Mithilfe des nachfolgenden Beitrages soll allen neuen Datenschutzbeauftragten eine Orientierung gegeben werden, um im neuen Aufgabenbereich eine Priorisierung der Aufgaben vornehmen zu können und eine strukturierte Vorgehensweise zu implementieren.

Spätestens in 2018 wurden viele Beschäftigte mit der Aufgabe betraut, den Datenschutz im Unternehmen zu übernehmen. Nicht wenige mussten sich mit dem Thema und der neuen Aufgabenstellung befassen und eigenständig orientieren. Auch sechs Jahre später stellt das breit gefächerte Thema Datenschutz den Einzelnen noch vor Herausforderungen. Andere haben vielleicht den Arbeitgeber gewechselt und starten mit dem Thema Datenschutz in einem neuen Unternehmen.

Damals wie heute stellt sich die Frage:

„Wo fange ich an?“

Zu Beginn ist es selbstverständlich immer hilfreich, sich einen Überblick darüber zu verschaffen, was bereits da ist. Sollte die Position des Datenschutzbeauftragten bereits vorab besetzt gewesen sein und sollte diese Person noch zur Verfügung stehen, ist die strukturierte Übergabe die ideale Vorgehensweise. Wer hingegen auf sich allein gestellt ist, wird um ein Selbststudium nicht herumkommen. Etwaig vorhandene Jahresberichte wären hier ein guter Start. Bei der Aufarbeitung kann jedoch ein nicht unerheblicher Aufwand entstehen, um sich einen eigenen Überblick über das bestehende Datenschutz-Managementsystem zu verschaffen. Nicht selten wird sich dieses aus einer Vielzahl von Word-, Excel- und PowerPoint-Dateien zusammensetzen, deren Auffinden und Sichten viel Zeit in Anspruch nehmen wird. Im Idealfall kommt aber bereits eine Datenschutz-Software für die Dokumentation zum Einsatz.

Einarbeitung und Begleitung des daily business

Die Phase der eigenen Einarbeitung wird i. d. R. von ersten Anfragen der Kollegen begleitet. Deren tägliche Aufgaben und Projekte sind aus datenschutzrechtlicher Sicht parallel zu begleiten. Hier gilt es ein gutes Zeitmanagement zu finden. Das daily business wird nicht warten können, bis die Einarbeitung abgeschlossen ist. Allerdings ist ein gutes Grundverständnis vom Datenschutz im Unternehmen die Basis für alle anstehenden Projekte und Aufgaben.

Nach hiesiger Ansicht ist eine erste Priorisierung der Einarbeitung empfehlenswert. Der Fokus sollte dabei auf datenschutzrechtliche Prozesse gelegt werden, welche die Realisierung der Projekte und Lösung der Aufgaben begleiten können. So ist ein bestehender Prozess oder eine Richtlinie zur Integration neuer Verarbeitungstätigkeiten eine gute Grundlage zur weiteren Zusammenarbeit. Ob bereits entsprechende Prozesse im Unternehmen integriert und bekannt sind, sollte im direkten Kontakt mit den Ansprechpartnern geklärt werden. Es wäre ineffizient, wenn bereits vorhandene Abläufe nicht genutzt werden und eine zeitintensive Begleitung von Einzelprojekten erfolgen muss.

Generell sollte die Kommunikation zu den anderen Abteilungen und Ansprechpartnern zu Beginn einen hohen Stellenwert haben. Nur so kann man als neuer Datenschutzbeauftragter einen Eindruck bekommen, wie das Thema bisher gehandhabt und gelebt wurde. Insbesondere etablierte Abläufe, wie Meetings oder Kommunikationswege, können so eruiert und weitergeführt werden. Wenn diese nicht dem gewünschten Vorgehen entsprechen, jedoch zielführend sind, sollte eine Anpassung im Interesse der Belegschaft aufgeschoben werden. So können Reibungseffekte in der Anfangszeit der Zusammenarbeit vermieden werden.

Ergebnis der Einarbeitung

Das Ergebnis der Einarbeitung sollte klar und deutlich darstellen, wie der Stand des Datenschutzes im Unternehmen ist. Liegen datenschutzrechtliche Prozesse vor und sind diese im Unternehmen integriert? Sind und werden die Beschäftigten im Bereich des Datenschutzes geschult? Sind die Dokumentationspflichten erfüllt? Werden die Betroffenen über die Datenverarbeitungen informiert? Werden Daten gelöscht? Liegen die notwendigen Verträge mit Dienstleistern vor?

Die hier herausgearbeiteten offenen Punkte sind mit der Geschäftsführung zu besprechen bzw. dieser zu kommunizieren. Anschließend werden diese die Grundlage zur Vervollständigung des Datenschutz-Managementsystems bilden.

Prioritäten setzen

Mit dem ersten Überblick über das Datenschutz-Managementsystem können die nächsten Arbeitsschritte geplant werden. Dabei ist es wichtig, dass die noch offenen Punkte erfasst und dokumentiert sind. In Abstimmung mit den Verantwortlichen sollten Prioritäten festgelegt werden. Dabei ist es nicht unüblich, dass sich die gesetzten Prioritäten des Datenschutzbeauftragten und des Verantwortlichen unterscheiden. Auf Seite der Geschäftsführung wird die Gewichtung von einzelnen Projekten oder Aufgaben unter Umständen anders bewertet. Ebenso werden die zukünftige Ausrichtung des Unternehmens oder anstehende Veränderungen hier zu berücksichtigen sein, welche ein neuer Datenschutzbeauftragter nicht kennen kann. So erübrigt sich bspw. eine zeitaufwändige Überarbeitung der Website, wenn diese zeitnah neu aufgesetzt wird. Ebenso können geplante Personalwechsel oder Neubesetzungen die datenschutzrechtliche Aufarbeitung verzögern.

Grundsätzlich sollte der Datenschutzbeauftragte daher die aus seiner Sicht relevanten Faktoren darstellen können, welche zur Priorisierung eines datenschutzrechtlichen Projekts führen können. In Abhängigkeit vom Tätigkeitsbereich des Unternehmens ist in einem ersten Schritt danach zu unterscheiden, ob das aktive Geschäft des Unternehmens datenschutzrechtlich relevant ist. Auch wenn die Personaldatenverarbeitung regelmäßig einen hohen Stellenwert hat, wird diese bspw. in einem Krankenhaus gegenüber der Patientenversorgung zurückstehen müssen. Wohingegen im produzieren Gewerbe der HR-Bereich den Hauptschwerpunkt bei der Verarbeitung von personenbezogenen Daten bilden wird.

In Bezug auf ein konkretes Vorhaben oder Projekt können folgende Fragestellungen herangezogen werden, um eine Priorisierung zu ermöglichen:

  • Ist das aktive Geschäft des Unternehmens hiervon betroffen?
    Das Schließen von datenschutzrechtlichen Lücken im aktiven Geschäftsablauf soll die Rechtssicherheit im Unternehmen gewährleisten.
  • Welche datenschutzrechtliche Relevanz hat der betroffene Bereich für das Unternehmen?
    Die Personaldatenverarbeitung wird aus datenschutzrechtlicher Sicht regelmäßig einen höheren Stellenwert einnehmen als der Einkauf oder die Logistik.
  • Wie relevant ist das Vorhaben für die Außenwirkung?
    Das Bereitstellen eines Consent-Banners und einer aussagekräftigen Datenschutzerklärung hat erhebliche Auswirkung. Das Fehlen entsprechender Informationen fällt heutzutage selbst Laien auf und kann durch einen einfachen Besuch der Website erkannt werden.
  • In welchem zeitlichen Rahmen kann das Projekt umgesetzt werden?
    Langfristige Projekte müssen schnellstmöglich begonnen werden. Kurzfristige Projekte können in einer strukturierten Timeline abgearbeitet werden.
  •  Welche und wie viele Ansprechpartner werden hierfür benötigt?
    Fehlende Kapazitäten der Ansprechpartner führen regelmäßig zu Verzögerungen und binden unter Umständen die Aufmerksamkeit des Datenschutzbeauftragten zum falschen Zeitpunkt.
  • Gibt es bereits Lösungen?
    Auch schwierige Sachverhalte können zielgerichtet gelöst werden, wenn das Unternehmen oder der Datenschutzbeauftragte bereits über die notwendigen Informationen, Richtlinien oder Prozessdarstellungen verfügt und lediglich eine Implementierung notwendig ist.
  • Handelt es sich um eine Abhilfemaßnahme aus einer vorangegangenen Datenpanne, deren Umsetzung noch aussteht?
    Die Umsetzung der bei einer Datenpanne eruierten Anpassungsmaßnahmen sollte fortgesetzt werden, um erneute Vorfälle zu vermeiden.
  • Gab es in der Vergangenheit oder aktuell diesbezüglich Betroffenenanfragen?
    Gesetzlich vorgegebenen Fristen sind einzuhalten und erfordern zeitnahe Umsetzungen. Durch entsprechende Maßnahmen kann den Ursachen für Betroffenenanfragen sowie den zeit- und personalbindenden Rückmeldungen an die Betroffenen begegnet werden.
  • Gab es in der Vergangenheit oder aktuell Anfragen der Aufsichtsbehörden?
    Aufgrund der hier gesetzten Fristen der Aufsichtsbehörde sind unmittelbare Umsetzungen notwendig.
  • Handelt es sich um eine Dokumentationspflicht oder die Anpassung von Datenverarbeitungsprozessen?
    Dokumentationspflichten sind regelmäßig im Nachgang erfüllbar und können auch mithilfe der Abteilungen oder der Datenschutzkoordinatoren erfüllt werden. Wohingegen die Anpassung von konkreten Prozessen im direkten und unmittelbaren Austausch mit dem Datenschutzbeauftragten erfolgen sollten.

Es steht außer Frage, dass auch die kleinste Lücke im Datenschutzmanagement das Bedürfnis weckt, geschlossen zu werden, da sich hieraus immer ein Risiko ergeben kann. Erschwerend kommt hinzu, dass die Dokumentation im Datenschutz ständigem Wandel unterliegt und sich mit dem Unternehmen weiterentwickelt. Daher ist es besonders wichtig, unter allen potenziellen datenschutzrechtlichen Risiken Prioritäten zu setzen und diese auch mit der Geschäftsführung abzustimmen.

Fazit

Mit einer strukturierten Priorisierung von Projekten und Themen wird es einem Datenschutzbeauftragten auch in einem neuen Unternehmen möglich sein, das Datenschutz-Managementsystem entsprechend zu betreuen, Prozesse zu integrieren und das daily business begleiten zu können.

| | | , , , , , , ,