Jedes Unternehmen ist gesetzlich zur Einhaltung des Datenschutzes verpflichtet. Mitte 2018 trat zudem die neue Datenschutzgrundverordnung der EU in Kraft. Insbesondere im Mittelstand sorgte die Gesetzesnovelle für Verunsicherung. Datenschutz, im Zeitalter der Digitalisierung ein Thema, das immer mehr an Bedeutung gewinnt: Alles, was digitalisiert und automatisiert werden kann, wird digitalisiert und automatisiert.
Der Datenschutzplan sollte in der Regel folgende Elemente enthalten:
- Stellenwert des Datenschutzes
- Stellen, Funktionen und Gremien im Datenschutz
- Risikoanalyse
- Funktion Datenschutzbeauftragter
- 5)Mitarbeiter
- Intelligente Verarbeitungssysteme
- Netzwerke
- Mögliche Schadensereignisse
- Technisch-organisatorische Sicherheitsmaßnahmen
- Outsourcing
- Unternehmensangaben
Zu 1) Der Stellenwert für das Unternehmen ist zu klären. Strategische Leitsätze und Ziele zum Datenschutz sind schriftlich zu definieren. Hierzu hilft z.B. ein betriebliches Datenschutzmanagementhandbuch mit den entsprechenden Datenschutzkonzeptionen, wie Betriebsvereinbarungen, Richtlinien und Datenschutzanweisungen.
Mitarbeiter sind in der Schweigepflicht/Datengeheimnis zu unterweisen und müssen entsprechende Erklärungen unterschreiben. (Strafrechtlicher Schutz der Kundendaten § 203 StGB: Verletzung von Privatgeheimnissen).
Zu 2) In jedem Unternehmen mit mehr als 20 Mitarbeitern, also sobald vom Unternehmer ein Datenschutzbeauftragter gestellt werden muss, sind in diesem Zusammenhang die Funktionen IT-Sicherheit, IT-Revision, IT-Administration zu überdenken und ggf. IT-Ausschüsse zu planen.
Zu 3.) Prüfen Sie Ihr Unternehmen auf Datenvermeidbarkeit (Notwendigkeit, Datenumfang, Anonymisierung, Pseudonymisierung). Legen Sie Verfahren und Informationen für den Schutzbedarf fest. Analysieren Sie die Bedrohung (Art der Bedrohung, Objekte) und bewerten Sie die daraus resultierenden Risiken (Schadenshöhe, Eintrittswahrscheinlichkeit). Leiten Sie Schutzmaßnahmen (Organisation, Technik, Nutzer) ab. Erörtern Sie ggf. mit einem qualifizierten Datenschutzbeauftragten die Offenlegung der Restrisiken und dokumentieren Sie diese auf Geschäftsleitungsebene.
Zu 4) Fixieren Sie schriftlich die Funktion(en) des Datenschutzbeauftragten (organisatorische Eingliederung, Stellenbeschreibung / Aufgabenstruktur) und qualifizieren Sie diesen entsprechend. Der Datenschutzbeauftragte muss in der Lage sein, Datenschutz-Konzeptionen und Datenschutz-Projekte zu erstellen sowie die behördlich geforderten Verfahrensregister bearbeiten zu können.
Zu 5) Sensibilisieren Sie Ihre Mitarbeiter für den Datenschutz durch regelmäßige Schulungen und zielorientierte Schulungskonzepte. Damit gelingt Ihnen ein akzeptabler Wissenstand zum Datenschutz im Personalbereich. Nicht nur der Datenschutzbeauftragte ist zum Datengeheimnis verpflichtet. Achten Sie darauf auch bei der innerbetrieblichen Information und Kommunikation. Legen Sie Kennzahlen fest: z.B. Art- und Anzahl von Beschwerden.
Zu 6) Erarbeiten Sie ein Verfahren zur Kontrolle Ihrer datenverarbeitenden Computersysteme. Wie viele sind davon eingesetzt, Geschäftszweck (für was eingesetzt), Datenarten und Datenfluss, Auswertungstools, Zugangsschutz, Zugriffsberechtigung und Benutzerprofile, Protokollierung Zugriffe, Datensicherungskonzept, Notfallvorsorge und Dokumentation, Weitergabe Datenträger, Vernichtung und Entsorgung Datenträger, Dokumentation Hard- und Software. Führen Sie anhand einer Checkliste regelmäßige Auditierungen / Revisionen durch. Kommunizieren Sie frühzeitig mit dem Datenschutzbeauftragen weitere, geplante Computer-Systeme und prüfen Sie dabei Ihr Verfügbarkeitskonzept.
Zu 7) Dokumentieren Sie Ihr Netzwerk (Struktur und Art der Verbindung mehrerer Geräte) unter folgenden Aspekten: Dokumentation Netz-Topologie (Ethernet, W-LAN), Schutz der Leitungen / Kabel, Vorhandensein von Reserven, Vorsorgemaßnahmen, Zutrittsschutz zu Netzwerkkomponenten (zentraler Server), Zugang und Zugriffsschutz, Protokollierungskonzepte, Datensicherheitskonzepte, Notfallvorsorge (Stromausfall, Feuerausbruch und Wassereinbruch). Prüfen Sie die Verfügbarkeit und Qualifikation Ihrer Netzwerkadministratoren.
Zu 8) Überdenken Sie mögliche Schadensereignisse wie höhere Gewalt (Feuer, Wasser), Qualitätsmängel der Hard- und Software, Software-Anomalien (z.B. Würmer, Viren, Programmfehler Software = Bug), Nachlässigkeit, Fehler von Mitarbeitern, Datenmanipulation (z.B. Internetseiten), unbefugte Kenntnisnahme durch Datendiebstahl. Ebenso sollten Konzepte gegen die Beeinträchtigung der Datenverfügbarkeit, das Hacken von Rechnern und Abhören von Verbindungsdaten erstellt werden.
Zu 9) Klären Sie, welche Daten besonders sensibel sind, wo im täglichen Arbeitsablauf diese Daten entstehen, wo/wie diese weitergegeben werden und wo diese unberechtigterweise eingesehen werden könnten. Überprüfen Sie die technischen und organisatorischen Sicherheitsmaßnahmen, wie Ihre Einschätzung zum Sicherheitsstandard, Internetdienste und Genehmigungsverfahren. Erstellen Sie Maßnahmen für Sicherheitskonzepte mit Hilfe der 8 Punkte nach Bundesdatenschutzgesetz zur Vermeidung von Penetrationsversuchen (@mail Spam /Junk-E-mail).
Zu 10) Überprüfen Sie Ihr Outsourcing-Netz hinsichtlich den Themen: Arbeiten von Auftragsverarbeitung, Vernichtung und Entsorgung, automatische Abrufverfahren, Wartung und Betreuung IT-Systeme, Provider, Rechenzentren, Vertragsgestaltungen, Einbindung Ihres betrieblichen Datenschutzbeauftragten und Kontrollen.
Zu 11) Fassen Sie Ihre Unternehmensangaben, wie Branche, Mitarbeiterzahl, Beschäftigung der Mitarbeiter in IT, Gesamtkosten IT/Anteil Datenschutz, Hard- und Softwareausstattung zusammen und integrieren Sie diese in das interne Audit zum Qualitätsmanagement.
Der Datenschutz ist ein wichtiges Organ im Unternehmen. Bei der Überlegung zur Lösung der komplexen Aufgaben sollten Sie die Entscheidung für einen überbetrieblichen Datenschutzkoordinator (üDSK) mit einbeziehen. Im Gegensatz zum überbetrieblichen Datenschutzbeauftragten coacht der üDSK einen ausgewählten Mitarbeiter. Das Risiko zum ungewollten Datentransfer ist mit dieser Lösung von vorn herein eingeschränkt. Einzelne Organisationen bieten über einen Datenschutzkoordinator praktikable Lösungen an.
Umsetzungsziel:
Es ist jährlich eine aktuelle Bestandsanalyse der für den Datenschutz relevanten Prozesse mit einer Fachkraft / DSB / Unternehmensberater durchzuführen und zu dokumentieren. Für die relevanten Prozesse sind entsprechend dokumentierte Verfahren zu entwickeln und umzusetzen. Die im jährlichen Audit (Bestandsanalyse) festgestellten und benötigten Verbesserungs- und Korrekturmaßnahmen werden zügig und dokumentiert umgesetzt. Praxisverstöße in der Auslegung bzw. Ausübung werden der GL sofort zugeführt. Für die Einhaltung der Prozesse werden mit den betreffenden Mitarbeitern interne Schulungen durchgeführt. Auch diese werden dokumentiert.
Nachweise sind erbracht, aktuell und einsehbar.
Wichtiger Hinweis:
Sollten in Ihrem Unternehmen 20 oder mehr Mitarbeiter mit der Verarbeitung von Kundendaten zu tun haben, müssen Sie einen Datenschutzbeauftragten benennen, unter 20 Mitarbeitern kann der Geschäftsführer sich selbst zum Datenschutzbeauftragten ernennen. Die Pflicht zur Umsetzung der Datenschutzauflagen nach dem Bundesdatenschutzgesetz entfällt dadurch nicht. Lassen Sie sich von Ihrer betreuenden EDV-Firma Datenschutzerklärungen unterschreiben und eine Bestätigung geben, wie Sicherungen erfolgen. Lassen Sie sich von jedem Mitarbeiter eine Datenschutzerklärung unterzeichnen und legen Sie diese zusammen mit dem Arbeitsvertrag ab. Dies dient der unternehmerischen Absicherung.
