Ich gehe bei der Erstellung eines Datenschutzmanagementsystems (DSM) immer in folgenden Schritten vor:
- Prüfen der Website und social Media Accounts zum Datenschutz
- Bestellpflicht des DSB prüfen > dann ggf bestellen und der zuständigen Aufsichtsbehörde melden
- Datenschutzorganisation erfassen (GF, DSB, Abteilungsleiter, …) und deren Zugriffsrechte auf personenbezogene Daten prüfen
- Verzeichnis der Verarbeitungstätigkeiten erstellen und bei der Erstellung prüfen, ob Auftragsverarbeiter vorliegen oder eine Datenschutz-Folgeabschätzung erforderlich ist (> entsprechende Aufgaben notieren)
- Datensicherheit per Checkliste prüfen (und Aufgaben zu Maßnahmen notieren)
- Löschkonzept erstellen > die Löschklasse ergeben sich aus den Datenarten im Verzeichnis der Verarbeitugstätigkeiten
- Richtlinien, Betriebsbanweisungen etc zu Datenschutz und Datensicherheit prüfen (> für anzupassende Dokumente eine Aufgabe erstellen)
- Betroffenenrechte umsetzen (Informationspflichten etc)
- Meldeprozess für Datenpannen erstellen
- Alles im Datenschutzkonzept zusammenfassen und vom Verantwortlichen (Geschäftsführer) absegen lassen
Fertig.
Fragen dazu?