Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Datenschutz­organisation

Datenschutzorganisation: Können Sie als Unternehmensleitung diese 8 Fragen positiv beantworten?

Datenschutzorganisation: Der Überblick

Als Unternehmen müssen Sie zahlreiche Gesetze befolgen und Auflagen umsetzen – das ist auch im Datenschutz nicht anders. Etablieren Sie eine geeignete und angemessene Aufbau- und Ablauforganisation, um die Anforderungen zu erfüllen.

Aufgrund der Nachweispflichten der DSGVO müssen Sie in der Lage zu sein, einer Aufsichtsbehörde Auskunft darüber zu erteilen, wie Sie den Datenschutz im Unternehmen geplant und umgesetzt haben. Sind keine klaren Vorgaben, Dokumente, Anweisungen oder sonstige Mechanismen im Unternehmen vorhanden, fällt eine qualifizierte Antwort schwer. 

Um den Datenschutz im Unternehmen umzusetzen, müssen Rollen und Verantwortlichkeiten festgelegt werden. Datenschutz ist Team-Arbeit. Sämtliche Fachbereiche, die personenbezogene Daten verarbeiten, müssen konkrete Vorgaben und Hilfsmittel an die Hand bekommen, um eine einheitliche Umsetzung durchzuführen. 

Die Beschäftigten in den Fachbereichen müssen die Datenschutz-Grundsätze kennen und anwenden können. Dafür ist eine regelmäßige Schulung erforderlich, die die Grundsätze möglichst praxisnah erklären. Gleichzeitig sollten die Beschäftigten die gesetzlichen Anforderungen durchführen können, wie zum Beispiel die unverzügliche Meldung einer Datenschutzverletzung.

Damit die Umsetzung aktuell bleibt, benötigen Sie einen Regelkreis, der dafür sorgt, dass sämtliche Vorgaben zum Beispiel einmal im Jahr überprüft und optimiert werden.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung und Aufbau. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Die Datenschutzorganisation: Die Stützpfeiler im Unternehmen

Wenn im Unternehmen keine klaren Rollen und Verantwortlichkeiten festgelegt und dokumentiert werden: Wie können Sie nachweisen, dass Sie sich mit dem Thema auseinandergesetzt haben?

Beachten Sie mögliche Sanktionen!

Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden?

Die Höhe variiert von Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen, wenn Sie sich selbst Ziele setzen und diese sukzessive umsetzen!

Die Datenschutzorganisation: Wofür soll das gut sein?

Das Wort Datenschutzorganisation wird man nicht im Gesetzestext finden. Der Gesetzgeber hat aber vorgesehen, dass das jeweilige Unternehmen nachweisen muss, dass die Einhaltung der Datenschutz-Grundsätze und weiterer Vorgaben erfolgt. Eine intensive und regelmäßige Auseinander­setzung ist daher aus Datenschutz­sicht erforderlich.

Meist fallen schon bei einer datenschutzrechtlichen Bestandsaufnahme Verfehlungen in der Aufbau- und Ablauforganisation auf. Es ist nicht klar, wer welche Funktion im Datenschutz hat und wo, wie, was dokumentiert werden muss.

Denken Sie an die Folgeaufgaben!

Die Ziele im Datenschutz und die Datenschutzorganisation müssen durch die Geschäftsleitung festgelegt werden, damit Folgeaufgaben definiert und durch die Fachabteilungen unterstützt werden.

Finden Sie anbei ein paar Prüffragen, die zu diesem Thema immer wieder gestellt werden. Wo stehen Sie im Bereich der Datenschutzorganisation?

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz und Datenschutzrecht alles richtig? Stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

compliance-im-datenschutz

Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Informationen zur Datenschutz-Organisation.

Sie wollen in 4 Schritten zu einer geeigneten Datenschutzorganisation? Hier erhalten Sie die passenden Informationen.

Sie wünschen eine direkte Kontaktaufnahme, um Ihre Fragen zum Thema Datenschutzorganisation zu stellen? 

In 4 Schritten zur richtigen Datenschutzorganisation

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie die richtige Datenschutzorganisation für Ihr Unternehmen ermitteln.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht

Zunächst holen Sie sich einen Spezialisten. Dieser macht seit vielen Jahren nichts anderes als Unternehmen fit für das Thema Datenschutz zu bekommen.

Sie werden feststellen, wenn Sie sich mit dem Thema näher befassen, dass die Datenschutzorganisation am Anfang richtig gestaltet werden muss, um den Datenschutz korrekt umzusetzen.

Am Anfang steht die Bestandsaufnahme

Als Basis für die Organisationsentwicklung ist eine Bestandsaufnahme erforderlich. Die Organisationsstrukturen und vorhandenen Richtlinien sowie Anweisungen zum Datenschutz und zur Informationssicherheit sind zu sichten.

Nationale und internationale Bezüge im Unternehmen sind dabei zu berücksichtigen. Bei großen Unternehmen können auch mehrere Datenschutzbeauftragte in der Unternehmensgruppe und ein koordinierender Konzerndatenschutzbeauftragter als Stabsstelle eine sinnvolle Lösung sein.

Was soll erreicht werden?

Sie sollten bereits beim Aufbau eine klare Zielsetzung verfolgen. Mögliche Ziele sind:

  • – Bestehen eines Audits einer Datenschutz-Aufsichtsbehörde
  • – Erfüllen der Compliance-Vorgaben in der Unternehmensgruppe
  • – Erhöhen der Sicherheit im Unternehmen
  • – Datenschutz als strategischer Bestandteil von Produkten oder Dienstleistung (Wettbewerbsfaktor)

Beachten Sie die Nachweispflichten Ihres Unternehmens!

Wird die Datenschutzorganisation nicht oder nicht richtig festgelegt, ergeben sich früher oder später Ordnungswidrigkeiten, wenn die gesetzlichen Vorgaben nicht korrekt durch die Fachabteilungen eingehalten werden. Personen, die sich mit diesem Thema noch nicht richtig auskennen, begehen oft vermeidbare Fehler. Die Datenschutzorganisation ist somit das Korsett des Datenschutzes im Unternehmen. Dokumentieren Sie Rollen und Verantwortlichkeiten. Dafür eignet sich ein Datenschutz-Handbuch oder eine Datenschutzleit- oder richtlinie. Stellen Sie diese den relevanten Personen von Anfang an zur Verfügung.

Schritt 2: Konzeption der richtigen Datenschutzorganisation

Ist Ihr Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen, ist dieser nach der Bestellung im Unternehmen konzeptionell in die Datenschutzorganisation zu integrieren. Neben den gesetzlichen Pflichten muss festgelegt werden, ob und wenn ja, welche zusätzlichen Pflichten übernommen werden sollen.

Je nach Größe und Art des Unternehmens sind unterschiedliche Organisationsformen denkbar. In größeren Unternehmen ist ein Datenschutz-Team als Stabsfunktion eingerichtet, um den Datenschutz im Unternehmen zu etablieren, weiterzuentwickeln, zu prüfen und zu steuern. 

Unter Einbindung des Datenschutzbeauftragten ist ein auf das Unternehmen zugeschnittenes Konzept für die Organisation zu erstellen. Folgende Bereiche sind dabei zu berücksichtigen. Die Pflichten sind pro Bereich zu beschreiben, sinnvollerweise in einer Datenschutzrichtlinie für die jeweilige Zielgruppe.

Schritt 3: Umsetzung der Datenschutzorganisation.

Nach der Erstellung der konzeptionellen Vorgaben beginnen Sie die Umsetzung. Folgende Punkte sind zu berücksichtigen, weitere Informationen dazu finden Sie im Bereich Details: 

Schritt 4: Regelmäßige Kontrolle der Datenschutzorganisation

Damit die Datenschutzorganisation auch funktioniert, ist im Unternehmen regelmäßig zu prüfen, ob sich an den aktuellen betrieblichen, organisatorischen und gesetzlichen Vorgaben Änderungen ergeben haben und die Aufgaben der jeweiligen Mitglieder der Datenschutzorganisation wahrgenommen werden.

Messen Sie die Umsetzung der Ziele der Datenschutzorganisation

Wenn die zu erreichenden Ziele nicht gemessen werden, kann auch keine Aussage getroffen werden, ob diese erreicht wurden. Mögliche Messgrößen sind:

  • – Umsetzung der freigegebenen Dokumente der Datenschutzorganisation
  • – Jährliche Umsetzung eines externen Audits einer unabhängigen dritten Partei
  • – Schulung (zum Beispiel 95%) der Beschäftigten pro Jahr
  • – Durchführung einer Risikobewertung der Verarbeitungstätigkeiten pro Jahr
  • – Durchführung von Meetings des Datenschutz-Teams im Jahr
  • – Überprüfung der aktuell eingesetzten Auftragsverarbeiter pro Jahr
  • – Korrekte Umsetzung von Datenschutz-Verletzungen und Betroffenenanfragen
  • – Datenschutz und Sicherheitsverständnis von Beschäftigten

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Details zu der Daten­schutz­organisation

Dokumentation der Datenschutzorganisation

Im Datenschutz ist aufgrund der Nachweis­pflichten eine Dokumentation erforderlich. Ob die Dokumentation in Word-Dateien, im internen Wikipedia oder in einem Datenschutz­management­system (DSMS) erfolgt, ist egal. Sie müssen in der Lage sein, die Umsetzung der DSGVO einer Aufsichtsbehörde oder externen Prüfern (zum Beispiel Wirtschaftsprüfer) auf Anfrage zur Verfügung zu stellen.

Folgende Punkte können dabei geprüft werden:

  1. Prüfung der Dokumente auf Angemessenheit, wie zum Beispiel Durchsicht der Inhalte von Richtlinien und Anweisungen zum Datenschutz, Zugänglichkeit der Richtlinien und Anweisungen für Beschäftigte.
  2. Prüfung der Dokumente auf Wirksamkeit, wie zum Beispiel auf vollständige Berücksichtigung der Kriterien, auf Aktualität, auf Freigabe des Managements zur Inkraftsetzung der Richtlinien und Anweisungen.

Folgende Dokumente sollten in einem Unternehmen vorliegen:

Datenschutzorganisation

Geschäftsleitung

Die Geschäftsleitung muss dafür sorgen, dass die gesetzlichen Vorschriften im Datenschutz eingehalten werden. Die Datenschutzorganisation unterstützt die Geschäftsleitung in der Wahrnehmung seiner Aufgaben und übernimmt operativ die Abwicklung der datenschutzrelevanten Prozesse und Themengebiete. Typische Aufgaben sind:

Datenschutzbeauftragter

Der Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden.

Er ist in der Ausübung seiner Pflichten weisungsfrei und darf wegen der Ausübung seiner Aufgaben und Pflichten nicht abberufen oder benachteiligt werden. Er ist verpflichtet, die datenschutzrechtliche Organisationsstruktur des Unternehmens anzuleiten. Der DSB muss prüfen, ob die datenschutzrechtlichen Pflichten im Unternehmen umgesetzt werden und Abweichungen an die höchste Managementebene melden. Dabei muss ein risikobasierter Ansatz angewendet werden. Ein aktives Eingreifen zur Beseitigung oder Verhinderung einzelner Verstöße ist nicht vorgesehen.

Der Datenschutzbeauftragte kann auch andere Aufgaben und Pflichten übernehmen, allerdings muss sichergestellt werden, dass diese nicht zu einem Interessenskonflikt führen. Die Aufgaben sind gesetzlich vorgeschrieben, aber es gibt Spielraum in diesem Bereich. Die Aufgaben sollten in einer Stellenbeschreibung oder in einem Vertrag aufgeführt werden. Eine Auswahl von typischen Aufgaben finden Sie hier:

Die Datenschutzkoordinatoren

Je größer Ihr Unternehmen ist, desto mehr Sinn macht es, weitere Personen aus den Fachbereichen zur Unterstützung hinzuziehen. Die häufig als Datenschutzkoordinator genannten Personen dienen als Schnittstelle zwischen Unternehmen und dem Datenschutzbeauftragten.

Neben den  datenschutzrechtlichen Grundkennt­nissen verfügen die Datenschutz­koordinatoren vorrangig über die entsprechende Fachkunde der Geschäfts­prozesse und dienen als Multi­plikator in der Datenschutz­organisation. Sie sind erste Ansprechpartner im Datenschutz im Fachbereich. Sie  sind in der Lage, den Datenschutzbeauftragten bei der Erfüllung der Aufgaben zu unterstützen. Das gelingt aber nur, wenn eine entsprechende Ausbildung vorliegt. Häufige Wechsel der Datenschutzkoordinatoren in den Fachbereichen sind zu vermeiden.

Mögliche Aufgaben der Datenschutzkoordinatoren werden nachfolgend dargestellt.

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Etablieren Sie auch für Ihre Datenschutzorganisation einen stetigen Verbesserungsprozess, um regel­mäßige Aktualisierungen durchzuführen. Änderungen ergeben sich aufgrund organisatorischer oder gesetzlicher Anforderungen. 

Sie benötigen Unterstützung bei der Rechtsgrundlage der Datenverarbeitung?

Plan

Planung der Datenschutzorganisation und Festlegung der Rollen und Verantwortlichkeiten, Erstellung der notwendigen Dokumente.

Do
Etablierung der Dokumente, Anweisungen und Leit- und Richtlinien, Durch­führung von Schulungen und Vertraulich­keits­vereinbarungen
Act
Aktualisierung und Anpassung der Datenschutz­organisation und der entsprechenden Dokumente.
Check
Prüfung der Aktualität und Richtigkeit der Datenschutzorganisation.

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienst­leistungen, die ich Unternehmen im Großraum Bremen und Hamburg seit vielen Jahren zur Verfügung stelle.

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Datenschutzorganisation effizient und praxisnah gestalten

Ich unterstütze Sie bei der gesetzeskonformen Erstellung Ihrer Datenschutz-Organisation. Nutzen Sie meine langjährige Expertise.

Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung Ihrer Datenschutzorganisation fester Bestandteil.

Fragen zu der Datenschutzorganisation

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, eine Datenschutzorganisation zu etablieren. Mit diesem Thema geht viel Unsicherheit einher. Finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Unter einer Datenschutz-Organisation versteht man die Aufbau- und Ablauforganisation des Unternehmens oder der Unternehmensgruppe, die für die Umsetzung des Datenschutzes zuständig ist.

Dabei werden neben der Geschäftsleitung (als Verantwortliche), die Fachbereichsleitungen und die Beschäftigten eingebunden.

Datenschutzkoordinatoren unterstützen die Geschäftsleitung und vor allem den Datenschutzbeauftragten bei der Umsetzung des Datenschutzes im Unternehmen.

Eine Datenschutzorganisation im Unternehmen zu etablieren, ist für kleine und mittelständische Unternehmen nicht besonders aufwändig. Es müssen die richtigen Personen ausgewählt und mit Aufgaben betraut werden. Rollen und Verantwortlichkeiten müssen dokumentiert und die Beschäftigten entsprechend auf die Aufgaben vorbereitet werden. Bei größeren Unternehmen mit mehreren Organisationsformen und (internationalen) Standorten müssen eher mit Wochen anstatt in Tagen rechnen.

Aus Art. 5 Abs. 2 der Datenschutz-Grundverordnung ergibt sich eine Nachweispflicht für Unternehmen, die gesetzlichen Vorgaben umzusetzen. Ohne eine angemessene Dokumentation ist die Erfüllung dieser Vorgabe nur sehr schwer zu erzielen.

Bestehen keine Regelungen im Unternehmen, wie der Datenschutz konkret umzusetzen ist, werden Aufsichtsbehörden dies als "nicht-fachgerecht" und als Ordnungswidrigkeit einstufen. In zahlreichen weiteren Artikel wird explizit die Dokumentation gefordert, wie zum Beispiel das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutzverletzung oder die dokumentierte Weisung für Auftragsverarbeiter.

Für Unternehmen ist die Bestellung eines Datenschutzbeauftragten (DSB) Pflicht, wenn im Unternehmen mindestens 20 Personen regelmäßig mit der automatisierten Datenverarbeitung beschäftigt sind. Unabhängig von der Anzahl der internen und externen Beschäftigten müssen Sie einen DSB bestellen, wenn besonders sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden oder die Kerntätigkeit Ihres Unternehmens in der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten liegt.

Für alle anderen Unternehmen kann es trotzdem sinnvoll, sich regelmäßig eine Unterstützung im Datenschutz hinzuzuziehen.

Ein DSB sorgt dafür, dass Ihr Unternehmen allen Anforderungen des Datenschutzes umgesetzt werden.

Die Aufgaben sind im Gesetz Art. 39 DSGVO – Aufgaben des Datenschutzbeauftragten - Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de) beschrieben. 

Verkürzt dargestellt sind das folgende Augaben:

    1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten im Datenschutz.
    2. Überwachung der Einhaltung des Datenschutzes im Unternehmen einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern und der diesbezüglichen Überprüfungen.
    3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.
    4. Zusammenarbeit mit der Aufsichtsbehörde.
    5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und gegebenenfalls Beratung zu allen sonstigen Fragen.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihre Organisation sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.