Was, wie, von wem und überhaupt

Was ist zu tun - einige Punkte

Vielfach taucht die Frage nach den wichtigsten Punkten auf. Die Antwort wird niemand gefallen. Denn grundsätzlich sind alle Datenschutz-Themen wichtig. Für den Anfang empfehlen wir aber die "sichtbaren" Bereiche anzugehen. 

 

Beginnen Sie also mit den Bereichen, die nach außen sicht- und erlebbar sind. 

- Website und

- Bewerber-Management

- Empfangsbereich

 

Hier geht es los mit der Datenschutzerklärung auf der Website und im wahren Leben. Offline zum Beispiel als Handzettel, Aushang. Online als Mail-Anhang für Kunden und/oder Interessenten (bei Arztpraxen zum Beispiel am Empfang aushängen). 

Auf der Website sollte ein eigener Bereich für die Datenschutzerklärung eingerichtet werden. Achten Sie auch darauf, bei Kontakt-Buttons nochmal darauf hinzuweisen und einen Link zur Datenschutzerklärung zu setzen. 

 

Erläutern Sie in der Datenschutzerklärung, wozu Sie die Daten benötigen und wie lange die Speicherdauer sein wird. Vergessen Sie die Betroffenen-Rechte nicht. Erklären Sie Ihren Kunden/Interessenten - oder auch Bewerbern - welche Rechte sie haben und an wen sie sich wenden können. 

 

Bewerber-Management

Denken Sie daran bei Online-Bewerbungen den Bewerber aufzuklären. 

Binden Sie gegebenenfalls eine gesonderte Datenschutzerklärung für genau 

diesen Bereich ein. 

Bei Bewerbungen, die Sie offline oder per Mail erhalten sollten Sie eine 

Datenschutzerklärung als Ausdruck / PDF zur Hand haben, die Sie Ihren 

Bewerbern zur Verfügung stellen können. 

Erläutern Sie hier wieder den Zweck der Verarbeitung, erklären Sie, welche 

Daten wie lange gespeichert werden. Und denken Sie auch wieder an die 

Betroffenen-Rechte. 

 

Widmen Sie sich nun den Bereichen, die wichtig aber nicht direkt unter den 

Augen der Prüfbehörden stattfinden. 

 

Hier hätten wir zum Beispiel die 

 

Auftrags(daten)verarbeitung

Schauen Sie sich Ihre Lieferanten an. Mit wem müssen Sie einen Vertrag zur  Auftrags(daten)verarbeitung abschließen? Ein leider nicht ganz einfaches Thema, 

bei dem sich teilweise auch die einzelnen Länder-Behörden nicht immer einig sind. 

 

Beispiel: 

Beauftragen Sie ein Lohnbüro mit den Gehaltsabrechnungen, ist eine Auftrags(daten)verarbeitung zwingend notwendig. Hier werden personenbezogene Daten im Auftrag ohne eigene Entscheidung über die Zwecke und Mittel verarbeitet. 

Macht Ihr Steuerberater für Sie die Lohn- und Gehaltsabrechnungen, sieht es bereits zwiespältig aus. Der eine Landesdatenschutzbeauftragte sieht hier eine Auftrags(daten)verarbeitung gegeben - der nächste nicht. Im Zweifel müssen Sie argumentieren, auf welchen Landesdatenschützer Sie sich berufen und dies dann konsequent umsetzen. 

 

Das waren jetzt einige Punkte, mit denen man im Unternehmen beginnen sollte. 

Dann geht es weiter mit Verarbeitungs-Verzeichnissen, Technisch-Organisatorischen-Maßnahmen, und weiteren Anforderungen.