Datenschutzbeauftragte/r – und jetzt?

Da sitzen sie nun: einige Leute an ihrem ersten Tag im Datenschutzbeauftragten-Seminar. Sie sollen die Fachkunde erwerben, die für die Tätigkeit als DSB notwendig ist.

 

Was mich da immer interessiert ist, was sie denn zur Teilnahme bewogen hat. Die Antworten ähneln sich (ohne statistischen Nachweis):

 

  • 80 % sagen, sie wären von ihrem Arbeitgeber dazu bestimmt worden, die Aufgabe des DSB zu übernehmen.
  • 20 % sagen, sie wollten als externer DSB tätig werden oder sie würden sich für das Thema Datenschutz näher interessieren (oder geben andere Gründe an).

Als Referent ist mir inzwischen klar, dass ich vor allem die Aufgabe habe, einem überwiegend nicht unbedingt eigen-initiativ an Datenschutz interessiertem Teilnehmerkreis ein, sagen wir mal „trockenes“ Thema zu vermitteln.

 

Zwei Hauptziele also:

  1. Es darf niemand einschlafen!
  2. Am Ende sollten die Teilnehmenden die Basis für die Arbeit als DSB vermittelt bekommen haben.

Meistens klappt das ganz gut und man kann sogar Spaß haben. 

 

Theorie und Praxis

 

Immer wieder fühle ich mich von den Teilnehmenden und durch ihre Fragen an meine ersten Schritte in der Praxis erinnert und auch daran, wie schwer es war, ganz konkrete Anleitungen für die Umsetzung und brauchbare Muster dafür zu finden (wenn überhaupt welche verfügbar waren, grade mit dem Start der DSGVO in 2018).

 

Ich meine jetzt nicht die Vorlagen für Verarbeitungs-Verzeichnisse, Richtlinien, Verpflichtung auf Vertraulichkeit und Datenschutz-Hinweise. Was ich meine, sind die ersten Schritte und der Plan für die Umsetzung.

 

Wie fange ich als DSB an?

 

Man kommt in eine Organisation, in der etwas in der vollen Bandbreite zwischen nichts bis einiges zum Datenschutz getan wurde. Und nun wird von mir als DSB erwartet, dass ich alles umsetze.

 

Wie, was, umsetzen? Ja – umsetzen. Da kann der Artikel 39 DSGVO noch so schön die Aufgaben des DSB beschreiben, die er „zumindest“ hat. Vom Verantwortlichen wird meist erwartet, dass man von der Umsetzung bis zur Überwachung des Datenschutzes fast alles macht und weiß. 

 

Was braucht man nun, wenn man als frisch benannter DSB am ersten Tag seine Tätigkeit aufnehmen soll?

 

Die Bestandsaufnahme

 

Einen Überblick! Man weiß, was man umgesetzt haben müsste aber jetzt geht es erstmal daran, festzustellen, was schon da ist. Und – man hat im Seminar immer wieder gehört, wie wichtig Dokumentation für die Erfüllung der Nachweispflicht ist – man muss das, was an Datenschutz-Umsetzung vorhanden ist, nachweisen können. Und das am besten mit System.

 

Lassen Sie sich nicht irritieren, wenn schon "viel" vom vorherigen DSB umgesetzt wurde. Sie machen eine aktuelle Bestandsaufnahme, die Ihre Grundlage für den Maßnahmen- oder Projekt-Plan für die Datenschutz-Umsetzung wird.

 

Die GAP-Analyse und der Maßnahmenplan

 

Und dann vergleichen Sie das, was da ist mit dem, was benötigt wird, um die Vorgaben zum Datenschutz zu erfüllen. Daraus entwickeln sie einen Maßnahmenplan, den Sie dem Verantwortlichen zur Priorisierung vorlegen. Natürlich sollten die „schlimmsten“ Lücken, also solche, die Ihre Organisation von außen angreifbar machen (z.B. Webseite!) am besten sofort geschlossen werden.

 

Der Verantwortliche und das Datenschutz-Team

 

Wollen Sie jetzt direkt ans Abarbeiten des Maßnahmenplans gehen, werden Sie sehr schnell feststellen, dass sie an allen Ecken und Enden ins Stocken kommen, wenn sie nicht vorher so ziemlich die wichtigste Basis für die Umsetzung gelegt haben:

 

Sie brauchen Unterstützer und Zuarbeiter in der Organisation. Ohne die Hilfe der Menschen im Betrieb stehen Sie auf verlorenem Posten.

  • Der Verantwortliche sollte Datenschutz nicht als lästige Pflicht sehen, sondern verstehen, dass dieses Thema wirklich wichtig für das Unternehmen ist. Und er sollte verstehen, dass Sie für die Umsetzung grade am Anfang unter Umständen richtig Zeit brauchen. Also nicht mal so nebenbei.
  • Was sie auch von ihm brauchen: Ein Budget. Sie müssen Geld ausgeben. Für Vorlagen-Sammlungen & Anleitungen (Achtung! Eigenwerbung und Link zum Starterpaket auf datenschutzdocs.de), Fach-Literatur (Bücher, Zeitungen, etc.), Fortbildungen, vielleicht eine Mitgliedschaft in einem der DSB-Berufsverbände, usw.
  • In allen Fachabteilungen bzw. Organisations-Teilen sollte ein direkter Kontakt benannt werden, welcher die Verarbeitungen im Fachbereich kennt, der zum virtuellen Datenschutz-Team gehört und sich in seinem Bereich dafür als Unterstützer verantwortlich weiß.

Meine Top-Praxistipps zum Start als DSB:

  1. Verantwortlichen zum Datenschutz unterrichten (damit er erkennt, was alles dahintersteckt)
  2. Entscheidung des Verantwortlichen, wie und wo das Datenschutz-Managementsystem geführt wird, also die Dokumentation (falls es das noch nicht gibt, bzw. alles irgendwo verteilt vorgehalten wird)
  3. Datenschutz-Organisation festlegen (Team)
  4. Vorlagen, Muster, Anleitungen beschaffen oder selbst erstellen
  5. Bestandsaufnahme, GAP-Analyse, Maßnahmenplan erstellen
  6. Umsetzungs-Maßnahmen mit Verantwortlichem priorisieren
  7. Nächste Schritte!

Ach ja – noch was:

 

Wenn Sie kein/e Jurist/in sind, dann sollten Sie es unbedingt lassen, rechtlich relevante Aussagen zu treffen oder Dokumente mit rechtlicher Wirkung (z.B. Verpflichtungs-Erklärungen, Richtlinien mit Sanktions-Wirkung, Auftrags-Verarbeitungs-Verträge etc.) ohne fachliche juristische Überprüfung/Freigabe zu nutzen.

 

Reine Umsetzungs-Dokumente können Sie frei gestalten, es ist aber ratsam, sich dabei an die bekannten Anforderungen und Orientierungs-Hilfen der Aufsichtsbehörden, der DSK oder des EDSA zu halten.

 

 Foto: CanvaPro (www.canva.com)