Die DSGVO ist eine gute Gelegenheit für Ihr Unternehmen Ihre Daten genauer unter die Lupe zu nehmen. Seien Sie Vorreiter, indem Sie sich zu den neuen Richtlinien bekennen und ein noch besseres Verhältnis zu Ihren Kontakten etablieren.
DIE BESTANDSANALYSE
An einer Dateninventur führt kein Weg vorbei. Sie und Ihr Unternehmen müssen wissen, welche Daten wo, für welche Zwecke, wie lange verarbeitet werden, wer Zugriff hat und ob beziehungsweise, an wen diese weitergegeben werden. Insbesondere Ihre Website und Ihr Newslettersystem sollten überprüft werden.
DAS VERARBEITUNGSVERZEICHNIS
Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO und ersetzt die derzeitigen DVR Meldungen. Es muss unter anderem Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.
DIE DATENSICHERHEIT
Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur solche personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.
DIE FOLGENABSCHÄTZUNG
Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht, so muss Ihr Unternehmen eine Datenschutz-Folgenabschätzung machen. Darin müssen Sie die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewerten. Was gegen diese Risiken unternommen werden kann (Datensicherheitsmaßnahmen) komplettieren die Datenschutz-Folgenabschätzung.
DIE INFORMATIONSPFLICHTEN
Von einer Datenverarbeitung betroffene Personen müssen über diese informiert werden können (Was, wer, zu welchem Zweck, wie lange, wohin?). Auch Betroffenenrechte (z.B. Auskunft, Löschung) müssen unverzüglich, spätestens innerhalb eines Monats erfüllt werden.
DER AUFTRAGSVERARBEITUNGSVERTRAG
Diesen brauchen Sie, wenn externe Dienstleister (Auftragsverarbeiter, z.B. IT-Dienstleistungen, Buchhaltung, Lohnverrechnung,…) beauftragt werden. Prüfen Sie, ob ein entsprechender Vertrag vorhanden ist, wenn nicht, sollten Sie einen abschließen.
DIE DATENSCHUTZVERLETZUNG
Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) muss Ihr Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist innerhalb von 72 Stunden nach der Entdeckung. Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.
