Datenschutz

Datenschutz schafft Vertrauen und Werte. Mit einem ganzheitlichen Datenschutzkonzept erhalten Sie Transparenz und Kontrolle über die Datenflüsse in Ihrem Unternehmen. Schützen Sie die Daten Ihrer Kunden, Lieferanten und Mitarbeiter und verschaffen Sie sich dadurch einen entscheidenden Wettbewerbsvorteil. Wir zeigen Ihnen wie!



Interview

Der Datenschutzbeauftragte als wichtigstes Instrument auf dem Weg zum Unternehmen von morgen

Ein Experteninterview über die Auswirkungen der neuen Datenschutz Regeln

Spätestens seitdem die Datenschutz-Grundverordnung der Europäischen Union in Kraft getreten ist, steht das Thema Datenschutz weit oben auf der Agenda jedes Unternehmens.

Im Experteninterview mit Rainer Seidlitz, Internationaler Produktmanager für Datenschutz und Cybersecurity der TÜV SÜD Akademie, erfahren wir, wie sich Firmen verschiedener Größen auf die Änderungen einstellen, welche Fallstricke existieren und welchen Nutzen Datenschutz für Unternehmen bringen kann.

Herr Seidlitz, kein Thema ist derzeit in den Medien präsenter als der Datenschutz. Warum genau ist es jetzt so wichtig, als Unternehmen up-to-date zu sein?

Tatsächlich hat die Einführung der Datenschutz-Grundverordnung dem Thema eine bislang ungekannte Aufmerksamkeit gegeben. Nicht nur Firmen, sondern vor allem auch Privatleute sind betroffen und diese werden von unzähligen Anbietern um Zustimmung zur Erhebung und Verarbeitung persönlicher Daten gebeten, um die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Die Umtriebigkeit hängt nicht zuletzt damit zusammen, dass Firmen die erheblichen Bußgelder fürchten, die bei Datenschutzverstößen erhoben werden können.

Die zunehmende Präsenz des Themas steigert auch das Bewusstsein der Betroffenen, umfassend über Datenverarbeitungsvorgänge informiert zu werden und das ist auch deren gutes Recht. Unternehmen müssen daher proaktiv bei der Datenerhebung und auf Nachfrage auch danach informieren. Mit Wegfall des Erhebungszweckes müssen Daten gelöscht oder, wo das nicht möglich ist, der Zugriff gesperrt werden.

Diese Aspekte bedeuten für alle Firmen, dass dem Datenschutz ein neuer Stellenwert eingeräumt werden muss.

Können Firmen aus den damit verbundenen Investitionen auch einen positiven Nutzen ziehen?

Die Aufwände für eine Umsetzung der Datenschutz-Grundverordnung und der weiteren gesetzlichen Bestimmungen, zum Beispiel aus dem novellierten Bundesdatenschutzgesetz, sind für die Unternehmen nicht unerheblich.

Nicht zuletzt vor diesem Hintergrund sollte man die Potenziale eines guten Datenschutzes im Unternehmen voll nutzen und diesen als unabdingbares Qualitätsmerkmal gegenüber den Kunden etablieren und zur Vertrauensbildung nutzen. Der Datenschutz wirkt dabei tief in die Unternehmensprozesse, zum Beispiel wenn bereits in der Produktentwicklung auf die Privatsphäre geachtet wird um den sogenannten Privacy by Design Prinzip gerecht zu werden und erzeugt eine bislang kaum bekannte Transparenz der Datenerhebung, Verarbeitung bis hin zur Löschung.

 

Die DSGVO ist seit dem 25. Mai 2018 wirksam. Haben alle Firmen schon umgestellt?

Wir haben in zahlreichen Gesprächen und Projekten festgestellt, dass es viele Unternehmen gibt, die sich bis zum Stichtag nicht oder kaum mit der DSGVO auseinandergesetzt haben. Häufig herrscht Unkenntnis und oft wurden und werden die neuen Regularien und der damit einhergehende Anpassungsaufwand schlicht unterschätzt.

 

Bei welchen Aspekten sehen Sie den größten Nachholbedarf?

Primäre Grundlage der Datenverarbeitung ist deren Rechtsmäßigkeit. Häufig ist diese im Rahmen der Erfüllung eines Vertrages gegeben oder die betroffene Person stimmt der Datenverarbeitung für einen oder mehrere Zwecke zu. Ob diese oder andere Bedingungen der rechtmäßigen Datenverarbeitung erfüllt sind, ist in der Praxis oft nicht so einfach zu prüfen oder im Bedarfsfall zu bewerkstelligen. 

Eine weitere Thematik ist die Gewährleistung der Transparenz der Datenverarbeitungsprozesse im Unternehmen. Verantwortliche haben die Aufgabe, ein Verzeichnis aller Verarbeitungstätigkeiten in ihrem Zuständigkeitsbereich zu erstellen und aktuell zu halten. Unter anderem sind dort die Zwecke der Verarbeitung, die Kategorien personenbezogener Daten, mögliche Empfänger sowie Firsten zur Löschung, anzugeben.

Letztendlich besteht auch eine Herausforderung darin, im Zuge der Transparenzpflichten die Rechte der Betroffenen der Datenverarbeitung korrekt umzusetzen. Für Firmen, bei denen sich regelmäßig mehr als 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigen, ist die Benennung eines Datenschutzbeauftragten Pflicht. Er ist ein wichtiges Instrument des Unternehmens und unterstützt den Verantwortlichen und die Beschäftigten dabei, Ihren Pflichten in Sachen Datenschutz nachzukommen

 

Wie bestimmt man den Datenschutzbeauftragten?

Wichtige Basis für diese Tätigkeit sind die berufliche Qualifikation, insbesondere das Fachwissen in Bezug auf das Datenschutzrecht und Praxiserfahrung im Datenschutz.

Unternehmen können diese Position an einen externen Experten vergeben oder aber einen Mitarbeiter im Unternehmen benennen. Mit gezielten Kursen können Mitarbeiter mit fehlendem Fachwissen ausgestattet und auf die Aufgabe vorbereitet werden.

 

Was glauben Sie, ist der wichtigste Erfolgsfaktor für Unternehmen, um sich in Sachen Datenschutz erfolgreich aufzustellen?

Die wichtigste Basis für einen erfolgreichen Datenschutz ist meines Erachtens eine umfassende Unterrichtung und Beratung des Verantwortlichen sowie seiner Beschäftigten. Alle weiteren Aktivitäten gründen sich damit auf ein solides fachliches und praxistaugliches Wissen. Das kann man auf verschiedenen Wegen erreichen, zum Beispiel durch den internen oder externen Datenschutzbeauftragten, der die entsprechenden Hintergründe vermittelt. Aber auch extern oder intern durchgeführte Trainings durch qualitativ hochwertige Weiterbildungsanbieter können einen wesentlichen Anteil dazu bieten.

An wen wenden sich die Weiterbildungsangebote zum Thema Datenschutz der TÜV SÜD Akademie?

Diese richten sich an alle Personen, bei deren Aufgabenerfüllung der Datenschutz eine besondere Rolle spielt, allen voran an Datenschutzbeauftragte und solche, die es werden wollen. Wir bieten auch Trainings an, die speziell die Neuerungen der Datenschutz-Grundverordnung und Praxislösungen zu ihrer Umsetzung betrachten

Eine wirkungsvolle Datenschutzorganisation muss einer ständigen Überprüfung und Verbesserung unterliegen. Daher haben wir auch einen Kurs zum Datenschutzauditor entwickelt, in dem Audits als ein effektives Instrument kennengelernt werden, mit dem Kunden- und Behördenanforderungen sicher erfüllt werden können und sich der Bereich Datenschutz kontinuierlich verbessern lässt.

 

Die DSGVO gilt nicht nur für die EU, sondern auch für die Verarbeitung personenbezogener Daten von Personen in der EU, die jedoch durch Stellen außerhalb der EU verarbeitet werden. Das klingt nach sehr komplizierten Vorgängen. Wie können insbesondere internationale Unternehmen hier den Überblick behalten?

Die Übermittlung personenbezogener Daten in Drittländer ist für den internationalen Handel und für die internationale Zusammenarbeit oft unerlässlich. Für die Übermittlung personenbezogener Daten in Drittländer gibt die Datenschutzgrundverordnung daher verschiedene Bedingungen und Bestimmungen vor, die einzuhalten sind. Welche Instrumentarien im konkreten Fall anzuwenden und praktikabel sind, ist im Einzelfall unter Einbindung des Datenschutzbeauftragten, oft auch unter Hinzuziehung externer Experten zu prüfen.

 Sind Sie fit für Ihre Aufgabe als Datenschutzbeauftragter? Ergänzen Sie Ihr Wissen und eröffnen Sie Ihrem Unternehmen neue Möglichkeiten mit den Datenschutz Fortbildungen der TÜV SÜD Akademie.

Jetzt informieren!


Insights

Datenschutzmanagement

In fünf Schritten zum erfolgreichen Datenschutzmanagement

Wie setzt man die Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO) am besten um? Und wie passt man die bereits vorhandenen Datenschutz-Strukturen im Unternehmen an die neuen Regularien an und entwickelt diese weiter? Fragen, die sich Unternehmen auch Monate nach Inkrafttreten der DSGVO immer noch stellen. Fakt ist: Ab einer Unternehmensgröße von mehr als zehn Mitarbeitern, die regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, muss ein Datenschutzbeauftragter bestellt werden. Intern oder extern.

 

Doch diese Position ist nur der erste Schritt für ein gutes Datenschutzmanagement. Welche weiteren Schritte noch nötig sind, haben wir in unserem Datenschutz-Masterplan zusammengefasst:

Projektverantwortliche bestimmen

Grundsätzlich gilt: Die Datenschutz-Verantwortung trägt laut der DSGVO die Unternehmensleitung. Gerade für die erste Einführung der DSGVO empfiehlt es sich dafür, ein Projekt aufzusetzen und dieses mit den notwendigen Ressourcen auszustatten. Dazu gehört allen voran ein Projektleiter, das kann der Datenschutzbeauftragte sein, ist oft aber auch eine weitere Person, in manchen Fällen wird auch auf externe Berater zurückgegriffen und große Organisationen bestimmen oftmals Datenschutz-Koordinatoren für bestimmte Unternehmens- oder Fachbereiche.

 Eine wichtige Rolle im Projekt spielen die für einzelne Datenverarbeitungsprozesse fachlich verantwortlichen Personen. Häufig müssen diese zunächst erst mal identifiziert bzw. bestimmt werden. Nicht selten gibt es zusätzlich auch Applikationsverantwortliche, die den Betrieb und die Entwicklung der zugrundeliegenden EDV-Systeme aus technischer Sicht begleiten.

 

Ist-Zustand und Gap-Analyse:

Zuerst müssen die bestehenden Datenerhebungs- und Verarbeitungsprozesse, aber auch Dokumente und Verträge, im Hinblick auf DSGVO-Konformität untersucht werden. In diesem Zuge sind zahlreiche Fragen zu beantworten; hier sind einige Beispiele dafür: Besteht für die jeweilige Datenverarbeitung eine rechtmäßige Grundlage? Sind die Datenschutzhinweise an Kunden aktuell? Wo müssen Einwilligungen eingeholt werden? Wie werden Betroffene über die Datenverarbeitung informiert und wie werden deren Rechte, z.B. auf Auskunft und Löschung umgesetzt? Gibt es entsprechende Richtlinien und Prozesse im Unternehmen, die dies gewährleisten können? Und wie sieht es mit Verpflichtungserklärungen für Mitarbeiter im Unternehmen aus? Wie mit der Verarbeitung von personenbezogenen Daten im Auftrag durch Dritte?

Um das alles herauszufinden, dient eineEine Gap-Analyse dient dazu, das alles herauszufinden: Vorhandene Informationen werden erhoben sowie auf Vollständigkeit und Korrektheit geprüft. Wo Lücken, Fehler oder Unklarheiten auftauchen, wird ein Maßnahmenplan für die weitere Umsetzung erstellt.

 

Datenschutz-Roadmap

Die in der Analyse beschlossenen Schritte werden als nächstes in eine Struktur gebracht. Eine Roadmap, die genau besagt, bis wann und mit welcher Priorität Ergänzungen oder Aktualisierungen durchgeführt werden müssen sowie wer für die Umsetzung verantwortlich ist und wie diese nachgehalten wird.

 

Bewusstsein schaffen

Mit der Einführung neuer Datenschutzbestimmungen kommen auf Ihre Mitarbeiter viele Änderungen im täglichen Geschäft zu. Umso wichtiger ist es also, Bewusstsein im Unternehmen für das Thema zu schaffen: von der Geschäftsführung bis hin zu den Mitarbeitern. Regelmäßige Trainings, zum Beispiel durch E-Learnings, sind deshalb sehr wertvoll. Für Abteilungen, die besonders datenintensiv sind, wie der Vertrieb, die Personalabteilung oder das Marketing, bieten sich spezielle Workshops an.

 

Plan, Do, Check, Act

Für ein dauerhaft hohes Datenschutzniveau sollte eine Management-Prozess aufgesetzt werden. In der Plan-Phase werden z. B. die Ziele sowie der Anwendungsbereich des Datenschutz-Managements bestimmt, sowie die mit der Datenverarbeitung verbundenen Risiken ermittelt und bewertet. In der Do-Phase werden z. B. die erforderlichen Dokumente erstellt, Prozesse aufgesetzt sowie Mitarbeiter geschult. Check deutet an, dass regelmäßige Audits und Überprüfungen vollzogen werden, um zu bewerten, ob die Umsetzung des Datenschutzmanagements planmäßig erfolgt. Ist das nicht der Fall, muss in der Act-Phase gegengesteuert und gehandelt werden und der Kreislauf beginnt von Neuem

 

Wenn Sie mehr Einblick bekommen wollen, wie auch Sie Ihr Datenschutzm-Management professionell organisieren können, sind unsere Fortbildungen zum Thema sicher das Richtige für Sie: Ob eine Ausbildung zum Datenschutzbeauftragten oder Datenschutz-Seminare für Fachbereiche wie Marketing oder Gesundheitswesen.

Jetzt informieren!


Insights

“Wir müssen Datenschutz als Prozess wahrnehmen, nicht als Zustand!”

Ein Tag an der Seite einer Datenschutzbeauftragten

Seit Datenschutzbeauftragte in Unternehmen Pflicht sind, in denen zehn Personen oder mehr regelmäßig mit personenbezogenen Daten arbeiten, sind einschlägige Fortbildungen gefragt wie nie zuvor. Um die erforderlichen Fachkenntnisse aus den eigenen Reihen aufzubauen, entscheiden sich immer mehr Arbeitgeber, ihre Mitarbeiter im Bereich Datenschutz aus- und weiterbilden zu lassen.

Doch wie sehen die Aufgaben einer Datenschutzbeauftragten nach der Ausbildung aus? Um diese Frage zu beantworten, haben wir von der TÜV SÜD Akademie einen Tag an der Seite von Andrea Münsinger verbracht. Die 40-jährige Mutter und Wirtschaftsinformatikerin, die bei einem Finanzdienstleister als IT-Prozessmanagerin arbeitet, wurde von der Geschäftsleitung kürzlich zur Datenschutzbeauftragen bestellt. Um das nötige fachliche Rüstzeug zu erhalten, hat sie das Intensivseminar bei der TÜV SÜD Akademie besucht und steht jetzt im Unternehmen vor der Herausforderung, ihre neue Rolle einzunehmen.

6:00 Uhr

Der Tag von Andrea beginnt früh, denn auch abseits des Unternehmens ist ihre Leidenschaft, die anstehenden Aufgaben nicht auf den letzten Drücker sondern geplant und womöglich mit Vorlauf in Angriff zu nehmen. Da sie neben der Arbeit auch viel Wert auf Zeit mit ihrer Familie legt, deckt sie jeden Morgen, bevor ihre acht Jahre alte Tochter in die Schule geht, den Frühstückstisch und nimmt sich die Zeit, gemeinsam in den Tag zu starten. 

8:00 Uhr

Den morgendlichen Stau auf dem Weg zur Arbeit hat Andrea einkalkuliert und sitzt dennoch bereits um acht Uhr am Arbeitsplatz. Mit einem frischen Kaffee neben der Tastatur lässt sich gut in den Arbeitstag starten.

Andreas vorrangiges Ziel ist der Aufbau einer Datenschutzorganisation, zusammen mit den Fachbereichen. Sie beginnt dabei nicht „bei null“, sondern kann auf die Vorarbeiten des vormals externen Datenschutzbeauftragten zurückgreifen. Viele der vorhandenen Unterlagen und Prozesse sind jedoch veraltet und müssen daher angepasst werden.

Dreh- und Angelpunkt des Datenschutzes sind die mit der Datenverarbeitung einhergehenden Verfahren. Daher ist Andrea dabei, ein Verfahren nach dem anderen zusammen mit den betroffenen Fachbereichen zu sichten, wo notwendig die erforderliche Dokumentation anzupassen und sie auf Konformität zu den Datenschutzbestimmungen zu überprüfen.

Heute Morgen hat sie einen Termin mit dem Abteilungsleiter für den Kundenservice, Herrn Maierhofer, zu dem sie nun mit der vorliegenden Verfahrensbeschreibung auf ihrem Notebook und einer neuen Vorlage aufbricht, um den Prozess gemeinsam durchzusprechen und die Dokumentation anzupassen.

Beim Gespräch fällt Andrea schnell auf, dass in der Abteilung kein geregelter Prozess zur Handhabung von Auskunftsanfragen von Kunden bezüglich der von ihnen gespeicherten Daten definiert ist, und sie vereinbart mit Herrn Maierhofer einen Folgetermin, um zu besprechen, wie die künftige Handhabung dazu aussehen soll. Zu diesem Termin lädt sie auch eine Kollegin aus der IT-Abteilung ein, die die technische Verantwortung für das unternehmensweite CRM-System trägt.

10:30 Uhr

Heute hat Andrea auch eine Mitarbeiterschulung geplant. “Guter Datenschutz kann nur funktionieren, wenn ein Bewusstsein auf allen Ebenen des Unternehmens geschaffen wird”, verrät Andrea uns. Und dafür sorgt sie und versucht das Thema für ihre Kollegen durch Praxisbeispiele möglichst lebendig zu gestalten und eine motivierende Betroffenheit zu schaffen. 12 Kolleginnen und Kollegen aus der Marketingabteilung sind heute dran und schnell kommt es zu Fragen und einer Diskussion darüber, ob die aktuellen Vermarktungsmaßnahmen wirklich rechtens sind. Auch in diesem Bereich plant Andrea ein Follow-up um die Marketingprozesse genauer auf Datenschutzbelange zu untersuchen und belastbare Antworten auf die Fragen zu finden.  

12:30 Uhr

Die Mittagspausen in der Kantine genießt Andrea, da sie sich dort mit Kollegen aus allen Abteilungen austauschen kann. Als Datenschützerin agiert sie in hohem Maße selbstständig im Unternehmen, ist deshalb besonders darauf angewiesen, gute Beziehungen zu den Kolleginnen und Kollegen zu haben. Um bei den vielen Fragen zum Datenschutz die wirklich relevanten Informationen zu erhalten, ist eine Menge Feingefühl und Vertrauen notwendig. Schließlich haben ihre Gesprächspartner nicht selten die Sorge, dass sie in Sachen Datenschutz vielleicht etwas falsch machen könnten. Da hilft es manchmal, einen guten Datenschutz als Prozess zu vermitteln und nicht als finalen Zustand, um Druck von den Kollegen zu nehmen. 

13:30 Uhr

Nach der Mittagspause trifft sich Andrea mit der Geschäftsführung, die über den Stand der Tätigkeiten von Andrea informiert werden möchte. Dazu hat sie eine kurze Power-Point-Präsentation vorbereitet, die den Stand der aktuellen Aktivitäten aufzeigt sowie eine To-Do-Liste, in der viele offene Fragen sind, zu denen Entscheidungen getroffen werden müssen. Diese Liste beinhaltet auch den Vorschlag, eine Software als Unterstützung für Andreas Tätigkeit in Sachen Datenschutzmanagement einzuführen. Die Geschäftsführung ist dafür aufgeschlossen und bittet Andrea eine Aufstellung von in Frage kommenden Anbietern unter Angabe der Funktionalitäten und Kosten anzufertigen und diese vor der erneuten Präsentation mit der EDV-Abteilung zu besprechen, um auch deren Meinung einzuholen.

Die Einführung der neuen Software bedeutet jedenfalls eine deutliche Investition. Andrea ist aber überzeugt, dass sie der Firma helfen wird, da der Kunde zunehmend Datenschutz als wichtiges Qualitätsmerkmal auffasst.

16.30 Uhr

Auf dem Heimweg holt Andrea ihre Tochter von der Schule ab. Feierabend hat Andrea aber noch nicht. Sie hat bereits eine nächste Ausbildung geplant: Sie möchte noch lernen, Überprüfungen zum Datenschutz und die häufig damit verbundenen persönlichen Gespräche noch professioneller vornehmen zu können und daher strebt sie die Ausbildung als Datenschutzauditorin an. “Dass ich nach der Datenschutzbeauftragten-Fortbildung noch das Zusatzwissen im Bereich Audit erwerben wollte, hat sich recht schnell aus meinen Erfahrungen im Arbeitsalltag ergeben”, sagt Andrea. Denn manchmal fehlten ihr laut eigener Einschätzung in kniffligen Gesprächen die nötigen didaktischen Fähigkeiten, um den Kolleginnen und Kollegen die nötigen Informationen zu entlocken. Zu Hause angekommen sucht Andrea daher nach entsprechenden Kursangeboten und wird auf der Seite von TÜV SÜD schnell fündig.

Sie stehen auch vor der spannenden Aufgabe, in Ihrem Unternehmen als Datenschutzbeauftragter eingesetzt zu werden? Wir bieten Ihnen ein vielfältiges Kursprogramm, um juristisches, technisches und IT-Wissen zu ergänzen. Auch für spezifische Anwendungsgebiete wie Datenschutz im Marketing hat die TÜV SÜD Akademie Kurse im Angebot.

Jetzt informieren!

 


 

Jetzt informieren und Seminar buchen!

Wählen Sie Ihre Weiterbildung aus vielen spannenden und aktuellen Themen im Bereich Datenschutz.

 

 


 

#MeinDigitalerWandel

Diese Themen könnten Sie auch interessieren:

 


Die nächsten Schritte
Kontaktieren Sie uns
broken
broken

You are using an outdated browser.

Upgrade your browser today to better experience this site.

Upgrade