Mehr und mehr Unternehmen fühlen sich unsicher mit dieser Praxis – auch vor dem Hintergrund, dass Verstöße künftig härter sanktioniert werden. Das Ziel dieser Unternehmen: Aufbau einer funktionierenden Datenschutz-Organisation. Ohne ein strukturiertes, projektorientiertes Vorgehen wird es jedoch schwierig, ein systematisches Datenschutz-Management unternehmensweit zu etablieren. Allgemeingültige Regeln, auf welche Art eine Datenschutz-Organisation eingeführt wird, gibt es nicht; dafür ist die Vielfalt in der Unternehmenslandschaft zu groß: Ein Energiekonzern mit tausenden Endkunden hat andere Anforderungen an Datenschutz als ein Maschinenbauer, dessen Kunden ausschließlich Geschäftskunden sind. Es gibt jedoch eine Reihe von grundsätzlichen Empfehlungen, die unabhängig von Unternehmensart und -größe sinnvoll sind.
Datenschutz einführen – Schritt für Schritt
(Folge 1: Bestandsaufnahme)
Schritt 1
Der Datenschutzbeauftragte nimmt die Arbeit auf. Das Ziel: ein Datenschutzmanagement-System, das als festgeschriebener Prozess in der Organisation verankert ist. Der Erste Schritt: eine vollständige Dokumentation sämtlicher Abläufe im Unternehmen, bei denen personenbezogene Daten verarbeitet werden.
Die gesetzlichen Bestimmungen lesen – Risiken identifizieren
Der Aufbau eines unternehmensweiten Datenschutz-Management-Systems (DSMS) fängt damit an, die gesetzlichen Bestimmungen zu lesen – das versteht sich von selbst. Im Mittelpunkt steht hierbei die EU-DSGVO, das Nachfolgegesetz des noch bis Mai 2018 gültigen BDSG. Um ein gesetzeskonformes DSMS aufzubauen, ist es unerlässlich, den Gesetzestext mit dem Ist-Zustand im Unternehmen abzugleichen. Die Leitfrage: Welche Regularien betreffen uns direkt und welche nur am Rande? Und welche Risiken für unser Unternehmen ergeben sich aus den einzelnen Bestimmungen? Die Beantwortung ist in der Regel nicht trivial – ein Experte ist gefragt.
Der Datenschutzbeauftragte
Abhängig davon, wie viele Mitarbeiter personenbezogene Daten verarbeiten und auf welche Art und Weise dies passiert, muss das Unternehmen einen Datenschutzbeauftragten (DSB) bestellen. Für mittlere und große Unternehmen ist das fast immer der Fall. Dem Unternehmen steht frei, einen eigenen Mitarbeiter (intern) oder einen externen DSB zu beauftragen. Wichtig ist: Der DSB muss die erforderliche Fachkunde besitzen, zuverlässig sein und ausreichend Zeit für seine Tätigkeit bekommen. Um Ziele, Aufwand und Strategie abzustecken, sollte der DSB zu Beginn seiner Tätigkeit einen Termin mit der Geschäftsführung vereinbaren und einen Vorschlag für eine Agenda vorstellen. Der DSB hat großen Anteil daran, wie das Datenschutz-Management organisiert wird: Aktionistisch und von Fall zu Fall hangelnd oder von Grund auf systematisch und in die Unternehmensprozesse verankert.
Das Fundament eines ganzheitlichen Datenschutzmanagements ist eine umfassende Dokumentation sämtlicher datenschutzrelevanter Prozesse im Unternehmen: Das Verzeichnis der Verarbeitungstätigkeiten ist die offizielle Bezeichnung hierfür. Um an Informationen zu gelangen, muss der DSB zunächst alle Ansprechpartner sämtlicher relevanter Unternehmenseinheiten identifizieren – von der Personalabteilung über den Vertrieb bis hin zur IT.
Bestandsaufnahme
Um den Bestand vollständig zu erfassen, bieten sich zwei Methoden an, die miteinander kombiniert werden sollten: Zum einen fordert der DSB die identifizierten Ansprechpartner auf, alle bekannten datenschutzrelevanten Verfahren an zentraler Stelle einzureichen. Und zum anderen recherchiert der DSB „auf eigene Faust“, um zusätzliche Prozesse zu identifizieren. Hierzu fordert er beispielsweise eine Liste aus der IT-Abteilung an, die alle vorhandenen Systeme auflistet. Außerdem sollte er das Intra-Net (oder andere Ablageorte) nach datenschutzrelevanten Richtlinien, Policies, Betriebsvereinbarungen etc. durchsuchen. In dem Verzeichnis der Verarbeitungstätigkeiten müssen neben den betriebsinternen Prozessen auch sogenannte Vereinbarungen zur Auftragsdatenverarbeitung geführt werden. Auftragsdatenverarbeitung heißt, dass ein Dienstleister in Ihrem Auftrag personenbezogene Daten erhebt, verarbeitet oder nutzt.
Wie umfangreich das Verzeichnis der Verarbeitungstätigkeiten wird, zeigt sich bei einem Blick auf die datenschutzrelevanten Verfahren einer Personalabteilung.
Ein Ausschnitt:
- Bewerbungsprozess
- Arbeitsverträge
- Lohnabrechnung
- Gesundheitsmanagement
- Krankheitsregelungen
- Pensionierung
- Urlaub
- Reisekosten
- Zeiterfassung
- Unfälle
- Beurteilung
- Einsatz- und Arbeitsplanung
- Versicherungen
- (…)
Selbstentwickelte Systeme, die in vielen Unternehmen zur Prozess-Dokumentation eingesetzt werden, sind häufig nicht nur unübersichtlich, sondern auch fehleranfällig. Mit der Datenschutz-Software otris privacy ordnen und vereinfachen Sie die Herausforderung der Bestandsaufnahme: Die Mitarbeiter der Fachabteilungen greifen webbasiert und abhängig von den zugeteilten Rechten und Rollen auf das System zu und dokumentieren „Ihre“ Verarbeitungstätigkeiten mithilfe von Vorlagen und Assistenten. Dieses System stellt sicher, dass die Verfahrensbeschreibungen einheitlich formatiert eingehen und dass unerfahrenen Nutzern bei der inhaltlichen Arbeit assistiert wird. Die gleichen Vorlagen und Assistenten nutzt der DSB, um die selbst recherchierten Verarbeitungstätigkeiten zu dokumentieren. Durch das einheitliche Schema, das die Datenschutz Software vorgibt, entsteht eine Gesamtdokumentation von hoher Qualität, die den gesetzlichen Bestimmungen entspricht.
Umsetzung in otris privacy
Verarbeitungstätigkeiten mithilfe von Vorlagen und Assistenten einheitlich dokumentieren.
Das Verzeichnis der Verarbeitungstätigkeiten ist die Basis für die nachfolgenden Schritte, die zum Aufbau eines ganzheitlichen DSMS notwendig sind (siehe Grafik). Die Schritte zwei bis sechs beschreiben wir in Kürze an dieser Stelle.
