Datenschutz: DSGVO für IT Unternehmen I

Aufgrund der Auftragslage dicht vor dem Inkraftreten der DSGVO gehe ich davon aus, dass es noch einige Unternehmen gibt, die mit dem Thema DSGVO erst beginnen (dabei war seit 2016 klar, dass das Gesetz am 25.5.2018 in Kraft treten wird). Nun ja…

Die erste Erkenntnis besteht darin, dass man kaum eine realistische Chance hat, die Regelungen der DSGVO jetzt noch in Gänze umzusetzen. Was man machen kann (und unbedingt sollte), ist ein Notfallprogramm umzusetzen. Das besteht aus den Punkten:

I              DSB zu ernennen

II             AV mit den Kunden und mit den Subunternehmen abschließen

III            Verarbeitungsverzeichnisse für Support / Webpage erstellen

IV           Schulung Mitarbeiter / Verpflichtung der Mitarbeiter auf das Datenschutzgeheimnis

V             Webpage richtig abgleichen

 

Was dann ab dem Sommer getan werden muss (!), ist die DSGVO ernst zu nehmen und den Ist-Zustand in Form von Verarbeitungsverzeichnissen zu erfassen, eine Analyse durchzuführen und dann darüber zu entscheiden, ob Verbesserungen notwendig sind. Was nicht geht, ist, das Thema liegenzulassen.

  1. DSB

Ein Datenschutzbeauftragter ist nach dem Gesetz zu bestellen, wenn das Unternehmen mehr als 9 Mitarbeiter hat oder gewerbsmäßig personenbezogene Daten verarbeitet. Der Datenschutzbeauftragte sollte auch von kleineren IT- Unternehmen bestellt werden, weil es sich gut für das Marketing macht. Die Kunden der IT- Unternehmen müssen die Subunternehmer und Lieferanten offenlegen. Die Bestellung eines DSB ist aus der Website offen ersichtlich. Außerdem muss ich aus eigener Erfahrung sagen, dass die Bestellung eines DSB auch vernünftig sein kann. Und das letzte Argument ist die Werbung mit der Angst: Der DSB ist aus der Webpage ersichtlich. Wirbt ein Unternehmen damit, 25 Mitarbeiter zu haben und ist kein DSB bestellt, kann schnell ein Ordnungsgeld verhängt werden.

Es werden für die DSGVO drei Kompetenzen gebraucht: Eine organisatorische (vergleichbar der ISO- Zertifizierung), eine technische und eine juristische. Im Moment sind mehrheitlich technisch versierte Personen Datenschutzbeauftragte, was einfach der Historie geschuldet ist. Im Moment sind aber eher juristische Kompetenzen gefragt, was dem Umstand geschuldet ist, dass gerade eine monumentale Änderung der Gesetzeslage eintritt. Und zu jedem Zeitpunkt werden organisatorische Kompetenzen gebraucht werden, einfach weil die DSGVO Dokumentationen abfordert und diese Dokumentationen in einem ständigen Prozess mit der Realität abgeglichen werden müssen.

Mir ist wichtig zu unterstreichen, dass auch dort, wo bereits DSBs bestellt sind, vielleicht andere Kompetenzen fehlen und mit den jeweiligen DSBs vernünftige Gespräche geführt werden, wie man die Arbeit des DSBs unterstützen kann. Denn: Die Erwartungshaltung, ein einzelner Mensch könne alle erforderlichen Kompetenzen erfüllen, wird sich selten erfüllen. Und am Ende haftet eben nicht der angestellte DSB, sondern die Geschäftsführung.

Die Kosten für die DSBs werden in den nächsten Jahren bei seriöser Betrachtung zwischen 800 bis 1200 Euro pro Monat liegen. Das liegt darin begründet, dass die meisten IT- Unternehmen mit dem Thema „Dokumentation“ nur selten Berührung hatten. Die Kunden haben für bestimmte Dokumentationen nicht gezahlt, die IT hat kein erfahrenes Personal. Und es müssen Dokumentationen erstellt und analysiert werden. Oft kann auf Bestehendes aufgesetzt werden, aber der Prozess dauert und braucht Ressourcen. Es ist im Moment viel Arbeit. Auch deshalb: Ein DSB braucht immer die Zuarbeit von anderen Personen!

Weitere Beiträge

AÜG in der IT 2024 Teil I

AÜG in der IT – Überlegungen Die Schwierigkeiten sind bekannt. Das Arbeitnehmerüberlassungsgesetz passt nicht für die Belange der IT Branche. Arbeitet ein Mitarbeiter eines IT Unternehmens dauerhaft für einen bestimmten Kunden und ist dieser in den Betrieb und die Betriebsorganisation

Mehr lesen »

Die KI-Verordnung  2024/ Teil I

Gleich zu Beginn ein Hinweis: Es gibt im Netz schon eine große Anzahl von Hinweisen zur neuen KI Verordnung (KI-VO oder AI act). Da ich diese Blogs nun nicht aus wissenschaftlichem Interesse sondern aus der Perspektive der IT Unternehmen schreibe,

Mehr lesen »
Nach oben scrollen