Seit vielen Jahren sind wir nun schon in der Beratungsbranche tätig. Häufig hören wir – besonders im Datenschutzbereich – das es doch eigentlich gar nicht schwierig ist Datenschutz, Compliance Themen und IT-Sicherheit „selber“ zu machen.
Klar ist – natürlich ist es möglich den Datenschutz selber zu machen, selber zu dokumentieren und selber zu entscheiden ob die Awareness im Unternehmen vorhanden ist. Wir sind schon oft in Firmen gekommen in denen ein interner Datenschutzbeauftragter die Aufgabe übernommen hatte. Meistens aus dem Bereich Personal oder Vertrieb. Das funktionierte am Anfang auch ganz wunderbar bis die täglichen Aufgaben wieder in den Fokus gerückt wurden und keine Zeit mehr für den Datenschutz vorhanden war.
Auch die Ausbildung zum Datenschutzbeauftragten wird häufig durch einen (möglichst günstigen) Kurs belegt. Ein häufiger Fehler, denn einerseits soll der Mitarbeiter für die Firma ja den Datenschutz korrekt und gut durchführen – andererseits ist dieser nicht mit der Thematik vertraut also fachfremd.
Im Datenschutz spielen aber viele Themen eine Rolle, sei es das Wissen über Prozesse und die Anpassung dieser oder das Wissen über IT-technische Zusammenhänge. Ein Beispiel wäre hier das benötigte Wissen wie denn eine ADS (Active Directory) funktioniert und was für generelle Einstellung nötig sind um diese datenschutzrechtlich konform betreiben zu können. Wie sind die Systemzugriffe und die Nutzerkonzepte angelegt? Dinge die ein Fachfremder oder auch schlecht ausgebildeter Datenschutzbeauftragter einfach gar nicht wissen kann und somit immer auf das Fachwissen der jeweiligen Abteilung angewiesen ist, ohne die Möglichkeit dieses zu hinterfragen und verbessern zu können.
Dies führt früher oder später leider unweigerlich zu einer schlechten oder halb fertigen Datenschutzdokumentation. Ok diese liegt möglicherweise erstmal nur so rum – wen störts also? Die Antwort lautet: spätestens die Aufsichtsbehörde! Das ist übrigens der Punkt in dem wir häufig gerufen werden – und dies leider all zu oft. Wenn die verantwortliche Landesbehörde auf den Plan tritt ist es Gold wert eine gute Datenschutzdokumentation vorliegen zu haben. Zeit dann eine zu erstellen bleibt nämlich nicht mehr. Dies kann auch bei kleinen Unternehmen zu hohen Strafen führen. Die Schonzeit ist bereits lange vorbei und auch die Corona Pandemie rückt als Ausrede in den Hintergrund. Die Behörden fodern die benötigten Dokumentationen mittlerweile rigoros ein.
Eine Datenschutzdokumentation sollte zumindest folgende Punkte im Minimalstandard abdecken:
- das Verzeichnis von Verarbeitungstätigkeiten (VVZ)
- die technischen organisatorischen Maßnahmen (TOMs)
- eine Übersicht über die Auftragsverarbeitungsverträge
- Prüfung der Auftragsverarbeitungsverträge und die Dokumentation hierzu
- datenschutzrelevenate Richtlinien und Arbeitsanweisungen
- datenschutzrelevante Prozesse
- eine generelle Datenschutzleitlinie, klare Zuständigkeiten
- ein Löschkonzept
- Prüfung und Dokumentation von Personalthemen
- Durchführung von Datenschutzschulungen und deren Dokumentation
Alle aufgeführten Punkte müssen klar dokumentiert und teilweise auch mit der Belegschaft kommuniziert sein. Eine Datenschutzdokumentation nur für den reinen Selbstzweck (ja wir haben da irgendwas) ist übrigens von den Behörden schnell entlarvt und wird nicht lange bei einer Prüfung standhalten.
Was ist also der beste Weg für die Dokumentation von Datenschutz?
Es ist natürlich möglich entsprechende interne Ressourcen auszubilden. Hierbei ist allerdings darauf zu achten, das Datenschutz viel Zeit in Anspruch nimmt und diese den Mitarbeitern entsprechend gewährt werden muss – auch auf Kosten der üblichen Tätigkeiten. Ebenfalls sollte der normale Job nicht zu weit von komplexen Datenschutzthemen entfernt sein – also keine völlig fachfremden ausgebildet werden. Bei einer Zertifizierung zum Datenschutzbeauftragen sollte nicht unbedingt der billigste Anbieter gewählt werden, sondern der mit der meisten Kompetenz. Dies kann zum Beispiel eine bekannte Institution wie der TÜV sein.
Eine Überforderung des Mitarbeiters darf nicht geschehen und sollte früh erkannt werden. Denn dies führt nur zu unvollständigen und fehlerhafen Datenschutzdokumentationen. Diese werden im Ernstfall einer behördlichen Prüfung nicht standhalten. Im schlimmsten Fall kann hier entschieden werden das gar kein Datenschutz betrieben wurde, da der Verantwortliche nicht die richtige Person hierfür ausgewählt hat.
Alternativ können entsprechend gut und nachweislich ausgebildete, zertifizierte externe Berater beauftragt werden. Besonders hier ist auch darauf zu achten das diese nicht fachfremd sind. (wir haben hier schon alles erlebt vom Gärtner der auf einmal Datenschutz angeboten hat bis hin zu Beratern völlig ohne Erfahrung und Zertifizierungen). Ein guter Hinweis auf die Qualifikation ist neben der entsprechenden Zertifizierung auch ob der Berater aus einem ähnlichen Gebiet kommt. Dies ist beim Datenschutz häufig der Fall wenn der Consultant bereits in den Themen IT, Compliance oder Rechtswissenschaften tätig war. Ungünstig wäre es wenn er beispielsweise ausschließlich aus dem Bereich Marketing oder Vertrieb kommt – hier fehlt häufig das Verständnis für die Gesamtheit des Datenschutzes und das benötigte Prozesswissen.
Gerne helfen wir Ihnen in einem kostenfreien Erstgespräch dabei solche Unsicherheiten zu klären und auch nochmals darzustellen worauf zu achten ist. Für ein Gespräch stehen wir Ihnen natürlich auch Online via Videochat zur Verfügung.