ingenieurbüro für datenorganisation
ido stanković
Dipl.-Ing. Dragan Stanković
Lütticher Strasse 7
52064 Aachen
Tel. 0241 590336 0
E-Mail: info@ido-stankovic.de
Kontakt

Datenschutz Prozess

Wir setzen Datenschutz in Schritten um. Die Fachthemen werden sukzessive abgearbeitet. Die Fachthemen ergeben sich aus dem Bundesdatenschutzgesetz und anderen Rechtsvorschriften zum Datenschutz:

  • Datenschutz-Organisation
  • Datenschutz-Außenvertretung
  • Datenschutz-Schulung
  • Verfahrensübersicht
  • Vorabkontrolle

Im Mittelpunkt steht der Datenschutzprozess, der nach dem üblichem Kreislauf nach Demming durchgeführt wird. Die Verfahren zur elektronischen Verarbeitung personenbezogener Daten werden datenschutzmäßig geprüft, bewertet und nach Genehmigung der verantwortlichen Stelle korrigiert. Die Kommunikation mir der verantwortlichen Stelle und mit den Fachabteilungen nimmt einen sehr hohen Stellenwert ein.

Das Unternehmen hat ebenfalls die Aufgabe Informationen zum Datenschutz nach außen (Aufsichtsbehörden, Kunden, Lieferanten) zu kommunizieren.Die Rechte der Betroffenen sind zu wahren, Auftragsdatenverarbeitung mit Auftragnehmern ist zu regeln. Ggf ist eine Kommunikation mit der Aufsichtsbehörde erforderlich.

Alles wird, wie in jedem Managemet-System üblich, in einem Handbuch dokumentiert. Dabei nimmt das interne Verfahrensverzeichnis und die Überwachungstätigkeit einen Großteil der Dokumentation ein.
Natürlich sind aber auch alle Berichte und ergriffenen Maßnahmen dokumentiert.



Schritt 1

Der erste Schritt ist die Datenschutz-Standortbestimmung eines Unternehmens.

Es werden systematisch die "üblichen Verdächtigen" aus den Bereichen IT-Systeme, Anwendungen und Prozesse untersucht.
Je nach Unternehmensgröße schwankt der erforderliche Aufwand zwischen 1 und 5 Manntagen.

Das Ergebnis ist eine dokumentierte Standortbeschreibung mit einer grob granulierten Ist-Zustandsbeschreibung und Reifegrad-Bewertung. Außerdem erstellen wir einen groben Fahrplan zur Umsetzung erforderlicher Datenschutz-Prozesse.


Schritt 2

Im zweiten Schritt werden die Grundlagen des Datenschutzmanagements gelegt.

Datenschutz bedarf organisatorischer Strukturen. Dazu gehören verantwortliche Personen, Ansprechpartner und dafür geeignete Kommunikationswege. Datenschutzprozesse müssen den Mitarbeiter kommuniziert werden.
Wie geht man mit gesetzlich geregelten Rechten der Betroffenen bezüglich Auskunft, Korrektur oder ggf. Löschung um? Das Unternehmen benötigt ein Konzept, wie es in solchen Situationen zu verfahren hat.
Wenn Auftraggeber die Verarbeitung personenbezogener Daten über einen Vertrag zur Auftragsdatenverarbeitung regeln wollen, sind geeignete Prozesse im Unternehmen zu etablieren. Auftragnehmer sind, sofern sie personenbezogene Daten des Unternehmens verarbeiten ebenfalls vertraglich zu binden.
Nicht zu vergessen ist die Datenschutz-Schulung und die gesetzlich notwendige Verpflichtung der Mitarbeiter auf das Datengeheimnis.
Alle diese Schritte werden im Datenschutzhandbuch, entsprechend der gesetzlichen Vorgabe, dokumentiert.


Schritt 3:

Im dritten Schritt werden Verfahren, bei denen personenbezogene Daten elektronisch verarbeitet werden erfasst und in einem Verfahrensverzeichnis dokumentiert. Das erfolgt mit Holfe des Datenschutz-Konzepts. Dieser Schritt ist sehr umfassend, da Interviews und Systemprüfungen durchgeführt und bewertet werden. In dieser Phase werden technisch und organisatorischen Maßnahmen gegen Mißbrauch personenbezogener Daten sowohl verfahrensspezifisch, als auch unternehmensübergreifend analysiert. Arbeitsprozesse mit personenbezogenen Daten werden unter die Lupe genommen.

In dieser sehr arbeitsintensiven Phase kommt der eigentliche Mehrwert für das Unternehmen ans Tageslicht. Alle Forderungen des Datenschutzrechts, des IT-Grundschutzes und des Geschäfts-Prozess-Managements sind strategischer Natur und helfen dem Unternehmen systematisch und reproduzierbar Strukturen und Abläufe durchzusetzen. So "ganz nebenbei" werden die Prozesse auch gesetzeskonform.

Nicht zu vergessen ist das noch etwas ganz anderes "nebenbei" passiert. Durch die Analyse der Abläufe im Umgang mit personenbezogenen Daten werden technische und organisatorische Maßnahmen ergriffen, die einen Mißbrauch verhindern sollen. Diese Maßnahmen kommen aber nicht nur personenbezogenen Daten zu Gute, sondern allen anderen auch. Gegenmaßnahman zur Werkspionage und Schutz von Firmengeheimnissen sind dieser "Nebenbei-Effekt".


Schritt 4:

Im vierten Schritt, Durchführung von regelmäßigen Audits, wird der kontinuierlichen Verbesserungsprozess (KVP) eingeleitet. In regelmäßigen Datenschutzaudits werden die beschlossenen Maßnahmen gesichtet, bewertet und ggf. neue Maßnahmen beschlossen. Einem Audit folgt immer ein Bericht an die Geschäftsleitung, in dem der Datenschutzprozess bewertet und fortgeschrieben wird.