Die Datenschutz-Grundverordnung (DS-GVO) verlangt von der Unternehmensleitung gemäß Artikel 24 Abs. 1 DS-GVO den Nachweis, dass alle zutreffenden Maßnahmen zur DS-GVO und BDSG im Unternehmen
- eingeführt,
- umgesetzt und
- aktuell sind.
Dies ist nicht Aufgabe des intern oder extern benannten Datenschutzbeauftagten (DSB).
Daher empfiehlt es sich, die Maßnahmen in einem Datenschutz-Management-System (DSMS) abzubilden und umzusetzen. Nur so kann das Unternehmen den Anforderungen des Artikel 24 Abs. 1 und der umfangreichen Rechenschaftspflicht gemäß Artikel 5 Abs. 2 DS-GVO nachkommen. Der Verstoß gegen den Artikel 5 DS-GVO ist bußgeldbewehrt.
Als Datenschutzmanager
- initiieren und planen wir mit Ihnen,
- steuern und
- setzen das DSMS um.
Das Datenschutz-Management-Systems ist ein Regelwerk, welches alle erforderlichen Maßnahmen aus der DS-GVO und dem BDSG enthält.
Das Regelwerk ist
- in die Datenschutzorganisation,
- in Datenschutzprozesse und
- in den Datenschutz in betrieblichen Prozessen
geliedert und enthält dazu folgende Punkte:
- Leitlinie des Verantwortlichen zum Datenschutz
- Grundsätze und Rechtsgrundlagen
- Verantwortlichkeiten
- Gültigkeitsbereich
- Stellung und Aufagben des Datenschutzbeauftragten (wenn benannt) und des Datenschutzmanagers/ -koordinators
- Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde und Veröffentlichung seiner Kontaktdaten
- Regelung zur Zusammenarbeit mit den Aufsichtsbehörden
- Prozessinventur
- Verzeichnis der Verarbeitungstätigkeiten als Verantwortlicher gemäß Artikel 30 Abs. 1 DS-GVO
- Verzeichnis der Verarbeitungstätigkeiten als Auftragsverarbeiter gemäß Artikel 30 Abs. 2 DS-GVO
- Datenschutz-Folgenabschätzung (DSFA) gemäß Artikel 35 DS-GVO unter Berücksichtigung
- der Positivliste der Datenschutzkonferenz
- des Artikels 35 Abs. 3 DS-GVO
- des Working-Papers WP 248 Rev. 02 der Datenschutzgruppe nach Artikel 29
- Vertragsorganisation und -management zu AV-Verträgen inkl. der Auswahl eines Dienstleisters
- Technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO, insbesondere Maßnahmen
- zur Gewährleistung der Vertraulichkeit
- zur Gewährleistung der Integrität
- zur Gewährleistung der Verfügbarkeit und Belastbarkeit
- zum Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen
- IT-Sicherheitskonzept
- Maßnahmen gemäß Artikel 25 DS-GVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen)
- Löschkonzept/ Aufbewahrungspflichten
- Entsorgung/ Vernichtung
- Rechte der betroffenen Person gemäß Artikel 12 - 22 DS-GVO
- Sicherheitsvorfall/ Datenpanne gemäß Artikel 33 und 34 DS-GVO
- Datenschutzrechtliche Verpflichtung der Beschäftigten nach DS-GVO
- ggf. zusätzlich die Verpflichtung auf das Fernmeldegeheimnis
- Schulungs- und Sensibilisierungsmaßnahmen
- weitere unternehmenspezifische Richtlinien, z. B.
- Nutzung des betrieblichen E-Mail-Accounts für private Zwecke
- Telearbeitsplatz/ Homeoffice-Arbeitsplatz und/ oder mobiler Arbeitsplatz
- BYOD (Bring Your Own Device)
Das Regelwerk wird regelmäßig und nachweislich von uns auf Aktualiät und Gültigkeit geprüft. Dazu unterliegt das Regelwerk der Methode des Deming-Kreises mit PDCA (Plan, Do, Check, Act).
Wenn Sie es wünschen, schulen wir Ihre Mitarbeiter zum Datenschutz-Management-System.
Sollten Sie uns als Datenschutzmanager bestellen, können wir nicht gleichzeitig als Ihr Datenschutzbeauftragter tätig werden (Interessenkonflikt).
