Unser DSMS

Unser Datenschutz-Management-System

Die Organisation des Datenschutzes liegt in der Verantwortung der Geschäftsleitung. Die DSGVO fordert ein Datenschutz-Management-System (DSMS), das in der eigenen Verantwortung des Unternehmens wirksam sein muss. Die für die Einführung eines DSMS relevanten Normen finden sich in verschiedenen Stellen der DSGVO wie Artt. 5 Abs. 2, 24, 30, 32, 35 und 37.

Was wäre der „Datenschutz“, wenn er nicht gelebt wird. Das Fundament eines jeden Datenschutz-Management-Systems sind Leitlinien und Regelungen zum Datenschutz und zur IT-Sicherheit. Davon abgeleitet werden Prozesse initiiert, Checklisten, Dokumente und Arbeitsanweisungen erstellt sowie die Dokumentation aufgebaut. Im Rahmen der Datenverarbeitung im Auftrag müssen zudem Datenschutzvereinbarungen geprüft und abgeschlossen werden. Mitarbeiter sind zu verpflichten und zu schulen. Dann sind die umzusetzenden Maßnahmen aus Datenschutzmängeln, die auf Grundlage von Begehungen, Audits und Analysen festgestellt wurden, umzusetzen und zu kontrollieren.

Das ist ein Auszug aus den Tätigkeiten des Datenschützers. Um dabei die Kontrolle zu behalten, haben wir uns eine Datenbank zur Verwaltung aller Informationen und Dokumente erstellt. Unser Zentrales-Datenschutz-Management System (kurz ZDM) setzen wir bei unseren Kunden ein, es kann aber auch von anderen Unternehmen oder externen Datenschutzbeauftragten beauftragt werden. Fragen Sie einfach nach.

Das Tool basiert auf einer SaaS-Lösung, die Daten befinden sich in Deutschland und Frankreich. Jeder Datensatz kann mit einem oder mehrere Dokumente verknüpft werden. So behalten wir den Überblick und haben alle Informationen und wichtigen Dokumente auf Knopfdruck parat. Mit unseren Kunden können wir die Daten teilen, sodass diese selbst Verfahren im Verzeichnis für Verarbeitungstätigkeiten zu erstellen bzw. zu aktualisieren. Mit jedem Verfahren ist eine Schutzbedarfsanalyse und Risikobewertung verbunden, bei Bedarf kann die Datenschutz-Folgenabschätzung direkt durchgeführt werden.

Wussten Sie schon?

Einzelne Aspekte, die im Rahmen des DSMS gefordert werden, und somit auch im Unternehmen von Relevanz sind, betreffen insbesondere:

  • Strategien (Datenschutzkonzept), die insbesondere Regelungen treffen hinsichtlich der
    • Zuweisung von Zuständigkeiten
      (Wer ist im Unternehmen verantwortlich und zuständig?)
    • Einsatz datenschutzfreundlicher Technologien
      (Anforderung an Software, Speicherort, …)
    • Durchführung von Kontrollen
      (Ist-Analyse, Audit, Maßnahmenplan)
  • Datenschutzrechtliche Dokumentationspflichten, wie:
    • Datenschutzhandbuch
    • Datenschutzrichtlinien
    • Führen des Verzeichnisses von Verarbeitungstätigkeiten inkl. Zweckbestimmung, Grundlage der Verarbeitung und Durchführung einer Risikobewertung
    • Verpflichtung Mitarbeiter auf das Datengeheimnis
    • Verpflichtung von Dienstleistern im Rahmen der Datenverarbeitung im Auftrag
    • Sensibilisierung und Schulung von Mitarbeitern
    • Prozesse zur Wahrung der Betroffenenrechte und zum Datenpannenmanagement
    • durchzuführende Datenschutz-Folgenabschätzungen
    • Beschreibung von technischen und organisatorischen Maßnahmen
    • nachweisliche Überprüfung von Datenschutzmaßnahmen

Onlineschulungen zum Datenschutz

Als Datenschützer sind wir dafür verantwortlich, Mitarbeiter zum Thema Datenschutz, aber auch Datensicherheit zu sensibilisieren. Datenschutzschulungen vor Ort halten wir auf jeden Fall für sehr wichtig und sinnvoll, denn nur wenn man sich Auge in Auge sehen kann ist es möglich, die Teilnehmer mitzunehmen.  Wenn man aber nicht überall gleichzeitig sein kann, Mitarbeiter sukzessive ausscheiden und neue Mitarbeiter hinzukommen, Mitarbeiter dezentral tätig sind, dann hat man auch als Datenschützer ein kleines Problem. Als externe Datenschutzbeauftragte standen wir auch vor dieser Problematik, unsere Lösung war ein eigenes Onlineschulungtool zum Datenschutz. Auf dokumentierter Art und Weise können die Teilnehmer den jeweiligen Schulungstext lesen, Fragen im Test beantworten und sich bei Erfolg die Teilnahmebescheinigung erstellen und ausdrucken. Mehr zum Thema hier.

Compliance-Schulung im Internet

Nicht immer ist es möglich, einzelne Mitarbeiter persönlich zu schulen. So müssen neu eingestellte Mitarbeiter bereits mit der Aufnahme ihrer Tätigkeit zu Themen im Compliance geschult werden. Der Compliance-Officer kann aber nicht in jeden Einstellungsprozess integriert werden. Insbesondere Vertriebs- und Außendienstmitarbeiter sind aufgrund ihres beruflichen Profils heute hier, morgen dort und nur schwer als Gruppe für eine Schulung zu erreichen.

Mithilfe der Onlineschulung im Compliance können Mitarbeiter effizient mit den Regelungen im Compliance vertraut gemacht werden. Die Mitarbeiter können die Schulung selbst am eigenen PC-Arbeitsplatz durchführen. Wenn der Mitarbeiter die Compliance-Schulung durchgearbeitet und die Prüfungsfragen erfolgreich beantwortet hat, wird automatisch eine Teilnahmebescheinigung erzeugt, die als Nachweis für die durchgeführte Schulung dienen kann.

Neben den allgemeinen Compliance-Themen hat der Compliance-Officer die Möglichkeit, firmen- oder branchenspezifische Schulungsthemen und Prüfungsfragen hinzuzufügen. Wichtige Dokumente, mit denen sich Mitarbeiter vertraut machen müssen, können durch den Compliance-Officer auf der Onlineplattform bereitgestellt werden.

MERKMALE

  • individuelle Zugangsdaten (Benutzer/Passwort)
  • allgemeine Compliance-Themen (vorkonfiguriert)
  • firmenspezifische Themen
  • Prüfungsfragen (Multiple Choice) | deutsch/englisch
  • Teilnahmebescheinigung als Nachweis
  • Bereitstellung von firmenspezifischen Unterlagen
  • Statistik nach durchgeführte Prüfungen

Wenn Sie weitere Informationen wünschen, können Sie gern Kontakt zu uns aufnehmen. Wir richten Ihnen auch gern einen Testzugang ein.

PREISE

Für die Nutzung des Online-Schulungstool wird eine jährliche Gebühr von 500,00 Euro zzgl. MwSt. berechnet.

Hinweisgebersystem – Blow the whistle

Das Hinweisgebersystem gewinnt immer mehr an Bedeutung und ist ein Bestandteil eines Compliance Management Systems. Dabei handelt es sich um die Möglichkeit, Missstände oder Verstöße gegen Gesetze bzw. interne Regelwerke im Unternehmen anonym und vertraulich an eine bestimmte Stelle zu melden. Zumeist wenden sich Mitarbeiter an interne Stellen, um Sachverhalte anzuzeigen. Ist diese Möglichkeit nicht gegeben, wenden sie sich an die Öffentlichkeit z.B. die Presse. Daraus ergibt sich ein großer Vorteil eines Hinweisgebersystems, da die Unternehmensleitung bei richtiger Kanalisierung und Bearbeitung der eingegangenen Meldungen negative Schlagzeilen und somit einen hohen Imageschaden abwenden kann.

Wichtig beim Hinweisgebersystem ist die Wahrung der Anonymität und der Vertraulichkeit. Nur so kann das System von den Mitarbeitern akzeptiert und genutzt werden. Ein weiterer wichtiger Punkt ist die Vermeidung von Denunziantentum. Daher ist es sinnvoll das Vertrauen der Mitarbeiter untereinander und in Bezug auf ihre Vorgesetzten sowie der Unternehmensleitung zu stärken. Erster Ansprechpartner im Falle eines Vergehens sollte der Vorgesetzte oder eine andere Vertrauensperson sein. Ist dies nicht möglich erfolgt im Ausnahmefall die Meldung an die Hotline.

Ein effektives Fallmanagement rundet das Hinweisgebersystem ab. Die richtige Beurteilung und Bearbeitung der gemeldeten Hinweise ist ausschlaggebend für den Erfolg sowie die Akzeptanz des Systems und hilft Imageschäden zu vermeiden.

Für die Einrichtung eines Hinweisgebersystems gibt es verschiedene Varianten, z.B.:

  • interne Telefonhotline bzw.interner Mailkontakt
  • externe Telefonhotline bzw. externer Mailkontakt
  • interne oder externe Ombudsstelle (beauftragte Anwaltskanzlei)

Third Party Management – Die dritte Partei

Transparenz in der Zusammenarbeit mit anderen Unternehmen ist in der zunehmend komplexeren Wirtschaftswelt enorm wichtig. Das Wissen darum, mit wem man es zu tun hat, ist nicht nur wirtschaftlich von Vorteil, sondern kann unter Umständen vor hohen Geld- und Bußstrafen oder Schadensersatzansprüchen schützen. Ganz abgesehen von den hohen Imageverlusten und Reputationsschäden, die entstehen können. Denn Unternehmen haften nicht nur für eigene Verfehlungen, sondern auch für rechtswidriges Verhalten ihrer Geschäftspartner. Gerade international tätige Unternehmen müssen eine Vielzahl von z.B. Anti-Korruptionsgesetzen beachten (siehe Rechtliche Grundlagen). Daher ist es notwendig die Auswahl der Geschäftspartner, der sogenannten dritten Partei, sorgfältig zu prüfen. Als dritte Partei können beispielsweise gelten:

  • Dienstleister
  • Handelsvertreter oder Agenten
  • Großhändler
  • Lieferanten
  • Aufbauhersteller

Durch Maßnahmen wie einem sorgfältig durchgeführten Geschäftspartner-Screening, Vereinbarung von Audit-Rechten und Compliance-Klauseln, der ausführlichen Prüfung der Leistungserbringung und Rechnungsstellung lassen sich die Risiken bzgl. der dritten Partei reduzieren und einer guten Geschäftsbeziehung steht nichts im Weg.

Diese Prüfung, auch als Due Diligence oder Geschäftspartnerscreening bekannt, kann folgende Elemente beinhalten, die je nach Risikoeingruppierung zur Anwendung kommen können.

  • Internet- und Medienrecherche
  • Prüfung von Watch- und Blacklisten
  • Bezug von Wirtschaftsauskünften (Handelsregister, Creditreform o.ä.)
  • Einholen von Referenzen
  • Selbstauskunft des Geschäftspartners mittels Fragebogen
  • Vorortbesuche und Audits