von LocalBranding
Zur DS-GVO stellen wir hier noch mal eine komprimierte Liste zusammen mit den wichtigsten Schritten, die im Unternehmen getan werden müssen.
Die Liste ist hier zusätzlich verfügbar als
Das Gesamtkonzept erfasst die relevanten Bereiche in Unternehmen, die von der DS-GVO betroffen sind.
Das Datenschutzkonzept dokumentiert alle datenschutzrechtlichen Aspekte im Unternehmen zusammenfassend.
Beantwortet: Was sind unsere Ziele, Verantwortlichkeiten, technischen und organisatorischen Maßnahmen und Dokumentationspflichten bzgl. des Datenschutzes?
Dieses Verzeichnis soll zu höherer Transparenz bzgl. der Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens führen. Es enthält Verfahrensbeschreibungen.
Beantwortet: Warum gilt die Datenverarbeitung als rechtmäßig?
Welche personenbezogenen Daten werden wie, wann und warum verarbeitet?
Dieses Dokument beschreibt, wie die Daten der Betroffenen (Kunden, Lieferanten, Mitarbeiter etc.) abgesichert und geschützt werden. Es rechtfertigt im Fall eines Datenlecks oder Datenschutzverstoßes den Schutzgrad des Unternehmens.
Beantwortet: Sind unsere technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten angemessen?
Die DSFA dient der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Mit einer Risikoanalyse sollte zuerst festgestellt werden, ob für bestimmte Datenverarbeitungsprozesse aufgrund sensibler Daten eine DSFA erforderlich ist.
Beantwortet: Wie hoch ist die Eintritts-Wahrscheinlichkeit von Datenpannen?
Datenschutzhinweise informieren darüber, in welchem Rahmen eine Datenverarbeitung stattfindet, d.h. wie die Daten erhoben und verarbeitet werden. Entsprechende Datenschutz Dokumente sind z.B. auf Webseiten vorzufinden, oder aber auch häufig Bestandteil von Vertriebs- und Vertragsunterlagen.
Beantwortet: In welchem Rahmen findet eine Datenverarbeitung statt?
Betriebsvereinbarungen werden mit Mitarbeitern getroffen um vertraglich sicherzustellen, dass die Verarbeitung von personenbezogenen Daten rechtmäßig verläuft. Zusätzlich können firmeninterne Verhaltensregeln für den Umgang mit personenbezogenen Daten festgelegt werden.
Relevante Themenbereiche für diese Vereinbarungen sind folgende:
Im Falle der Verarbeitung von personenbezogenen Daten durch externe Partner (z.B. durch die LocalBranding GmbH oder aber auch externe Rechnungsstellen), muss über diesen Auftrag zwingend ein Vertrag abgeschlossen werden.
Beantwortet: Welche Partei ist für die Verarbeitung personenbezogener Daten in welchem Maße verantwortlich?
Sollte ein DSB gesetzlich pflichtgemäß erforderlich sein, muss dieser ernannt werden. Sollte dies nicht der Fall sein, muss zumindest geklärt werden wer für den fortlaufenden Schutz personenbezogener Daten verantwortlich ist (oft ist dies der Geschäftsführer/ die Geschäftsführerin).
Beantwortet: Wer ist mit dem Schutz personenbezogener Daten in unserem Unternehmen beauftragt?
Die DS-GVO berechtigt Betroffene dazu Informationen über die Verarbeitung personenbezogener Daten zu erhalten. Aus diesem Grund solltest Du in der Lage sein, schnellstmöglich Auskunft geben zu können, ob und wenn ja, wie und zu welchem Zweck personenbezogene Daten der betreffenden Person verarbeitet werden.
Verfasst von Frank Jeroma
Frank Jeroma ist Gründer und Geschäftsführer der LocalBranding GmbH. Er hat über 20 Jahre Erfahrung im Bereich der integrierten Markenführung. Mit der Entwicklung von tragfähigen Geschäfts- und Markenkonzepten speziell für kleine und mittlere Unternehmen leistet er seinen Beitrag zum Erhalt der ökonomischen Vielfalt in Deutschland und Europa.