Sie haben uns Ihr Vertrauen geschenkt und damit beauftragt Ihr externer Datenschutzbeauftragter zu werden? Dann starten wir mit der sogenannten Bestandsaufnahme. Sie gilt dem Kennenlernen des Mandanten. Natürlich wissen wir aus den gemeinsamen Gesprächen schon einiges über Sie. Aber das reicht nicht aus. Daher beginnen wir mit einer Analyse der Firmenorganisation, d.h. die verschiedenen Abteilungen und Ihre Aufgaben. Wie arbeiten diese? Welche Systeme werden eingesetzt? Gibt es Schnittstellen, besondere Vernetzungen oder überschneidende Verantwortungsbereiche?
Allem voran geht legitimis in der Betrachtung natürlich in die Abteilungen, welche verstärkt mit personenbezogenen Daten arbeiten. Dabei ist es uns wichtig, auch die Menschen, welche den Abteilungen vorstehen, persönlich kennenzulernen. Denn nicht nur während der Bestandsaufnahme, sondern auch danach wird man immer wieder in Kontakt kommen bei der Unterstützung und Umsetzung erforderlicher Maßnahmen. Legitimis geht dazu ins persönliche Gespräch, arbeitet aber auch mit Fragebögen und analysiert Prozessbeschreibungen und bestehende Richtlinien.
Nebenbei wird ein Eindruck von der Unternehmenskultur und auch der damit verbunden Datenkultur im Unternehmen gewonnen. Wie gehen die Abteilungen und Ihre MitarbeiterInnen mit personenbezogenen Daten um? Wird datensparsam vorgegangen oder jedes Dokument an verschiedenen Orten doppelt und dreifach vorgehalten? Werden abteilungsübergreifend die gleichen Systeme eingesetzt oder kocht jede Abteilung ihr eigenes „Datensüppchen“ mit unterschiedlichsten Systemen und Speicherorten? Allein die Palette der Projektmanagementlösungen, ob vorgefertigt oder selbst programmiert ist unendlich.
Augenmerk liegt auf der Betrachtung und Dokumentation der Auftragsverarbeiter. Viele Unternehmen greifen auf cloudbasierte Lösungen zurück und verwalten im Browser Ihre Daten statt auf eigenen Servern. Ob digitale Personalakte, Kundendatenmanagement oder Weiterbildung und Sensibilisierung der Mitarbeiter, vieles liegt in der Wolke bzw. ist ausgelagert an Dienstleister. Warum liegt einer der Schwerpunkte auf den Dienstleistern? Nun die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten beinhaltet auch die Weitergabe von Daten an Auftragsverarbeiter und Dritte. Ebenso sollte bekannt sein, ob Daten in Drittländer transferiert werden.
Eine der häufigsten Fragen ist auch im Zusammenhang mit der Bestandsaufnahme ist die Frage nach der Löschung, also wie lange dürfen Daten aufbewahrt werden. Personenbezogene Daten erheben ist nicht schwer. Jedoch auch Daten wieder zu löschen, dies unter Berücksichtigung der geltenden Aufbewahrungsfristen ist nicht immer einfach. Legitimis unterstützt Sie hier mit den entsprechenden Informationen.
Besonderes Augenmerk erhält die Personalabteilung, welche Daten zu den Mitarbeitern verwaltet. Sind die Verpflichtungen auf den Datenschutz aktuell? Wie wird mit Daten von Bewerbenden sowie Mitarbeitenden umgegangen und wird man in allen Aspekten den Informationspflichten gegenüber Mitarbeitenden und Bewerbenden gerecht? Auch die Maßnahmen zur Sensibilisierung und Weiterbildung sind zu betrachten. Gab es bereits Schulungen zum Datenschutz? Kann auf ein internes Lernmanagementsystem (LMS) zurückgegriffen werden?
Die Marketingabteilung betreibt in der Regel ein Kundendatenmanagementsystem mit einer Vielzahl von Daten zu Ansprechpartnern, Interessenten oder Abonnenten von Informationsangeboten wie Newslettern oder Webinaren. Eine Analyse der Webseite und der verschiedenen Auftritte in sozialen Medien „mit der Datenschutzbrille“ ist unentbehrlich, um den Außenauftritt des Unternehmens zu bewerten und Handlungsbedarfe zu identifizieren. Oftmals wird auch eine interne Intranet-Präsenz betrieben mit einer Vielzahl von Informationen zum Unternehmen und seiner Belegschaft. Legitimis lässt es sich nicht nehmen auch hier einen Einblick zu erlangen.
Beide Abteilungen sind wichtige Anlaufpunkte für eine Bestandsaufnahme. Ebenso sind aber auch Finanzen, das Controlling, Lohnbuchhaltung, Arbeitsschutz, die Arbeitnehmervertretung und nicht zu vergessen die IT-Abteilung Ziel einer eingehenden Analyse. Grundsätzlich kann man mit einer 6W-Frage auch im Datenschutz starten. WER macht WAS, mit WELCHEN personenbezogenen Daten, WOZU und auf WELCHER Rechtsgrundlage?
Natürlich könnte man all diese Informationen in zahllosen Videokonferenzen und E-Mails sammeln. Dazu Unmengen an Exceltabellen oder Onlineformulare verschicken. Das haben wir auch. Aber uns sind auch die Menschen und das Persönliche wichtig. Daher kommen Sie um einen Besuch vor Ort nicht drumherum. Denn Datenschutz muss auch vor Ort betrachtet werden. Nicht zuletzt, um Ihre bestehenden Technischen und Organisatorischen Maßnahmen angemessen bewerten zu können. Videoüberwachung oder Besuchermanagement? Das schauen wir uns genauer an.
Die Bestandsaufnahme endet mit einem Bericht an die Geschäftsführung, verbunden mit einem Maßnahmenkatalog für die Implementierung des zukünftigen Datenschutzmanagementsystems. Das Kennenlernen eines Unternehmens mit seinen Menschen, Prozessen und Systemen ist spannend und immer wieder eine neue Erfahrung für uns. Das ist spannend wie Datenschutz.