Datenschutz einführen – Schritt für Schritt
(Folge 4: Aktualisieren)

Schritt 4
Den Überblick bewahren: Um den Bearbeitungsstand aller Maßnahmen nachzuhalten, unverzichtbar.

In den vorangegangenen Folgen der Artikel-Serie beschreiben wir, wie Sie den Ist-Bestand an datenschutzrechtlich relevanten Verarbeitungstätigkeiten aufnehmen und mit den gesetzlichen Bestimmungen abgleichen. Als Resultat erhalten Sie in der Regel eine Liste an Verarbeitungstätigkeiten, die nicht datenschutzkonform ablaufen. Was zu tun ist, liegt auf der Hand: Prozesse oder Teilprozesse, die gegen datenschutzrechtliche Bestimmungen verstoßen, müssen überarbeitet und aktualisiert werden. Die erste Herausforderung besteht darin, die Prozess-Verantwortlichen davon zu überzeugen, dass Datenschutz unerlässlich ist und dem Unternehmen bei Nichtbeachtung unangenehme Konsequenzen drohen. Die zweite Herausforderung: den Überblick behalten. Welche Mängel sind besonders gravierend und müssen priorisiert behoben werden? Welche konkreten Maßnahmen und Umsetzungstermine wurden mit dem Prozess-Verantwortlichen vereinbart? Wie weit ist die Umsetzung fortgeschritten?

Für die erste Herausforderung – die Sensibilisierung und Überzeugung der Verantwortlichen – gibt es keine Patentlösung. Zu verschieden sind die Voraussetzungen. Großen Einfluss haben zum Beispiel die Unternehmenskultur, die Stellung des Datenschutzbeauftragten und auch die Datenschutz-Relevanz in Abhängigkeit vom Geschäftsfeld. Sinnvolle technische Möglichkeiten, die Sie bei der Mitarbeitersensibilisierung unterstützen, beschreiben wir im nächsten Teil dieser Artikelserie.

Für die zweite Herausforderung – den Überblick zu behalten – bieten sich unterschiedliche Methoden und Herangehensweisen an. Je länger das Verzeichnis mit mangelhaften Verarbeitungstätigkeiten, desto sinnvoller ist der Einsatz von Software. Ob selbstentwickeltes System oder Spezialsoftware – wichtig ist, dass der Datenschutzbeauftragte umgehend den Stand der Dinge erkennen kann und sieht, „wo es brennt“.

otris privacy ist eine Datenschutz-Software, die die gesamte Datenschutzorganisation eines Unternehmens vereinfacht und transparent hält. Alle Verarbeitungstätigkeiten, die sich in der Aktualisierung befinden – also überarbeitet werden – sind in otris privacy übersichtlich und in Kategorien unterteilt gelistet. Für jede Verarbeitungstätigkeit, die als nicht-datenschutzkonform eingestuft wurde, sieht der Nutzer, welche Maßnahmen zur Behebung des Mangels notiert wurde, wer zuständig ist und ob ein Termin vereinbart wurde, bis wann der Mangel behoben werden soll.

Auf einen Blick
Maßnahme zur Mangelbehebung, Stichtag und Bearbeitungsfortschritt.

otris privacy hilft dem Datenschutzbeauftragten (DSB), nachzuverfolgen, ob die von ihm beschlossenen Maßnahmen wie vereinbart umgesetzt werden. Die Beschreibung der Maßnahme und auch der Stichtag, an dem die Maßnahme abgeschlossen werden soll, ordnet der DSB der jeweiligen Verarbeitungstätigkeit zu. Eine Fristen- bzw. Wiedervorlagefunktion stellt sicher, dass er vor ablaufenden Fristen gewarnt wird und somit die termingerechte Abarbeitung jeder einzelnen Maßnahme im nicht aus den Augen verliert. Den Überblick behalten – das ist eine Grundvoraussetzung dafür, dass erforderliche Maßnahmen im betrieblichen Datenschutz umgesetzt werden.