Wie schwer (oder leicht) sich die Umsetzung der Vorgaben aus der DSGVO, dem BDSG etc. gestaltet, hängt immer direkt von der Organisation und ihren Prozessen ab.
Und natürlich von der Einstellung der Unternehmensleitung zum Datenschutz.
So mancher würde denken, es „skaliert“ die Umsetzungsproblematik mit der Größe und der Unternehmens-Struktur. Das halte ich nur bedingt für richtig. Natürlich hat man es mit zunehmender Größe auch mit einer entsprechenden Mehrzahl an Prozessen, Verarbeitungen, Kontakten, Abteilungen und auch Zuständigkeiten zu tun. Aber letztendlich äußert sich das oft nur im reinen Zeitaufwand für den Umsetzenden.
Funktionieren die Strukturen und sind Zuständigkeiten klar definiert, kann man die offenen Punkte direkt abarbeiten. Funktioniert nur eines von beidem nicht, hat man selbst in kleineren Firmen ein Problem.
Ja – hört sich einfach an, ich weiß!
Deshalb möchte ich heute einfach mal in die ersten Umsetzungsschritte für Neu-Einsteiger in den Job des/der Datenschutzbeauftragten schauen und analysieren, wann es schwer wird und wie man es sich einfacher machen könnte.
Gleich von vorne herein: Wenn Sie von Seiten der Unternehmensleitung nicht vollsten Rückhalt haben, dort nicht schnelle Entscheidungen getroffen werden und diese nicht auch mal eindringlich „nachhakt“, wenn es klemmt, werden Sie so oder so Schwierigkeiten bei der Umsetzung bekommen.
Die „grüne Wiese“
Die gibt es natürlich nur selten, aber eigentlich ist es egal, ob man ein Unternehmen von Grund auf neu betrachtet oder ob man den Job eines Vorgängers übernimmt.
Schritt 1:
Unternehmensstruktur (Töchter, Fachbereiche, Abteilungen etc.) analysieren, Zuständigkeiten (Datenschutz-„Schnittstellen“) definieren und Ansprechpartner-Kontakte zusammenstellen.
Es ist für den weiteren Verlauf der Umsetzung enorm wichtig, die „Schnittstellen“ zu den z.B. Fachbereichen zu kennen und von diesen Informationen anfordern zu können. Aber später auch, um Informationen in der Organisation verteilen zu können und in Änderungen eingebunden zu werden.
Und für die Erstellung, Überarbeitung und Aktualisierung des Verarbeitungs-Verzeichnisses braucht man schlicht und einfach das Wissen um die Bereiche, in denen Verarbeitungen durchgeführt werden (könnten).
Das sollte eigentlich ganz einfach sein. Wobei so manche Organisation schon mit einem Organigramm oder der aktuellen Version davon überfordert sein kann. Notfalls im Gespräch mit der Unternehmens-Leitung diese Informationen zusammenstellen (und im Datenschutzmanagement dokumentieren).
Schritt 2:
Und dieser Schritt ist jetzt gewöhnlicherweise mit Abstand der aufwändigste für den Anfang (der schwerste? - Nein, aber der „teuerste“!).
Reden Sie mit allen relevanten „Stakeholdern“ in den Töchtern bzw. Fachbereichen oder Abteilungen. Fragen Sie direkt nach deren Arbeitsvorgängen, Prozessen, Listen, etc. etc.
Und ja – die Unternehmensleitung ist auch eine „Fachabteilung“ mit Verarbeitungen!
Ein Tipp: Schicken Sie keine Vorlagen oder Listen mit der Bitte um Eintrag der aktuell genutzten Verarbeitungen. Damit werden Sie vermutlich bei weit unter 50 % der tatsächlich vorhandenen Verarbeitungen personenbezogener Daten landen. Sofern Sie überhaupt verwertbare Informationen bekommen.
Das Ganze kostet Zeit. Sie und die Ansprechpartner. In einer Stunde Gespräch oder Web-Meeting z.B. mit der Personal-Leitung werden Sie jedoch mehr erfahren als Sie denken. Sogar Datenschutz-relevante Sicherheits-Lücken könnten Ihnen dabei bekannt werden.
Sie müssen diese Gespräche führen, denn sonst raten Sie mehr als Sie tatsächlich wissen. Wenn einzelne Kontakte nicht sehr entgegenkommend sind ("keine Zeit"), muss die Unternehmensleitung unterstützen und nochmals klar darlegen, dass die Datenschutz-Umsetzung hohe Priorität genießt.
Protokollieren Sie diese Gespräche, lassen Sie sich die Inhalte von Ihren Ansprechpartnern bestätigen und gehen Sie dann über zu …
Schritt 3
Packen Sie jetzt die Ihnen genannten Prozesse, Arbeitsschritte, Listen, Tools, etc. in „Verarbeitungen“. Und fassen Sie diese so weit wie möglich und sinnvoll zusammen, sofern der übergreifende Verarbeitungszweck passt.
So müssen Sie etwa keine 20+ Einzelverzeichnisse für Personalverarbeitungen führen. Möglicherweise reichen 5 – 6 wie z.B.
- Personalakte
- Personalmanagement
- Bewerbermanagement
- BGM, BEM
- Lohn & Gehalt
- Personalvorgänge Fachabteilungen
- …
Das ergibt sich aber aus der individuellen Organisation. Ich tendiere dazu, insbesondere Verarbeitungen, die sich auf z.B. externe Cloud-Services stützen als einzelne Verarbeitungen anzulegen, selbst wenn sie Teil einer Verarbeitungs-Kette sind, die demselben Verarbeitungszweck dient.
Aber das ist „Geschmackssache“ und es gibt keine speziellen Vorgaben, wie ein Verarbeitungsverzeichnis (abgesehen von den Pflichtinhalten nach Art. 30 DSGVO) aufgeteilt sein muss.
Bestätigen und freigeben lassen
Die einzelnen Verzeichnisse (ja, ich bin ein Fan von Einzelverzeichnissen!) lassen Sie sich wiederum von Ihren Ansprechpartnern inhaltlich freigeben. Und wenn das alles komplett geschehen ist, lassen Sie den Verantwortlichen die finale Freigabe erteilen.
Da sind wir dann wieder beim „so schwer“. Das ist Arbeit, die sich keiner gerne macht. Und Sie werden
hinterherlaufen müssen. Zumindest in 95 % der Fälle… Manche Kolleg/innen setzen eine Frist für die Freigabe und wenn bis dahin keine Rückmeldung erfolgt ist, gilt die Freigabe als erteilt. Kann
man auch machen.
Die erste Hürde ist genommen!
Nicht dass es Ihnen jetzt langweilig würde, aber es ist tatsächlich ein fetter erster Brocken schon mal geschafft.
Sie haben einen Überblick über die Strukturen, Sie haben alle relevanten Kontakte zum Datenschutz im Unternehmen, Sie und Ihre Aufgabe sind intern bekannt und Sie haben das Verarbeitungs-Verzeichnis erstellt.
Als nächstes sollten Sie sich wichtigen Kern-Aufgaben wie
- Umsetzung von Betroffenenrechten
- Bearbeitung von Datenschutzvorfällen
- Umsetzung der Informationspflichten
- Richtlinien, Dokumentation/Nachweise
widmen.
Vielleicht schreibe ich da auch noch Artikel dazu. Heute beschränke ich mich mal auf Eigenwerbung für www.datenschutzdocs.de wo man Vorlagen für verschiedene Prozesse finden kann, mit denen man sich meiner Meinung nach eine Menge Zeit und Arbeit spart.
Ach ja – und nicht zu vergessen:
Unbedingt die Webseite(n), Consent-Banner und die Datenschutz-Hinweise anschauen. Da sind oft über kleine Schritte ganz üble Lücken schnell zu schließen (z.B. GoogleFonts, Analytics, Cookies, etc.).
Hört sich auch einfach an, aber sicher brauchen Sie hier die Unterstützung der Geschäftsleitung, die wiederum die IT oder die Agentur klar anweist, die tiefgehende Technik-Prüfung und Umsetzung zu übernehmen.
Fazit:
Meiner Meinung nach wird gelegentlich etwas zu viel gejammert. Ein modernes, funktionierendes Unternehmen sollte eigentlich keinerlei Probleme mit der sauberen Definition von Prozessen und damit auch der Datenschutz-Umsetzung haben.
Klar - es kostet Zeit und damit Geld. Und es gibt "Wichtigeres" zu tun, man hat "andere Sorgen". Und ich verstehe auch, dass Datenschutz nur eine von sehr vielen Vorgaben ist, die Unternehmen umsetzen müssen. Dass man da ab und zu den Bürokratie-Koller kriegt, ist völlig nachvollziehbar.
Man muss sich halt einmal auf den Hosenboden setzen und die Zeit investieren, um die Grundlagen grade zu ziehen. Und – man wird dabei feststellen, dass strukturierte Datenschutz-Umsetzung dem Unternehmen ganz konkret weiterhelfen kann.
Nicht nur bei der Vermeidung von Bußgeldern, sondern sogar bei der (Neu-) Definition von Prozessen und bei der Feststellung von lange verborgenen Prozess-Schwachstellen, überflüssigen Mehrfach-Verarbeitungen und Daten-Müllhalden.