Umsetzung der DSGVO in Unternehmen (DSK-Papier Nr. 8)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Wie kann ein Unternehmen die DSGVO umsetzten? Das DSK-Papier gibt hier Antworten auf die Vorgehensweise bei der Umsetzung der DSGVO.

Wer ist für die Umsetzung der DSGVO zuständig?

  • Der Entscheidungsträger z.B. Geschäftsführer
  • Entscheidungsträger = Verantwortlicher

Wie kann die DSGVO umgesetzt werden?

Die Umsetzung kann als Projekt angesehen werden, da verschiedene Abteilungen und Bereiche ineinandergreifen und zusammenarbeiten.

Bestandsaufnahme (Ist-Stand)

  • Prüfung der aktuellen Prozesse in denen personenbezogene Daten verarbeitet werden
  • Zuordnung der zugehörigen Rechtsgrundlage (Vertrag, gesetzliche Vorgabe, berechtigtes Interesse, Einwilligung)
  • Prüfung der aktuellen Datenschutzorganisation (wer ist zuständig, welche Maßnahmen wurden getroffen)
  • Welche Dienstleister werden eingesetzt?
  • Prüfung der bereits vorhandenen Dokumentation oder Vereinbarungen (z.B. Verfahrensverzeichnis, Datenschutzkonzepte, IT-Sicherheitskonzepte)

Ermittlung des Handlungsbedarfs (Soll-Stand)

Sofern der Handlungsbedarf ermittelt wurde, kann eine Analyse zwischen Ist- und Soll-Stand durchgeführt werden.

Vor allem sind folgende Punkte vor dem Hintergrund der DSGVO zu beachten:

Rechtsgrundlagen

  • Prüfung, ob eine Rechtsgrundlage für die Verarbeitung definiert werden kann (Vertrag, berechtigtes Interesse, gesetzliche Forderung, Einwilligung)
  • Prüfung, ob die Einwilligungen den Anforderungen des Art. 7 bzw. des Art. 8 DSGVO erfüllt

Betroffenenrechte

  • Beachtung der zustehenden Betroffenenrechte
  • Z.B. Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung etc.

Datenschutz durch Technikgestaltung

  • Beachtung der Vorgaben seitens der DSGVO nach Art. 25 DSGVO
  • Anforderungen bei der Prozessgestaltung mit einbinden

Dienstleistungsbeziehungen (Auftragsverarbeiter)

  • Prüfung der vorhandenen Auftragsverarbeitungsverträge

Anmerkung der Datenbeschützerin

Auftragsverarbeitungsverträge, die vor der DSGVO geschlossen wurden, sind nicht mehr gültig. Daher ist die Anforderung eines neuen Vertrags nötig.

Dokumentationspflichten

  • Mit der Dokumentation kann der Verantwortliche seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen
  • Dokumentation nach der DSGVO sind z.B. Verfahrensverzeichnis, Aufzeichnung von Datenschutzvorfällen, Auftragsverarbeitungsverträge

Datenschutz-Folgeabschätzungen (DSFA)

  • Die DSFA erfordert eine umfangreiche Dokumentation
  • Kann auch eine Konsultation mit der Aufsichtsbehörde nach sich ziehen

Meldepflichten

  • Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
  • Meldung von Datenpannen bei der zuständigen Aufsichtsbehörde

Datensicherheit

  • Definition eines angemessenen Schutzniveaus
  • regelmäßige Prüfung der Sicherungsmaßnahmen

Zertifizierung

  • Im Rahmen eines Zertifizierungsverfahren kann der Nachweis über die Einhaltung der DSGVO erfolgen

Hinweis der Datenbeschützerin

Folgende Vorgehensweise wird seitens der Datenbeschützerin vorgenommen. Dabei handelt es sich um eine grobe Beschreibung, um die DSGVO umzusetzen.

  1. Erstellung des Verfahrensverzeichnisses mit einer Risikoanalyse (Ist-Stand) sowie Aufnahme der aktuellen TOMs, Prüfung der Internetseite
  2. Anfertigung eins Managementberichts mit den identifizierten Risiken und Handlungsempfehlungen (Soll-Stand)
  3. Erstellung der Informationspflichten für die Kunden/Geschäftspartner und Mitarbeiter
  4. Einholung und Prüfung von Auftragsverarbeitungsverträgen
  5. Vermittlung von Prozessbeschreibungen zu Datenschutzvorfällen und Betroffenenrechten
  6. Planung und Durchführung von Mitarbeiterschulungen
  7. Jährliche Überprüfung / Audits

DSK-Kurzpapier Nr. 8

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_8.pdf

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.