Um für ein reibungsloses Vorgehen bei DSGVO-bezogener Abläufe im Unternehmen zu sorgen, sollten einige Prozesse definiert werden. Diese sollten den Mitarbeitern zur Verfügung gestellt werden. Auch eine spezielle Schulung der Prozesse ist sinnvoll, damit die Mitarbeiter wissen, wie Sie sich in bestimmten Situationen zu verhalten haben. Zu den wichtigen Prozessen gehören die Betroffenenanfragen und der Fall des Datenverlustes.
Betroffenenanfragen
In Artikel 15 wird das Auskunftsrecht der betroffenen Personen beschrieben. Wenn betroffene Personen Anfragen bezüglich ihrer Daten an das Unternehmen stellen, dann müssen diese innerhalb von 30 Tagen bearbeitet werden. Das muss auch dokumentiert werden. Zunächst muss sich die anfragende Person ausweisen, dass sie auch tatsächlich die ist, für die sie sich ausgibt. Danach muss ein standardisierter Prozess beginnen. Hierbei sind drei mögliche Anfragen denkbar. Die Anfrage, welche Daten über die betroffene Person in dem Unternehmen vorhanden sind, die Anfrage auf Richtigstellung fehlerhafter Datensätze, und die Anfrage auf Löschung von Daten.
Anfrage nach gespeicherten Daten
Der betroffenen Person muss umfassende Auskunft gegeben werden, welche Daten über sie gespeichert sind. Es muss sichergegangen werden, dass alle Daten der Person auffindbar sind. Deshalb ist es sinnvoll die Daten möglichst zentriert zu speichern.
Anfrage auf Richtigstellung
Wenn die betroffene Person das Unternehmen darauf aufmerksam macht, dass ein Fehler in ihren Daten vorhanden ist, muss dieser umgehend in allen Systemen geändert werden. Wenn es nicht ein unverhältnismäßiger Aufwand ist, muss es auch in den Backups geändert werden. Der betroffenen Person muss anschließend Information über die Änderung gegeben werden.
Anfrage auf Löschung
Die DSGVO enthält auch das Recht auf Vergessenwerden. Das bedeutet, dass eine betroffene Person verlangen kann, dass alle ihre Daten gelöscht werden. Hierbei ist allerdings zu prüfen, ob die Datensätze unter gesetzliche Aufbewahrungsfristen fallen. In diesem Fall wird der betroffenen Person detailliert beschrieben, welche Datensätze unter welche Aufbewahrungsfrist fallen, und wann diese gelöscht werden.
Auch mögliche Subunternehmen müssen darüber in Kenntnis gesetzt werden, dass eine Richtigstellung oder Löschung verlangt wurde, damit diese umgesetzt werden kann.
Prozess bei Datenverlust
Im Falle eines Datenverlustes muss schnell gehandelt werden. Die DSGVO schreibt in Artikel 33 Absatz 1 DSGVO vor, dass innerhalb von 72 Stunden, nach dem Bemerken des Datenverlustes, der zuständigen Aufsichtsbehörde Bericht erstattet werden muss. Hierfür wird auf den meisten Webseiten der Landesdatenschutzbehörden ein Formular zum Herunterladen bereitgestellt. Um dieses auszufüllen, müssen aber zunächst einige Informationen gesammelt werden. Der Mitarbeiter, der den Datenverlust bemerkt hat, muss folgende Punkte dokumentieren:
- die Art der Verletzung
- die Kategorien von betroffenen Personen
- die ungefähre Zahl der betroffenen Personen
- die Kategorien von betroffenen personenbezogenen Daten
- die ungefähre Zahl der betroffenen Datensätze
- eventuell ergriffene Abhilfemaßnahmen
Diese Informationen werden an den Verantwortlichen, den Geschäftsführer und den Datenschutzbeauftragten gegeben. Diese leiten die erforderlichen Schritte ein, damit der Datenverlust bei der zuständigen Aufsichtsbehörde gemeldet wird. Außerdem müssen die Verantwortlichen abschätzen, inwieweit die Betroffenen und die Polizei benachrichtigt werden müssen. Nach Artikel 34 DSGVO müssen die Betroffenen informiert werden, sobald ein hohes Risiko für die persönlichen Rechte und Freiheiten besteht. Abschließend muss der Vorfall dokumentiert werden.
Um bei Datenverlusten schnellstmöglich handeln zu können, ist es sinnvoll Maßnahmen zu ergreifen, so dass Verantwortliche durch Protokolle oder technische Vorkehrungen, automatisiert benachrichtigt werden.
DSGVO-Serie: So geht es weiter
In den kommenden Wochen werden wir alle weiteren Maßnahmen zur Umsetzung der Datenschutzgrundverordnung erläutern.
Den ersten Artikel der Serie Datenschutzgrundverordnung – 6 Monate DSGVO und nun? finden Sie unter dem angegebenen Link.
Die nötigen Maßnahmen sind:
- Stellung eines Datenschutzbeauftragten
- Verzeichnis von Verarbeitungstätigkeiten
- Webseitencheck
- Technische und organisatorische Maßnahmen
- Abschluss von Auftragsdatenverarbeitungsverträgen
- Prozesse von Datenpannen und Betroffenenanfragen
- Lösch- und Backupkonzept
- Sensibilisierung der Mitarbeiter
Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager – Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.
Der DSGVO-Manager
Unser DSGVO-Manager unterstützt Sie vor allem bei der Dokumentation aller nötigen Maßnahmen. Hier haben Sie die Möglichkeit nicht nur Ihre Prozesse zu dokumentieren und die Verantwortlichen aufzulisten, Sie können auch Kundenanfragen, wenn es um Auskunft oder Löschung geht, im DSGVO-Manager nachhalten. Zudem unterstützt unser Tool bei der Beauskunftung gegenüber der Datenschutzbehörde im Rahmen einer Unternehmensprüfung.
Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.