DSGVO: Die 12 Schritte

Wer noch nicht DSGVO-fit ist, findet hier einen 12-Schritte-Plan als roten Faden:

Unterstützung aus dem Management sichern
DSGVO ist Chefsache.
Datenschutzbeauftragten ernennen und Zuständigkeiten klären
In vielen Fällen aber nicht notwendig.
Ersten Überblick verschaffen
Wie geht man aktuell mit personenbezogenen Daten um?
Ziele des Datenschutzmanagements in Unternehmensrichtlinie definieren
Will man 100 % Datenschutz-Compliance oder reicht es einem vielmehr aus, so rechtskonform zu sein, dass sich niemand beschweren wird?
Passende IT-Tools für das Datenschutz-Management auswählen
Es gibt spezielle Software um z.B. das Verzeichnis der Verarbeitungstätigkeiten zu führen. Wird oft auch von der eigenen Branchensoftware abgedeckt. In vielen Fällen reicht aber die Word-Vorlage der Interessensvertretungen.
Informationen über alle Datenverarbeitungsprozesse erheben
Welche Daten werden für welche Zwecke verarbeitet, wie lange aufbewahrt, an wen übermittelt, auf welcher Rechtsgrundlage verarbeitet?
Verzeichnis der Verarbeitungstätigkeiten erstellen
Es gibt bei vielen Interessensvertretungen Vorlagen (z.B. WKO).
Rechtmäßigkeit der Verarbeitungstätigkeiten absichern
Darf ich das, was ich hier tue, denn überhaupt? Datenschutzerklärung erstellen und Vertrag mit Auftragsverarbeitern abschließen. Wenn notwendig, Zustimmung einholen.
Datenschutz-Folgenabschätzungen durchführen
Nur bei datenschutzrechtlich hohem Risiko notwendig.
Datenschutzrelevante Unternehmensrichtlinien erstellen
Richtlinie zum Umgang mit personenbezogenen Daten, Informationssicherheit, Reaktion auf Zwischenfälle, etc.
Konzept für unternehmensinterne Informationsmaßnahmen und Schulungen erstellen
Wen wie oft schulen?
Datenschutz im täglichen Betrieb aufrechterhalten
Regelmäßig schulen, interne Audits, Richtlinien überprüfen, Verarbeitungsverzeichnis aktualisieren.