Organisatorische Maßnahmen

 

Schulungen, Leitlinien, Richtlinien und Co.

Organisatorische Maßnahmen ergänzen technische Maßnahmen, um die Sicherheit der Daten und ihrer Verarbeitung durch Richtlinien und Vorschriften zu gewährleisten. Dazu gehören üblicherweise Dokumente wie die Beschreibung von Verarbeitungstätigkeiten, Leitlinien, Anweisungen oder Erklärungen zur Einhaltung der datenschutzrechtlichen Vorgaben. Außerdem sind Datenschutzschulungen / Sensibilisierungen, Prozessanleitungen und Anwendungsschulungen für neue Software im Unternehmen oder Behörde sowie eine externe Datenschutzberatung Teil davon.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Jeder Verantwortliche und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten.

Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie
nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung. Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist. Die Summe der Einzelbeiträge ergibt das Verzeichnis von Verarbeitungstätigkeiten.

Das Verzeichnis von Verarbeitungstätigkeiten lässt sich auch sehr gut für für weitere Zwecke verwenden.

Dies können u.a. sein:

• für eine Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b DS-GVO
• für Zwecke der Rechenschafts- und Dokumentationspflicht, Art. 5 Abs. 2, Art. 24 DS-GVO
• als Nachweis der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 lit. a DS-GVO,
• als Nachweis der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO,
• als Nachweis der Richtigkeit und Aktualität der Daten nach Art. 5 Abs. 1 lit. d DS-GVO
• als geeignete Maßnahme zur Erfüllung der Betroffenenrechte nach Art. 12 Abs. 1 DS-GVO,
• zur Schaffung und als Nachweis geeigneter technischer und organisatorischer Maßnahmen
• nach Art. 24 Abs. 1 und Art. 32 DS-GVO,
• zur Prüfung, ob eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO erfolgen muss,
• als Basis für die Aufgabenerfüllung des Datenschutzbeauftragten nach Art. 39 DS-GVO.
•  

Datenschutzhandbuch

Ein Datenschutzhandbuch ist ein Dokument, das die wesentlichen Aspekte des Datenschutzes in einer Firma oder einer Institution erläutert. Es ist eine Orientierungshilfe für Angestellte und erklärt ihnen, wie sie personenbezogene Daten gemäß den geltenden Gesetzen und Regeln verarbeiten sollen.

• Nachfolgend ein paar Beispiele, welche Dokumente enthalten sein können:
• Anwendungsbereich
• Datenschutzkonzept
• Datenschutzschulungen und -sensibilisierungen
• Muster (z.B. Verpflichtung auf die Vertraulichkeit)
• Checklisten
• Anweisungen zum Umgang mit personenbezogenen Daten
• Löschkonzept inkl. Übersicht der Löschfristen
• Prozesse zum Umgang mit Betroffenenrechten