Klarschiff machen: Wie Sie den Datenschutz 2024 erfolgreich umsetzen können und welche Aufgaben Sie haben

Das Jahr 2024 steht vor der Tür. Viele Unternehmen beginnen bereits jetzt mit organisatorischen und finanziellen Planungen für das nächste Jahr. Bei der Jahresplanung sollten dabei ebenso die notwendigen Maßnahmen für eine erfolgreiche Datenschutzorganisation nicht vergessen werden.

Der Bereich Datenschutz ist ein vergleichsweise junges Geschäftsfeld. Geschäftsbereiche wie die Personalabteilung, Buchhaltung, Marketing und Vertrieb gehören für viele zu den üblichen Unternehmensbereichen. Unsere Erfahrungen haben in den letzten Jahren gezeigt: Datenschutz wird manchmal als notwendiges Übel, als Show-Stopper und als bürokratische Hürde gesehen.

Das kommt dann vor, wenn der Datenschutz als letztes in der Prozesskette berücksichtigt wird. Unsere tägliche Arbeit lebt von Prozessen, oftmals mühsam in Prozessabläufen dokumentiert.

Mit diesem Beitrag möchten wir Ihnen wichtige Tipps für das kommende Jahr auf den Weg geben, womit Sie Ihre Datenschutzorganisation besser in Ihrer Organisation integrieren können.

1. Kennen Sie Ihre Daten – Schützen Sie Ihre Daten

Die deutsche Wirtschaft kann Ihre Wettbewerbsposition nur über Innovationen halten und weiter ausbauen. Die damit verbundene Nutzung von Informations- und Kommunikationstechnologien wird von der Gesellschaft als selbstverständlich angesehen. In diesem Zusammenhang findet auch eine Wendung von der Produkt- und Servicefokussierung hin zu einer Ausrichtung auf den individuellen Konsumenten und dessen Bedürfnisse statt. Damit dies gelingt, sind Informationen über Kunden enorm wichtig. Doch diese Daten müssen geschützt werden – vor Verlust und vor Missbrauch.

Mögliche technische und organisatorische Maßnahmen für den Schutz der Daten:

• Geregelter Zugang zu Ihren Geschäftsräumen
• Kryptografische Verschlüsselung von mobilen Datenträgern (z.B. Laptops/ Notebooks)
• Einsatz von Firewalls, Anti-Viren-Software, VPN-Technologie, Mobile Device Management (MDM)
• E-Mail-Verschlüsselung
• Geregeltes On- und Offboarding von Mitarbeitern (Vergabe und Entzug von Berechtigungen, Schlüsseln, Laptops, etc.)
• Übermittlung von Daten mittels Zip oder datenschutzkonformer Austauschplattform
• Passwortrichtlinien
• Sichere Aufbewahrung von Datenträgern
• Automatisierte, zyklische Backups
• Geeignete Maßnahmen zum Schutz vor Feuer und Wasser
• Unterbrechungsfreie Stromversorgung (USV oder Notstromaggregat)
• Redundanz von Klimaanlagen in Serverräumen

Diese Auflistung ist nicht abschließend und kann um eine Vielzahl weiterer Maßnahmen ergänzt werden.

2. Prozesse – Von Anfang bis zum Ende denken

Sie möchten nächstes Jahr ein neues Projekt starten? Eine neue Software einführen? Oder eine neue Abteilung eröffnen?
Möglicherweise sind für die Umsetzung Projektteams, ausgewählte Mitarbeiter und vielleicht auch externe Unternehmen beauftragt.
Bedenken Sie hier:
Wie wird kommuniziert? Wurde die Software auf Datenschutzkonformität geprüft? Wurden mit externen Parteien vertragliche Regelungen geschlossen?
Gibt es eine Checkliste für ein datenschutzkonformes Projektmanagement?

Überlegen Sie sich konkret, was für ein datenschutzkonformes Projektmanagement erforderlich ist. Ein Ansatz wäre der PDCA-Zyklus.

Plan:
Welches Ziel wird verfolgt (SMART) ? Welche gesetzlichen Datenschutzvorschriften sind dabei zu berücksichtigen? Müssen ggf. Richtlinien, Konzepte oder Arbeitsanweisungen erstellt werden? Müssen Betriebsvereinbarungen geschlossen werden?
Tipp: Prozessabläufe helfen bei der Visualisierung von Abläufen. Vergeben Sie konkrete Zuständigkeiten und Verantwortungsbereiche. Schaffen Sie mit Ihren Regelungen Klarheit und Transparenz. Nehmen Sie bei der Einführung Ihren Datenschutzbeauftragten zum frühest möglichen Zeitpunkt mit ins Boot.

Do:
Geplante Änderung durchführen – in Berücksichtigung der Konzepte und getroffenen Regelungen. Schaffen Sie entsprechende Informationsaustauschmöglichkeiten, sodass alle Projektbeteiligten auf dem aktuellen Stand sind.

Check:
Prüfen Sie auch während der Umsetzung die Konformität der Umsetzung mit der Planung. Werden Ihre Ziele erreicht? Können Sie die Wirksamkeit messen? Können Sie datenschutzrechtliche Regelungen einhalten?

Act: Sollte Ihre Überprüfung (Check) Lücken hervorbringen, sind diese schnellstmöglich zu bewerten und entsprechende Folgemaßnahmen zu ergreifen.

Selbstverständlich gibt es noch weitere Projektmanagementtools, die genutzt werden können. Es zeigt sich jedoch, wer den Datenschutz beim Projektmanagement und auch bei regulären Prozessen mitdenkt, spart am Ende Zeit, Nerven und Kosten. Zeit wird gespart, da nicht am Ende festgestellt wird: „Oh, wir müssen den Datenschutz berücksichtigen und jetzt müssen wir den ganzen Prozess nochmal umgestalten“, auch Überstunden können damit vorgebeugt werden. Nerven werden geschont, da der Datenschutz immer mehr ins Daily Doing kommt und als ein Prozessanteil gesehen wird. Kosten können eingespart werden, in dem bereits im Vorhinein Budget festgelegt wird und auch notwendige Maßnahmen im Vorfeld berücksichtigt werden.

3. Prüfen Sie Ihre Dokumentation

Im Bereich Datenschutz gibt es wesentliche Dokumente, die regelmäßig geprüft und kontinuierlich gepflegt werden müssen.

Dazu gehören Datenschutzrichtlinien, das Verzeichnis von Verarbeitungstätigkeiten (VVT), unternehmensspezifische Dokumente und Arbeitsanweisungen. Auch ein IT-Notfallhandbuch sehen wir als obligatorisch, denn durch den Verlust von Daten kann es auch zu einem meldepflichtigen Datenschutzvorfall kommen. Der geregelte Umgang mit Notfällen ist ein essenzieller Bestandteil, um Ihre Unternehmensdaten und personenbezogenen Daten zu schützen.

Planen Sie daher Zeiträume für die Überprüfung und Aktualisierung Ihrer Datenschutz-Dokumente ein. Berücksichtigen Sie dabei unternehmerische, gesetzliche und/oder behördliche Veränderungen sowie etwaige Ansprüche Ihrer Stakeholder (Kunden, Patienten, Lieferanten, etc.).

Tipp: Planen Sie in Monaten mit einer geringeren Auslastung die Überprüfung der Dokumentation ein. Oder kalkulieren Sie wöchentliche/ monatliche Zeiträume für die Überprüfung. Ziehen Sie Ihren Datenschutzbeauftragten bei Unklarheiten oder Unsicherheit hinzu.

4. Informationspflichten richtig umsetzen

Nach der DS-GVO haben Personen, deren Daten Sie verarbeiten, Anspruch auf eine Informationspflicht, ein Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung und das Recht auf Einschränkung der Verarbeitung.

Stellen Sie sicher, dass Sie folgende Informationen gegenüber den betroffenen Personen mitteilen:

• Verarbeitung der Daten während des Bewerbungsprozesses und während der Beschäftigung
• Verarbeitung der Daten von Kunden und Lieferanten
• Anpassung der Datenschutzerklärung bei Änderung der Website (z.B. bei Implementierung eines Kontaktformulars, online Bewerbungsverfahren, neue technische Funktionalitäten)
• Eine rechtlich tragfähige Antwort auf ein Auskunftsersuchen (Achtung: Hier gibt es Fristen!)

Tipp: Vorlagen für entsprechende Mitarbeiter-, Kunden- oder Lieferanteninformationen erhalten Sie in der Regel von Ihrem Datenschutzbeauftragten.
Eine Antwort auf ein Auskunftsersuchen sollte im letzten Schritt vom Datenschutzbeauftragten geprüft werden. Hier ist davon auszugehen, dass womöglich ein Rechtsanspruch geltend gemacht werden möchte.

5. Skills - Weiterentwicklung Ihrer Mitarbeiter

Schulungen und Weiterbildung sind in unserer schnelllebigen Zeit unerlässlich, wenn wir uns den heutigen Veränderungen erfolgreich stellen wollen. Denn als Dienstleistungsgesellschaft sind Mitarbeiter eine der wesentlichen Ressourcen für die Verfolgung der Geschäftsziele. Planen Sie daher regelmäßige Schulungseinheiten für Ihre Mitarbeiter ein.

Tipp: Nehmen Sie eine Datenschutzschulung in den Onboarding-Prozess auf. Schulungen sollten idealerweise jährlich erfolgen, mindestens jedoch alle 2 Jahre.

6. Unterstützung – Holen Sie sich Rat und Tat

In unserer arbeitsteiligen Welt kann es manchmal sehr kompliziert werden.

Vor allem im Rechtsbereich sind viele Aspekte zu berücksichtigen, die sich gegenseitig beeinflussen können. Scheuen Sie sich daher nicht, externe Unterstützung zu beauftragen. Auch externe Datenschutzbeauftragte können Sie vor Ort unterstützen und Sie dadurch personell entlasten.

7. Zeit- und Budgetplanung

„Die Zeit rennt uns davon“ – Diesen Spruch kennen Sie vielleicht und ist ein alter Bekannter. Eine Zeit- und Budgetplanung kann Ihnen dabei helfen, Geschäftsziele strukturiert zu erreichen - dies gilt auch für Datenschutzziele.
Vor allem erhalten Sie dadurch Klarheit über notwendige Ressourcen - personell, zeitlich und finanziell - und profitieren von einer Planbarkeit und Transparenz. Zudem können Sie über das Jahr hinweg festgelegten Sachverhalten geordnet nachgehen und mildern stressige Phasen ab. Durch eine Budgetplanung können Sie früh abschätzen, welche Mittel Sie benötigen und verhindern, dass Kosten in Ihrem Unternehmen überhand nehmen.

Gerne unterstützen wir Sie bei der Umsetzung Ihres Datenschutzmanagements in Ihrem Unternehmen. Kommen Sie gerne auf uns zu!