Verantwortungsvoller Umgang mit personenbezogenen Daten
Wenn Ihr Unternehmen im Rahmen seiner unternehmerischen Tätigkeit in der Europäischen Union personenbezogene Daten verarbeitet, gelten die Vorschriften der EU-DS-GVO. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person – z.B. von Kunden, Mitarbeitern, Lieferanten – beziehen.
Fragen an den Verantwortlichen
Sollte Ihr Unternehmen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, so wird es gemäß der DS-GVO als sogenannter Verantwortlicher angesehen, der zahlreiche Anforderungen und Pflichten einhalten muss. Als Verantwortlicher sollte Ihr Unternehmen in der Lage sein, Fragen zu folgenden Themen beantworten zu können:
Können Sie allen personenbezogenen Daten den genauen Zweck benennen, warum Ihr Unternehmen diese verarbeitet?
Wenn Ihr Unternehmen personenbezogene Daten erhebt, wann und worüber wird die betroffene Person informiert?
Was unternimmt Ihr Unternehmen, wenn eine betroffene Person von Ihnen Auskunft über bzw. Berichtigung oder Löschung von personenbezogenen Daten verlangt? Innerhalb welcher Zeit reagieren Sie?
Sind die technischen und organisatorischen Maßnahmen zur datenschutzkonformen Verarbeitung Ihres Unternehmens angemessen und wirksam implementiert? Wie können Sie dies nachweisen?
Zu welchem Zeitpunkt berücksichtigt Ihr Unternehmen im Rahmen von Produktentwicklungen Datenschutzaspekte?
Wie habt Ihr Unternehmen die Zuständigkeiten klar und eindeutig geregelt, wenn es zusammen mit einem oder mehreren anderen Unternehmen gemeinsam die Zwecke und Mittel der Verarbeitung festlegt?
Bei Outsourcing: Hat Ihr Unternehmen geprüft, ob der Auftragsverarbeiter geeignet ist? Regelt der Vertrag eindeutig und umfassend die die Zusammenarbeit, Rechte und Pflichten? Wird die Einhaltung des Vertrags regelmäßig überprüft?
Hat Ihr Unternehmen eine Verfahrensübersicht, welche es Ihnen z.B. ermöglicht festzustellen, bei welchen Verarbeitungen personenbezogene Daten in ein Drittland übermittelt werden?
Hat Ihr Unternehmen geeignete technische und organisatorische Maßnahmen umgesetzt, um die Sicherheit der Verarbeitung zu gewährleisten? Hat Ihr Unternehmen ein Verfahren implementiert, um regelmäßig die Wirksamkeit der Maßnahmen zu überprüfen, zu bewerten?
Kann Ihr Unternehmen innerhalb von 72 Stunden – nach Bekanntwerden einer Datenschutzverletzung – die Auswirkungen identifizieren, bewerten und entsprechend der Schwere des Risikos der zuständigen Aufsichtsbehörde melden bzw. die betroffenen Personen benachrichtigen?
Hat Ihr Unternehmen einen Prozess zur Durchführung von Datenschutz-Folgeabschätzungen bei Verarbeitungen mit voraussichtlich hohen Risiko? Wird der Rat des Datenschutzbeauftragten eingeholt?
Hat Ihr Unternehmen einen Datenschutzbeauftragten benannt? Ist dieser weisungsfrei und berichtet unmittelbar der höchsten Managementebene? Unterstützt Ihr Unternehmen des Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben, z.B. durch die Bereitstellung der erforderlichen Ressourcen?
Kann Ihr Unternehmen darstellen, in welche Länder außerhalb der EU personenbezogene Daten übermittelt werden und auf welcher Grundlage die Übermittlung jeweils erfolgt?