Erschienen am 01. September 2020
In Deutschlands Unternehmen haben sich rund 50 Prozent aller Datenschutz-Einführungen festgefahren, bevor sie ins Ziel gekommen sind. Die Gründe sind vielfältig. Meistens liegt es an mangelnder Priorität oder mangelnder Akzeptanz in den Unternehmen. Doch es gibt Möglichkeiten, das Datenschutz-Projekt erfolgreich zum Abschluss zu bringen.
„Vor jedem Restart steht eine Analyse: Wie weit ist die Grundlagenarbeit gekommen? Woran hat es gelegen, dass sich der Prozess festgefahren hat?“, sagt Thomas Spaeing, Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. Der Restart sollte möglichst unter Moderation eines erfahrenen, externen Datenschutzberater angegangen werden. Denn der könne glaubwürdig für eine höhere Priorität und für eine bessere Akzeptanz bei den Beteiligten werben und oft auch den internen Datenschutzbeauftragten den Rücken stärken.
Ein erfolgreicher Abschluss der Einführungsphase sei alternativlos, so Spaeing. Denn die Aufsichtsbehörden bemängeln schon Organisationsverschulden, wenn die Aufgaben zum Datenschutz im Unternehmen nicht geregelt sind oder die Dokumentation unvollständig ist.
Und nach Jahren sei auch nicht glaubhaft, dass man noch intensiv daran arbeite, so der Experte. In mittleren wie großen Unternehmen dauere eine gelungene Einführung gerade einmal sechs bis zwölf Monate – vorausgesetzt, dass die zuständigen Fachbereiche sowie das Management eingebunden sind. Und danach warte auch eine Phase der Entspannung: „Im laufenden Betrieb sinkt der Aufwand deutlich“, sagt Thomas Spaeing, der mit seinem Team der Unternehmensberatung ds² viele Unternehmen betreut. Und die Geschäftsführung könne auch wieder besser schlafen, weil sie auch diese Hürde genommen habe.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Erschienen am 7. Juni 2020
In Berlin hat sich heute die European Federation of Data Protection Officers (EFDPO) gegründet. Der europäische Dachverband der Datenschutzbeauftragten hat sich zum Ziel gesetzt, die Datenschutzbeauftragten der EU-Mitgliedsstaaten zu vernetzen, gemeinsame Standards zu entwickeln und die Interessen des Berufsverbandes in Brüssel zu vertreten.
„Ein weiteres Ziel ist es, weltweit dafür zu werben, das schützenswerte Daten in Europa gut aufgehoben sind“, sagt Thomas Spaeing. Denn der strenge Datenschutz in der EU sei sowohl ein Standort- wie auch ein Wettbewerbsvorteil. Thomas Spaeing, Geschäftsführer der auf integrierten Datenschutz spezialisierten Unternehmensberatung ds², wurde zum Gründungspräsident gewählt. Er hatte als Vorstandvorsitzender des Bundesverbandes der Datenschutzbeauftragten (BvD) den europäischen Dachverband initiiert. Gründungsmitglieder sind neben dem BvD nationale Berufsvertretungen aus Österreich, Frankreich, Portugal, Tschechien, der Slowakei, Griechenland und Liechtenstein. Arbeitssitz des neuen Verbandes ist Brüssel.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Grundsätzlich ist eine erteilte Einwilligung so lange gültig, bis die betroffene Person diese widerruft. Die Parteien können in der Einwilligung jedoch auch festlegen, dass diese nur für einen bestimmten Zeitraum gelten soll. In diesem Fall endet die Gültigkeit der Einwilligung dann automatisch zum festgelegten Zeitpunkt. Der Widerruf einer datenschutzrechtlichen Einwilligung darf jederzeit erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
Je komplexer die Aufgabenstellung, desto mehr Know-how sollte ein/e Datenschutzbeauftragte/r mitbringen – und dabei geht es nicht nur um Datenschutzrecht, sondern vor allem auch um Prozess-Know-how und IT-Verständnis. Und je größer das Unternehmen ist, desto mehr Kapazitäten braucht es, um die Projekte in angemessener Zeit zum Erfolg zu führen. Kleine und mittlere Unternehmen besetzen das Amt gerne mit nachgeschulten internen Mitarbeitern. Damit diese nicht scheitern, sollte man ihnen externe Sparringspartner sowohl für die Einführung als auch für Problemfälle zur Seite stellen.
Diese Frage klingt einfach, ist aber schwierig zu beantworten. Durchschnittswerte gibt es nicht, da der Aufwand je nach Unternehmenszweck und Unternehmensgröße extrem unterschiedlich ist. Wer viel mit personenbezogenen Daten zu tun hat, wird einen größeren Aufwand betreiben müssen als jene, die davon weniger berührt sind. Üblicherweise ist der Anfangsaufwand höher, im laufenden Betrieb sind die Kosten mit anderen Bereichen vergleichbar, die einer Überwachung und Rezertifizierung bedürfen.
Wir sind der Meinung, dass den Themen Datenschutz und Digitalisierung in diesem Zeitalter eine noch größere Rolle zukommt, als vielen bislang klar ist. Datenschutz kann man Prozessen überstülpen oder damit Prozesse lähmen. Wir wissen, dass man datenschutzkonforme Prozesse auch beschleunigen kann. Werden Datenschutz und Digitalisierung als gleichwertige Faktoren betrachtet und aufeinander abgestimmt, verspricht das daraus resultierende Produkt mehr Erfolg als die Summe der Einzelteile. Deshalb glauben wir an den hohen Nutzen für die Arbeits- und Lebenswelt von morgen, wenn Digitalisierung und Datenschutz Hand in Hand gehen und Projekte hier einen integrativen Ansatz verfolgen.
Die Größe ist abhängig von der Menge der Aufgaben und damit von der Größe des Unternehmens oder der Organisation. Mittelständische Unternehmen haben oftmals intern einen – in der Regel weitergebildeten – Datenschutz-Koordinator und einen externen Datenschutzbeauftragten. Bei großen Einheiten kann es hilfreich sein, intern mehrere Koordinatoren in allen relevanten Abteilungen einzusetzen und diese durch ein Experten-Team beraten und prüfen zu lassen. Unternehmen, bei denen der Datenschutz aufgrund einer ausgeprägten Endkundenorientierung im Fokus der Öffentlichkeit steht, installieren darüber hinaus häufig einen Beirat, der den Vorstand oder die Geschäftsführung direkt in allen Fragen zum Thema Datenschutz berät.
Die Aufgaben des Datenschutzbeauftragten werden in Art. 39 DSGVO festgehalten. Demnach hat er die Aufgaben, den Verantwortlichen oder Auftragsverarbeiter und deren Beschäftigte, die Verarbeitungen von personenbezogenen Daten durchführen, bezüglich ihrer Pflichten nach der DSGVO und anderen Datenschutzvorschriften zu unterrichten und zu beraten. Darüber hinaus ist es seine Aufgabe, zu überwachen, ob der Verantwortliche oder der Auftragsverarbeiter die datenschutz-rechtlichen Bestimmungen einhält. Hierzu zählt auch, die Beschäftigten zu sensibilisieren (beispielsweise durch Schulungen oder Unterlagen wie unserem Mitarbeiter-Informationsdienst). Auf Anfrage berät er den Verantwortlichen hinsichtlich Datenschutzfolgenabschätzungen und überwacht ihre Durchführung gem. Art. 35 DSGVO. Auch ist der Datenschutzbeauftragte als Anlaufstelle für die Aufsichtsbehörden tätig, um Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu klären.
Beim Browser sollten Sie stets darauf achten, die aktuellste Version zu nutzen. Bei Mozilla Firefox können Sie beispielsweise unter „Extras“ → „Einstellungen“ → „Allgemein“ → „Firefox-Updates“ einstellen, dass Firefox sich automatisch die aktuellsten Updates zieht. Regelmäßig sollten auch die Add-ons gecheckt werden. Denn diese haben oftmals umfassende Zugriffsmöglichkeiten auf die Inhalte der besuchten Websites. Ungenutzte Add-ons sollten daher entfernt werden.
Viele Websites nutzen Tracking-Tools, um die Aktivitäten nachvollziehen zu können. Im Browser können Sie diese (teilweise durch Erweiterungen) blockieren. Bei Mozilla Firefox können Sie beispielsweise unter „Extras“ → „Datenschutz & Sicherheit“ → „Browser-Datenschutz“ einstellen, dass Websites eine "Do Not Track"-Information gesendet wird, dass die eigenen Aktivitäten nicht verfolgt werden sollen.
Außerdem empfiehlt es sich, die Berechtigungen hinsichtlich des Zugriffs auf die Kamera, das Mikrofon und den Standort je nach Erforderlichkeit zu vergeben (bei Mozilla Firefox ebenfalls unter „Datenschutz & Datensicherheit“).
Nicht nur beim Rechner und beim Smartphone, sondern auch beim WLAN-Router sollte ein sicheres Passwort genutzt werden.
Es empfiehlt sich, das voreingestellte Passwort aus Sicherheits-gründen direkt nach Kauf des Routers zu ändern. Gäste sollten höchstens über ein separates Gast-Netz mit temporären Passwort Zugriff haben.
Zudem sollte immer darauf geachtet werden, dass stets die aktuellste Geräte-Firmware genutzt wird. Um keine wichtigen Updates zu verpassen, können automatische Updates eingeschaltet werden.
Da das Wi-Fi Protected Setup (WPS) und das Universal Plug and Play (UPnP) immer wieder von Angreifern missbraucht werden, empfiehlt es sich, diese über das Webinterface des Routers auszuschalten
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320