• Organigramm über Geschäftsprozesse, Abteilungen, Zuständigkeiten, insb. im Hinblick auf den Datenschutz erstellen.

• Prüfen, ob Datenschutzbeauftragter benannt werden muss
• Vorgaben und Regeln prüfen
  • z. B. Wie ist der Datenschutz im Unternehmen bis jetzt organisiert und welche Handlungsanweisungen gibt es diesbezüglich für die Bschäftigten?

• Die Geschäftsführung ist Verantwortlicher im Sinne der DSGVO
• Dennoch ist es sinnvoll im Rahmen der Aufgabenverteilung mindestens eine geeignete Person zu bestimmen, die sich im Unternehmen um den Datenschutz kümmert (bzw. als Ansprechpartner oder Datenschutzkoordinator benannt wird)
• Ein Ansprechpartner für IT-Fragen ist unbedingt zu bestimmen. IT-Sicherheit ist auch das Fundament für einen guten Datenschutz!

Prüfen Sie zunächst, ob Sie gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu benennen.

• In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Beispiele für automatisierte Verarbeitung:

• • Verarbeitung mittels PC, Tablets oder Smartphones
  • Kommunikation mittels E-Mail
  • Nutzung von Adressverzeichnissen

• Auch wenn Sie für Ihre Tätigkeiten eine sog. Datenschutz-Folgenabschätzung durchführen müssen, ist ein DSB zu bestellen.

Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

• Soll ein interner oder externer Datenschutzbeauftragter bestellt werden?
• Die auszuwählende Person muss geeignet und entsprechend qualifiziert sein, um die Tätigkeit des Datenschutzbeauftragten zu erfüllen.
• Haben Sie sich wir einen exteren Datenschutzbeauftragten entschieden, schließen Sie einen Vertrag mit dieser Person ab.

• Der Datenschutzbeauftragte ist bei Ihrer zuständigen Aufsichtsbehörde zu melden.

Wurde ein DSB bestellt (verpflichtend oder freiwillig), müssen die Kontaktdaten, auf der eigenen Website unter dem Punkt Datenschutz, veröffentlicht werden. Auch in anderen Datenschutzhinweisen des Unternehmens sind die Kontaktdaten zu veröffentlichen (z. B. Datenschutzhinweis nach Art. 13 DSGVO).

1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.