Eines erstmal vorweg: egal wie klein Ihre Firma ist, sobald Sie persönliche Daten elektronisch erfassen, zum Beispiel die Ihrer Kunden oder Beschäftigten, sind Sie verpflichtet den entsprechenden Datenschutz einzuhalten und dies zu dokumentieren.
Das ist kein Hexenwerk. Beginnen Sie ganz einfach so: Bei welchen Tätigkeiten legen Sie Daten an oder bearbeite diese? Wozu legen Sie diese Daten an? Wo speichern Sie diese Daten? Gibt es einen Rechtsgrund dafür? Dies sind einige der Fragen….
Wenn Sie z.B. als Online-Shop Kundendaten speichern ist der Rechtsgrund der Kaufvertrag – schließlich müssen Sie ja eine Rechnung schreiben und die Ware versenden.
Diese Bearbeitungen persönlicher Daten müssen Sie, für jede einzelne Tätigkeit, im sogenannten Verfahrensverzeichnis dokumentieren.
Das Formular mit den notwendigen Angaben, das Verfahrensverzeichnis, finden Sie hier.
Eine ausführliche Erläuterung zu den einzelnen Punkten stellen wir zu einem späteren Zeitpunkt online.
Weiterhin benötigen Sie eine Aufstellung/Dokumentation/Liste, in der Sie dokumentieren wie Sie die persönlichen Daten Ihrer Kunden, Beschäftigten usw. gegen unbefugtes Benutzen, (ungewolltes) Löschen etc. schützen. Dies nennt sich Technisch-Organisatorische Maßnahmen und betrifft vorwiegend Ihre Computersicherheit und Ihre organisatorischen Maßnahmen zum Schutz der Daten, wie z.B. die Unterweisung Ihrer Mitarbeiter zum Datenschutz.
Wenn Sie fremde Daten bearbeiten oder -im umgekehrten Fall- Ihre erhobenen Daten einem Subunternehmer weitergeben, benötigen Sie eine Vereinbarung mit dem „Datenlieferanten“ oder Ihrem Subunternehmer.