Datenschutz ist kein Zustand, 

es ist ein Prozess

Viele Unternehmen stehen beim Thema Datenschutz vor einer Wand voller Aufgaben. Informations- und Rechenschaftspflichten, Verzeichnis von Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen oder Auftragsverarbeitungsverträge sind nur ein Auszug aus der langen Anforderungsliste der DSGVO. Wo also anfangen? Was als erstes angehen? Da Datenschutz bekanntlich kein Zustand, sondern ein Prozess ist, haben wir eine kleine Roadmap entwickelt, die wir Ihnen gerne mit auf den Weg geben. Wenn Sie gerade erst am Anfang stehen und sprichwörtlich den Wald vor lauter Bäumen nicht sehen können, kann diese Roadmap Sie dabei unterstützen, Ihre Aufgaben zu priorisieren, zu gliedern und somit einen Fahrplan zu entwerfen. Dabei müssen Sie sich nicht zwanghaft an den Ablauf halten. Es hilft bereits, Themen zu gruppieren und sie geordnet abzuarbeiten.


Schritt für Schritt zum besseren Datenschutz

Muss ein Datenschutzbeauftragter bestellt werden?

Alle Unternehmen, Vereine, Behörden oder öffentliche Stellen sind dazu verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn

 

  • mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten
  • die Kernaufgabe des Unternehmens die umfangreiche und systematische Überwachung von Personen umfasst
  • die Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung besonders sensibler Daten ist

 

Weitere Informationen

Wer ist über die Verarbeitung zu informieren?

Grundsätzlich müssen alle Betroffenen über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Denken Sie daher an die folgenden Zielgruppen:

 

  • Datenschutzinformationen für Kunden / Interessenten / Lieferanten
  • Datenschutzinformationen für Bewerber / Beschäftigte
  • Datenschutzinformationen für Websitebesucher
  • Datenschutzinformationen für Social Media Plattformen wie Facebook, Linked In, Twitter, XING, Instagram
  • Datenschutzinformationen bei Videoüberwachung
  • Datenschutzinformationen bei Veranstaltungen

Wurden alle externen Dienstleister erfasst und wurde mit ihnen, falls erforderlich, eine Auftragsverarbeitungsvereinbarung geschlossen?

Es muss eine Auftragsverarbeitungsvereinbarung mit allen externen Dienstleistern, welche personenbezogene Daten in Ihrem Auftrag verarbeiten, abgeschlossen werden. Davon ausgenommen sind freie Berufe wie Rechtsanwälte, Ärzte oder Steuerberater.

Worauf muss ich bei Beschäftigten achten?

Im Bezug auf Beschäftigte und den Schutz personenbezogener Daten gibt es vieles zu beachten:

 

  • Beschäftigte sollten auf ihre Verschwiegenheit verpflichtet werden
  • Beschäftigte müssen regelmäßig, mindestens jährlich im Hinblick auf datenschutzrelevante Themen geschult werden
  • Beschäftigte sollten über Verhaltensrichtlinien (Home-Office, Umgang mit Betroffenenanfragen, Nutzung von IT, etc.) im Bezug auf Datenschutz informiert werden
  • Fotos oder Geburtstagslisten sollten nur mit einer Einwilligung der Beschäftigten angefertigt/geführt werden

 

Beschäftigte jetzt einfach online schulen

Welche Dokumente müssen erstellt werden?

Die DSGVO sieht im Zuge der Rechenschaftspflicht die Erstellung und regelmäßige Aktualisierung gewisser Dokumente vor. Dazu gehören u.a.:

 

  • Verzeichnis von Verarbeitungstätigkeiten
  • Übersicht der technischen und organisatorischen Maßnahmen
  • Datenschutzfolgenabschätzung (wenn benötigt)
  • Berechtigungskonzept
  • Löschkonzept
  • Notfallkonzept

Worauf muss ich bei der IT achten?

IT-Systeme sind so zu gestalten, dass personenbezogene Daten stets sicher vor Verlust, ungewollter Veränderung oder Veröffentlichung sind. Dabei ist u.a. zu achten auf:

 

  • Sichere Speicher- und Backupstrategie
  • Berechtigungsmanagement (Need-To-Know-Prinzip)
  • Sicherer Zugang zum Netzwerk von Außen (VPN)
  • Aktuelle Antivirenprogramme
  • Aktuelle Antispamprogramme
  • Sichere Firewall
  • Aktuelle Betriebssysteme auf Servern und Clients
  • Automatische Bildschirmsperre bei Inaktivität
  • Ausreichendes Kennwortmanagement

Wie muss das Büro/Gebäude geschützt werden?

Grundsätzlich gilt, dass unbefugte Personen keinen Zugang zu personenbezogenen Daten erhalten können. Dieses Ziel kann mittels unterschiedlicher Maßnahmen unterstützt werden, beispielsweise:

 

  • Sichere Zutrittsmechanismen (Chipkarten, Sicherheitstüren / -fenster)
  • Besucherempfang mit Besucherausweisen und Besucherbuch
  • Schulung und Sensibilisierung von Beschäftigen
  • Videoüberwachung
  • Sicherheitsdienst

Welche Rechte haben Betroffene und worauf muss ich achten?

Die DSGVO sieht diverse Rechte für Betroffene vor. Dazu gehören u.a. das Recht auf Löschung, Recht auf Auskunft, Recht auf Einschränkung der Verarbeitung oder auch das Recht auf Beschwerde bei einer Datenschutzbehörde. Gehen Sie mit Anfragen von Betroffenen sorgsam um. Grundsätzlich gilt:

 

  • Eine Betroffenenanfrage muss binnen 30 Tagen beantwortet werden. Eine Fristverlängerung ist möglich, der Betroffene sollte jedoch unterrichtet werden
  • Stellen Sie sicher, dass es sich bei dem Anfragensteller auch tatsächlich um den Betroffenen handelt. Einen entsprechenden Artikel finden sie hier: Identitätsnachweis bei Betroffenenanfragen
  • Beantworten Sie auch eine Anfrage, selbst wenn Sie keine Daten des Betroffenen (Negativauskunft) verarbeiten

Was ist eine Datenschutzpanne und wie muss ich reagieren?

Von einer Datenschutzpanne oder Datenschutzverletzung sprechen wir, wenn ein Unbefugter Zugriff auf personenbezogene Daten erhalten konnte oder erhalten hat. Datenschutzpannen müssen binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden, wenn Rechte oder Freiheiten der betroffenen Personen in Gefahr sind.

 

Weitere Informationen zu Datenschutzpannen


Nutzen Sie unsere Datenschutz Roadmap, um Ihre Aufgaben in 10 Themengebiete zu ordnen und damit Ihren Datenschutz Fahrplan aufzustellen.

Jetzt herunterladen