Machen Sie Ihre Geschäftsprozesse DSGVO-konform

Dieses Angebot richtet sich an mittlere und größere mittelständische Unternehmen, die in ihren über die Jahre gewachsenen Geschäftsprozessen und Geschäftsanwendungen die Anforderungen der DSGVO erfüllen müssen. Der Umbau muss dabei im laufenden Geschäftsbetrieb und mit vertretbarem Aufwand erfolgen.

Die Motivation hierfür ist meist:

  • Hohe Bußgelder und Ärger mit den Datenschutz-Aufsichtsbehörden sollen vermieden werden.
  • Das Risiko negativer Presse oder Shit Storms wegen Datenschutzverstößen soll reduziert werden.
  • Bei Audits wurden Mängel festgestellt.
  • Das Unternehmen soll für Kunden und Mitarbeiter attraktiver werden, da sie darauf vertrauen können, dass ihre Daten ordnungsgemäß verarbeitet werden.

Was unterscheidet mein Angebot von dem Angebot externer Datenschutzbeauftragter?

Ein Datenschutzbeauftragter hat die Aufgabe den Verantwortlichen bei der Einhaltung des Datenschutzes beratend zur Seite zu stehen und die Einhaltung zu überprüfen.

Ich helfe Ihnen, die Vorgaben des Datenschutzes in die betriebliche Praxis umzusetzen.

Dabei wäre es falsch, nur auf die Datenschutz-Anforderungen zu schauen und diese abzuarbeiten. Die Ziele und Anforderungen der Fachbereiche und die Rahmenbedingungen der IT gelten weiter und müssen mit beachtet werden. Es gilt immer abzuwägen und pragmatische Lösungen zu entwickeln, denn der laufende Geschäftsbetrieb soll nicht gestört werden. Dafür sind Übersicht und ein Blick über den Tellerrand gefordert. Manchmal ist mit wenigen geschickten Anpassungen viel zu erreichen. Manchmal ist es besser, Prozesse komplett neu zu entwerfen, statt sie aufwändig und kompliziert zu „verbiegen“.

Die Hürden

Neue Geschäftsprozesse auf der „grünen Wiese“ DSGVO-konform zu gestalten, ist verhältnismäßig einfach. Um gewachsene Prozess- und IT-Landschaften datenschutzkonform umzubauen, sind einige Hürden mehr zu nehmen:

Fehlende Übersicht

Wenn Geschäftsprozesse im laufenden Geschäftsbetrieb umgebaut werden, ist Klarheit über die personenbezogenen Daten, die Prozesse und die eingesetzten IT-Lösungen erfolgsentscheidend. Bei gewachsenen Prozess- und IT-Landschaften ist dies nicht einfach. Das Wissen über Zusammenhänge ist auf viele Köpfe verteilt, teilweise sogar nicht mehr im Unternehmen zugänglich.

Komplexe Projekte

Nachträglich eine datenschutzkonforme Verarbeitung personenbezogener Daten zu erreichen, kann zu sehr komplexen Projekten führen. Unterschiedliche Fachbereiche und unterschiedliche IT-Teams und IT-Dienstleister müssen neu bei einem Thema zusammenarbeiten, mit dem sie sich bisher wenig befasst haben.

Viele Beteiligte

Um mit vertretbarem Aufwand gute Ergebnisse zu erzielen, sind pragmatische Lösungen gefordert. Damit Fachbereiche und IT-Abteilung sich gut mit beratenden Experten wie z.B. dem Datenschutzbeauftragten, IT-Security-Spezialisten oder Juristen abstimmen, müssen die Sachverhalte klar, verständlich und präzise auf den Punkt gebracht werden. Bestehende Dokumentationen können dies oft nicht leisten. Missverständnisse drohen teuer zu werden.

Unsicherheit

Datenschutz ist ein lästiges Thema, vor dem sich viele Mitarbeiter drücken möchten. Nicht selten haben sie Angst, Fehler zu machen. Es müssen Menschen im Projekt zusammenarbeiten, die sonst wenig miteinander zu tun haben. Transparenz, Klarheit, Offenheit und Geduld sind erforderlich, damit gemeinsam im Team die richtigen Entscheidungen getroffen werden.

Was muss getan werden, um Geschäftsprozesse DSGVO-konform zu machen?

Bestandsaufnahme und Priorisierung

Die Gefahr sich zu Verzetteln ist in solchen Projekten groß. Am Anfang steht unbedingt eine Bestandsaufnahme:

  • Welche personenbezogenen Daten sind besonders kritisch?
  • Welche sind die wichtigsten Prozesse, in denen diese Daten verarbeitet werden?
  • In welchen Kern-Systemen werden die Daten verarbeitet?
  • Ist eine datenschutzkonforme Verarbeitung in diesen Systemen überhaupt möglich?

Ausgehend von dieser Übersicht können Ziele festgelegt und priorisiert werden.

Überprüfen der Verarbeitungen

Die Verarbeitung der personenbezogenen Daten ist auf die Einhaltung elementarer Grundsätze zu überprüfen. Bei Bedarf sind Experten wie Datenschutzbeauftragte, Datenschutz-Auditoren, Juristen oder IT-Security-Spezialisten hinzuzuziehen.

  • Rechtmäßigkeit: Für welchen Zweck werden die Daten verarbeitet und welche Rechtsgrundlagen werden geltend gemacht?
  • Zweckgebundenheit: Werden die Daten ausschließlich zu diesen Zwecken verwendet?
  • Datensparsamkeit: Sind wirklich alle erfassten Daten für diese Zwecke erforderlich? Oder werden auch Daten erfasst, die eigentlich nicht gebraucht werden?
  • Löschen der Daten nach Zweckerfüllung: Werden die Daten gelöscht, sobald deren Zweck erfüllt ist? Sind die Daten so klassifiziert und identfizierbar, dass sie nach individuellen Fristen gelöscht werden können?
  • Speichersysteme und Sicherheit: Werden die Daten in geeigneten IT-Systemen gespeichert? Sind sie dort ausreichend gegen Missbrauch geschützt? Können sie dort ordnungsgemäß verarbeitet, insbesondere auch wieder gelöscht werden?

Verlässliche Bewertungen erfordern verständliche und präzise Kommunikation über Prozesse und Geschäftsanwendungen. Zu oberflächliche Betrachtungen oder ein Verlieren in Details führt zu Fehlern.

Umbau von Geschäftsprozessen und IT-Lösungen

Der Aufwand, Prozesse so umzubauen, dass sie die Datenschutz-Anforderungen erfüllen, kann sehr unterschiedlich ausfallen. Datensparsamkeit lässt sich oft schnell verbessern. Ebenso das Einschränken von Zugriffsberechtigungen. Müssen ganze IT-Lösungen umgebaut oder sogar ersetzt werden, dann kann dies jedoch Monate in Anspruch nehmen.

Das Ziel sollte immer sein, pragmatische Lösungen zu finden, welche die Anforderungen ausreichend gut erfüllen. Die Komplexität darf nicht unnötig erhöht werden. Perfektionismus kann langfristig sehr teuer werden. Vorschnelle, nicht ausreichend durchdachte Lösungen allerdings auch.

Daten löschen

Personenbezogene Daten müssen gelöscht werden, sobald der Zweck erfüllt ist, für den sie verarbeitet wurden! Viele Unternehmen haben hier noch große Baustellen. Die bestehenden Geschäftsprozesse sehen ein Löschen nicht vor.

In Löschkonzepten werden die individuellen Löschfristen festgelegt und auch schon Vorgaben für die technische Umsetzung gemacht.

Konzepte alleine reichen aber nicht. Um Daten wirklich zu löschen, müssen nicht selten Geschäftsanwendungen aufwändig erweitert oder umgebaut werden. Manchmal müssen große Datenbestände neu organisiert, klassifiziert oder in neue IT-Lösungen migriert werden.

Dokumentation

Um der Rechenschaftspflicht nachzukommen, müssen die getroffenen Maßnahmen dokumentiert sein. Zusätzlich müssen Prozesse etabliert werden, die sicherstellen, dass die eingeführten Verfahren korrekt laufen, regelmäßig überprüft und an neue Rahmenbedingungen angepasst werden.

Welchen Nutzen kann ich Ihren Projekten bringen?

Schneller Überblick

Ich arbeite mich sehr schnell in komplexe Prozess- und IT-Landschaften ein. Als Außenstehender stelle ich die Fragen, die intern gerne übersehen werden. Das Spezial-Know-how der Einzelnen ordne ich in ein Gesamtbild ein und zeige die Zusammenhänge. Die Zusammenarbeit wird effizienter, es werden weniger Fehler gemacht.

Komplexität reduzieren

Ich bin sehr gut darin, komplexe Zusammenhänge verständlich und transparent zu vermitteln. Darin habe ich jahrelange Erfahrung. Ich erreiche es, dass ihre Teams und teure externe Experten weniger aneinander vorbeireden, Sachverhalte schneller und besser bewerten und sicherer Entscheidungen treffen können.

Fäden zusammenhalten

Ich verstehe und spreche die Sprache der Datenschützer, der Prozessverantwortlichen und der IT-Spezialisten. So kann ich für eine klare und präzise Kommunikation zwischen den Gruppen sorgen. Vorschnelle Einigkeit, weil Wichtiges nicht beachtet wurde, oder ein Verlieren in Details wird vermieden.

Sicherheit ins Team bringen

Datenschutz ist in den meisten Unternehmen ein unbeliebtes Thema. Mitarbeiter haben oft Angst, Fehler zu machen. Mit meiner praktischen Erfahrung aus Datenschutz-Projekten kann ich den Teams Sicherheit geben und schneller zu Ergebnissen führen.

Schnellere Ergebnisse

Die Hürden Geschäftsprozesse DSGVO-konform zu machen, hängen kaum von der Branche ab. Lösungskonzepte können oft übertragen oder zumindest als Ansatz für neue Lösungswege genutzt werden. Nutzen Sie meine mehr als 5 Jahre Projekterfahrung in diesem Bereich.

Mein Angebot

Meinen Einsatz richte ich grundsätzlich nach Ihren individuellen Erfordernissen und Ihrer individuellen Situation. Dies reicht von rein beratender Begleitung und Coaching der Teams bis zur Übernahme von Aufgaben im Projekt.

Ich unterstütze Sie bei diesen Aufgaben:

Analyse

  • Bestandsaufnahme
  • Prozessanalyse
  • Analyse von IT-Landschaften
  • Daten- und Schnittstellenanalyse
  • Komplexitätsreduktion und Visualisierung

Lösungsentwurf

  • Löschkonzepte
  • Prozessdesign
  • Konzeption und Spezifikation von Programmen und Anpassungen
  • Migrationsplanung

Umsetzung

  • Projektplanung/ProjektleitungBegleitung und Steuerung der Software-Entwicklung
  • Test und Abnahme
  • Migrationssteuerung
  • Datenbereinigung

Kommunikation/Dokumentation

  • Moderation von Workshops
  • Übersetzer zwischen Datenschutz, Fachbereichen und IT-Spezialisten
  • Zuarbeit für Auditoren oder Prüfer
  • Dokumentation von Maßnahmen

Was ich nicht anbiete:

  • Juristische Beratung
    (zu Datenschutzfragen, Aufbewahrungspflichten, Verträgen, Erklärungen usw.)
  • Datenschutz-Audits, Erstellen von Testaten
  • IT-Security-Beratung
  • Software-Entwicklung

Wenn Sie Bedarf an solchen Dienstleistungen haben, kann ich gerne Kontakt zu kompetenten Personen aus meinem Netzwerk herstellen.