Zehn Schritte, die Sie jetzt auf jeden Fall einleiten sollten!

  1. Bestimmen Sie die Verantwortlichkeit!

Die Geschäftsführung ist verantwortlich für die Erfüllung der gesetzlichen Auflagen. Legen Sie fest, wer im Unternehmen mit der Umsetzung betraut wird. Wenn Sie mehr als 20 Personen beschäftigen, die personenbezogene Daten verarbeiten, müssen Sie einen Datenschutzbeauftragten benennen und diesen Ihrer zuständigen Aufsichtsbehörde melden.

  1. Identifizieren Sie personenbezogene Daten!

Die DSGVO verlangt den Schutz personenbezogener Daten, die Sie in Ihrem Unternehmen verarbeiten. Identifizieren Sie diese Daten! Dazu gehören übrigens auch die Daten Ihrer Mitarbeiter.

  1. Erstellen Sie ein Verfahrensverzeichnis!

Erstellen Sie eine Übersicht darüber, wie, wo und mit welchen Mitteln Sie personenbezogene Daten verarbeiten, erstellen Sie ein Verzeichnis Ihrer Prozesse! Unter diesem Link finden Sie eine Anleitung, wie Sie so ein Verzeichnis erstellen können: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

  1. Werden Sie Ihren Informations- und Auskunftspflichten gegenüber Betroffenen gerecht!

Bereits bei Erstkontakt mit einem Betroffenen, wenn Sie dessen Telefonnummer, Name oder Adresse notieren, müssen Sie darüber informieren, dass personenbezogene Daten erhoben, verarbeitet, gespeichert und genutzt werden und vor allem wie. Hierbei sind auch die internen und externen Datenflüsse von Bedeutung.

  1. Schließen Sie eine Vereinbarung zur Auftragsdatenvereinbarung mit Ihren externen Dienstleistern ab!

Sobald Sie einen externen Dienstleister mit der Datenverarbeitung beauftragen, liegt hier ein Auftragsverarbeitungsverhältnis vor. Sie müssen einen schriftlichen Vertrag zu Auftragsverarbeitung, ergänzend zu Ihrem Hauptvertrag, schließen. Dieser legt den datenschutzrechtlichen Rahmen beider Vertragsparteien während der Bereitstellung personenbezogener Daten fest. Klassische Auftragsverarbeiter sind Messdienstleister, Heizkostenabrechner, EDV-Dienstleister, Aktenvernichter etc.

  1. Beachten Sie das Gebot der Datensparsamkeit und die Löschfristen!

Die Erhebung personenbezogener Daten muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Beachten Sie die Aufbewahrungspflichten nach AO, HGB etc.. Ist die Aufbewahrungspflicht oder der Zweck verfallen oder gar nicht gegeben, müssen Sie die Daten vollumfänglich und unverzüglich löschen.

  1. Schulen Sie Ihre Mitarbeiter in puncto Datenschutz!

Als für die Datenverarbeitung Verantwortlicher müssen Sie dafür sorgen, dass Ihre Mitarbeiter darüber informiert sind, welche Datenschutzanforderungen in der täglichen Arbeit einzuhalten sind.

  1. Handeln Sie schnell und effektiv bei Datenpannen!

Die Datenschutzgrundverordnung (DSGVO) definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung der Sicherheit. Dabei ist es unerheblich, ob es unbeabsichtigt, oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von, beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Eine Datenpanne muss der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Hierfür benötigen Sie einen Meldeplan oder -kette, den alle Mitarbeiter kennen sollen.

  1. Sorgen Sie für die Datensicherheit Ihrer Hardware!

Nicht Ihr IT-Fachmann, sondern Sie als verantwortlicher sollen Sorge tragen, dass die Systeme, auf denen personenbezogene Daten verarbeitet werden (EDV-Anlage, PCs, Laptops etc.) die entsprechenden Sicherheitsstandards erfüllen.

  1. Betreiben Sie nur datenschutzkonforme Webseiten!

Achten Sie darauf, dass Plugins, Webformulare, Cookies und Analyse-Tools datenschutzkonform auf Ihrer Webseite dargestellt werden. Wichtig ist vor allem die Datenschutzerklärung, die Sie hier generieren können: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de