Ablauf der technischen und organisatorischen Umsetzung des Datenschutzes
Erster Kontakt und Vorgespräch
In einem ersten, für Sie unverbindlichen Gespräch, erläutere ich Ihnen die Rahmenbedingungen zur Erfüllung der Richtlinien und Forderungen der DS-GVO und des BDSG-neu und bespreche mit Ihnen die sinnvolle Vorgehensweise.Bestandsaufnahme
Im Rahmen der Bestandsaufnahme wird der Ist-Zustand im Unternehmen erfasst und dokumentiert.Berücksichtigt werden sämtliche Komponenten Ihrer IT-Infrastruktur wie:
- LAN-Verkabelung und aktive Netzwerkkomponenten
- Server, mittlere Datentechnik und EDV-Arbeitsplätze
- TK-Anlagen
- Standard- und Branchensoftware
- Gebäudetechnik
Zusätzlich werden im Rahmen der Bestandsaufnahme sämtliche Verfahren erfasst, in denen personenbezogene Daten erhoben, verarbeitet und gespeichert werden.
Zu diesen Verfahren zählen alle Tätigkeiten, in welchen personenbezogene Daten (pbD) entweder elektronisch oder manuell verarbeitet werden. Beispiele für solche Verfahren/Tätigkeiten sind:
Adressmanager, Kundenmanagement-Programme, Personalverwaltungsprogramme, aber auch Karteikarten oder Kunden-/Patientenakten in Papierform
Verzeichnis der Verarbeitungstätigkeiten (früher: "Verfahrensverzeichnis")
Auf Basis der während der Bestandsaufnahme erfassten Verfahren in welchen personenbezogene Daten (pbD) verarbeitet werden, wird die Ausarbeitung des "Verzeichnisses der Verarbeitungstätigkeiten" begonnen.Dieses Verzeichnis löst das bisher durch das BDSG vorgeschriebene Verfahrensverzeichnis ab.
Mitarbeiterschulung und Verpflichtung auf das Datengeheimnis
Alle Mitarbeiter werden in einer Basisschulung über die Bestimmungen der DS-GVO und des BDSG-neu informiert. Es werden u.a. die Themen- Ziele des Datenschutzes,
- rechtlicher Hintergrund und
- Datenschutz-Maßnahmen
vermittelt.
Jeder Mitarbeiter wird auf die Einhaltung des Datengeheimnisses verpflichtet. Dies betrifft natürlich auch freie Mitarbeiter und externe Dienstleister (z.B. Reinigungsfirmen).
In regelmäßigen Nachschulungen werden die Mitarbeiter mit Gesetzes- und Verfahrensänderungen vertraut gemacht.
Datenschutzkonzept und Maßnahmenkatalog
Anschließend werden auf Basis der Bestandsaufnahme das Datenschutzkonzept und der Maßnahmenkatalog (gemäß Art. 32 DS-GVO) erstellt. Darin wird dokumentiert, welche technischen und organisatorischen Sicherheitsmaßnahmen im Unternehmen eingeführt oder geändert werden müssen und welche Maßnahmen in welcher Reihenfolge erforderlich sind, um in einem angemessenen Zeitraum einen Datenschutz-konformen Status zu erreichen.Regelmäßige Audits
Meist quartalsmäßig erfolgt ein Datenschutz-Review nach Absprache mit Ihnen. Hierbei werden neben den bereits umgesetzten technischen und organisatorischen Maßnahmen auch neue datenschutz-relevante Sachverhalte erläutert und dokumentiert. Im Zuge dessen wird suksessive das Verzeichnis der Verarbeitungstätigkeiten ausgearbeitet. Dieses beinhaltet sämtliche Verfahren, in denen personenbezogene Daten verarbeitet werden. Gegebenenfalls erfolgt die Anpassung der Konzepte und des Maßnahmenkataloges.Die Vorteile für Sie
Die Bestellung eines externen Datenschutzbeauftragten (DSB) bietet für Sie folgende Vorteile:- Kalkulierbare Kosten (keine Ausbildung und laufenden Fortbildungen)
- Hohe fachliche Kompetenz und professionelle Betreuung
- Haftung und Verantwortung für die Einhaltung der Datenschutzbestimmungen liegen beim externen DSB
- Vermeidung von Interessenskonflikten und Betriebsblindheit
- Kein arbeitsrechtlicher Sonderstatus eines zum internen DSB berufenen Mitarbeiters