Vertrauen ist gut, Kontrolle ist besser: So überprüfen Sie Ihre DSGVO-Maßnahmen

Die EU-Datenschutz-Grundverordnung (EU-DSGVO, engl. GDPR) sorgt für EU-einheitliche und vor allem strengere Datenschutzrichtlinien als es bislang der Fall war. Viele Unternehmen haben inzwischen eine Reihe an Maßnahmen getroffen, um ihre Prozesse an die neuen Anforderungen anzupassen. Doch erfüllen diese nun wirklich alle nötigen Compliance-Richtlinien? In unserem Blog-Beitrag lesen Sie, wie Sie Ihre Maßnahmen auf den Prüfstand stellen.

Dokumentieren geht über Studieren  

Für eine unternehmensweite und ganzheitliche Compliance ist eine lückenlose Dokumentation das A und O. Diese hilft Ihnen nicht nur, selbst den Überblick zu behalten, sondern gewährleistet auch, dass Sie im Falle einer Prüfung glaubhaft und nachvollziehbar belegen können, dass Sie personenbezogene Daten gemäß der EU-DSGVO verarbeiten.

Ein guter Weg der Dokumentation sind so genannte Prozessdiagramme beziehungsweise Prozessmodelle. In diesen können Sie transparent darstellen, an welcher Stelle personenbezogene Daten anfallen und welche Aufgaben, Verantwortlichkeiten und Abläufe im Zuge dessen greifen. Bei der Gestaltung eines solchen Modells empfiehlt es sich, Aufbau und Farbgestaltung möglichst einheitlich zu halten. Dies sorgt für eine gute Übersicht und macht Ihre Prozesse zudem gut miteinander vergleichbar. Einmal aufgesetzt, können Sie das Modell mit relativ geringem Aufwand auf andere Prozesse adaptieren und modifizieren.

 

Beispielhaftes Prozessmodell, das Aufgaben, Rollen und Schnittstellen DSGVO-konform beschreibt

Beispielhaftes Prozessmodell, das Aufgaben, Rollen und Schnittstellen DSGVO-konform beschreibt


Füllen Sie Lücken

Steht die Dokumentation, können Sie mit einer systematischen Gap-Analyse (Lückenanalyse) beginnen, um Ihren aktuellen DSGVO- und Compliance-Status zu bewerten. Prüfen Sie dabei kritisch:

  • Wurden alle Prozesse, in denen personenbezogene Daten verarbeitet werden, gemäß der DSGVO-Anforderungen angepasst? Gibt es Prozesse, die noch nicht berücksichtigt wurden?
  • Sind in jedem Prozess alle Fragen zur DSGVO geklärt? Gibt es noch offene Punkte oder Baustellen?
  • An welchen Stellen benötigen Sie noch Input von außen (beispielsweise von Ihrem Datenschutzbeauftragten oder IT-Dienstleister)
  • Wo sind die Abläufe noch zu kompliziert? Kann man einzelne Prozesse noch effizienter oder einheitlicher gestalten?
  • Sind allen Mitarbeitern die getroffenen Maßnahmen bekannt? Ist jeder Mitarbeiter ausreichend über seine Rolle oder Zuständigkeit informiert?

Dokumentieren Sie auch hier Ihre Antworten detailliert und am besten prozessbezogen. Wichtig ist es, dass Sie Ihre internen und externen Experten aus allen relevanten Fachbereichen eng in die Analyse einbeziehen. Idealerweise gründen Sie eine Arbeitsgruppe, die sich gezielt mit den oben genannten Fragestellungen befasst.

Auf Basis der so erzielten Ergebnisse können Sie anschließend konkrete Handlungsschritte ableiten und in einem Projektplan konkret festhalten, wer was bis wann prüft beziehungsweise erledigt.

 

Manchmal hilft der Blick von außen

Sicherlich kennen Sie und Ihre Kollegen Ihre Unternehmensprozesse am besten. Oft ist es aber der richtige Ansatzpunkt, die nötige Distanz oder die Zeit, die fehlt, um im Thema DSGVO voranzukommen. Hier können externe Dienstleister eine große Hilfe sein, um das „Projekt DSGVO“ zu strukturieren und weiter anzutreiben.

Als Prozess- und IT-Berater bietet CONET konstruktive DSGVO-Workshops an, um Sie zum Beispiel bei der Gap-Analyse zu unterstützen. In einem oder mehreren Tagen haben Sie einen festen Rahmen, um gemeinsam potenzielle Compliance-Abweichungen zu identifizieren, zu dokumentieren und Handlungsempfehlungen abzuleiten. Sprechen Sie uns für konkrete Angebote oder Referenzen gerne an.

 

War dieser Artikel hilfreich für Sie? Wir freuen uns über Ihr Feedback und Ihre Fragen über die Kommentarfunktion.

 

Link-Tipps

Amiri Massiullah

Massiullah Amiri begleitet als Senior Consultant und Experte in Projekt-, Prozessmanagement und IT-Compliance GDPR/EU-DSGVO-Projekte im öffentlichen und privaten Sektor.
Amiri Massiullah

Antwort hinterlassen

Shares