Die Datenschutz-Grundverordnung, kurz DSGVO, definiert Regeln zur Verarbeitung personenbezogener Daten. Obwohl diese Regelungen für alle Unternehmen eine Rolle spielen, ist Datenschutz in Großunternehmen noch immer ein fehleranfälliger Bereich. Doch weder hohe Bußgelder noch negative Presse bei Verstößen gegen das Datenschutzrecht kann sich ein Unternehmen leisten. Wenn Datenschutz auch für Sie bislang noch ein unsicheres Gebiet darstellt, wird es höchste Zeit, sich strukturiert mit den Anforderungen auseinanderzusetzen. Zunächst klären wir, wo für gewöhnlich die Hindernisse liegen und zeigen Ihnen bestimmte Schritte auf, wie sich Konzern und DSGVO unter einen Hut bringen lassen.
Herausforderungen beim Thema Datenschutz für Konzerne
Egal, ob es um die Zusammenarbeit mit Mitarbeitern oder Partnern geht oder schlichtweg um den Kontakt mit Kunden. Permanent befinden sich Unternehmen in Situationen, in welchen sie mit personenbezogenen Daten in Berührung kommen. Entsprechend der DSGVO müssen diese geschützt werden. Das gilt für kleine, mittlere und auch große Unternehmen gleichermaßen.
Vor allem in großen Unternehmen ist die Umsetzung der datenschutzrechtlichen Vorgaben mit Schwierigkeiten verbunden und weist deutliche Schwächen auf. Ein Mangel an Personal und fehlendes Wissen rund um die Thematik „Datenschutz und Großunternehmen“ sind die Hauptursache dafür. Der Knackpunkt dabei ist, dass sich große Unternehmen genauso an die DSGVO halten müssen wie kleine und mittelständische Unternehmen. Spätestens die Prüfungen durch Datenschutzaufsichtsbehörden und mögliche Sanktionen bei Nichteinhaltung der Datenschutzgesetze machen aktives Handeln erforderlich. Doch lassen Sie es gar nicht so weit kommen. Bauen Sie die richtigen Strukturen gleich von Beginn an auf und prüfen Sie regelmäßig, ob Ihre Maßnahmen noch auf dem aktuellen Stand sind.
Datenschutz für große Unternehmen: Darauf sollten Sie achten
Wenn es um den Schutz personenbezogener Daten geht, gibt es in Unternehmen zahlreiche Fälle, in denen die DSGVO berücksichtigt werden muss. Im Folgenden fassen wir die fünf wichtigsten Bereiche zusammen und geben Ihnen Tipps, wie Sie die ersten Schritte meistern:
Websites & Onlineshops absichern
Eine Website oder sogar einen Onlineshop für den Verkauf von Produkten hat in der heutigen digitalen Zeit so gut wie jedes Unternehmen. Der datenschutzrechtliche Kontext für den Online-Auftritt von Unternehmen ändert sich allerdings nahezu fortlaufend. Welche Rolle für Sie auch immer Ihre eigene Website spielt: Die datenschutzrechtlichen Vorgaben erfordern in jedem Fall einen verantwortungsbewussten Umgang mit den Daten Ihrer Website-Besucher.
Erste Schritte: Machen Sie sich ein Bild darüber, welche Verarbeitungen von personenbezogenen Daten auf Ihrer Website ablaufen und welche Partner ebenso über Ihre Website-Daten verfügen können, wie zum Beispiel Ihr Hosting-Anbieter. Statten Sie Ihre Website mit einer aktualisierten Datenschutzerklärung aus, die über die Verwendung der Daten Auskunft gibt und binden Sie einen Cookie-Banner ein.
Dokumentationspflichten: Ja oder nein?
Dokumentationspflichten beinhalten das Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Die DSGVO definiert in Art. 30 (5) eine Ausnahme für Unternehmen mit Beschäftigten unter 250 Mitarbeiter, wenn personenbezogene Daten nur gelegentlich verarbeitet werden. Für Großunternehmen spielt diese Ausnahme also keine Rolle.
Erste Schritte: Werden Sie sich darüber im Klaren, welche Daten in Ihrem Unternehmen zu Ihren Mitarbeitern und Kunden erfasst werden. Dokumentieren Sie alle Prozesse und schaffen Sie Transparenz. Wenn diese noch nicht den aktuellen gesetzlichen Vorgaben entspricht, dann optimieren Sie die Art der Datenverarbeitung und planen Sie mitunter prozessuale und technische Änderungen in Ihrer Infrastruktur ein.
Auftragsverarbeitungsverträge mit Ihren Partnern schließen
Innerhalb der vorherigen zwei Punkte haben wir bereits die Zusammenarbeit mit Ihren Partnern und Dienstleistern angesprochen. Sofern diese mit personenbezogenen Daten aus Ihrem Unternehmen in Ihrem Auftrag arbeiten, wird ein sogenannter AV-Vertrag, also ein Auftragsverarbeitungsvertrag relevant. Dieser enthält unter anderem Anweisungen zur Datenverarbeitung und -speicherung und klärt auch Haftungsfragen bei möglichen Datenschutzverstößen.
Erste Schritte: Listen Sie alle Schnittstellen zu Ihren Partnern und Dienstleistern auf. Werden Sie sich über den Datenaustausch beziehungsweise die Beauftragung der Datenverarbeitung bewusst. Verfassen Sie anschließend mit jedem Auftragsverarbeiter einen datenschutzkonformen AV-Vertrag. Das erscheint vor allem bei Konzernen und Großunternehmen mit einer Vielzahl an Partnern und Dienstleistern wie eine Mammutaufgabe, schützt Sie aber letztendlich vor Datenschutzvergehen. Mithilfe einer Software kann das Erstellen von AV-Verträgen automatisiert gelöst werden.
Datenschutzbeauftragten bestellen
Ein Datenschutzbeauftragter überwacht unabhängig die Einhaltung der Vorgaben zum Schutz personenbezogener Daten. Die Frage, ob ein Datenschutzbeauftragter gebraucht wird oder nicht, stellt sich nur für kleine Unternehmen. Ab einer Unternehmensgröße von mindestens 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, lautet die Antwort „Ja“. Das heißt also, dass ein Datenschutzbeauftragter in einem Großunternehmen in aller Regel erforderlich ist.
Besonders in Großunternehmen bietet es sich an, entweder einen externen Datenschutzbeauftragten zu beschäftigen oder das Datenschutzmanagement mithilfe einer Software zu lösen. Oftmals führt die Komplexität dazu, dass das Thema intern nicht ausreichend gelöst werden kann und langfristig vor allem Ressourcen frisst.
Datenschutzrechtliche Schulungen für Ihre Mitarbeiter
So gut wie jeder in Ihrem Unternehmen kommt mit personenbezogenen Daten in Berührung oder ist Teil der gesamten Prozesslandschaft. Aus dem Grund ist es unerlässlich, aktuelles Wissen verfügbar zu machen, sodass jeder einen positiven Beitrag zur Einhaltung der gesetzlichen Regelungen leisten kann. Art. 32 DSGVO fordert sogar indirekt dazu auf: Um die Sicherheit der Datenverarbeitung zu gewährleisten, ist die Umsetzung von technischen und organisatorischen Maßnahmen erforderlich. Ohne eine Weiterbildung auf dem Gebiet sind diese Anforderungen kaum zu erfüllen.
Erste Schritte: Planen Sie eine Schulung für Ihre Mitarbeiter zum Thema „Basiswissen im Datenschutz“ ein. Statt diesen Termin einfach hinter sich zu bringen, fragen Sie sich, wie Sie in dem Seminar Begeisterung entfachen können. So motivieren Sie Ihr Team, gemeinsam hinter den Maßnahmen zu stehen und für das Gelingen in Ihrem Unternehmen beizutragen.
Jetzt kennen Sie die fünf Eckpfeiler, wie Sie Ihr Unternehmen datenschutzkonform gestalten. Im Idealfall können Sie Datenschutz mithilfe von einer Software im Unternehmen in Angriff nehmen. Das ist nicht nur im digitalen Zeitalter unumgänglich, sondern sorgt auch für einen klaren Wettbewerbsvorteil gegenüber der Konkurrenz. So lässt sich Datenschutz schnell, einfach und vor allem rechtssicher lösen.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 19.04.2022