Lesezeit: 3 Min
Standard-Datenschutzmodell und Datenschutz-Folgenabschätzung für KMU
Im November 2019 hat die Datenschutzkonferenz (DSK) die zweite Version des Standard-Datenschutzmodells (SDM) veröffentlicht. Dieses ist ein Anwendungshinweis, welcher einen Leitfaden darstellen soll, um Datenschutzbeauftragten oder auch Unternehmen einen sicheren Umgang mit personenbezogenen Daten zu ermöglichen.
Wir von Datenschutzberater.NRW möchten Ihnen in diesem Blogartikel einen kurzen Überblick über dieses Modell zum Thema Datenschutz geben.
Zu Beginn: Die DSK und ihr Standard-Datenschutzmodell
Laut der eigenen Homepage definiert sich die Datenschutzkonferenz selbst folgendermaßen:
(Quelle: offiziellen Webauftritt der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder)Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;[…]
Die mittlerweile zweite Version des ausführlichen Papiers der DSK befasst sich mit allen Bereichen der EU-Datenschutzgrundverordnung (DSGVO) und damit, wie mit personenbezogenen Daten umgegangen werden muss. In den fünf Teilen des SDM werden sowohl die Anforderungen als auch die Umsetzung der DSGVO thematisiert. So beschäftigen sich beispielsweise Teil B des Standard-Datenschutzmodells mit den Vorgaben der Datenschutzgrundverordnung, Teil C um die Systematisierung der Anforderungen der DSGVO durch die Gewährleistungsziele und in Teil D geht es um die praktische Umsetzung.
Was beudeutet das für kleine und mittlere Unternehmen
An aller erster Stelle und als wichtigste Grundlage überhaupt, sollte sich jedes Unternehmen, ja jeder, der mit personenbezogenen Daten arbeitet, die Frage stellen: Welche Daten dürfen überhaupt abgefragt, genutzt und gespeichert werden? Was ist ggf. die rechtliche Grundlage dafür?
Wenn es keine rechtliche Grundlage zur Nutzung und Speicherung personenbezogener Daten gibt, dann muss eine Einwilligung des Betroffenen zwingend eingeholt werden. Zudem haben Unternehmen eine Informationspflicht gegenüber Betroffenen, deren Daten gespeichert werden – es muss klar sein, was, warum gespeichert wird.
Weitere Betroffenenrechte sind das Recht auf Datenübertragbarkeit, das Recht auf Löschen und Beispielsweise auch der Grundsatz der Datensparsamkeit. Bei allen genannten Punkten räumt die Datenschutzgrundverordnung keinen Handlungs- oder Interpretierungsspielraum ein.
Zur Sicheren Handhabung personenbezogener Daten – die Datenschutz-Folgenabschätzung
Damit ein Unternehmen bei der Einhaltung der DSGVO alle rechtlichen Grundlagen einhalten kann, schreibt diese die Datenschutz-Folgenabschätzung (DSFA) vor.
Normalerweise sollte eine Datenschutz-Folgenabschätzung durchgeführt werden, bevor personenbezogene Daten abgefragt oder gespeichert werden. Sinnvoll ist dies auch, wenn zum Beispiel eine neue Software zum Bearbeiten der Kunden- oder Lieferantendaten eingesetzt wird. Natürlich gibt es aber viele Unternehmen, die schon vor Einführung der DSGVO im Jahr 2015 Daten gespeichert und verarbeitet haben und entsprechende Programme nutzen. Also macht es Sinn und ist meist auch verpflichtend eine DSFA nachträglich durchzuführen.
Wie wir an dem Beispiel einer deutschen Immobiliengesellschaft gesehen haben, kann es fatale Folgen für ein Unternehmen habe, wenn die Software zum Beispiel keine Löschung der Daten vorsieht (wir berichteten in einem unserer letzten Blog-Artikel).
Da es kein einheitliches Verfahren zur Durchführung gibt, kann es für ein Unternehmen mitunter schwierig sein, eine Datenschutz-Folgenabschätzung DSGVO-konform durchzuführen. In erster Linie geht es dabei um die Risikobetrachtung – also darum, einzuschätzen wie hoch das Risiko für Betroffene ist, das Ihre Daten missbräuchlich behandelt werden. Sie müssen also in Ihrem Unternehmen eine Bestandsaufnahme über den Umgang mit den personenbezogenen Daten machen und diesen entsprechend bewerten.
Datenschutz ist Chefsache
Das Management eines Unternehmens muss dafür Sorge tragen, dass die DSGVO eingehalten wird, so viel steht fest. Eine Datenschutz-Folgenabschätzung muss also zum einen sicherstellen, dass Prozesse in einem Unternehmen eingehalten werden, zum anderen muss aber auch durch die Unternehmensführung garantiert werden, dass die Mitarbeiter ausreichend darüber informiert werden.
Datenschutzberater kann einen Fahrplan zur Umsetzung des Datenschutzes erstellen
Für viele kleine und mittlere Unternehmen ist es zunehmend schwierig sich mit den gesetzlichen Vorgaben im Bereich Datenschutz auseinander zu setzen. Die Angst vor unnötigen und teilweise hohen Strafen macht es im Alltag nicht leicht personenbezogene Daten zu verarbeiten. Ein Datenschutzberater, beispielsweise als externer Datenschutzbeauftragter, ist gerade für KMU eine nicht zu unterschätzende Hilfe.
Der Datenschutzberater verschafft sich in Ihrem Unternehmen einen fachlich fundierten Überblick über den Datenschutz und die datenverarbeitenden Prozesse und erstellt Ihnen einen Fahrplan zur Einhaltung. Ebenso führt ein Datenschutzberater eine Datenschutz-Folgenabschätzung in Ihrem Unternehmen durch und hilft Ihnen, die Vorgaben der DSGVO einzuhalten.
Sie sind sich unsicher, ob Ihr Unternehmen alle Kriterien der DSGVO erfüllt und ob Sie verpflichtet sind eine Datenschutz-Folgenabschätzung durchzuführen? Benötigen Sie weitere Handlungsempfehlungen im Umgang mit Datenschutz oder müssen eine Datenschutz-Folgenabschätzung durchführen?
Datenschutzberater.NRW hilft Ihnen gerne dabei, die Datenschutzgrundverordnung in Ihrem Unternehmen, Verein, Kanzlei oder Praxis umzusetzen.
Kontaktieren Sie uns einfach direkt hier oder rufen Sie uns an – Datenschutzberater.NRW – Ihr Datenschutzberater für Köln, Bonn, Düsseldorf und NRW.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.