DS-GVO prepared

Gibt es im Unternehmen bereits ein Bewusstsein für die EU-Datenschutzgrund-Verordnung ist es erforderlich, dass weitere Schritte gesetzt werden, um auf die EU-DS-GVO vorzubereiten. Dazu müssen einerseits zentrale Elemente, Richtlinien und Verfahrensanweisungen erstellt werden, die für die Bewältigung des Datenschutzes notwendig sind. Andererseits muss ein Verarbeitungsverzeichnis für die Dokumentation der Daten erstellt werden. Daneben erfolgt eine klare Identifikation der notwendigen organisatorischen Maßnahmen, die noch umgesetzt werden müssen und auch die Einbindung von technischen Bereichen ist hierbei möglich.

Bei der Erstellung des Verarbeitungsverzeichnisses werden alle Services erfasst, die auf die eine oder andere Art und Weise personenbezogene und/oder sensible Daten speichern oder verarbeiten. Als Grundlage dafür dient der IT-Servicekatalog.

 

Um den Status „prepared“ zu erlangen, sind folgende Tätigkeiten erforderlich:

  • Durchführung eines Verarbeitungsverzeichnis (VAZ)-Projektes: Befragung der Fachabteilungsleiter, Erstellung der zugehörigen Richtlinien und des Verarbeitungsverzeichnisses, welches auf dem aktuellen und vollständigen IT-Servicekatalog aufgebaut ist.
  • Erstellung der DS-GVO Prozesse für Privatpersonen: Die Prozesse der Einwilligung, Auskunft, Übertragung, Änderung und Löschung von Daten lt. DS-GVO müssen definiert und im Unternehmen umgesetzt sein.
  • Aufbau der technischen Prozesse zum Thema DS-GVO: Berücksichtigung der DS-GVO beim Change-Management, sowie bei Softwareentwicklung und Softwarekauf.
  • Data Breach Notification Duty: Eine Richtlinie mit Prozessbeschreibung für die Umsetzung der Data Breach Notification Duty muss organisatorisch erstellt worden sein. Zusätzlich muss darin definiert werden, wie eine etwaige technische Umsetzung dazu erfolgt.
  • Datenschutzfolgeabschätzungsprojekt: Nach Feststellung, welche IT-Services eine Datenschutzfolgeabschätzung erforderlich machen, muss der Prozess zur Datenschutzfolgeabschätzung erstellt und ein Formular diesbezüglich vorbereitet werden.

 

Gemeinsame Erstellung der Prozesse sowohl im organisatorischen als auch im technischen Bereich:

  • Prozesse für Privatpersonen
  • Prozesse im technischen Bereich
  • Data Breach Notification Duty
  • Datenschutzfolgeabschätzung
  • VAZ

 

Ales Ergebnis erhalten Sie am Ende Richtlinien/Verfahrensanweisungen mit Prozessablauf und Prozesskontrollen mit Bezug auf das unternehmensintern etablierte IDMS.