DSGVO: Was muss ich tun?
1. Datenschutzbeauftragten ernennen
Wenn Sie ein Unternehmen leiten, dass personenbezogen Daten automatisch verarbeitet, müssen Sie einen Datenschutzbeauftragten benennen. Mit personenbezogenen Daten sind jene der Mitarbeiter, Kunden, Unternehmenspartner oder auch Lieferanten gemeint.
Ein externer Datenschutzbeauftragter in München kümmert sich um den Datenschutz in Ihrem Unternehmen, er identifiziert, überprüft und passt relevante Prozesse den vorgeschriebenen Datenschutzbestimmungen an.
2. Verzeichnis der Verarbeitungstätigkeiten erstellen
Es muss in Ihrem Unternehmen von nun an, ein Verzeichnis der Verarbeitungstätigkeiten erstellt werden. Dieses Verzeichnis ist eine gewöhnliche Tabelle, in der aufgelistet werden soll, welche und wessen Daten in Ihrem Unternehmen wann und wofür erfasst wurden. Beispielsweise Namen und Kontaktdaten der Kunden aber auch Daten aus der Lohnbuchhaltung oder Personaldaten. Bei größeren Unternehmen ist es sinnvoll, einen Projektleiter für den Datenschutz zu ernennen. Dieser kann diejenigen Mitarbeiter befragen, die den Datenschutz der Firma zu verantworten haben, aber auch Lieferanten oder Praktikanten. Ein externer Datenschutzbeauftragter aus München wird die gesammelten Informationen überprüfen und gegebenenfalls optimieren.
3. Dokumentieren aller Datenverarbeitungsprozesse
Alle Prozesse die mit Datenverarbeitung zusammenhängen müssen dokumentiert werden.
Gemeint damit sind Fragen wie z. B.
– wie werden Kunden über die Verarbeitung ihrer Daten informiert?, – was ist zu tun, wenn es zu einem Hackangriff o. ä. kommt und personenbezogene Daten gestohlen werden?, – gibt es Schulungen für Mitarbeiter damit diese die neue Datenschutz Grundverordnung korrekt anwenden können?
4. Eine Datenschutz – Folgeabschätzung durchführen
Unternehmen wie beispielsweise Arztpraxen, Versicherungsagenturen oder auch Banken die mit besonders sensiblen und persönlichen Daten in Berührung kommen, sind verpflichtet besonders vorsichtig mit den Informationen umzugehen. Daten die Informationen über die Herkunft, Sexuelle Orientierung, politische Ansichten, Krankheiten oder finanzielle Situation enthalten, müssen besonders geschützt werden. Eine Datenschutz – Folgeabschätzung besteht darin, eine Art Checkliste zu führen.
Welche Vorkehrungen wurden in Ihrem Unternehmen getroffen um die Daten der Patienten oder Kunden zu schützen? Welche technischen oder organisatorischen Schritte wurden eingeleitet, die Daten vor Fremdzugriffen zu schützen und was passiert, wenn es doch zu einem Leck im System kommt und Daten in Fremde Hände geraten? Außerdem muss der Zweck der Datenverarbeitung verhältnismäßig sein und es sollen auch an dieser Stelle, die genauen Prozesse der Datenverarbeitung ersichtlich sein.
5. Dokumentation
Alle Vorkehrungen und Anstrengungen die unternommen wurden, um die Daten zu schützen müssen von Ihnen dokumentiert werden. Alle Schulungen die es für Mitarbeiter gegeben hat, sollten ersichtlich sein. Hierzu gehören auch die Vereinbarungen mit Partnern, Lieferanten usw. . Außerdem sollten alle technischen Geräte die personenbezogene Daten enthalten, hierzu zählen Computer, externe Festplatten, USB – Sticks, CD – Roms aber auch Bücher vor Fremdeinwirkungen geschützt werden. Die Datenspeicher können beispielsweise durch komplexe Passwörter gesichert oder in Safes sicher verschlossen werden.
Gute Dokumentation zahlt sich aus! Denn sollte es trotz aller Bemühungen doch zu einem Leck im Betrieb kommen, sodass Daten verloren gehen, droht keine Gefahr vor hohen Bußgeldern, wenn alle aufgezählten Punkte eingehalten und vor allem alle Vorkehrungen, die Sie in Ihrem Unternehmen getroffen haben, sauber und nachvollziehbar dokumentiert wurden.
Unternehmen, die die neue Datenschutz Grundverordnung nicht befolgen drohen Bußgelder bis zu 20 Millionen Euro oder 4% vom Jahresumsatz.