Weiter geht es in unserer dreiteiligen Artikelserie, die Ihnen einen Einblick in unsere Arbeits- und Vorgehensweise in den verschiedenen Stadien einer Mandatsübernahme geben soll.
Wir haben mit der Bestandsaufnahme begonnen, erläuterten die Umsetzung der identifizierten erforderlichen Maßnahmen, um Ihnen in diesem Artikel den Tagesbetrieb mit uns als Ihren Datenschutzdienstleister zu skizzieren.
Wer nun denkt, dass mit den identifizierten Maßnahmen alles erledigt sei hat sich getäuscht. Denn nun gilt es für uns Sie im Tagesgeschäft in verschiedenen Bereichen zu unterstützen.
Je nach Datenschutzorganisation erfolgt der Austausch zwischen unseren Kunden und ihren dedizierten Beratern der legitimis auf Basis von regelmäßigen Treffen bzw. Gesprächen. Dies erfolgt gemeinsam mit Datenschutzkoordinatoren oder im größeren Umfang in einem sogenannten Datenschutzkomittees. Auf die Bedeutung und Aufgaben der Datenschutzkoordinatoren gehen wir im weitergehenden Artikel ein.
Im Tagesbetrieb existieren erfahrungsgemäß viele verschiedene mögliche Szenarien, wie wir eingebunden werden und unterstützen. Diese wollen wir einmal näher darlegen:
Direkter Austausch mit Mitarbeitenden via Telefon, Ticketsystem oder im LiveChat
Mitarbeitende unserer Kunden können uns direkt kontaktieren. Wir möchten hier die Kontaktschwelle so niedrig wie möglich halten, damit wir effektiv eingebunden werden. Hier bietet sich die Einbindung via MS Teams im eigenen Microsoft Tenant für eine unkomplizierte Kontaktaufnahme an. Manchmal ist auf diese Art, der sogenannte „kurze Wege“, eine kleine Frage im Handumdrehen geklärt. Schell und persönlich!
Darüber hinaus steht unseren Mandanten auch ein regulärer E-Mail-basierter Helpdesk zur Verfügung bei Anfragen, Sachverhalten und Fragen zum Datenschutz.
Behandlung von Anfragen und Themen gemeinsam mit DatenschutzkoordinatorInnen oder den Kommittees
In den erwähnten Treffen werden die offenen Punkte besprochen oder Anfragen von anderen Mitarbeitenden stellvertretend beantwortet. Mittels einfacher Werkzeuge des Projektmanagements verfolgen wir die großen und kleinen Themen gemeinsam und transparent in entsprechenden Aktivitätenlisten.
Konkrete Anfrage von Projektgruppen bei Systemeinführungen oder Prozessänderungen
Erstrebenswert ist die frühzeitige Einbindung des Datenschutzbeauftragten bei größeren Projekten. Wir schauen dann auf die zugehörigen Verträge, erforderlichen Datenschutzinformationen oder die technische und prozessuale Umsetzung. Frühzeitige Einbindung ist hier, wie eigentlich immer, entscheidend.
Anfragen von Einkaufsabteilungen und die Prüfung datenschutzrelevanter Vertragsdokumente
„Wir haben jetzt diese Auftragsverarbeitungsvereinbarung bekommen. Können wir die so unterschreiben?“ So oder ähnlich lautet die berechtigte Frage aus dem Einkauf, wenn es um die Einbindung neuer Dienstleister geht. Anfragen aus dem Einkauf bzgl. einer zu schließenden Vereinbarung zur Auftragsverarbeitung sind oftmals auch ein Hinweis auf neue Projekt im Unternehmen, bei denen die Integration des Datenschutzbeauftragten nicht erfolgt ist. Dies bietet uns die Möglichkeit proaktiv auf die Beteiligten zuzugehen. Auch darf der Hinweis hier an dieser Stelle nicht fehlen, das Auftragsverarbeiter im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren sind.
Teilnahme an Abteilungsmeetings oder Durchführung von Workshops
Manchmal sind Themen nur durch Mails oder im Einzelgespräch schwer zu kommunizieren, gegebenfalls sind Themen oder Fragen in einer ganzen Abteilung ungeklärt und finden nicht den Weg zu uns. In solchen Fällen kann auch eine Einladung zu einem Workshop oder die Teilnahme in Abteilungsmeetings zweckmäßig sein.
Schulung der Mitarbeitenden
Die Sensibilisierung ist ein wichtiges Thema. Wie wir die Mitarbeitenden im Unternehmen mit dem Thema Datenschutz vertraut machen, ob als Präsenzschulung vor Ort, als Schulungsvideo oder im unternehmenseigenen Lernmanagementsystem? Dazu stimmen wir uns mit Ihnen ab und finden die beste Lösung für Ihre Bedürfnisse. Aktuelle Themen, wichtige Änderungen und auch Neuigkeiten fassen wir Ihnen und Ihren Mitarbeitenden in verständlichen Artikeln zusammen. Diese stellen wir Ihnen reglmäßig zur Verfügung. Auch mit der eigenständigen Publizierung der Informationen im unternehmenseigenen Intranet haben wir Erfahrung und sorgen dafür, dass das Thema Datenschutz im Gespräch bleibt und eine „Datenschutzkultur“ im Unternehmen sich bildet.
Begleitung von externen Datenschutzaudits
Unsere Kunden, insbesondere solche die als Auftragsverarbeiter tätig sind, werden mitunter auch auditiert. D.h. es werden die implementierten Maßnahmen zum Datenschutz im Unternehmen geprüft, entweder vor Ort oder dokumentenbasiert. Darüber hinaus ist es notwendig regelmäßig die eigenen Dienstleister zu überprüfen. Egal, ob Sie die Audits durchführen oder selber auditiert werden. Wir begleiten unsere Kunden im Rahmen des Audits, beginnend bei der Planung und Koordination, über die Vorbereitung, Durchführung bis hin zu Nachbereitung und Behebung eventueller Feststellungen.
Datenschutzvorfall und Auskunftsersuchen
Natürlich ist letztendlich auch der Datenschutzvorfall ein mögliches Einsatzszenario. Wenn Daten den falschen Empfänger erreichen, Subdienstleister einen Datenabfluss melden oder das klassische Auskunftsersuchen das Unternehmen erreicht. Wir tauschen uns mit den Stakeholdern in der Angelegenheit aus, übernehmen ggfs. die Kommunikation mit Dienstleistern, Betroffenen oder Aufsichtsbehörden. Dafür sind wir da und das ist unser Service für Sie.
Dies sind einige mögliche Szenarien wie wir gemeinsam mit unseren Kunden am Datenschutz arbeiten. Natürlich sind manchmal auch die Kapazitäten kundenseitig knapp bemessen oder es wechseln Verantwortlichkeiten. Datenschutzkoordinatoren sind selten in Vollzeit tätig, sondern eher nebenbei. Dann müssen u.a. Maßnahmen verschoben oder andere vorgezogen werden. Das ist normal und letztendlich wollen wir, dass Sie gut aufgestellt sind und Ihre Mitarbeiter wissen an wen sie sich wenden können.
Zu guter Letzt möchten wir auch den persönlichen Faktor nicht außer Acht lassen. Wir arbeiten mit unseren Kunden in der Regel über Jahre hinweg zusammen, denn neben dem Rechtlichen und Technischen muss vor allem eins zwischen dem Kunden und uns passen. Das Persönliche. Denn Datenschutz ist immer auch Changemanagement und das beständige Anpassen an neue Gegebenheiten für das Unternehmen und seine Mitarbeitenden. Das ist spannend, wie Datenschutz überhaupt.