Strukturiertes Vorgehen als Datenschutzbeauftragter
Ein strukturiertes Vorgehen als Datenschutzbeauftragter (DSB) bietet allen Beteiligten Vorteile. Wir erarbeiten gemeinsam einen Plan zur Umsetzung des Datenschutzes im Unternehmen. Zwar ist jedes Unternehmen ist anders aufgebaut, aber einige Punkte, wie beispielsweise die Lohn- und Gehaltsabrechnung ist bis auf wenige Unterschiede überall ähnlich.
Das Ziel: wir schaffen für alle Beteiligten Orientierung im neuen Betätigungsfeld Datenschutz.
Der Datenschutzbeauftragte übernimmt eine Vielzahl von Aufgaben im Unternehmen und die Einhaltung des Datenschutzes hat eine hohe Priorität.
Für die Einordnung der Wichtigkeit müssen Prozesse betrachtet und definiert werden (Datenschutzmanagementsystem).
Der Datenschutzbeauftragte ist zentraler Ansprechpartner für Mitarbeiter, Geschäftsleitung, Kunden, Auftragnehmer und Datenschutzbehörden wenn es um Datenschutzthemen geht.
Dabei ist es unerheblich, ob der Datenschutzbeauftragte intern oder extern bestellt wurde – Aufgaben und Stellung sind gleich.
Aus den gesetzlich geregelten Aufgaben des Datenschutzbeauftragten geht kein Arbeitsablauf hervor. Die Vorgaben von Datensicherheit und aus vorhandener Dokumentation ergeben jedoch ein klareres Bild des Arbeitsablaufs.
Ein mögliches Vorgehen des Datenschutzbeauftragten
Empfohlen von der Bundesdatenschutzbeauftragten für Datenschutz.
1. ordnungsgemäße Bestellung des Datenschutzbeauftragten
Sie muss offiziell erfolgen und mit der Datenschutz-Grundverordnung ab Mai 2018 auch der zuständigen Landesdatenschutzbehörde gemeldet werden. In Bayern ist die BayLDA zuständig.
Sie sollten bereits jetzt in Ihrer Planung berücksichtigen, Ihrem Datenschutzbeauftragten ein Büro oder ein Besprechungszimmer für vertrauliche Gespräche zur Verfügung zu stellen. Zudem ein eigenes Postfach um die Datenschutz relevanten Themen klar von den geschäftlichen zu trennen. Das gilt digital aber auch analog.
Sie muss offiziell erfolgen und mit der Datenschutz-Grundverordnung ab Mai 2018 auch der zuständigen Landesdatenschutzbehörde gemeldet werden. In Bayern ist die BayLDA zuständig.
Sie sollten bereits jetzt in Ihrer Planung berücksichtigen, Ihrem Datenschutzbeauftragten ein Büro oder ein Besprechungszimmer für vertrauliche Gespräche zur Verfügung zu stellen. Zudem ein eigenes Postfach um die Datenschutz relevanten Themen klar von den geschäftlichen zu trennen. Das gilt digital aber auch analog.
2. offizielle Vorstellung des DSB im Unternehmen
Jeder Mitarbeiter soll von dem Datenschutzbeauftragten erfahren. Der DSB ist Ansprechpartner für Mitarbeiter, Kunden und Geschäftspartner.
Die Mitteilung erfolgt am besten über die Geschäftsleitung. Auch Hauszeitung, interner Newsletter oder das schwarze Brett können genutzt werden. Es folgt die Nennung auf der Webseite um auch für Personen außerhalb des Unternehmens ansprechbar zu sein.
Jeder Mitarbeiter soll von dem Datenschutzbeauftragten erfahren. Der DSB ist Ansprechpartner für Mitarbeiter, Kunden und Geschäftspartner.
Die Mitteilung erfolgt am besten über die Geschäftsleitung. Auch Hauszeitung, interner Newsletter oder das schwarze Brett können genutzt werden. Es folgt die Nennung auf der Webseite um auch für Personen außerhalb des Unternehmens ansprechbar zu sein.
3. Vorstellung des Datenschutzbeauftragten bei der IT, in der Personalabteilung, dem Betriebsrat oder Mitarbeitervertretung und dem IT-Sicherheitsbeauftragten.
Sinnvoll, denn mit diesen Stellen arbeitet der DSB zusammen.
Sinnvoll, denn mit diesen Stellen arbeitet der DSB zusammen.
4. Erfassung der IST-Situation
Der Datenschutzbeauftragte muss sich einen Überblick darüber verschaffen wo personenbezogene Datenverarbeitung stattfindet.
Um dieses Vorgehen des Datenschutzbeauftragten nicht immer wiederholen zu müssen, ist es sinnvoll den DSB bei zukünftigen Verfahren vorab zu informieren und wenn möglich gleich zu integrieren. Sind Vorabkontrollen bei der Verarbeitung besonderer personenbezogener Daten nötig, muss der Datenschutzbeauftragte involviert werden.
Der Datenschutzbeauftragte muss sich einen Überblick darüber verschaffen wo personenbezogene Datenverarbeitung stattfindet.
Um dieses Vorgehen des Datenschutzbeauftragten nicht immer wiederholen zu müssen, ist es sinnvoll den DSB bei zukünftigen Verfahren vorab zu informieren und wenn möglich gleich zu integrieren. Sind Vorabkontrollen bei der Verarbeitung besonderer personenbezogener Daten nötig, muss der Datenschutzbeauftragte involviert werden.
5. Vorhandene Dokumentation
Für den Überblick erhält der Datenschutzbeauftragte von der IT ein Verfahrensverzeichnis. Dieses zeigt, wo personenbezogene Daten verarbeitet werden.
Dazu erhält er eine Auflistung der verwendeten Hard- und Software und eine Übersicht der Zugriffsberechtigungen. Sind diese Dokumentationen nicht vorhanden, müssen sie erstellt werden.
Für den Überblick erhält der Datenschutzbeauftragte von der IT ein Verfahrensverzeichnis. Dieses zeigt, wo personenbezogene Daten verarbeitet werden.
Dazu erhält er eine Auflistung der verwendeten Hard- und Software und eine Übersicht der Zugriffsberechtigungen. Sind diese Dokumentationen nicht vorhanden, müssen sie erstellt werden.
6. Schulung von Mitarbeitern, Leitungsebene und Geschäftsleitung
Zu den Aufgaben des Datenschutzbeauftragten zählt auch die Schulung der Mitarbeiter. Alle Beteiligten sollen für den Umgang mit personenbezogenen Daten sensibilisiert werden. Hierzu sieht das Vorgehen als Datenschutzbeauftragter vor, ein Schulungskonzept zu erarbeiten. Inhalte und Zeiten müssen geplant werden.
Zu den Aufgaben des Datenschutzbeauftragten zählt auch die Schulung der Mitarbeiter. Alle Beteiligten sollen für den Umgang mit personenbezogenen Daten sensibilisiert werden. Hierzu sieht das Vorgehen als Datenschutzbeauftragter vor, ein Schulungskonzept zu erarbeiten. Inhalte und Zeiten müssen geplant werden.
7. Prüfung und Kontrolle der Datenverarbeitung
Der Datenschutzbeauftragte überprüft die Datenverarbeitung stichprobenweise auf Einhaltung.
Der Datenschutzbeauftragte überprüft die Datenverarbeitung stichprobenweise auf Einhaltung.
8. Tätigkeitsbericht
Einmal jährlich legt der Datenschutzbeauftragte der Geschäftsleitung seinen Tätigkeitsbericht vor. Eine Präsentation des Berichts auf der Betriebsversammlung ist zum Bilanz ziehen auch denkbar. Im Tätigkeitsbericht des DSB sind die umgesetzten Verbesserungen genauso erwähnt wie die noch notwendigen Optimierungsmaßnahmen in Bezug auf den Datenschutz, bzw. die Verarbeitung personenbezogener Daten. Dieser Bericht zeigt gleichzeitig Fortschritt und Verbesserungsnotwendigkeiten auf.
Einmal jährlich legt der Datenschutzbeauftragte der Geschäftsleitung seinen Tätigkeitsbericht vor. Eine Präsentation des Berichts auf der Betriebsversammlung ist zum Bilanz ziehen auch denkbar. Im Tätigkeitsbericht des DSB sind die umgesetzten Verbesserungen genauso erwähnt wie die noch notwendigen Optimierungsmaßnahmen in Bezug auf den Datenschutz, bzw. die Verarbeitung personenbezogener Daten. Dieser Bericht zeigt gleichzeitig Fortschritt und Verbesserungsnotwendigkeiten auf.
9. Ziel Datenschutzkonzept
Das Unternehmen kann dann auch samt Angebot und/ oder Produkten zertifiziert werden. Eine Datenschutzzertifizierung schafft zusätzliches Vertrauen bei Kunden und Auftraggebern und wird als Marketing- und Vertriebsinstrument sicher gerne genutzt.
Das Unternehmen kann dann auch samt Angebot und/ oder Produkten zertifiziert werden. Eine Datenschutzzertifizierung schafft zusätzliches Vertrauen bei Kunden und Auftraggebern und wird als Marketing- und Vertriebsinstrument sicher gerne genutzt.
