IT

Datenschutz & Dokumentationspflicht = Unüberwindbare Herausforderung für KMU?

Zwei Geschäftsleute an einem Büroarbeitsplatz besprechen Diagramm-Informationen auf dem Bildschirm, im Vordergrund verschiedene Icons: Vorhängeschloss / Datensicherheit, Smartphone, Nachrichten, Digitale Daten, Messenger, Webzugriff

Seitdem die datenschutzrechtlichen Vorgaben für Unternehmen verschärft wurden, ist das Thema Datenschutz präsenter denn je. Die Medien berichten regelmäßig von schwerwiegenden Verstößen gegen den Datenschutz. Damit rückt auch der Umsetzungsstand in den einzelnen Unternehmen immer wieder in den Fokus der Diskussionen. Es ist klar, dass für viele weiterhin enormer Handlungs- und Nachholbedarf in Sachen Datenschutz und Dokumentationspflicht besteht. Doch die Umsetzung der To-dos erweist sich als komplex.

Noch immer großer Handlungsbedarf

Beim Thema Datenschutz hat sich in den vergangenen Jahren immer wieder gezeigt, dass die hohen Anforderungen insbesondere für kleinere und mittlere Unternehmen schwierig umzusetzen sind. Denn diese verfügen oft nicht über die notwendigen Ressourcen, um sich intern so zu organisieren, um beispielsweise

  • eine:n eigene:n Datenschutzbeauftrage:n zu bestellen.
  • jede relevante Neuerung zu verfolgen und in der eigenen Umsetzung zu prüfen.
  • regelmäßig sämtliche Prozesse der Datenverarbeitung auf alle Sicherheitsaspekte zu prüfen und zu dokumentieren.
  • sich kontinuierlich juristisch abzusichern.

Bei Inkrafttreten der Europäischen Datenschutz-Grundverordnung (EU DSG-VO) – und in diesem Zuge der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) – waren vor allen Dingen die hohen Bußgelder ein großes Thema. Zwar haben zwischenzeitlich viele Unternehmen nachgezogen und die Vorgaben weitgehend umgesetzt. Jedoch stellte beispielsweise der Fachverband deutscher Webseiten-Betreiber (FdWB) kürzlich in einer Studie fest, dass bei 2.500 zufällig ausgewählten Webseiten

  • 41 Prozent fehlerhaft und unsicher sind.
  • teilweise gravierende Mängel bestehen.
  • ein hohes Risiko für Abmahnungen bergen.

Dabei ist die Unternehmenswebsite nur einer von vielen Bereichen, die zahlreichen Vorgaben zu Datenschutz und Dokumentationspflicht unterliegen. Darunter leidet auch die Innovationsfähigkeit der Unternehmen, da diese auf das Innovieren wegen der zahlreichen Vorgaben verzichten, wie der Digitalverband Bitkom e.V. konstatiert. Dieser bezeichnet derweil die weiterhin niedrigen Umsetzungszahlen sehr treffend als ernüchternd.

Datenschutz und Dokumentationspflicht: To-Dos für Unternehmen

Bereits dieses Beispiel zeigt die Brisanz des Themenbereichs auf. Wer sich nicht sicher ist, wie es um Datenschutz und Dokumentationspflicht im eigenen Unternehmen bestellt ist, befolgt idealerweise die folgenden drei Schritte:

  1. Analysieren des Status Quo: In welchen Prozessen werden welche Daten auf welche Weise erhoben, gespeichert und verarbeitet? Wo bestehen potenzielle Schwachstellen in der Datenverarbeitung?
  2. Prozesse dokumentieren: Diese Dokumentation muss umfassend sein und sämtliche Prozesse und Verarbeitungsschritte abbilden. Im Fall von Änderungen, etwa aufgrund neuer Software, ist auch die Dokumentation zu aktualisieren.
  3. Prozesse optimieren: Das meint zum einen das Identifizieren und Schließen von Sicherheitslücken. Zum anderen sind fortlaufende Neuerungen zu berücksichtigen und umzusetzen.

Selbstverständlich dienen diese Fragen und Anmerkungen vorrangig als Beispiele. Vor allen Dingen benötigen Unternehmen zentrale Wissensschnittstellen für die rechtssichere Umsetzung. Dazu können sie auch digitale Lösungen für ihr Datenschutzmanagement nutzen, wie von lexact.de zum Beispiel. Neben einem erfahrenen Team stehen hier von Datenschutz- und Rechtsexpert:innen überprüfte Inhalte zur Verfügung. Diese umfassen etwa Muster-Formulare und praktische Checklisten für Arbeits- und Datenverarbeitungsprozesse.

Fazit: Datenschutz bedeutet Arbeit

Die mediale Berichterstattung und die Erfahrung zeigen: Datenschutz und Dokumentationspflicht erfordern notwendige Investitionen, die sich auszahlen. Denn damit

  • bleibt mehr Zeit für das Kerngeschäft des Unternehmens.
  • sinkt das Risiko für Abmahnungen und etwaigen Strafen erheblich.

Wie genau Unternehmen diese Herausforderungen angehen, ist selbstverständlich ihnen überlassen. Fest steht jedoch, dass sie die Umsetzung nicht umgehen können, sondern langfristig auf ihre Agenden nehmen müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.