Was ist zu tun - einige Punkte
Vielfach taucht die Frage nach den wichtigsten Punkten auf. Die Antwort wird niemand gefallen. Denn grundsätzlich sind alle Datenschutz-Themen wichtig. Für den Anfang empfehlen wir aber die "sichtbaren" Bereiche anzugehen.
Beginnen Sie also mit den Bereichen, die nach außen sicht- und erlebbar sind.
- Website und
- Bewerber-Management
- Empfangsbereich
Hier geht es los mit der Datenschutzerklärung auf der Website und im wahren Leben. Offline zum Beispiel als Handzettel, Aushang. Online als Mail-Anhang für Kunden und/oder Interessenten (bei Arztpraxen zum Beispiel am Empfang aushängen).
Auf der Website sollte ein eigener Bereich für die Datenschutzerklärung eingerichtet werden. Achten Sie auch darauf, bei Kontakt-Buttons nochmal darauf hinzuweisen und einen Link zur Datenschutzerklärung zu setzen.
Erläutern Sie in der Datenschutzerklärung, wozu Sie die Daten benötigen und wie lange die Speicherdauer sein wird. Vergessen Sie die Betroffenen-Rechte nicht. Erklären Sie Ihren Kunden/Interessenten - oder auch Bewerbern - welche Rechte sie haben und an wen sie sich wenden können.
Bewerber-Management
Denken Sie daran bei Online-Bewerbungen den Bewerber aufzuklären.
Binden Sie gegebenenfalls eine gesonderte Datenschutzerklärung für genau
diesen Bereich ein.
Bei Bewerbungen, die Sie offline oder per Mail erhalten sollten Sie eine
Datenschutzerklärung als Ausdruck / PDF zur Hand haben, die Sie Ihren
Bewerbern zur Verfügung stellen können.
Erläutern Sie hier wieder den Zweck der Verarbeitung, erklären Sie, welche
Daten wie lange gespeichert werden. Und denken Sie auch wieder an die
Betroffenen-Rechte.
Widmen Sie sich nun den Bereichen, die wichtig aber nicht direkt unter den
Augen der Prüfbehörden stattfinden.
Hier hätten wir zum Beispiel die
Auftrags(daten)verarbeitung
Schauen Sie sich Ihre Lieferanten an. Mit wem müssen Sie einen Vertrag zur Auftrags(daten)verarbeitung abschließen? Ein leider nicht ganz einfaches Thema,
bei dem sich teilweise auch die einzelnen Länder-Behörden nicht immer einig sind.
Beispiel:
Beauftragen Sie ein Lohnbüro mit den Gehaltsabrechnungen, ist eine Auftrags(daten)verarbeitung zwingend notwendig. Hier werden personenbezogene Daten im Auftrag ohne eigene Entscheidung über die Zwecke und Mittel verarbeitet.
Macht Ihr Steuerberater für Sie die Lohn- und Gehaltsabrechnungen, sieht es bereits zwiespältig aus. Der eine Landesdatenschutzbeauftragte sieht hier eine Auftrags(daten)verarbeitung gegeben - der nächste nicht. Im Zweifel müssen Sie argumentieren, auf welchen Landesdatenschützer Sie sich berufen und dies dann konsequent umsetzen.
Das waren jetzt einige Punkte, mit denen man im Unternehmen beginnen sollte.
Dann geht es weiter mit Verarbeitungs-Verzeichnissen, Technisch-Organisatorischen-Maßnahmen, und weiteren Anforderungen.