Datenschutz-Jahresplan

Vielleicht erkennen Sie sich und Ihr Unternehmen wieder: Sie haben (vielleicht bereits 2018) gemeinsam mit dem Datenschutzbeauftragten „alles“ erledigt: Risiken identifiziert, Maßnahmen bestimmt, Richtlinien erlassen, Mitarbeiter geschult, Verträge mit externen Dienstleistern getroffen und all das sauber dokumentiert. Nun verstaubt der dicke Leitz-Ordner im Aktenschrank und wartet darauf, möglichst nie wieder hervorgeholt zu werden. Wäre da nicht die DSGVO und die Anforderung, stets mit der Zeit zu gehen und auf Veränderungen flexibel zu reagieren. Egal ob neue Gesetze, die Einführung einer neuen Software oder Entwicklungen der IT-Sicherheit - eine stetige Verbesserung und Optimierung ist aufgrund der rechtlichen Vorgaben sowie der digitalen Entwicklung für die Einhaltung der DSGVO unerlässlich.

Unsere Checkliste Datenschutz-Jahresplan hilft dir dabei, dein Datenschutz-Jahr besser zu strukturieren. 

Checkliste herunterladen

Ein Plan für das ganze Jahr

Doch wie genau geht man das Thema nun an? Ordner rausholen und darin hin und her blättern funktioniert natürlich nicht. Ich halte es auch für unrealistisch (zumindest habe ich es in der Praxis nie so erlebt), dass das Thema Datenschutz „in einem Rutsch“ behandelt wird. Daher habe ich einen kleinen Datenschutz-Jahresplans entwickelt. Ich habe zwölf Themen identifiziert, die jedes Jahr angegangen werden sollten. So kann man sich jeden Monat mit einem Themenschwerpunkt beschäftigen. Diese Liste ist sicherlich nicht abschließend, verhilft dem Datenschutzmanagement jedoch zu einer klaren Struktur. Die Liste kann gerne erweitert werden, auch die Reihenfolge ist (weitgehendstes) irrelevant. 

Der Datenschutz-Jahresplan auf einen Blick

  • Relevante Gesetzesänderungen
  • Relevante Entwicklungen in der Rechtssprechung und bei Aufsichtsbehörden
  • Neue Entwicklungen zum Stand der Technik
  • Neue Bedrohungen der IT-Sicherheit
  • Aktualisierung Technischer und organisatorischer Maßnahmen
  • Aktualisierung und Kontrolle externer Dienstleister
  • Aktualisierung des Verzeichnisses von Verarbeitungstätigkeiten
  • Aktualisierung der Datenschutzinformationen
  • Betroffenenanfragen und Datenschutzpannen
  • Schulung und Sensibilisierung von Mitarbeitern
  • Löschung / Vernichtung von Daten
  • Interne Stichprobenkontrollen / Audits

Thema 1

Relevante Gesetzesänderungen

Gab es im letzten Jahr wichtige Gesetzesänderungen, die Auswirkungen auf den Datenschutz hatten? Welche Änderungen kommen in den kommenden Monaten auf unser Unternehmen zu?

Beispiele

  • TTDSG
  • Angemessenheitsbeschluss für Großbritannien

Thema 2

Relevante Entwicklung in Rechtsprechung und bei Aufsichtsbehörden

Gab es im letzten Jahr relevante Rechtssprechungen zum Thema Datenschutz? In wieweit betreffen diese unser Unternehmen? Haben sich die Aufsichtsbehörden zu für uns relevanten Themen geäußert?

Beispiele

  • EUGH-Urteil zum Privacy-Shield
  • Konkretisierungen zu Anforderungen an eine Einwilligung
  • Urteil zum Auskunftsanspruch bei Betroffenenanfragen

 

Tipp

Thema 3

Neue Entwicklungen zum Stand der Technik

Gibt es Änderungen zum Stand der Technik? Müssen technische und organisatorische Maßnahmen im Unternehmen angepasst werden?

Beispiele

  • Verschlüsselung von Daten
  • Sichere Kennwörter

 

Tipp

Thema 4

Neue Bedrohungen der IT-Sicherheit

Gibt es neue Bedrohungen für die IT-Sicherheit? Muss dadurch das Sicherheitsniveau unseres Unternehmens angepasst werden? Müssen vielleicht Mitarbeiter explizit im Hinblick auf die neuen Bedrohungen geschult werden?

Beispiele

  • Neue Angriffe via Telefon (z.B. von Microsoft oder Lotteriebetrieben)

Thema 5

Aktualisierung und Kontrolle externer Dienstleister

Ist die Liste der Externen Dienstleister noch aktuell? Gibt es neue Dienstleister? Haben Sie zu allen Auftragsverarbeitern aktuelle Auftragsverarbeitungsverträge? Werden Dienstleister Kontrollen unterzogen?

Tipp

Laden Sie sich unsere Checkliste Kontrollfragen herunter und versenden diese an Ihre Dienstleister.

Thema 6

Neue Prozesse oder Anpassungen von Prozessen

Gibt es Veränderungen bei datenschutzrelevanten Prozessen? Werden neue Verarbeitungen eingeführt oder vorhandene aktualisiert?

Tipp

Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten.

Thema 7

Aktualisierung der Datenschutzinformationen

Sofern sich Änderungen den Verarbeitungstätigkeiten ergeben haben - sind die Datenschutzinformationen noch aktuell? Denken Sie dabei an unterschiedliche Informationen für die einzelnen Betroffenengruppen, beispielsweise Kunden, Beschäftige, Bewerber, Websitebesucher.

Beispiele

  • Neue Plugins auf der Website, welche personenbezogene Daten verarbeiten
  • Neue Dienstleister, an welche personenbezogene Daten weitergegeben werden

Thema 8

Aktualisierung Technischer und organisatorischer Maßnahmen

Gibt es Änderungen an technischen Systemen? Neue IT-Komponenten? Ist das Sicherheitsniveau dadurch betroffen und müssen neue Maßnahmen ergriffen werden? Denken Sie immer daran, dass Sie insbesondere als Auftragsverarbeiter ein gewisses Datenschutzniveau in Ihren Verträgen zugesichert haben.

Tipp

Prüfen Sie mit Hilfe unserer Checkliste Ihre Technischen und organisatorischen Maßnahmen auf Aktualität.

Thema 9

Betroffenenanfragen und Datenschutzpannen

Wissen Mitarbeiter, wie sie bei einer Datenschutzpanne oder einer Betroffenenanfrage reagieren müssen? Sind verantwortliche für die Prozesse definiert? Sind die Reaktionszeiten (bei einer Datenschutzpanne sind es nur 72 Stunden!) bekannt, welche sich aus der DSGVO ergeben?

Tipp

Erstellen Sie formalisierte Prozesse zu Betroffenenanfragen und Datenschutzpannen.

Thema 10

Schulung und Sensibilisierung von Mitarbeitern

Mitarbeiter sind regelmäßig (i.d.R. jährlich) im Umgang mit personenbezogenen Daten zu schulen. Ist für dieses Jahr bereits eine Mitarbeiterschulung geplant? Wurden insbesondere alle neuen Mitarbeiter sensibilisiert? Wurden bei den Schulungen aktuelle Themen (z.B. Phishing / Malware / Social Engineering) berücksichtigt?

Tipp

Schulen Sie Ihre Beschäftigten mit Hilfe von E-Learnings. Das spart am Ende viel Organisationsaufwand, Zeit und Geld. Und Sie erhalten direkt einen Nachweis für Ihre Dokumentation. Wir bieten passende Onlinekurse zu den Themen Datenschutz und IT-Sicherheit an.

Thema 11

Löschung / Vernichtung

Wurden Daten bereits hinsichtlich der Aufbewahrungsfristen definiert? Welche Daten werden nicht mehr benötigt? Wann werden diese gelöscht? Wie ist die sichere Löschung/Vernichtung sichergestellt?

Tipp

Erstellen Sie mit Hilfe unserer Liste Aufbewahrungsfristen ein Löschkonzept und planen Sie eine Dateninventur mindestens ein mal pro Jahr. Mehr Informationen zum Thema Aufbewahrungsfristen finden Sie hier: Aufbewahrungsfristen und Löschfristen

Thema 12

Interne Stichprobenkontrollen / Audits

Haben Sie überprüft, ob sich Ihre Beschäftigen an alle Vorgaben halten? Werden Dokumente sicher entsorgt, der Bildschirm gesperrt und Büros oder Schränke abgeschlossen?

Tipp

Führen Sie stichprobenartige Kontrollen durch und dokumentieren diese. Lassen Sie die Erkenntnisse (wenn möglich ohne persönliche Schuldzuweisungen) in die nächste Mitarbeiterschulung einfließen


Unsere Checkliste Datenschutz-Jahresplan hilft dir dabei, dein Datenschutz-Jahr besser zu strukturieren. 

Checkliste herunterladen
Inhalt wird geladen ...