Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Wie kann ein Unternehmen die DSGVO umsetzten? Das DSK-Papier gibt hier Antworten auf die Vorgehensweise bei der Umsetzung der DSGVO.
Inhaltsverzeichnis
Wer ist für die Umsetzung der DSGVO zuständig?
- Der Entscheidungsträger z.B. Geschäftsführer
- Entscheidungsträger = Verantwortlicher
Wie kann die DSGVO umgesetzt werden?
Die Umsetzung kann als Projekt angesehen werden, da verschiedene Abteilungen und Bereiche ineinandergreifen und zusammenarbeiten.
Bestandsaufnahme (Ist-Stand)
- Prüfung der aktuellen Prozesse in denen personenbezogene Daten verarbeitet werden
- Zuordnung der zugehörigen Rechtsgrundlage (Vertrag, gesetzliche Vorgabe, berechtigtes Interesse, Einwilligung)
- Prüfung der aktuellen Datenschutzorganisation (wer ist zuständig, welche Maßnahmen wurden getroffen)
- Welche Dienstleister werden eingesetzt?
- Prüfung der bereits vorhandenen Dokumentation oder Vereinbarungen (z.B. Verfahrensverzeichnis, Datenschutzkonzepte, IT-Sicherheitskonzepte)
Ermittlung des Handlungsbedarfs (Soll-Stand)
Sofern der Handlungsbedarf ermittelt wurde, kann eine Analyse zwischen Ist- und Soll-Stand durchgeführt werden.
Vor allem sind folgende Punkte vor dem Hintergrund der DSGVO zu beachten:
Rechtsgrundlagen
- Prüfung, ob eine Rechtsgrundlage für die Verarbeitung definiert werden kann (Vertrag, berechtigtes Interesse, gesetzliche Forderung, Einwilligung)
- Prüfung, ob die Einwilligungen den Anforderungen des Art. 7 bzw. des Art. 8 DSGVO erfüllt
Betroffenenrechte
- Beachtung der zustehenden Betroffenenrechte
- Z.B. Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung etc.
Datenschutz durch Technikgestaltung
- Beachtung der Vorgaben seitens der DSGVO nach Art. 25 DSGVO
- Anforderungen bei der Prozessgestaltung mit einbinden
Dienstleistungsbeziehungen (Auftragsverarbeiter)
- Prüfung der vorhandenen Auftragsverarbeitungsverträge
Anmerkung der Datenbeschützerin
Auftragsverarbeitungsverträge, die vor der DSGVO geschlossen wurden, sind nicht mehr gültig. Daher ist die Anforderung eines neuen Vertrags nötig.
Dokumentationspflichten
- Mit der Dokumentation kann der Verantwortliche seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen
- Dokumentation nach der DSGVO sind z.B. Verfahrensverzeichnis, Aufzeichnung von Datenschutzvorfällen, Auftragsverarbeitungsverträge
Datenschutz-Folgeabschätzungen (DSFA)
- Die DSFA erfordert eine umfangreiche Dokumentation
- Kann auch eine Konsultation mit der Aufsichtsbehörde nach sich ziehen
Meldepflichten
- Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
- Meldung von Datenpannen bei der zuständigen Aufsichtsbehörde
Datensicherheit
- Definition eines angemessenen Schutzniveaus
- regelmäßige Prüfung der Sicherungsmaßnahmen
Zertifizierung
- Im Rahmen eines Zertifizierungsverfahren kann der Nachweis über die Einhaltung der DSGVO erfolgen
Hinweis der Datenbeschützerin
Folgende Vorgehensweise wird seitens der Datenbeschützerin vorgenommen. Dabei handelt es sich um eine grobe Beschreibung, um die DSGVO umzusetzen.
- Erstellung des Verfahrensverzeichnisses mit einer Risikoanalyse (Ist-Stand) sowie Aufnahme der aktuellen TOMs, Prüfung der Internetseite
- Anfertigung eins Managementberichts mit den identifizierten Risiken und Handlungsempfehlungen (Soll-Stand)
- Erstellung der Informationspflichten für die Kunden/Geschäftspartner und Mitarbeiter
- Einholung und Prüfung von Auftragsverarbeitungsverträgen
- Vermittlung von Prozessbeschreibungen zu Datenschutzvorfällen und Betroffenenrechten
- Planung und Durchführung von Mitarbeiterschulungen
- Jährliche Überprüfung / Audits
DSK-Kurzpapier Nr. 8
Quelle
Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_8.pdf
