Prioritäten und To Do´s
1. Allgemeines Datenschutzmanagement einrichten
Es ist zu klären, ob ein Datenschutzbeauftragter ernannt werden muss, oder sie einem Mitarbeiter diese Pflichten übertragen und in welcher Weise ihr Unternehmen die Struktur der Verantwortlichkeiten im Bereich des Datenschutzes regelt. Wichtig ist, dass jeder Mitarbeiter, der mit der Verarbeitung von Daten beschäftigt ist, ausreichend über den Datenschutz belehrt wurde, sodass er sicher und verantwortungsvoll mit den erhobenen Daten umgehen kann.
2. Einwilligungserklärungen prüfen
Eine Einwilligungserklärung ist eine der grundlegenden Voraussetzungen zur Datenerhebungen. Nach der EU-Datenschutzgrundverordnung muss eine wirksame Einwilligungserklärung mindestens folgende Punkte beinhalten und berücksichtigen:
- Informationen zu Zweck und Umfang der verarbeiteten Daten
- Leicht zugänglich, in klarer Form und einfacher Sprache
- Hinweis auf jederzeitiges Widerrufsrecht
- Keine Einwilligung von unter 16-Jährigen möglich
- Schriftlich oder elektronisch
3. Verarbeitungsverzeichnis anlegen, Art. 30 DSGVO
Um den sicheren Umgang mit den erhobenen Daten zu vereinfachen, muss ab dem 25. Mai 2018 ein sogenanntes Verarbeitungsverzeichnis nach Art. 30 DSGVO geführt werden.
Dieses Verarbeitungsverzeichnis soll entweder schriftlich oder elektronisch geführt werden und muss die genauen Verarbeitungstätigkeiten des Unternehmens beinhalten. Verarbeitungstätigkeiten sind zum Beispiel die Erstellung von Adressdatenbanken, Personallisten oder Kundenakten.
Es ist nach der DSGVO zwar kein konkreter Aufbau eines solchen Verzeichnisses vorgeschrieben, folgende Angaben müssen jedoch festgehalten werden:
- Name und Kontaktdaten des Unternehmens
- Name und Kontaktdaten des Datenschutzbeauftragten (wenn erforderlich)
- Zweck der Datenverarbeitung (Rechtmäßigkeit)
- Art der verarbeiteten Daten
- Mögliche Empfänger der Daten
- Art der Personen, deren Daten verarbeitet werden (Kunde, Mitarbeiter, Lieferant usw.)
- Übermittlung von Daten in die USA oder in andere nicht EU-Staaten
- Löschfristen
- Datensicherheit nach Art.32 DSGVO
Sowohl das Führen eines Verarbeitungsverzeichnisses wie auch die Überarbeitung der internen Struktur und die Mitarbeiterverpflichtungen sollen nach der neuen Datenschutzgrundverordnung dazu führen, dass irrelevante Daten nicht gespeichert werden und die Rechtmäßigkeit der Erhebung immer gewährleistet ist.