Datenschutz QuickCheck - Selbsttest für Unternehmen
Beim Thema Datenschutz existiert eine große Lücke zwischen den Erwartungen der Kunden und den tatsächlichen Bemühungen der Unternehmen, die den Schutz von Daten oftmals nur als Zeit und Ressourcen beanspruchenden Kostenfaktor sehen. Doch für die Kunden wird er – verstärkt durch zahlreiche Datenskandale – immer mehr zum Qualitätsmerkmal. Andererseits enthält nahezu jede Textverarbeitungsdatei, E-Mail oder Papierakte personenbezogene Daten. Fast alle in Deutschland ansässige Unternehmen müssen daher die einschlägigen Datenschutzgesetze beachten.
Der Datenschutz ist ein komplexes Thema, mit dem sich viele Unternehmen nicht ausreichend auseinandersetzen und in dem viele Unsicherheiten bestehen. Darüberhinaus werden wir immer wieder gefragt, wie sich konkrete Handlungsfelder im Unternehmen schnell identifizieren lassen.
Um Ihnen erste Klarheit zu verschaffen, haben wir den Datenschutz QuickCheck entwickelt. Er liefert Ihnen innerhalb von max. 5 Minuten einen Überblick zum Datenschutzniveau in Ihrem Unternehmen und ermöglicht Ihnen eine erste Positionsbestimmung. Finden Sie heraus, ob Sie datenschutzrechtlichen Handlungspflichten unterliegen oder schon alle Standards erfüllen.
SCHRITT 1 - Ist für Ihr Unternehmen ein Datenschutzbeauftragter erforderlich?
Beschäftigt Ihr Unternehmen zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels elektronischer Datenverarbeitung?
Bitte beachten Sie, dass Vorstände, Aufsichtsräte, Geschäftsführer und leitende Angestellte mit zur Beschäftigtenzahl zählen. Es ist unerheblich, ob es sich um eine Vollzeit- oder Teilzeitstelle handelt. Auch Aushilfen und studentische Hilfskräfte müssen hinzugezählt werden.
Desgleichen bei zwanzig oder mehr Mitarbeitern, wenn die Daten manuell (z. B. mit Karteikarten) verarbeitet werden?
Betreiben Sie besonders datenschutzrelevante Systeme, verarbeiten Sie also etwa sensible personenbezogene Daten, ohne dass Sie hierzu aufgrund von gesetzlichen oder vertraglichen Regelungen ermächtigt sind?
Zum Beispiel, wenn Verarbeitungen eine Vorabkontrolle erfordern (BDSG § 4d Abs. 5) oder die Verarbeitung zur Übermittlung (Detektei, Auskunftei) oder anonymen Übermittlung (Meinungsforschung) verwendet werden.
Sollten Sie eine der Fragen mit JA beantwortet haben, dann unterliegt Ihr Unternehmen der gesetzlichen Pflicht zur Bestellung eines Datenschutzbeauftragten. Ob und wie Sie dieser Verpflichtung gerecht werden, erfahren Sie in SCHRITT 2.
Sollten Sie alle Fragen verneint haben, dann benötigt Ihr Unternehmen höchstwahrscheinlich keinen Datenschutzbeauftragten. Dennoch unterliegt Ihr Unternehmen den Datenschutzgesetzen und muss deren Befolgung sicherstellen. Mehr hierzu erfahren Sie in SCHRITT 3.
SCHRITT 2 - Sollten Sie einen internen oder externen Datenschutzbeauftragten bestellen?
Verfügt Ihr Unternehmen über ausreichende personelle Ressourcen, um einen internen Datenschutzbeauftragten zu bestellen?
Ist die erforderliche Fachkunde des Datenschutzbeauftragten nachgewiesen, oder kann er diese durch entsprechende Lehrgänge effektiv erwerben?
Ist die „Zuverlässigkeit“ des Datenschutzbeauftragten gewährleistet („keine Interessenskonflikte“)?
D.h. ist er nicht zugleich Geschäftsführer oder Vorstand, Leiter EDV/IT, Personal/HR, Marketing oder Recht bzw. Betriebs-/ Personalrat
Ist der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt und in die Informationsprozesse im Unternehmen, insbesondere bei der Planung und Anschaffung von Informationstechnologie eingebunden?
Hat der Datenschutzbeauftragte die Möglichkeit, sich regelmäßig fortzubilden (Schulung, Literatur etc.)?
Ergibt eine Kosten-Nutzen-Analyse für Ihr Unternehmen, dass die Bestellung eines internen Datenschutzbeauftragten der Bestellung eines externen Datenschutzbeauftragten vorzuziehen ist?
Sollten Sie alle Fragen bejahen können, ist für Ihr Unternehmen die Bestellung eines internen Datenschutzbeauftragten die vorzuziehende Lösung.
Sollten Sie nicht alle Fragen bejahen können, ist für Ihr Unternehmen die Bestellung eines externen Datenschutzbeauftragten anzuraten.
Egal, welche Antworten Sie hier gegeben haben: Weiter geht es mit SCHRITT 3!
SCHRITT 3 – Erfüllt Ihr Unternehmen die datenschutzrechtlichen Kernanforderungen?
Hat Ihr Unternehmen einen schriftlich bestellten Datenschutzbeauftragten oder ist eine andere Person für die Wahrung des Datenschutzes zuständig, und wird diese Person bei der Einführung/Implementierung datenschutzrelevanter Systeme und Prozesse hinreichend beteiligt?
Führt Ihr Unternehmen eine Dokumentation der Datensicherheitsmaßnahmen (sog. Datensicherheitskonzept)?
Sind alle Beschäftigten auf das Datengeheimnis i.S.d. § 5 BDSG verpflichtet worden?
Gibt es ein „Verfahrensverzeichnis für Jedermann“?
Gibt es eine interne Übersicht der Verfahren, mit denen personenbezogene Daten verarbeitet werden („internes Verfahrensverzeichnis“ / Verarbeitungsübersicht)?
Gibt es eine IT-Richtlinie (o.ä.) für Beschäftigte, aus der sich ergibt, ob und wie die IT-Systeme im Unternehmen verwenden dürfen?
Werden Ihre Mitarbeiter im erforderlichen Ausmaß mit den Vorschriften des Datenschutzes vertraut gemacht (etwa per Schulungen, Trainingsmaßnahmen oder Informationsmedien)?
Gibt es eine Risiko- und Schwachstellenanalyse im Hinblick auf Räume, IT-Systeme, IT-Applikationen und Netzwerkkomponenten?
Sollten Sie diese Fragen mit JA beantworten können, dann erfüllt Ihr Unternehmen die datenschutzrechtlichen Kernanforderungen. Fahren Sie mit SCHRITT 4 fort!
Sollten Sie NICHT alle Fragen mit JA beantworten können, dann verletzt Ihr Unternehmen wahrscheinlich wesentliche datenschutzrechtliche Pflichten. Berücksichtigen Sie die zusätzlichen Aspekte eines modernen Datenschutzmanagements unter SCHRITT 4 und entscheiden sich für eine Handlungsalternative gemäß SCHRITT 5.
SCHRITT 4 – Werden Datenschutzstandards in Ihrem Unternehmen praktisch umgesetzt?
Bestehen in Ihrem Unternehmen verbindliche Regelungen zum sicheren Umgang mit betrieblicher IT-Technik?
Hat Ihr Unternehmen rechtssichere und wirksame Regelungen zur Privatnutzung der betrieblichen IuK-Technik, insbesondere des PC, des Festnetzes, von Mobiltelefonen, des Internet und des Email-Systems getroffen?
Wissen Ihre Mitarbeiter und Kunden, welche Daten über Sie in Ihrem Unternehmen verarbeitet werden und wer darauf Zugriff hat?
Werden personenbezogene Daten grundsätzlich selbst beim Betroffenen erhoben?
Wird Sorge dafür getragen, dass personenbezogene Daten grundsätzlich nur dann verarbeitet werden, wenn dies zur Erbringung vertraglicher Leistungen erforderlich, im Rahmen einer Interessenabwägung zulässig ist oder eine Einwilligung des Betroffenen vorliegt?
Hat Ihr Unternehmen einen datenschutzkonformen Internetauftritt, der aktuelle, rechtskonforme und abmahnsichere Datenschutzbestimmungen enthält?
Ist das Haftungs-, Bußgeld- und Sanktionsrisiko für Ihr Unternehmens im Bereich Datenschutz analysiert worden und hat man ggf. entsprechende Vorkehrungen getroffen?
Wird Sorge dafür getragen, dass im Falle einer unbefugten Kenntnisnahme durch Dritte von Daten, die nach § 42a BDSG geschützt sind, sofort der Datenschutzbeauftragte informiert wird?
Gibt es einen Ablaufplan für den Fall einer Datenpanne?
Sollten Sie diese Fragen mit JA beantworten können, dann setzt Ihr Unternehmen wesentliche Datenschutzstandards auch in die Praxis um. Dementsprechend dürfte das Datenschutzniveau in Ihrem Unternehmen als ausreichend zu bezeichnen sein. Wir gratulieren Ihrem Unternehmen und insbesondere Ihrem Datenschutzbeauftragten! SCHRITT 5 ist nicht weiter relevant.
Sollten Sie diese Fragen teilweise verneinen müssen, setzt Ihr Unternehmen wesentliche Datenschutzstandards nicht in die Praxis um. Entscheiden Sie sich für eine Handlungsalternative gemäß SCHRITT 5.
SCHRITT 5 - Handlungsalternativen
Sofern Ihr Unternehmen die erforderlichen Maßnahmen zum Datenschutz bisher nicht eingeleitet hat, ergeben sich folgende Handlungsalternativen:
a) Datenschutzbeauftragter ist bestellt
- Sie konfrontieren den Datenschutzbeauftragten Ihres Unternehmens mit den Ergebnissen dieses Selbsttests und bitten um Stellungnahme.
- Sie fordern Ihren Datenschutzbeauftragten dazu auf, die erforderlichen Maßnahmen zum Datenschutz einzuleiten.
- Sie bieten Ihrem Datenschutzbeauftragten an, sich durch fachkundige Experten auf dem Gebiet des Datenschutzes unterstützen zu lassen.
b) Bisher kein Datenschutzbeauftragter bestellt
- Sie empfehlen Ihrem Unternehmen die Beauftragung eines Mitarbeiters mit der Umsetzung der erforderlichen Datenschutzmaßnahmen oder die Bestellung eines internen Datenschutzbeauftragten unter Berücksichtigung der SCHRITTE 1 und 2.
- Sie bestellen einen externen Datenschutzbeauftragten und beauftragen ihn mit der Umsetzung der erforderlichen Maßnahmen.
Darüberhinaus stehen wir Ihnen gerne als Berater für Datenschutz und Datensicherheit bei der Umsetzung zur Seite. Gibt es in Ihrem Unternehmen dringenden Handlungsbedarf? Wie Sie dann vorgehen sollten und welche schnelle und professionelle Lösung sich für Sie finden lässt, erläutern wir Ihnen gerne in einem kostenlosen unverbindlichen Beratungsgespräch zum betrieblichen Datenschutz.
Sollte die gesetzliche Bestellpflicht vorliegen, so besteht auch jederzeit die Möglichkeit, uns zum externen Datenschutzbeauftragten zu bestellen.
Rechtlicher Hinweis
In diesem Internetangebot erfolgt keine Rechtsberatung. Diese bleibt rechtsberatenden Berufen vorbehalten. Dieser Selbsttest berührt auch komplexe rechtliche Fragestellungen. Um seine Praxistauglichkeit zu gewährleisten, wurden eher seltene Fallkonstellationen bei der Konzeption außer Acht gelassen. Für die Richtigkeit der Ergebnisse kann daher keine Gewähr übernommen werden.
Kontaktaufnahme über dsb@the-expert.eu