Fordern Sie Vereinbarungen zur Auftragsverarbeitung an

Öffentliche und nichtöffentliche Stellen dürfen grundsätzlich die Verarbeitung personenbezogener Daten auch an Dritte weitergeben und so einzelne Teilbereiche auslagern. Der Schutz der Daten muss aber auch dann gewährleistet werden. Für die Auftragsdatenverarbeitung bedarf es stets einer schriftlichen und umfassenden Vereinbarung zwischen Auftraggeber und Auftragnehmer. Denken Sie daran diese Vereinbarung auch bei Google und Ihrem Webhoster einzuholen.

Legen Sie Verfahrensverzeichnisse an

Legen Sie so schnell wie möglich sogenannte Verfahrensverzeichnisse/Verzeichnis der Verfahrenstätigkeiten an. Dies sind Verzeichnisse, in denen alle Verarbeitungen personenbezogener Daten beschrieben sind. Machen Sie hierzu als erstes eine Bestandsaufnahme Ihrer Mitarbeiter- und Kundendaten.

Prüfen Sie, ob Sie einen Datenschutz-Beauftragten benötigen

Dies ist Pflicht, sobald in Ihrem Unternehmen mehr als 10 Mitarbeiter ständig mit personenbezogenen Daten umgehen müssen. Sie können einen internen oder einen externen Datenschutz-Beauftragten stellen. Wichtig und neu ist: Wenn Sie einen Datenschutz-Beauftragten bestellt haben, müssen Sie ihn der Aufsichtsbehörde melden. Dies wird in Zukunft bequem online möglich sein.

Schulen Sie Ihr Team

Schulen Sie Ihre Mitarbeiter in der neuen EU DS-GVO und lassen Sie sich dieses unterschriftlich bestätigen. Legen Sie unterschriebene Teilnehmerlisten Ihrer Mitarbeiter an Seminaren und Vorträgen zum Thema EU DS-GVO an.

Planen Sie den Notfall

Legen Sie sich einen Reaktionsplan für Datenschutz-Verletzungen an. Datenschutz-Verletzungen müssen nämlich binnen 72 Stunden der Aufsichtsbehörde gemeldet werden. Zum Beispiel wenn Sie Opfer eines Hacker-Angriffs wurden oder Praktikanten eine große
Anzahl personenbezogener Daten an eine falsche Empfängerliste gesendet haben.

Prüfen Sie, wo und wann Sie Daten erheben

Die Verarbeitung personenbezogener Daten ist dann erlaubt, wenn:

  • eine Einwilligung der betroffenen Person vorliegt,
  • ein berechtigtes Interesse an der Datenverarbeitung vorliegt und schutzwürdige Interessen des Betroffenen dem nicht entgegenstehen oder
  • sie erforderlich ist, z.B. bei der Erfüllung eines Vertrags.

Machen Sie den Newsletter-Versand rechtssicher

Verwenden Sie bei der Einwilligung zum Newsletter-Versand das sogenannte Double Opt-In-Verfahren. Achten Sie darauf, dass die E-Mail zur Bestätigung der Einwilligung keine Werbung enthält. Fragen Sie nur nach der E-Mail-Adresse als Pflichtfeld. Alle anderen
personenbezogenen Angaben müssen freiwillig sein (Datenminimierung).

Akzeptieren Sie Widersprüche

Jede betroffene Person hat das Recht auf Widerspruch gegen die Verarbeitung seiner Daten. Die betroffene Person ist spätestens bei der ersten Kontaktaufnahme auf Ihr Widerspruchsrecht hinzuweisen.

Freiwilligkeit der Einwilligung

Die Einwilligung zu der Verarbeitung personenbezogener Daten muss freiwillig sein. Ist für die Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung die Einwilligung nicht erforderlich, darf diese Einwilligung von der Erfüllung des Vertrags nicht abhängig gemacht werden (sog. Kopplungs-Verbot).

Achten Sie auf Ihre Adressqualität

Personenbezogene Daten müssen „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“. Jede gespeicherte Person hat das Recht auf Berichtigung und Löschung.

Schützen Sie Daten

Unbefugte Personen dürfen keinen Zugang zu den personenbezogenen Daten haben. Schützen Sie Ihre Zugänge mit sicheren Passwörtern und Ihre Geräte und Speichermedien durch z.B. einen Safe. Sichern Sie ein Backup-Speichermedium auch außerhalb Ihres Unternehmens (Safe, Cloud).

Sensibilisieren Sie Ihr Team

Fertigen Sie einen Datenschutz-Anhang zusätzlich zu Ihren normalen Anstellungsverträgen für Mitarbeiter und Praktikanten an. Hier definieren Sie die Thematik „Verarbeitung“ und „personenbezogene Daten“ nach DS-GVO. Weisen Sie auf die Konsequenzen etwaiger Datenschutz-Verstöße hin. Lassen Sie sich dieses Dokument unterschreiben.

Fügen Sie eine Datenschutz-Erklärung auf der Homepage ein

Legen Sie auf Ihrer Homepage eine extra Seite für Ihre Datenschutz-Erklärung an. Am besten als Link in der Fußzeile/Footer. So kann die Datenschutz-Erklärung von jeder Seite aus angeklickt werden. Verstecken Sie die Datenschutz-Hinweise nicht in Ihren AGB. Das Fehlen einer Datenschutz-Erklärung stellt einen Wettbewerbsverstoß dar.

Die Gesink Group GmbH übernimmt keine Gewähr auf die Aktualität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen.
Haftungsansprüche sind grundsätzlich ausgeschlossen.