Suche
Anzeige

Betriebswirtschaftliche Ressourcen- und Ablaufplanung bei der DSGVO Umsetzung

Ohne einen effektiven und professionellen Datenschutz birgt die rasant anwachsende Digitalisierung ein nahezu unkalkulierbares wirtschaftliches Risiko für Kunden, Partner und Mitarbeiter. Der Unternehmer muss durch Transparenz und Risikominimierung in der Datenverarbeitung Vertrauen in den eigenen Betrieb schaffen und sich so dauerhaft absichern.
Ressourcen- und Ablaufplanung für die DSGVO im GastgewerbeIsmailciydem, iStockphoto

Betriebliche Ressourcenplanung

Durch verbindliches Qualitätsmanagement muss sichergestellt werden, dass für Planung und Umsetzung der Maßnahmen im Rahmen der DS-GVO ausreichend Ressourcen zur Verfügung stehen. Folgende Bereiche müssen bei der betrieblichen Ressourcenplanung berücksichtigt werden:

  • Privacy-by-Design: Datenschutz muss durch Technik gestaltet werden, idealerweise wird er direkt bei der Erarbeitung eines Datenverarbeitungsprozesses technisch integriert
  • Personalressourcen für die Durchführung der erforderlichen Datenschutz-Maßnahmen
  • Zusätzlicher Personalaufwand für einen eventuell zu benennenden internen Datenschutzbeauftragten
  • Zusätzlicher finanzieller Aufwand für einen eventuell zu benennenden externen Datenschutzbeauftragten
  • Finanz- und Personalressourcen zur Durchführung turnusmäßiger Datenschutz-Audits
  • Kosten für die turnusmäßige Wartung im Bereich des Serverraums, wie z.B. für Rauchmelder, Brandmelder, geeignete Handfeuerlöscher
  • Kosten für Mitarbeiterschulungen in Sachen Datenschutz

Betriebliche Ablaufplanung

Die erforderlichen Dokumentationspflichten sollten in die betrieblichen Arbeitsprozesse integriert werden, die Vorgänge und Prozesse müssen einer regelmäßigen Prüfung durch den Verantwortlichen unterzogen werden. Ein Verarbeitungsverzeichnis bildet den Rahmen für alle relevanten datenschutzrechtlichen Verarbeitungsprozesse (Art. 30 DS-GVO).

Betriebliche Prozesse und die Datenschutz-Folgenabschätzung (DSFA)

Jeder Unternehmer ist verpflichtet zu prüfen, ob einzelne Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung erfordern. Die Datenschutz-Folgenabschätzung war früher unter dem Namen Vorabkontrolle bekannt und wird dann durchgeführt, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann.

Beispiele für eine Durchführungspflicht:

  • Zugangssysteme
  • Identifizierung von Personen durch Verarbeitung biometrischen Daten
  • Videoüberwachung
  • Verarbeitung von personenbezogenen Daten über das Mitarbeiterverhalten Einzelner, die zum Scoring der Arbeitstätigkeit eingesetzt werden können und mit der Möglichkeit eventueller Rechtsfolgen oder Beeinträchtigungen für die Betroffenen
  • Sicherheitsüberprüfungen
  • Customer-Relationship-Management-Software
  • Persönlichkeitstests
  • Erstellung umfassender Profile über Bewegung und Kaufverhalten von einzelnen Personen, beispielsweise von Gästen und deren Lieblingsspeisen und -getränke oder deren Bewegungsmuster über Schlüsselkarten (Saunabereich, Fitnessbereich, Casino, Bar)
  • Profilerstellung über Interessen, das Netz der persönlichen Beziehungen sowie die Persönlichkeit von Menschen
  • Mitarbeiterüberwachung durch Monitoring-Systeme

Ist die Datenschutz-Folgenabschätzung erforderlich, besteht gleichzeitig die Pflicht zur Bestellung eines Datenschutzbeauftragten.

Bei der Ausrichtung und Absicherung des eigenen Betriebes müssen Hoteliers und Gastronomen berücksichtigen, dass Datenschutz ein Grundrecht ist und die Missachtung dieses Rechts existentielle Folgen haben kann. Während den Verantwortlichen bis zu 3 Jahre Haft und die Insolvenz des Betriebes drohen, verlieren auch die Mitarbeiter ihren Arbeitsplatz.

[cs_gb id=11835]

Weitere Artikel zum Thema

austindistel | Unsplash
Das Arbeitsgericht Lübeck hat einer Mitarbeiterin einer Pflegeeinrichtung 1.000 Euro Schmerzensgeld für die unzulässige Verwendung eines Mitarbeiterfotos auf der firmeneigenen Facebookseite ihres früheren Arbeitgebers zugestanden. Das Unternehmen hatte keine Einwilligung der Arbeitnehmerin für diese Bildveröffentlichung[...]
Digitalisierung 2021 – Verbünden Sie sich mit Ihren Gästenevrim ertik, iStockphoto
Noch ist nicht klar, wann die Gastronomien wieder öffnen dürfen, doch sollten die vorhandenen Kapazitäten jetzt genutzt werden, um digitale Prozesse voranzutreiben, kreative Marketingideen zu entwickeln und positiv Richtung Restart zu schauen.[...]
Joshua Sortino, Unsplash
Mit Blick auf die wachsende Datenflut stehen gerade Klein- und Kleinstunternehmer zunehmend vor der Herausforderung, ihre Daten vor Bedrohungen wie Manipulation, unberechtigtem Zugriff, fremder Kenntnisnahme oder Verlust zu schützen. Die Vielfalt unterschiedlichster Daten macht es[...]
Cookie-Banner richtig einsetzenfaithiecannoise, iStockphoto
Das Urteil des Bundesgerichtshofs von Mai 2020 ist eindeutig: Website-Betreiber müssen die aktive Zustimmung von Internetnutzern einholen, bevor nicht notwendige Cookies verwendet werden dürfen. Der bloße Hinweis auf den Einsatz von Cookies genügt in vielen[...]
anyaberkut, iStockphoto
Im Personalwesen fallen im Lauf der Zeit eine Menge Unterlagen an und die Personalakte gewinnt an Umfang. Vom Einstellungsvertrag über Krankmeldungen bis zu Urlaubsanträgen und ggf. irgendwann einer Kündigung – aber was muss wie lang[...]