Erstgespräch, Bestandsaufnahme
Hintergrund unseres Erstgespräch bei Ihnen im Unternehmen ist folgender: Im Wesentlichen ist für den Schutz von personenbezogenen verantwortlich, der sie verarbeitet. Der Definition der DSGVO folgend, kann dies jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Datenschutz ist Chefsache
juristische Verantwortung
Der vielfach umworbene Slogan „Datenschutz ist Chefsache“ ist daher so verstehen, dass auf juristischer Ebene die Geschäftsleitung verantwortlich ist. Der Geschäftsleitung ist jedoch unbenommen, diese Verantwortung innerhalb des Unternehmens zu jedem Zeitpunkt zu delegieren. Erfahrungsgemäß hat die Geschäftsleitung im Unternehmen andere Aufgaben als den datenschutzkonformen Umgang bei der Verarbeitung von personenbezogenen Daten zu gewährleisten. Dies ist der Ansatz unseres Erstgespräch.
Die Durchführung des Erstgesprächs hat neben der menschlichen Komponente daher vor allem zwei Ziele – deren Schicksal unmittelbar miteinander verknüpft sind. Je nach vorzufinden Datenschutzniveau im Unternehmen ist:
- zunächst ein Grundverständnis für die wesentlichen Bereiche einer Datenschutz-Compliance zu schaffen oder,
2. sollte bereits ein Datenschutzmanagement etabliert sein, eine umfassende Bestandsaufnahme zur Feststellung des Status-quo durchzuführen.
Die Praxis zeigt, dass diese Phasen seit Einführung der DSGVO in 2016/18 unterschiedlich stark ausgeprägt sind und daher ein umfassendes Erstgespräch – im Besten Fall beim Kunde vor Ort – erforderlich macht. Näheres zu unserem 12-Punkte Plan erfahren Sie unten.
12 Punkte zur Rechenschaftspflicht
juristische Knackpunkte im Datenschutz
Der vielfach umworbene Slogan „Datenschutz ist Chefsache“ ist daher so verstehen, dass auf juristischer Ebene die Geschäftsleitung verantwortlich ist. Der Geschäftsleitung ist jedoch unbenommen, diese Verantwortung innerhalb des Unternehmens zu jedem Zeitpunkt zu delegieren. Erfahrungsgemäß hat die Geschäftsleitung im Unternehmen andere Aufgaben als den datenschutzkonformen Umgang bei der Verarbeitung von personenbezogenen Daten zu gewährleisten. Dies ist der Ansatz unseres Erstgespräch.
Zur Vermeidung von Bußgeldern und sonstigen Sanktion haben wir uns vom Gesetz kommend die Frage gestellt, was im Rahmen der sog. Rechenschaftspflicht ein Verantwortlicher zum Schutz von personenbezogenen Daten zu leisten hat. Zielsetzung ist durch den sorgsamen Umgang mit Daten, Sanktionen zu vermeiden und/oder im Falle von sog. „Datenpannen“, Argumente zur Entlastung von hohen Bußgeldern liefern zu können. Folge dieser Überlegungen ist u.a. diese Zusammenstellung, die auch im Rahmen unserer Beratung immer wieder zu Tage tritt:
Verständnis für die wesentlichen Bestandteile der DSGVO schaffen
Verantwortung bewusstmachen: „DSGVO ist Chefsache“
Klare Regeln: Wer ist intern für was zuständig?
Bestandsaufnahme: Wie schaut’s aus?
Erstellen/ Überarbeiten/ Pflegen des Verarbeitungsverzeichnisses
Erstellen/ Überarbeiten/ Pflegen der Rechtsgrundlagen
Erstellen/ Überarbeiten/ Pflegen von Information und Mitteilungspflichten
Erstellen/ Überarbeiten/ Pflegen der technischen organisatorischen Maßnahmen (TOMs)
Erstellen/ Überarbeiten/ Pflegen Auftragsverarbeitungsverträge u. Datentransfer in Drittländer
Arbeitnehmerdatenschutz
Datenschutz prozess- und risikobasiert („privacy by desgin“; awareness)
Kommunikation mit der Aufsichtsbehörde