Datenschutz-Beratung

Datenschutzorganisation

Eine funktionierende Datenschutzorganisation liegt vor, wenn alle von der DSGVO vorgesehenen Datenschutzprozesse auch ohne Mitwirkung oder Anwesenheit des Datenschutzbeauftragten funktionieren.

Immer wieder kann man folgenden Satz hören: “Für die Sicherstellung des Datenschutzes ist der Datenschutzbeauftragte zuständig!” Diese Position ist nicht mit der DSGVO vereinbar.

Datenschutzbeauftragte (DSB) haben eine beratende und kontrollierende Funktion. Eine Einbindung in operative Datenschutzprozesse ist vom Grundsatz her nicht möglich, da sich der DSB dann selbst kontrollieren würde – dies wäre ein Interessenkonflikt, den die DSGVO verbietet.

Datenschutz bzw. Informationssicherheit muss also fest in die Abläufe im Unternehmen eingewoben sein, sodass die Informationssicherheit im gesamten Unternehmen kontinuierlich gelebt werden kann.

  • Feste und lückenlose Verankerung in den Prozessen.
  • Definition von Verantwortlichkeiten für die Wahrnehmung des operativen Datenschutzes in der Linienorganisation.

Dies wären insbesondere:

  • Verpflichtung und Schulung von Mitarbeitern
  • Information der Betroffenen
  • Beauskunftung der Betroffenen
  • Behandlung von Datenschutz-Pannen
  • Steuerung und Kontrolle von Auftragsverarbeitern
  • Durchführung von Interessenabwägungen
  • Löschung nach Ablauf der Speicherfrist bzw. Wegfall der Rechtsgrundlage zur Verarbeitung
  • Durchführung von Datenschutz-Folgeabschätzungen
  • u.a.m.

Der DSB mag bei der Ausgestaltung der Prozesse und der Definition mitwirken (Beratung). Ansonsten sollte seine Rolle in der Kontrolle der Wirkungsweise dieser Prozesse liegen.

Wir beraten Sie bei der Ausgestaltung einer auf Ihr Unternehmen zugeschnittenen Datenschutzorganisation.

Datenschutz-Managementsystem

Als Managementsystem werden aufeinander abgestimmte Aufgaben / Ziele innerhalb eines Unternehmens sowie deren Messbarkeit und Steuerung verstanden. Das Thema Datenschutz läßt sich exzellent in zwei bekannte und in vielen Unternehmen bereits eingeführte Managementsysteme integrieren:
Qualitätsmanagement nach DIN EN ISO 9001:2015 sowie IT-Sicherheitsmanagement nach ISO/IEC 27001:2013.

Die DSGVO setzt das Vorhandensein eines IT-Sicherheitsmanagements voraus. Der risikoorientierte Ansatz der Norm erwartet implizit das Vorhandensein eines Risikomanagementsystems.

Ein wichtiger Bestandteil von allen Managementsystemen ist eine fortwährende Dynamik, also die kontinuierliche Evaluierung des Handels und die Ableitung von Optimierungen und Verbesserungen. In vielen Managementsystem (z.B. in der DIN EN ISO 9001:2015) wird diese Dynamik als PDCA Zirkel schematisiert:

  • Plan (Konzept)
  • Do (Umsetzung)
  • Check (Überprüfung)
  • Act (Optimierung)

Ein Datenschutz-Managementsystem kann vereinfacht als Dynamisierung einer ansonsten statischen Datenschutzorganisation definiert werden.

Ein ideales Managementsystem ermöglicht die Identifikation von Abweichungen (Check) und die Entwicklung von Handlungsmöglichkeiten (Act) anhand einfach zu interpretierenden Mess- und Kontrollpunkten (Internes Kontrollsystem).