DSGVO und Datenschutzorganisation – Sicherheit der Verarbeitung

Lesezeit: ca. 2 Minuten

Wenn die Informationspflichten im Rahmen des Projekts „DS-GVO für Spätstarter“ ausreichend umgesetzt wurden, sollte kurzfristig eine Datenschutzorganisation eingerichtet werden. Nach unserer Erfahrung kann dies nicht „nebenbei“ von jemandem mit erledigt werden, sondern es sind bestimmte organisatorische Rahmenbedingungen zu schaffen.

Die Mitarbeiterinnen und Mitarbeiter, die sich um das Thema „Datenschutz“ kümmern sollen, brauchen ausreichende zeitliche und teilweise auch finanzielle Ressourcen, beispielsweise für Fortbildungen. Es ist die Entscheidung zu treffen, ob ein Datenschutzbeauftragter zu bestellen ist, und wenn ja, ob eine interne Lösung gesucht wird oder auch mit Blick auf die Haftungsrisiken ein externer Datenschutzbeauftragter bestellt werden soll.

Die datenschutzrechtlichen Pflichten, beispielsweise das Führen eines Verzeichnisses der Verarbeitungstätigkeit nach Art. 30 DS-GVO oder die Umsetzung der Anforderungen für die Sicherheit der Verarbeitung gem. Art. 32 DS-GVO, sind unabhängig von der Bestellung eines Datenschutzbeauftragten. Auch wenn der Schwellenwert für die Bestellung eines Datenschutzbeauftragten nicht überschritten wird, sind die entsprechenden gesetzlichen Anforderungen im Unternehmen oder in der Behörde anzuwenden.

Daher darf die Bestellung eines Datenschutzbeauftragten nicht darüber hinwegtäuschen, dass eine Datenschutzorganisation, sprich insbesondere eine Zuordnung von Zuständigkeiten und Aufgaben festgelegt werden muss.

Zuständigkeit IT-Sicherheit

Da die DS-GVO vielfältige Regelungen und Anforderungen an die IT-Sicherheit stellt, beispielsweise eine Erwartungshaltung der Verschlüsselung von personenbezogenen Daten deutlich im Gesetz formuliert, sind die Arbeitsbereiche und Verantwortlichkeiten des Datenschutzbeauftragten und des IT-Sicherheitsbeauftragten voneinander abzugrenzen und aufeinander abzustimmen.

Ein IT-Sicherheitsbeauftragter und der Datenschutzbeauftragte sollen Hand in Hand arbeiten und insbesondere die Anforderungen des Art. 32 DS-GVO umsetzen. Gerade mit Blick auf die Dokumentationspflichten in beiden Bereichen empfiehlt sich eine enge Verzahnung, um Doppelarbeiten und Reibungsverluste zu vermeiden.

Positionierung der Leitungsebene

Weiterhin ist eine deutliche Positionierung der Leitungsebene mit Blick auf den Datenschutz notwendig. Es sollte aus Sicht der jeweiligen Leitungsebenen deutlich gemacht werden, dass Datenschutz tatsächlich umzusetzen ist und die gesetzlichen Regelungen zu beachten sind.

Die Wahrnehmung von Mitarbeiterinnen und Mitarbeitern, dass eine Unternehmens- oder Behördenleitung kein Interesse an dem Thema „Datenschutz“ hat oder selber die datenschutzrechtlichen Anforderungen ignoriert, ist in Anbetracht der zuvor beschriebenen „Antreiber“ kein guter Weg.

Datenschutz und Risikomanagement

Der Bereich des Risikomanagements und interne Kontrollsysteme werden hinsichtlich der Risiken zukünftig das Thema „Datenschutz“ mehr im Fokus haben. In Anbetracht der Bußgeldbedrohungen ist ein Bußgeldrisiko im Unternehmen zu bewerten.

Wir erwarten darüber hinaus, dass in der Zukunft Rechnungshöfe, Wirtschaftsprüfer und auch die Banken zunehmend eine Dokumentation zum „Datenschutz“ fordern. Anhand der Dokumentationen lässt sich für Profis schnell erkennen, inwieweit ein Unternehmen die gesetzlichen Anforderungen ernst nimmt und darüber hinaus, wie es um das Thema „IT-Sicherheit“ steht.

Unternehmen und Behörden, die IT-Sicherheit nicht ernst nehmen, gefährden die eigene wirtschaftliche und organisatorische Basis. Dass Rechnungshöfe, Wirtschaftsprüfer und Banken dies zunehmend kritisch sehen, zeigt sich bei ersten Veröffentlichungen neuer Anforderungen an.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen