Datenschutz für Selbermacher

Sie suchen eine kurze und knackige Anleitung? Dann sind Sie hier genau richtig.

Die Schritt-für-Schritt Themenpunkte aus unserem Datenschutz Programm finden Sie hier wieder, allerdings ohne die Musterdokumente, Beispiele, oder das elektronische Verarbeitungsverzeichnis.

Was fehlt noch? Kategorien von Daten, Personen, übliche Rechtszwecke, Klassifizierungen, Löschfristen, Verarbeitungsbeispiele, Musterprozesse,…

Diese Anleitung befindet sich allerdings gerade erst im Entwurf und stellt keine Rechtsberatung dar. Aufgrund der stichpunktartigen Darstellung bekommen Sie einen Überblick an welche Themen sie denken sollten.

 

Definieren und Dokumentieren Sie den Verantwortlichen nach Art 4. Ziff. 7 DSGVO

Benötigen Sie einen Datenschutzbeauftragten?

Bestimmen und verpflichen Sie den DSB.

Wer ist Ihre zuständige Datenschutz Landesbehörde?

Melden Sie den DSB der Datenschutzbehörde.

Wer ist Meldeverantwortlich – wie ist der interne Meldeprozess?

Schreiben Sie eine Datenschutzleitlinie die verbindlich für Ihr Geschäft gilt.

Formulieren Sie Sicherheitsleitlinien für Ihre Verarbeitungen, technischen Systeme sowie Verhaltensanweisungen zum Datenschutz

Regeln/Beschreiben Sie folgende Themen:

Kontrollierter Softwareeinsatz   
Schutz vor Schadsoftware   
Updates   
Nutzung Externer Daten / Systeme   
Sicherung mobiler Betriebsmittel und Unternehmensdaten   
Zugriffsregelung für mobile Telefone   
Kennwortrichtlinien für mobile Endgeräte   
Verschlüsselung von mobilen Endgeräten   
Transport physischer Medien   
Verlust von Betriebsmitteln und Unternehmensdaten   
Sichere Entsorgung oder Weiterverwendung von Betriebsmitteln   
Nutzung von geschäftlichen E-Mails und Internetdiensten   
Einsichtnahme und Dokumentation des E-Mail Verkehrs   
Meldung und Umgang mit Sicherheitsvorfällen   
Benutzerkennungen   
Administratorkennungen   
Passwortregeln   
Zugriffsrechte   
Unbeaufsichtigte Betriebsmittel   
Ausscheiden von Mitarbeitern oder Externen   
Überprüfung der Benutzerberechtigungen   
Organisation der Datensicherung   
Durchführung der Datensicherung auf Servern   
Verifizierung der Datensicherung   
Datenauslagerung   
Zugangs- und Zutrittskontrolle   
Stromversorgung und Überspannungsschutz   
Brandschutz   
Schutz vor Wasserschäden   
Klimatisierung   
Verkabelung   
Genehmigungsverfahren für neue IT Systeme   
Beschaffung   
Separate Entwicklungsumgebung   
Durchführung von Tests   
Aktualisierung und Instandhaltung   
Kapazitätsplanung   
Überwachung   
Schwachstellenmanagement   
Steuerung von IT Dienstleistern   
Grundregeln der Programmierung

Bring your own Device

Verpflichten Sie Ihre Mitarbeiter und Dienstleister auf das Datengeheimnis und den Datenschutz nach DSGVO

Stellen Sie Schulungsmaterialien bereit und schulen Sie Ihre Mitarbeiter auf Datenschutz Grundsätze, Leitlinien und besondere Verhaltensanweisungen

Dokumentieren Sie die durchgeführten Schulungen

Bestimmung der Kategorien von personenbezogenen Daten der Verarbeitungen

Bestimmen des Schutzbedarfs der personenbezogenen Daten anhand einer Schutzklassifizierung

Bestimmen der Kategorien von betroffenen Personen (auch bes. Kategorien, Kinder)

Bestimmen der Kategorien von Empfängern und geeigneten Garantien

Bestimmen der Rechtsgrundlagen der Verarbeitungen

Bestimmen der Zwecke der Verarbeitungen

DasVerarbeitungsverzeichnis ist die zentrale Dokumenation Ihrer Verarbeitungen.

Ermittlung der Verarbeitungen und aller relevanten Informationen für die Erstellung des Verzeichnisses (sehen sie sich dafür das Muster an)

Dokumentation der Verarbeitungen und zusammenfügen der relevanten Informationen zu den einzelnen Verarbeitungen

Webseite:

Verarbeitungen der Webseite (bspw. Newsletter, Kontaktformular, Drittanbieter Plugins, Shop) analysieren, absichern, ggf. Einwilligungen einholen und in Datenschutzhinweisen die Verarbeitungen aufnehmen

Prüfung der geschäftlichen Verarbeitungen, ob explizite Einwilligungen der betroffenen notwendig sind.

Informationen zu den Verarbeitungen und Nutzung der Betroffenenrechte den Betroffenen transparent zugänglich machen

Dokumentation Ihrer technischen und organisatorischen  Maßnahmen zum Datenschutz

 — zur Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und regelmäßigen Kontrolle

Erstellen Sie zu ausgelagerten Verarbeitungen mit externen Dienstleistern Auftragsverarbeitungsverträge (AVVs)

Prüfen Sie Ihnen zugesendete AVVs

Passen Sie die Verträge an die übermittelten Daten und deren Schutzbedarf, Löschfristen etc. an.

Dokumentieren Sie die notwendigen Anleitungen zur Auskunftserteilung

Dokumentieren Sie die notwendigen Anleitungen zur Sperrung eines Kundendatensatzes

Dokumentieren Sie die notwendigen Anleitungen zur Anonymisierung/Löschung eines Kundendatensatzes

Dokumentieren Sie die notwendigen Anleitungen zur Berichtigung eines Kundendatensatzes

Dokumentieren Sie die notwendigen Anleitungen zur Übertragung eines Kundendatensatzes

Löschen oder Anonymisieren?

Definieren sie anhand Ihrer Datenarten die Löschfristen/Aufbewahrungsfristen

Beschreiben Sie die Löschvorgänge, wie Sie bspw. das CRM System zur Löschung bedienen müssen. Speichern Sie eine kurze Anleitung dazu.

Dokumentieren Sie die vorgenommenen Löschungen

Beachten Sie die Löschfristen auch bei AVV und dokumentieren die AV-Partner Löschungen.

 

Definieren Sie einen Prozess für Datenschutzvorfälle

Dokumentieren und melden Sie Datenschutzpannen

 

Die DSFA ist der Folgeschritt einer negativen Risikoabschätzung eines sehr risikobehafteten Verfahrens.
Es handelt sich also nunmehr schon bestenfalls um eine genaue Analyse und Lösungsfindung zur Umsetzung des Verfahrens. Im Prinzip geht es darum, möglichst geeignete Technische und Organisatorische Maßnahmen zu finden, oder das Verfahren dahingehend zu verändern, so dass das Risiko für die Betroffenen möglichst niedrig bleibt. Dieses gilt es mit der DSFA nachzuweisen / zu dokumentieren. Sie müssen also zunächst im Detail die kritischen Verarbeitungsschritte beschreiben und eine Risikobewertung vornehmen.
Es ist zwingend ein Datenschutzbeauftragter für Ihr Unternehmen notwendig, wenn Sie eine Verarbeitung durchführen, für die eine DSFA notwendig ist!