Im letzten Blog-Beitrag „Umsetzungsplan für die DSGVO: erste Schritte“ ging es um die notwendigen ersten Schritte bei der Umsetzung der DSGVO. Nach der Bestandsaufnahme folgte die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten. Um im Falle eines Verstoßes auf Bußgeldminderung zu hoffen, werden noch alle technisch-organisatorischen Maßnahmen (TOMs) dokumentiert.
In dem heutigen Blog-Beitrag geht es um die nächsten bzw. weiteren Schritte um das Unternehmen auf die DSGVO vorzubereiten.
Für die herausgefilterten Prozesse, welche personenbezogene Daten beinhalten, sollte kurz beschrieben werden, um welche Daten es sich handelt und wer für den Prozess verantwortlich ist. Mit diesen Daten kann eine erste Risikoeinschätzung im Falle eines Datenverstoßes vorgenommen werden. Ebenso eine Einschätzung der Wahrscheinlichkeit einer Datenpanne sowie des möglichen Schadens der Person, um deren Daten es sich handelt. Um einen Überblick zu haben, sollten diese Prozesse aufgeteilt werden in geringes, mittleres und hohes Risiko. Dadurch werden die Prozesse automatisch nach ihrer Wichtigkeit geordnet. Die Prozesse mit hohem Risiko sollten zuerst abgearbeitet werden, um Schritt für Schritt an der Umsetzung der DSGVO zu arbeiten. Gerade am Anfang erscheint der Berg an Prozessen riesig, doch einmal angefangen wird er immer kleiner und kleiner…
Die besten Verzeichnisse und Prozesskategorien nützen allerdings nichts, wenn die Mitarbeiter nicht geschult sind. Gerade durch das Verzeichnis über die Verarbeitungstätigkeiten ergeben sich für ein Unternehmen und vor allem für die Mitarbeiter neue Prozesse und Pflichten:
Wie muss ich im Falle eines Verstoßes gegen die DSGVO vorgehen? Wen muss ich benachrichtigen? Wie erfülle ich meine Pflicht hinsichtlich Löschung/Vernichtung von Daten und der Erfüllung von Betroffenenrechte? Wie arbeite ich DSGVO-konform? Welche neuen Prozesse gibt es?
Zu diesen und weiteren Fragen müssen einheitliche Grundsätze geschaffen werden, um die Mitarbeiter bei der Einhaltung der DSGVO zu unterstützen. Nur wenn die Mitarbeiter bestens informiert und die Arbeitsschritte optimiert sind, kann die DSGVO eingehalten werden ohne zeitliche Einbußen dadurch zu haben.
