Startseite Handlungsbedarf zur Umsetzung DS-GVO für Unternehmen

Handlungsempfehlungen zur Umsetzung der DS-GVO für Unternehmen

Adressat:

Unternehmen, Gewerbetreibende, Freiberufler

 

Wer ist für die Umsetzung der DS-GVO verantwortlich?

Geschäftsführer, Vorstände bzw. Inhaber

 

Was ist zu tun?

Auch nach neuem Recht benötigen Sie für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies können wie bisher eine gesetzliche Regelung oder eine Einwilligung der betroffenen Personen sein. Auch Betriebsvereinbarungen bleiben nach Art. 88 DS-GVO nach wie vor zulässig.

Es gibt jedoch auch zahlreiche Änderungen. Im Folgenden finden Sie in Kurzform (nicht abschließende) Handlungsempfehlungen:

 

  1. Internen Datenschutzbeauftragten benennen (Eine Benennung ist wie bisher dann verpflichtend, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden (vgl. § 38 Abs. 1 BDSG-neu), darüber hinaus auch dann, wenn eine Datenschutz-Folgenabschätzung notwendig ist (§ 38 Abs. 1 BDSG-neu) oder die Art der Kerntätigkeit des Unternehmens den in Art. 37 Abs. 1 lit. b oder c DS-GVO benannten Kriterien entspricht. Zur Herstellung vertrags- bzw. arbeitsrechtlicher Rechtssicherheit sollten bestehende Bestellungen nach § 4f BDSG angepasst werden.)
  2. „Verzeichnis von Verarbeitungstätigkeiten“ vorbereiten (vgl. Art. 30 DS-GVO - Bestehende Verfahrensverzeichnisse nach § 4g Abs. 2 Satz 1 BDSG können hierfür als Ausgangspunkt genutzt werden.)
  3. Datenschutz – Folgenabschätzung“ (Art. 35 DS-GVO) für neue Verfahren schon jetzt vorbereiten
  4. Zuständigkeiten für Informationen bei Datenverlust festlegen (Art. 33, 34 DS-GVO verpflichten Verantwortliche dazu, Datenlecks und Schutzmaßnahmen unverzüglich - soweit möglich innerhalb von 72 Stunden - dem Sächsischen Datenschutzbeauftragten und den Betroffenen mitzuteilen.)
  5. Vorhandene Einwilligungen prüfen, um sicherzustellen, dass sie nach Wirksamwerden der Datenschutz-Grundverordnung fortgelten (Insbesondere muss gemäß Art. 7 Abs. 3 DS-GVO die betroffene Person vor Abgabe der Einwilligung darüber in Kenntnis gesetzt werden, dass der Widerruf einer Einwilligung nur die Datenverarbeitung ab diesem Zeitpunkt betrifft; weiterhin muss der Verantwortliche gemäß Art. 7 Abs. 1 DS-GVO die Einwilligung nachweisen können.)
  6. Einhaltung der erweiterten Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen nach den Artikeln 13 und 14 Datenschutz-Grundverordnung sicherstellen (Diese sind insbesondere unabhängig von einer Kenntnis der betroffenen Person und umfassen u. a. neben der Dauer der Datenspeicherung auch das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.)
  7. Bestehende Verträge daraufhin überprüfen, ob Vorgaben für Vereinbarungen mit Auftragsverarbeitern gemäß der Artikel 28 und 29 Datenschutz-Grundverordnung eingehalten werden (Insbesondere können Unterauftragnehmer gemäß Art. 28 Abs. 2 DS-GVO nur nach vorheriger gesonderter oder mit allgemeiner schriftlicher Genehmigung (und nachfolgender Information im Einzelfall) in Anspruch genommen werden.)
  8. Prüfen, ob eine gemeinsame Verantwortlichkeit mit anderen Stellen vorliegt (Dies ist gemäß Art. 26 DS-GVO dann der Fall, wenn gemeinsam die Zwecke der und die Mittel zur Verarbeitung festgelegt werden. Dann ist in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß d Art. 13, 14 DS-GVO nachkommt.)

 

Weitergehende Informationen finden Sie hier: