Die deutsche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, ein freiwilliger Zusammenschluss der unabhängigen amtlichen Datenschutzbeauftragten, haben in einem 10-Punkte-Papier (abrufbar bei der Landesbeauftragten für den Datenschutz Niedersachsen) Anregungen für Unternehmen zur Vorbereitung auf die DSGVO zusammengestellt:
- Sensibilisierung durchführen
- Bestandsaufnahme machen
- Rechtsgrundlage prüfen
- Personenbezogene Daten von Kindern besonders prüfen
- Datenschutz durch Technikgestaltung und durch daten-schutzfreundliche Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen
- Verträge checken
- Datenschutzfolgeabschätzung implementieren
- Melde– und Konsultationspflichten organisieren
- Betroffenenrechte und Informationspflichten umsetzen
- Dokumentation organisieren
In der Sache entsprechen diese Punkte mehr oder weniger dem Vorgehen, das sich in der Praxis bereits etabliert hat, d.h. der Bestandsaufnahme der Datenbearbeitungen durch Questionnaires, der Risikobewertung, je nach Risiken der vertieften Analyse der Bearbeitungsvorgänge und ggf. einer Folgenabschätzung (Privacy Impact Assessment), verbunden mit Massnahmen der Governance, insbesondere der Einführung oder Anpassung einer Datenschutz-Policy und ggf. weiterer Policies und Vorlagen, der Absicherung der konzerninternen Datenflüsse und der Anpassung der Vorgaben zu rechtlichen Prüfpunkten bei Projektabläufen.