Was bedeutet es, DSGVO-konform zu sein?

Ein Unternehmen erfüllt die Anforderungen der DSGVO, wenn es personenbezogene Daten rechtmäßig, sicher und transparent verarbeitet. Dazu gehören klare Regeln für die Erhebung, Speicherung und Nutzung von Daten sowie Maßnahmen zum Schutz der Privatsphäre.

Die DSGVO verpflichtet Unternehmen zu einem verantwortungsvollen Umgang mit Daten und räumt betroffenen Personen acht zentrale Rechte ein, darunter das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch. Das Ziel besteht darin, Einzelpersonen mehr Kontrolle über ihre persönlichen Informationen zu geben.
 

Die DSGVO im Überblick

Die DSGVO ist derzeit das umfassendste und strengste Datenschutzgesetz weltweit. Sie wurde von der Europäischen Union entwickelt, um zu regeln, wie Unternehmen personenbezogene Daten von EU-Bürgern erheben, verarbeiten und schützen. Seit dem 25. Mai 2018 ist die sie unmittelbar in allen EU-Mitgliedstaaten gültig. Ihr Ziel ist es, die Rechte von Betroffenen zu stärken, indem sie ihnen mehr Kontrolle darüber gibt, wie ihre persönlichen Daten erfasst, genutzt und weitergegeben werden.

Die DSGVO verfolgt drei zentrale Ziele:

1. Schutz der Grundrechte: Sie soll die grundlegenden Datenschutzrechte von Personen stärken und sichern.
   
2. Einheitliche Regelung: Sie ersetzt die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten sowie die Datenschutzrichtlinie von 1995 durch ein einheitliches europäisches Datenschutzrecht.
   
3. Anpassung an den digitalen Wandel: Die Verordnung trägt den technologischen Entwicklungen der letzten Jahrzehnte Rechnung und modernisiert den Datenschutz entsprechend.
   

Zentrale Begriffe der DSGVO

Bevor wir tiefer in die Details einsteigen, werfen wir einen Blick auf einige grundlegende Begriffe der DSGVO.

• Betroffene Person: Jede natürliche Person mit Wohnsitz in der EU, deren personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter erhoben, gespeichert oder verarbeitet werden.
  
• Verantwortlicher: Eine Stelle – beispielsweise ein Unternehmen oder eine Behörde –, die über Zweck und Rechtsgrundlage der Verarbeitung personenbezogener Daten entscheidet.
  
• Auftragsverarbeiter: Eine Person oder Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, beispielsweise ein externer IT-Dienstleister.
  
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten – ob automatisiert oder manuell. Dazu zählen unter anderem Erhebung, Speicherung, Organisation, Anpassung, Auswertung oder Löschung.
  
• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Name, E-Mail-Adresse, Fotos oder Bankdaten.
  
• Einwilligung: Die freiwillige, informierte und eindeutige Zustimmung einer betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten. Diese kann durch eine Erklärung oder eine eindeutige bestätigende Handlung erfolgen.
   

Gilt die DSGVO für Ihr Unternehmen?

Um dies festzustellen, sollten Sie zwei Aspekte prüfen: Zum einen den sachlichen Anwendungsbereich, das heißt, ob Ihre Datenverarbeitung grundsätzlich von der DSGVO erfasst wird. Zum anderen den räumlichen Anwendungsbereich, das heißt, ob Sie sich in einer Gerichtsbarkeit befinden, in der die DSGVO gilt.
 

Gilt die DSGVO auch für US-Unternehmen?

Ja, auch Unternehmen außerhalb der EU, beispielsweise in den USA, können unter die DSGVO fallen. Ob ein Unternehmen betroffen ist, hängt davon ab, ob es in den sachlichen und räumlichen Anwendungsbereich der Verordnung fällt. Kurz gesagt: Wenn Sie personenbezogene Daten von Personen mit Wohnsitz in der EU verarbeiten – etwa durch Erhebung, Speicherung, Nutzung oder Weitergabe – und dies im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder zur Beobachtung des Nutzerverhaltens geschieht, dann ist die DSGVO in der Regel anwendbar.
 

Der sachliche Anwendungsbereich

Die DSGVO findet auf die Verarbeitung personenbezogener Daten Anwendung, wenn diese ganz oder teilweise automatisiert erfolgt. Sie gilt aber auch für die manuelle Verarbeitung, sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Somit betrifft die Verordnung nahezu alle Tätigkeiten von Unternehmen mit personenbezogenen Daten, wie beispielsweise das Erheben, Speichern, Abrufen, Verwenden, Analysieren, Weitergeben oder Löschen von Informationen.
 

Der räumliche Anwendungsbereich

Die DSGVO gilt für die Verarbeitung personenbezogener Daten durch einen Verantwortlichen oder Auftragsverarbeiter mit Sitz in der EU – unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU erfolgt.

Die DSGVO gilt auch für Verantwortliche oder Auftragsverarbeiter mit Sitz außerhalb der EU – beispielsweise in den USA –, sofern sie Waren oder Dienstleistungen an Personen in der EU anbieten oder das Verhalten dieser Personen innerhalb der EU beobachten. Zum Beispiel unterliegt ein US-amerikanischer Online-Shop, der gezielt Kundinnen und Kunden in der EU anspricht und ihnen Produkte anbietet, der DSGVO – selbst wenn die angebotenen Waren kostenlos sind. Auch staatliche Stellen oder gemeinnützige Organisationen außerhalb der EU können betroffen sein. So fällt etwa eine von einer US-Bundesbehörde betriebene Reiseinformationsseite unter die DSGVO, wenn sie personenbezogene Daten wie IP-Adressen von EU-Besuchern erfasst.
 

Welche Rechte haben betroffene Personen gemäß der DSGVO?

Die DSGVO definiert acht grundlegende Rechte für betroffene Personen sowie das Recht, eine erteilte Einwilligung zu widerrufen. Erläutern wir diese Rechte näher:

1. Recht auf Information (Artikel 12–14)
   Betroffene Personen haben das Recht, darüber informiert zu werden, wie ihre personenbezogenen Daten erhoben und verwendet werden.
2. Recht auf Auskunft (Artikel 15)
   Betroffene Personen haben das Recht, Einsicht in ihre gespeicherten personenbezogenen Daten zu nehmen und Kopien davon anzufordern.
   
3. Recht auf Berichtigung (Artikel 16)
   Betroffene Personen haben das Recht, die Berichtigung unrichtiger oder veralteter personenbezogener Daten zu verlangen.
   
4. Recht auf Löschung/ Recht auf Vergessenwerden (Artikel 17)
   Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Dieses Recht gilt jedoch nicht uneingeschränkt, sondern kann durch gesetzliche Ausnahmen eingeschränkt sein.
   
5. Recht auf Datenübertragbarkeit (Artikel 20)
   Betroffene Personen haben das Recht, ihre personenbezogenen Daten in einem maschinenlesbaren elektronischen Format zu erhalten oder sie an einen anderen Verantwortlichen übermitteln zu lassen.
   
6. Recht auf Einschränkung der Verarbeitung (Artikel 18)
   Betroffene Personen haben das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen.
   
7. Recht auf Widerruf der Einwilligung (Artikel 7)
   Betroffene Personen haben das Recht, eine zuvor erteilte Einwilligung zur Verarbeitung ihrer personenbezogenen Daten zu widerrufen.
   
8. Widerspruchsrecht (Artikel 21)
   Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen.
   
9. Recht auf Widerspruch gegen automatisierte Entscheidungen (Artikel 22)
   Betroffene Personen haben das Recht, Entscheidungen, die ausschließlich auf automatisierter Verarbeitung oder Profiling beruhen, anzufechten.
    

Checkliste: In 11 Schritten DSGVO-konform

Nachdem Sie sich mit den Grundlagen vertraut gemacht haben, geht es nun darum, welche konkreten Schritte Ihr Unternehmen ergreifen kann, um die Anforderungen der DSGVO zu erfüllen. Auch wenn die Umsetzung je nach Unternehmen unterschiedlich ausfallen kann, gibt es bestimmte Schritte, die jedes Unternehmen unmittelbar ergreifen kann, um ein DSGVO-konformes Programm aufzubauen.

1. Entwickeln Sie einen umsetzbaren Plan auf Basis der sieben Grundsätze der DSGVO.
   
2. Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30.
   
3. Integrieren Sie Datenschutz-Folgenabschätzungen und Privacy by Design in Ihre Abläufe.
   
4. Entwickeln Sie einen Rahmen für das Einwilligungsmanagement.
   
5. Beachten Sie die EU-Vorgaben zur Nutzung von Cookies.
   
6. Richten Sie ein Portal für Betroffenenanfragen ein.
   
7. Überprüfen und minimieren Sie Risiken bei Auftragsverarbeitern.
   
8. Erstellen Sie einen Workflow für Vorfallmeldungen und Datenschutzverletzungen.
   
9. Prüfen Sie die Mechanismen für grenzüberschreitende Datenübermittlungen.
   
10. Führen Sie Schulungen zur DSGVO durch.
    
11. Ernennen Sie einen Datenschutzbeauftragten

 Lassen Sie uns die einzelnen Schritte etwas genauer betrachten.
 

Schritt 1: Entwickeln Sie einen umsetzbaren Plan auf Basis der sieben Grundsätze der DSGVO.

Die DSGVO definiert sieben zentrale Grundsätze, die im Mittelpunkt Ihres Umgangs mit personenbezogenen Daten stehen sollten.

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: Jede Verarbeitung personenbezogener Daten muss auf einer rechtmäßigen Grundlage beruhen. Sie darf nicht überraschend erfolgen und die betroffenen Personen müssen darüber informiert werden.
  
• Zweckbindung: Definieren Sie klar, zu welchen Zwecken die Daten verarbeitet werden sollen. Diese Zwecke sollten dokumentiert und in der Datenschutzerklärung gegenüber den betroffenen Personen offengelegt werden. Eine Verarbeitung für andere Zwecke ist nicht zulässig.
  
• Datenminimierung: Verarbeiten Sie nur die personenbezogenen Daten, die für den jeweiligen Zweck unbedingt erforderlich sind.
  
• Richtigkeit: Stellen Sie sicher, dass die verarbeiteten Daten korrekt und aktuell sind. Unrichtige Daten müssen umgehend berichtigt oder gelöscht werden.
  
• Speicherbeschränkung: Bewahren Sie personenbezogene Daten nur so lange auf, wie sie tatsächlich benötigt werden.
  
• Integrität und Vertraulichkeit (Sicherheit): Treffen Sie geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugter oder rechtswidriger Verarbeitung sowie vor unbeabsichtigtem Verlust, Zerstörung oder Beschädigung zu schützen.
  
• Rechenschaftspflicht Übernehmen Sie Verantwortung für den Umgang mit personenbezogenen Daten und dokumentieren Sie Ihre Maßnahmen, um die Einhaltung der Datenschutzgrundsätze nachweisen zu können.
  

Die DSGVO verlangt, dass geeignete technische und organisatorische Maßnahmen getroffen werden, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte betroffener Personen zu schützen. Dieses Konzept wird als „Privacy by Design” (auch „Datenschutz durch Technikgestaltung”) bezeichnet. Das bedeutet, dass der Datenschutz von Anfang an in alle Verarbeitungsvorgänge und Geschäftsprozesse integriert werden muss – bereits in der Planungsphase und über den gesamten Lebenszyklus der Daten hinweg.
 

DSGVO:

• Artikel 5: Grundsätze für die Verarbeitung personenbezogener Daten
  
• Artikel 24: Verantwortung des für die Verarbeitung Verantwortlichen
   

Schritt 2: Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30.

Die DSGVO verpflichtet Unternehmen dazu, ein aktuelles Verzeichnis ihrer Verarbeitungstätigkeiten zu führen. Dieses muss kontinuierlich gepflegt und auf dem neuesten Stand gehalten werden. Ein zentrales Instrument dafür ist das sogenannte Data Mapping, also die systematische Erfassung und Dokumentation aller Datenflüsse innerhalb des Unternehmens.

Auch wenn der Begriff „Data Mapping” in der DSGVO nicht ausdrücklich genannt wird, verlangt die Verordnung von Verantwortlichen und Auftragsverarbeitern im B2B- und B2C-Bereich, ein vollständiges Verzeichnis der Verarbeitungstätigkeiten zu führen. Artikel 30 der DSGVO stellt dabei sehr konkrete Anforderungen. Selbst wenn bereits ein Data Mapping durchgeführt wurde, muss dieses unter Umständen erneut erfolgen, um den gesetzlichen Vorgaben zu entsprechen.
 

DSGVO:

• Artikel 6: Rechtmäßigkeit der Verarbeitung
  
• Artikel 30: Verzeichnis von Verarbeitungstätigkeiten (primär)
  
• Artikel 32: Sicherheit der Verarbeitung
   

Schritt 3: Integrieren Sie Datenschutz-Folgenabschätzungen und Privacy by Design in Ihre Abläufe.

Die DSGVO verpflichtet Verantwortliche dazu, eine Datenschutz-Folgenabschätzung (DPIA) durchzuführen, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Die Anforderungen an eine DPIA gehen dabei weit über einen einfachen Fragebogen hinaus. So ist beispielsweise die Einbindung des Datenschutzbeauftragten in bestimmte Abläufe vorgeschrieben. Ebenso müssen Risikominderungsmaßnahmen dokumentiert, Risiken im Hinblick auf mögliche Schäden für betroffene Personen bewertet und gegebenenfalls Konsultationen mit diesen durchgeführt werden.

In der Praxis nutzen viele Unternehmen zunächst einen schlanken Vorab-Fragebogen, um das Risiko einzuschätzen und zu entscheiden, ob eine vollständige DPIA erforderlich ist. Die damit verbundenen Anforderungen an Workflows, Dokumentation, Benutzerfreundlichkeit und Integration in bestehende Geschäftsprozesse machen den Einsatz spezialisierter Tools erforderlich.

Wenn sie richtig durchgeführt wird, ist die DPIA ein wirkungsvolles Instrument, um Privacy by Design in der Praxis umzusetzen.
 

DSGVO:

• Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  
• Artikel 35: Datenschutz-Folgenabschätzungen
  
• Artikel 36: Vorherige Konsultation
   

Schritt 4: Entwickeln Sie einen Rahmen für das Einwilligungsmanagement.

Die DSGVO stellt besonders hohe Anforderungen an die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung. Damit eine Einwilligung gültig ist, muss die Einwilligungserklärung klar, eindeutig und verständlich formuliert sein. Sie darf nicht in juristischen Texten versteckt oder mit anderen Hinweisen vermischt werden. Zudem muss es für betroffene Personen jederzeit einfach möglich sein, ihre Einwilligung zu widerrufen. Darüber hinaus müssen Unternehmen nachweisen können, dass die Einwilligung granular und nachvollziehbar, d. h. bezogen auf konkrete Verarbeitungszwecke, erteilt wurde.
 

DSGVO:

• Artikel 7: Bedingungen für die Einwilligung
   

Schritt 5: Beachten Sie die EU-Vorgaben zur Nutzung von Cookies.

Gemäß der ePrivacy-Richtlinie sind Unternehmen dazu verpflichtet, ihre Nutzer über die Verwendung von Cookies zu informieren. In der Erklärung müssen sie angeben, welche Cookies sie zu welchem Zweck einsetzen. Zudem müssen sie nachweisen können, dass die Einwilligung bewusst und freiwillig erteilt wurde. Darüber hinaus müssen Nutzer darüber informiert werden, welche Funktionen die einzelnen Cookies erfüllen, welche Unternehmen die Cookies setzen und wie sie die damit erhobenen Daten nutzen. Ausgenommen sind technisch notwendige Cookies, die erforderlich sind, um einen vom Nutzer angeforderten Online-Dienst bereitzustellen, beispielsweise um den Warenkorb im Online-Shop zu speichern oder die Sicherheit beim Online-Banking zu gewährleisten. Die gleichen Regeln gelten auch für andere Technologien, mit denen Informationen auf dem Gerät einer Person gespeichert oder ausgelesen werden, etwa SDKs in mobilen Apps.

Die Anforderungen der ePrivacy-Richtlinie gelten unabhängig davon, ob Cookies personenbezogene oder anonyme Daten verarbeiten. Selbst wenn die durch Cookies erhobenen Daten anonym sind, muss die Einwilligung der Nutzer den Standards der DSGVO entsprechen. Bei nicht anonymen Cookie-Daten kommen zusätzlich die weitergehenden Vorgaben der DSGVO zur Anwendung. Dazu gehört unter anderem die Durchführung einer DPIA sowie die Dokumentation der Verarbeitungstätigkeit im Verzeichnis gemäß Artikel 30.

Durch die DSGVO wurde die Ausarbeitung der geplanten ePrivacy-Verordnung maßgeblich beeinflusst. Letztere soll die derzeitige ePrivacy-Richtlinie ersetzen und noch enger mit der DSGVO verzahnt werden. Unternehmen müssen sich auf strengere Sanktionen und gezieltere aufsichtsrechtliche Maßnahmen im Rahmen des Entwurfs der ePrivacy-Verordnung einstellen.
 

DSGVO:

• Artikel 7: Bedingungen für die Einwilligung
  
• Artikel 21: Widerspruchsrecht
  
• ePrivacy-Richtlinie / Entwurf der ePrivacy-Verordnung
   

Schritt 6: Richten Sie ein Portal für Betroffenenanfragen ein.

Die DSGVO räumt betroffenen Personen eine Reihe konkreter Rechte ein, darunter das Recht auf Datenübertragbarkeit, Auskunft, Löschung (auch „Recht auf Vergessenwerden“ genannt) und Berichtigung. Für die Bearbeitung solcher Anfragen bestehen klare Vorgaben, zu denen unter anderem Fristen zur Beantwortung, die Möglichkeit, eine Verlängerung zu beantragen, die Verifizierung der Identität der anfragenden Person sowie die sichere Übermittlung der Antwort zählen. Ein automatisiertes Portal, das bei der Erfassung, Priorisierung und Bearbeitung solcher Anfragen unterstützt, ist entscheidend, um Datenschutzanfragen effizient zu verwalten, zu dokumentieren und nachzuverfolgen.
 

DSGVO:

• Artikel 7: Bedingungen für die Einwilligung
  
• Artikel 12: Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
  
• Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
  
• Artikel 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
  
• Artikel 15: Auskunftsrecht der betroffenen Person
  
• Artikel 16: Recht auf Berichtigung
  
• Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden“)
  
• Artikel 18: Recht auf Einschränkung der Verarbeitung
  
• Artikel 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
  
• Artikel 20: Recht auf Datenübertragbarkeit
  
• Artikel 21: Widerspruchsrecht
   

Schritt 7: Überprüfen und minimieren Sie Risiken bei Auftragsverarbeitern.

Die DSGVO macht Verantwortliche auch dann haftbar, wenn Auftragsverarbeiter Datenschutzverletzungen verursachen. Deshalb ist es besonders wichtig, Datenübermittlungen an externe Dienstleister sowie vertragliche Vereinbarungen mit derselben Sorgfalt zu analysieren wie interne Prozesse. Nur so kann ein Unternehmen im Ernstfall nachvollziehbar und rechtssicher reagieren. Eine sorgfältige Analyse hilft gleichzeitig dabei, im Falle einer Datenpanne schnell zu erkennen, welche Daten betroffen sind und welche Maßnahmen erforderlich sind.
 

 DSGVO:

• Artikel 28 Absatz 1-3: Auftragsverarbeiter
  
• Artikel 24 Absatz 1: Verantwortung des für die Verarbeitung Verantwortlichen
  
• Artikel 29: Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
  
• Artikel 46 Absatz 1: Datenübermittlung vorbehaltlich geeigneter Garantien
   

Schritt 8: Erstellen Sie einen Workflow für Vorfallmeldungen und Datenschutzverletzungen.

Laut DSGVO müssen Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Besteht durch die Verletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss zusätzlich eine Benachrichtigung der betroffenen Personen erfolgen. Um diese Anforderungen zuverlässig zu erfüllen, ist es entscheidend, dass Unternehmen über einen klar definierten und systematischen Prozess zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen verfügen.
 

DSGVO:

• Artikel 33: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
  
• Artikel 34: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
   

Schritt 9: Prüfen Sie die Mechanismen für grenzüberschreitende Datenübermittlungen.

Gemäß der DSGVO müssen personenbezogene Daten auch bei einer Übermittlung außerhalb des Europäischen Wirtschaftsraums (EWR) denselben Schutz genießen wie innerhalb der EU. Unternehmen müssen daher sicherstellen, dass sie über geeignete Mechanismen für internationale Datenübermittlungen verfügen.

Wenn Sie personenbezogene Daten in ein Drittland übermitteln möchten, müssen Sie zunächst prüfen, ob ein sogenannter Angemessenheitsbeschluss vorliegt. Das bedeutet, dass die Europäische Kommission für ein Drittland oder ein international tätiges Unternehmen festgestellt hat, dass es ein angemessenes Datenschutzniveau gewährleistet. Diese Entscheidungen können jedoch überprüft und widerrufen werden, wie es beim EU-US Privacy Shield geschehen ist. Ein weiteres Beispiel ist der Angemessenheitsbeschluss für das Vereinigte Königreich nach dem Brexit, für den die Kommission zwei entsprechende Beschlüsse erlassen hat.

Wenn kein Angemessenheitsbeschluss vorliegt, erlaubt die DSGVO eine Datenübermittlung, sofern der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorweisen kann. Am häufigsten werden hierfür Standardvertragsklauseln (SCCs) herangezogen. Diese legen die Pflichten von Datenexporteuren und -importeuren fest und sichern die Rechte der betroffenen Personen.

Auch ohne Angemessenheitsbeschluss oder geeignete Garantien kann eine Datenübermittlung unter bestimmten Voraussetzungen zulässig sein, beispielsweise bei ausdrücklicher Einwilligung der betroffenen Person oder wenn die Übermittlung zur Vertragserfüllung erforderlich ist. Solche Ausnahmen bergen jedoch ein erhöhtes Risiko von Datenschutzverletzungen und sollten nicht als dauerhafte Lösung herangezogen werden.
 

DSGVO:

• Artikel 44: Allgemeine Grundsätze der Datenübermittlung
  
• Artikel 45: Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
  
• Artikel 46: Datenübermittlung vorbehaltlich geeigneter Garantien
  
• Artikel 47: Verbindliche interne Datenschutzvorschriften
  
• Artikel 49: Ausnahmen für bestimmte Fälle
   

Schritt 10: Führen Sie Schulungen zur DSGVO durch.

Laut DSGVO muss ein Datenschutzbeauftragter die Einhaltung der Datenschutzvorgaben überwachen. Dazu gehört auch, das Bewusstsein für Datenschutz im Unternehmen zu stärken und Mitarbeiter regelmäßig zu schulen. Wichtig ist, dass nicht nur zu Beginn eine Schulung erfolgt, sondern auch in regelmäßigen Abständen Auffrischungstrainings angeboten werden. Zudem sollte ein System zur Dokumentation aller durchgeführten Schulungen bestehen, um im Falle einer Prüfung die Einhaltung der DSGVO belegen zu können.
 

DSGVO:

• Artikel 39: Aufgaben des Datenschutzbeauftragten
  
• Artikel 47: Verbindliche interne Datenschutzvorschriften
   

Schritt 11:  Ernennen Sie einen Datenschutzbeauftragten.

Die DSGVO verpflichtet Unternehmen, einen Datenschutzbeauftragten zu ernennen, sofern es sich um eine Behörde oder öffentliche Stelle handelt oder die Kerntätigkeiten des Unternehmens eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfordern, beispielsweise durch Analyse des Online-Verhaltens. Das Gleiche gilt, wenn sensible Daten in großem Umfang verarbeitet werden, etwa Gesundheitsdaten oder Informationen zu strafrechtlichen Verurteilungen.

Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der Vorgaben der DSGVO zu gewährleisten. Er unterstützt die Unternehmen bei der internen Kontrolle, informiert und berät sie über ihre datenschutzrechtlichen Pflichten und gibt Empfehlungen zu Datenschutz-Folgenabschätzungen. Zudem fungiert die Person als zentrale Anlaufstelle für betroffene Personen und für die zuständigen Datenschutzbehörden.
 

DSGVO:

• Artikel 37: Benennung eines Datenschutzbeauftragten
  
• Artikel 38: Stellung des Datenschutzbeauftragten
  
• Artikel 39: Aufgaben des Datenschutzbeauftragten
  
  

Mit OneTrust die DSGVO sicher umsetzen

Mit OneTrust Privacy Automation erhalten Sie alle erforderlichen Werkzeuge, um ein umfassendes Datenschutzprogramm gemäß der DSGVO aufzubauen. Unsere Lösung ermöglicht Ihnen unter anderem Folgendes:

• Führen Sie DSGVO-spezifische Datenschutz-Folgenabschätzungen, Privacy-by-Design-Bewertungen und weitere interne Datenschutz- und Sicherheitsbewertungen strukturiert durch.
• Erstellen Sie eine stets aktuelle Übersicht über Datenflüsse, internationale Datenübermittlungen und Verarbeitungstätigkeiten und pflegen Sie diese. Nutzen Sie dazu vorgefertigte Vorlagen zur Umsetzung von Artikel 30.  
• Setzen Sie Ihren Incident-Response-Plan um, managen Sie Datenschutzvorfälle und nutzen Sie automatisierte Hinweise zur Meldepflicht, die auf verschiedenen Datenschutzgesetzen basieren. 
• Bearbeiten Sie Datenschutzanfragen effizient – von der Erfassung bis zur Erfüllung – mithilfe vorgefertigter Workflows und Leitlinien zur DSGVO und anderen Datenschutzgesetzen. 
• Scannen Sie Ihre Websites, identifizieren Sie Cookies und Tracker und erstellen Sie standortbezogene Cookie-Banner, Präferenz-Center und Cookie-Richtlinien. 
• Sammeln, zentralisieren und synchronisieren Sie Einwilligungsdaten über verschiedene Kanäle, Plattformen und Systeme hinweg.

Fordern Sie noch heute eine Demo an und erfahren Sie, wie Sie mit OneTrust Privacy Automation ein DSGVO-konformes Datenschutzprogramm aufbauen.