Betrifft der Datenschutz alle meine Geschäftsprozesse? Inwieweit gibt es Verarbeitungen, die nicht bekannt sind? Wie sollten sich die Beschäftigten an die zugewiesene Arbeit halten?

Auch hierzu gibt es Antworten. Es sind nur jene Geschäftsprozesse betroffen, bei denen personenbezogene Daten verarbeitet werden. Diese werden dahingehend auf den Prüfstand gestellt, ob die personenbezogenen Daten überhaupt benötigt werden bzw.  wird mit einem Rollen- und Berechtigungskonzept der Zugriff auf die personenbezogenen Daten nach dem Need-to-know-Prinzip angepasst. Hierbei können auch bestimmte Verarbeitungen, die durchgeführt wurden und Ihnen bis dahin unbekannt waren, auftauchen.

Alle weiteren organisatorischen Maßnahmen werden in Arbeitsanweisungen oder Datenschutzrichtlinien dokumentiert und somit die Sicherheit der Verarbeitung nach Art. 32 DSGVO gewährleistet. Werden durch ein Sicherheitskonzept auf der Basis von BSI-Grundschutz oder anhand des SDM organisatorische Maßnahmen festgestellt, können diese in einem realisierungsbegleitendem Maßnahmenplan abgearbeitet und in einem PDCA-Zyklus neu betrachtet sowie kontinuierlich verbessert werden.

Zu den organisatorischen Datenschutzmaßnahmen gehört ganz wesentlich die Sensibilisierung Ihrer Mitarbeiter für das Thema Datenschutz und IT-Sicherheit sowie eine entsprechende Schulung. Wir entwickeln mit Ihnen ein angepasstes Schulungskonzept, zeigen Ihnen verschiedene Schulungsmöglichkeiten auf und führen auf Wunsch auch die Schulungen durch.

Eine weitere organisatorische Maßnahme ist die schriftliche Verpflichtung der Mitarbeiter auf die Einhaltung des Datenschutzrechts und der internen Datenschutzrichtlinien samt einschlägiger Arbeitsanweisungen, z.B. zum Umgang mit E-Mail und Internet sowie eigenen IT-Geräten (BYOD).