1.1 Aufbau und Umsetzungsleitfaden

Der Datenschutzbeauftragte (DSB) unterstützt Sie bei der Umsetzung des Datenschutz-Management-Systems. Wichtig ist es daher zu wissen, was genau die Tätigkeit eines DSB ist, wie dieser hilft und worauf Sie bei der Auswahl eines DSB achten sollten. Dabei steht zunächst die Frage im Raum, ob es für Sie sinnvoller ist, einen internen oder externen DSB zu bestellen.

Der Onlineauftritt Ihres Unternehmens ist Ihr Aushängeschild. Bevor Sie mit der Umsetzung des Datenschutzes in Ihrem Unternehmen beginnen, sollten Sie sicherstellen, dass der Datenschutz Ihrer Website stimmt.
Denn: Missstände an Ihrer Website sind für Datenschutzbehörden leicht erkennbar. Sofern es bereits an dieser Stelle an der Umsetzung des Datenschutzes fehlt, dann ist auch den Behörden klar, dass Sie unternehmensintern erst recht erhebliche Defizite aufweisen.

Jetzt geht es an die unternehmensinterne Umsetzung. Die sogenannten Verarbeitungen und darauf basierenden Verarbeitungsverzeichnisse bilden dabei das Herzstück eines Datenschutz-Management-Systems. In Ihnen werden all die Vorgänge festgehalten, bei denen personenbezogene Daten "verarbeitet" werden. Was das eigentlich heißt und wie das für verschiedene Abteilungen und Prozesse auszusehen hat, erfahren Sie hier. Daneben lernen Sie, wie eine Risiko- und Folgenabschätzung für einzelne Verarbeitungsvorgänge auszusehen hat.

Technisch- organisatorische Maßnahmen (TOM´s) sind gesetzlich vorgeschriebene Maßnahmen, die die Einhaltung des Datenschutzes sicherstellen. Das betrifft Bereiche wie beispielsweise den Zutritt in Ihr Unternehmen, Zugriff auf bestimmte Daten oder deren Weitergabe. Insgesamt gibt es fast 200 Bezugspunkte, die technisch-organisatorisch abgesichert werden müssen. In diesem Modul erfahren Sie, welche das sind, wie Sie diese prüfen und nachweisen und wie Sie dabei am besten vorgehen.

Personenbezogene Daten haben unterschiedliche Löschfristen. Manche müssen unmittelbar gelöscht werden, andere können dagegen länger aufbewahrt werden und wiederum andere dürfen überhaupt nicht gelöscht werden. In diesem Modul erfahren Sie, welche Fristen jeweils gelten, was die entsprechenden Rechtsgrundlagen sind und wie Sie anhand dessen am besten vorgehen, um keine Kardinalfehler zu begehen.

Häufig sind Sie darauf angewiesen, Daten an externe Dienstleister oder Kooperationspartner weiterzugeben. Das kann beispielsweise im Rahmen einer Cloud-Nutzung, der Zahlungsabwicklung oder aber der Buchhaltung der Fall sein - die praktischen Anwendungsfälle sind endlos. Dann ist es wichtig zu wissen, unter welchen Voraussetzungen diese "Weitergabe" erlaubt ist und welche vertraglichen Vereinbarungen in diesen Fällen getroffen werden müssen.

Als Verantwortlicher haben Sie auf der einen Seite datenschutzrechtliche Pflichten gegenüber Ihren Mitarbeitern; gleichzeitig sind Ihre Mitarbeiter verpflichtet sich gegenüber dem Unternehmen und Externen datenschutzkonform zu verhalten. In diesem Modul erfahren Sie, welche Informationspflichten herrschen, wie Sie Ihre Mitarbeiter wirksam zu datenschutzkonformem Verhalten verpflichten und welche Anforderungen an die Verarbeitung der Daten Ihrer Mitarbeiter gelten. Daneben geben wir Ihnen einen ausgearbeiteten Prozess an die Hand, damit Sie Bewerbungsverfahren zukünftig auch wirklich datenschutzkonform durchführen können. 

Auch gegenüber Kunden und Lieferanten gibt es Informationspflichten, die Sie als Verantwortlicher einhalten müssen. Wichtig ist es dann zu wissen, welche Anforderungen an den Inhalt dieser Informationspflichten zu stellen sind und wann diese jeweils erfolgen müssen. Sie erfahren auch, wie Sie eine unzulässige Datenverarbeitung präventiv vorbeugen und wie Sie sich im Falle der Geltendmachung der Betroffenenrechte durch die Kunden richtig verhalten.

Manchmal gibt es trotz aller Vorkehrungen Datenschutzpannen. Das kann beispielsweise die versehentliche Weitergabe von personenbezogenen Daten sein oder eine unrechtmäßige Verarbeitung. In diesem Modul erfahren Sie, wie Sie im Fall einer Datenpanne richtig vorgehen und welche Abläufe befolgt werden müssen.

Wie ist das eigentlich, wenn Behörden einen Datenschutzaudit bei Ihnen durchführen wollen? In diesem Modul stellen wir Ihnen den Anforderungskatalog für einen Datenschutzaudit zur Verfügung, der an den Vorgaben von offizieller Seite angelehnt ist.