To-Dos bis zur Geltung der Datenschutz-Grundverordnung am 25. Mai
Der Count-Down läuft, noch knapp 3 Wochen bis die DSGVO unmittelbar gilt. Die zweijährige Übergangsfrist endet damit. Auch wenn die Panikmache vieler doch etwas überzogen ist, so ist doch darauf zu achten, dass das Funktionieren eines Datenschutzmanagements von den Aufsichtsbehörden erwartet wird. Denn mit diesem Datum sind auch die umfangreichen Haftungs- und Bußgeldvorschriften gültig.
Was ist also bis dahin zu tun, wenn nicht schon geschehen
(siehe auch den ersten Beitrag ‚Anwendungsbereich und erste Schritte’)
Wenn Sie sich darüber bewusst sind, dass
- Datenschutz ‚Chefsache’ ist (aber alle auch was angeht) und sie sich einen
- (internen oder externen) Datenschutzbeauftragten auserkoren haben (falls Sie einen benötigen).
dann können sie folgendermaßen vorgehen.
1. Schritt: Kommunikation und Bekanntmachung
Sie analysieren die neuen Anforderungen und den Kommunikationsbedarf in ihrem Unternehmen, ihrer Einrichtung oder ihrem Verein.
- Wer muss informiert werden?
(In der Regel alle, aber manche allgemein, manche im speziellen).
Inhalt der Information:
- Grundzüge der DSGVO
- Konsequenz für das Unternehmen / den Verein bei Missachtung
So sensibilisieren Sie ihre Mitarbeiter oder Vereinsmitglieder. Das Motto kann dabei sein:
Datenschutz ist Chefsache, und es geht alle an. Damit signalisieren sie, dass sie hinter diesem Thema stehen und es für wichtig erachten.
2. Schritt: Handlungsbedarf und Soll- Ist- Abgleich
Welche neuen gesetzlichen Anforderungen gelten? (Soll)
Wie wurde das bisher im Unternehmen / der Einrichtung / dem Verein gehandhabt (Ist)
Im Soll ist-Abgleich, der in einer synoptischen Darstellung schriftlich fixiert werden kann, werden Diskrepanzen erkannt.
Darauf aufbauend werden die Handlungs- und der Umsetzungsbedarf erarbeitet. Dabei sind zwingend die zeitlichen Ressourcen zu beachten.
3. Schritt: Konkrete Umsetzung der Maßnahmen und Personaressourcen schaffen
In diesem Schritt werden konkret Aufgaben gelöst.
Wer macht was bis wann und warum?
Ein paar ausgewählte Aufgaben, die keinen Anspruch auf Vollständigkeit erheben (und in der Reihenfolge ungewichtet und nicht priorisiert sind.)
- Überarbeitung der bestehenden Handbücher (Compliance Handbuch, Datenschutzrichtlinie)
- Überarbeitung der Einwilligungserklärungen
- Überprüfungen der Datenschutz-Richtlinien auf der Homepage/Webseite.
- Überprüfung der Datenschutzunterweisungen und-verpflichtungen der Mitarbeiter
- Überprüfung auf Datenschutz-Konformen Einsatz der Software (ggfs. beim Softwarehersteller nachfragen)
- Erneuerung von Zugangsregelungen (wer hat Zugriff und Zutritt zu personenbezogenen Daten)
- Erstellung oder Überarbeitung eines Verarbeitungsverzeichnisses)
- Regelungen zur ‚Meldung von Datenpannen’
- - ...
Weitere Informationen folgen auf diesem Portal an dieser Stelle.
Uwe Huchler, Chefredaktuer von social-software.de