Datenschutz-Managementsystem (DSMS)

zuletzt aktualisiert am: 17. Mai 2023

Was ist eigentlich ein Datenschutzmanagementsystem (DSMS) und wozu brauche ich das?

Das DSMS (Datenschutzmanagementsystem) ist keine Software, sondern eine Art und Weise, dafür zu sorgen, dass man den Datenschutz strukturiert „managt“. Die DIN EN ISO 9000:2015 definiert ein Managementsystem als einen „Satz zusammenhängender oder sich gegenseitig beeinflussender Elemente einer Organisation, um Politiken (policies), Ziele und Prozesse zum Erreichen dieser Ziele festzulegen.“

Größere Unternehmen lassen sich gern ISO-zertifizieren und kennen von daher z.B. das Qualitätsmanagementsystem oder Informationssicherheitssystem. Beide hängen im Übrigen eng mit dem Datenschutz zusammen. Das DSMS kann man noch nicht zertifizieren lassen. Aber man kann es trotzdem implementieren und leben. Für kleine Unternehmen und Vereine reicht dafür im Grunde eine Sammlung von Dokumenten und festgelegten Verhaltensweisen, die man regelmäßig überprüfen muss. Das macht man idealerweise über einen PDCA-Zyklus. PDCA = Plan-Do-Check-Act, dazu später mehr.

Das DSMS enthält Regelungen, Prozesse und Maßnahmen zum DSGVO-konformen Umgang mit personenbezogenen Daten. Umrahmt wird das Ganze von einer allgemeinen Richtlinie. Idealerweise verbindet man das Ganze mit regelmäßigen Audits (Auch die kann man als Verein/ kleines Unternehmen selbst durchführen!)

Notwendigkeit eines Datenschutzmanagementsystem

Die Notwendigkeit eines Datenschutzmanagementsystem ergibt sich aus der DSGVO selbst.

Artikel 5 (2) DSGVO:
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 30 (3, 4) DSGVO:
(3) Das (…) genannte Verzeichnis (von Verarbeitungstätigkeiten) ist schriftlich zu führen (…).
(4) Der Verantwortliche (…) (stellt) der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

Artikel 32 DSGVO:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

(…)
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Artikel 35 DSGVO:
Hat eine Form der Verarbeitung, (…) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Diese Liste ist natürlich nicht vollständig, reicht aber aus, um die Notwendigkeit eines DSMS zu verdeutlichen.

(An dieser Stelle noch einmal der Hinweis, dass die DSGVO im Art. 83 Bußgelder bis zu 20 Mio € bzw. 4% des weltweiten Vorjahresumsatzes vorsieht, wenn man seinen Pflichten als Verantwortlicher nicht nachkommt. Verstöße gegen die Nachweispflicht liegen dabei im höheren Bußgeldbereich.)

Ziele des Datenschutzmanagementsystems

Das primäre Ziel eines Datenschutzmanagementsystem ist zunächst einmal, der Rechenschaftspflicht nachzukommen. Man beweist also, dass man alles richtig macht. Gleichzeitig verfolgt man damit natürlich auch Aspekte der Kundenorientierung, der Verbesserung sowie des prozessorientierten Ansatz und die faktengestützte Entscheidungsfindung. (Das sind alles Themen aus dem Qualitätsmanagement, was die Nähe der beiden Themen verdeutlicht.)

Rechenschaftspflicht

Im Grunde kann man sich das DSMS wie eine Reihe Zahnräder vorstellen, die alle ineinander greifen. Dreh- und Angelpunkt ist die Rechenschaftspflicht, gemäß Artikel 5 DSGVO. Der Verantwortliche muss jederzeit nachweisen können, dass er sich an die Prinzipien der Verarbeitung personenbezogener Daten hält.

Hier noch einmal zur Erinnerung die Prinzipien der Verarbeitung personenbezogener Daten gemäß Artikel 5 DSGVO:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung (dem Zweck angemessen und auf das notwendige Maß beschränkt)
  • Richtigkeit
  • Speicherbegrenzung (nur so lange wie nötig)
  • Integrität und Vertraulichkeit (angemessene Sicherheit gewährleistet)

Nachweise über die Einhaltung der Prinzipien sind, wie eingangs genannt, das Verzeichnis der Verarbeitungstätigkeiten (VVT), Vereinbarungen zur Auftragsverarbeitung, die Datenschutzfolgeabschätzung (DSFA oder auch PIA) sowie Technisch Organisatorische Maßnahmen (TOMs).

Datenschutzorganisation

Datenschutz soll aber im Verein und Unternehmen nicht nur „pro forma“ dargestellt sein („Wir haben eine Datenschutzerklärung auf der Website, das reicht doch!“), sondern im Geschäftsprozess integriert und gelebt werden. Dabei hilft das Datenschutzmanagementsystem. Es gibt den Mitarbeitern und Vereinsmitgliedern klare Vorgaben, regelt Verantwortlichkeiten und schafft so auch im Alltag Sicherheit. Schon das Verzeichnis der Verarbeitungstätigkeiten (Verfahrensverzeichnis) hilft Ihnen, eventuelle Datenschutzverstöße zu erkennen und frühzeitig abzustellen.

Nicht zuletzt ist das Datenschutzmanagementsystem ein Qualitätsmerkmal, das nach außen für Vertrauen sorgt und zugleich eine systematische Weiterentwicklung der Organisation unterstützt.

So weit, so gut. Wir wissen jetzt also, was ein Datenschutzmanagementsystem ist und welches Ziel damit verfolgt wird. Bleibt nur noch die Frage:

Wie erstelle ich mein eigenes Datenschutzmanagementsystem?

Es gibt mittlerweile eine Vielzahl an DSMS-Software-Lösungen in den unterschiedlichsten Preiskategorien. Wer sich eine solche Softwarelösung leistet, braucht vermutlich gar nicht weiterlesen. Es sogar gibt einige online-Lösungen, die relativ günstig sind. Vorteil: Sie enthalten schon relativ viele Basisdokumente. Nachteil: Sie kosten Geld und sind meist nicht wirklich individuell. Und vor allem: Nur weil ich die notwendigen Dokumente habe, bedeutet es noch lange nicht, das das Managementsystem gelebt wird.

Denjenigen, die mit wenig – bis gar keinem – Budget haushalten, stelle ich hier Lösungen vor, die sie ohne Zusatzkosten mit einfachsten Mitteln umsetzen können. Das sieht vielleicht nicht so „fancy“ aus, aber tut seinen Dienst. Sie brauchen im Grunde nichts weiter als Ihren PC, einen eigenen Ordner, den Sie „DSMS“ (oder wie auch immer) nennen und ein Office-Programm-Paket (egal ob von Microsoft, Apple oder wem auch immer). Word, Excel, Powerpoint und deren Äquivalente reichen völlig aus.

Wie gehen Sie also vor?

Schritt 1: Bestandsaufnahme und Strukturen festlegen (Plan)

Meist gibt es im Verein oder Unternehmen schon viele entsprechende Strukturen. Dann müssen Sie das Rad nicht neu erfinden. Dann geht es eigentlich nur noch darum, vorhandene Strukturen klar darzustellen.

Datenschutz ist zwar Chefsache, aber trotzdem ein Teamsport. Setzen Sie sich mit Ihren Kollegen, leitenden Angestellten oder Vorstandsmitgliedern zusammen und sammeln Sie erst einmal. (Dazu benötigen Sie noch nicht einmal einen Rechner. Papier und Stift reichen völlig aus.) Lassen Sie sich gerne auch von Ihrem Datenschutzbeauftragten beraten, falls Sie einen haben.

Sammeln Sie:

  • Welche Geschäftsprozesse/ Datenverarbeitungen/ Tätigkeiten gibt es?
    (Beispiel: Mitgliederverwaltung, Trainingsplanung, Pressearbeit…)
  • Bei welchen Tätigkeiten werden personenbezogenen Daten (auch Bilder) verarbeitet?
  • Wer trägt welche Verantwortungen im Bezug zur Verarbeitung personenbezogener Daten?
    (Bsp: Marketingleitung/ Pressestelle verarbeitet Newsletter-Adressen, Trainer verarbeitet Spielerdaten,…)
  • Welche Regelungen gibt es schon – auch, wenn Sie vielleicht noch nicht an die DSGVO angepasst wurden?
    (Mitarbeiterverpflichtung auf das Datengeheimnis, Einwilligungsformulare für Fotofreigaben, IT-Richtlinie, …)
  • Welche technischen Voraussetzungen gibt es?
    (Schließsysteme, geschützte E-Mails, Datenvernichtung, …)
  • Gibt es schon ein Unternehmensleitbild? Gibt es ein Organigramm?
  • Welche Anforderungen gibt es seitens Kunden, Dienstleistern, Sponsoren, Mitgliedern, Fans? Wie verhalten sie sich? Wo gibt es Schnittstellen?
  • Welche Kooperationen/ Out-Sourcings gibt es?
  • Gibt es schon Einwilligungsformulare und Informationsmaterial für Betroffene?
  • ….

Dann überlegen Sie weiter:

  • Halten Sie die Grundsätze der Datenverarbeitung ein? #Rechenschaftspflicht #Datensparsamkeit #PrivacyByDesign/ PrivacyByDefault etc.
  • Welche Risiken sind Ihnen schon bekannt? (Denken Sie dabei vor allem an die Risiken für die Betroffenen)
  • Welche Ziele setzen Sie sich?
  • Wie können Sie Ihre Bemühungen dokumentieren?

Geschafft? Prima. Im Grunde haben Sie Ihr erstes Datenschutz-Audit durchgeführt. Gratulation. Jetzt dürfen Sie erstmal durchatmen.

Anschließend geht es weiter mit:

Schritt 2: das Gerüst bauen, mit Inhalten füllen (Plan) und in die Tat umsetzen (Do)

Überlegen Sie weiter: Wohin wollen Sie gehen? Wie soll sich Ihr Unternehmen/ Ihr Verein darstellen? Und vor allem: Welche dringenden To-Do’s haben Sie identifiziert?

Datenschutz ist eine Führungsaufgabe. Vorstände und Chefs gehen also mit gutem Beispiel voran. Erstellen Sie in Ihrem Ordner DSMS einen Unterordner „Führung“.

Richtlinien

Falls Sie noch keines haben, formulieren Sie ein Unternehmensleitbild und machen Sie den Datenschutz zu einem zentralen Bestandteil. Falls Sie schon ein Leitbild haben, ergänzen Sie zu den Zielsetzungen des Unternehmens auch den Datenschutz (#Selbstverpflichtung). Dieses Leitbild speichern Sie in Ihrem „DSMS“-Ordner unter „Führung“ zum Beispiel in einem Unterordner „00-Richtlinien und Leitbild“. (DSMS > Führung > 00-Richtlinien und Leitbild)

Dort legen Sie auch alle weiteren übergeordneten Richtlinien und Vorgaben ab, wie z.B.:

  • Ihr Datenschutzkonzept,
  • Übersicht über Technische und Organisatorische Maßnahmen (TOMs)
  • den Prozess zur Meldung von Datenpannen (inkl. Meldebogen)
  • die IT-Richtlinien (inkl. Back-up-Richtlinie, Passwortrichtlinie, Nutzung von Internet/ E-Mail/ Social-Media/ privaten Geräten)
  • Datenschutzrichtlinien (inkl. Löschkonzept)
  • Richtlinien für Telearbeit
  • Richtlinie zum Umgang mit Bewerberdaten (insbes. Löschfristen)
  • Vertraulichkeitsverpflichtung samt Merkblatt
  • Kollektivvereinbarungen (falls vorhanden),
  • die Festlegungen der Verantwortlichkeiten (vielleicht auch Funktionsbeschreibungen)

Hier können Sie auch die Richtlinien zum Umgang mit den Betroffenenrechten (Auskunft, Löschung, Übertragung) ablegen – oder Sie entscheiden sich für einen eigenen Ordner. Gleiches gilt für den Mitarbeiterdatenschutz. Auch AGB, die Datenschutzerklärung und Vorgaben zu den Pflichten „privacy-by-design/ privacy-by-default“ könnten hier abgelegt werden.

Wichtig ist, dass Sie eventuelle Änderungen ein Jahr lang aufbewahren. (Dazu weiter unten mehr). Es empfiehlt sich also, in jedem Unterordner einen weiteren Unterordner „Archiv“ anzulegen und die Dateien mit Versionsnummern und/oder Datum (nach dem Prinzip JJJJ-MM-TT) zu versehen. Dort legen Sie die Dokumente ab, die nicht mehr gültig sind, aber noch aufbewahrt werden müssen, bis sie gelöscht werden können.

Dokumente

Als nächstes legen Sie im DSMS-Ordner Ihr Verfahrensverzeichnis an, zum Beispiel als Ordner „VVT“ (Verzeichnis für Verarbeitungstätigkeiten), unter dem Sie alle Dokumente sammeln, die Verfahren/ Prozesse beschreiben. (DSMS > Führung > 10-VVT)

Dann benötigen Sie noch einen Ordner für Ihre Auftragsverarbeitungen, z.B. „11-AVV“. Hier kann es sein, dass Sie unterscheiden müssen, zwischen Auftragsverarbeitungsvereinbarungen bei denen Sie Verantwortlicher sind und denen, bei denen Sie der Auftragsverarbeiter (Dienstleister) sind.

Wenn Sie die Datenschutzfolgeabschätzung nicht in Ihrem VVT integriert haben, können Sie hierfür ebenfalls einen Ordner anlegen („12-DSFA“)

Im nächsten Nummernkreis sortieren Sie dann Vorgabedokumente, also Dokumente, die nicht verändert werden, bzw. bei Veränderung zu einem Nachweisdokument werden (z.B. Checklisten). Das können sein:

  • „Arbeitsanweisungen/ Verfahrensanweisungen für Ihre Mitarbeitenden
  • Checklisten/ Muster
  • Schulungsvorlagen

Da Sie Ihre Datenschutz-Anstrengungen jährlich überprüfen sollten (dazu unten mehr), darf in Ihrem DSMS-Ordner im Führungs-Ordner ein Unterordner zu „Audits“ und „Jahresberichten/ Reports“ nicht fehlen.

Auch ein Ordner zu „Vorfällen“ kann sinnvoll sein. Dort können Sie Beschwerden und tatsächliche Pannen ablegen.

Im Ordner „Betroffenenrechte“ ist Platz für Informationsblätter (Auskunftsrecht) und Formularvorlagen (Muster-Einwilligungen zur Nutzung von Mitarbeiterfotos).Wenn Sie eine andere Logik haben, folgen Sie selbstbewusst Ihrer Lösung. Schließlich müssen Sie sich zurecht finden.

Natürlich müssen Sie all diese Ordner noch mit tatsächlichen Inhalten füllen – das ist die eigentliche Herausforderung 😉

Achtung: Betroffenenrechte! (ein kleiner Einschub abseits des DSMS)

Für tatsächliche Betroffenenanfragen und die ausgefüllten Einwilligungserklärungen müssen Sie einen Speicherort finden, auf dem nur diejenigen Mitarbeitenden Zugriff haben, die auch das Recht dazu haben. Sie wissen schon… Datenschutz 😉 Gleiches gilt für Meldungen von Datenpannen. Für die Übersicht der Anfragen/ Pannenmeldungen reicht eine Excel-Tabelle.

Fertig

Sie sehen – gar nicht so schwer, auch ohne schickes Programm. Herzlichen Glückwunsch, Sie haben auch den 2. Schritt geschafft!

Vergeben Sie gegebenenfalls Leserechte an alle Nutzer, die informiert sein müssen (z.B. Mitarbeiter im Ordner Richtlinien und Schulungen) und Schreibrechte an alle, die die Dokumente bearbeiten sollen. Wenn Sie jetzt noch ein klares Berechtigungskonzept für die Zugriffe auf personenbezogenen Daten und ein Löschkonzept haben, ist der Datenschützer glücklich.

Aber was ist mit dem „gelebten Datenschutz“? Denken Sie daran, Nachweise zu erzeugen, die belegen, dass Sie sich an die rechtlichen Vorgaben halten. Wenn Ihnen Abweichungen auffallen, handeln Sie sofort.

Dann bleibt nur noch:

Schritt 3: die Überprüfung der Maßnahmen (Check)

PDCA – Plan-Do-Check-Act

Nach Artikel 24 (1) DSGVO empfiehlt sich der klassische PDCA-Zyklus.

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

PDCA, das steht, wie eingangs festgestellt, für Plan-Do-Check-Act. Die Planung (Plan) haben wir im Schritt 1 gemacht. Die Umsetzung (Do) erfolgte im Schritt 2. Beide Schritte haben vermutlich in Projektform stattgefunden, also in einer zeitlich begrenzten Aktion. Fehlt also jetzt noch die Überprüfung (Check) und das daraus resultierende Umsetzen der vermutlich notwendigen Änderungen (Act). Das können Sie in jährlichen „Audits“ tun – dann haben Sie direkt wieder einen schönen Nachweis.

Um die Wirksamkeit sinnvoll überprüfen zu können, eigenen sich verschiedene Kennzahlen (z.B. Anzahl der Betroffenenanfragen). Anhand deren können sie ggf. weiteren Handlungsbedarf ableitet.

Schön. Und nun?

Bewerten Sie sämtliche Maßnahmen hinsichtlich ihrer Wirksamkeit. Stellen Sie fest, dass gewählte Maßnahmen nicht den gewünschten Effekt haben, überlegen Sie, was man ändern kann. Sollten Sie einen Datenschutzbeauftragten haben, ist es seine Aufgabe, einen Soll-Ist-Vergleich durchzuführen und dies zu dokumentieren. Die Schritte 1 und 2 sind besonders für kleine Unternehmen und Vereine schwierig, da es schlicht an Ressourcen fehlt. Ich höre schon die Stimmen, die stöhnen: „Was für eine Arbeitsbeschaffungsmaßnahme!“ … und jetzt muss man das Ganze auch noch ständig wiederholen?!

Ja, Datenschutz ist aufwändig. Das sollte uns dieses hohe Gut unserer Freiheitsrechte eigentlich auch wert sein. Andernfalls hat der Gesetzgeber hohe Strafen vorgesehen – reine Motivation 😉

Aber: Wenn Sie den Datenschutz künftig leben, fallen Ihnen schnell immer wieder Punkte auf, die angepasst werden müssen. Also: Tun Sie’s! Wenn eien neuer Dienstleister hinzukommt, tragen Sie ihn direkt ins VVT und in die AVV-Liste ein. Ändern Sie Ihre Dokumente und speichern Sie sie unter einem neuen Namen ab, z.B. „Arbeitsanweisung E-Mail-Versand Version 2.1 2018-09-27“. Die alte Anweisung („Arbeitsanweisung E-Mail-Versand V2.0 2018-05-17“) legen Sie in den Ordner „Archiv“. Dort müssen Sie das Dokument bis Ende des Folgejahres zur Nachweiserfüllung aufbewahren (in diesem Fall also bis zum 31.12.2019).

Oder:

Sie sammeln Änderungswünsche im Team und besprechen diese beispielsweise alle 6 oder 12 Monate (Diese Verfahren eigenet sich besonders bei Arbeitsanweisungen, da Ihr Team am ehesten merkt, wenn die Anweisung nicht mit der Realität übereinstimmt). Dann nehmen Sie sich einmal im Jahr ein wenig Zeit und gehen alle unveränderten Dokumente im Datenschutzmanagementsystem durch. Stimmen noch alle Verfahren im VVT? Haben Sie alle Dienstleister in der AVV-Übersicht erfasst oder fehlen welche/ fallen welche weg? (Im Idealfall haben Sie eine Arbeitsanweisung, die vorsieht, Dienstleister automatisch auf die Liste zu setzen, sobald man einen Vertrag abschließt. Wenn nicht, ist jetzt der ideale Moment eine solche zu ergänzen.)

Passt noch alles? Super! Speichern Sie die Datei mit alter Versionsnummer und neuem Datum ab. Es sind Änderungen nötig? Dann ändern Sie die Dokumente (inklusive Versionsnummer und neuem Datum im Dateinamen)! Vergessen Sie nicht, bei Änderungen die Mitarbeiter zu informieren. Alternativ können Sie natürlich auch einen Versionsreport ins Dokument einfügen – also quasi ein Deckblatt, in dem erfasst wird, um welche Version es sich handelt, wann Sie von wem freigegeben wurde und welche Änderungen zur Vorgängerversion erfolgt sind…

Berichtswesen und Audits

Wie schon bei den Dokumenten angesprochen, gehören zur „Wirksamkeitsprüfung“ auch Berichte und Audits. Einfache Berichte können Sie „per Mausklick“ erstellen, indem Sie datenschutzrelevante Punkte in jeweils einer eigenen Excel-Datei sammeln und am Quartals-/ Jahresende auswerten. Solche Punkte sind beispielsweise:

  • Datenschutzverletzungen (Erfassen Sie alle Vorkommnisse inklusive Bewertung der Meldepflicht in einer Liste.)
  • Betroffenenanfragen (Erfassen Sie alle Anfragen von Betroffenen nach Auskunft, Löschung, Berichtigung… und deren Beantwortungszeit)
  • Datenschutzdokumente (Sammeln Sie tabellarisch alle Richtlinien, Verfahrensanweisungen, Handlungsempfehlungen mit Datum der Freigabe und Verteilergruppe)
  • Schulungen (Sammeln Sie welche Personengruppe welche Schulungen erhalten hat)
  • Audits (Halten Sie fest, welche Audits in welchem Bereich mit welchem Ergebnis durchgeführt wurden)

Haben Sie keine Angst vor dem Begriff „Audit“. Letztlich gibt es auch hier keine zwingenden Formvorgaben. Überprüfen Sie die wichtigsten Punkte in strukturierter Form (Excel-Datei) und dokumentieren Sie die Verbesserungen ;). Es kann sich hierbei auch um „Kurzaudits“ zu ganz konkreten (begrenzen) Themen handeln, beispielsweise der Meldung von Pannen oder der Umsetzung des Verarbeitungsverzeichnisses. Das kann auch ein interner Mitarbeitender erledigen, der jedoch von der Leitung unabhängig sein sollte.

und dann geht die Reise wieder von vorne los…

Nach dem „Check“ haben Sie höchstwahrscheinlich neuen Handlungsbedarf identifiziert. Diesen planen Sie und setzen die Maßnahmen um, überprüfen deren Wirksamkeit und fangen wieder an zu planen 😉

Fazit

Ich habe Ihnen ein einfaches Datenschutzmanagementsystem-Modell für kleine Firmen und Vereine vorgestellt. Am kompliziertesten und zeitaufwändigsten ist garantiert Schritt 2. Bis Sie alle Dokumente erstellt haben, vergeht (besonders in Vereinen, die mit Ehrenamtlichen arbeiten) viel Zeit. Konzentrieren Sie sich in diesem Fall auf die wichtigsten Dokumente VVT und AVV und arbeiten Sie sich dann Stück für Stück weiter durch. Verpflichten Sie Ihre Mitarbeiter auf die Einhaltung des Datenschutzes und schulen Sie sie regelmäßig. Passen Sie die Schulungen ggf. direkt an, wenn es Veränderungen gab. Durch eine regelmäßige Schulung der Mitarbeitenden schaffen Sie schnell ein Bewusstsein und erhalten so im Zweifel „Feedback von der Basis“. Nutzen Sie dies! Wenn Ihre Mitarbeiter wissen, worauf es zu achten gilt, können sie bereits Formularentwürfe erstellen, die Sie im Zweifel nur noch prüfen und freigeben müssen.

Netter Nebeneffekt eines Datenschutzmanagementsystem: Sie stellen Ihre Strukturen auf den Prüfstand und können auf diese Weise sogar noch effizienter werden oder die Arbeitsbelastung zu erhöhen. Eingefahrene Strukturen müssen ja nicht so bleiben, nur, weil sie schon immer so gewesen sind 😉

Übrigens: Mitarbeiterschulungen können Sie auch gern an mich out-sourcen 😉

Weiterführende Links:

Datenschutz-Organisation: GDD-Praxishilfe DS-GVO VIII (Unternehmensrichtlinie zur Datenschutz-Organisation)

passend dazu auch: GDD-Praxishilfe DS-GVO II (Verantwortlichkeiten und Aufgaben nach der Datenschutz-Grundverordnung)

Welche Vorteile Datenschutz für Sie als Unternehmen hat lesen Sie im Artikel: Datenschutz ist die Kür – und die Pflicht

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Bildquellen

  • DSMS: Pixabay - megan_rexazin