Aufbau einer Datenschutz-Organisation | Schritt 3

8. August 2017

Datenschutz einführen – Schritt für Schritt
(Folge 3: Bewerten)

Ihr Ziel ist die Einführung eines unternehmensweiten, prozessbasierten Datenschutzmanagements – Sie sind sich jedoch unsicher, wie Sie vorgehen können? In dieser Artikel-Serie erläutern wir, worauf Sie bei der Einführung achten sollten und welche technische Unterstützung sinnvoll ist.

In Folge 1 und Folge 2 der Artikel-Serie beschreiben wir, wie Sie ein Verzeichnis der Verarbeitungstätigkeiten anlegen und die dort dokumentierten Prozesse analysieren. Die Ergebnisse der Analyse müssen nun bewertet werden, um aufzudecken, ob es im Unternehmen Verarbeitungstätigkeiten gibt, die nicht datenschutzkonform ablaufen. Kann die Zuarbeit für Bestandsaufnahme und Analyse auch von fachfremden Mitarbeitern erfolgen, ist bei der Bewertung die Expertise des Datenschutzbeauftragten gefragt. Er muss beurteilen, ob ein Analyseergebnis im Widerspruch zu den gesetzlichen Bestimmungen steht. Zusätzlich muss er aufgedeckte Mängel beschreiben, damit im Anschluss konkrete Maßnahmen abgeleitet werden können.

Grafik-Datenschutzeinfueherung-Folge3

Schritt 3
Nach der Analyse einer Verarbeitungstätigkeit muss das Ergebnis bewertet werden, um Schwachstellen aufzudecken.

Wie bei den vorherigen Schritten (Bestandsaufnahme und Analyse) besteht auch bei der Bewertung eine weitere, grundsätzliche Herausforderung darin, den Überblick zu behalten. Eine gründliche Bestandsaufnahme fördert in der Regel eine Vielzahl an Prozessen zutage, die datenschutzrechtlich relevant sind. Bestandsaufnahme, Analyse und Bewertung erfolgen in den meisten Fällen parallel, da Verarbeitungstätigkeiten nicht gleichzeitig, sondern nach und nach in das Verzeichnis aufgenommen und aktualisiert werden. Als Datenschutzbeauftragter müssen Sie diese Komplexität bewältigen. Sie sollten jederzeit nachvollziehen können, ob ein Prozess bereits in das Verzeichnis aufgenommen wurde und in welcher nachfolgenden Stufe er sich befindet (Analysieren, Bewerten, Aktualisieren). Die Spezialsoftware otris privacy dokumentiert automatisiert sämtliche Arbeiten, die Sie mit dem System durchführen. Der aktuelle Zustand Ihrer Datenschutz-Organisation ist somit kontinuierlich nachvollziehbar und Sie sind auf Knopfdruck auskunftsfähig – sowohl intern als auch extern. Welche Verarbeitungstätigkeit bereits analysiert, jedoch noch nicht bewertet wurde, sehen Sie beim Blick in das Verzeichnis: Ein Klick auf die jeweilige Verarbeitungstätigkeit zeigt den Stand der Bearbeitung.

otris privacy - Stand der Bearbeitung

Stand der Bearbeitung
Diese Verarbeitungstätigkeit ist in der Analysephase. Nach Abschluss wird die Analyse bewertet bzw. kontrolliert.

Bewerten mit otris privacy
Nachdem der Fachbereich (oder eine andere zuständige Person) die zugeordneten Checklisten-Fragen für eine Verarbeitungstätigkeit beantwortet hat, wechselt sie vom Zustand „analysieren“ zu „kontrollieren“. Als Datenschutzbeauftragter müssen Sie nun die Antworten bewerten. Hierzu öffnen Sie ein Formular, in dem Sie jede einzelne Frage mit der jeweiligen Antwort sehen und Checkboxen zur Bewertung anklicken: OK, bedingt OK, nicht OK, nicht bewertet. Bewerten Sie mit „nicht OK“ oder „bedingt OK“, ist es sinnvoll, zusätzlich den Grund für die Abweichung in dem Feld „Mängelbeschreibung/Bemerkung“ zu hinterlegen. Das vereinfacht die anschließende Definition von Maßnahmen.

otris privacy - Bewertungen

Bewertung der Antworten durch den Datenschutzbeauftragten

Nach der Bewertung der Antworten fasst otris privacy das Ergebnis übersichtlich zusammen. Ampelsymbole verdeutlichen, an welchen Stellen es Verbesserungsbedarf gibt. Haben Sie auf diese Weise Schwachstellen in Ihrer Datenschutz-Organisation identifiziert, müssen Sie konkrete Maßnahmen zur Behebung entwickeln. Wie Sie vorgehen können und wie Sie otris privacy hierbei unterstützt, ist Thema der nächsten Folge dieser Artikel-Serie.

zum Fachbeitrag

Wie fangen wir an?

otris software vereinfacht Verantwortung - Box Datenschutz einführen

Das Ziel: Aufbau einer funktionierenden Datenschutz-Organisation ...

zur Pressemitteilung

Alle Infos in der Tasche

otris software vereinfacht Verantwortung - Box otris-App

otris App – ortsunabhängig und mobil mit myFavorites ...

zur Pressemitteilung

Auf solidem Fundament

otris software vereinfacht Verantwortung - Box otris software AG ist notenbankfähig

Die otris software AG ist notenbankfähig ...