Zuerst sollte dabei im Betrieb abgeklärt werden, ob man einen Datenschutzbeauftragten benötigt. Dies ist nach dem ebenfalls am 25. Mai 2018 in Kraft tretenden Bundesdatenschutzgesetz-neu (BDSG-neu) dann der Fall, wenn im Betrieb in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. „Ständig“ bedeutet dabei nicht „ausschließlich“ oder „überwiegend“, so dass auch der Außendienstmitarbeiter (Monteur), der Kundendaten vor Ort aufnimmt, zu diesem Personenkreis zählen kann.
Wenn diese Anzahl an Mitarbeitern im Betrieb erreicht ist, dann ist nach § 38 Abs. 1 BDSG-neu ein Datenschutzbeauftragter zu benennen. Es muss sich dabei nicht um einen Mitarbeiter des Betriebes handeln, man kann also auch einen externen, professionellen Datenschutzbeauftragten benennen. Dies dürfte in vielen Fällen empfehlenswert sein.
Danach ist zu klären, ob man im Betrieb ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten (VVT) führen muss. In einem solchen Verzeichnis sollen sämtliche Verfahren, bei denen personenbezogene Daten verarbeitet werden, aufgeführt werden. Verfahren sind dabei zum Beispiel die Verwaltung der Personaldaten im Betrieb, die Führung der Kundendatenbank, das Forderungsmanagement etc.
Ob ein solches Verzeichnis zu führen ist, regelt Art. 30 EU-DSGVO. In der Regel besteht eine solche Verpflichtung. Auch wenn es auf den ersten Blick nach rein bürokratischer Arbeit aussieht, sollte man die Aufstellung des VVT nutzen, um sich einen Überblick zu verschaffen, bei welchen Verfahren personenbezogene Daten im Betrieb verarbeitet werden, da man so auch überflüssige oder zu umständliche Verfahren identifizieren und verbessern kann. „Nutzen Sie diese Chance zur Bestandsaufnahme Ihrer betrieblichen Abläufe“, empfiehlt Assessor Karl Fährmann, Datenschutzbeauftragter der Handwerkskammer Aachen. Ein Musterformular für ein VVT finden Betriebe wiederum auf der Kammer-Homepage.
In einem weiteren, mit dem Verzeichnis der Verarbeitungstätigkeiten eng zusammenhängenden Schritt, sollten Betriebsinhaber die technisch-organisatorischen Maßnahmen (TOM), die sie für den Datenschutz im Betrieb getroffen haben, dokumentieren, zum Beispiel ob die PCs im Büro passwortgeschützt sind, ob eine Zugangskontrolle bei den Büros besteht, wie der Server gesichert ist... Dies sollte man ebenfalls als Gelegenheit zur Bestandsaufnahme im Unternehmen nutzen. Auch hier hält die Handwerkskammer auf ihrer Homepage ein Muster vor.
Ferner sollte im Betrieb auch ein sogenanntes Löschkonzept für personenbezogene Daten erarbeitet werden. Dabei geht es um die Frage, wann welche Daten zu löschen sind. Sind personenbezogene Daten nämlich nicht mehr zur Erfüllung der Zwecke der verarbeitenden Stelle erforderlich und liegt auch keine anderweitige Erlaubnis (wie z.B. eine Einwilligung der betroffenen Person) vor, dann sind diese Daten zu löschen.
Sollten im Betrieb personenbezogene Daten an andere, externe Stellen zur Verarbeitung gegeben werden, beispielsweise für die Lohnabrechnung, dann spricht man von einer sogenannten Auftragsdatenverarbeitung. Auch hier ist zu überprüfen, ob die mit dem Auftragsdatenverarbeiter geschlossenen Verträge den Anforderungen der EU-DSGVO genügen. Für die Gestaltung eines Vertrages zur Auftragsdatenverarbeitung gibt es ebenfalls ein Muster.