Prävention ist der beste Schutz. Die DSGVO belohnt nachweisbare Compliance-Bemühungen ausdrücklich bei der Bußgeldbemessung.
Organisatorische Maßnahmen:
- Datenschutzbeauftragten benennen (Art. 37 DSGVO, Paragraph 38 BDSG) - auch wenn keine Pflicht besteht, kann dies sinnvoll sein.
- Verzeichnis der Verarbeitungstätigkeiten aktuell führen (Art. 30 DSGVO).
- Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen durchführen (Art. 35 DSGVO).
- Auftragsverarbeitungsverträge ordnungsgemäß abschließen (Art. 28 DSGVO).
- Prozesse für Betroffenenanfragen etablieren, um die Ein-Monats-Frist einzuhalten.
- Meldeprozesse für Datenpannen einrichten, um die 72-Stunden-Frist einzuhalten.
- Mitarbeiter schulen und auf Datenschutzpflichten verpflichten (DSK-Kurzpapier Nr. 19).
Technische Maßnahmen (Art. 25, 32 DSGVO):
- Privacy by Design und Privacy by Default (Art. 25 DSGVO)
- Verschlüßelung, Pseudonymisierung
- Zugriffskontrolle und Berechtigungsmanagement
- Regelmäßige Sicherheitsüberprüfungen
- Automatisierte Löschkonzepte
Zertifizierung (Art. 42 DSGVO):
Eine Datenschutzzertifizierung kann als Faktor (nicht als Beweis) für die DSGVO-Einhaltung herangezogen werden. Sie wird bei der Bußgeldbemessung positiv berücksichtigt (Art. 83 Abs. 2 lit. j DSGVO). Die Zertifizierung ist auf maximal drei Jahre befristet.
Im Fall eines Verstoßes:
- Kooperation mit der Aufsichtsbehörde zeigen (Art. 83 Abs. 2 lit. f DSGVO)
- Schnelle Schadenminderung betreiben (Art. 83 Abs. 2 lit. c DSGVO)
- Transparent kommunizieren und Maßnahmen nachweisen
- Dokumentation aller ergriffenen Maßnahmen für die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)