D.3. Das ist jetzt zu tun!

D.3. Das ist jetzt zu tun!

In diesem Beitrag geht es darum, welche Maßnahmen Sie datenschutzrechtlich umzusetzen haben.

1. Datenschutz von Anfang an und Datenschutz als Kernaufgabe

Die Thematik Datenschutz gehört in die Leitungsebene und muss vom z. B. vom Projektteam, dem
Vereinsvorstand oder der GmbH-Geschäftsführung zur Chefsache gemacht werden. Ein/e
Verantwortliche/r muss sich dem Thema annehmen und die nachfolgend skizzierten
Aufgaben abarbeiten. Wenn der Datenschutz von Anfang an implementiert ist und als “privacy by
design” in allen Prozessen beachtet wird, werden die Umsetzungsmaßnahmen auch nicht stören,
sondern als ein weiterer Qualitätsstandart die unternehmerischen Ziele fördern.

2. Erstellung eines Verarbeitungsverzeichnisses

Verschaffen Sie sich zunächst einen datenschutzrechtlichen Überblick über die aktuelle Situation im
Projekt/ Verein/ Unternehmen. Ein wirksames Mittel dazu kann das – in vielen Fällen gesetzlich
vorgeschriebene – Verzeichnis der Verarbeitungstätigkeiten (VVT) sein.

Prüfen Sie in diesem Zusammenhang, ob die vorhandenen personenbezogenen Daten auf einer
Rechtsgrundlage beruhen oder gegebenenfalls gelöscht werden müssen. Ausführlichere
Informationen zum VVT finden Sie im Beitrag D.4.

3. Bestellung eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter ist nötig, wenn:

  • mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • besondere Kategorien personenbezogener Daten (wie z. B. ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gesundheitsdaten) verarbeitet werden.

Ausführlichere Informationen zum Datenschutzbeauftragen finden Sie im Beitrag D.5.

4. Umgang mit Datenschutzverletzungen

Ihre Unternehmenskultur sollte so aufgebaut sein, dass Sie sofort erkennen können, ob im Unternehmen eine Datenschutzverletzung eingetreten ist. In diesem Fall muss dann klar sein, wer sich um die Datenschutzverletzung kümmert. Die Verletzung des Schutzes personenbezogener Daten kann unbeabsichtigt oder unrechtmäßig auftreten. Verletzungshandlungen können sein:

  • Verlust, Diebstahl, Fehlversand,
  • Softwarefehler,
  • Schadcode, Hacking,
  • Fehlentsorgung oder
  • Vernichtung sowie Verlust.

Bei einer Verletzung personenbezogener Daten beträgt die Meldepflicht 72 Stunden. Spätestens
nach Ablauf dieser Zeit ist der Datenschutzaufsichtsbehörde der Sachverhalt anzuzeigen. Zu den
Betroffenenrechten und zur Datenschutzaufsicht siehe Beitrag D.7.