Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können.

Größe: px

Ab Seite anzeigen:

Download "Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können."

Joseph Engel
vor 7 Jahren
Abrufe

1 Welche häufig gemachten Datenschutz-Fehler Sie jetzt ganz einfach vermeiden können. Wird gegen das BDSG verstoßen, indem unrechtmäßigerweise personenbezogene Daten erhoben, verarbeitet oder genutzt werden, kann dies Folgen für die dafür Verantwortlichen und das Unternehmen selbst haben. In 43 BDSG sind diverse Tatbestände aufgeführt, die ein Bußgeld nach sich ziehen können. Werden beispielsweise unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben oder verarbeitet, dann droht hierfür eine Geldbuße von bis zu (vgl. 43 Abs. 3 BDSG). Wurde durch den Datenschutzverstoß ein wirtschaftlicher Vorteil erlangt, kann die Geldbuße auch diesen Betrag übersteigen. Treten weitere Umstände hinzu, wie beispielsweise die Absicht, andere zu schädigen oder sich selbst zu bereichern, dann droht sogar eine Freiheitsstrafe von bis zu 2 Jahren oder Geldstrafe. Darüber hinaus kann eine Datenschutzpanne das Ansehen eines Unternehmens nachhaltig negativ beeinträchtigen. Je nachdem, wie schwerwiegend die Panne ist, kann es mitunter Jahre dauern, bis das einmal verlorene Vertrauen wieder zurück gewonnen ist. Praxistipp: Prävention in 5 Schritten Von Zeit zu Zeit fragt sich jeder Datenschutzbeauftragte, ob der Datenschutz in seinem Unternehmen wirklich optimal ist. Vielleicht hat sich in den letzten Wochen und Monaten irgendetwas geändert, von dem man nichts gemerkt hat oder über das man, trotz gegenteiliger Absprache, nicht informiert wurde. Diese Unsicherheit befällt wohl jeden Datenschutzbeauftragten einmal. Und: Jede Veränderung, die nicht auf Datenschutzkonformität geprüft wurde, ist eine potentielle Quelle für einen Verstoß. Möchten Sie diese Quellen finden und somit präventiv tätig werden, bietet sich die Durchführung eines Datenschutzaudits an. Lesen Sie hier, wie Sie ein kleines jährliches Datenschutzaudit durchführen und so potentiellen Veränderungen auf die Spur kommen.

2 Schritt 1: Werfen Sie einen Blick aufs Papier Als Erstes sollten Sie die Unterlagen, die Ihnen vorliegen, überprüfen. Schauen Sie sich Ihre Verarbeitungsübersicht und Ihr Verfahrensverzeichnis für jedermann an. Legen Sie besonderes Augenmerk auf Verarbeitungen, die sich in den letzten Jahren (vermeintlich) nicht verändert haben. Hier liegt die Vermutung erst einmal nahe, dass Ihnen hier etwas entgangen sein mag. Gleichen Sie die in Ihren Dokumenten genannten Softwareversionen der Systeme, die personenbezogene Daten verarbeiten, mit den Produktivversionen ab. Ziehen Sie hierzu die Ihnen vorliegende IT-Dokumentation heran. Prüfen Sie diese aber zunächst auf Aktualität und fragen Sie gegebenenfalls bei der IT-Abteilung nach den aktuellen Dokumenten. Merken Sie sich alle Systeme, deren Version sich offensichtlich seit Ihrer letzten Überprüfung geändert hat, für Ihr Gespräch bei der IT-Abteilung vor. Tipp: Hat sich die Softwareversion vor dem Punkt verändert, also beispielsweise von 3.0 auf 4.0, so können Sie davon ausgehen, dass die Software neue Features, beispielsweise in Form verbesserter Auswertungen, eines geänderten Berechtigungskonzept, o. Ä. aufweist. Dann ist von Ihrer Seite eine Überprüfung dieses Systems erforderlich. Schritt 2: Führen Sie Gespräche mit den Abteilungen Im nächsten Schritt sollten Sie das Gespräch suchen. Nehmen Sie hierzu alle Abteilungen in den Fokus, die personenbezogene Daten verarbeiten. Also insbesondere Personal, IT, Rechnungswesen, Controlling, den Sicherheitsbeauftragten Ihres Unternehmens, Vertrieb, Marketing. Außerdem sollten Sie auch mit dem Betriebsrat das Gespräch suchen und ihn auf Änderungen im Unternehmen seit Ihrem letzten Gespräch ansprechen. Tipp: Bei allen Gesprächen können Sie sich an dem umfangreichen Fragenkatalog orientieren, den Sie unter herunterladen können.

3 Möchten Sie sich nur auf den aktuellen Stand bringen, reichen Ihnen folgende Fragen vom Grundsatz her aus: Welche Daten werden verarbeitet? Beispiele: Mitarbeiter-, Kunden-, Lieferantendaten. Welche Anwendungen werden verwendet? Beispiele: Word, Excel, die in Ihrem Unternehmen eingesetzten Anwendungen (SAP, Baan, CRM-Systeme ). Welche Änderungen in der Anwendungslandschaft gab es im letzten Jahr/in den letzten 2 Jahren/? Beispiele: Softwareupdates, -upgrades, neue Datentransfers, neue Hardware? Woher kommen die Daten? Beispiele: SAP, Internet, Adresshändler Wohin gehen die Daten? Beispiele: (neue) Auftragsdatenverarbeiter, Filialen Besteht (neuer) Kontakt zu Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten? Schritt 3: Gehen Sie in den Elfenbeinturm Durch die Gespräche werden Sie eine Vielzahl von neuen Informationen bekommen, die Sie erst einmal verarbeiten und aufarbeiten müssen. Ziehen Sie sich hierzu mit der von Ihnen bevorzugten Literatur zurück und gleichen Sie die neuen Erkenntnisse mit den Ihnen bisher vorliegenden Informationen ab. Schreiben Sie dann ein Ergebnisdokument. Dies dient Ihnen als Gedächtnisstütze und Sie können dieses Dokument auch als Nachweis Ihrer Arbeit im abgelaufenen Jahr Ihrem nächsten Tätigkeitsbericht beilegen. Schritt 4: Legen Sie einen Maßnahmenkatalog fest Bestandteil des Ergebnisdokuments sollte auch ein Maßnahmenkatalog sein. Hierin sollte zu jedem festgestelltem Optimierungsansatz eine Maßnahme definiert werden. Diese sollte auch gleich mit einer verantwortlichen Fachabteilung versehen sein.

4 Beispiel einer Maßnahmendefinition Maßnahme: Beschreibung: Dokumentation: Benutzer und Rechte Aktualisierung der Dokumentation, aus der hervorgeht, welcher Benutzer welche Befugnisse (Rechte etc.) hat und welche Funktionen er ausübt. Ausführung: IT-Abteilung Priorität: [Niedrig] [Mittel] [Hoch] Verantwortlich: Herr Mustermann Zieldatum Startdatum Bearbeitet zu % 0 % Status: [Noch nicht begonnen] [In Arbeit] [Fertiggestellt] Schritt 5: Stimmen Sie den Maßnahmenkatalog mit den Fachabteilungen ab Den Maßnahmenkatalog sollten Sie dann, ohne die Zuweisung einer Verantwortlichkeit und ohne ein Start- und Zieldatum einzutragen, per an den Leiter der jeweiligen Fachabteilung schicken und mit ihm einen Gesprächstermin vereinbaren, in dem Sie ihm die entsprechenden Maßnahmen erläutern. Legen Sie dann gemeinsam mit den Fachabteilungen verantwortliche Personen, Prioritäten und Start- und Zieldatum (bis wann die Maßnahme umgesetzt sein sollte) fest. Vereinbaren Sie außerdem regelmäßige Rückmeldungen über den Erledigungsstatus. Begründen Sie dies einfach damit, dass Sie auf die Einhaltung des Datenschutzes hinwirken müssen und es deshalb auch zu Ihren Aufgaben zählt, die entsprechenden Maßnahmen zur Umsetzung des Datenschutzes zu überwachen. (Quelle: Datenschutz Datenschutz aktuell Produkt der BWRmed!a, ein Unternehmensbereich der VNR Verlag für die Deutsche Wirtschaft AG)

Ähnliche Dokumente

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen. Checkliste Datenschutz-Grundverordnung (DSGVO) Nach Inkrafttreten der DSGVO