Planung der Änderungen
Die Umsetzung der Anforderungen der DSGVO kann unter Umständen auch eine Änderung an den Prozessen des Unternehmens und damit auch am Managementsystem allgemein nach sich ziehen.
Eine Analyse der Anforderungen im Vergleich zu den eingeführten und umgesetzten Prozessen zeigt dann, wie hoch der Anpassungs- und Änderungsbedarf ist. Hierbei ist allerdings immer darauf zu achten, dass die Integrität des QM-Systems nicht gefährdet wird.
In Kapitel 6.3 der DIN EN ISO 9001:2015 wird das Vorgehen bei einem Änderungsbedarf am QM-Systems des Unternehmens beschrieben:
a) Zweck der Änderung und deren Konsequenzen: gesetzliche Anforderung zur Umsetzung
b) Integrität des QM-Systems sicherstellten: ausgearbeitete GAP-Analyse und Maßnahmenplan
c) Verfügbarkeit von Ressourcen: Wissen, Kapazität und Infrastruktur bestimmen und personelle Ressourcen bestimmen (intern oder extern)
d) Verantwortlichkeiten und Befugnisse zuweisen
Umsetzung der Anforderungen
Nach der Analyse und der Planung geht es in die Umsetzung.
Meine Erfahrung hat gezeigt, dass sich eine Umsetzung in übersichtlichen Arbeitspakten nachhaltiger ist, als eine Umsetzung nach dem "Gießkannenprinzip". Für die Arbeitspakete werden die Maßnahmen aus der GAP-Analyse möglichst zusammengefasst, priorisiert und ein Verantwortlicher für die Umsetzung bestimmt.
Für mich und die Unternehmen die ich betreue, hat sich folgender Ablauf etabliert:
Phase 1: Start
1) Ressourcen für das Datenschutzmanagement
DSB gemäß Art. 37 DSGVO erforderlich?
Fachkunde- oder Erfahrungsnachweis vorhanden?
2) Mitarbeitersensibilisierung
Grundlagen im Datenschutz
Verpflichtung auf das Datengeheimnis
Umgang mit personenbezogenen Daten
Umgang mit IT-Systemen
3) Verantwortlichkeiten festlegen
Der Verantwortliche für die Verarbeitung personenbezogener Daten ist in der Regel der Geschäftsführer (bzw. das Topmanagement)
Die Verantwortung für die Umsetzung der Anforderungen und festgelegten Maßnahmen kann einem Datenschutzteam übertragen werden. Die Befugnisse des Datenschutzteams müssen klar festgelegt werden.
Phase 2: Umsetzung
1) Verfahren mit Verarbeitung von personenbezogenen Daten identifizieren und in einem Verzeichnis gemäß Art. 30 DSGVO dokumentieren.
Typische Verfahren in Unternehmen:
Lohn- und Gehaltsbuchhaltung
Personalverwaltung / HR
Vertrieb
Lieferantenmanagement
Kommunikation mit interessierten Parteien
Betrieb einer Homepage
Meine Empfehlung: Ich arbeite mich entlang des Organigramms und der
Prozesslandkarte des Unternehmens vor. So erhalte ich einen guten Überblick über die Prozesse des Unternehmens und die verarbeiteten Daten. Ich kläre mit den Prozessverantwortlichen auch gleich den Zweck, den Umfang und die Kategorien der verarbeiteten Daten. Dabei stelle ich immer die Frage "ist die Verarbeitung personenbezogener Daten für diesen Prozess relevant?" Bei einer Verneinung können Maßnahmen zur Datenminimierung festgelegt und anschließend umgesetzt werden.
2) Verarbeitungen im Auftrag identifizieren
Welche Dienstleister werden im Unternehmen eingesetzt und wie sieht die Vertragsgestaltung mit Bezug zum Datenschutz aus (AV-Verträge)?
Für welche Kunden und Tätigkeiten sind wir als Dienstleister tätig und welche Anforderungen werden gestellt?
3) Richtlinien und Regelungen zum Umgang mit Daten erstellen oder ergänzen
Allgemeiner, sicherer Umgang mit Daten
Vorgaben zur Gestaltung vorhandener und neuer Prozesse mit Verarbeitung personenbezogener Daten
Homeoffice / Mobile Office Richtlinie
Zugangs- und Zutrittsregelungen im Unternehmen
Notfallmanagement
Definition von und Umgang mit Datenpannen
weitere Regelungen nach Bedarf
4) Technische und organisatorische Maßnahmen (TOM) dokumentieren, Wirksamkeit prüfen und ggf. verbessern
Phase 3: Kontrolle und Aufrechterhaltung
1) Kontrolle und Verbesserung
interne Audits zur Umsetzung der DS-Richtlinien
Verarbeitungsverzeichnis auf Aktualität prüfen
TOM auf Aktualität und Wirksamkeit prüfen
AV-Verträge und Dienstleister prüfen
2) Schulung und Sensibilisierung
allgemeine Datenschutzschulung
anlassbezogene Schulungen
Im nächsten Teil dieser Serie gehe ich speziell auf Verarbeitungen ein, die potentiell ein Risiko für die Rechte und Freiheiten Betroffener bergen. Der Umgang mit diesen Verarbeitungen stellt die Verantwortlichen regelmäßig vor eine Hürde. Was ich meinen Kunden in diesen Frage rate - das gibt es im nächsten Teil dieser Serie.
Ich freue mich über Feedback, Fragen oder Anregungen über unsere Social Media Kanäle, über ein Kommentar unter diesem Beitrag oder per Mail.