Datenschutzprojekte

Datenschutzprojekte

Strategie und Planung

ggenaue Planung des Datenschutz-Projektes ist eine wichtige Voraussetzung für eine effiziente, zeitgerechte und erfolgreiche Umsetzung

 

  • Awareness des Managements:

    In einer Informationsveranstaltung werden dem Senior Management sowohl die Bedrohungsszenarien als auch die Perspektiven einer DSGVO-konformen Organisation näher gebracht.
    Konkrete Management-Aufgaben mit Datenschutzbezug werden besprochen und notwendige Rollen im Unternehmen diskutiert.

  • Datenschutzprojekt und Datenschutzorganisation:

    Auf Basis der abgesteckten Ziele werden die notwendigen Ressourcen, Meilensteine und Zuständigkeiten in der Organisation festgelegt, ein Projektauftrag erstellt und beauftragt.
    Termine und Zusammensetzung für regelmäßige Steering-Meetings werden definiert, in denen auch Changes in das Projekt eingebracht werden können.
    Einer der Schwerpunkte muss die Etablierung von Datenschutzkoordinatoren für alle wesentlichen Organisationsteile sein.  Damit einher geht der Aufbau einer Datenschutzorganisation.

  • Unterweisung der verantwortlichen Führungskräfte:

    Als wichtige Voraussetzung für den nächsten Schritt müssen die Verantwortlichen der einzelnen Bereiche in die Prinzipien und Denkweisen der DSGVO, der Bedeutung von personenbezogenen Daten und Verarbeitungen unterwiesen werden. Das kann natürlich in Form einer Spezial-Schulung erfolgen die ohnedies gesetzlich vorgeschrieben ist.

  • Verzeichnis der Verarbeitungstätigkeiten (VVT):

    Das VVT ist das wichtigste Dokument im gesamten DSGVO-Projekt. Zum einen finden sich hier alle Details zu den einzelnen Verarbeitungsschritten, Absicherungen und betroffene Personen deren Daten verarbeitet werden. Desweiteren ist es der Beleg, dass sich die verantwortliche Organisation der Datenschutzthemen ihrer Verarbeitungen bewusst und in der Lage ist, dass auch zu dokumentieren. Zu guter letzt hilft das VVT dabei, der Datenschutzbehörde möglichst effizient alle Antworten zu liefern die bei der Untersuchung eines Datenschutz-Vorfalles oder eines Problems mit Betroffenen-Rechten wichtig sind.

  • Auftragsdatenverarbeitung

    Ein wesentlicher Teil der DSGVO-Umsetzung ist der geregelte Umgang mit Dienstleistern, die im Rahmen der Wertschöpfung Daten vom verantwortlichen Unternehmen erhalten haben.
    Der Vertrag für Auftragsdatenverarbeitung regelt in Ergänzung zum Dienstleistungsvertrag die Pflichten des Dienstleisters und dient als Beleg für die ordentliche Absicherung der Daten mit Technisch- Organisatorischen Maßnahmen. Sublieferanten des Dienstleisters werden ebenfalls angeführt, wenn sie Zugriff auf Daten erhalten.
    Leider lässt die DSGVO bei der Entscheidung ob ein Dienstleister Auftragsverarbeiter ist oder nicht einigen Spielraum. Im Detail muss also auf jeden Fall überprüft werden ob Mittel und Zwecke der Dienstleistung vom Verantwortlichen festgelegt werden.

  • Informations – und Löschpflichten

    Bei der Erhebung oder Veränderung von personenbezogenen Daten muss der Betroffene umgehend informiert werden. Angepasst an die normalen Abläufe der Organisation müssen deshalb Informationsblätter für die üblichen Betroffenengruppen vorbereitet werden damit eine möglichst verlässliche und einfache Umsetzung der Informationspflicht gewährleistet ist. Branchenabhängige Aufbewahrungsfristen müssen erhoben und dokumentiert und technisch etabliert werden.