Um Projekte im Bereich Datenschutz erfolgreich zu gestalten, sind Schritte notwendig, die größtenteils die sensitivsten Bereiche eines Unternehmens tangieren. Hier gilt es mit schonungsloser Offenheit die Gefahrenpotentiale zu ermitteln, um im Projekt das Unternehmen in eine Position zu versetzten, die es erlaubt so wenig wie möglich angreifbar zu sein. Nicht alles läßt sich initial lösen und ein solches regulatorisches Projekt existiert so lange, wie das Unternehmen existiert.

Das Bewußtsein bei allen Mitarbeitern muß geschaffen werden, daß die aktive Teilnahme nicht optional sondern zwingend erforderlich ist. Mit Einführung der DSGVO und des BDGSneu haben sich gravierende Änderungen hinsichtlich Haftung, Schadenersatz, Bußgeldern und vor allem hinsichtlich der Einschränkung (mit sofortiger Wirkung auch komplett) der Erhebung, Verarbeitung und Aufbewahrung personenbezogener Daten ergeben.

First things first

Hier eine generelle Vorgehensweise, die sich in Projekten bewährt hat. Am Anfang erst einmal grundlegende Fragen:

  1. Existiert in Ihrem Unternehmen ein regulatorisches Projekt zum Thema Datenschutz (DSGVO, BDSGneu) ?
  2. Sind Ihnen die Gefahrenpotentiale hinsichtlich Sanktionen und Haftung durch die DSGVO bekannt?
  3. Sind Ihnen die Zusammenhänge zu anderen in Deutschland mitgeltenden Gesetzen bekannt?
  4. Ist in Ihr Unternehmen eine eigene Datenschutzorgansation integriert?
  5. Werden Ihre Mitarbeiter regelmäßig zu Datenschutzthemen geschult?
  6. Haben Sie die in Ihrem Unternehmen genutzten Dokumente an die neue Situation (DSGVO) angepaßt?
  7. Haben Sie sämtliche Verträge mit Partnern und Dienstleistern hinsichtlich Konformität zur DSGVO geprüft und angepaßt?
  8. Haben Sie sämtliche Prozesse mit Partnern, Dienstleistern & Kunden angepaßt?
  9. Sind in sämtlichen genutzen Systemen (ADV,IDV) die erforderlichen Änderungen an eingesetzter Hardware / Software / Schnittstellen, auch externe, vorgenommen worden?
  10. Haben Sie alle archivierten Daten, Medien und Dokumente wie Verträge, Angebote, Dateien (mit personenbezogenen Inhalten) vernichtet bzw. gelöscht, für die es nach DSGVO keinen rechtlich belastbaren Aufbewahrungsgrund (Bsp. 10 Jahre Aufbewahrungsfrist steuerrechtlich in Deutschland) mehr gibt und haben Sie dies dokumentiert?
  11. Ist Ihr Unternehmen auf Anfragen nach Artikel 15 DSGVO (Auskunftsrecht) vorbereitet?
  12. Verfügen Sie über ein zentrales Register mit allen personenbezogenen Prozessen im Unternehmen (Art.30 DSGVO)?
  13. Sind die im Unternehmen eingesetzten Systeme (IT) und Prozesse in der Lage Vorgänge und Unterlagen auf Anfrage zu sperren bzw. zu löschen (Art. 17, 18 DSGVO)?