Ultimative Checkliste für die Umstellung vom BDSG auf Datenschutz-Grundverordnung zum Mai 2017
Ab dem 25. Mai 2018 sollen Unternehmen die Regeln der DSGVO einhalten. Das ist nicht einfach. Häufig fehlt die Kenntnis von dem, was genau zu ändern ist. Und einzelne Unternehmen sind schon auf die Anforderungen des BDSG nicht gut eingestellt gewesen. Es hilft aber nichts: Unternehmen müssen sich dem gesetzeskonformen Zustand Schritt für Schritt nähern. Eine Checkliste hilft hier weiter.
Checklisten zur DSGVO gibt es schon viele. Eine Checkliste der zuständigen Aufsichtsbehörde fehlte bisher. Eine „staatliche“ Checkliste ist jedoch besonders wichtig. Denn als Unternehmen und als Datenschutzbeauftragter will ich doch wissen, was meine zuständige Datenschutzaufsichtsbehörde bei der Herstellung der Übereinstimmung mit den Vorschriften der DSGVO besonders wichtig ansieht. Die Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich von Bund und aus allen Bundesländern haben sich nun geäußert und den Unternehmen 10 „Anregungen“ auf den Weg zur Umsetzung der DSGVO mitgegeben. Als Datenschutzbeauftragter sollte man diesen amtlichen Anregungen besondere Aufmerksamkeit widmen und sie zum Gegenstand einer To Do-Liste machen.
Es handelt sich um folgende Anregungen:
Sensibilisierung: Mitarbeiter über die Inhalte der DSGVO in Kenntnis setzen.
Verfahrensverzeichnis: künftig Verarbeitungsverzeichnis aktualisieren und alle Datenverarbeitungsprozesse erfassen.
Datenverarbeitungsprozesse daraufhin prüfen, ob sich Unzulässigkeiten nach der DSGVO ergeben.
Rechtsvorschriften für Datenverarbeitung von Minderjährigendaten (< 16 Jahre) besonders prüfen.
Für jeden Datenverarbeitungsprozess überprüfen, ob Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen einzurichten ist.
Verträge mit Dienstleistern, die personenbezogene Daten des Unternehmens verarbeiten, auf Konformität mit der DSGVO prüfen.
Datenschutzfolgenabschätzung implementieren.
Regeln, nach welchem Verfahren sich der Datenschutzbeauftragte mit der Aufsichtsbehörde abstimmt.
Informationspflichten gegenüber den Betroffenen umsetzen und auf weitere Betroffenenrechte (Berichtigung, Löschung, Auskunft) per Reaktionsplan einrichten.
Datenschutzbezogene Pflichterfüllung dokumentieren, vor allem Verarbeitungsprozesse, Datenschutzvorfälle und Weisungen gegenüber dem Dienstleister.
(Philipp Kramer, Chefredakteur Datenschutz-Berater)