Datenschutz für Selbermacher
Sie suchen eine kurze und knackige Anleitung? Dann sind Sie hier genau richtig.
Die Schritt-für-Schritt Themenpunkte aus unserem Datenschutz Programm finden Sie hier wieder, allerdings ohne die Musterdokumente, Beispiele, oder das elektronische Verarbeitungsverzeichnis.
Was fehlt noch? Kategorien von Daten, Personen, übliche Rechtszwecke, Klassifizierungen, Löschfristen, Verarbeitungsbeispiele, Musterprozesse,…
Diese Anleitung befindet sich allerdings gerade erst im Entwurf und stellt keine Rechtsberatung dar. Aufgrund der stichpunktartigen Darstellung bekommen Sie einen Überblick an welche Themen sie denken sollten.
Definieren und Dokumentieren Sie den Verantwortlichen nach Art 4. Ziff. 7 DSGVO
Benötigen Sie einen Datenschutzbeauftragten?
Bestimmen und verpflichen Sie den DSB.
Wer ist Ihre zuständige Datenschutz Landesbehörde?
Melden Sie den DSB der Datenschutzbehörde.
Wer ist Meldeverantwortlich – wie ist der interne Meldeprozess?
Schreiben Sie eine Datenschutzleitlinie die verbindlich für Ihr Geschäft gilt.
Formulieren Sie Sicherheitsleitlinien für Ihre Verarbeitungen, technischen Systeme sowie Verhaltensanweisungen zum Datenschutz
Regeln/Beschreiben Sie folgende Themen:
Kontrollierter Softwareeinsatz
Schutz vor Schadsoftware
Updates
Nutzung Externer Daten / Systeme
Sicherung mobiler Betriebsmittel und Unternehmensdaten
Zugriffsregelung für mobile Telefone
Kennwortrichtlinien für mobile Endgeräte
Verschlüsselung von mobilen Endgeräten
Transport physischer Medien
Verlust von Betriebsmitteln und Unternehmensdaten
Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln
Nutzung von geschäftlichen E-Mails und Internetdiensten
Einsichtnahme und Dokumentation des E-Mail Verkehrs
Meldung und Umgang mit Sicherheitsvorfällen
Benutzerkennungen
Administratorkennungen
Passwortregeln
Zugriffsrechte
Unbeaufsichtigte Betriebsmittel
Ausscheiden von Mitarbeitern oder Externen
Überprüfung der Benutzerberechtigungen
Organisation der Datensicherung
Durchführung der Datensicherung auf Servern
Verifizierung der Datensicherung
Datenauslagerung
Zugangs- und Zutrittskontrolle
Stromversorgung und Überspannungsschutz
Brandschutz
Schutz vor Wasserschäden
Klimatisierung
Verkabelung
Genehmigungsverfahren für neue IT Systeme
Beschaffung
Separate Entwicklungsumgebung
Durchführung von Tests
Aktualisierung und Instandhaltung
Kapazitätsplanung
Überwachung
Schwachstellenmanagement
Steuerung von IT Dienstleistern
Grundregeln der Programmierung
Bring your own Device
Verpflichten Sie Ihre Mitarbeiter und Dienstleister auf das Datengeheimnis und den Datenschutz nach DSGVO
Stellen Sie Schulungsmaterialien bereit und schulen Sie Ihre Mitarbeiter auf Datenschutz Grundsätze, Leitlinien und besondere Verhaltensanweisungen
Dokumentieren Sie die durchgeführten Schulungen
Bestimmung der Kategorien von personenbezogenen Daten der Verarbeitungen
Bestimmen des Schutzbedarfs der personenbezogenen Daten anhand einer Schutzklassifizierung
Bestimmen der Kategorien von betroffenen Personen (auch bes. Kategorien, Kinder)
Bestimmen der Kategorien von Empfängern und geeigneten Garantien
Bestimmen der Rechtsgrundlagen der Verarbeitungen
Bestimmen der Zwecke der Verarbeitungen
DasVerarbeitungsverzeichnis ist die zentrale Dokumenation Ihrer Verarbeitungen.
Ermittlung der Verarbeitungen und aller relevanten Informationen für die Erstellung des Verzeichnisses (sehen sie sich dafür das Muster an)
Dokumentation der Verarbeitungen und zusammenfügen der relevanten Informationen zu den einzelnen Verarbeitungen
Webseite:
Verarbeitungen der Webseite (bspw. Newsletter, Kontaktformular, Drittanbieter Plugins, Shop) analysieren, absichern, ggf. Einwilligungen einholen und in Datenschutzhinweisen die Verarbeitungen aufnehmen
Prüfung der geschäftlichen Verarbeitungen, ob explizite Einwilligungen der betroffenen notwendig sind.
Informationen zu den Verarbeitungen und Nutzung der Betroffenenrechte den Betroffenen transparent zugänglich machen
Dokumentation Ihrer technischen und organisatorischen Maßnahmen zum Datenschutz
— zur Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und regelmäßigen Kontrolle
Erstellen Sie zu ausgelagerten Verarbeitungen mit externen Dienstleistern Auftragsverarbeitungsverträge (AVVs)
Prüfen Sie Ihnen zugesendete AVVs
Passen Sie die Verträge an die übermittelten Daten und deren Schutzbedarf, Löschfristen etc. an.
Dokumentieren Sie die notwendigen Anleitungen zur Auskunftserteilung
Dokumentieren Sie die notwendigen Anleitungen zur Sperrung eines Kundendatensatzes
Dokumentieren Sie die notwendigen Anleitungen zur Anonymisierung/Löschung eines Kundendatensatzes
Dokumentieren Sie die notwendigen Anleitungen zur Berichtigung eines Kundendatensatzes
Dokumentieren Sie die notwendigen Anleitungen zur Übertragung eines Kundendatensatzes
Löschen oder Anonymisieren?
Definieren sie anhand Ihrer Datenarten die Löschfristen/Aufbewahrungsfristen
Beschreiben Sie die Löschvorgänge, wie Sie bspw. das CRM System zur Löschung bedienen müssen. Speichern Sie eine kurze Anleitung dazu.
Dokumentieren Sie die vorgenommenen Löschungen
Beachten Sie die Löschfristen auch bei AVV und dokumentieren die AV-Partner Löschungen.
Definieren Sie einen Prozess für Datenschutzvorfälle
Dokumentieren und melden Sie Datenschutzpannen
Die DSFA ist der Folgeschritt einer negativen Risikoabschätzung eines sehr risikobehafteten Verfahrens.
Es handelt sich also nunmehr schon bestenfalls um eine genaue Analyse und Lösungsfindung zur Umsetzung des Verfahrens. Im Prinzip geht es darum, möglichst geeignete Technische und Organisatorische Maßnahmen zu finden, oder das Verfahren dahingehend zu verändern, so dass das Risiko für die Betroffenen möglichst niedrig bleibt. Dieses gilt es mit der DSFA nachzuweisen / zu dokumentieren. Sie müssen also zunächst im Detail die kritischen Verarbeitungsschritte beschreiben und eine Risikobewertung vornehmen.
Es ist zwingend ein Datenschutzbeauftragter für Ihr Unternehmen notwendig, wenn Sie eine Verarbeitung durchführen, für die eine DSFA notwendig ist!