Bestandsaufnahme
Jedes Unternehmen sollte zunächst die Frage stellen,
mit welchen personenbezogenen Daten es arbeitet, welche Mitarbeiter mit ihnen
zu tun haben und welche Prozesse es bislang dafür gibt, diese zu schützen. Das
können Kundenkontakte, aber auch Adressen von Auftraggebern oder Personaldaten
sein.
Handlungsbedarf
Wer sich einen
Überblick darüber verschafft hat, wie der Datenschutz bislang im Unternehmen
gehandhabt wurde, sollte darauf aufbauend herausfinden, wo Handlungsbedarf
besteht. Dabei gilt es zu ermitteln, welche Daten besonders sensibel sind und ob
es irgendwelche Risiken gibt, dass diese in die falschen Hände geraten könnten,
zum Beispiel bei Personaldaten.
Datenschutzbeauftragter
Unternehmen, in denen mehr als neun Mitarbeitern mit
personenbezogenen Daten arbeiten, müssen bis zum Stichtag im Mai 2018 dem
Landesamt einen Datenschutzbeauftragten melden. Daher sollten nun im Vorfeld
die Verantwortlichkeiten klar geregelt werden. Als Unternehmer hat man dabei
die Wahl, einen eigenen Mitarbeiter für diese Funktion zu bestelle und
auszubilden oder einen externen Datenschützer mit dieser Verantwortung zu
beauftragen.
Verzeichnis anlegen
Unternehmen mit mindestens 250 Mitarbeitern und auch
kleinere, die aber regelmäßig mit sensiblen Daten arbeiten, sind verpflichtet,
ein Verzeichnis der Verarbeitungstätigkeiten anzulegen. In diesem werden alle
Schritte der Datenverarbeitung vom Erfassen bis hin zum Löschen dokumentiert.
Dieses Verzeichnis kann schriftlich oder elektronisch geführt werden. Es gibt
dafür bereits entsprechende Softwareprogramme, aber auch eine Excel-Datei
bietet sich dafür an.
Verträge anpassen
Alle schriftlichen Unterlagen, in denen
personenbezogene Daten abgefragt werden, sollten überprüft werden, ob sie der
neuen Datenschutz-Grundverordnung entsprechen. Gegebenenfalls müssen diese
Texte an die neue Gesetzeslage angepasst werden. Das gilt sowohl für Verträge
mit Auftragsverarbeitern, zum Beispiel IT-Dienstleistern, aber auch für
Verträge mit Kunden oder Einwilligungserklärungen, zum Beispiel für den Versand
eines Newsletters.
Umgang mit Datenpannen
Im Fall eines Hackerangriffes oder eines
Softwarefehlers muss schnellstmöglich gehandelt werden. Innerhalb von 72
Stunden sind solche Datenpannen beim Landesamt zu melden. Aber auch alle Betroffenen
sollten schleunigst informiert werden. Daher hilft es, einen Prozess zu
entwickeln, um im Ernstfall die notwendigen Schritte einzuleiten. Für
Unternehmen, die Daten mit hohem Risiko verarbeiten, ist zusätzlich eine
sogenannte „Datenschutz-Folgeneinschätzung“ erforderlich.
Personalwesen
Sind alle Prozesse im Unternehmen angepasst, müssen
die Mitarbeiter über diese Neuerungen informiert werden. Denn: Datenschutz geht
alle an! Wichtig ist dabei vor allem, die Mitarbeiter für dieses Thema
sensibilisieren. Daher sind Personalschulungen sinnvoll, in denen vermittelt
wird, wie in Zukunft personenbezogene Daten im Unternehmen verarbeitet werden
und worauf man achten muss.
Kommentare
Kommentar veröffentlichen