1. Erstellung eines Datenverarbeitungsverzeichnisses
Im Datenverarbeitungsverzeichnis werden alle Prozesse innerhalb des Unternehmens erfasst, bei denen personenbezogene Daten verarbeitet werden:
- Welche Daten werden erfasst (z. B. Name, Adresse,Geburtsdatum),
- Zu welchem Zweck werden die Daten verwendet (z. B.Gehaltsabrechnung),
- Wer hat Zugriff auf diese Daten (z. B. Personalabteilung,IT-Abteilung, externe Lohnverrechnung),
- Wie lange werden die Daten aufbewahrt.
Dieses Verzeichnis ist ein zentrales Dokument, um den Überblick zu behalten und auf Anfrage der Datenschutzbehörde schnell Auskunft geben zu können.
Es hilft auch, potenzielle Schwachstellen im Datenschutz frühzeitig zu erkennen und notwendige Maßnahmen zu ergreifen.
2. Erfüllung der Informationspflicht
Eines der wichtigsten Prinzipien der DSGVO ist die Transparenz. Unternehmen sind verpflichtet, betroffene Personen (wie Mitarbeiter) darüber zu informieren, welche Daten über sie erhoben werden, zu welchem Zweck diese Daten verwendet werden und wie lange sie gespeichert werden.
Diese Informationen müssen klar, verständlich und leicht zugänglich sein.
💡 Beispiel
Wenn ein Unternehmen personenbezogene Daten von Bewerbern speichert, muss es die Bewerber darüber informieren, welche Daten verarbeitet werden, wozu die Daten verwendet werden (z. B. für die Auswahl eines Kandidaten) und wann die Daten gelöscht werden (z. B. sechs Monate nach Abschluss des Auswahlverfahrens). Diese Datenschutzinformation sollte den betroffenen Personen am besten gleich bei bzw. vor der Bewerbung zur Verfügung gestellt werden.
2 Möglichkeiten dazu:
- Bei Bewerbungen über die Homepage: Link/Seite mit den Informationen und einer Bestätigung der Kenntnisnahme vor dem Absenden der Unterlagen
- Als Antwort auf das eingelangte E-Mail mit der Bewerbung: Gleichzeitig mit der Bestätigung über den Erhalt wird ein Dokument mit der Datenschutzinformation geschickt.
3. Risikobewertung und Sicherheitsmaßnahmen
Jedes Unternehmen muss die potenziellen Risiken bei der Verarbeitung personenbezogener Daten bewerten. Das umfasst die Frage, wie hoch das Risiko ist, dass Daten missbraucht oder unberechtigt eingesehen werden könnten. Auf der Basis sollten dann geeignete technische und organisatorische Maßnahmen getroffen werden, um die Daten zu schützen.
Technische Maßnahmen sind z. B. die Verschlüsselung von Daten oder der Einsatz von sicheren Passwörtern.
Organisatorische Maßnahmen können
- Richtlinien sein, die festlegen, wer auf welche Daten zugreifen darf und
- Schulungen, um das Bewusstsein der Mitarbeiter für den Datenschutz zu stärken.
4. Verträge mit externen Dienstleistern
Viele Unternehmen arbeiten mit externen Dienstleistern zusammen, die Zugriff auf personenbezogene Daten haben. Das können zum Beispiel die externe Lohnverrechnung oder IT-Dienstleister sein.
In solchen Fällen schreibt die DSGVO vor, dass zwischen dem Unternehmen und dem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen wird.
In diesem Vertrag wird geregelt, wie der externe Dienstleister die Daten verarbeiten darf, welche Sicherheitsmaßnahmen er einhalten muss und welche Rechte und Pflichten beide Seiten haben. So wird sichergestellt, dass auch externe Partner die Datenschutzvorgaben einhalten.
5. Erstellung eines Löschkonzepts
Personenbezogene Daten dürfen nicht auf unbegrenzte Zeitgespeichert werden. Man muss also festlegen, wie lange die Daten aufbewahrt werden und wann sie gelöscht werden müssen.
Das Löschkonzept legt klare Regeln fest, wann welche Daten zu verschiedenen Zwecken gelöscht werden müssen, sobald sie nicht mehr benötigt werden oder die gesetzliche Aufbewahrungsfrist abgelaufen ist.
💡 Ein gutes Löschkonzept beinhaltet:
- Festlegung von Löschfristen für verschiedene Datentypen (z. B. Bewerberdaten nach sechs Monaten, Steuerunterlagen nach zehn Jahren),
- Wer die Verantwortung dafür hat, dass Daten fristgerecht gelöscht werden, und
- eine Dokumentation der Löschung, um im Falle einer Überprüfung nachweisen zu können, dass die Löschpflicht eingehalten wurde.
6. Schulung der Mitarbeiter und interne Datenschutzrichtlinien
Mitarbeiter müssen genau wissen, wie sie mit (sensiblen) Daten umgehen und welche rechtlichen Vorgaben sie beachten müssen.
Regelmäßige Schulungen sorgen dafür, dass alle Mitarbeiter datenschutzkonform arbeiten und mögliche Sicherheitsrisiken minimiert werden.
Zusätzlich sollte das Unternehmen eine interne Datenschutzrichtlinie erstellen, die klare Vorgaben zum Umgang mit personenbezogenen Daten macht. Diese Richtlinie sollte für alle Mitarbeiter zugänglich sein und regelmäßig aktualisiert werden, um Veränderungen in der Gesetzeslage oder neuen Technologien Rechnung zu tragen.
Fazit
Datenschutz ist ein laufender Prozess. Für die erfolgreiche Umsetzung der DSGVO braucht es mehr als einmalige Maßnahmen.
Unternehmen müssen regelmäßig überprüfen, ob ihre Datenschutzvorkehrungen noch den aktuellen Anforderungen entsprechen und diese bei Bedarf anpassen. Regelmäßige Schulungen und Audits helfen, das Bewusstsein für Datenschutz zu schärfen und sicherzustellen, dass alle Prozesse den rechtlichen Vorgaben entsprechen.
Subjektiv betrachtet wird das Thema Datenschutz immer öfter als Aufhänger genommen und findet damit auch immer mehr Beachtung. Mit einem strukturierten Ansatz lassen sich Datenschutz und Datensicherheit nachhaltig verankern und man ist auf der sicheren Seite.