Seit mehr als fünf Jahren ist die DSGVO nun schon in Kraft. Sicher haben auch Sie in dieser Zeit bereits die ein oder andere datenschutzrechtliche Hürde erfolgreich gemeistert.

Können Sie alle Punkte abhaken?

Technische und organisatorische Maßnahmen (TOMs)
Durch z.B. den Einsatz von Firewalls, Verschlüsselung und Zugangskontrollen  schützen sie sensible Daten vor unbefugtem Zugriff. Interne Richtlinien, Schulungen und regelmäßige Überprüfungen der Datenverarbeitungsprozesse stellen zudem sicher, dass geltende Datenschutzbestimmungen eingehalten werden. Durch die Implementierung und den ständigen Ausbau Ihrer TOMs signalisieren Sie Ihren Kunden Engagement für den Schutz personenbezogener Daten und schaffen Vertrauen.

Datenschutz im eigenen Unternehmen und Mitarbeitersensibilisierung
Es sollten regelmäßig Datenschutzschulungen durchgeführt werden, um das Bewusstsein für mögliche Fallstricke zu schärfen und Ihnen Handlungsempfehlungen an die Hand zu geben. Die regelmäßige Durchführung von Mitarbeiterschulungen können Sie dann auch als einen wichtigen Bestandteil Ihrer technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten anführen (s.o.).

Internationaler Datentransfer
Übermitteln Sie personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (die meisten Big Player, wie etwa Google oder Microsoft, sitzen in den USA), haben Sie sicherzustellen, dass ein angemessenes Datenschutzniveau gewährleistet ist. Je nach Zielland können verschiedene Mechanismen zur Rechtfertigung des Datentransfers genutzt werden, wie beispielsweise (modifizierte) EU-Standardvertragsklauseln oder Binding Corporate Rules (BCRs). Ein Datentransfer ohne ausreichende Schutzgarantie stellt einen Verstoß gegen die DSGVO dar.

Datenschutzbeauftragter
Unter bestimmten Umständen sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen. Dies gilt in qualitativer Hinsicht insbesondere für Unternehmen, die regelmäßig und in großem Umfang personenbezogene Daten verarbeiten oder bei denen die Verarbeitung besonderer Kategorien von Daten (z. B. Gesundheitsdaten) erfolgt. In quantitativer Hinsicht muss ein Datenschutzbeauftragter benannt werden, soweit im Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Meldepflichten
Eine Datenschutzpanne ist trotz größter Sorgfalt nicht völlig auszuschließen. Tritt Sie auf, sind Sie verpflichtet, dies unverzüglich der zuständigen Datenschutzbehörde zu melden, sofern dadurch die Rechte und Freiheiten der betroffenen Personen gefährdet sind. Darüber hinaus müssen Sie unter bestimmten Umständen auch die betroffenen Personen selbst informieren. Es ist ratsam, interne Verfahren zu implementieren, um Datenschutzverletzungen effektiv zu erkennen, zu untersuchen und zu melden. Es empfiehlt sich außerdem, alle Vorfälle und die ergriffenen Maßnahmen zur Behebung der Verletzung sorgfältig in einer Dokumentation festzuhalten.