Unsere 9 Tipps zur Datenschutz-Grundverordnung (16.09.2018)
Konkrete Handlungsempfehlungen zur Umsetzung der EU-Datenschutz-Grundverordnung
Datenschutzbeauftragter (DSB)
In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. „Ständig beschäftigt“ ist, wer z. B. täglich laufend mit personenbezogenen Daten arbeiten muss. „Nicht ständig beschäftigt“ ist dagegen, wer im Versand im Schwerpunkt Waren verpackt. Der Datenschutzbeauftragte muss bei der Benennung der Datenschutzaufsichtsbehörde mitgeteilt werden.
Verzeichnis der Verarbeitungstätigkeiten
Unternehmen müssen für ihre Unternehmensprozesse, die personenbezogene Daten betreffen, ein Verzeichnis ihrer Verarbeitungstätigkeiten führen.
Technisch Organisatorische Maßnahmen (TOMs)
Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sollten notwendige IT-Sicherheitsmaßnahmen ergriffen werden. Dazu gehören u.a. verschlüsselte Datenweitergabe, Berechtigungssysteme, Benutzerverwaltung mit Passwortschutz, Datensicherung und aktuelle Virenscanner. Diese Maßnahmen sollten anschließend auch dokumentiert werden.
Unternehmenswebsite
Jede Unternehmenswebsite sollte aktuelle Datenschutzhinweise enthalten. Dabei ist darauf zu achten, dass diese von jeder Seite aus leicht erreichbar sind. Weiterhin sollte auf eine verschlüsselte Übertragung von Daten auf der Website geachtet und vorhandene Plug-Ins und Analysetools auf Datenschutzkonformität geprüft werden.
Informationspflichten
Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich sind (z. B. Informationsblatt, Homepage).
Auftragsverarbeitung
Sobald Verantwortliche Dienstleistungen(z. B. Website-Hosting) an Externe auslagern, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragnehmer erforderlich.
Datenschutz-Verpflichtung von Beschäftigten
Bei Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, die Verarbeitung der personenbezogenen Daten nach den Grundsätzen der DS-GVO vorzunehmen.
Datenschutzverletzung
Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Kunden-oder Beschäftigtendaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko. Hierfür sollte ein Prozess im Unternehmen eingeführt und alle Beschäftigte darüber in Kenntnis gesetzt werden.
Betroffenenanfragen
Die betroffenen Personen haben das Recht auf Auskunft, Löschung, Weitergabe (etc.) ihrer Daten. Es empfiehlt sich, eine Anlaufstelle (E-Mail Adresse: Datenschutz@firma.de) für solche Anfragen einzurichten und einen Prozess für die rasche Bearbeitung zu etablieren.