Kon­fe­renz d. Daten­schutz­be­hör­den d. Bun­des u.d. Län­der: 10-Punk­te-Papier Anre­gun­gen für Unter­neh­men zur Vor­be­rei­tung auf die DSGVO

Die deut­sche Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der, ein frei­wil­li­ger Zusam­men­schluss der unab­hän­gi­gen amt­li­chen Daten­schutz­be­auf­trag­ten, haben in einem 10-Punk­te-Papier (abruf­bar bei der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen) Anre­gun­gen für Unter­neh­men zur Vor­be­rei­tung auf die DSGVO zusammengestellt:

1. Sen­si­bi­li­sie­rung durchführen
2. Bestands­auf­nah­me machen
3. Rechts­grund­la­ge prüfen
4. Per­so­nen­be­zo­ge­ne Daten von Kin­dern beson­ders prüfen
5. Daten­schutz durch Tech­nik­ge­stal­tung und durch daten-schutz­freund­li­che Vor­ein­stel­lun­gen („Pri­va­cy-by-Design“ und „Pri­va­cy-by-Default“) umsetzen
6. Ver­trä­ge checken
7. Daten­schutz­fol­ge­ab­schät­zung implementieren
8. Mel­de– und Kon­sul­ta­ti­ons­pflich­ten organisieren
9. Betrof­fe­nen­rech­te und Infor­ma­ti­ons­pflich­ten umsetzen
10. Doku­men­ta­ti­on organisieren

In der Sache ent­spre­chen die­se Punk­te mehr oder weni­ger dem Vor­ge­hen, das sich in der Pra­xis bereits eta­bliert hat, d.h. der Bestands­auf­nah­me der Daten­be­ar­bei­tun­gen durch Que­sti­on­n­aires, der Risi­ko­be­wer­tung, je nach Risi­ken der ver­tief­ten Ana­ly­se der Bear­bei­tungs­vor­gän­ge und ggf. einer Fol­gen­ab­schät­zung (Pri­va­cy Impact Assess­ment), ver­bun­den mit Mass­nah­men der Gover­nan­ce, ins­be­son­de­re der Ein­füh­rung oder Anpas­sung einer Daten­schutz-Poli­cy und ggf. wei­te­rer Poli­ci­es und Vor­la­gen, der Absi­che­rung der kon­zern­in­ter­nen Daten­flüs­se und der Anpas­sung der Vor­ga­ben zu recht­li­chen Prüf­punk­ten bei Projektabläufen.