Checkliste zur Datenschutzgrundverordung: Hier finden Sie einige Anhaltspunkte, an Hand derer man sich bei der Umsetzung der DSGVO „entlanghangeln“ kann. Ich selber bin im Bereich des Datenschutzrechtes vorwiegend tätig im Rahmen im Bereich der Konfliktlösung, gegenüber Betroffenen, im Rahmen von Abmahnungen und vor allem Klagen – zudem beratend für IT-Projekte und im IT-Arbeitsrecht.
Allgemeine Checkliste zur Umsetzung der DSGVO
Ganz allgemein, bevor Sie konkret die einzelnen Punkte der DSGVO angehen, sollten Sie einige allgemeine Punkte angehen, quasi als Vorbereitung, damit wesentliche elementare Informationen zur Verfügung stehen:
- Analysieren Sie den aktuellen „Ist-Zustand“ in Ihrem Betrieb: Wie wird mit Datenschutz umgegangen, ist dies überhaupt ein Thema, gibt es bereits sensible Vorgänge?
- Schätzen Sie ab, wo sich kurz- und mittelfristig in Ihrem Betrieb zukünftige und noch nicht existierende Datenverarbeitungen ergeben werden.
- Erstellen Sie eine Risikoanalyse: Für welche Umsätze sind die jeweiligen Datenverarbeitungen verantwortlich, in welchem Verhältnis steht dies zu eventuellen Bußgeldern?
- Klären Sie die Verantwortlichkeiten in Ihrem Unternehmen: Wer soll beteiligt sein, wer soll wofür Ansprechpartner sein? In jedem Fall sollte eine einzelne Person als Kommunikationsschnittstelle existieren – nicht als „Macher“ oder „Entscheidet“ sondern als derjenige, der die Kommunikation zur DSGVO-Umsetzung koordiniert.
DSGVO-Checkliste
Im Folgenden finden Sie eine Checkliste mit konkreten Punkten zur Umsetzung der DSGVO. Die Checkliste ist nicht allgemeinverbindlich und bietet bewusst nur grobe Anhaltspunkte. Sie basiert auf dem von mir entwickelten Arbeitspapier für ein Konzept für KMU zur Umsetzung der DSGVO.
Stichwort
Kurzbeschreibung
Verarbeitungstätigkeiten & Datenschutzfolgenabschätzung
Aus meiner Sicht bei KMU am besten zuerst Anlegen: Das Verzeichnis von Verarbeitungstätigkeiten. Hierbei insbesondere erfassen:
- Rechtsgrundlage der Verarbeitung
- Verarbeitung durch oder mit Dritten?
- Bei Berufen auf Einwilligung ob sämtliche Einwilligungen vorhanden sind
- Muss eine Datenschutzfolgenabschätzung angestellt werden?
Muss ein Datenschutzbeauftragter benannt werden: Jedenfalls, wenn mindestens 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten stehen;
Datenschutz-Verpflichtung
Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten
Datenschutz-Verpflichtung
Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten
Informationspflichten
Einwilligungen
Löschen von Daten
Ist das Löschen von Daten nötig: Regelmäßig erst nach Ablauf gesetzlicher Aufbewahrungspflichten. Prozessablauf bei Löschungsanfrage installieren.
Sicherheit
Sicherheit: Besondere Sicherung von Daten notwendig, besteht die Datensicherheit als Konzept?
Übersicht anfertigen wo externe Anbieter genutzt werden und jeweils vermerken, wo Auftragsverarbeitung notwendig ist
Meldepflicht bei Verletzungen
Meldepflicht für Datenschutzverletzungen: Notfallprotokoll entwickeln!
Videoüberwachung: Ausschilderung und Speicherungs-Löschkonzept prüfen
Rechte der Betroffenen
Umgang mit Rechten der Betroffenen: Prozessablauf installieren für Forderung nach Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruchsrecht, Recht auf Vergessenwerden.
Umgang mit Fotos
Fotos von Mitarbeitern oder Kindern müssen mit Vorsicht gehandhabt werden.
Besondere Kategorien personenbezogener Daten
Werden diese erhoben? Bei besonders sensiblen personenbezogenen Daten gelten erweiterte Vorgaben!
Drittstaaten
Findet eine Datenübermittlung in Staaten außerhalb der EU statt?
Beschäftigtendatenschutz
Sind Mitarbeiter über Datenverarbeitungen hinreichend informiert?
Zuständigkeit Behörden und Sanktionen
Welche Zuständigkeiten gibt es, welche Sanktionen drohen?
- Operation „Final Exchange“: Schlag gegen Cyberkriminellen-Szene rund um Kryptowährungen - 10. Oktober 2024
- Captagon im deutschen Strafrecht: Ein Überblick - 8. Oktober 2024
- Perfctl: Neue, heimtückische Malware, die Millionen von Linux-Servern bedroht - 7. Oktober 2024