Welche Prozesse und Dokumente müssen im Unternehmen überprüft werden?

  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen (insbesondere Erweiterung der Dokumentationspflichten bei Auftragsverarbeitern, möglicherweise zusätzliche Dokumentationserfordernisse für Risk und Privacy Impact Assessment)
  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben), Prozess für Widerruf der Einwilligung
  • Anpassung der Betriebsvereinbarungen an EU-DSGVO
  • Prozesse zur Umsetzung von Widersprüchen
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation)
  • Prozess bei Datenpannen entsprechend der neuen Vorgaben überarbeiten
  • Verfahren, um Daten im gängigem elektronischen Format übertragen zu können
  • Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der EU-DSGVO und den eigenen Prozessen
  • Einführung von Risk Assessment zur Festlegung geeigneter technisch-organisatorischer Maßnahmen
  • Einführung von Privacy Impact Assessment
  • Monitoring nationaler Gesetzgebung und Fortbildung
  • ...

Die Liste ist ziemlich lang, im Prinzip geht es aber bei allem um folgende Stichwörter:

Datenverarbeitung
Datenauftragsverarbeitung
Prinzipien
Verfügbarkeit
Nachvollziebarkeit
Einwilligung
Bußgelder
Transparenz
Übertragbarkeit
Korrektur
Löschung
Verfahrensverzeichnis
Datenschutzfolgeabschätzung
Risikobewertung
Rechte der Betroffenen
Pflichten von Unternehmen
Verstöße & Sanktionen
Privacy by Design
Privacy by Default
sicherheitsbasierter Ansatz
BDSG-neu
BSI-Kritis-Verordnung (BSI-KritisV)
BKA-Gesetz
MAD-Gesetz
BND-Gesetz
eIDAS-Verordnung
ISO 27000 / 27001 / 27002 / 27003
IT-Grundschutz (BSI)
Cobit
ITIL
IDW PS 330

Alle Punkte unterliegen dabei einer erweiterten Rechenschaftspflicht:
Die EU-DSGVO rückt die Verantwortlichkeit von Unternehmen in den Vordergrund und führt erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf. Sie sollten ein effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen inkl. aller in Frage kommender Gesetze und Verordnungen in Ihrem Unternehmen integrieren und vor allem die einzelnen Schritte ausreichend dokumentieren, so dass Sie – gegenüber den Aufsichtsbehörden – nachweisen können, dass Sie geeignete Strategien und Maßnahmen ergriffen haben. Eine unzureichende Dokumentation der datenschutzrechtlichen Umsetzung der EU-DSGVO wird sich maßgeblich auf die Höhe des Bußgeldbescheides auswirken.