ddm Ausgabe 3 | 2018

ddm | Ausgabe 3 | 2018 66 New Media Datenschutzmanagementsystem als Software Leider herrscht noch immer ein nicht ganz einheitliches Bild darüber, wie ein Datenschutz- managementsystem aussehen sollte. Ein Softwaretool kann bei der Organisation hilfreich sein, meistens genügt jedoch eine Exceltabelle. Den ganzheitlichen Ansatz des Datenschutzma- nagementsystems kann eine Software nicht leisten, da es um Prozesse und gelebten Daten- schutz geht. Schritt 3: Analysieren Sie die Risiken Haben Sie bei der Erhebung des Soll-Ist-Standsg festgestellt, dass Sie Lücken innerhalb Ihrer Datenschutzvorkehrungen haben, sollten Sie diese priorisieren und eine Risikoana- lyse vornehmen. Ziehen Sie dazu folgende Kriterien heran: Kritikalität der Daten Art der Datenverarbeitung Ort der Datenverarbeitung Höhe des Bußgeldes Schritt 4: Umsetzung Vergessen Sie, neben der Planung nicht die Umsetzung Ihrer entwickelten Maßnahmen. Die Maßnahmenplanung ergibt sich aus den identifizierten Datenschutzlücken Ihrer Pla- nung. Viele dieser Lücken können mit Sicherheit durch technisch-organisatorische Maß- nahmen abgebildet werden. Berücksichtigen Sie, dass insbesondere bei der Umsetzung technischer Maßnahmen ggf. Strukturierungen der IT-Systeme erfolgen müssen. Anpassen von Dokumenten Herausfordernd ist die Koordination der Fachabteilungen und der ggf. externen Berater. Sie sind als „Projektabteilung“ Koordinator und müssen, wenn nötig, auch korrigierend eingreifen. Denken Sie daran, ebenfalls eine Dokumentation zu führen denn mit der DSGVO haben Sie umfangreiche Dokumentationspflichten einzuhalten. Schritt 5: Schließen Sie den Kreis Haben Sie schon einmal etwas von dem PDCA-Zyklus gehört, der iterativ in vier Phasen den Lernprozess beschreibt? – so auch den Ihrer Einrichtung. Denn nachdem Sie Ihre Maßnahmen geplant (Plan) und umgesetzt (Do) haben, sollten Sie diese auf ihre Wirk- samkeit hin überprüfen (Check) und, wenn nötig, anpassen bzw. handeln (Act). Denn indem Sie einmal Ihre Maßnahmenplanung umgesetzt haben, müssen Sie diese stetig prüfen und ggf. anpassen, um Fehler zu vermeiden und Prozesse zu optimieren. Nur das ist der richtige Weg zu einer guten Datenschutzorganisation. Auf einen Blick – Was ändert sich konkret mit der DSGVO? An vielen bekannten Grundsätzen des Datenschutzrechts (z. B. Verbot mit Erlaubnisvorbehalt, Datensparsamkeit, Zweckbindung, Datenrichtigkeit und Datensicherheit) ändert sich nichts. Hier die wichtigsten Änderungen auf einen Blick: 1. Auftragsdatenverarbeitung Mit allen Dienstleistern, Lieferanten usw., die Zugriff auf Ihre EDV haben bzw. mit personenbezoge- nen Daten, die bei Ihnen verarbeitet werden, in Berührung kommen (Steuerberater, Abrechnungs- zentren, usw.) muss ein Auftragsdatenverarbeitungsvertrag geschlossen werden. Die Art. 28 und 29 DSGVO enthalten Vorgaben für Vereinbarungen mit Auftragsverarbeitern.