INFORMATIONEN

Wie man eine erfolgreiche DSGVO-Compliance schafft – Die Vorbereitung

Bis zur Umsetzung der DSGVO im Mai 2018 waren sich nicht viele Organisationen der DSGVO bewusst. Diese Gesetzgebung hat sich jedoch auf Unternehmen weltweit ausgewirkt und die Art und Weise, wie Organisationen Informationen erwerben, speichern und nutzen, dramatisch verändert. Die Notwendigkeit einer effektiven Datenschutzrichtlinie ist wichtiger denn je, da die DSGVO nun schon eine Weile in Kraft ist.

Das Wichtigste zuerst: Beginnen Sie mit einer Struktur für die Verwaltung der Privatsphäre

Beginnen Sie mit der Formulierung einer Struktur für die Verwaltung des Datenschutzes: Welche Stellen, Funktionen und Personen sind zuständig? Wie würden die allgemeinen Richtlinien der Organisation aussehen?

Erst danach werden die entsprechenden Verfahren eingerichtet, wie die Erstellung eines Verzeichnisses der Verarbeitungen, die Durchführung von Datenschutz-Folgenabschätzungen und die Registrierung von Verletzungen des Schutzes personenbezogener Daten.

Für diesen zweiten Schritt ist es wichtig, die Verfahren, Software und Systeme zu kennen, die in der Organisation verwendet werden. Ohne ein klares unternehmensweites Ziel und einen Rahmen für die Datenschutz-Governance können Sie die Prozesse nicht in Ordnung bringen.

Erfolgreiche Governance des Datenschutzes beginnt mit der Unterstützung des Vorstands

Alles beginnt an der Spitze des Unternehmens. Ein wirksames Programm zur Durchsetzung des Datenschutzes ist ohne die Unterstützung mindestens eines Befürworters des Programms in der Vorstandsetage des Unternehmens fast unmöglich.

Wie man einen Sponsor findet, ist sehr schwer zu sagen, aber etwas oder jemand, der Ihnen hilft, einen möglichen Sponsor zu kontaktieren, wäre hilfreich. In den Personen, die für die Personalabteilung, die Risikominderung oder die Einhaltung der Vorschriften zuständig sind, finden Sie vielleicht einen natürlichen Verbündeten, aber sie sollten im Vorstand und nicht nur darunter sitzen.

Letztendlich ist der Verwaltungsrat für diese Vorgänge verantwortlich und hat daher ein Interesse daran, dass das Unternehmen die Vorschriften einhält.

Multidisziplinär sein: die benötigten Informationen einholen und andere Personen einbeziehen

Die Datenschutz-Grundverordnung ist zwar ein rechtliches Instrument, aber um wesentliche Fragen stellen zu können, benötigen Sie zumindest einige IT-Informationen. Was ist, wenn „Anonymisierung“ in Wirklichkeit „Pseudonymisierung“ ist? Fragen Sie die IT-Mitarbeiter, mit denen Sie zu tun haben, und finden Sie es besser frühzeitig heraus.

Ein Mangel an „Eigenverantwortung stellt jedes Programm zur Durchsetzung der DSGVO in Frage“. Sie müssen daher andere Personen mit anderen Aufgaben einbeziehen. Sicherheit und Datenschutz sind einfach zwei Seiten derselben Medaille – man sollte sich zusammentun und gemeinsam stärker sein.

Keine Vermischung der Zuständigkeiten: Sie können die Rollen von Führungskräften und Kontrolleuren nicht kombinieren

Am besten wäre es, wenn Sie als (leitender) Datenschutzbeauftragter (oder Datenschutzbeauftragter im Sinne der DSGVO) sehr selbstständig wären. Diese Tätigkeit kann nicht mit der eines Personalleiters oder eines IT-Managers kombiniert werden, zum Beispiel.

Sie würden sonst Ihre Arbeit beurteilen, und das steht im Gegensatz zu den Verpflichtungen, die mit der Position einhergehen. Die Anforderungen für diese Unabhängigkeit werden vom Europäischen Datenschutzausschuss (EDPB) und der Datenschutz-Grundverordnung (DSGVO) festgelegt, z. B. die Verantwortung für Ihr Budget, die direkte Berichterstattung an den Vorstand und der Zugang zu Unterstützung (Personal und andere Ressourcen).

Das Team zusammenbringen

In einer großen Organisation sind Sie nur als Datenschutzbeauftragter benannt worden – und der Vorstand ist der Meinung, dass „das alles ist“. Denken Sie noch einmal darüber nach, Vorstand, wir fangen gerade erst an. Ein (leitender) Datenschutzbeauftragter braucht ein Team, das die Arbeit erledigt, z. B. den Datenschutz-Governance-Plan einführt und alle Verfahren einführt.

Außerdem müssen die Protokolle befolgt werden, und das erfordert eine Menge anderer Geschäftsleute, mit denen ebenfalls umgegangen werden muss. Eine einzelne Person kann das nicht alleine machen. Also, ja, man braucht ein Budget dafür, und das muss vom Unternehmen zur Verfügung gestellt werden.

DSGVO und Kundenbindungskarten

Beim Einkaufen im Supermarkt oder Einkaufszentrum werden Sie häufig nach Ihrer Kundenkarte gefragt. Die Kunden werden nicht nur für ihre Treue belohnt, sie bezahlen auch

mehr »