Die französische Datenschutz-Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) hat einen Leitfaden zur Erstellung der DSGVO-Compliance veröffentlicht. Der Leitfaden entspricht in etwa dem Vorgehen, das sich für Compliance-Projekte bereits etabliert hat, und umfasst sechs Schritte:
- Bestellung eines Datenschutzverantwortlichen
- Daten-Mapping: Die bearbeiteten Personendaten und Bearbeitungen sind systematisch und präzise zu erfassen.
- Priorisierung der Massnahmen: Auf Grundlage des Daten-Mappings sind die Massnahmen zu bestimmen, die erforderlich sind, um die Compliance mit den Anforderungen v.a. der DSGVO sicherzustellen. Diese Massnahmen sind zu priorisieren.
- DSFA: Sofern beim Mapping Bearbeitungen mit hohen Risiken identifiziert werden, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
- Gestaltung und Implementierung der internen Abläufe: Falls erforderlich sind neue Abläufe für datenschutzrechtliche Prozesse zu definieren, z.B. für den Umfang mit Auskunfts- oder Berichtigungsbegehren.
- Dokumentation: Die nach der DSGVO erforderliche Dokumentation ist zu erstellen und aktuell zu halten.
Zu diesen Punkten finden sich weiterführende Informationen und stellenweise auch Unterlagen wie bspw. ein (recht knappes) Formular für das Datenmapping.
Hunton & Williams hat dazu einen ausführlicheren Beitrag verfasst (auf Englisch).