Handlungs­­empfehlungen zur Umsetzung der DSGVO in Unternehmen

Adressat:

Unternehmen, Gewerbetreibende, Freiberufler

Wer ist für die Umsetzung der Datenschutz-Grundverordnung (DSGVO) verantwortlich?

Geschäftsführer, Vorstände bzw. Inhaber

Was ist zu tun?

Sie benötigen für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies können eine gesetzliche Vorschrift oder die Einwilligung der betroffenen Person sein. Auch Betriebsvereinbarungen sind zulässig.

Im Folgenden finden Sie in Kurzform (nicht abschließende) Handlungsempfehlungen:

1. Internen Datenschutzbeauftragten benennen
   Eine Benennung ist dann verpflichtend, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden (vgl. § 38 Absatz 1 BDSG-neu), darüber hinaus auch dann, wenn eine Datenschutz-Folgenabschätzung notwendig ist (§ 38 Absatz 1 BDSG-neu) oder die Art der Kerntätigkeit des Unternehmens den in Artikel 37 Absatz 1 Buchstabe b oder c DSGVO benannten Kriterien entspricht.
2. Verzeichnis von Verarbeitungstätigkeiten erstellen (vgl. Artikel 30 DSGVO)
3. Eventuell Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) vornehmen
4. Zuständigkeiten für Informationen bei Datenverlust festlegen (Artikel 33, 34 DSGVO) Verantwortliche sind verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten (zum Beispiel bei einem Datenleck) dies der zuständigen Datenschutzaufsichtsbehöre – soweit möglich innerhalb von 72 Stunden – zu melden und, wenn der Vorfall ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, auch die betroffene Person zu benachrichtigen.
5. Vorhandene Einwilligungen auf ihre Vereinbarkeit mit Artikel 7 der Datenschutz-Grundverordnung prüfen.
   Insbesondere muss gemäß Artikel 7 Absatz 3 der Datenschutz-Grundverordnung die betroffene Person vor Abgabe der Einwilligung darüber in Kenntnis gesetzt werden, dass der Widerruf ihrer Einwilligung nur die Datenverarbeitung ab diesem Zeitpunkt betrifft; weiterhin muss der Verantwortliche gemäß Artikel 7 Absatz 1 der Datenschutz-Grundverordnung die Einwilligung nachweisen können (siehe hierzu auch die Rechenschaftspflicht nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung)
6. Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach den Artikeln 13 und 14 Datenschutz-Grundverordnung sicherstellen.
   Diese sind insbesondere unabhängig von einer Kenntnis der betroffenen Person und umfassen unter anderem  neben der Dauer der Datenspeicherung auch das Bestehen eines Beschwerderechts bei der Datenschutzaufsichtsbehörde.
7. Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit Auftragsverarbeitern gemäß den Artikeln 28 und 29 der Datenschutz-Grundverordnung eingehalten werden.
   Insbesondere können Unterauftragnehmer gemäß Artikel 28 Absatz 2 der Datenschutz-Grundverordnung nur nach vorheriger gesonderter oder mit allgemeiner schriftlicher Genehmigung (und nachfolgender Information im Einzelfall) in Anspruch genommen werden.
8. Prüfen, ob eine gemeinsame Verantwortlichkeit mit anderen Stellen vorliegt
   Dies ist gemäß Artikel 26 DSGVO dann der Fall, wenn gemeinsam die Zwecke und Mittel zur Verarbeitung festgelegt werden. Dann ist in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß der Artikel 13 und 14 DSGVO nachkommt.