Die deut­sche Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der, ein frei­wil­li­ger Zusam­men­schluss der unab­hän­gi­gen amt­li­chen Daten­schutz­be­auf­trag­ten, haben in einem 10-Punk­te-Papier (abruf­bar bei der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen) Anre­gun­gen für Unter­neh­men zur Vor­be­rei­tung auf die DSGVO zusam­men­ge­stellt:

  1. Sen­si­bi­li­sie­rung durch­füh­ren
  2. Bestands­auf­nah­me machen
  3. Rechts­grund­la­ge prü­fen
  4. Per­so­nen­be­zo­ge­ne Daten von Kin­dern beson­ders prü­fen
  5. Daten­schutz durch Tech­nik­ge­stal­tung und durch daten-schutz­freund­li­che Vor­ein­stel­lun­gen („Pri­va­cy-by-Design“ und „Pri­va­cy-by-Default“) umset­zen
  6. Ver­trä­ge checken
  7. Daten­schutz­fol­ge­ab­schät­zung imple­men­tie­ren
  8. Mel­de– und Kon­sul­ta­ti­ons­pflich­ten orga­ni­sie­ren
  9. Betrof­fe­nen­rech­te und Infor­ma­ti­ons­pflich­ten umset­zen
  10. Doku­men­ta­ti­on orga­ni­sie­ren

In der Sache ent­spre­chen die­se Punk­te mehr oder weni­ger dem Vor­ge­hen, das sich in der Pra­xis bereits eta­bliert hat, d.h. der Bestands­auf­nah­me der Daten­be­ar­bei­tun­gen durch Questi­onn­aires, der Risi­ko­be­wer­tung, je nach Risi­ken der ver­tief­ten Ana­ly­se der Bear­bei­tungs­vor­gän­ge und ggf. einer Fol­gen­ab­schät­zung (Pri­va­cy Impact Assess­ment), ver­bun­den mit Mass­nah­men der Gover­nan­ce, ins­be­son­de­re der Ein­füh­rung oder Anpas­sung einer Daten­schutz-Poli­cy und ggf. wei­te­rer Poli­ci­es und Vor­la­gen, der Absi­che­rung der kon­zern­in­ter­nen Daten­flüs­se und der Anpas­sung der Vor­ga­ben zu recht­li­chen Prüf­punk­ten bei Pro­jekt­ab­läu­fen.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.