Wie setze ich in meinen Unternehmen Datenschutzrecht um?
Zunächst muss eine Bestandsaufnahme aller Datenverarbeitungsprozesse von personenbezogenen Daten durchgeführt werden. Hilfreich kann die Unterteilung in Handlungsfelder / Abteilungen sein (bspw. Marketingabteilung, Personalabteilung, etc.). In diesem Zuge sollte ein Verarbeitungsverzeichnis erstellt werden, in dem u.a. die Rechtsgrundlage für die Datenverarbeitung zu dokumentieren ist. Im Rahmen der Erstellung des Verarbeitungsverzeichnisses sollten neben den Rechtsgrundlagen auch die getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten geprüft und dokumentiert werden.
Alle betroffenen Personen müssen über die Datenverarbeitung informiert werden. Insoweit sind Datenschutzerklärungen zu erstellen, ggfs. zu aktualisieren.
Werden Dienstleister genutzt, müssen diese Dienstleistungsverhältnisse geprüft und über vertragliche Regelungen abgesichert werden. Notwendige datenschutzrechtliche Vereinbarungen (Auftragsverarbeitungsvertrag, Vertraulichkeitsvereinbarungen, Joint-Controller-Verträge, etc.) müssen geschlossen und ggfs. aktualisiert werden.
Mitarbeiter müssen zwingend im Umgang mit personenbezogenen Daten sensibilisiert werden.
Ein Prozess zur Beantwortung von Betroffenenrechten ist zu implementieren.
Es muss zudem ein Prozess implementiert werden, in dessen Rahmen Maßnahmen und Risiken evaluiert und verbessert werden.