Datenschutz bei der Due Diligence im KMU-Bereich

Beschreibung

Das Video behandelt die datenschutzrechtlichen Aspekte, die bei einer Due Diligence (Vorprüfung der rechtlichen und finanziellen Verhältnisse eines Unternehmens vor einer Transaktion) im Bereich kleiner und mittlerer Unternehmen (KMU) relevant sind.

Wesentliche Prüfpunkte für die Datenschutz-Compliance im Rahmen der Due Diligence:

Um das Unternehmen im Vorfeld einer möglichen Investition oder eines Aufkaufs datenschutzkonform aufzustellen, sollten insbesondere folgende Aspekte geprüft werden:

Verzeichnis der Verarbeitungstätigkeiten (VVT): Die Kerndokumentation der internen Datenströme muss aktuell und vollständig sein.

Mitarbeiterschulung: Es muss nachgewiesen werden, in welcher Form die Beschäftigten in Bezug auf Datenschutz sensibilisiert und geschult wurden.

Website-Compliance: Es muss geprüft werden, welche Tracking-Tools eingesetzt werden und ob die rechtskonforme Einholung der Einwilligung der Webseitenbesucher (z.B. über ein Cookie-Banner) sichergestellt ist.

Umgang mit Betroffenenanfragen: Es muss ein klar definierter Prozess für den Umgang mit Anfragen von Betroffenen (z.B. auf Auskunft, Löschung) vorhanden sein.

Datenschutzbeauftragter (DSB): Es ist zu prüfen, ob die Benennung eines DSB erforderlich ist, ob diese erfolgt ist und ordnungsgemäß bei der Aufsichtsbehörde angezeigt wurde.

Datenschutz-Folgenabschätzung (DSFA): Es muss ein Prozess für die Durchführung von DSFAs existieren, welche bei der Einführung von besonders verarbeitungsintensiven Vorgängen notwendig sind.

Datenpannen-Management: Es muss ein Prozess zum Umgang mit Datenschutzverletzungsmeldungen etabliert sein, um im Ernstfall schnell Gegenmaßnahmen ergreifen und Meldungen bei der Aufsichtsbehörde fristgerecht durchführen zu können.

Informationssicherheit: Die Mindeststandards im Bereich der technischen und organisatorischen Maßnahmen (TOMs) zur Informationssicherheit müssen erfüllt werden.