Der Einstieg in die DSGVO ist sowohl für Datenschutzlaien, aber auch für viele erfahrene Datenschutzbeauftragte eine Herausforderung. Der Grund: Die Datenschutz-Grundverordnung fordert mehr als nur das Abhaken einer kurzen Checkliste – denn es geht um Prozesse, ganzheitlichen Datenschutz und um ein System, um all dies abzubilden.
Schritt 1:
Aller Anfang ist schwer
Zu Beginn sollten Sie Ihren Auftrag klären. Es ist beispielsweise nicht im Sinne des Managementsystems der DSGVO, dass Sie den Datenschutz komplett neu erfinden, während andere bereits grundlegende Arbeiten erledigt haben. Betrachten Sie hierzu unbedingt die Arbeit von Datenschutzverbänden. Diese stellen häufig sogar branchenspezifische Arbeitshilfen zur freien Verfügung zum Download bereit.
Ihre To-Dos im 1. Schritt:
- Definieren Sie das Projekt
- Formulieren Sie den Projektauftrag
- Bestimmen Sie die Projektorganisation
Schritt 2:
Projektplanung ist das A und O
Zu einer ausführlichen Planung gehört auch die vorherige Durchführung einer Soll-Ist-Analyse. Hierzu bietet sich eine Mischform aus Interviews und Fragebögen sowie internen Audits an.
Als Ergebnis sollte in dieser Phase eine ausführliche Dokumentation Ihrer Arbeit hervorgehen, da diese für die Projektumsetzung von großer Bedeutung ist.
Für den Aufbau können Sie sich an nachfolgendem Beispiel orientieren, dass Sie gegebenenfalls noch spezifizieren sollten:
1. Zusammenfassung/ Executive Summary
2. Projektbeschreibung/Grundsätzliches
- Einführung in das Thema
- Projektauftrag
- Vorgehensbeschreibung
- Aufbau der Dokumentation
3. Rechtliche Grundlagen der DSGVO
4. Analyse des Ist-Standes (z.B. als Tabelle
darstellbar)
- Anforderungen DSGVO
- Ergebnis aus Audits/Interviews
- Identifizierte Abweichung
- Bewertung (Farben-/Ampelsystem)
Schritt 3:
Analysieren Sie die Risiken
Haben Sie bei der Soll-Ist-Stand-Erhebung festgestellt, dass Sie Lücken innerhalb Ihrer Datenschutzvorkehrungen haben, sollten Sie diese priorisieren und eine Risikoanalyse vornehmen. Ziehen Sie hierzu beispielsweise folgende Kriterien zurate:
Schritt 4: Umsetzung
Die Maßnahmenplanung ergibt sich aus den identifizierten Datenschutzlücken Ihrer Planung. Viele dieser Lücken können mit Sicherheit durch die technisch-organisatorischen Maßnahmen geschlossen werden. Berücksichtigen Sie, dass insbesondere bei der Umsetzung von technischen Maßnahmen gegebenenfalls Strukturierungen der IT-Systeme erfolgen müssen.
Denken Sie daran, den Datenschutz betreffende Dokumente anzupassen und ebenfalls einen Prozess für das Meldewesen von Datenschutzverstößen sowie eine umfangreiche Dokumentation zu führen. Mit der DSGVO haben Sie nämlich umfangreiche Dokumentationspflichten einzuhalten.
Schritt 5:
Schließen Sie den Kreis
Nachdem Sie Ihre Maßnahmen geplant (Plan) und umgesetzt (Do) haben, sollten Sie Ihre Maßnahmen auf ihre Wirksamkeit hin überprüfen (Check) und, wenn nötig, anpassen bzw. handeln (Act). Denn indem Sie einmal Ihre Maßnahmenplanung umgesetzt haben, müssen Sie diese stetig prüfen und gegebenenfalls anpassen, um die Maßnahmen besser zu machen und zu optimieren. Nur das ist der richtige Weg zu einer guten Datenschutzorganisation.
INFO
Ein Datenschutzmanagementsystem meint keine Software
Leider herrscht noch immer ein nicht ganz einheitliches Bild über ein Datenschutzmanagementsystem. Bei all Ihrer Arbeit kann ein solches Tool zur reinen Organisation hilfreich sein – aber: Eine Excelliste tut es auch. Ein Datenschutzmanagementsystem meint nämlich viel eher das Zusammenführen ganzheitlicher Managementansätze. Diese Herausforderung kann eine Software nicht nehmen, da es um Prozesse und den gelebten Datenschutz geht.
Teilen:
