Das Datenschutzprojekt

Einem Projekt sind immer Ressourcen zugeordnet (z.B. Gesprächspartner, Zeit, Geld). Je nachdem, welche Bedingungen den Ist-Zustand definieren, ergeben sich entsprechende Parameter, um ein gesetzeskonformen Datenschutz umzusetzen. Wichtig ist, das Projekt zu starten.

Dabei empfiehlt es sich, in messbaren Phasen vorzugehen. Die Dauer der einzelnen Phasen ist abhängig von:

  • der bereits existierenden Datenschutzdokumentation und deren Prüfung auf Vollständigkeit, Richtigkeit und Konformität
  • der Unternehmensgröße
  • der Anzahl der im Unternehmen eingesetzten Verfahren, bei denen personenbezogene Daten betroffen sind
  • der datenschutzrelevanten Kommunikation mit externen Dritten (Dienstleistern)
  • den existierenden Maßnahmen zum Schutz personenbezogener Daten für die IT-Systeme
  • und den bereits existierenden Dokumentationen zu IT- und Infrastruktursicherungsmaßnahmen

Die Phasen im Überblick:

  • Übergeordnete Bestandsaufnahme und strukturieren vorhandener Informationen.
    • Erstaufnahme des allgemeinen Datenschutzniveaus
    • bereits veranlasste bzw. schon umgesetzte Themen
    • Dokumentenlage IT-Sicherheit und Datenschutz
    • Überblick Unternehmensorganisation und Verantwortlichkeiten
  • Bewerten der Bestandsaufnahme und Beschreibung der Situation (Ist-/Soll-Vergleich)
    • Bewertung von Risikopotentialen (z.B. Schutzbedarfsfeststellung / Notwendigkeit der Vorabkontrolle)
    • Bewertung der technischen und organisatorischen Maßnahmen
  • Erstellen einer offenen Punkte- und Prioritätsliste (QuickWins)
    • (gesetzliche Vorgaben, Unternehmensvorgaben, Risiken, ...)
  • UmsetzenQuickWins
  • Mitarbeiterbefragung (Fragebogenaktion) zur Ermittlung eines allgemeinen Datenschutz- niveaus und Ableitung notwendiger Maßnahmen
  • Erstellen einer Planung zur Umsetzung (Projektplan) mit Meilensteinen und einer ersten Zeitachse als Basisplan
    • Erstellung der Verfahrensübersichten
    • Erstellung des Datenschutzhandbuches
    • Prüfung der Verträge mit Dienstleistern (z.B. Auftragsdatenverarbeitung)
    • Verpflichtung von Mitarbeitern
    • Erarbeitung der Verpflichtungen und Richtlinien
    • ...
  • Durchführung von Schulungen
  • Flankierende Maßnahmen (z.B. Datenschutz im Internet)
  • Prozessdefinition/standardisieren von Aktivitäten
    • (z.B. Auskunftsersuchen, Aktualisierung der Verfahrensübersicht)
  • Regelprüfungen zur Erhaltung und Verbesserung des Datenschutzniveaus
  • Vorabkontrolle
  • Verfahrensbegleitung und Dokumentation
  • sonstigeBeratung
  • ...

Lesen Sie mehr in den FAQs