W+ST Datenschutzkonzept
3. Ein Lösungsvorschlag

Wer kann aktiv werden?

Die Mitarbeiter und der Datenschutzbeauftragte müssen der Geschäftsführung Verstöße berichten. Ggf. sind die betroffene Person und die zuständige Landesbehörde zu unterrichten. Jeder von dem Sie personenbezogene Daten erheben und speichern, kann von Ihnen Auskunft verlangen und damit einen Aufwand verursachen. Auch eine Meldung an die Behörde ist mgölich. Dies können z.B. unzufriedene, ausgeschiedene Mitarbeiter sein oder unzufriedene Kunden. Fremde Dritte können sich hingegen auf eine Analyse Ihrer Angeben im Internet spezialisieren und diese mit den Aktivitäten Ihrer Homepage abgleichen. Daraus erkannte Fehler können für Sie ein Drohpotenzial darstellen.

 

Das Vorgehen

Auf der Basis des BDSG-neu und der DSGVO hat W+ST einen pragmatischen Vorschlag zum Umgang mit dem Datenschutz für mittelständische Unternehmen erarbeitet. Dieser beinhaltet eine zielgerichtete Einführung eines Datenschutzkonzeptes. Die Grundkonzeption ist individuell auf Ihre Bedürfnisse anzupassen und wird gemeinsam mit Ihnen erarbeitet.

 

Das Grundkonzept zum Datenschutz in Ihrem Unternehmen

In einem ersten Schritt wird mit Ihnen die allgemeine Vorgehensweise besprochen und festgehalten. Es wird beurteilt, ob Sie einen Datenschutzbeauftragten benötigen und festgelegt, ob dieser intern benannt oder ein Externer mit der Aufgabe betraut wird. Die Argumente für die Wahl sind sorgfältig abzuwägen. Die weiteren Strukturelemente und das operative Vorgehen im Rahmen des Konzeptes sind zu definieren. Alle Verarbeitungstätigkeiten werden eruiert und das zwingend notwendige Verzeichnis der Verarbeitungstätigkeiten festgelegt. Die Risikoklassifizierung wird definiert. Im Ergebnis wird damit Ihr Konzept zur Erfüllung der Anforderungen des Datenschutzes definiert und in einer für das Unternehmen gültigen Richtlinie dokumentiert. Damit sind die Grundvoraussetzungen für die Umsetzung des Datenschutzkonzeptes geschaffen.

 

Die Struktur der zu analysierenden Unternehmensbereiche

Die Datenschutzvorgaben sehen vor, dass alle Geschäftsprozesse im Hinblick auf die Verarbeitung personenbezogener Daten analysiert werden. Demnach sind diese relevanten Prozesse bezüglich der Sicherheit zum Datenschutz zu beurteilen. Wir haben zur Umsetzung folgende Prämissenen gewählt.

Zunächst unterscheiden wir konsequent die Verarbeitung personenbezogener Daten Ihrer Mitarbeiter und von externen personenbezogenen Daten. Daraus werden unterschiedliche Maßnahmen zur Einhaltung des Datenschutzes definiert und die damit zusammenhängenden Prozesse getrennt beurteilt. Des Weiteren haben wir drei Konzeptbereiche in jedem Unternehmen identifiziert, die eine unternehmensübergreifende Beurteilung zulassen. Dies sind ihr:

  • genereller IT-Einsatz und das damit verbundene IT-Sicherheitskonzept,
  • das räumliche Sicherheitskonzept (Zugangsbeschränkungen für eigene Mitarbeiter und fremde Dritte) und
  • das Kommunikationskonzept (Mail, Briefe, Telefonate, Gespräche,...).

Das Ergebnis der Konzepte fließt in die Beurteilung der einzelnen operativen Prozesse ein und muss dort nicht jedes Mal vollständig neu beurteilt werden. Anschließend werden alle betroffenen operativen Prozesse mit der verbleibenden individuellen Risikolage beurteilt.