Eine der ersten Maßnahmen zum Datenschutz ist die Benennung eines Datenschutzbeauftragten (DSB), sofern dies noch nicht erfolgt ist.
Im zweiten Schritt sind alle Verfahren zu ermitteln, mit denen personenbezogene Daten verarbeitet werden. Zu jedem Verfahren muss ein Verarbeitungsverzeichnis nach Artikel 30 EU-DSGVO vorliegen. Es ist darauf zu achten das mit Verfahren nicht nur EDV-Verfahren gemeint sind. Zu jedem Verfahren sollten auch die Rechtsgrundlagen benannt sein, nach die Verarbeitung der personenbezogenen Daten erfolgt und ob für die anderen Fälle eine Einwilligungserklärung der Dateninhaber vorliegt.
Des Weiteren ist eine komplette IT Bestandsaufnahme notwendig. Sämtliche EDV-Anlagen, Drucker, Scanner oder Netzwerkinfrastruktur sollte erfasst und dokumentiert sein.
Zur Dokumentation des Datenschutzes sind alle Maßnahmen und Schutzvorkehrungen zu benennen, die zur Erhöhung und zum Erhalt des Datenschutzes beitragen.
Für vorhandene Dienstleistungsbeziehungen die Kontakt zu personenbezogenen Daten haben, sind Auftragsdatenverarbeitungen abzuschließen. Einen entsprechenden Verweis dazu findet man ebenfalls in der EU Datenschutzgrundverordnung.
Für die Mitarbeiter sollten Dienstanweisungen erlassen werden, die den Umgang mit personenbezogenen Daten regeln. Die Mitarbeiter sind stetig im Bereich Datenschutz zu schulen und zu sensibilisieren. Die Kontrollfunktion des Datenschutzes übernimmt der betriebliche Datenschutzbeauftragte.
Die DS-GVO verpflichtet in Art. 5 Abs. 2 DS-GVO den Verantwortlichen zum Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden (Rechenschaftspflicht). Zusätzlich sieht die DS-GVO an unterschiedlichen Stellen Dokumentationspflichten vor, wie zum Beispiel die Dokumentation von Datenschutzvorfällen in Art. 33 Abs. 5 DS-GVO oder die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung in Art. 28 Abs. 3 DS-GVO.
Eine der wichtigsten Aufgaben nach Aufnahme des IST-Bestandes ist, eine Gefahren/Risiko-Analyse zu entwickeln, um so Schwachstellen im Datenschutz zu erkennen und gegen zu arbeiten. Die Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erfordert eine umfangreiche Dokumentation. Unternehmen müssen dann daraus ein angemessenes Schutzniveau in Bezug auf die Sicherheit der Verarbeitung gewährleisten und die dafür implementierten Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen (Art. 24 und 32 DS-GVO).
Betroffenenauskunft
Den Personen, zu denen Daten erhoben werden, stehen umfangreiche Rechte zu, die der Verantwortliche zu beachten hat. Neben der Recht auf Auskunft nach Art. 13, 14 DS-GVO und Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO, das Recht auf Löschung nach Art. 17 DS-GVO und das Widerspruchsrecht nach Art. 21 DS-GVO.
Dokumentationspflichten
– Verzeichnis IST Bestand
– Reaktionsmechanismen auf Datenpannen,
– Organisation von Meldepflichten,
– Anpassung der Dienstleistungsbeziehungen,
– Verarbeitungsverzeichnisse
– Risikofolgenabschätzung
– Verzeichnis der Zugriffsrechte