„HANDBUCH HR-MANAGEMENT
Viele Verpflichtungen der DSGVO können nur imple- mentiert werden, wenn entspre- chende Konzepte, Richtl“inien und Standardvorgehensweisen eingeführt werden.
kun s- oder Löschanträge an dritte Datenempfänger weiterzuleiten; strenge- re Anforderungen an Einwilligungser- klärungen etc.),
V strengere organisatorische Anforderun-
gen (z. B. die Verp ichtung, ein die inter-
nen Datenverarbeitungstätigkeiten zu-
sammenfassendes Verzeichnis von Da-
tenverarbeitungstätigkeiten zu erstellen;
die Notwendigkeit, in verschiedenen Fäl-
len eine Datenschutz-Folgeabschätzung
durchzuführen und einen Datenschutz-
beau ragten zu ernennen; Datenschutz
durch Technik („privacy by design“) und
Datenschutz durch datenschutz-
rechtliche Voreinstellungen („pri- Das Unternehmen sollte Datenschutz- vacy by default“); die Verp ich- strukturen in allen EU-Niederlassun- tung zur Verknüpfung perso- gen scha en und einen verantwortli- nenbezogener Daten mit dem chen Leiter in der Muttergesellscha  Zweck ihrer Erhebung und bestimmen. Die entsprechende der Ermächtigungsgrundlage Struktur sollte (i) eine einfache Er- für ihre Verarbeitung; die Do- teilung datenschutzbezogener An- kumentation von Datenüber- weisungen und/oder Empfehlungen mittlungen; möglicherweise an die beteiligten Stellen ermögli- ein Entwurf für Lö- chen („Top-down-Ansatz“) sowie schungskonzepte etc.), (ii) die Mitteilung daten-
Kapitel 4.17 / Beschäftigtendatenschutz
Verp ichtung, im Falle einer Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden die Datenschutzbe- hörden sowie ggf. die betro enen Perso- nen zu informieren),
V höhere IT/Cyber-Sicherheitsanforde- rungen,
V strengere vertragliche Anforderungen. (Mit externen Service-Providern und unter Umständen auch innerhalb der Unternehmensgruppe müssen strengere Datenverarbeitungsverträge geschlossen werden).
4.1 Datenschutz-Management-System
Die DSGVO sieht eine Reihe von Anforde- rungen vor, die ohne ein umfassendes Da- tenschutz-Management-System schwierig zu bewältigen sind. Ein solches System soll- te konzernweit eingeführt werden, da daten- schutzrechtliche Verstöße selbst kleiner Nie- derlassungen zu hohen Geldbußen für die ge- samte Unternehmensgruppe führen können.
(a) Festlegung von Rollen und Verantwort- lichkeiten
V strengere Melde- schutzbezogener Angele- p ichten (z.B. die genheiten an den Leiter
243
Mensch