DATENSCHUTZ UND ORGANISATIONSENTWICKLUNG

Beratung und Projektentwicklung in Fragen des Datenschutzes sowie die Übernahme der Funktion des externen Datenschutzbeauftragten gemäß § 37 DSGVO

Foto von einem Laptop

Organisationen mit zertifizierter Fachexperte zu einer Datenschutzorganisation aufbauen!

Spätestens mit Inkrafttreten der DSGVO im Mai 2018 ist das Thema Datenschutz für alle Organisationen von enormer Bedeutung. Nach einer ersten Welle der Verunsicherung verbunden mit vielen unseriösen Angeboten zur Einhaltung des Datenschutzes ist hier mittlerweile eine zunehmende Sachlichkeit eingekehrt. Zielt der Datenschutz auf den Schutz der personenbezogenen Daten, bezieht sich die Datensicherheit auf die Sicherheit der Daten im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit. Beides ist in der DSGVO als europäische Richtlinie geregelt. Individuelle Anpassungen auf nationaler Ebene finden sich im BDSG. Ein Großteil der Anforderungen der DSGVO gilt dabei für kleine Organisationen genauso wie für die großen Konzerne.

Unsere Zielgruppen im Bereich Datenschutz:

Für wen sind wir der richtige Ansprechpartner im Bereich Datenschutz? Für alle, denen es um mehr als um die Erfüllung bloßer Standards geht und die auf der Suche nach langjähriger Erfahrung und zertifizierter Fachexpertise sind!

  • Egal ob Kitaleitung oder Tagesmutter. Der Datenschutz gilt sowohl für Kindergärten als auch für die Kindertagespflege…
  • Egal ob SpFH, Tagesgruppe oder Wohngruppe. Der Datenschutz betrifft auch kleine und mittlere freie Träger der Jugendhilfe.
  • Egal ob Einrichtungsleitung oder Jugendamtsleitung. Gerade an den Schnittstellen größerer freier Träger und in der Kooperation mit den öffentlichen Trägern bereitet der Datenschutz vielfältige Herausforderungen.
  • Egal ob eingesessener Unternehmer oder junger Wilder. Der Datenschutz gehört auch bei KMUs oder Startups in professionelle Hände.

Unsere Leistung im Bereich Datenschutz:

  • Beratung der obersten Leitung im Hinblick auf datenschutzrelevante Fragen
  • Erstellen einer Risikoanalyse und Implementierung eines Risikomanagements für die Einhaltung des Datenschutzes
  • Entwicklung eines Datenschutzkonzeptes zum Aufbau einer datenschutzkonformen Organisation
  • Durchführung von Mitarbeiterschulungen zur Sensibilisierung zu Fragen des Datenschutzes
  • Übernahme der Funktion eines externen Datenschutzbeauftragten
Foto Tobias Happen

Beratungsbedarf oder weitere Fragen zum Datenschutz?

Gerne können Sie sich bei weiteren Fragen oder bezüglich eines Angebotes unter den angegebenen Kontaktmöglichkeiten mit LTRL-Thinking in Verbindung setzen. Grundsätzlich gibt es verschiedene Ausgestaltungsmöglichkeiten der Zusammenarbeit. Von der individuellen Beratung mit der Abrechnung auf Stundenbasis bis hin zur Buchung fester Kontingente oder der festen Übernahme spezifischer Funktionen in Ihrer Organisation. Sprechen Sie mich gern an und wir finden für Ihre Organisation die optimale Lösung!

Datenschutz - Unsere Leistung im Detail:

Beratung der Leitung im Hinblick auf datenschutzrelevante Fragen

Die Verantwortung für die Umsetzung und Einhaltung der DSGVO ist klar an die Leitung einer Organisation gebunden. Entsprechend ist eine fachgerechte Beratung der Leitung für die notwendigen Entscheidungen bzgl. der Einhaltung des Datenschutzes innerhalb einer Organisation letztlich existentiell. Denn bei Verstößen drohen empfindliche Strafen und negative Einflüsse auf das Vertrauen in die Arbeit der Institution.

Erstellen einer Risikoanalyse und Implementierung eines Risikomanagements zur Einhaltung des Datenschutzes.

Aufgrund der hohen Risikoauswirkung bei gravierenden Datenschutzvorfällen empfiehlt sich eine Risikoanalyse und die Einführung eines Risikomanagements. Durch eine systematische Analyse potentieller Risiken können sowohl Präventionsmaßnahmen als auch konkrete Maßnahmen zur Risikominimierung entwickelt werden. Der Umgang mit nicht auszuschließenden Risiken sollte ebenfalls im Vorfeld schon festgelegt werden. Das hilft Organisationen dabei auch im Schadensfall den nötigen Überblick zu behalten.

Entwicklung eines Datenschutzkonzeptes zum Aufbau einer datenschutzkonformen Organisation

Ein Datenschutzkonzept bildet den Rahmen innerhalb einer Organisation für einen datenschutzkonformen Umgang mit personenbezogenen Daten. Die Anforderungen der DSGVO können auf die jeweilige Organisation angepasst werden und schaffen für Mitarbeiter und Leitung die nötige Sicherheit für den Umgang mit personenbezogenen Daten im Alltag. Datenschutz hat viel mit Vertrauen zu tun und ein aktiver kommunizierter Datenschutz im Sinne einer datenschutzkonformen Organisation kann zusätzliches Vertrauen in die Arbeit der jeweiligen Institution schafft.

Durchführung von Mitarbeiterschulungen zur Sensibilisierung zu Fragen des Datenschutzes

Ein verantwortungsvoller Umgang mit personenbezogenen Daten setzt Wissen hierzu voraus. Mitarbeiterschulungen helfen dabei, das nötige Wissen zu vermitteln und Mitarbeiter für das Thema Datenschutz zu sensibilisieren. Eine hohe Akzeptanz auf Seiten der Mitarbeiter ist für einen nachhaltigen Erfolg unabdingbar, da Verstöße einzelner Mitarbeiter weitreichende Konsequenzen im Sinne von Strafen und Verlust von Reputation haben kann.

Übernahme der Funktion eines externen Datenschutzbeauftragten

Die DSGVO und das BDSG fordern unter bestimmten Voraussetzungen die Bestellung eines Datenschutzbeauftragten. Diese Funktion kann auch extern vergeben werden. Zu den Hauptaufgaben eines Datenschutzbeauftragten gehören die Beratung, die Schulung, die Überwachung der Einhaltung und die Kommunikation mit der zuständigen Aufsichtsbehörde. Datenschutz ist sehr komplex und die Nutzung eines externen Datenschutzbeauftragten birgt viele Vorteile wie eine Zeitersparnis, Qualitätssteigerung und Kostenersparnis im Vergleich zur Selbstentwicklung der benötigten zertifizierten Fachexpertise.

Der Datenschutz gemäß DSGVO und BDSG – Grundlagen und Pflichten beim Aufbau einer datenschutzkonformen Organisation

Wesentliche Aspekte des Datenschutzes – definitive Pflichten und Interpretationsspielräume:

Insbesondere für kleinere Organisationen bestehen bei der der Interpretation der jeweiligen Vorschriften aus der DSGVO in Kombination mit dem BDSG Unsicherheiten. Gerade kleine Organisationen stellt es häufig vor enorme Herausforderungen, dies sehr spezifische Fachwissen und die nötige Expertise, selber bereitzustellen. LTRL-Thinking bietet hier seine zertifizierte Fachexpertise an, um Organisationen fachkundig und bedarfsgerecht zu unterstützen.

Die Rechte der betroffenen Person in der DSGVO

Weitegehend eindeutig sind die Rechte der betroffenen Personen. Gemeint sind hiermit nicht nur die Klienten bzw. Kunden. Vielmehr fallen hierunter genauso die Mitarbeiter und sämtliche anderen natürlichen Personen, deren personenbezogenen Daten innerhalb einer Organisation verarbeitet und gespeichert werden. Grundsätzlich muss eine Einwilligung einer natürlichen Person zur Verarbeitung seiner personenbezogenen Daten eingeholt werden. DSGVO und BDSG formulieren die Vorrausetzungen hierfür, definieren die damit verbundenen Rechte der natürlichen Personen und legen zudem Ausnahmen von dieser Pflicht fest. Das ist die gesetzliche Grundlage für die sogenannten Datenschutzerklärungen, die nahezu überall seit Mai 2018 unterschrieben werden müssen. Darin müssen u.a. Angaben zu Zweck, Umfang und voraussichtlicher Dauer der Speicherung gemacht werden. Ebenso gehören das Auskunftsrecht und das Löschungsrecht zu den Rechten der betroffenen Person.

Die Verantwortlichkeit der Leitung für die Umsetzung und Einhaltung der DSGVO

Ein zentraler Aspekt der DSGVO ist die Verantwortlichkeit der Leitung einer Organisation für die Einhaltung und Umsetzung des Datenschutzes. Auch die Bestellung eines Datenschutzbeauftragten „befreit“ die Leitung nicht von dieser Verantwortlichkeit. Somit bleibt die Notwendigkeit der Umsetzung und Einhaltung der Anforderungen der DSGVO in der Organisation letztendlich bei der Leitung. Die oberste Leitung bei einem Verein ist im Normalfall der Vorstand. Eine Tatsache, die vielen ehrenamtlichen Vorständen in der Form vielleicht nicht bekannt ist.

Technisch organisatorische Maßnahmen (TOM) zur Umsetzung und Einhaltung der DSGVO

Die technische Ausstattung und allgemeine Standardisierungen im Umgang mit personenbezogenen Daten sind ein weiterer relevanter Aspekt der DSGVO. Große Organisationen haben in der Regel eine eigene IT-Abteilung und ein standardisiertes Verfahren der Datenverarbeitung. Problematischer sieht es bei kleineren Organisationen aus. Mitunter sind hier die Ressourcen begrenzt, um Technik auf dem aktuellen Stand zu halten und die Verarbeitung personenbezogener Daten erfolgt wenig systematisch und nicht unter ausreichender Beachtung des Datenschutzes. Dabei setzt die DSGVO bei den Themen Datenschutz und Datensicherheit sogenannte technisch organisatorische Maßnahmen entsprechend des jeweiligen gültigen Stands der Technik voraus. Hier werden sich auch kleine Organisationen perspektivisch nicht hinter veralteter Technik in Form von Hard- und Software „verstecken“ können und müssen datenschutzkonforme Organisationsmaßnahmen im Umgang mit personenbezogenen Daten nachweise

Die externe Auftragsverarbeitung in der DSGVO und deren Anforderungen für eine Organisation

Eine besondere Betrachtung bedarf zudem die sogenannte Auftragsverarbeitung, wenn ein externer Dienstleister für die Organisation tätig ist und in Kontakt mit personenbezogenen Daten kommt. Ein Beispiel hierfür wäre die extern vergebene Lohnbuchhaltung. Hier gelten klare Vorgaben bzgl. der Zusammenarbeit im Hinblick auf den Datenschutz wie etwa der Notwendigkeit der vertraglichen Gestaltung der Zusammenarbeit unter datenschutzrechtlichen Vorgaben. In den sogenannten AVVs spiegelt sich diese gesetzliche Anforderung wider, die gerade mit Inkrafttreten der DSGVO im Mai 2018 viele Organisationen vor große Herausforderungen gestellt hat. Aber der Aufbau einer datenschutzkonformen Organisation ist letztlich keine Raketenwissenschaft! Er bedarf nur fachkundiger Anleitung, eines systematischen Vorgehens und ggf. Ausdauer und ein gewisses Maß an Fleiß!

Risikoanalyse und Risikomanagement als wirksame Basis eines Datenschutzkonzeptes

Somit empfiehlt LTRL-Thinking im Bereich des Datenschutzes grundsätzliche eine gezielte Risikoanalyse und die Implementierung eines Risikomanagementkonzepts. Denn Datenschutzverstöße können mit enorm hohen Strafgeldern (bis zu 4% des Jahresumsatzes!) versehen werden. Hier gilt es u.a. folgende zentrale Fragen zu klären:

  • Muss ein Datenschutzbeauftragter bestellt werden?
  • Werden besondere Kategorien personenbezogener Daten verarbeitet?
  • Muss eine Datenschutzfolgeabschätzung durchgeführt werden?
  • Besteht die Notwendigkeit eines Verarbeitungsverzeichnisses?

Handelt es sich bei der Risikoanalyse schwerpunktmäßig um eine Aufgabe der Leitung, empfiehlt sich für die Implementierung eines Datenschutzkonzeptes die Einbeziehung der Mitarbeiter. Neben einer Steigerung der Akzeptanz und der Sensibilisierung für das Thema können hier gemeinsam mögliche Gefahren und Schwachstellen ermittelt und Lösungsansätze hierfür entwickelt werden. Spätestens bei Fragen der Datensicherheit sollte die IT-Technik mit einbezogen werden.

Bausteine eines Datenschutzkonzeptes gemäß DSGVO

Die nachfolgende Grafik zeigt mögliche Bausteine der Entwicklung eines Datenschutzkonzeptes auch schon für kleinere Organisationen.

Grafik zeigt die Bestandteile eines Datenschutzkonzeptes

Standort und Einzugsgebiet für Beratungen zum Datenschutz:

LTRL-Thinking ist in 51789 Lindlar im Bergischen Land (Solingen, Wuppertal, Remscheid, Leverkusen, Hückeswagen, Bergisch Gladbach, Gummersbach, Siegburg) östlich von Köln in NRW beheimatet. Lindlar liegt verhältnismäßig zentral und es ist sowohl der Köln-/Bonner-Raum (Köln, Bonn, Bergheim, St. Augustin, Königswinter, Bornheim, Hürth, Pulheim) der Großraum Düsseldorf (Düsseldorf, Dormagen, Grevenbroich, Neuss, Meerbusch, Ratingen, Velbert, Mettmann), das Ruhrgebiet (Dortmund, Essen, Oberhausen, Hagen, Bochum, Mülheim an der Ruhr, Duisburg, Hamm in Westfalen) sowie das Sauer- und Siegerland (Olpe, Siegen, Freudenberg, Arnsberg, Lüdenscheid, Meinerzhagen, Iserlohn) gut zu erreichen. Schwerpunktmäßig werden die Dienstleistungen in den Räumlichkeiten der Organisationen angeboten. Grundsätzlich sind aber auch Termine in Lindlar möglich.

KONTAKTIEREN SIE UNS!

Grafik Bundesland NRW Standort Lindlar