Kapitel 4.17 / Beschäftigtendatenschutz gewährleisten („Bottom-up-Kommunikati-
on“).
(b) Verfahren und Konzepte
Viele der Verp ichtungen aus der DSGVO können in der Praxis nur implementiert wer- den, wenn entsprechende Konzepte, Richtlini- en und Standardvorgehensweisen (kumulativ sog. „Standard Operating Procedures“ (SOP)) eingeführt werden. Dies betri  insbesondere die Rechte betro ener Personen, die Melde- p ichten bei der Verletzung des Schutzes per- sonenbezogener Daten, die Datenschutz-Fol- geabschätzungen etc.
(c) Training
Mitarbeiter sollten in Bezug auf ihre sich aus
HANDBUCH HR-MANAGEMENT
der DSGVO ergebenden Verp ichtungen und Verantwortlichkeiten geschult werden.
(d) Dokumentation
Das Unternehmen muss angemessene Maß- nahmen ergreifen, um die Einhaltung der An- forderungen der DSGVO nachzuweisen. Die- se Maßnahmen sollten regelmäßig überprü  und aktualisiert werden.
4.2 Datenverarbeitungsverträge
Aufgrund der hohen Anzahl von Vereinba- rungen, die konzernintern sowie mit Dritten geschlossen werden müssen, ist eine durch- dachte Strategie für das Management von Da- tenverarbeitungsverträgen erforderlich.
(1) Die DSGVO gilt gem. Art. 3 für alle Unternehmen, die perso- nenbezogene Daten verarbeiten,
• soweit diese Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Au rags- verarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union statt ndet
• von betro enen Personen, die sich in der Union be nden (unabhängig vom Sitz des Unternehmens), wenn die Da- tenverarbeitung im Zusammenhang damit steht:
– betro enen Personen in der Union Waren oder Dienst- leistungen anzubieten (auch bei Entgeltlosigkeit);
– das Verhalten betro ener Personen zu beobachten, so- weit ihr Verhalten in der Union erfolgt.
(2) Zu den Konsequenzen bei Datenschutzverstößen: von dem Bussche/Voigt, Data Protection in Germany, C. IV.
(3) Zu den Betro enenrechten weiterführend: von dem Bussche/ Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 7.
(4) Ausführlicher zum Datenschutzbeau ragten: von dem Bus- sche/Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 2 Kapitel 1.
(5) Zum Datenschutzmanagement, insbesondere in Konzern- strukturen: von dem Bussche/Voigt, in: von dem Bussche/ Voigt, Konzerndatenschutz, Teil 2 Kapitel 2.
(6) Zu „privacy by design“ und „privacy by default“: Plath, in: Plath, BDSG/DSGVO, Art, 25 DSGVO.
(7) Zur Au ragsverarbeitung in Konzernen: von dem Bussche/ Voigt, in: von dem Bussche/Voigt, Konzerndatenschutz, Teil 3 Kapitel 3.
(8) Weiterführende Informationen zur Au ragsverarbeitung in Drittländern, insbesondere ein Mustervertrag: von dem Bus- sche, in: Moos, Datennutzungs- und Datenschutzverträge, Teil 5 Kapitel 3.
(9) Zur Möglichkeit arbeitsrechtlicher Sonderregelungen: Stamer/ Kuhnke, in: Plath, BDSG/DSGVO, Art. 88 DSGVO.
 Kernaussagen
Aufgrund der deutlich erhöhten Com- pliance-Anforderungen, des erweiterten räumlichen Anwendungsbereichs und der drastischen Bußgeldandrohungen ist die Brisanz der neuen Datenschutz- grundverordnung kaum zu überschätzen.
Zur Implementierung empfehlen wir ein Vorgehen in fünf Schritten:
V Schritt 1: „Gap Analysis“
V Schritt 2: Risikoanalyse
V Schritt 3: Projektsteuerung und Res- sourcen-/Budgetplanung
V Schritt 4: Umsetzung einer Daten- schutz-Struktur
V Schritt 5: Zusätzliche landesspezi - sche Regelungen beachten
244