„Jedes zweite deutsche Unternehmen hat sich bei der Datenschutz-Einführung festgefahren.“
Externe Datenschutzbeauftragte (DSB)
„Jedes zweite deutsche Unternehmen hat sich bei der Datenschutz-Einführung festgefahren.“
Aktuelles
Neues zum Thema Datenschutz & Digitalisierung für
Entscheider in Wirtschaft und Verwaltung
Datenschutz ist juristisch, technisch und organisatorisch ein komplexes Thema. Wir von ds² haben es uns zur Aufgabe gemacht, jene in allgemeinverständlicher Sprache in einem offenen Blog auf dem Laufenden zu halten, die den Datenschutz letztendlich verantworten müssen: die Unternehmer, Vorstände, Geschäftsführer, Entscheider. Darüber hinaus versorgen wir unsere Mandanten mit einem geschlossenen Informationsdienst über aktuelle Entwicklungen und Lösungsansätze. Wir wünschen viel Freude beim Lesen. Sollten Sie zu einem bestimmten Thema Fragen haben, sprechen Sie uns einfach an. Danke!
Eine Website ohne Cookie-Banner?
Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?
Speichern Ja – aber nicht endlos!
Immer wieder wird deutlich, dass bei vielen Unternehmen hinsichtlich des Prinzips der Speicherbegrenzung noch dringender Handlungsbedarf besteht. Auch die datenschutzrechtlichen Aufsichtsbehörden decken diesbezüglich kontinuierlich Defizite auf. Dies kommt Unternehmen teuer zu stehen. Aber wie geht es denn nun richtig?
Überwachung von Mitarbeitern mit Microsoft 365
In fast jedem Unternehmen sind die Produkte von Microsoft, teilweise auch mangels Alternativen, im Einsatz. Vielen Unternehmern ist jedoch nicht bewusst, dass die Nutzung mancher Funktionen datenschutzrechtlich kritisch ist, wie es die neueste Funktion von Microsoft wieder zeigt.
Vorsicht bei der Datenübermittlung in Drittländer
Im Juli dieses Jahres erklärte der Europäische Gerichtshof (EuGH) nach dem Vorgänger nun auch den Privacy-Shield für unwirksam. Wer allein auf der Basis des Privacy Shield weiterhin Daten in die USA übermittelt, handelt damit rechtswidrig. Was können Unternehmen jetzt tun, um ihr Risiko zu senken?
Downloads rund um das Thema Datenschutz
Eine Liste von Downloads von datenschutzrelevante Dokumenten für Unternehmen.
35,3 Mio.-Bußgeld für Verstoß gegen Mitarbeiterdatenschutz
Das bislang höchste Bußgeld für einen Datenschutz-Verstoß hat jetzt der hamburgische Datenschutzbeauftragte Johannes Caspar gegen das börsennotierte, schwedische Textilhandelsunternehmen Hennes & Mauritz verhängt.
Milliarden-Zuschüsse für Digitalisierung der Kliniken
Nur wenige Tage nach einem erfolgreichen Hackerangriff auf die Universitätsklinik Düsseldorf (UKD) hat der Bund einen 3 Mrd. Euro großen Fördertopf aufgemacht.
Digitale Krankenakte schnellstmöglich einführen
Befürworter loben die Vorteile im Tagesgeschäft wie im Notfall, Gegner fürchten Lecks in den Systemen, die hinter der digitalen Krankenakte oder mit einer Historie versehenen Krankenversichertenkarte stehen.
Viele Firmen haben sich mit dem Thema Datenschutz festgefahren
Entgegen den Erwartungen der Gesetzgeber stecken immer noch viele Tausend Firmen in dem Prozess, Datenschutz in ihrem Unternehmen einzuführen, fest.
Patientenakten in Klinik-Ruinen: Archive besser sichern
Die Reihe der Datenskandale in der Gesundheitswirtschaft reißt nicht ab: Immer wieder werden in den Kellern oder auf den Dachböden stillgelegter Krankenhäuser oder Arztpraxen alte Patientenakten entdeckt.
Datenschutz hat mehr Begeisterung verdient
Datenschutz leidet unter einem schlechten Ruf. Den Befürwortern gehen die Gesetze meist nicht weit genug, den Gegnern viel zu weit.
EUGH erklärt EU-US-Datenschutzschild für ungültig
Der Europäische Gerichtshof hat eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten aus Europa in die USA für nichtig erklärt.
„In Branchen wie der Gesundheitswirtschaft rückt
Datenschutz immer mehr in den Fokus der Patienten.“
„In Branchen wie der Gesundheitswirtschaft rückt Datenschutz immer mehr in den Fokus der Patienten.“
Häufige Fragen rund um Datenschutz & Digitalisierung
Wir von ds² lieben es, Kompliziertes so einfach wie möglich zu machen. Speziell für die Verantwortlichen in Firmen, Behörden und Einrichtungen – die Unternehmer, Vorstände, Geschäftsführer und Entscheider – haben wir dieses FAQ geschrieben. Sollte Ihnen ein Thema fehlen, freuen wir uns auf Ihren Hinweis an info@ds-quadrat.de. Danke vorab.
Die Größe ist abhängig von der Menge der Aufgaben und damit von der Größe des Unternehmens oder der Organisation. Mittelständische Unternehmen haben oftmals intern einen – in der Regel weitergebildeten – Datenschutz-Koordinator und einen externen Datenschutzbeauftragten. Bei großen Einheiten kann es hilfreich sein, intern mehrere Koordinatoren in allen relevanten Abteilungen einzusetzen und diese durch ein Experten-Team beraten und prüfen zu lassen. Unternehmen, bei denen der Datenschutz aufgrund einer ausgeprägten Endkundenorientierung im Fokus der Öffentlichkeit steht, installieren darüber hinaus häufig einen Beirat, der den Vorstand oder die Geschäftsführung direkt in allen Fragen zum Thema Datenschutz berät.
Der größte Nachteil des externen DSB ist auch eine Chance: Sie/Er kennt das Unternehmen nicht und muss sich hier einarbeiten. Dadurch wird aber auch jegliche Betriebsblindheit vermieden und der Raum für ganz neue Lösungen und Erfahrungen geschaffen. Weiterhin spricht für den externen DSB, dass dieser – sofern gut qualifiziert – viele Lösungen bereits gefunden hat und mit in das Unternehmen einbringt. Das beschleunigt viele Aufgaben und erhöht die Effizienz oft deutlich.
Das Defizit des fehlenden Unternehmenswissens wird in der Praxis dadurch ausgeglichen, dass einem externen DSB ein interner Koordinator zur Seite steht. Dies kann jeder sein, der im Unternehmen ausreichend vernetzt ist, die Prozesse gut kennt und dazu die erforderliche Kapazität mitbringt. Im Gegensatz zur Funktion des DSB kann die Rolle des Koordinators auch durch eine Führungskraft wahrgenommen werden.
Dafür spricht augenscheinlich, dass der/die Ausgewählte weiß, worum es im Unternehmen geht und wer die Beteiligten sind. Oft werden die internen DSB jedoch nicht ausreichend mit Befugnissen und Kapazitäten ausgestattet, dann fehlt es an Rückhalt und Durchsetzungskraft. Und nicht selten mangelt es nicht nur teilweise an Qualifikation und Erfahrung in den Kernthemen des Datenschutzes Recht, IT und Prozessoptimierung. Der interne DSB muss jede Lösung zunächst selbst entwickeln und dann im Unternehmen jemanden finden, der sie umsetzt – das darf er ja selbst oft nicht, weil dies zu einem Interessenkonflikt führt. Leider wird als interner DSB oft jemand gewählt, der das Thema auch nur als lästige Nebenaufgabe ansieht und damit keinerlei Motivation für eine erfolgreiche Arbeit als DSB mitbringt.
Bislang leider noch nicht viel. Gemäß DSGVO sollen die Aufsichtsbehörden und die DAKKS hier ein belastbares Verfahren für ein Datenschutzgütesiegel entwickeln, damit Unternehmen ihre Investitionen in den Datenschutz durch das Gütesiegel bestätigen lassen können. Leider geht es hier kaum voran, weil u.a. den Aufsichtsbehörden dazu die Kapazitäten fehlen und sich die Zusammenarbeit mit der DAKKS erst noch entwickeln muss. Dies bietet leider einen Nährboden für zahlreiche selbstentwickelte Gütesiegel, die oft das Papier nicht wert sind. Viele Anbieter beraten erst und zertifizieren dann ihre eigene Beratung. Das ist natürlich unseriöser Unfug, der die Unternehmen auch noch teuer zu stehen kommt.
Bislang noch nicht viel. Hier und da tauchen selbstgestrickte Siegel auf. Aber diese entsprechend damit noch lange nicht den Anforderungen des Berufsbildes der Datenschutzbeauftragten, das der BvD schon vor Jahren formuliert hat. Wir von ds² unterstützen den Kampf des BvD dafür, dass die Grundausbildung verbessert wird und dass Erfahrung nachgewiesen werden muss. Der von einer Vielzahl von Ausbildungs- und Betriebsangeboten geflutete Markt braucht dringend mehr Orientierung für die Unternehmen und Behörden.
Das Datenschutzrecht in Deutschland ist schon lange etabliert – das erste Datenschutzgesetz der Welt gab es 1970 in Deutschland. Und viel von dem, was wir auch zuvor im Datenschutz schon kannten, findet sich aus gutem Grund in der DSGVO wieder. Aber nach wie vor gibt es Bereiche, in denen noch mehr Fragen als Antworten bestehen. Das eine durch das andere zu ersetzen ist eine laufende Aufgabe der Fachjuristen und den dafür zuständigen Behörden. Und der Fokus muss europaweit geöffnet bleiben, denn das was in anderen Mitgliedsstaaten geschieht, kann sehr schnell auch hier maßgeblich werden.
Wir sind der Meinung, dass den Themen Datenschutz und Digitalisierung in diesem Zeitalter eine noch größere Rolle zukommt, als vielen bislang klar ist. Datenschutz kann man Prozessen überstülpen oder damit Prozesse lähmen. Wir wissen, dass man datenschutzkonforme Prozesse auch beschleunigen kann. Werden Datenschutz und Digitalisierung als gleichwertige Faktoren betrachtet und aufeinander abgestimmt, verspricht das daraus resultierende Produkt mehr Erfolg als die Summe der Einzelteile. Deshalb glauben wir an den hohen Nutzen für die Arbeits- und Lebenswelt von morgen, wenn Digitalisierung und Datenschutz Hand in Hand gehen und Projekte hier einen integrativen Ansatz verfolgen.
Der technische Datenschutz hat im Grunde drei Dimensionen: a) das Wissen der Mitarbeiter um Risiken und richtiges Verhalten, b) die Sicherheit von Hardware und c) Software und die Qualität der Angriffe von außen. Das Besondere ist, dass die Lücken bei b) und c) nicht restlos bekannt sind und dass der Druck der Saboteure und Datenfischer aus dem Internet immer weiter zunimmt. Man kann gewisse Stati der Sicherheit erreichen, muss aber dauerhaft am Ball bleiben. Beim Know-how der Mitarbeiter hingegen kann man eine Menge tun, um das Risiko zu reduzieren. Hier verschenken die meisten Unternehmen leider viel Potenzial.
Die Verarbeitung von Gesundheitsdaten dient nicht ausschließlich der gesundheitlichen Versorgung, sondern oftmals stehen zudem Fragestellungen einer Nutzung zu Qualitätssicherung oder Forschung im Raum. Was zulässig ist, wird von Gesetzgeber und Rechtsprechung geregelt. Große Herausforderungen stellen sich daher oftmals an den Schnittstellen von Medizin, Forschung und Industrie. So ist beispielsweise die Nutzung von KI und entscheidungsunterstützender Systeme in der Medizin ohne die Verarbeitung personenbezogener Daten kaum vorstellbar und damit eine der größten Herausforderungen für den Gesundheitsdatenschutz. Eine weitere Herausforderung dürfte heute und auch in Zukunft darin bestehen, Forschungsinteressen und Datenschutz in den Vorhaben gleichermaßen zu berücksichtigen. Nicht zu vernachlässigen ist, dass auch für die Akteure im Gesundheitswesen durch die DSGVO der Aufwand für die Erfüllung von Transparenz- und Informationspflichten deutlich gestiegen ist.
Am Anfang gab es die Idee, dass qualifizierte Datenschutzbeauftragte gleichzeitig fit im Datenschutzrecht, in IT und in Unternehmensprozessen sein müssen. In der Praxis zeigte sich, dass das neue Wissen erst in Kombination mit jahrelanger Erfahrung seine Wirkung entfaltet. Schwierige Aufgaben landen immer öfter bei den Pionieren des Marktes. Sicher auch, weil viele Neueinsteiger lediglich eine gute Teilqualifikation haben und deshalb schnell an ihre Grenzen kommen. Und Einzelkämpfer werden es künftig immer schwerer haben, zunehmend komplexere Aufgaben zu bewältigen. Der Trend geht also mehr in Richtung leistungsfähige Unternehmensberatungen, bei denen Datenschutz nicht ein Teil- oder Nebenaspekt, sondern der Kern des Geschäfts ist.
Gar nichts. Das wirkt auf uns wie ein moderner Ablasshandel. Da wird zwischen den Zeilen versprochen, dass man mit einer Verpflichtung zu einem bestimmten Paket die Haftung delegieren kann. Aber genau das geht nicht. Das Management beziehungsweise die Leitung bleiben haftbar. In der täglichen Praxis erleben wir, dass vor allem jene Unternehmenslenker zu den Billiganbietern tendieren, die das Thema Datenschutz ohnehin nicht ernst nehmen und denen die Konsequenzen nicht klar sind. Allerdings zeigt die Erfahrung auch hier: wer billig kauft, zahlt mindestens zweimal. Bei uns melden sich inzwischen viele Unternehmen, die beim ersten Mal gespart, aber bis heute nichts vernünftig geregelt haben. Viele von denen haben ihren Billig-Datenschutzbeauftragten nie gesehen.
Diese Frage klingt einfach, ist aber schwierig zu beantworten. Durchschnittswerte gibt es nicht, da der Aufwand je nach Unternehmenszweck und Unternehmensgröße extrem unterschiedlich ist. Wer viel mit personenbezogenen Daten zu tun hat, wird einen größeren Aufwand betreiben müssen als jene, die davon weniger berührt sind. Üblicherweise ist der Anfangsaufwand höher, im laufenden Betrieb sind die Kosten mit anderen Bereichen vergleichbar, die einer Überwachung und Rezertifizierung bedürfen.
Die kann man am besten unter dem Begriff Unterlassungen bündeln. Das Weglassen wichtiger aber unbequemer Aufgaben oder Pflichten, das Nichtreagieren auf Beschwerden oder Ansprüchen von Kunden und Betroffenen oder auch das fehlende Kontrollieren, ob die getroffenen Maßnahmen tatsächlich funktionieren. Man kann pauschal festhalten, dass ein Stückwerk von Regelungen und Formularen hier nicht funktioniert und ein Managementsystem die bewährte Lösung darstellt, wenn es wie beispielsweise im Qualitätsbereich sorgfältig betrieben wird.
Das größte Risiko sind nicht die teils empfindlich hohen Geldstrafen. Das größte Risiko besteht darin von kritischen Kunden und Geschäftspartnern in der Öffentlichkeit vorgeführt zu werden. Medien mögen Stories über Firmen, die es mit den Gesetzen nicht so genau nehmen. Der Schaden, der durch diesen Imageverlust entsteht, dürfte größer sein und länger nachwirken als jede Geldstrafe.
Nach unserer Erfahrung ist zuerst mangelnde Akzeptanz bei der Unternehmensführung zu nennen. Platz zwei belegt mangelndes Wissen bei den intern Verantwortlichen und oft auch das fehlende Verständnis für die Unternehmensprozesse bei den Beratern. Platz drei der Negativ-Hitliste teilen sich das Fehlen eines verbindlichen Zeitplans und heftige Gegenwehr diverser Beteiligter im Unternehmen – aufgrund eines fehlenden Commitments der Geschäftsführung.
Zum einen, dass es alle relevanten Fälle und geforderten Prozesse klar definiert; zum anderen, dass es für die, die damit arbeiten sollen, verständlich formuliert ist und nachvollziehbar macht, welche Verbesserung die Nutzung mit sich bringt. Dass es rechtskonform ist, ist eine Selbstverständlichkeit.
Je komplexer die Aufgabenstellung, desto mehr Know-how sollte ein/e Datenschutzbeauftragte/r mitbringen – und dabei geht es nicht nur um Datenschutzrecht, sondern vor allem auch um Prozess-Know-how und IT-Verständnis. Und je größer das Unternehmen ist, desto mehr Kapazitäten braucht es, um die Projekte in angemessener Zeit zum Erfolg zu führen. Kleine und mittlere Unternehmen besetzen das Amt gerne mit nachgeschulten internen Mitarbeitern. Damit diese nicht scheitern, sollte man ihnen externe Sparringspartner sowohl für die Einführung als auch für Problemfälle zur Seite stellen.
Dafür gibt es viele Gründe. Oft mangelt es an Priorität bei der Geschäftsleitung, nicht selten fehlt Know-how, um die hohe Komplexität der Einführung eines Managementsystems zu Ende zu begleiten. In vielen Fällen treffen die Projektverantwortlichen auch auf große Widerstände. Wir gehen aktuell davon aus, dass rund die Hälfte aller Unternehmen die Einführungsphase – die normalerweise rund sechs Monate dauert – auch nach Jahren noch nicht abgeschlossen haben.
Das ist es nur auf den ersten Blick. Die Vorschriften des Datenschutzrechts greifen in vielfacher Hinsicht verzahnt ineinander. So kann die Rechtmäßigkeit von Verarbeitungen immer nur ganzheitlich betrachtet erreicht werden. Wie bei vielen anderen Rechtsgebieten auch ist aber noch nicht jede strittige Frage durch die Rechtsprechung beantwortet, geschweige denn durch Kommentare ausdiskutiert. Zudem wurden die Regelungen aller EU-Mitgliedsstaaten zusammengefasst, da ist es zu erwarten, dass sich dies in der Praxis erst etablieren muss.
Datenschutz hat es zu keiner Zeit leicht gehabt. Den Befürwortern ging es nie weit genug, die Gegner fühlten sich in ihrer Arbeit stets eingeschränkt. Statt für Akzeptanz zu werben, wurde mit Strafen gedroht. Ein wahrhaft schlechter Start. Wir von ds² werden weiter daran arbeiten, das Positive und die Vorteile des Datenschutzes aufzuzeigen.
Downloads & Dokumente
Gerne stellen wir Ihnen eine kleine Übersicht über unternehmensrelevante Dokumente rund um das Thema „Datenschutz“ zur Verfügung. Gerne helfen wir Ihnen auch mit weiteren Unterlagen aus. Rufen Sie uns einfach an.
Informationen zum Datenschutz im Homeoffice
Hinweisschilder zur Mitarbeitersensibilisierung am Arbeitsplatz
Die folgenden Dokumente dienen der Sensibilisierung der Mitarbeiter. Sie können die einzelnen Hinweisschilder z.B. ausdrucken und im Büro aufhängen, sodass sie immer im Blick sind.
Hinweisschild zur Datenschutzverletzung
Hinweisschild zum Umgang mit Passwörtern
Hinweisschild zum sicheren Arbeitsplatz
