Der Name sagt es schon. Die einzelnen Aspekte der Datenschutz-Grundverordnung (DSGVO) erfordern ein übergreifendes organisatorisches Ganzes: ein Datenschutz-Managementsystem. Management, das sind aufeinander logisch abgestimmte Handlungen, die Gesetzen und wirtschaftlichen Anforderungen entsprechen und dazu dienen, eine Organisation oder eine Organisationseinheit zu führen. Und ein System ist (nach ISO/IEC 9000) ein „Satz zusammenhängender und sich gegenseitig beeinflussender Elemente“. Ein Managementsystem ist also geeignet, notwendige Handlungen mit entsprechenden Ressourcen und Instrumenten in Einklang zu bringen, um die Zielsetzung (hier: Datenschutz auf hohem Qualitätsstandard) nachhaltig zu gewährleisten. Leider zeigt es sich, dass die Nachhaltigkeit in den wenigsten Organisationen wirklich gut funktioniert.
Wie setzt man ein nachhaltiges Datenschutz-Managementsystem auf?
Eine Vielzahl von notwendigen, gut aufeinander abgestimmten Schritten ist notwendig, um ein effektives Datenschutz-Managementsystem zu erhalten. Es genügt leider nicht, ein Verarbeitungsverzeichnis zu erstellen und ein paar Dinge in die Datenschutzerklärung zu schreiben. Spätestens bei einer Überprüfung, die ein Verantwortlicher bei Ihnen nach Art 28 der Datenschutz-Grundverordnung (DSGVO) durchführen will, treten die Defizite zutage. Oder wenn es darum geht, ein Betroffenenbegehren gesetzeskonform umzusetzen. Meistens ist es da aber schon zu spät, um adäquat zu reagieren. Kundenverluste und sogar Strafverfahren durch die Datenschutzbehörde sind möglich.
Gerne unterstützen wir Sie bei der Etablierung eines effektiven Datenschutzmanagement-Systems, wenn gewünscht auch bei einer Zertifizierung nach ISO/IEC 27701 (wobei für die Zertifizierung eine spätestens zugleich stattfindende Zertifizierung nach ISO/IEC 27001 erforderlich ist).
Weitere Themen in diesem Zusammenhang sind (um nur einige zu nennen): Verarbeitungsverzeichnis, Datenschutzfolgeabschätzung, Benachrichtigungspflicht an die Datenschutzbehörde, Erfüllung der Rechte Betroffener u.v.a.m.
Datenschutz-Management und ISMS – Was ist zertifizierbar?
Wenn man ein zertifiziertes ISMS nach ISO/IEC 27001 betreibt und im Zuge dessen schon sehr viele Datenschutzaspekte berücksichtigt hat, stellt sich die Frage, ob der Anwendungsbereich so gewählt ist, dass er auch wirklich alle betrieblichen Prozesse und Verfahren enthält, in denen personenbezogene Daten verarbeitet werden. Hier ergibt sich das Konfliktfeld, dass der Datenschutz für ALLE Verarbeitungen personenbezogener Daten im gesamten Unternehmen gewährleistet werden muss, während der üblicherweise geringere Fokus auf den Scope des ISMS für ein Datenschutz-Managementsystem (DSMS) in der Regel nicht ausreichend ist. Trotzdem ist es für nach ISO/IEC 27001 zertifizierte Unternehmen überlegenswert, dieses Zertifikat um den Nachweis der Erfüllung der ISO/IEC 27701-Norm (Privacy Information Management) zu ergänzen, heißt aufzuwerten. Eine Zertifizierung nach ISO/IEC 27201 ohne die gleichzeitig aufrecht bestehende Zertifizierung nach ISO/IEC 27001 ist nicht möglich.
Ein Großteil aller Firmen-Websites ist nicht DSGVO-konform
Natürlich kann man hoffen, dass nichts passieren wird, aber wenn doch, kann es sehr teuer werden. Und dabei ist es nicht einmal die Strafzahlung, die beim ersten Mal vielleicht milde ausfällt. Es genügt oft schon der Reputationsverlust, um Schaden zu erleiden.
Die Datenschutz-Grundverordnung (DSGVO) verlangt die strenge Einhaltung von Datenschutzvorschriften und sie sieht bei wiederholten Verstößen sehr hohe Strafen vor. Die logische Konsequenz ist, dass das Personal entsprechend geschult werden muss, um fahrlässige oder irrtümliche Verletzungen der Verordnung zu verhindern. In der DSGVO wird die Schulung der Mitarbeiter*innen als – selbstverständlich auch an Dritte delegierbare – Aufgabe der jeweiligen Datenschutzbeauftragten genannt. Betriebe, die keine/n Datenschutzbeauftragte/n bestellt haben, werden nicht erwähnt. Trotzdem sind auch in diesen Betrieben Schulungen wichtig.
Wir schließen die Schulungslücke – indem wir die Menschen "abholen"
Egal, ob Sie eine/n Datenschutzbeauftragte/n benannt haben oder nicht. Wir schließen die Schulungslücke für Sie und schulen Ihr Personal zum Thema Datenschutz, aber nicht mit der Vermittlung von Paragraphenwissen, sondern anhand griffiger Beispiele und mit Rücksicht darauf, wo man die Menschen „abholt“. Es ist ein Unterschied, ob jemand im Personalbüro arbeitet oder an der Drehbank steht. Entsprechend der jeweiligen Zielgruppe sind die Schulungsinhalte aufgebaut.
Unsere wirksamen Methoden, Datenschutzwissen zu vermitteln
Nach wie vor ist der Vortragsstil das Mittel der Wahl, um möglichst vielen Menschen kostengünstig Wissen zu vermitteln. Doch immer mehr greifen auch andere Methoden, wie Workshops, bei denen die Teilnehmer*innen mitarbeiten – unabhängig davon ob mit persönlicher Anwesenheit oder online. Die Folge ist, dass die Lerninhalte wesentlich mehr im Gedächtnis erhalten bleiben und der Effekt – höhere Awareness im Umgang mit personenbezogenen Daten – umso besser erzielt werden kann. Als ergänzende Maßnahmen haben sich E-Learning-Modelle etabliert, deren Inhalte wir genauso zielgruppengerecht aufbereiten.
Es gibt verschiedene Arten von Datenschutz-Audits:
durch die/den eigenen Datenschutzbeauftragten
interne Datenschutz-Audits
externe Datenschutz-Audits, um ein Zertifikat zu erlangen
Datenschutz-Audits bei Auftragsverarbeitern
Vorort-Prüfungen durch die Datenschutzbehörde
Überwachung durch Datenschutzbeauftragte
In Artikel 39 der Datenschutz-Grundverordnung (DSGVO) ist als eine der Aufgaben von Datenschutzbeauftragten beschrieben, dass diese für die „Überwachung der Einhaltung dieser Verordnung“ bei der/dem Verantwortlichen und beim Personal (also bei ihrem Dienstgeber oder Auftraggeber) sowie bei den Auftragsverarbeitern zuständig sind.
Oft kommt es dabei zu einem Interessenskonflikt, wenn die Datenschutzbeauftragten, was häufig der Fall ist, auch selbst das Verarbeitungsverzeichnis führen, Datenschutzfolgeabschätzungen erstellen, Datenschutzerklärungen und Verträge formulieren usw.; alles Teil der Einhaltung der DSGVO. Aber wer kann sich schon selbst mit einem ernst zu nehmenden Ergebnis prüfen?
Es gibt zwei Alternativen: Entweder nimmt die/der Datenschutzbeauftragte die Erstellung der Unterlagen, die von ihr/ihm im Rahmen der Aufgaben geprüft werden sollen, nicht selbst vor, oder man delegiert die Überprüfung.
Interne Datenschutz-Audits
Interne Datenschutz-Audits sind teilweise oder umfassende Überprüfungen mit dem Ziel, das eigene Datenschutzniveau zu überprüfen. Idealerweise wird diese Überprüfung nicht vom eigenen Personal durchgeführt, das sich damit quasi selbst prüfen würde, sondern betraut mit dieser Qualitätskontrolle externe Fachleute.
Externe Datenschutz-Audits, um ein Zertifikat zu erlangen
Um ein Zertifikat nach ISO/IEC 27701 (Sicherheitstechniken in Erweiterung zu einer bestehenden Zertifizierung nach ISO/IEC 27001) für ein Privacy Information Management System zu erhalten, muss ein Audit durch Auditor*innen von akkreditierten Zertifizierungsagenturen erfolgreich absolviert werden.
Die Hauptarbeit muss aber davor erledigt werden. Selbst wenn man – wie die Praxis zeigt – seit Jahren nach ISO/IEC 27001 zertifiziert ist, ist es noch ein Stück Arbeit, sich auch für ISO 27701 zu qualifizieren.
Wer könnte Ihnen dabei besser helfen, als ein Beratungsunternehmen, das eines der ersten österreichischen Unternehmen auf diesem Weg bereits erfolgreich begleitet hat: die CSD Unternehmensberatung.
Walter F., Datenschutzbeauftragter eines Unternehmens mit 100 Mitarbeiter*innen ist verzweifelt:
„Die Tätigkeit als Datenschutzbeauftragter übe ich nur stundenweise neben dem Hauptberuf aus, mehr ist normalerweise bei uns im Betrieb auch nicht zu tun. Die Fälle, mit denen ich immer wieder konfrontiert bin, unterscheiden sich aber inhaltlich nicht von jenen, die meine, ausschließlich als Datenschutzbeauftragte, tätigen Kolleg*innen in viel größeren Betrieben haben. Mir fehlt aber einerseits die Erfahrung und andererseits meist auch die Zeit zur intensiven, allgemeinen Fortbildung. Es wäre schön, einen Coach an der Seite zu haben, der mich bei kniffeligen Fällen mit seiner Erfahrung und seiner Expertise etwas unterstützt. Gibt es so ein Angebot am Markt überhaupt?“
Ja, wir bieten diese fachliche Coaching-Funktion; bei Zusicherung voller Vertraulichkeit, versteht sich. Aus der Tätigkeit als externer Datenschutzbeauftragter, eingebunden in ein großes Netzwerk aus anderen Datenschutzbeauftragten, Jurist*innen und weiteren Spezialist*innen kann Hilfe geboten werden.
Wir coachen Ihre/n Datenschutzbeauftragte/n
Der Zugang zu aktuellen Informationen ist ein absolutes Muss für Datenschutzbeauftragte, weil sich die Materie selbst, aber auch die Spruchpraxis der Datenschutzbehörden und Gerichte ständig entwickeln. Was liegt näher, als diese Kenntnisse, aber vor allem auch das Wissen aus den eigenen Erfahrungen auch Ihren Mitarbeiter*innen bedarfsgerecht zu vermitteln.
