Auch wenn ein Unternehmen aufgrund der Betriebsgröße oder der Betriebsstruktur keinen Datenschutzbeauftragten benennen muss, ist es doch dazu verpflichtet, einen angemessenen Schutz der verarbeiteten Daten zu gewährleisten und hat vielfältige Protokollierungs- und Informationspflichten. So müssen Verarbeitungsverzeichnisse erstellt werden, mit Unterauftragnehmern müssen Auftragsverarbeitungsverträge geschlossen werden und Mitarbeiter, Kunden und Lieferanten, von denen Daten erfasst werden, müssen entsprechend über die Verarbeitung informiert werden.
Gerne unterstützen wir Sie bei der Anfertigung aller datenschutzrelevanten Dokumente.
Erstellung von Verarbeitungsverzeichnissen
Jedes Unternehmen und jede/-r Selbstständige muss gem. Art 30 Abs. 1 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten führen. Dies ist zwar theoretisch erst ab einer Betriebsgröße von 250 Mitarbeitern erforderlich, da die meisten Datenverarbeitungen jedoch „nicht nur gelegentlich“ erfolgen, trifft diese Pflicht praktisch jedes Unternehmen, das z.B. Rechnungen schreibt, eine Kundenverwaltung unterhält oder Mitarbeiter beschäftigt (z.B. Lohnabrechnungen).
Entwurf von Informationsunterlagen für Kunden, Mitarbeiter, etc.
Werden Daten von Kunden, Mitarbeiten, Lieferanten, Bewerbern, etc. erfasst, sind diese über die Verwendung ihrer Daten nachweisbar zu informieren gem. Artt. 13, 14 DSGVO. Diese Informationspflicht ist zudem einzuhalten, wenn Firmenräume oder Freiflächen videoüberwacht werden.
Erstellung und Prüfung von Verträgen zur Auftragsverarbeitung
Geben Sie Daten zur weiteren Verarbeitung an Dienstleister weiter, müssen Sie mit diesen einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO abschließen (z.B. Lohnbüro, Internet-Hosting, Druckerei, etc.). Dieser muss neben den gesetzlichen Mindestinhalten wie Angaben zu Kontrollpflichten und – möglichkeiten, Regelungen zur Weitergabe von Daten an Dritte auch Angaben zu den technischen und organisatorischen Maßnahmen (TOM) enthalten.
Verpflichtungserklärungen für Mitarbeiter
Mitarbeiter und firmenfremdes Personal, das Zugriff auf Datenverarbeitungssysteme hat, muss auf die Einhaltung der internen Datenschutzregelungen verpflichtet werden. Hierbei trifft die Geschäftsleitung eine entsprechende Dokumentations- und Nachweispflicht gegenüber der Aufsichtsbehörde.
Leitfaden zur Schulung von Mitarbeitern
Um Ihre Mitarbeiter auf die Einhaltung aller datenschutzrelevanten Vorschriften und Verhaltensweisen schulen zu können erarbeiten wir Ihnen einen individuellen Leitfaden zur Durchführung einer Belehrung, die Sie oder der verantwortliche Mitarbeiter nur zu verlesen braucht. Hierin nehmen wir auch praktische Beispiele, die direkt auf Ihren Bedarf zugeschnitten sind, auf. Alternativ entwickeln wir eine Online-Schulung, die Ihre Mitarbeiter über das Internet abrufen können.
Erstellung eines Informationssicherheitskonzeptes
Gem. Art. 24 DSGVO muss jedes Unternehmen sicherstellen, dass es über geeignete technische und organisatorische Maßnahmen verfügt, um eine sichere Verarbeitung personenbezogener Daten durchführen zu können. Näherer Informationen finden hierzu finden Sie auf der Seite Informationssicherheitskonzept nach DSGVO.