Einhaltung der grundlegenden Rechtsgrundsätze, nämlich Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Transparenz, Zweckmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

Umsetzung von geeigneten technischen und organisatorischen Maßnahmen, um Datensicherheit zu gewährleisten.

Gewähr, dass die Massnahmen zur Einhaltung der Rechtsgrundsätze überprüft und aktualisiert werden.

Will man eine Datenverarbeitung auf die Rechtsgrundlage „Wahrung der berechtigten Interessen des Verantwortlichen oder Dritten“ stützen, sind die betroffenen Personen zu informieren, welches diese Gründe sind und warum diese gegenüber den Interessen der Betroffenen als überwiegend angesehen werden.

Die Betroffene sind zudem umfassend zu informieren, wenn Daten über diese zu einem anderen Zweck weiterverarbeitet werden wollen als zu dem ursprünglichen Zweck.

Stützt man sich zur Rechtfertigung einer Datenverarbeitung auf eine sog. Einwilligung, so muss das Unternehmen nachweisen können‎, dass diese vorliegt, also ein Betroffener diese

wirksam erteilt hat. Eine Einwilligung muss informiert erfolgen und es muss eine unmissverständliche Willensbekundung in Form einer Erklärung (Textform z. B. durch E-Mail, Fax, Dokumentenscan; Einwilligung per Mausklick) vorliegen.

Die Einwilligung muss freiwillig abgegeben worden sein. Zudem ist das sog. Koppelungsverbot zu beachten. Die Einwilligung darf nicht an die Erfüllung eines Vertrages gekoppelt werden, wenn die Datenverarbeitung hierfür nicht notwendig ist.

Kinder unter 16 Jahren können datenschutzrechtlich nicht gültig in die Verarbeitung von Daten einwilligen. Kinder unter sechzehn benötigen die Einwilligung der Erziehungsberechtigten oder deren Zustimmung‎, um wirksam einwilligen zu können. Ein Unternehmen, das Produkte oder Dienstleistungen an Kinder anbietet, muss die Zustimmung der Erziehungsberechtigten nachweisen können.

Unternehmen müssen Betroffenen-Rechte umsetzen. Dabei geht es insbesondere um Informationspflichten. Die Betroffenen (z. B. bei einer Einwilligung oder bei einer Datenerhebung über Dritte). Ferner sollten Umfang und Grenzen von Betroffenenrechten und die Fristen bekannt sein, in denen verantwortliche Stellen Betroffenenrechte erfüllen müssen und deren Einhaltung sichergestellt sein.

Unternehmen müssen gewährleisten, dass jede Person innert eines Monats (Fristverlängerung um max. zwei Monate möglich) Auskunft darüber zu erhalten, welche Daten über sie verarbeitet werden. Folgende Fragen sind zu beantworten:

• Werden Daten zu einer Person verarbeitet?
• Verarbeitungszwecke und Datenkategorien?
• Empfänger(-kategorien)?
• Herkunft der Daten, soweit diese nicht beim Betroffenen selbst, sondern bei Dritten erhoben worden sind?
• Bei automatisierten Entscheidungen/Profiling: Wie ist die Logik und die Tragweite/Auswirkungen dieser Verarbeitung?
• Welches sind die geeigneten Garantien bei Drittlandtransfers?

Es wird empfohlen, Umfang und Grenzen von Auskunftsansprüchen zu kennen und intern entsprechende Festlegungen (z. B. wer darf Auskunftsansprüche bearbeiten, Mitarbeiter schulen und festlegen, was als Geschäftsgeheimnis anzusehen ist) zu treffen.

Unrichtige Angaben über eine Person sind auf deren Verlangen unverzüglich zu berichtigen und unvollständige Angaben zu ergänzen.

Unternehmen müssen sich mit der Thematik „Löschen“ auseinandersetzen und ein Löschkonzept implementieren. Denn wenn Angaben über eine Person für eine Verarbeitung nicht mehr notwendig sind, so hat der Verantwortliche diese unverzüglich zu löschen. Ebenfalls gelöscht werden muss, wenn ein Betroffener die Löschung seiner Daten fordert. Betroffene können verlangen, dass Verantwortliche ihnen bestätigen, dass diese die Daten antragsgemäß gelöscht haben.

Betroffene können vom Unternehmen, das Daten verarbeitet, verlangen, die Bearbeitung einzuschränken. Dies bspw., wenn deren Richtigkeit bestritten wird oder die Daten ohne Rechtsgrundlage verarbeitet werden und ein Verantwortlicher eine Löschung ablehnt.

Betroffene haben neu ein Recht auf Datenübertragbarkeit. Die gilt für diejenigen personenbezogenen Daten, die eine Person einem Unternehmen zur Verfügung gestellt hat, bspw. im Zusammenhang mit der Abgabe einer Einwilligung oder dem Abschluss eines Vertrags und sofern die Datenverarbeitung automatisiert, d. h. IT-gestützt, erfolgt ist und soweit Rechte Dritter hierdurch nicht beeinträchtigt werden.

Übertragbarkeit bedeutet, dass die Daten in einem strukturierten, gängigen‎ und maschinenlesbarem Format zu übermitteln sind.

Eine Einwilligung zu einer Datenbearbeitung kann jederzeit widerrufen werden. Der Widerruf sollte hierbei so einfach wie die Einwilligung sein. Auf dieses Recht muss transparent hingewiesen werden.

Betroffene können jederzeit einer Verarbeitung ihrer Daten widersprechen, wenn diese auf der Rechtsgrundlage „berechtigtes Interesse “ erhoben wurden.

Wenn zulässig Widerspruch erhoben wird, dann dürfen die Daten der betroffenen Person nicht mehr verwendet werden, bspw. um ihn mittels Werbung direkt anzusprechen.

Unternehmen, die Daten verarbeiten, sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzusetzen. Bei der Festlegung von Maßnahmen sind Art, Umfang, Umstände, die Verarbeitungszwecke ebenso wie unterschiedliche Eintrittswahrscheinlichkeiten und die Schwere der Risiken zu berücksichtigen.

Angemessene Sicherheit von Daten ist zu gewährleisten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust/Zerstörung/Schädigung.

Dementsprechend sollten die Maßnahmen und ihre Dokumentation Folgendes umfassen:

• Können Daten pseudonymisiert und/oder verschlüsselt werden?
• Wie werden Vertraulichkeit, Integrität, Verfügbarkeit und Belastung der Systeme und Dienste gewährleistet?
• Wie werden Verfügbarkeit, Zugang zu den Daten nach einem Zwischenfall wiederhergestellt?

Verantwortliche sollten über ein Vertragsmanagement ihre Verträge verwalten. Dies ermöglicht eine Übersicht über beauftragte Dienstleister. Datenschutzbeauftragte sollten prüfen und festhalten, welche Verträge datenschutzrelevant sind, um welche Art von Datenschutzverträgen (z. B. Joint Controllership oder Vertrag über Auftragsdatenverarbeitung) es sich hierbei handelt und ob und in welchen Punkten diese Verträge an die DSGVO angepasst werden müssen.

Wenn mehrere verantwortliche Stellen gemeinsam für eine Verarbeitung personenbezogener Daten verantwortlich sind spricht man von einem sog. Joint Controllership. In einem solchen Fall müssen die gemeinsam Verantwortlichen in einer Vereinbarung festlegen, wer bezogen auf die Wahrnehmung von Rechten Betroffener welche Pflichten (z. B. Informationspflicht) übernimmt, eine Anlaufstelle für Betroffene angeben können und wesentliche Punkte der Vereinbarung (z. B. die tatsächlichen Funktionen und Beziehungen der gemeinsamen Verantwortlichen) den Betroffenen zur Verfügung stellen.

Dienstleister, die für ein Unternehmen Daten verarbeiten, werden über einen Auftragsverarbeitungsvertrag an das Datenschutzrecht gebunden. Gegenüber den Aufsichtsbehörden muss Folgendes belegt werden können.

• Dass der beauftragte Auftragsverarbeiter die Anforderungen der DSGVO erfüllen kann und er diesbezüglich Garantien bietet, die Sicherheit der Datenverarbeitung gewährleisten kann über geeignete technische und organisatorische Maßnahmen und die Schutzmaßnahmen bezogen auf die beauftragte Datenverarbeitung

angemessen sind.

• Dass eine Beauftragung von Unterauftragnehmern ausschließlich mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen erfolgt.
• Dass der abgeschlossene Vertrag den gesetzlich vorgeschriebenen Mindestinhalt enthält.

In einem Unternehmen muss das Management interne Datenschutzregelungen (Betriebsvereinbarungen, Dienstanweisungen) erstellen und die Mitarbeiter in diesen Fragen entsprechend informieren und schulen. Interne Datenschutzregelungen sowie sonstige Anweisungen zum Datenschutz sollten dokumentiert und regelmäßig auf Änderungsbedarf geprüft werden. Eine Verpflichtung zur Vertraulichkeit empfiehlt sich. Aufgrund ihrer Organisationspflicht sind die Beschäftigten mind. zur Vertraulichkeit anzuweisen und im erforderlichen Umfang im Datenschutz zu schulen.

Das Herzstück der internen Dokumentationspflichten ist das Verzeichnis der Verarbeitungstätigkeiten. Dieses enthält für jede Datenverarbeitung die wesentlichen Informationen. Auch Auftragsverarbeiter müssen ein Verzeichnis zu allen Kategorien von Tätigkeiten führen, die sie im Auftrag eines Verantwortlichen verarbeiten.

Unternehmen müssen ein Konzept haben (Notfall-Management), wie man professionell auf Datenpannen reagiert. Man sollte einen Prozess etablieren und so sicherstellen, dass Mitarbeiter Datenpannen erkennen und über entsprechende Vorfälle den Datenschutzbeauftragten oder die Geschäftsleitung informieren, so dass geprüft werden kann, ob eine Meldepflicht besteht und weitere Schritte veranlasst werden müssen.

Datenverletzungen müssen binnen 72 Stunden der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Eine Meldepflicht entfällt, wenn die Datenverletzung voraussichtlich nicht zu einem Risiko für Betroffene führt. Aber auch in einem solchen Fall ist jede Datenverletzung zu dokumentieren und hierbei alle Fakten, Auswirkungen und ergriffene Abhilfemaßnahmen festzuhalten. Stellt ein Auftragsverarbeiter eine Datenpanne fest, so hat er diese unverzüglich dem Verantwortlichen zu melden. Die Betroffenen sind unverzüglich über die Datenpanne zu informieren.

Unternehmen sind verpflichtet, für jede Verarbeitung von personenbezogenen Daten festzustellen, welches Risiko für die Rechte Betroffener damit verbunden ist (Risikobewertung). Dies ist zu dokumentieren. Ergibt sich dabei, dass die beabsichtigte Datenverarbeitung ein hohes Risiko für die Personen zur Folge hätte, deren Daten verarbeitet werden sollen, und kann dieses hohe Risiko nicht minimiert werden, so hat ein Verantwortlicher eine sog. „Datenschutz-Folgenabschätzung“ durchzuführen.

Sowohl im Fall, dass ein Datenschutzbeauftragter bestellt werden muss, wie auch, wenn man freiwillig einen bestellt, ist dies zu dokumentieren.