Sinnvollerweise wird der Ist-Zustand, um ihn möglichst vollständig zu erfassen, von zwei Seiten her analysiert: Von der Prozessseite her, also ausgehend von der Fragestellung ?Wie wird gearbeitet??, und von der Infrastrukturseite her, also mit der Fragestellung: ?Wie ist die IT eingestellt, was erlaubt und ermöglicht die IT?? Ziel ist es, beide Sichtweisen zur Deckung zu bringen.

1. Prozessbetrachtung

   1. Prozessaufnahme

      Es wird eine Sammlung der im Unternehmen bestehenden und genutzten Prozesse erstellt. Erfasst wird in diesem Schritt eine grobe Prozessbeschreibung, bestehend aus den Punkten:

   1. Schnittstellen

      • Welche Daten / Informationen fließen in den Prozess ein?

      • Welche Daten / Informationen werden im Prozess produziert?

      • Was sind die Vorprozesse?

      • Was sind die Folgeprozesse?

      • Wer bearbeitet diese Prozesse?

   2. Prozessbeschreibung:

      Beschreibung der Aufgaben und Funktionen der Prozesse. Ausdrücklich werden in dieser Stufe die internen Abläufe der Prozesse noch nicht begutachtet.

   3. Tiefere Prozessbetrachtung und Prozessanalyse:

      Die einzelnen Prozesse werden in ihre Einzelschritte zerlegt, die Wechselwirkungen zwischen den Prozessen dargestellt und analysiert, Optimierungspotenzial wird gehoben.

      Dieser Punkt ist kein klassischer Punkt im Rahmen der Betrachtung eines betrieblichen Datenschutzbeauftragten. Im Rahmen der Vorteile für das Unternehmen, ist dieser Mehraufwand jedoch lohnend!

   2. Prozessbewertung

      Die oben aufgenommenen Prozesse werden hinsichtlich der Datenschutzrelevanz bewertet und das Verfahrensverzeichnis nach § 4e Satz 1 BDSG aufgestellt.

2. IT-Infrastruktur

   1. Ermittlung und Dokumentation der klassischen IT-Prozesse und -Vorgänge (Mitarbeiterneuanlage, Ausscheiden eines Mitarbeiters, E-Mail-Datenfluss, Internetzugang, Datensicherung, Fernzugriffe, Zugriffe von externen Dienstleistern,?)

   2. Ermittlung der Rechtestruktur innerhalb der IT-Systeme.

   3. Bewertung der Ergebnisse im Hinblick auf den Datenschutz

   4. Bewertung der Ergebnisse im Hinblick auf die Datensicherheit

      Dieser Punkt ist kein klassischer Punkt im Rahmen der Betrachtung eines betrieblichen Datenschutzbeauftragten. Im Rahmen der Vorteile für das Unternehmen, ist dieser Mehraufwand jedoch lohnend!

   5. Aus den Bewertungen werden die Empfehlungen erarbeitet.

3. Wissen

   1. Wissensermittlung

      Es wird ermittelt, wie der Informationsstand der Mitarbeiter hinsichtlich des Datenschutzes und des Umgangs mit den ihnen anvertrauten Daten ist.

   2. Ermittlung des Schulungsbedarfs

      Aus den Ergebnisse wird der Schulungsbedarf ermittelt und eine Empfehlung für die Mitarbeiterschulung (sinnvolles Schulungsprogramm) gegeben.