Datenschutz QuickCheck – Selbsttest für Unternehmen

Beim Thema Datenschutz existiert eine große Lücke zwischen den Erwartungen der Kunden und den tatsächlichen Bemühungen der Unternehmen, die den Schutz von Daten oftmals nur als Zeit und Ressourcen beanspruchenden Kostenfaktor sehen. Doch für die Kunden wird er – verstärkt durch zahlreiche Datenskandale – immer mehr zum Qualitätsmerkmal. Andererseits enthält nahezu jede Textverarbeitungsdatei, E-Mail oder Papierakte personenbezogene Daten. Fast alle in Deutschland ansässige Unternehmen müssen daher die einschlägigen Datenschutzgesetze beachten.

Der Datenschutz ist ein komplexes Thema, mit dem sich viele Unternehmen nicht ausreichend auseinandersetzen und in dem viele Unsicherheiten bestehen. Darüberhinaus werden wir immer wieder gefragt, wie sich konkrete Handlungsfelder im Unternehmen schnell identifizieren lassen.

Um Ihnen erste Klarheit zu verschaffen, haben wir den Datenschutz QuickCheck entwickelt. Er liefert Ihnen innerhalb von max. 5 Minuten einen Überblick zum Datenschutzniveau in Ihrem Unternehmen und ermöglicht Ihnen eine erste Positionsbestimmung. Finden Sie heraus, ob Sie datenschutzrechtlichen Handlungspflichten unterliegen oder schon alle Standards erfüllen.

SCHRITT 1 - Ist für Ihr Unternehmen ein Datenschutzbeauftragter erforderlich?

SCHRITT 1 - Ist für Ihr Unternehmen ein Datenschutzbeauftragter erforderlich?

janein Beschäftigt Ihr Unternehmen zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung?

Bitte beachten Sie, dass Vorstände, Aufsichtsräte, Geschäftsführer und leitende Angestellte mit zur Beschäftigtenzahl zählen. Es ist unerheblich, ob es sich um eine Vollzeit- oder Teilzeitstelle handelt. Auch Aushilfen und studentische Hilfskräfte müssen hinzugezählt werden.

JaNein Desgleichen bei zwanzig oder mehr Mitarbeitern, wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden?
JaNein Betreiben Sie besonders datenschutzrelevante Systeme, verarbeiten Sie also etwa sensible personenbezogene Daten, ohne dass Sie hierzu aufgrund von gesetzlichen oder vertraglichen Regelungen ermächtigt sind?

Zum Beispiel, wenn Verarbeitungen eine Vorabkontrolle erfordern (BDSG § 4d Abs. 5) oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymen Übermittlung (Meinungsforschung) verwendet werden.

Sollten Sie eine der Fragen mit JA beantwortet haben, dann unterliegt Ihr Unternehmen der gesetzlichen Pflicht zur Bestellung eines Datenschutzbeauftragten. Ob und wie Sie dieser Verpflichtung gerecht werden, erfahren Sie in SCHRITT 2.

Sollten Sie alle Fragen verneint haben, dann benötigt Ihr Unternehmen höchstwahrscheinlich keinen Datenschutzbeauftragten. Dennoch unterliegt Ihr Unternehmen den Datenschutzgesetzen und muss deren Befolgung sicherstellen. Mehr hierzu erfahren Sie in SCHRITT 3.

SCHRITT 2 - Sollten Sie einen internen oder externen Datenschutzbeauftragten bestellen?

SCHRITT 2 - Sollten Sie einen internen oder externen Datenschutzbeauftragten bestellen?

janein Verfügt Ihr Unternehmen über ausreichende personelle Ressourcen, um einen internen Datenschutzbeauftragten zu bestellen?
janein Ist die erforderliche Fachkunde des Datenschutzbeauftragten nachgewiesen, oder kann er diese durch entsprechende Lehrgänge effektiv erwerben?
janein Ist die „Zuverlässigkeit“ des Datenschutzbeauftragten gewährleistet („keine Interessenskonflikte“)?
D.h. ist er nicht zugleich Geschäftsführer oder Vorstand, Leiter EDV/IT, Personal/HR, Marketing oder Recht bzw. Betriebs-/ Personalrat
janein Ist der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt und in die Informationsprozesse im Unternehmen, insbesondere bei der Planung und Anschaffung von Informationstechnologie eingebunden?
janein Hat der Datenschutzbeauftragte die Möglichkeit, sich regelmäßig fortzubilden (Schulung, Literatur etc.)?
janein Ergibt eine Kosten-Nutzen-Analyse für Ihr Unternehmen, dass die Bestellung eines internen Datenschutzbeauftragten der Bestellung eines externen Datenschutzbeauftragten vorzuziehen ist?
Sollten Sie alle Fragen bejahen können, ist für Ihr Unternehmen die Bestellung eines internen Datenschutzbeauftragten die vorzuziehende Lösung.

Sollten Sie nicht alle Fragen bejahen können, ist für Ihr Unternehmen die Bestellung eines externen Datenschutzbeauftragten anzuraten.

Egal, welche Antworten Sie hier gegeben haben: Weiter geht es mit SCHRITT 3!

SCHRITT 3 - Erfüllt Ihr Unternehmen die datenschutzrechtlichen Kernanforderungen?

SCHRITT 3 - Erfüllt Ihr Unternehmen die datenschutzrechtlichen Kernanforderungen?

janein Hat Ihr Unternehmen einen schriftlich bestellten Datenschutzbeauftragten oder ist eine andere Person für die Wahrung des Datenschutzes zuständig, und wird diese Person bei der Einführung/Implementierung datenschutzrelevanter Systeme und Prozesse hinreichend beteiligt?
janein Führt Ihr Unternehmen eine Dokumentation der Datensicherheitsmaßnahmen (sog. Datensicherheitskonzept)?
janein Sind alle Beschäftigten auf das Datengeheimnis i.S.d. § 5 BDSG verpflichtet worden?
janein Gibt es ein „Verfahrensverzeichnis für Jedermann“?
janein Gibt es eine interne Übersicht der Verfahren, mit denen personenbezogene Daten verarbeitet werden („internes Verfahrensverzeichnis“ / Verarbeitungsübersicht)?
janein Gibt es eine IT-Richtlinie (o.ä.) für Beschäftigte, aus der sich ergibt, ob und wie die IT-Systeme im Unternehmen verwenden dürfen?
janein Werden Ihre Mitarbeiter im erforderlichen Ausmaß mit den Vorschriften des Datenschutzes vertraut gemacht (etwa per Schulungen, Trainingsmaßnahmen oder Informationsmedien)?
janein Gibt es eine Risiko- und Schwachstellenanalyse im Hinblick auf Räume, IT-Systeme, IT-Applikationen und Netzwerkkomponenten?
Sollten Sie diese Fragen mit JA beantworten können, dann erfüllt Ihr Unternehmen die datenschutzrechtlichen Kernanforderungen. Fahren Sie mit SCHRITT 4 fort!

Sollten Sie NICHT alle Fragen mit JA beantworten können, dann verletzt Ihr Unternehmen wahrscheinlich wesentliche datenschutzrechtliche Pflichten. Berücksichtigen Sie die zusätzlichen Aspekte eines modernen Datenschutzmanagements unter SCHRITT 4 und entscheiden sich für eine Handlungsalternative gemäß SCHRITT 5.

SCHRITT 4 - Werden Datenschutzstandards in Ihrem Unternehmen praktisch umgesetzt?

SCHRITT 4 - Werden Datenschutzstandards in Ihrem Unternehmen praktisch umgesetzt?

janein Bestehen in Ihrem Unternehmen verbindliche Regelungen zum sicheren Umgang mit betrieblicher IT-Technik?
janein Hat Ihr Unternehmen rechtssichere und wirksame Regelungen zur Privatnutzung der betrieblichen IuK-Technik, insbesondere des PC, des Festnetzes, von Mobiltelefonen, des Internet und des Email-Systems getroffen?
janein Wissen Ihre Mitarbeiter und Kunden, welche Daten über Sie in Ihrem Unternehmen verarbeitet werden und wer darauf Zugriff hat?
janein Werden personenbezogene Daten grundsätzlich selbst beim Betroffenen erhoben?
janein Wird Sorge dafür getragen, dass personenbezogene Daten grundsätzlich nur dann verarbeitet werden, wenn dies zur Erbringung vertraglicher Leistungen erforderlich, im Rahmen einer Interessenabwägung zulässig ist oder eine Einwilligung des Betroffenen vorliegt?
janein Hat Ihr Unternehmen einen datenschutzkonformen Internetauftritt, der aktuelle, rechtskonforme und abmahnsichere Datenschutzbestimmungen enthält?
janein Ist das Haftungs-, Bußgeld- und Sanktionsrisiko für Ihr Unternehmens im Bereich Datenschutz analysiert worden und hat man ggf. entsprechende Vorkehrungen getroffen?
janein Wird Sorge dafür getragen, dass im Falle einer unbefugten Kenntnisnahme durch Dritte von Daten, die nach § 42a BDSG geschützt sind, sofort der Datenschutzbeauftragte informiert wird?
janein Gibt es einen Ablaufplan für den Fall einer Datenpanne?
Sollten Sie diese Fragen mit JA beantworten können, dann setzt Ihr Unternehmen wesentliche Datenschutzstandards auch in die Praxis um. Dementsprechend dürfte das Datenschutzniveau in Ihrem Unternehmen als ausreichend zu bezeichnen sein. Wir gratulieren Ihrem Unternehmen und insbesondere Ihrem Datenschutzbeauftragten! SCHRITT 5 ist nicht weiter relevant.

Sollten Sie diese Fragen teilweise verneinen müssen, setzt Ihr Unternehmen wesentliche Datenschutzstandards nicht in die Praxis um. Entscheiden Sie sich für eine Handlungsalternative gemäß SCHRITT 5.

SCHRITT 5 - Handlungsalternativen

SCHRITT 5 - Handlungsalternativen

Sofern Ihr Unternehmen die erforderlichen Maßnahmen zum Datenschutz bisher nicht eingeleitet hat, ergeben sich folgende Handlungsalternativen:
a) Datenschutzbeauftragter ist bestellt

  • Sie konfrontieren den Datenschutzbeauftragten Ihres Unternehmens mit den Ergebnissen dieses Selbsttests und bitten um Stellungnahme.
  • Sie fordern Ihren Datenschutzbeauftragten dazu auf, die erforderlichen Maßnahmen zum Datenschutz einzuleiten.
  • Sie bieten Ihrem Datenschutzbeauftragten an, sich durch fachkundige Experten auf dem Gebiet des Datenschutzes unterstützen zu lassen.

b) Bisher kein Datenschutzbeauftragter bestellt

  • Sie empfehlen Ihrem Unternehmen die Beauftragung eines Mitarbeiters mit der Umsetzung der erforderlichen Datenschutzmaßnahmen oder die Bestellung eines internen Datenschutzbeauftragten unter Berücksichtigung der SCHRITTE 1 und 2.
  • Sie bestellen einen externen Datenschutzbeauftragten und beauftragen ihn mit der Umsetzung der erforderlichen Maßnahmen.
Darüberhinaus stehen wir Ihnen gerne als Berater für Datenschutz und Datensicherheit bei der Umsetzung zur Seite. Gibt es in Ihrem Unternehmen dringenden Handlungsbedarf? Wie Sie dann vorgehen sollten und welche schnelle und professionelle Lösung sich für Sie finden lässt, erläutern wir Ihnen gerne in einem kostenlosen unverbindlichen Beratungsgespräch zum betrieblichen Datenschutz.

Sollte die gesetzliche Bestellpflicht vorliegen, so besteht auch jederzeit die Möglichkeit, uns zum externen Datenschutzbeauftragten zu bestellen.

Nehmen Sie Kontakt zu uns auf:

(* = Pflichtfeld)

Bevorzugte Kontaktaufnahme über
E-MailTelefon


ja Ich stimme der Verarbeitung meiner persönlichen Daten zu. Diese werden ausschließlich im direktem Bezug zu meiner Anfrage verarbeitet und gespeichert *

 

Rechtlicher Hinweis
In diesem Internetangebot erfolgt keine Rechtsberatung. Diese bleibt rechtsberatenden Berufen vorbehalten. Dieser Selbsttest berührt auch komplexe rechtliche Fragestellungen. Um seine Praxistauglichkeit zu gewährleisten, wurden eher seltene Fallkonstellationen bei der Konzeption außer Acht gelassen. Für die Richtigkeit der Ergebnisse kann daher keine Gewähr übernommen werden.