Wichtig ist, zunächst alle Verarbeitungen personenbezogener Daten zusammenzustellen. Sprechen Sie daher mit den Verantwortlichen in allen Abteilungen und lassen Sie sich z.B. den wöchentlichen Ablauf erklären. Das Ergebnis sollte man in einer Tabelle zusammenstellen. Spalten sind z.B. Beschreibung der Verarbeitung, Verantwortlicher, verwendete Software, Betroffene, etc.

4. Regeln Sie Auftragsverarbeitungsverhältnisse und andere Dokumente

Wichtig ist weiterhin eine übersichtliche Zusammenstellung aller Auftragsverarbeitungsverhältnisse: Alle externen Zugriffe auf das IT System sind mittels Auftragsverarbeitungsverträgen zu regeln. Dies trifft zum Beispiel auf den Hoster der Website oder von E-Mail-Systemen ebenso zu wie gegebenenfalls auf den Steuerberater. Besondere Regelungen müssen getroffen werden, wenn die Übermittlung insbesondere das Nicht-EU Ausland erfolgt.

Weiterhin müssen viele Dokumente organisiert werden: Etwa Betroffenenrechte, Einwilligungserklärungen, Löschkonzept, technische und organisatorische Schutzmaßnahmen, Datenschutz-Folgenabschätzung, Umgang mit Datenschutzverletzungen etc. In der Praxis können hierfür Basisdokumente verwendet werden, die jedoch genau auf den jeweiligen Anwendungsfall zugeschnitten werden müssen – ein nicht zu unterschätzender zeitlicher Aufwand.

5. Schulen Sie Ihre Mitarbeiter

Schließlich ist es wichtig, die Mitarbeiter im Umgang mit personenbezogenen Daten zu schulen. Dabei soll bei den Mitarbeitern ein Grundverständnis geschaffen werden und darüber hinaus das Bewusstsein, dass man sich bei Fragen an einen Ansprechpartner wenden kann.

Die Umsetzung der DSGVO kostet Zeit und die Ressourcen müssen im Tagesablauf eingeplant werden - angesichts der knappen verbleibenden Zeit eine besondere Herausforderung. Wichtig ist es daher einen Umsetzungsplan zu entwerfen und zu verfolgen.

Eine ausführliche Anleitung gibt Rechtsanwalt Stefan Schicker im Rahmen des W&V Data Marketing Day am 17.04.2018 in München. Hier  gibt's die Infos und Möglichkeiten zur Anmeldung.

Praxis-Check für Ihre Daten nötig? Hier geht's zum neuen W&V DSGVO-Report. 


W&V Redaktion
Autor: W&V Redaktion

Es gibt unterschiedliche Gründe, warum Artikel mit "W&V-Redaktion" gekennzeichnet sind. Zum Beispiel, wenn mehrere Autor:innen daran mitgearbeitet haben oder wenn es sich um einen rein nachrichtlichen Text ohne zusätzliche Informationen handelt. Wie auch immer: Die redaktionellen Standards von W&V gelten für jeden einzelnen Artikel.


Alle Dossiers