Die neue DSGVO sieht im Wesentlichen ein Verbot der Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten vor. Um dies dennoch tun zu dürfen sieht sie Ausnahmen vor, nämlich eine explizite Einwilligung der betroffenen natürlichen Person oder auch möglich durch diverse Gesetze.
Die Erhebung von Daten einer Person hat unter der Devise der „sparsamkeit“ zu erfolgen. Es sollen nur die Daten abgefragt und gespeichert werden, welche für einen bestimmten Zweck benötigt werden.
Alle erhobenen und gespeicherten Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden.
Die gespeicherten Daten müssen ihrer Schutzbedürftigkeit entsprechend gesichert werden. Die Risikoanalyse unterliegt dabei dem Speicherer der Daten. Im Falle eines Datenlecks wird die Verhältnismäßigkeit der Sicherung der Daten geprüft und abgewogen ob das Schutzniveau als angemessen angesehen wird.
Die Person deren Daten erhoben wurden hat gegenüber jeder Stelle die personenbezogene Daten verarbeitet das Recht auf „vergessenwerden“. Das bedeutet bei Inanspruchnahme dieses Rechts müssen jegliche Daten der Person gelöscht und endgültig „vergessen“ werden.
Jede Person deren Daten gespeichert sind hat das Recht ihre Daten in einer geeigneten Form zu einem anderen Datenerhebenden mitzunehmen. Zu diesem Zweck müssen Daten entsprechend aufbereitet an den neuen Datenerhebenden übergeben werden können.
Nach Aufforderung muss der entsprechenden Person Rechenschaft über Verbleib, Verarbeitung und Einhaltung der Datenschutzrichtlinien abgelegt werden.
In einem Unternehmen sollt Anhand dieser Punkte der Ablauf bei der Erhebung von personenbezogenen Daten untersucht werden und diese Punkt auf den betrieblichen Ablauf adaptiert werden.
Ein Datenschutzbeauftragter ist dafür verantwortlich, geeignete Maßnahmen aufzuzeigen und unterstützt die einzelnen Stellen bei der Umsetzung der Form der Datenerhebung, Datenspeicherung und dem Datenmanagement sowie in Fällen der Auskunftspflicht bei der Dokumentation und Präsentation der eingehaltenen Vorschriften.
Eine Umsetzung der DSGVO Kriterien sollte aus den folgenden Punkten bestehen:
- Ermittlung, welche personenbezogenen Daten wie, wann und warum verarbeitet werden
- Ermittlung, welche Verarbeitung datenschutzrechtlich problematisch sein kann
- Vereinbarungen mit Geschäftspartnern und Angestellten die Zugriff auf Daten haben
- Einwilligungen der Mitarbeiter zur Verarbeitung personenbezogener Daten
- Anpassung der betriebsinternen Dokumentation und der Prozesse
- Beachtung und Einhaltung der Pflichten wie Unterrichtungspflicht und Löschpflicht
- Unterweisung der Mitarbeiter
