Wirtschaft & Recht

Datenschutz-Ma­na­ge­ment­sys­tem: Auch in Klein­be­trie­ben sinnvoll

Obwohl die DS-GVO es nicht ver­langt: Ein Da­ten­schutz-Ma­na­ge­ment­sys­tem ist für je­des Un­ter­neh­men sinn­voll. Meist reicht ei­ne klei­ne, in­di­vi­du­el­le Lö­sung. Sie kann mit An­walt oder ex­ter­nem Da­ten­schutz­be­auf­trag­ten er­ar­bei­tet wer­den, so Fre­de­rick Rich­ter, Vor­stand der Stif­tung Datenschutz.

Teilen auf

LinkedIn Xing Whatsapp

TRIALOG: Am Wochenende feiert die Datenschutz-Grundverordnung ihr Einjähriges. Die Diskussion über die praktischen Auswirkungen der DS-GVO auf Unternehmen ist in den vergangenen zwölf Monaten abgeflaut, aber nicht verstummt. Und die Aufsichtsbehörden scheinen nach einer gewissen Schonfrist stärker bei Verstößen gegen die DS-GVO durchzugreifen. Müssen wir also mit neuem Ärger rechnen? Und vor allem: Brauchen auch kleinere Betriebe ein Datenschutz-Managementsystem, ein sogenanntes DSMS, um den Anforderungen der Datenschutz-Grundverordnung gerecht zu werden?

Foto von Frederick Richter Vorstand der Stiftung Datenschutz
Frederick Richter ist Vorstand der Stiftung Datenschutz in Leipzig. Die Bundesstiftung dient als Diskussionsplattform für eine effektive und effiziente Datenpolitik und unterstützt die Entwicklung von Datenschutz-Zertifizierung.

Frederick Richter: Was die Diskussion angeht: Die DS-GVO ist ein emotional aufgeladenes Thema und für viele Unternehmer mit einem gewissen Aufwand verbunden. Das erklärt die oft heftige Debatte. Tatsächlich ist aber niemand gezwungen, ein umfassendes Datenschutz-Managementsystem aufzubauen. Es gibt keine formale Vorgabe, wie die bis zu 60 Pflichten zu erfüllen sind, die sich aus der DS-GVO ergeben. Jeder Firmenchef sollte für seinen Betrieb prüfen, wer in welcher Form mit personenbezogenen Daten umgeht und welche konkreten Pflichten daraus folgen. Die können bei einem kleinen Unternehmen etwa in der Gesundheitsbranche mit vielen Kundendaten sehr umfassend sein. Und bei einem Großbetrieb, beispielsweise einem Rohstoffhersteller mit nur wenigen Geschäftskunden, dann sogar vergleichsweise geringer. Ob und in welchem Umfang ein formalisiertes Datenschutz-Managementsystem erforderlich ist, ergibt sich vor allem aus der Antwort auf diese Frage.

Individuelles Da­ten­schutz-Ma­na­ge­ment­sys­tem ist sinnvoll

TRIALOG: Auch für kleine Betrieb kann ein Datenschutz-Managementsystem sinnvoll sein?

Frederick Richter: Kommt darauf an, was Sie unter einem Datenschutz-Managementsystem verstehen. Das muss ja nicht automatisch eine als Komplettpaket gekaufte Lösung sein. Auch in kleineren Betrieben ist es stets sinnvoll, die zur Einhaltung der DS-GVO erforderlichen technischen und organisatorischen Maßnahmen strukturiert zusammenzuführen. So entsteht quasi von selbst eine Art individuelles Datenschutz-Managementsystem. Das muss gar nicht ausufernd sein, kann aber trotzdem die für das jeweilige Unternehmen wichtigen Punkte sauber abbilden. Insofern ist auch ein Datenschutz-Managementsystem der Marke Eigenbau sehr hilfreich. Es sorgt nicht nur dafür, dass alle relevanten Aspekte der DS-GVO dokumentiert und technisch oder organisatorisch berücksichtigt sind. Es erleichtert dem Firmenchef und seinen Mitarbeitern im Ernstfall auch die schnelle und richtige Reaktion.

DS-GVO gilt auch für Zu­lie­fe­rer oder Ge­schäfts­kunden

TRIALOG: Ganz alleine wird ein Schreiner, Orthopädietechniker oder Zahnarzt so ein selbst gestricktes Datenschutz-Managementsystem aber kaum hinbekommen. Gerade kleinere Unternehmen, die vor allem Privatkunden bedienen, stöhnen über den mit der DS-GVO verbundenen Aufwand.

Frederick Richter: Bei der Analyse sowie Suche nach einer passenden Lösung sollten Firmenchefs sich von Experten unterstützen lassen. Etwa einem im Datenschutz erfahrenen Anwalt oder externen Datenschutzbeauftragten. Anleitungen wie die vom Bayerischen Landesamt für Datenschutzaufsicht helfen beim Umsetzen konkreter Maßnahmen. Einen Überblick über Checklisten von Behörden, Kammern und Verbänden bietet die Datenbank der Stiftung Datenschutz. Besonders wichtig ist das Verarbeitungsverzeichnis als Inventurliste der persönliche Daten betreffenden Prozesse und Lagerorte. Das ist gesetzlich erforderlich und wird bei einer Datenpanne als erstes von der Aufsichtsbehörde angesehen. Grundsätzlich sollte jeder Unternehmer wissen: Nichtstun ist keine Alternative. Viele kleine und mittelständische Betriebe mit Geschäftskunden meinen weiter, man habe kein datenbasiertes Geschäftsmodell. Und denken an Konzerne wie Google oder Facebook. Aber die DS-GVO gilt eben nicht nur für persönliche Daten von Privatkunden, sondern auch die von Mitarbeitern oder Zulieferern. Hier ist teils noch viel nachzuholen, oft bräuchte es sicher eine Art individuelles Datenschutz-Managementsystem.

Die DS-GVO gilt eben nicht nur für persönliche Daten von Privatkunden, sondern auch die von Mitarbeitern oder Zulieferern. Hier ist in kleinen und mittelständischen Unternehmen noch viel nachzuholen.

Frederick Richter, Vorstand der Stiftung Datenschutz

Datenschutz-Ma­na­ge­ment­sys­tem kann Be­hör­de besänftigen

TRIALOG: Was sind die größten Schwachstellen, die dann auch Bußgelder auslösen könnten?

Frederick Richter: In vielen Unternehmen sind die Prozesse nicht sauber analysiert und den neuen Anforderungen angepasst worden. Es fehlen Konzepte zur Datenlöschung, oder man hat Fristen nicht im Griff. Ein DS-GVO-relevanter Vorfall muss etwa binnen 72 Stunden gemeldet sein. Da hilft natürlich ein durchdachtes Datenschutz-Managementsystem.

TRIALOG: Werden die Datenschutzbehörden jetzt, ein Jahr nach Inkrafttreten der DS-GVO, die Zügel weiter anziehen?

Frederick Richter: Sie werden besonnen entscheiden, wie im Fall der Chat-Plattform knuddels.de. Aber sie werden verstärkt von sich aus in Betriebe gehen, um die Einhaltung der DS-GVO zu kontrollieren. Wer ein sauberes Verarbeitungsverzeichnis vorlegen und mit einem durchdachten Datenschutz-Managementsystem punkten kann, hat sicher bessere Karten als DS-GVO-„Ignorierer“. Spätestens bei einer Datenpanne dürfte sich das Bußgeld daran orientieren, ob Datenschutz aktiv und auf dem neuesten Stand der Technik betrieben wurde. Es gibt keine hundertprozentige Sicherheit. Aber es gibt jene, die sich bemühen sowie im Ernstfall mit den Behörden kooperieren – und jene, die dann wegen Untätigkeit tatsächlich mit schmerzhaften Sanktionszahlungen rechnen müssen.

Hat Ihnen der Beitrag gefallen?

Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.