Checkliste für DSGVO-Schulung Store-Manager*in

1. Es gibt eine neue Gefährdungsbeurteilung, die die Manager*In ausgefüllt hat und die alle Mitarbeiter*innen zur Kenntniss nehmen müssen. Alle Mitarbeiter*inn müssen mit ihrer Unterschrift bestätigen, dass sie diese verstanden haben.

2. Am schwarzen Brett hängt ein Datenschutzhinweis. Mitarbeiter*innen sollen sich Zeit nehmen, diesen zu lesen und zu verstehen. Dieser informiert darüber, warum bestimmte Information erfragt, gebraucht und wo sie gespeichert werden und wie lange sie aufbewahrt werden. Er informiert über Mitarbeiterrechte in diesem Zusammenhang. Bei Fragen und Beschwerden stehen die Kontaktdaten der Datenschutzbeauftragte im Datenschutzhinweis.

3. Für den Umgang mit Videoüberwachungsmaterial: a. Der Zugriff auf aufgezeichnetes Videomaterial ist nur auf die Manager*in und deren Stellvertreter*in beschränkt. b. Das Drucken von Fotos und das Brennen von Discs von aufgezeichnetem Videoüberwachungsmaterial ist verboten, es sei denn, es wird von der Polizei angefordert und darf nur von der Manager*in oder deren Stellvertreter*in durchgeführt werden. c. Gebrannte Discs und Fotos müssen bis zur Abholung durch die Polizei unter Verschluss gehalten werden. d. Quittungen für Discs und Fotos müssen von der Polizei augestellt werden.

4. Es dürfen keine persönlichen Daten von Personen (Mitarbeiter*innen, Besucher*innen, Kund*innen), einschließlich persönlicher Telefonnummern, auf Schreibtischen, hinter den Kassen oder an Wänden offen einsehbar hinterlassen werden.

5. Alle Personalakten und -daten müssen unter Verschluss gehalten werden, wobei der Zugang auf ie Manager*in und deren Stellvertreter*in beschränkt ist.

6. Persönliche Daten und/oder Meinungen dürfen ohne triftigen Grund an niemanden gemailt werden: a. Fotos der RTW-Dokumentation dürfen nicht per E-Mail/SMS/Whatsapp etc. an irgendjemanden verschickt werden. Eine Kopie sollte nur in der Personalakte in der Filiale aufbewahrt werden. Kopien dürfen nicht per Telefon oder Kamera gemacht werden. Eine Kopie ist ausschließlich in der Personalakte in der Filiale aufzubewahren. Kopien dürfen nicht per Telefon oder Kamera gemacht werden. Sollten Sie solche Kopien auf Ihrem Telefon oder Ihrer Kamera gespeichert haben, löschen Sie diese bitte sofort. b. Formulare von neuen Mitarbeiter*innen können nur zum Zweck der Lohnabrechnung an die entssprechende Anteilung geschickt werden, an niemanden sonst.

7. Es dürfen keine Informationen oder Meinungen über Mitarbeiter*innen, Kund*innen, Besucher*innen oder das Unternehmen in sozialen Medien wie Facebook, Whatsapp, Twitter, Linked In etc. verbreitet werden. a. Wenn du Teil einer Whatsapp-Gruppe bist oder soziale Medien nutzt, stelle sicher bitte sicher, dass die oben genannten Anweisungen befolgt werden. b. Führe keine Gespräche in sozialen Medien über Kolleg*innen, Kund*innen, Besucher*innen oder das Unternehmen, da dies als Verstoß gegen den Datenschutz angesehen werden kann. Du musst solche Unterhaltungen, auch wenn du nicht daran teilgenommen haben, sofort der Datenschutzbeauftragten melden.

8. Speichersticks, USBs, Mobiltelefone oder andere Aufzeichnungsgeräte dürfen zu keiner Zeit an die IT-Ausrüstung des Unternehmens angeschlossen werden. Du als Manager*in musst deine gesamte IT-Ausrüstung wöchentlich stichprobenartig überprüfen, um sicherzustellen, dass keine solchen Geräte angeschlossen sind.

9. Das Herunter- und/oder Hochladen von Informationen, einschließlich des Filmens mit Mobiltelefonen, auf und/oder von der IT-Ausrüstung des Unternehmens ist ohne die ausdrückliche, vorherige Genehmigung der kaufmännischen Leiter*in strengstens untersagt. Wenn die Polizei dringend eine Kopie von Videoaufnahmen benötigt und darum gebeten hat, diese auf einen Speicherstick zu speichern, sollte dennoch vorher eine Genehmigung beim Management eingehaolt werden.

10. Ein Antrag auf Datenzugriff liegt vor, wenn eine Mitarbeiter*in, ein Kund*in oder ein Besucher*in formell darum gebeten hat, dass ihm/ihr alle Daten, die über ihn/sie gespeichert wurden, zur Verfügung stellen, einschließlich Videoüberwachungsbilder, Personalakten usw. Da es strenge Richtlinien und Fristen für die Erfüllung dieser Anfragen gibt und das Unternehmen rechtlich verantwortlich ist, wenn sich nicht an das entsprechende Gesetz gehalten wird, müssen solche Anfragen sofort an die Datenschutzbeauftragte weitergeleitet werden. Diese Anfragen können per Telefon, persönlich, per Brief, per E-Mail oder über soziale Medien erfolgen. Bitte vergewisser dich, dass dich die Bedeutung und die möglichen Auswirkungen von Datenzugriffsanfragen verstehst. Bei nicht befolgen können fürs Unternehmen hohe Geldbußen entstehen.

11. Eine Datenschutzverletzung liegt vor, wenn gegen die Datenschutzgrundverordnung verstoßen wurde, und kann zu einem materiellen und/oder immateriellen Schaden für eine Person führen, unabhängig davon, ob es sich um Mitarbeiter*in, Kunden*in oder Besucher*in handelt. a. Die Adressdaten einer Mitarbeiter*in werden auf dem Schreibtisch offen liegen gelassen. Ein Besucher*in könnte diese Angaben einsehen, einen Blick auf den Dienstplan werfen, der an der Wand hängt, und wissen, wann diese Mitarbeiter*in nicht zu Hause ist. Dies könnte dazu führen, dass in ihr Haus eingebrochen wird, mit materiellem (finanzieller Schaden) und immateriellem Schaden (psychische Belastung, Angst, Seelenfrieden) für die betroffene Person. b. Ein Mitarbeiter*in zeichnet Details von Vidoübwachungskameraaufnahmen auf seinem Mobiltelefon auf und verbreitet sie auf Facebook. Auf den Überwachungsaufnahmen ist das Bild eines Kindes zu sehen, das dann im Dark Web verbreitet werden könnte. Dies würde zu einem immateriellen Schaden für das Kind, seine Eltern und seine Familie führen. c. Ein Foto, das von der Videoüberwachung aufgenommen wurde, wird im Büro an die Wand gepinnt, mit der Beschriftung "Dies ist ein Ladendieb". Eine Besucher*in sieht das Foto und kennt diese Person als Nachbar. Die Besucher*in erzählt dann allen anderen Nachbarn, dass genau diese Person ein Ladendieb ist, wir uns aber geirrt haben und es sich um ein Foto der falschen Person handelt. Dies würde zu einem immateriellen Schaden für die Person führen. d. Personalakten werden in einem unverschlossenen Schrank aufbewahrt. Über Nacht wird in den Schrank eingebrochen und die Einbrecher haben nun Zugang zu den Formularen für neue Mitarbeiter, Bankkontodaten, Kopien von RTW und Adressnachweisen. Sie haben nun alles, was sie brauchen, um alle Bankkonten der Mitarbeiter*innen zu leeren. Dies wird zu materiellem und immateriellem Schaden führen. Ein Verstoß oder auch nur die Möglichkeit eines Verstoßes muss sofort gemeldet werden, auch wenn du dir nicht sicher bist, ob es sich um einen Verstoß handelt oder nicht. Das Unternehmen muss dies innerhalb eines sehr strengen Zeitrahmens an die für den Datenschutz zuständige Stelle melden. Die Folgen eines Verstoßes und/oder einer verspäteten Meldung sind hohe Geldbußen und/oder die betroffene Person kann auf materiellen und immateriellen Schaden klagen.

12. Lebensläufe von abgelehnten potenziellen Mitarbeitern, sowohl in Papierform als auch als PDF, dürfen nicht ohne die ausdrückliche, schriftliche Genehmigung der Eigentümer*in aufbewahrt werden, und wenn sie aufbewahrt werden, müssen sie sicher weggeschlossen werden.

13. Gesprächsnotizen von abgelehnten potenziellen Mitarbeiter*innen müssen mindestens 6 Monate, maximal 12 Monate, für den Fall einer gerichtlichen Auseinandersetzung aufbewahrt werden. Sie müssen sicher verschlossen aufbewahrt werden.

14. Gesprächsnotizen von abgelehnten potenziellen Mitarbeiter*innen müssen mindestens 6 Monate, maximal 12 Monate, für den Fall einer gerichtlichen Auseinandersetzung aufbewahrt werden. Sie müssen sicher verschlossen aufbewahrt werden.

15. Von Kund*innen zurückgelassene Debit- und Kreditkarten müssen bis zur Abholung sicher verschlossen aufbewahrt und, falls sie nicht abgeholt werden, nach 3 Tagen vernichtet werden. Bei der Abholung ist ein Personalausweis vorzulegen.

15. Die Manager*innen müssen diese Informationen persönlich an alle Mitarbeiter*innen weitergeben und ihr Einverständnis innerhalb einer Woche überprüfen. Es wird ein Abzeichnungsdokument bereitgestellt, das vollständig ausgefüllt und von allen Mitarbeiter*innen unterschrieben an die Datenschutzbeauftragte zu senden ist.

Ich bestätige, dass ich eine Kopie dieses Dokuments erhalten habe und vollständig verstehe, was von mir verlangt wird.

Name und Unterschrift der Manager*in