search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

Oodrive: Wenn der DSB sich auf Privacy Champions stützt

Oodrive: Wenn der DSB sich auf Privacy Champions stützt

Von Grégory Coste.

Am 12. November 2024

Der DSB ist die ursprüngliche Institution, die eines der Ereignisse beim Inkrafttreten der DSGVO darstellt, dieser berühmten Verordnung, von der alle seit vielen Monaten sprechen und die in der gesamten Europäischen Union die Verarbeitung personenbezogener Daten regelt.

Dieser Datenschutzbeauftragte, besser bekannt unter seinem englischen Akronym DPO, ist der Dirigent des Orchesters der DSGVO. Im Klartext heißt das, dass der Nachfolger des von der DSGVO geschluckten Correspondant Informatique et Libertés oder CIL die korrekte Anwendung der Verordnung überwacht. Ein bisschen so, wie ein Rechnungsprüfer der Kontrolleur der Konten des Unternehmens ist.

INHALT:

Wenn der DSB eine zentrale Rolle spielt.

Seine Ernennung ist für Behörden oder öffentliche Einrichtungen sowie für privatrechtliche Einrichtungen, die in großem Umfang eine regelmäßige und systematische Überwachung von Personen durchführen, insbesondere durch Profiling, oder in großem Umfang sensible Daten wie Gesundheitsdaten verarbeiten, verpflichtend.

In allen anderen Fällen ist der DSB fakultativ, wird aber empfohlen. Denn diese neue Institution wird den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter im Hinblick auf die Anwendung des Gesetzes über personenbezogene Daten und seine Entwicklungen informieren und beraten.

Insbesondere gegenüber den Beschäftigten nimmt der DSB seine beratende Funktion wahr, die im EU-Text anerkannt wird. So wird von ihm verlangt, dass er für alle Beschäftigten leicht erreichbar ist.

Diese zentrale Rolle im Hinblick auf personenbezogene Daten findet sich übrigens auf allen Ebenen der Regulierung, nicht nur gegenüber den internen Mitarbeitern.

Wenn es darum geht, den richtigen Reflex anzunehmen.

Wenn beispielsweise ein für die Verarbeitung Verantwortlicher eine Verletzung personenbezogener Daten feststellt, verpflichtet ihn die DSGVO unter Androhung einer Strafe, die bis zu 2 % des Umsatzes des Unternehmens betragen kann, dazu, die Verletzung der CNIL und sogar den von der Verletzung betroffenen Personen zu melden.

Nun muss der für die Verarbeitung Verantwortliche im Rahmen dieser Mitteilung die Kontaktdaten des DSB an die CNIL und die von der Verletzung betroffenen Personen weitergeben.

Eine der klaren Herausforderungen der DSGVO besteht darin, die regulatorischen Einschränkungen in einen geschäftlichen Vorteil umzuwandeln.

Diese Transformation erfordert, dass der Reflex "persönliche Daten" im gesamten Unternehmen verankert wird und dass alle Mitarbeiter mitziehen.

Warum sollte man sich dann nicht auf den DSB zu diesem Zweck stützen?

Wenn man seine Privacy Champions intern identifizieren muss

In diesem Sinne hat Oodrive, ein Konzern mit fast 400 Mitarbeitern, dessen Haupttätigkeit die sichere Verwaltung sensibler Daten in der souveränen Cloud ist, indem er Fachleuten Lösungen für die gemeinsame Nutzung, die Sicherung und die elektronische Signatur anbietet, eine originelle Praxis eingeführt.

Der von Oodrive intern ernannte DSB, der kein anderer als der Leiter der Abteilung für Cybersicherheit (Group CISO) ist, hat innerhalb der Organisation und unter den Mitarbeitern Privacy Champions ernannt.

Zu diesem Zweck bat der DSB die Leiter aller Abteilungen, geeignete Kandidaten zu identifizieren, da sie über genaue Kenntnisse ihrer jeweiligen Geschäftsprozesse verfügten, aber auch als Multiplikatoren fungierten und gegenüber ihren Kollegen legitimiert waren.

Diese Kandidaten erwiesen sich als hoch motiviert und stimmten mit den Aufgaben und Werten von Oodrive überein.

Wenn die Schutzengel für den Schutz der Privatsphäre ihre Flügel ausbreiten.

So wird sich der DPO, der "Dirigent" der Umsetzung der GDPR, hauptsächlich auf diese Privacy Champions stützen.

Diese erhielten eine halbtägige Sensibilisierungsschulung von zwei spezialisierten Anwälten, die mit einem Quiz mit 20 Fragen endete, das alle Themen der DSGVO abdeckte und eine Selbsteinschätzung darstellte.

Zurück an ihren Arbeitsplätzen koordinieren sie sich durch einen regelmäßigen Privacy Circle und werden regelmäßig über die Entwicklungen im Rahmen der DSGVO-Konformität des Unternehmens, zu der sie konkret beitragen, auf dem Laufenden gehalten.

Wenn die Compliance im Unternehmen abhebt, ganz sanft.

In jeder Abteilung sind die Privacy Champions in Abstimmung mit dem DSB die ersten Ansprechpartner ihrer Kollegen für alle Fragen zur DSGVO.

Als Teil jedes Geschäftsbereichs füllen sie das Register der Verarbeitung personenbezogener Daten aus und koordinieren bei Bedarf die PIAs (Privacy Impact Assessment = Risikoanalyse für die Privatsphäre).

Wie man sieht, ist die DSGVO für eine Reihe von Unternehmen auch eindeutig eine Gelegenheit, bestimmte Organisationen auf den Prüfstand zu stellen und Talente zum Nutzen der Organisation und ihrer Kunden aufzuwerten.

Die originelle Initiative von Oodrive entspricht eindeutig diesem Ziel.

Artikel mitverfasst von :

  • Olivier Iteanu, Kanzlei Iteanu Avocats ;
  • François-Xavier Vincent, Group CISO & DPO Oodrive.

Artikel übersetzt aus dem Französischen