Wie New Work die Mitarbeiterzufriedenheit nachhaltig verbessert.
Wie New Work die Mitarbeiterzufriedenheit nachhaltig verbessert.
Quelle: Pixabay / TheDigitalArtist
Das Thema Datenschutz wird immer komplexer und die Aufgaben des Datenschutzbeauftragten werden dadurch immer größer. Dies führt dazu, dass Unternehmen es in Erwägung ziehen, einen externen Datenschutzbeauftragten zu bestellen. Doch um diesen zu bestellen, müssen einige Schritte vorab gegangen werden.
Die Aufgaben hinsichtlich des Datenschutzes können sowohl von einem internen Mitarbeitenden, als auch durch einen externen Dienstleister übernommen werden. Wenn interne Mitarbeitenden die Aufgaben erledigen, müssen diese freigestellt werden und auch eine entsprechende Qualifikation vorweisen können. Externe Datenschutzbeauftragte haben den Vorteil, dass die Mitarbeitenden des Dienstleisters keinem Interessenkonflikt unterliegen, die Kosten planbar sind und diese vielfältige Kenntnisse und Erfahrungen haben. Gleichzeitig erhalten diese in der Regel automatisch Weiterbildungen. Das beauftragende Unternehmen hat somit weniger Planungsaufwand. Gleichzeitig genießt der interne Datenschutzbeauftragte einen besonderen Kündigungsschutz.
Wenn Unternehmen sich entscheiden einen externen Datenschutzbeauftragten zu bestellen, durchlaufen diese einen Prozess von insgesamt fünf Schritten. Dafür ist es im ersten Schritt notwendig den passenden externen Datenschutzbeauftragten zu finden, um im Anschluss alle Dokumente zu prüfen und in einem ersten Meeting zusammenzukommen. Im ersten Kick-off-Meeting kommen alle Verantwortlichen zusammen und es kann in einem vierten Schritt der Bericht erstellt sowie Maßnahmen festgelegt werden. Wenn nun alle Schritte durchlaufen wurden, kann der externe Datenschutzbeauftragte bestellt werden.
Bei der Wahl des externen Datenschutzbeauftragten sollten einige wichtige Merkmale beachtet werden. Denn die Problematik besteht darin, dass die Bezeichnung „Datenschutzbeauftragte*r“ nicht geschützt ist und sich jeder Datenschutzbeauftragter nennen darf ohne dabei Qualifikationen vorweisen zu müssen. Das beauftragende Unternehmen übernimmt jegliche Verantwortung, wenn diese keine geeignete Person auswählt. Somit ist es umso wichtiger, dass der externe Datenschutzbeauftragte bestimmte Kriterien erfüllt. Dabei gilt es folgende Kriterien zu beachten:
Nachdem der passende Anbieter gefunden wurde, werden in einem ersten Termin alle Verantwortlichen eingeladen. In diesem werden die Verantwortlichen inkl. Management über sämtliche Anforderungen der DSGVO informiert und aufgeklärt, welche Aufgaben zu erfüllen sind.
Zu diesem ersten Termin sollten die Beteiligten des beauftragenden Unternehmens bereits erste Unterlagen dem externen Anbieter weitergeleitet haben. Hierzu gehören beispielsweise Unterlagen zu den bereits getroffenen technischen und organisatorischen Maßnahmen. Dabei können vertrauliche Daten zu Beginn noch anonymisiert werden. Der externe Anbieter prüft die entsprechenden Unterlagen auf Vollständigkeit, bewertet diese und kontrolliert die notwendigen rechtlichen Aspekte.
Vorab gilt es hier zu erwähnen, dass ein Datenschutzaudit freiwillig ist und im §9a BDSG hierfür lediglich die Möglichkeit eingeräumt wird. Jedoch ist es durchaus sinnvoll ein Datenschutzaudit durchzuführen.
Dabei erfolgt das Datenschutz-Audit am Hauptsitz des Unternehmens. Mit den Verantwortlichen aus den Bereich IT, Marketing, Vertrieb sowie dem Personal werden Informationen zur Gebäudesicherheit, dem Datenschutzmanagement und dem IT-Sicherheitsmanagement ausgetauscht. Die notwendigen Informationen des Audits werden dokumentiert und stellen den Ist-Zustand des Unternehmens dar. In der Dokumentation werden auch alle zukünftigen und rechtlich notwendigen Maßnahmen festgehalten.
In diesem Rahmen werden unter anderem alle Prozesse geprüft und kontrolliert, wie mit den personenbezogenen Daten umgegangen wird. Um alle Prozesse zu kennen ist es hilfreich bereits vorab, einer Checkliste zum Datenschutzaudit nachzugehen. Die Checkliste sollte dabei auch Fragen zur Organisations-, Zutritts-, Zugangs- und Zugriffskontrolle enthalten. Gleichzeitig erfolgt eine Weitergabe- und Eingabekontrolle sowie die Kontrolle der Aufträge, der Verfügbarkeit und des Trennungsgebots. Im Detail geht es beispielsweise bei der Kontrolle der Organisation darum, ob gemäß den §4f und dem §4g BDSG ein Datenschutzbeauftragter vorhanden ist. Auch wird überprüft, ob gemäß §5 BDSG die Mitarbeitenden dazu verpflichtet sind, sich an das Datengeheimnis zu halten. Im Bereich der Organisation wird ebenso abgefragt, ob Datenschutzschulungen erfolgen und ein Datenschutzkonzept vorhanden ist. Bei der Zutrittskontrolle geht es im Detail um die Gebäudebeschränkung, der Zugang zu Rechenzentren ausschließlich für befugtes Personal, die sichere Aufstellung der Server sowie der beschränkte Zutritt für Räume, in den Akten und Datenträger verwahrt werden. In der Zugangskontrolle geht es um die Einrichtung von Bildschirmsperren sowie um die Installation, Aktivierung und Aktualisierung einer Firewall. Im Bereich der Zugriffe müssen Fragen zum Zugriffsberechtigungskonzept, die unterschiedlichen Zugriffsrechte sowie die Dokumentation bei der Verletzung der Rechte beantwortet werden. Hier spielen auch Fragen zur Entsorgung von beispielsweise Datenträgern oder auch der Kopier- und Bearbeitungsschutz eine tragende Rolle. Bei der Weitergabekontrolle geht es darum, ob eine Datenverschlüsselung aktiv ist bzw. ob überhaupt eine Verschlüsselung eingerichtet wurde. Bei der Verfügbarkeitskontrolle wird darauf geachtet, ob beispielsweise Sicherungskopien vorhanden sind und wie Daten abgesichert sind. Im Datenschutzaudit ist auch die Einhaltung der Löschfristen zu hinterfragen und Datenschutzleitlinien und –konzepte sind wesentliche Bestandteile. In einem weiteren Schritt wird auch die Erfüllung der Informationspflichten gem. Art. 13 f. DSGVO überprüft.
Achtung: Die Punkte stellen ausschließlich einen Ausschnitt an Fragen dar, die im Datenschutzaudit abgefragt werden und stellen keine Rechtsberatung dar. Es besteht kein Anspruch auf Richtigkeit. |
Als Arbeitsgrundlage für die festzulegenden Maßnahmen dient der Auditbericht. Letztendlich können daraus Optimierungen abgeleitet werden. Der Bericht sollte dabei Punkte wie die Beschreibung der datenschutzrechtlichen Situation, aber auch Handlungsempfehlungen enthalten. Bei der Handlungsempfehlung sind mit Priorisierungen und Reifegrade zu ergänzen. Durch die Ergänzung von Prioritätsstufen und Reifegraden kann das Unternehmen erkennen, ob es sich um eine gesetzliche Anforderung handelt oder hierdurch lediglich der Datenschutz verbessert wird.
Nun kann ein externer Datenschutzbeauftragter bestellt werden und diese sollte dokumentiert werden. Bei der Bestellung kann in der Regel zwischen unterschiedlichen Tarifen gewählt werden und es müssen in diesem Rahmen Überlegung zur Aufgabendelegation an den beauftragten Datenschutzbeauftragten angestellt werden.
Mit den steigenden Anforderungen an den Datenschutz und die Datensicherheit werden auch die Anforderungen an den Datenschutzbeauftragten immer größer. So überlegen immer mehr Unternehmen die Aufgaben des Datenschutzbeauftragten outzusourcen. Bevor jedoch ein externer Datenschutzbeauftragter bestellt werden kann, müssen jedoch erste Schritte vorab durchgeführt werden. Diese gehen von der Wahl des Datenschutzbeauftragten, über die Dokumentenprüfung bis hin zum Datenschutzaudit und der Ergreifung erster Maßnahmen, ehe der externe Datenschutzbeauftragte bestellt werden kann.
Sie brauchen Hilfe bei der Bestellung eines externen Datenschutzbeauftragten? Kein Problem! Wir helfen Ihnen gerne. Vereinbaren Sie noch heute einen kostenfreien Termin zur Erstberatung.
Wie New Work die Mitarbeiterzufriedenheit nachhaltig verbessert.
Wie New Work die Mitarbeiterzufriedenheit nachhaltig verbessert.
Praktische Tools für den Modern Workplace: Eine Übersicht.
Praktische Tools für den Modern Workplace: Eine Übersicht.
Modern Work vs. New Work: Was unterscheidet die beiden Arbeitsmodelle?
Modern Work vs. New Work: Was unterscheidet die beiden Arbeitsmodelle?
Gebäudeautomatisierung nach dem §71a GEG.
Gebäudeautomatisierung nach dem §71a GEG.
NetTask ist der führende Cloud Service Provider für „Modernes Arbeiten“ in Europa. Mit unserer langjährigen Themen- und Umsetzungskompetenz in der Informations- und Kommunikationstechnologie entwickeln wir, auf der Basis von Microsoft-Technologie (deHOSTED Exchange, deHOSTED Skype for Business, deHOSTED SharePoint, deHOSTED Office 365, IoT - Technologie), cloudbasierte, hochperformante und sichere Services für die digitale Unternehmenskommunikation und Kollaboration.
Unsere Lösungen bieten Unternehmen einen nachhaltigen Mehrwert in der Arbeitseffizienz, Produktivität sowie der zielgerichteten wirtschaftlichen Verwendung ihrer IT-Budgets.