(Advertorial) Beim Datenschutz sollten Unternehmen nichts dem Zufall überlassen. Die Regelungen werden immer komplexer, bei Verstößen drohen hohe Bußgelder. Dennoch können auch kleinere Betriebe größtmögliche Datensicherheit herstellen – und sich sogar zertifizieren lassen.
Es sind bloß fünf Buchstaben, aber die haben es in sich: Seit nunmehr fast drei Jahren gilt die EU-Datenschutz-Grundverordnung, kurz: DSGVO. Sie – und das gleichzeitig verabschiedete, neue Bundesdatenschutzgesetz (BDSG) –gibt vor, was Unternehmen in Sachen Datenschutz zu beachten haben. Genauer: Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Alle Unternehmen, die geschäftsmäßig personenbezogene Daten verarbeiten (und welches Unternehmen tut das nicht?), müssen diese Vorschriften beachten.
Zugleich ergeben sich aus den Regelungen beträchtliche Bußgeldrisiken für Unternehmen, die die gesetzlichen Vorgaben zum Datenschutz nicht einhalten. So können Betrieben bei Verstößen Bußgelder von bis zu 20 Mio. € oder bis zu 4% des weltweiten Jahresumsatzes drohen, wobei es der zuständigen Aufsichtsbehörde obliegt, den jeweils höheren Wert zu wählen. „Eine erhöhte Rücksichtnahme aufgrund der COVID-19-Pandemie war vergangenes Jahr nicht zu spüren“, berichtet Benjamin Spallek, Director Compliance & Data Protection Services bei der Creditreform Compliance Services GmbH, „es gab mehr und höhere Bußgelder denn je“. Nach seiner Beobachtung führen die Behörden diese Bußgeldpraxis auch in 2021 bislang fort.
Im Zuge einer verantwortungsvollen und risikoorientierten Unternehmensführung ist es also notwendig, die gesetzlichen Regelungen zum Datenschutz ernst zu nehmen und umzusetzen. Das tun die allermeisten Firmen. Doch können sie sicher wissen, wie es um die Qualität des eigenen
Datenschutzmanagements steht? Haben sie wirklich den geforderten hohen Datenschutzstandard erreicht?
Und was ist mit den vielen Unternehmen, deren Kerntätigkeit die Datenverarbeitung im Auftrag anderer Unternehmen ist, also eine sogenannte Auftragsverarbeitung im Sinne des Artikels 28 DSGVO? Diese sind nämlich zudem regelmäßigen Prüfungen von Auftraggebern ausgesetzt. Tatsächlich sind in den meisten Auftragsverarbeitungsverträgen regelmäßige, meist jährliche Prüfungen des Auftragnehmers durch den Auftraggeber festgelegt. „Stellen Sie sich vor: Wenn nun jeder Kunde einen Tag im Jahr zur Prüfung der gesetzeskonformen Datenschutzstandards in den eigenen Geschäftsräumen zubringt, dann bleibt vermutlich kaum noch Zeit, sich auf das eigentliche Kerngeschäft zu fokussieren“, befürchtet Spallek.
Datenschutz: Diskrepanz zwischen Selbsteinschätzung und Realität
Was tun? Jörg Rossen, Geschäftsführer der Creditreform Bonn Rossen KG, und Moritz von Padberg, Geschäftsführer der Creditreform Köln von Padberg GmbH Co. KG, empfehlen ihren Firmenkunden eine unabhängige Zertifizierung des betrieblichen Datenschutzmanagementsystems, wie sie etwa die Creditreform Compliance Services GmbH anbietet. „Das hat gleich mehrere Vorteile“, betonen sie. Einerseits erhalte man selbst ein Gefühl für den Datenschutzstandard, den das eigene Unternehmen einhält. „Das ist wichtig, denn zwischen Selbsteinschätzung und Realität bestehen in der Praxis oftmals nicht unerhebliche Diskrepanzen“, beobachtet Padberg immer wieder. Andererseits habe man später in Form eines Auditberichts, eines Prüfsiegels sowie weiterer Nachweise die Bestätigung über ein ausreichendes Datenschutzniveau von unabhängigen Fachexperten, was in Einzelfällen sogar enthaftend wirken kann.
Eine Zertifizierung des Datenschutzmanagementsystems kann aber nicht nur zu mehr Rechtssicherheit führen, sondern auch eine positive Außenwirkung erzeugen. „Damit stärken Unternehmen das Vertrauen von Geschäftspartnern, was im Ergebnis zu einem Wettbewerbsvorteil führen kann“, unterstreicht Spallek.
Und dann gibt es noch einen weiteren, nicht zu vernachlässigenden Effekt: die Einsparung zeitlicher und personeller Ressourcen. „Die Firmen müssen nicht ständig selbst die immer komplizierter werdenden Vorgaben und ihre Datenschutzmaßnahmen abgleichen, sondern überlassen das externen Expertinnen und Experten“, erklärt Rossen, „das schafft Freiräume für das
Kerngeschäft“.
Vom Zertifikat über Schulungen bis zum externen Datenschutzbeauftragten
Und so geht’s: Die Auditorinnen und Auditoren der Creditreform Compliance Services GmbH sind speziell ausgebildete Juristen und verfügen über eine gültige TÜV-Zertifizierung zum Datenschutzauditor/-in sowie langjährige Beratungserfahrung im Bereich des Datenschutzes. Sie auditieren das Datenschutzmanagementsystem des beauftragenden Unternehmens im Hinblick auf die Umsetzung der Vorgaben der DSGVO und des BDSG. Im Einzelnen stellen sie den Reifegrad des Datenschutzmanagementsystems fest, prüfen die Datenschutzorganisation und -dokumentation, scannen die Webpräsenz auf Datenschutzkonformität, betrachten im Betrieb, wie die entsprechenden Prozesse und Maßnahmen im Datenschutz umgesetzt werden, erteilen, falls sinnvoll, konkrete Handlungsempfehlungen und fassen die Auditergebnisse in einem Prüfbericht zusammen.
Nach erfolgreicher Prüfung erhält man das „ComplianceCert Datenschutz“- Zertifikat. Das Gütesiegel darf für ein Jahr öffentlich geführt werden, beispielsweise zu Marketingzwecken. Jeweils nach einem Jahr kann das Unternehmen eine Rezertifizierung anstreben. Ein weiterer Pluspunkt: Das Zertifikat vorzuhalten, kann unter Umständen eine externe Prüfung, etwa durch Kunden oder Lieferanten, überflüssig machen.
Wer über das Zertifikat hinaus beim Datenschutz auf Nummer sicher gehen will, dem bieten Dienstleister wie Creditreform weitere Leistungen: von regelmäßiger Beratung in Fragen des Datenschutzes über Workshops und Schulungen für die Beschäftigten bis zu einem ständigen externen Datenschutzbeauftragten. „Damit sich die Firmen“, sagt Padberg, „wirklich voll und ganz auf das konzentrieren können, was ihnen am meisten liegt: ihr Kerngeschäft!“
Seit der Gründung im Jahr 1879 ist es das Ziel von Creditreform, Unternehmen vor Forderungsausfällen zu schützen, die Liquidität vernichten und den Fortbestand von Unternehmen gefährden. Dieser Maxime sind alle Lösungen und Angebote von Creditreform verpflichtet. Heute sorgen 128 Geschäftsstellen in ganz Deutschland dafür, dass die Mitglieder ihre Geschäfte mit minimalem Risiko und maximaler Effizienz abwickeln können.
Vom Rhein-Erft-Kreis über die Metropolregion Köln bis in den oberbergischen Kreis unterstützt Creditreform Köln mit 66 Mitarbeiterinnen und Mitarbeitern rund 3.000 Unternehmen der Region bei ihrem Tagesgeschäft.
Mit 35 Mitarbeiterinnen und Mitarbeitern ist Creditreform Bonn Partner für 2.000 Unternehmenskunden der mittelständischen Wirtschaft in Bonn/Rhein Sieg, Euskirchen sowie im Rhein-Erft- und Ahrkreis.
