Roadmap zur Umsetzung der DSGVO www.scope-and-focus.com [email protected] scope & focus Service-Gesellschaft mbH Leonhardtstraße 2 30175 Hannover T 0511 | 364 221-0 Hoerneckestraße 19-21 28217 Bremen T 0421 | 369 3530-0 DSGVO DATENSCHUTZ-GRUNDVERORDNUNG STICHTAG: 25. MAI 2018 PDCA-Zyklus nach Deming; Timeline with Road: Designed by Freepik (modified by scope & focus); Illustration: www.steffengumpert.de PDCA-Zyklus im Datenschutz-Managementsystem (DSMS) orientiert an der High-Level-Structure der International Organization for Standardization (ISO) PLANPHASE Kontext der Organisation » Ziele des DSMS bestimmen und dokumentieren (1) » Interessierte Parteien und ihre Erfordernisse identifizieren und dokumentieren » Datenschutz-Anforderungen bestimmen und dokumentieren (2) » Sachlichen und räumlichen Anwendungsbereich des DSMS festlegen und dokumentieren (3) TIPP: Der benannte DSB muss sowohl der zuständigen Aufsichtsbehörde gemeldet als auch auf der Webseite der Organisation genannt werden. Führung » Übernahme der Führung für das DSMS durch die Leitung (1) » Datenschutzpolitik in der Datenschutz- leitlinie erarbeiten und dokumentieren (1) » Datenschutzrollen und -verantwortlich- keiten festlegen, dokumentieren und kommunizieren (4) » Datenschutzbeauftragten benennen und melden (5) Planung » Datenschutz-Risikobewertungsprozess definieren und anwenden (6) » Datenschutz-Risikobehandlungsprozess dokumen- tieren und anwenden (7) » Datenschutz-Ziele und -Pläne festlegen und dokumentieren (8) Unterstützung » Bestimmung, Zuweisung und zur Verfügungstellung der erforderlichen Ressourcen für das DSMS (8) » Einrichtung eines Programms zur Bildung von Datenschutz- Awareness und -Bewusstsein (9) » Kommunikationsbedarf für das DSMS bestimmen » Erforderliche Dokumentation bereitstellen » Dokumentenlenkung einrichten und beachten PLAN DO ACT CHECK KONTEXT DER ORGANISATION FÜHRUNG PLANUNG UNTERSTÜTZUNG BETRIEB VERBESSERUNG BEWERTUNG DER LEISTUNG (1) Datenschutz-Leitlinie (2) Liste der Datenschutz-Anforderungen, Nennung im DSMS-Handbuch (3) Sachlicher und räumlicher Anwendungsbereich, Nennung im DSMS-Handbuch (4) Verantwortlichkeiten, Nennung im DSMS-Handbuch (5) Benennungs-Urkunde des/der Datenschutzbeauftragten (6) Richtlinie zum Datenschutz-Risikobewertungsprozess und –behandlungsprozess (7) Ergebnisse des Datenschutz-Risikobewertungsprozesses (8) Erklärung zur Anwendbarkeit, Dateschutz- Risikobehandlungsplan (9) Richtlinie zu Trainings und Awareness Dokumente: erstellt durch Stefanie Grau (s&f) 112017