Die Einrichtung eines Datenschutzmanagement gehört auch zu den Leistungen / Aufgaben, die ein externer Datenschutzbeauftragter (TÜV zert.) für Sie bzw. mit Ihnen zusammen durchführen kann.
Was versteht man unter einem Datenschutzmanagement (-system)?
Mit Datenschutzmanagement werden die Prozesse bezeichnet, die notwendig sind, um die Umsetzung der gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verfahren zur Informationsverarbeitung sicher zu stellen. Datenschutzmanagement ist die übergeordnete Umsetzung des Datenschutzes in einer Organisation oder bei Großverfahren.
(Quelle: www.bsi.bund.de)
Ein Datenschutzmanagementsystem besteht aus folgenden Elementen:
- Es muss geeignet sein (um die Anforderungen zu erfüllen)
- den geltenden Gesetzen (Verordnungen) genügen
- im Rahmen von Kosten und Nutzen angemessen sein
- wirksam sein (tatsächlich gelebt / angewendet werden)
festgelegt und dokumentiert (nachvollziehbar) sein
Auch bei einem Datenschutzmanagementsystem gilt (entsprechend DIN EN ISO 9001 oder 27001):
- Plan (Planen / Festlegen)
- Do (Einführen und Umsetzen)
- Check (Überwachen und Überprüfen)
- Act (Instandhalten und Verbessern)
Bei der Einrichtung eines Datenschutzmanagementsystems ist die Glaubwürdigkeit und Nachvollziehbarkeit durch eine gute, verständliche und gut verfügbare Dokumentation sicherzustellen. Es erfolgen interne sowie ggf. externe Audits. Folgende Prozesse sind dabei wichtig:
- Meldung neuer Verfahren durch die zuständigen Mitarbeiter (Vorgesetzten, Fach- oder Abteilungsleiter) / Vorabkontrolle durch den Datenschutzbeauftragten
- Informationspflichten nach § 42a BDSG
- Auskünfte an Betroffene
- Prüfung und Auswahl von Dienstleistern nach § 11 BDSG (Auftragsdatenverarbeitung)
- Führen von aktuellen Verfahrensverzeichnissen
Üblicherweise bietet sich das Erstellen und die Einführung eines Datenschutzhandbuches an. Dieses enthält konkrete Handlungsanweisungen für die Mitarbeiter (dieses kann z.B. im Intranet oder WIKI- Bereich der Firma bereit gehalten werden).
Des weiteren sollten der Datenschutzbeauftragte zusammen mit der Geschäfsführung IT-Sicherheitskonzepte einführen. So sollten die technischen und organisatorischen Maßnahmen (§ 9 BDSG) dokumentiert werden, ein Notfallplan erstellt und den verantwortlichen Mitarbeitern auch mitgeteilt werden (ggf. sollten regelmäßig Notfallübungen stattfinden) und schließlich ist auf die Einführung eines Virenschutzkonzeptes angezeigt. Ein vorhandenes Konzept sollte geprüft und ggf. überarbeitet werden.
Ein mal jährlich (minimum) erhält die Firma von dem Datenschutzbeauftragten einen Datenschutzbericht.
Sofern Sie Interesse an der Einführung eines Datenschutzmanagements haben, nehmen Sie gerne Kontakt zu uns auf. Die Vorteile der Einführung eines solchen Systems liegen auf der Hand. Hierdurch wird noch stärker die Datensicherheit (nicht nur der personenbezogenen Daten) gewahrt und man kann dieses ggf. zertifizieren lassen, um gegenüber der Konkurrenz ein weiteres Alleinstellungsmerkmal zu haben.
Zudem steigert es deutlich die Qualität der Arbeit und strafft sogar parallel vorhandene Strukturen und Prozesse, da diese (ggf. nach einer langen eigendynamischen Entwicklung) nun möglicherweise erstmals einer detaillierten Kontrolle und Prüfung unterzogen werden.