In diesem Beitrag geht es darum, welche Maßnahmen Sie datenschutzrechtlich umzusetzen haben.
1. Datenschutz von Anfang an und Datenschutz als Kernaufgabe
Die Thematik Datenschutz gehört in die Leitungsebene und muss vom z. B. vom Projektteam, dem Vereinsvorstand oder der GmbH-Geschäftsführung zur Chefsache gemacht werden. Ein/e Verantwortliche/r muss sich dem Thema annehmen und die nachfolgend skizzierten Aufgaben abarbeiten. Wenn der Datenschutz von Anfang an implementiert ist und als „privacy by design“ in allen Prozessen beachtet wird, werden die Umsetzungsmaßnahmen auch nicht stören, sondern als ein weiterer Qualitätsstandart die unternehmerischen Ziele fördern.
2. Erstellung eines Verarbeitungsverzeichnisses
Verschaffen Sie sich zunächst einen datenschutzrechtlichen Überblick über die aktuelle Situation im Projekt/ Verein/ Unternehmen. Ein wirksames Mittel dazu kann das – in vielen Fällen gesetzlich vorgeschriebene – Verzeichnis der Verarbeitungstätigkeiten (VVT) sein.
Prüfen Sie in diesem Zusammenhang, ob die vorhandenen personenbezogenen Daten auf einer Rechtsgrundlage beruhen oder gegebenenfalls gelöscht werden müssen. Ausführlichere Informationen zum VVT finden Sie im Beitrag D.4.
3. Bestellung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter ist nötig, wenn:
- mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
- besondere Kategorien personenbezogener Daten (wie z. B. ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gesundheitsdaten) verarbeitet werden.
Ausführlichere Informationen zum Datenschutzbeauftragen finden Sie im Beitrag D.5.
4. Umgang mit Datenschutzverletzungen
Ihre Unternehmenskultur sollte so aufgebaut sein, dass Sie sofort erkennen können, ob im Unternehmen eine Datenschutzverletzung eingetreten ist. In diesem Fall muss dann klar sein, wer sich um die Datenschutzverletzung kümmert. Die Verletzung des Schutzes personenbezogener Daten kann unbeabsichtigt oder unrechtmäßig auftreten. Verletzungshandlungen können sein:
- Verlust, Diebstahl, Fehlversand,
- Softwarefehler,
- Schadcode, Hacking,
- Fehlentsorgung oder
- Vernichtung sowie Verlust.
Bei einer Verletzung personenbezogener Daten beträgt die Meldepflicht 72 Stunden. Spätestens nach Ablauf dieser Zeit ist der Datenschutzaufsichtsbehörde der Sachverhalt anzuzeigen. Zu den Betroffenenrechten und zur Datenschutzaufsicht siehe Beitrag D.7.
