Viele kleine Unternehmen, Kanzleien und Praxen wurden Mitte 2019 von der Pflicht befreit, einen Datenschutzbeauftragten zu bestellen. Diese sollten nun reagieren und entweder freiwillig einen (externen) Datenschutzbeauftragten bestellen oder zumindest einen oder mehrere interne Datenschutzkoordinatoren bestellen und entsprechend ausbilden. Denn die Pflicht zu Aufbau und Pflege eines Datenschutz-Managementsystems (DSMS) im Unternehmen ist geblieben. Packen wir's an!
Hintergründe für diesen Blogbeitrag
Der Datenschutzkoordinator - ein Tausendsassa! |
Der Bundestag hat im 2. DSAnpUG den Schwellenwert für die Pflicht zur Bestellung eines (externen) Datenschutzbeauftragten verdoppelt. Nun gilt diese Pflicht erst für ein Unternehmen, wenn sich mindestens zwanzig (bisher: zehn) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Für viele kleine Unternehmen/ Kanzleien/ Praxen wie z.B. Steuerberater, Rechtsanwälte, Ärzte, Zahnärzte, Apotheken, Handwerker, Architekten, etc. entfällt nun die Pflicht, einen Datenschutzbeauftragten zu bestellen. Doch Branchenverbände und auch Landesdatenschutzbeauftragte warnen offiziell davor, den Datenschutz durch den Wegfall der Pflicht auf die leichte Schulter zu nehmen.
Denn eine Lockerung der Pflicht zur Einhaltung der grundsätzlichen Datenschutzbestimmungen ist damit nicht verbunden (wir berichteten in einem separaten Blogbeitrag).
Link zum Blogbeitrag: Bundestag verabschiedet Anpassung zum BDSG-neu |
Die Befreiung von der Bestellpflicht eines DSB befreit nicht von der Einhaltung der Datenschutzbestimmungen
Die betroffenen kleinen Unternehmen/ Kanzleien/ Praxen wie z.B. Steuerberater, Rechtsanwälte, Ärzte, Zahnärzte, Handwerker, Architekten, etc. benötigen nun umso mehr ein Datenschutzmanagementsystem (DSMS), um sicherzustellen und dokumentiert nachweisen zu können, dass sie die Datenschutzvorschriften gemäß EU-DSGVO, DSAnpUG und anderer Gesetze, Normen und Verordnungen einhalten.
Denn bereits nfang 2019 hatten die Aufsichtsbehörden der Länder angekündigt, künftig weniger Beratung und mehr Kontrollen durchführen zu wollen. Allen voran der Landesdatenschutzbeauftragte Baden-Württemberg (wir berichteten in einem separaten Blogbeitrag).
Link zum Blogbeitrag: LfDI-BW plant fast 20 mal mehr Datenschutz-Kontrollen im Ländle |
Zwei Wege führen zum Ziel
Aus unserer Sicht als erfahrene Datenschutz-Experten gibt es für die betroffenen kleinen Unternehmen/ Kanzleien/ Praxen derzeit nur 2 Möglichkeiten:
- Sie bestellen freiwillig einen Datenschutzbeauftragten. Hier wird es sich nur in den wenigsten Fällen lohnen, einen internen Datenschutzbeauftragten zu bestellen. Daher sollte die Wahl auf einen externen Datenschutzbeauftragten mit möglichste viel (Branchen-) Erfahrung fallen. Im Optimalfall bringt dieser gleich eine Software zum Aufbau eines passenden Datenschutzmanagementsystems (DSMS) mit. Mehr dazu in unserem separaten Blogbeitrag.
- Das Unternehmen ernennt ein internes Team aus einem oder besser mehreren Datenschutzkoordinatoren. Da die Team-Mitglieder i.d.R. über wenig bis gar keine Vorerfahrung im Bereich Datenschutz verfügen werden, ist eine entsprechende Ausbildung zum Datenschutzkoordinator enorm wichtig. Für alle Fälle, in denen das interne Datenschutz-Team trotz Ausbildung nicht weiter kommt, sollte die Zuarbeit eines erfahrenen externen Datenschutz-Beraters gesichert werden. Dieser kann auch speziell bei der Erstaufnahme und beim Start der Umsetzung mit seiner Erfahrung unterstützen. Dafür wird mit diesem ein Beratervertrag geschlossen. Gerade kleinen Unternehmen/ Kanzleien/ Praxen stehen hier Fördermittel zu, wenn sie auf auf speziell akkreditierte Berater zurückgreifen.
Der Unterschied zwischen den beiden Optionen liegt also hauptsächlich in den laufenden Kosten für die Bestellung des externen Datenschutzbeauftragten.
Die Ausbildung der internen Datenschutzkoordinatoren
Sie haben passende Mitarbeiter für das interne Datenschutz-Team aus einem oder mehreren Datenschutzkoordinatoren gefunden. Dann herzlichen Glückwunsch! Denn nicht jeder Mitarbeiter schreit hurra, wenn ihm diese Aufgabe zusätzlich übertragen werden soll.
Immerhin sind die Aufgaben als Datenschutzkoordinator mannigfaltig. Und diese werden in der Regel von den Koordinatoren nebenher erledigt werden müssen. Immerhin haben diese ja bereits einen Vollzeitjob. Sie brauchen also tatsächlich einen Tausendsassa, besser gleich mehrere.
Begriffs-Definition: Ein Tausendsassa ist laut Wikipedia ein vielseitig begabter Mensch, dem man Bewunderung zollt.
Begriffs-Definition: Ein Tausendsassa ist laut Wikipedia ein vielseitig begabter Mensch, dem man Bewunderung zollt.
Hinweis zur Zielgruppe: Die Aufgabe des Datenschutzkoordinators darf übrigens jeder übernehmen. Hier sind auch IT-Leiter, Personal-Leiter, Vertriebs-Leiter und sogar Geschäftsführer zugelassen.
Nun müssen Ihre neuen Datenschutzkoordinatoren erstmal ausgebildet werden. Dafür finden Sie passende 2-Tages-Schulungen in unserer yourIT-Academy:
Auch für die erforderliche Fortbildung Ihrer Datenschutzkoordinatoren in den Folgejahren bieten wir in unserer yourIT-Academy entsprechende 1-Tages-Schulungen an:
Wenn Ihr Unternehmen in Baden-Württemberg sitzt oder Ihr teilnehmender Datenschutzkoordinator aus Baden-Württemberg kommt, haben wir durch die Akkreditierung der yourIT-Academy auch hier für Fördermittel in Höhe von 30% bis 50% gesorgt.
Inhalte der Schulung zum Datenschutzkoordinator
Wir bilden Datenschutzkoordinatoren bereits seit 2010 aus. Folgende Inhalte werden insbesondere vermittelt:
Rechte der Betroffenen
Verzeichnis von Verarbeitungstätigkeiten (VvV)
Datenschutz-Folgenabschätzung (DS-FA) und risikobasiertes Vorgehen
Externe Dienstleister / Auftragsverarbeitung
Technische organisatorische Maßnahmen (TOMs)
Datenschutzrichtlinie
Informationssicherheit (z.B. Passwortrichtlinie)
Einwilligungen, Verpflichtungen, Privatnutzung
Internetauftritt, Facebook & Co.
Datenpannen
Kontrollen durch die Aufsichtsbehörden
Was bringt die Ausbildung der Datenschutzkoordinatoren?
Die Schulungsleiter sind selbst erfahrene Datenschutz-Berater und kommen direkt aus der Praxis. Das Hauptziel muss es sein, diese Praxiserfahrung an die Teilnehmer weiterzugeben.
Außerdem
- können sich die Teilnehmer hierdurch zusätzliche Qualifikationen aneignen. Sie erhalten eine qualifizierte Teilnahmebescheinigung.
- Die neuen Datenschutzkoordinatoren lernen die Vorgehensweise nach dem sogenannten Minimaxprinzip: "So viel wie nötig - so wenig wie möglich!"
- Die Teilnehmer erhalten viele Praxistipps und entsprechende Vorlagen.
- Es findet ein gemeinsamer Erfahrungsaustausch unter den Teilnehmern statt.
Eingehen auf spezielle Brachenanforderungen durch "Blended Learning":
Die Schulung zum Datenschutzkoordinator selbst wird weitestgehend branchenneutral abgehalten. Es wird aber auf spezielle Branchenanforderungen der jeweiligen Teilnehmer eingegangen.
Im Nachgang wird ggfs. ein weiteres Webinar für weitere Branchenanforderungen der Teilnehmer abgehalten, z.B. für Architekten, Handwerker, Besundheitsbranche (Ärzte, Zahnärzte, Apotheker, Orthopädie, Reha, Krankenhaus, ...), IT-Systemhäuser, etc. Diese Webinare werden aufgezeichnet und stehen damit auch den Teilnehmern zur Verfügung, welche am Webinartermin nicht teilnehmen können.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.
Wir freuen uns auf Ihre Anfragen.