Ab 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) anzuwenden (sie ist bereits am 24. Mai 2016 in Kraft getreten). Die DSGVO gilt für alle, von Behörden über Großkonzerne bis hin zu Klein- und Mittelbetrieben und dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Datenverkehr. Unter dem freien Datenverkehr versteht man EU-weite Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Ein Verstoß gegen das Datenschutzgesetz kann Verwaltungsstrafen und gerichtliche Folgen nach sich ziehen.
Welche Maßnahmen sind zu treffen?
Evaluierung der Datenverarbeitungen (auch die Standardanwendungen)
Inventarisierung aller Dienstleister und Verträge (prüfen und ggfs. fehlende Verträge abschließen)
Evaluierung vorhandener interner IT-Policies und Datenverarbeitungen
Informationspflichten an Betroffene erfüllen
Abläufe und Inhalte bei deren Anfragen über Art und Umfang der Datenverarbeitung personenbezogener Daten vorbereiten
Abläufe bei Datenmissbrauch (Musterschreiben, Zuständigkeiten) entwerfen
Überprüfung aller eingeholten Zustimmungen
Evaluierung der technischen Einstellungen bei der Datenerhebung, der Datenspeicherung und der Datenlöschungen
Bei neuen Datenverarbeitungen eine Datenschutz-Folgenabschätzung erstellen
Absolvierung von Schulungen der MitarbeiterInnen und Verantwortlichen
Schriftliche Dokumentation zur Erfüllung der Rechenschaftspflicht
Wie ist vorzugehen?
Führung eines Verzeichnisses über die Verarbeitungstätigkeiten und die damit verbundene Risikobeurteilung und Datenschutz-Folgeabschätzung
Ist ein Datenschutzbeauftragter notwendig? wenn ja bestellen
Wahrung der Betroffenenrechte und Einholen der Einwilligung zur personenbezogenen Datenverarbeitung bei gleichzeitigem Widerspruchsrecht
Verabeitung ausschließlich von benötigten und aktuellen Daten
Vernichtung von Daten, die nicht mehr benötigt werden
Sicherheit der verarbeiteten Daten muss gewährleistet sein
Die DSGVO gilt auch für Hartkopien (Ordner im Aktenschrank, Karteikarten, Archive…)
Weiterleiten nur an vertrauenswürdige Dritte im Rahmen einer ordnungsgemäßen schriftlichen Vereinbarung
Potenziellen Verstößen sofort nachgehen und gegebenenfalls melden
Anweisung und Schulung der handelnden Personen