiten und sicherzustellen, dass die Datenschutz- bzw. Rechtsabteilung zeitnah Kenntnis von (möglichen) „Datenpannen“ erhält.
Bindung von Dritt-Dienstleistern
Eine aus datenschutzrechtlicher Sicht vorhandene Schwachstelle ist häufig die nicht ausreichende/konsistente datenschutzrechtliche Bindung von Dritt-Dienstleistern. Unabhängig von der Frage des anwendbaren Rechts bzw. der möglichen rechtlichen Bindungs-Optionen empfiehlt sich schon aus betrieblichem Eigeninteresse, sich einen Überblick der eingesetzten Dritt-Dienstleister zu verschaffen und eine konsistente vertragliche Situation mit diesen Unternehmen zu schaffen.
„Privacy by design“: Neueinführung von Systemen
Die Datenschutzverantwortlichen sollten sich nach Möglichkeit in den Prozess der Neueinführung von Systemen integrieren. Je früher datenschutzrechtliche Anforderungen in einen Prozess eingeführt werden, desto leichter ist deren technische Implementierung. Spätere Anforderungen hinsichtlich der Anonymisierung/Pseudonymisierung von Daten oder der strukturieren Datenlöschung lassen sich so leichter und kostengünstiger realisieren.
Standardisierung bei Datenschutz-Anfragen
Werden Unternehmen regelmäßig von Interessenten oder Kunden zu datenschutzrechtlichen Themen kontaktiert sollten unter Führung der Datenschutzabteilung standardisierte Unterlagen geschaffen werden, um diese Anfragen einheitlich zu beantworten.
Zertifizierung
Wenngleich ein einheitlicher Zertifizierungs-Standard im Datenschutz nach wie vor fehlt mehren sich doch die Ansätze, zertifizierbare Regelungswerke zum Nachweis der eigenen Datenschutzkonformität zu schaffen. Verfolgt das Unternehmen strategische Zielsetzungen mit dem Thema Datenschutz bietet es sich an, in Verantwortung der Datenschutzabteilung hier Zertifizierungen (z.B. ISO 27001, ISO 27018 etc.) anzustreben.
Fazit
Zentraler Bestandteil beim Aufbau einer Datenschutz-Organisation im Konzern ist eine klare Zielsetzung zu Beginn. Je nach den hierbei getroffenen Vorgaben lassen sich verschiedene Maßnahmen ableiten, wie die Datenschutz-Organisation zu strukturieren ist.