Skip to main content

Wir haben im vorherigen Artikel die Bestandsaufnahme erläutert, welche Fragen wir haben und mit welchem Schlüsselpersonal wir uns austauschen, um das Unternehmen, seine Prozesse und seine Menschen kennenzulernen. Daraus wurde ein Bericht geschaffen, der als Basis für Optimierungen und Anpassungen für unseren Kunden in den nächsten Wochen und Monaten dienen wird.

Umsetzung der Maßnahmen heißt Anpassungen im Unternehmen durchzuführen auf vielerlei Ebenen und mit unterschiedlichen Mitteln. Je nach Größe des Unternehmens bietet sich die Benennung eines Datenschutzkoordinators oder -koordinatorin (DSK) an. Für größere Unternehmen sind ganze Steuerungskomitees (SteKo) ein probates Mittel, um die Maßnahmen mit Methoden des Projektmanagements umzusetzen. Es werden auf Basis des besagten Berichtes die Maßnahmenpakete mit Verantwortlichen für Umsetzung und Überwachung geschnürt. Dazu werden gerne bereits bestehende Tools eingesetzt. So zum Beispiel Planungssoftware der M365 Suite. Warum tun wir das? Nun, mit derartigen Lösungen sind eine Vielzahl von Unternehmen bereits vertraut und nutzen es bereits für eigene interne Projekte. Es werden JourFixe mit dem SteKo oder dem DSK vereinbart, um die Maßnahmen zu besprechen, zu überwachen, anzupassen und abzuschließen. Der Verlauf wird dokumentiert.

Bei der Priorisierung der Maßnahmen halten wir uns an den Grundsatz „Außenwirkung vor Innenwirkung“. Dies bedeutet Maßnahmen umzusetzen, welche nach Außen auf den Kunden und die Öffentlichkeit wirken bzw. wo datenschutzrechtliche Risiken oder Pflichten bestehen.

Darunter fällt beispielsweise der öffentliche Auftritt des Unternehmens auf seinen Webseiten und in den sozialen Kanälen. Welche Funktionalitäten und Technizitäten weist der Webauftritt auf? Mit welchen Lösungen wird der Besucher getrackt und wie wird mit Kunden und Interessenten interagiert. Gibt es webbasierte Formulare oder wird ein Newsletter angeboten? Wie erfolgt eine Einwilligung und wie wird man den Transparenzpflichten gerecht? Dazu wird sich mit der verantwortlichen Abteilung und beauftragten Web-Agenturen ausgetauscht und besagte Maßnahmenpakete geschnürt und adressiert.

Weiterer Schwerpunkt ist das Verzeichnis der Verarbeitungstätigkeiten (VVT), welches wir in dem System des Kunden vorhalten. Legitimis verfolgt den Ansatz „Ihr Datenschutz – Ihre Dokumentation“. Daher verzichten wir auf selbstgehostete Datenschutzlösungen und nutzen die Systeme des Kunden. Dabei arbeiten wir vertrauensvoll mit Gastzugängen in den Systemen des Kunden, wie es die Google-Suite oder M365 vorsieht. Bei der Erstellung des VVTs nutzen wir Vorlagen zur Orientierung der Mitarbeitenden. Dennoch sind auch Vorlagen niemals die endgültige Lösung, da es immer Anpassungsbedarf gibt bei den Beschreibungen, den eingesetzten Systemen und Auftragsverarbeitern.

Apropos Auftragsverarbeiter. Wie bereits in der Bestandsaufnahme beschrieben dokumentieren wir Auftragsverarbeiter. Dazu schauen wir auch in die jeweiligen Verträge. Gerade lang bestehende Verträge sind zu prüfen und auch nach 5 Jahren werden mitunter veraltete Klauseln oder ungültige BDSG-Referenzen identifiziert. Übrigens, auf die Frage unserer Kunden „Wann wir denn das VVT endlich abschließen können?“ antworten wir in der Regel: „Nie, denn es ist ein lebendes Dokument, welches angepasst, erweitert, teilweise archiviert und mindestens jährlich auf Aktualität hin geprüft werden muss.“ Denn Unternehmen ändern sich in Prozessen, eingesetzten Lösungen und strukturell. Das alles muss das VVT abbilden. Das VVT bildet sozusagen das datenschutzrechtliche Herzstück, da sich dort alle Prozesse, Daten, Systeme, Auftragsverarbeiter, Löschfristen und mehr abgebildet befinden.

Wie Datenschutzinformationen auf Webseiten müssen auch die internen Dokumente geprüft und angepasst werden (Stichwort Transparenz. Sind alle Mitarbeitende über die Verarbeitung Ihrer eigenen Daten angemessen informiert? Steht das Informationsangebot gegenüber allen Mitarbeitenden im Unternehmen bereit (Stichwort Datenschutzportal) und sind Kontaktdaten zum Datenschutzbeauftragten angemessen kommuniziert? Gerne unterstützen wir Sie mit unserer Erfahrung und unserem Wissen beim Aufbau eines angemessenen Platzes für den Datenschutz in Ihrem Intranet.

Darüber gilt es zu überprüfen, ist die Datenschutzrichtlinie vorhanden und noch aktuell oder müssen weitere datenschutzrelevante Regelungen erlassen werden (Umgang mit Auskunftsersuchen, Auftragsverarbeitungsvereinbarungen, usw.)?

Als weiterer, wichtiger Punkt ist die Thematik Schulung und Sensibilisierung zu sehen. Denn Richtlinien und Prozessvorgaben sind nicht wirksam, wenn die Einstellung im Unternehmen zum Datenschutz nicht stimmt oder die Regelungen den Mitarbeitenden nicht bekannt sind. Das kann nur mit angemessenen Schulungsmaßnahmen erreicht werden; abwechslungsreich und mitunter spezifisch auf das Unternehmen zugeschnitten sowie zielgruppenorientiert.

Hierzu bietet legitimis neben der Präsenzschulung vor Ort durch unsere Berater, auch Schulungsvideos, thematische Kurzvideos (legitimis KOMPAKT), Datenschutzquizze und ergänzende Informationsmaterialien (legitimis InfoDocs) an. Gerade unsere Videoformate können natürlich in unternehmenseigene Lernmanagementsysteme integriert werden.

Die Umsetzung gilt es transparent mit unseren Ansprechpartnern anzugehen. Das Verstehen und das Nachvollziehen der Maßnahmen ist maßgeblich für die Umsetzung und teils gilt es auch eingefahrene Prozesse aufzubrechen und neu zu denken. Ein Unternehmen dabei zu begleiten ist spannend. Also lassen Sie uns zusammen Datenschutz in Ihrem Unternehmen machen.