Datenschutzkonzept / Datenschutzmanagementsystem
Punktueller Datenschutz ist in Zeiten der DSGVO nicht mehr zielführend, um alle sich aus der DSGVO ergebenden Pflichten (Rechenschaftspflicht / Accountability) zu erfüllen.
Mit der Bestellung eines Datenschutzbeauftragten alleine ist somit nur ein Teil der Anforderungen der DSGVO umgesetzt.
Auch die Aufsichtsbehörden lassen sich im Rahmen der Prüfungen unternehmensweite Datenschutzkonzepte vorlegen, weswegen die Implementierung eines Datenschutzmanagementsystems unumgänglich ist.
Implementierung eines Datenschutzmanagementsystems
Schritt 1
IST-Analyse Datenschutzniveau
Auditierung des gesamten
Unternehmens hinsichtlich:
Dokumentation und Aufbereitung der Findings
- Tatsächliche Arbeitsabläufe
- Vorhandene Arbeitsanweisungen, Dokumentation, Verträge
- Vorhandene datenschutzrechtliche Prozesse
- Verzeichnis der Verarbeitungstätigkeiten
- Erfüllung der Informationspflichten
- Datenschutzrechtliche Vereinbarungen (AVV, Joint Controllership)
- Sicherheit der Verarbeitung
Schritt 2
Erstellung eines Maßnahmenplans
- Auflistung aller gefunden Abweichungen mit Risikoeinschätzung
- Erstellung von Arbeitspaketen priorisiert nach Risiko und Eintrittswahrscheinlichkeit
Schritt 3
Umsetzung, Schulungen
Nach Abstimmung der Arbeitspakete wird die Umsetzung in den einzelnen Fachabteilungen vorangetrieben:
- Initialer Workshop mit allen Fachabteilungen
- Erstellung der Verarbeitungsverzeichnisse
- Ermittlung der benötigten datenschutzrechtlichen Vereinbarungen mit Dienstleistern
- Erfüllung der Informationspflichte
- Implementierung der datenschutzrechtlichen Prozesse (Auskunft, Löschung, Verhalten bei Datenpanne)
- Datenschutzfolgeabschätzungen
- Löschkonzept
Zudem werden alle Mitarbeiter in das Datenschutzmanagementsystem unterwiesen.
Schritt 4
Dokumentation, regelmäßige Auditierung
Ihre Ansprechpartnerin
Rechtsanwältin Michaela Berger, LL.M.
Fachanwältin für IT-Recht
zertifizierte Datenschutzbeauftragte (TÜV Süd)
zertifizierte Datenschutz-Auditorin (TÜV Süd)