Öffnen Sie die Augen
Bei Umstrukturierungen oder Veränderungen im Unternehmen haben die verantwortlichen Kollegen alles Mögliche im Kopf. Das ist auch verständlich.
Da kann es passieren, dass man das Thema Datenschutz vergisst oder dem nicht die nötige Relevanz beimisst.
Dabei ist klar: Das Bundesgesetz über den Datenschutz (DSG) verzeiht keine Patzer. Schlimmstenfalls drohen viel Ärger und hohe Kosten, etwa für Bussgelder. Steuern Sie dem entgegen. Erläutern Sie beispielsweise in einem Gespräch die folgenden Fallstricke:
Fallstrick Nr. 1: Unklare Verantwortlichkeiten
Veränderungen, etwa der Neuzuschnitt von Abteilungen oder die Verlagerung von (Datenbearbeitungs-)Prozessen, können zu einer Art Verantwortungsvakuum führen.
So fühlt sich der abgebende Bereich nicht mehr verantwortlich und der neue Bereich noch nicht verantwortlich. Hier sollten die Übergänge der Verantwortung vom einen zum anderen Bereich klar definiert und dokumentiert sein.
Fallstrick Nr. 2: Fehlende Rechtsgrundlage
Für jede Bearbeitung von Personendaten bedarf es einer Rechtsgrundlage. Daneben muss schon bei der Erhebung der Zweck definiert sein.
Sollen Daten ausgelagert werden, etwa an eine neue Tochtergesellschaft, wird das unter Umständen nicht von der bisherigen Rechtsgrundlage gedeckt sein.
Insofern muss genau geprüft werden, unter welchen Umständen eine Übertragung von Prozessen und Personendaten möglich ist, etwa auf Basis der Vorgaben von Art. 31 DSG.
Fallstrick Nr. 3: Verletzung von betrieblichen Reglements
Betriebliche Reglements legen oft fest, wie technische Einrichtungen, beispielsweise ein System, im Unternehmen eingesetzt werden dürfen.
Es können wichtige Rahmenbedingungen für die Bearbeitung von Personendaten enthalten sein. So z. B., welche Daten für welchen Zweck berarbeitet werden dürfen, welche Auswertungen erlaubt sind oder an wen die Weitergabe von Daten möglich ist.
Solche Einschränkungen spielen immer eine Rolle. Werden Rahmenbedingungen im Unternehmen verändert oder Prozesse ausgelagert, kann es schnell zum Verstoss gegen ein betriebliches Regelement kommen. Das würde zumindest Unruhe in der Belegschaft verursachen. Dem können und sollten Sie vorbeugen.
Fallstrick Nr. 4: Reduzierte Schutzmassnahmen
Werden Bearbeitungen oder Prozesse verändert oder andere Stellen im oder ausserhalb des Unternehmens verlagert, muss das so passieren, dass auch während dieses Veränderungsprozesses die Sicherheit der Bearbeitung und der betreffenden Daten gewährleistet bleibt (Art. 8 DSG).
Abstriche bei den Schutzmassnahmen können grundsätzlich nicht gemacht werden. Denkt man hierüber nach, ist eine Risikobewertung unerlässlich. Denn nur auf deren Basis kann bewertet werden, inwieweit andere oder geringere Schutzmassnahmen risikoangemessen sind.
Fallstrick Nr. 5: Cyberkriminelle haben leichteres Spiel
Veränderungen bringen Unsicherheiten mit sich. So erhalten Beschäftigte neue Aufgaben oder neue Vorgesetzte. Auch Berichtslinien können sich ändern.
Gerade in der Übergangsphase steigt das Risiko, dass Cyberkriminelle die Situation ausnutzen und etwa mit Phishing-E-Mails leichteres Spiel haben.
Umso wichtiger ist, dass Beschäftigte in Sachen Veränderungen auf dem Laufenden gehalten werden. Auch das Sensibilisieren für mögliche Gefahren ist in der Übergangszeit unerlässlich.
Fallstrick Nr. 6: Vergessene Datenschutzvereinbarungen
Werden Bearbeitungen verlagert oder Dienstleister mit der Bearbeitung beauftragt, muss geklärt werden, wie sich die Situation der Beteiligten unter Datenschutzaspekten darstellt.
Bestimmt Ihr Unternehmen weiterhin allein über Mittel und Zwecke, kann eine Auftragsbearbeitung im Sinne von Art. 9 DSG vorliegen. Eventuell besteht auch eine gemeinsame Verantwortung.
Doch auch bei einer Übermittlung von Daten zwischen Verantwortlichen kann Regelungsbedarf bezüglich der betreffenden Personendaten bestehen. Und das muss erledigt sein, bevor es in die praktische Umsetzung geht.
Fallstrick Nr. 7: Unzureichende Datenschutzorganisation
Kommt es zu Veränderungen, kann das erhebliche Folgen für die Datenschutzorganisation haben. Da wären etwa Know-how-Träger, die das Unternehmen verlassen.
Eventuell passen auch Strukturen oder Regelungen nicht mehr zum zukünftigen Zuschnitt. Was ausserdem gern vergessen wird: Wird eine Tochtergesellschaft gegründet, kann für diese ein Datenschutzberater erforderlich sein.
Ob Sie das übernehmen können, ist meist auch eine Frage der Kapazität. Schliesslich gibt es gerade bei neuen Unternehmen vieles zu erledigen. Zugleich ist der Beratungsbedarf oft ziemlich gross und die Fälle sind eher kein Standard.
