Egal ob Startup, KMU oder Konzern, am Anfang vieler Prozesse steht eine Bestandsaufnahme. Auch im Bereich Datenschutz und Datensicherheit muss zunächst der tatsächliche Status Quo betrieblicher Prozesse festgestellt werden, anders gesagt: Welche rechtlichen Anforderungen gibt es und wo stehen wir? Die Lücke zwischen beiden identifiziert man mit einer Fit-Gap Analyse.
1. Es geht los mit einer Bestandsaufnahme, um heraus zu finden, wie Ihr Unternehmen im Datenschutz (Datensicherheit nicht vergessen!) aufgestellt ist & welche Aufgaben Sie bis Mai 2018 erledigen müssen. Meistens handelt es sich hierbei um Interviews mit allen Ansprechpartnern, z.B. Abteilungsleitern oder C-Levels (im Falle von Startups, deren Organisation noch übersichtlich ist)
2. Nun werden alle Feststellungen analysiert und ausgewertet, um einen Berichtmit den wichtigsten Maßnahmen zu erstellen (alternativ lassen Sie diesen erstellen). Denken Sie immer daran: Dokumentation ist im Datenschutz-Management das A und O und damit Kernelement der Fit-Gap Analyse.
3. Bevor Sie sich an die Umsetzung der identifizierten Maßnahmen machen, sprechen Sie mit dem Management. Wer ist überhaupt für die Umsetzung welcher Maßnahmen verantwortlich? Führen Sie eine Übersichtsliste oder Roadmap der wichtigsten ToDo’s. Verantwortlichkeiten und Fristen nicht vergessen!
4. Dann geht es endlich an die Umsetzung! Aktualisieren Sie die Verzeichnisse von Verarbeitungstätigkeiten und Datenschutzerklärungen auf der Website, prüfen Sie Einwilligungen, Auftragsverarbeitungen und planen Sie Schwachstellenanalysen- und Systemtests. Datenschutzschulungen dürfen nicht fehlen, um von Anfang an die nötige „Awareness“ für den neuen EU-Datenschutz zu schaffen. Und: Überprüfen Sie den Fortschritt der Umsetzung, zu Beginn am besten wöchentlich, idealerweise in Projektbesprechungen! Die Devise lautet: Am Ball bleiben!!
5. Doch: Es geht nicht darum, von heute auf morgen die Datenschutzkultur im Unternehmen grundlegend umzukrempeln. Nicht umsonst führt auch die DSGVO endlich fortlaufende und risikobasierte Prüfprozesse ein (PDCA). Risiken identifizieren. Risiken dokumentieren. Maßnahmen einleiten. Schritt für Schritt besser werden.