Datenschutz in mittelständischen Unternehmen

Achtung, öffnet in einem neuen Fenster. Drucken

  

Datenschutz und Verantwortung der Unternehmensführung

 

Mittelständische Unternehmen haben im Allgemeinen ein geschärftes Bewußtsein für den notwendigen Schutz von Unternehmenswerten. Das führt zu effektiven Maßnahmen für den Schutz der Integrität, Vertraulichkeit und Verfügbarkeit von Unternehmensdaten. Jedoch ist oft das Bewußtsein, daß auch personenbezogene Daten im selben Maße schützenswert sind, nicht im selben Maße entwickelt.
In vielen Fällen ist kein Datenschutzbeauftragter bestellt, oder ein Mitarbeiter des Unternehmens ist zwar als betrieblicher Datenschutzbeauftragter benannt, nimmt diese Verantwortung aber nicht in effektiver Weise wahr.

Dabei sind mittelständische Unternehmen zur Übernahme datenschutzmäßiger Verantwortung geradezu prädestiniert:

  • Die Kompetenz und Flexibilität der Fachabteilungen ist ein erheblicher Vorteil bei der Bestandsaufnahme, Initialisierung, Durchsetzung und Aufrechterhaltung  von Datenschutzrichtlinien.
  • Unternehmensprozesse und Verantwortlichkeiten sind oft klar definiert und dokumentiert.
  • Die für effektiven Datenschutz und Datensicherheit notwendigen Rollen und Verantwortlichkeiten lassen sich im Allgemeinen gut auf die Unternehmensorganisation abbilden. 

In der initialen Phase der Implementierung von Datenschutzrichtlinien muß erst das Bewußtsein für Datenschutz und Datensicherheit gebildet werden. Erst mit der Identifikation jedes einzelnen Mitarbeiters mit den Zielen für Datenschutz und Datensicherheit lassen sich diese auch erreichen. Dabei ist das erforderliche Maß an Bewußtsein und Verantwortung an der Verantwortung und Rolle des Einzelnen im Unternehmen auszurichten. Wichtig ist, dass die Datenschutzrichtlinien jeden Mitarbeiter erreichen. Dies kann durch Schulung, Informationsveranstaltung, Computer Based Training oder Einweisung durch den Vorgesetzten gewährleistet werden. Ein umfassendes Datenschutzkonzept wird all diese Möglichkeiten berücksichtigen.

Im Bereich der Datensicherheit hat das Unternehmen möglicherweise eine auf IT Sicherheit spezialisierte Firma beauftragt. In diesen Fällen arbeitet der Datenschutzbeauftragte sowohl mit der unternehmensinternen IT, als auch mit dem Auftragnehmer zusammen, um auf die Einhaltung der datenschutzrechtlichen Bestimmungen hinzuwirken.

Umfasst ein mittelständisches Unternehmen mehrere Gesellschaften, sind bei der zentralen Verarbeitung von personenbezogenen Daten besondere Rechtsvorschriften zu beachten.

Arbeitsverträge können Klauseln enthalten, die eine zentralisierte Verarbeitung der Personaldaten im Konzern erleichtern. Solche Klauseln sind unbedingt auf ihre juristische Wirksamkeit zu überprüfen. Ein verantwortungsvoller Datenschutzbeaufragter wird, insofern er nicht selbst zur Erstellung eines juristischen Gutachtens befugt ist, der Unternehmensleitung einen kompetenten Fachjuristen für diese Spezialaufgabe empfehlen. Wenn eine Rechtserlaubnis für die Übermittlung der Personaldaten an andere Unternehmensgesellschaften vorliegt, kann die zentrale Verarbeitung nach den Regeln der DSGVO zu gemeinsamer Verantwortlichkeit gestaltet werden.

Die zentrale Verarbeitung von Kunden- und Lieferantendaten durch mehrere Gesellschaften einer Unternehmensgruppe ist leichter zu realisieren, weil in der Regel keine den berechtigten Interessen der Gesellschaften an der gemeinsamen Verantwortung entgegenstehenden Interessen der von der Verarbeitung betroffenen Personen zu erwarten sind.

 

In Unternehmen mit einer Arbeitnehmervertretung wird der Datenschutzbeauftragte auch mit dem Betriebsrat zur Einhaltung der datenschutzrechtlichen Vorschriften zusammenarbeiten.