Was ist Datenschutzcompliance?
Unternehmen, Behörden und Vereine müssen Datenschutzcompliance herstellen. Doch was bedeutet das überhaupt? In erster Linie bedeutet Compliance, dass alle Regeln, die auf eine Organisation wirken eingehaltne werden. Im Falle des Datenschutzes ist das zumindest die europäische Datenschutzgrundverordnung (DSGVO) und zumindest in der Bundesrepublik Deutschland auch das Bundesdatenschutzgesetz (BDSG).
Daneben gibt es je nach Tätigkeitsbereich oder Besitzverhältnissen für Organisationen weitere externe Regelungen, wie Landesdatenschutzgesetzte oder kirchliche Rahmenbedingungen, die eingehalten werden müssen.
Hinzu können noch interne Regelungen zum Datenschutz kommen, die man zum Beispiel aus Abgrenzungsgründen zu Marktbegleitern oder aus Kundenanforderungen heraus selbst entwickelt hat.
Alle diese Regeln, Normen und Gesetze spielen bei der Datenschutzcompliance eine Rolle.
Schritt 1: Überblick schaffen
Zunächst gilt es zu klären, welche der oben genannten Verpflichtungen für Ihre Organisation gelten. Die DSGVO und das BDSG wird vermutlich zur Anwendung kommen.
Darüber hinaus muss geprüft werden ob ein Landesdatenschutzgesetzt angewendet werden muss und ob Spezialbestimmungen zum Bespiel aus den Sozialgesetzbüchern für Sie zur Anwendung kommen.
Eine gute Möglichkeit den Überblick nicht zu verlieren ist ein Rechtskataster mit einer Auflistung aller Gesetzt und Normen. Hier können auch weiterführende interne Regelungen aufgenommen werden.
Schritt 2: Zuständigkeiten regeln
Nachdem klar ist welche Regeln für Ihre Unternehmen, Behörde oder Verein einzuhalten sind muß eine oder mehrere zuständige Personen benannt werden, die sich um die Einhaltung der Regelungen kümmern und die teils sehr abstrakten Formulierungen der Gesetze auf ihre tägliche Arbeitspraxis herunterbrechen können.
Für die Normen aus der DSGVO und dem BDSG kann das ein interner oder externer Datenschutzbeauftragter übernehmen. Für Spezialnormen aus den Sozialgesetzbüchern oder im medizinischen Bereich macht es Sinn, wenn weitere Spezialisten, die sich regelmäßig auch mit der Rechtsprechung in diesen Gebieten beschäftigen, unterstützen.
Schritt 3: Leitlinie und Prozesse
Eine Datenschutzleitlinie, die durch die Geschäftsführung in Kraft gesetzt wird, definiert letztendlich die Zuständigkeiten und bricht diese auf die einzelnen Mitarbeiter herunter. Diese bekommen Prozesse an die Hand um die Anforderungen aus dem Datenschutz umsetzen zu können.
Dazu zählen Prozesse die direkt zur Umsetzung der DSGVO notwendig sind. Die wichtigsten sind hierbei der Umgang mit Datenpannen und mit der Anforderung von Betroffenenrechten.
Daneben müssen die Geschäftsprozesse auf Datenschutzcompliance geprüft werden. Die Prozesse, die personenbezogene Daten verarbeiten müssen den Grundprinzipen der DSGVO und anderer anwendbarer Normen folgen.
In meiner Beratungspraxis sind hier häufig Anpassungen bei den Aufbewahrungsfristen oder der Datenminimierung nötig.
Schritt 4: Schulungen
Damit Leitlinie und Prozesse durch die Mitarbeiter umsetzbar sind müssen Sie diese kennen und anwenden können. Dementsprechend sind Schulungen notwendig.
Diese können im Rahmen von Präsenz oder Online-Schulungen stattfinden. Ich biete je nach Unternehmensgröße auch regelmäßige Datenschutzsprechstunden an, bei denen Mitarbeiter fragen direkt und ohne Umwege platzieren können.
Schritt 5: Kontinuierliche Verbesserung
Datenschutzcompliance ist ein kontinuierlicher Prozess, der immer wieder Verbesserungen erfordert.
Dies liegt zum einen am komplexen Umfeld in dem die Verarbeitung personenbezogener Daten stattfindet. (KI, Cloud, Unternehmensstrukturen, etc.) Es ist oft schwierig sofort die richtigen Maßnahmen zu ergreifen, bzw. mit der Zeit stellen sich Prozessverbesserungen heraus.
Zum anderen ändert sich die Auslegung der geltenden Normen durch Rechtsprechung der zuständigen Gerichte, wodurch eine regelmäßige Neubewertung getroffenen Entscheidungen notwendig wird.
Zu guter letzt kommen durch Schulungen der Mitarbeiter auch immer wieder von diesen gute Ideen wie die Datenschutzcompliance zum einen unkomplizierter bzw. passender für die eigene Organisation umgesetzt werden kann.
Fazit
Mit dem richtigen Plan ist es möglich Datenschutzcompliance zu erreichen. Wichtig ist dabei Zuständigkeiten klar zu benennen, den Mitarbeitern ein klares Regelwerk an die Hand zu geben und dieses entsprechend zu schulen.
Zu guter letzt sollte man sich auf einen kontinuierlichen Verbesserungsprozess einlassen und alte Entscheidungen immer wieder in Frage stellen.
So schaffen auch Sie es ihre Organisation mit einfachen Regeln und Prozessen rechtssicher aufzustellen.
