Zehn Schritte, die Sie jetzt auf jeden Fall einleiten sollten!

  1. Bestimmen Sie die Verantwortlichkeit!

Die Geschäftsführung ist verantwortlich für die Erfüllung der gesetzlichen Auflagen. Legen Sie fest, wer im Unternehmen mit der Umsetzung betraut wird. Wenn Sie mehr als 20 Personen beschäftigen, die personenbezogene Daten verarbeiten, müssen Sie einen Datenschutzbeauftragten benennen und diesen Ihrer zuständigen Aufsichtsbehörde melden.

  1. Identifizieren Sie personenbezogene Daten!

Die DSGVO verlangt den Schutz personenbezogener Daten, die Sie in Ihrem Unternehmen verarbeiten. Identifizieren Sie diese Daten! Dazu gehören übrigens auch die Daten Ihrer Mitarbeiter.

  1. Erstellen Sie ein Verfahrensverzeichnis!

Machen Sie eine Übersicht, wie, wo und mit welchen Mitteln Sie personenbezogene Daten verarbeiten. Hier finden Sie eine Anleitung, wie Sie solch ein Verzeichnis dieser Prozesse erstellen können: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf

  1. Werden Sie Ihren Informations- und Auskunftspflichten gegenüber Betroffenen gerecht!

Bereits bei Erstkontakt mit einem Betroffenen, wenn Sie dessen Telefonnummer, Name oder Adresse notieren, müssen Sie darüber informieren, dass personenbezogene Daten erhoben, verarbeitet, gespeichert und genutzt werden und vor allem wie. Dabei sind auch die internen und die externen Datenflüsse von Bedeutung.

  1. Schließen Sie eine Vereinbarung zur Auftragsdatenvereinbarung mit Ihren externen Dienstleistern ab!

Sobald Sie einen externen Dienstleister mit der Datenverarbeitung beauftragen, liegt ein Auftragsverarbeitungsverhältnis vor. Sie müssen ergänzend zu Ihrem Hauptvertrag einen schriftlichen Vertrag zur Auftragsverarbeitung schließen. Dieser legt den datenschutzrechtlichen Rahmen beider Vertragsparteien während der Bereitstellung personenbezogener Daten fest. Typische Auftragsverarbeiter sind Messdienstleister, Heizkostenabrechner, EDV-Dienstleister, Aktenvernichter usw.

  1. Beachten Sie das Gebot der Datensparsamkeit und die Löschfristen!

Die Erhebung personenbezogener Daten muss dem Zweck angemessen und auf das notwendige Maß beschränkt sein. Beachten Sie die Aufbewahrungspflichten nach AO, HGB etc. Ist die Aufbewahrungspflicht oder der Zweck verfallen oder gar nicht gegeben, müssen Sie die Daten vollumfänglich und unverzüglich löschen.

  1. Schulen Sie Ihre Mitarbeiter in puncto Datenschutz!

Als für die Datenverarbeitung Verantwortlicher müssen Sie dafür sorgen, dass Ihre Mitarbeiter darüber informiert sind, welche Datenschutzanforderungen in der täglichen Arbeit einzuhalten sind.

  1. Handeln Sie schnell und effektiv bei Datenpannen!

Die Datenschutzgrundverordnung (DSGVO) definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung der Sicherheit. Dabei ist es unerheblich, ob sie unbeabsichtigt oder unrechtmäßig geschieht, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Eine Datenpanne muss der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Dafür brauchen Sie einen Meldeplan oder eine Meldekette, den oder die alle Mitarbeiter kennen.

  1. Sorgen Sie für die Datensicherheit Ihrer Hardware!

Nicht Ihr IT-Fachmann, sondern Sie als Verantwortlicher sollen dafür sorgen, dass die Systeme, auf denen personenbezogene Daten verarbeitet werden (EDV-Anlage, PCs, Laptops usw.), die entsprechenden Sicherheitsstandards erfüllen.

  1. Betreiben Sie nur datenschutzkonforme Webseiten!

Achten Sie darauf, dass Plug-ins, Webformulare, Cookies und Analyse-Tools datenschutzkonform auf Ihrer Website dargestellt werden. Wichtig ist vor allem die Datenschutzerklärung, die Sie hier generieren können: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de