Seit mehr als vier Jahren ist die DSGVO nun schon in Kraft. Sicher haben auch Sie in dieser Zeit bereits die ein oder andere datenschutzrechtliche Hürde erfolgreich gemeistert. Viele Begrifflichkeiten aus dem Bereich des Datenschutzes sind Ihnen mittlerweile - einige mehr, andere weniger - bekannt.

Mit unserer „Checkliste Datenschutz“ möchten wir Ihnen einige wichtige Punkte zum Thema „Datenschutz im Unternehmen“ ins Gedächtnis rufen bzw. vorstellen:

1. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Das Verzeichnis stellt eine interne Auflistung aller Verarbeitungsvorgänge personenbezogener Daten dar. Es ist in erster Linie vom datenschutzrechtlich Verantwortlichen zu führen, in ähnlicher Weise aber auch von einem Auftragsverarbeiter. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und ist besonders für Datenschutz-Audits ein wichtiges Instrument. Auf Verlangen ist das Verzeichnis zudem der Datenschutzbehörde vorzulegen.

2. Unternehmensrichtlinie Datenschutz
Hiermit werden bestehende Vorgaben zum Datenschutz in einem zentralen Dokument verankert und die Mitarbeiter mit den Grundprinzipen des Datenschutzes vertraut gemacht. Allen Mitarbeitern des Unternehmens muss es jederzeit, schnell und ohne besondere Hindernisse möglich sein, Kenntnis von der Datenschutzrichtlinie zu erlangen. Sie bezweckt zum einen den Schutz personenbezogener Daten von Betroffenen und die langfristige Wahrung eines angemessenen Schutzniveaus, zum anderen ist sie ein Instrument, um der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gegenüber der Aufsichtsbehörde und ggf. auch gegenüber Kunden nachzukommen.

3. Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Sie soll bei Verarbeitungen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, durchgeführt werden und eine verbesserte Compliance mit Blick auf die Maßgaben der DSGVO bewirken. Um festzustellen, ob der Fall eines voraussichtlich hohen Risikos vorliegt, ist vorab eine Beschäftigung mit der Datenverarbeitung (Art. 35 Abs. 1 DSGVO nennt Art, Umfang, Umstände und Zwecke der Verarbeitung) und dem sich daraus ergebenden Risiko notwendig, um zu klären, ob voraussichtlich ein hohes Risiko vorliegt und in dem Fall eine vollständige Folgenabschätzung durchzuführen ist. Eine Datenschutz-Folgenabschätzung ist häufig durchzuführen beim Einsatz neuer Technologien (z.B. KI) sowie bei der Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten) und/ oder großer Datenmengen.

4. Auftragsverarbeitungsvertrag (Art. 28 DSGVO)
Sie arbeiten mit externen Dienstleistern zusammen oder bieten Ihre Dienstleistungen an andere Unternehmen an? Möglicherweise benötigen Sie dann einen Auftragsverarbeitungsvertrag (kurz: „AVV“). Im Grundsatz braucht es einen AVV, wenn ein Unternehmen für ein anderes Unternehmen im Auftrag und weisungsgebunden tätig wird und dabei mit personenbezogenen Daten in Berührung kommt bzw. dies nicht ausgeschlossen werden kann. Die inhaltlichen Kernpunkte des Vertrages ergeben sich dabei aus Art. 28 DSGVO. Fehlt ein AVV, riskieren Sie die Verhängung eines Bußgelds oder die Konfrontation mit möglichen Schadensersatzansprüchen.

Konnten Sie alle Punkte abhaken? Gerne beraten wir Sie zu datenschutzrechtlichen Fragestellungen aller Art und/ oder der Implementierung eines rechtssicheren Datenschutzkonzeptes für Ihr Unternehmen.

Bild: ©stock.adobe.com: peterschreiber.media