Daten­schutz­konzept / Datenschutz­management­system

Zur DSGVO ist ein umfassendes Datenschutzkonzept von entscheidender Bedeutung, um sämtliche Verpflichtungen, die sich aus dieser Verordnung ergeben, zu erfüllen. Die bloße Umsetzung von punktuellen Datenschutzmaßnahmen reicht nicht aus, um die Anforderungen der DSGVO in Bezug auf Rechenschaftspflicht oder Accountability zu erfüllen.

 

Die Ernennung eines Datenschutzbeauftragten ist zweifellos ein wichtiger Schritt, jedoch bildet sie nur einen Teil der umfassenden Anforderungen der DSGVO ab. Die Implementierung eines Datenschutzmanagementsystems ist daher unverzichtbar, um sämtliche Aspekte der DSGVO zu erfüllen und umfassenden Datenschutz zu gewährleisten.

 

Insbesondere Aufsichtsbehörden verlangen im Rahmen ihrer Prüfungen die Vorlage unternehmensweiter Datenschutzkonzepte. Ein Datenschutzmanagementsystem bietet die Struktur und den Rahmen, um die Einhaltung der DSGVO auf Unternehmensebene sicherzustellen und potenzielle Risiken zu minimieren. Durch die Implementierung eines solchen Systems können Unternehmen nicht nur die rechtlichen Anforderungen erfüllen, sondern auch das Vertrauen ihrer Kunden und Partner stärken.

Implemen­tierung eines Daten­schutzmanagement­systems

Da­ten­schutz-Audi­tierung des gesamten
Unter­nehmens

Um ein umfassendes Datenschutzmanagementsystem zu implementieren, beginnen wir bei RDP Rechtsanwälte mit einer gründlichen IST-Analyse des aktuellen Datenschutzniveaus. Diese Analyse umfasst eine detaillierte Überprüfung des gesamten Unternehmens hinsichtlich:

 

Tatsächliche Arbeitsabläufe: Wir untersuchen die tatsächlichen Abläufe im Unternehmen, um potenzielle Datenschutzlücken oder Risiken zu identifizieren.

 

Vorhandene Arbeitsanweisungen, Dokumentationen und Verträge: Wir prüfen alle vorhandenen Arbeitsanweisungen, Dokumentationen und Verträge auf deren Datenschutzkonformität.

 

Vorhandene datenschutzrechtliche Prozesse: Wir überprüfen die vorhandenen Prozesse im Unternehmen, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.

 

Verzeichnis der Verarbeitungstätigkeiten: Wir prüfen, ob ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten vorhanden ist, um Transparenz über die Datenverarbeitung im Unternehmen zu gewährleisten.

 

Erfüllung der Informationspflichten: Wir prüfen, ob die Informationspflichten gemäß der DSGVO ordnungsgemäß erfüllt werden, insbesondere in Bezug auf die Information betroffener Personen über die Datenverarbeitung.

 

Datenschutzrechtliche Vereinbarungen (AVV, Joint Controllership): Wir überprüfen alle bestehenden datenschutzrechtlichen Vereinbarungen, einschließlich Auftragsverarbeitungsverträgen (AVV) und Vereinbarungen über gemeinsame Verantwortlichkeit (Joint Controllership), um sicherzustellen, dass diese den gesetzlichen Anforderungen entsprechen.

 

Sicherheit der Verarbeitung: Wir analysieren die Sicherheitsmaßnahmen, die zum Schutz personenbezogener Daten implementiert wurden, und prüfen, ob sie in Anbetracht der Risiken der Verarbeitung gewählt wurden und ausreichend sind.

 

Durch eine gründliche Auditierung und Dokumentation dieser Aspekte rund um den Datenschutz können wir eine fundierte Basis für die Entwicklung eines effektiven Datenschutzmanagementsystems schaffen, das den rechtlichen Anforderungen entspricht und die Datenschutzpraktiken des Unternehmens kontinuierlich verbessert.

Nach Abschluss der IST-Analyse beginnen wir bei mit der Erstellung eines Maßnahmenplans, um die festgestellten Abweichungen zu adressieren und das Datenschutzniveau des Unternehmens zu verbessern. Dieser Maßnahmenplan umfasst:

 

Auflistung aller gefundenen Abweichungen mit Risikoeinschätzung: Wir erfassen sämtliche Abweichungen, die während der IST-Analyse identifiziert wurden, und führen eine umfassende Risikoeinschätzung durch. Dabei bewerten wir die Schwere der Abweichungen sowie deren potenzielle Auswirkungen auf den Datenschutz und die Compliance mit der DSGVO.

 

Erstellung von Arbeitspaketen priorisiert nach Risiko und Eintrittswahrscheinlichkeit: Basierend auf der Risikoeinschätzung priorisieren wir die gefundenen Abweichungen und gliedern sie in Arbeitspakete. Diese Arbeitspakete werden nach ihrer Bedeutung für das Datenschutzniveau des Unternehmens sowie nach ihrer Eintrittswahrscheinlichkeit für potenzielle Datenschutzverletzungen priorisiert.

 

Durch die Erstellung eines detaillierten Maßnahmenplans stellen wir sicher, dass die identifizierten Datenschutzrisiken systematisch und effektiv angegangen werden. Dies ermöglicht es RDP Rechtsanwälten, gezielt und zielgerichtet Maßnahmen zu ergreifen, um die Datenschutzkonformität zu verbessern und potenzielle Risiken beim Datenschutz zu minimieren.

 

Nach Absti­mmung der Arbeits­pakete wird die Umsetz­ung in den einzelnen Fachab­teilungen vorangetrieben:

 

Initialer Workshop mit allen Fachabteilungen: Ein gemeinsamer Workshop wird durchgeführt, um alle Mitarbeiter über die identifizierten Datenschutzmaßnahmen zu informieren und sie auf die kommenden Veränderungen vorzubereiten.

 

Erstellung der Verarbeitungsverzeichnisse: Es werden detaillierte Verarbeitungsverzeichnisse erstellt, um Transparenz über die Datenverarbeitungstätigkeiten im Unternehmen sicherzustellen.

 

Ermittlung der benötigten datenschutzrechtlichen Vereinbarungen mit Dienstleistern: Es werden alle erforderlichen datenschutzrechtlichen Vereinbarungen mit Dienstleistern ermittelt und entsprechende Verträge abgeschlossen, um die Einhaltung der DSGVO sicherzustellen.

 

Erfüllung der Informationspflichten: Es werden Maßnahmen ergriffen, um die Informationspflichten gemäß der DSGVO zu erfüllen, einschließlich der Erstellung von Datenschutzerklärungen und anderen erforderlichen Informationen für betroffene Personen.

 

Implementierung der datenschutzrechtlichen Prozesse (Auskunft, Löschung, Verhalten bei Datenpanne): Die datenschutzrechtlichen Prozesse, wie das Recht auf Auskunft, das Recht auf Löschung und das Verhalten im Falle einer Datenpanne, werden implementiert und den Mitarbeitern vermittelt.

 

Datenschutzfolgeabschätzungen: Es werden wo erforderlich Datenschutzfolgeabschätzungen durchgeführt, um potenzielle Risiken für die Datenschutzrechte betroffener Personen zu identifizieren und zu bewerten.

 

Löschkonzept: Ein Löschkonzept wird entwickelt und implementiert, um sicherzustellen, dass personenbezogene Daten gemäß den gesetzlichen Anforderungen im Datenschutz gelöscht werden.

 

Zusätzlich werden alle Mitarbeiter in das Datenschutzmanagementsystem eingewiesen, um sicherzustellen, dass sie mit den Datenschutzrichtlinien und -verfahren vertraut sind und diese im täglichen Geschäftsumfeld anwenden können.
 

 

Nach der Umsetzung der Datenschutz-­maßnahmen werden diese fortlaufend dokumentiert und überprüft. Dies umfasst:

 

Dokumentation der Datenschutzmaßnahmen: Alle durchgeführten Datenschutzmaßnahmen, Schulungen und Prozesse werden sorgfältig dokumentiert. Dazu gehören etwaige Änderungen, Anpassungen oder Ergänzungen, die im Laufe der Zeit vorgenommen werden.

 

Regelmäßige Datenschutz-Auditierung: Es werden regelmäßige Audits geplant / durchgeführt, um sicherzustellen, dass die Datenschutzmaßnahmen wirksam sind und den gesetzlichen Anforderungen entsprechen.

 

Überprüfung der Datenschutzmaßnahmen: Die dokumentierten Datenschutzmaßnahmen werden regelmäßig überprüft, um sicherzustellen, dass sie weiterhin angemessen sind und den aktuellen Anforderungen entsprechen. Dabei werden etwaige Schwachstellen oder Verbesserungspotenziale identifiziert und entsprechende Maßnahmen ergriffen.

 

Aktualisierung der Dokumentation: Die Dokumentation wird kontinuierlich aktualisiert, um sicherzustellen, dass sie stets den aktuellen Stand der Datenschutzpraktiken bei RDP Rechtsanwälte widerspiegelt.

 

Bei RDP Rechtsanwälte sind wir bestrebt, Unternehmen bei der erfolgreichen Umsetzung eines umfassenden Datenschutzmanagementsystems zu unterstützen. Unser erfahrenes Team steht bereit, um Sie durch jeden Schritt des Prozesses zu begleiten. Wenn Sie weitere Informationen benötigen oder Interesse an unserer Unterstützung haben, zögern Sie nicht, Kontakt aufzunehmen. Wir freuen uns darauf, Ihnen zu helfen!

Ihre Ansprech­partnerin

Rechtsanwältin Michaela Berger, LL.M.

 

Fachanwältin für IT-Recht

zertifizierte Datenschutzbeauftragte (TÜV Süd)

zertifizierte Datenschutz-Auditorin (TÜV Süd)

 

Michaela.Berger@rdp-law.de