Das Thema Europäische Datenschutz Grundverordnung hat bei uns und unseren Kunden: Selbstständigen, Freiberuflern und kleinen sowie mittelständischen Unternehmen für viel Aufregung gesorgt. Durch die Einführung der Verordnung am 25. Mai 2018 sind wir alle verpflichtet uns mit dem wichtigen Thema Datenschutz zu beschäftigen!

Einer meiner führenden Kollegen hat gesagt: „Daten sind die neue Währung.“. Damit hat er vollkommen Recht, denn heutzutage ist eine Verarbeitung von Informationen ohne personenbezogene Daten, mehr oder weniger in keinem Verein, Betrieb oder Organisation mehr möglich. Mit einer professionellen Verarbeitung der Daten steht und fällt die Effizienz des Unternehmens. Nach außen hin bedeutet dies Reputation, Vertrauen und damit neue Kunden.

Somit ist es so wie bei den meisten aufwändigeren Prozessen: sie kosten einen Haufen Zeit/Geld, aber bringen dann am Ende doch klare Strukturen im Unternehmen und einen gewissen ROI (Return of Investment).
Jetzt muss man eigentlich nur noch verstehen, dass es sich bei dem Thema Datenschutz nicht um eine Aufgabe handelt, die man einmalig abwickelt und dann erledigt hat, sondern dass es ein prinzipieller Prozess im Unternehmen ist. Somit ist es neben der Tatsache, dass es sich hierbei um "Chefsache" handelt, das Thema also verantwortet und vorgelebt werden muss, sehr wichtig das Verständnis und die Akzeptanz der Mitarbeiter zu gewinnen. Insgesamt berührt das Thema alle Unternehmensbereiche, also Personalmanagement, Finanzbuchhaltung, Vertrieb, Technik usw.
Apropos Technik, der Anteil der IT (TOM - technische und organisatorische Maßnahmen) im Thema Datenschutz beträgt nach unserer Auffassung ca. ein Drittel des gesamten Aufwands. Den Löwenanteil machen Mitarbeitersensibilisierung, Verhaltensweisen, organisatorische Maßnahmen und Prozesse aus.

Als wir begonnen haben uns mit dem Thema zu beschäftigen, ist uns eine sehr interessante Literatur vom Bayerischen Landesamt für Datenschutzaufsicht in die Hände gefallen. In diesem Werk bekommt man relativ schnell einen Überblick welche Aufgaben in diesem Thema auf einen zukommen.

Nach unserer Meinung müssen zunächst im Unternehmen die Organisationsstruktur (Verantwortungsbereiche) konkret definiert worden sein, damit diese Basis dann für die weiteren Prozesse zur Verfügung steht. Im sogenannten Verfahrensverzeichnis werden dann alle Prozesse/Verfahren, die im Unternehmen ablaufen, dokumentiert. Hierzu gibt es konkrete Vorgaben, was zu jedem Verfahren dokumentiert werden muss. Nachdem man dann das Verfahren/den Prozess einmal dokumentiert hat, ist es auch möglich eine entsprechende Risikobewertung zu machen. Ist das Ergebnis der Sicherheit als hoch kritisch für diesen Prozess einzuschätzen, muss er entsprechend verbessert und angepasst werden.
Diesen Vorgang wiederholt man nun für alle Prozesse im Unternehmen und betrachtet sie in einem festzulegenden Zyklus, sowie bei Veränderungen des Prozesses wieder neu.
Zum Zweiten sollte man hier auch das Thema Auftragsdatenverarbeitung, also Subunternehmer die bestimmte Aufgaben übernehmen, dementsprechend regelmäßig auf deren Verfahrensverzeichnis sowie die technischen und organisatorischen Maßnahmen hin überprüfen.
Außer, dass man dann noch für alle seine Kunden als Auftragsdatenverarbeiter eine entsprechende Dokumentation für die Speicherung der Kundendaten für jeden Kunden einzeln durchzuführen hat, ist es weitestgehend geschafft.

Des Weiteren haben wir viele wichtige Informationen zu diesem Thema für Sie zur Verfügung gestellt. Klicken Sie bitte rechts auf die verschiedenen Informationen wie z.B. einem kompletten Video-Kurs, Literaturempfehlungen, usw.

Gerne empfehlen wir Ihnen einen zertifizierten Datenschutzbeauftragten zur Bestellung oder Beratung. Für individuelle technische Beratung im Bereich IT Sicherheit, Risikoanalyse usw. stehen wir Ihnen gerne persönlich zur Verfügung.