Machen Sie eine Bestandsaufnahme!
Welche personenbezogenen Daten erfassen und verarbeiten Sie?Kundendaten, Beschäftigtendaten und/ oder Daten von Geschäftspartnern?
Welche Ihrer Beschäftigten haben mit diesen Daten zu tun?
Welche Prozesse gibt es bislang dafür diese zu schützen?
Verschaffen Sie sich einen Überblick, wie Sie bislang den Datenschutz im Unternehmen handhaben.
Prüfen Sie, wo noch Handlungsbedarf besteht.
Ermitteln Sie, welche der Daten, die Sie verarbeiten besonders sensibel sind und ob es irgendwelche Risiken gibt, dass diese in die falschen Hände geraten könnten, zum Beispiel bei Gesundheitsdaten.Prüfen Sie, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt und vergessen Sie nicht, diesen der Aufsichtsbehörde zu melden!
Prüfen Sie, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt. Dies ist z. B. dann der Fall, wenn Ihr Unternehmen automatisiert personenbezogene Daten verarbeitet und mindestens 10 Personen im Unternehmen damit beschäftigt sind. Bei weniger als 10 Personen kann z. B. die Bestellung eines Datenschutzbeauftragten nötig sein, wenn das Unternehmen als Kerntätigkeit Daten wie z. B. Gesundheitsdaten verarbeitet.
Sofern die Kerntätigkeit eines Unternehmens darin besteht, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen, wird ebenfalls ein Datenschutzbeauftragter benötigt, unabhängig von der Beschäftigtenzahl.
Vergessen Sie nicht, diesen dem Landesamt für Datenschutzaufsicht zu melden.
Legen Sie ein Verzeichnis von Verarbeitungstätigkeiten an! Fast alle Unternehmen sind verpflichtet, ein sog. Verzeichnis von Verarbeitungstätigkeiten zu führen. Eine Ausnahme besteht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen und sofern das Unternehmen nicht nur gelegentlich personenbezogene Daten verarbeitet, welche ein Risiko für die Rechte und Freiheiten der betroffenen Personen enthalten oder Daten wie z.B. Gesundheitsdaten oder solche über strafrechtliche Verurteilungen und Straftaten. In diesem Verzeichnis sind alle Schritte der Datenverarbeitung vom Erfassen bis hin zum Löschen zu dokumentieren. Dieses Verzeichnis ist entweder in schriftlicher oder in elektronischer Form zu führen.
Lassen Sie bestehende Verträge anpassen!
Überprüfen Sie alle schriftlichen Unterlagen, in denen Sie personenbezogene Daten abfragen, ob diese der DSGVO entsprechen. Passen Sie gegebenenfalls diese Texte an die neue Gesetzeslage an. Dies gilt sowohl für Verträge mit Auftragsverarbeitern, wie z. B. IT-Dienstleister als auch für Verträge mit Kunden oder Einwilligungserklärungen, wie für den Versand eines Newsletters.Erstellen Sie einen Plan, wie Sie mit Datenpannen umgehen! Im Falle einer Datenpanne muss unaufgefordert und unverzüglich gehandelt werden. Spätestens nach 72 Stunden sind Datenpannen in Zukunft beim Landesamt für Datenschutz zu melden. Im Falle eines voraussichtlich hohen Risikos für die persönlichen Rechte und Freiheiten der durch die Datenpanne betroffenene Person muss auch diese informiert werden.
Entwickeln Sie daher einen Prozess, um im Ernstfall die notwendigen Schritte unverzüglich einleiten zu können.
Informieren Sie Ihre Beschäftigten über diese Neuregelungen im Datenschutz. Wichtig ist hier vor allem, die Beschäftigten für dieses Thema zu sensibilisieren. Dies können Sie z. B. in Form von Personalschulungen machen. Dokumentieren Sie dies auch.
Kommentare
Kommentar veröffentlichen