Wir packen es an!
Da hilft kein Verweigern und Wegschauen. Die Verordnung gilt, und zudem folgt im nächsten Jahr noch die wohl weitergehende ePrivacy-Verordnung (https://www.datenschutz-ticker.de/whitepaper/anmeldung/form-ePrivacy.php). Also halten wir es mit der Weiterbildner-Maxime: Lernen und handeln!
Das haben wir schrittweise getan:
6 Schritte zum gültigen Datenschutz
1. DSGVO lesen
Die zahlreichen Veröffentlichungen haben uns eher verwirrt. Also haben wir die Datenschutzgrundverordnung "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr..." im Original gelesen. Zur Orientierung reicht zunächst die erste Hälfte der vorgeschalteten 173 Artikel. Das Wesentliche ist: Die Einwilligung der Personen ist nötig!
2. Auftragsdatenverarbeitung IT-Dienstleister
Die haben wir gemäß Verordnung mit unserem Dienstleister descript GmbH geschlossen, der uns in diesem Prozess hilfreich unterstützt (www.descript.de). Das betrifft die Leistungen Mailverkehr MUTmanagement.de, Kontakte, MUT-Cloud, MUT-Internet-Auftritt, Content-Management-System (CMS Dokumente für Kunden), Newsletter mit Blog MUTgestalten.de.
Die Themen Telefonie, Messenger und Kalender beschäftigen uns derzeit noch, für gute Tipps sind wir dankbar.
3. Liste der Verarbeitungsvorgänge
Wir sind mit offenen Augen durch unsere Büros und Prozesse gegangen und haben alle Tätigkeiten aufgelistet und beschrieben, die unter diese Verordnung fallen. Das hat auch Struktur in benachbarte Themen gebracht, z.B. in die physische Ablageordnung und den sicheren Verschluss von Schränken. Ein Musterausschnitt:
Als Folge davon haben wir Risiken in Wahrscheinlichkeit und Schwere von möglichen Datenschutzverletzungen eingeschätzt und Stufen von 1 bis 5 zugeordnet.
4. Datenschutzbeauftragter klären
Wir sind weniger als zehn Personen im Team und unsere Netzwerke sind sehr offen mit getrennten, eigenständigen IT-Systemen. Damit fallen wir unter die quantitative Grenze.
In unserer Arbeit mit Persönlichkeitsmodellen fallen sensible Persönlichkeitsdaten an, das gehört jedoch - zumindest derzeit - nicht zum Kerngeschäft und wird im übrigen besonders geschützt. Sensible Mitarbeiterdaten wie Krankmeldungen kommen auf Papier. Damit greift die qualitative Schwelle nicht.
So benötigen wir keinen Datenschutzbeauftragten. Nichtsdestotrotz haben wir die Aufgabe, unsere Tätigkeiten Datenschutz-konform zu halten und zu lenken, unserer Senior Consultant Ulla Thombansen, übertragen.
5. Technische und organisatorische Maßnahmen (TOM)
Die DSGVO verpflichtet uns, technische Maßnahmen (Installationen) sowie organisatorische Maßnahmen (Verfahren, Regeln) zu beschreiben, mit denen wir Daten sichern - passend zu erkannten Risiken. Sie werden in kritischen Fällen sofort geprüft und müssen aussagefähig und aktuell vorliegen.
Also haben wir auch TOMs erstellt - sie dienen dem Nachweis der wirkungsvollen Lenkung. Ein Muster steht hier:
6. Weiter Augen auf!
Soweit sind wir jetzt, und weiter geht's. Uns fallen neue Verarbeitungsvorgänge auf, wir bauen weitere TOMs und überlegen, mit wem wir Verträge zur Auftragsdatenverarbeitung schließen sollten. Doch wir wollen nicht überbürokratisch werden - jedes Wenn und Aber können wir kaum absichern!
Und wir unterweisen uns gegenseitig - das ist in unserer Größe ja noch übersichtlich.
