Kategorien
Technologierecht & IT-Recht

DSGVO-Checkliste

Checkliste zur Datenschutzgrundverordung: Hier finden Sie einige Anhaltspunkte, an Hand derer man sich bei der Umsetzung der DSGVO “entlanghangeln” kann. Ich selber bin im Bereich des Datenschutzrechtes vorwiegend tätig im Rahmen im Bereich der Konfliktlösung, gegenüber Betroffenen, im Rahmen von Abmahnungen und vor allem Klagen – zudem beratend für IT-Projekte und im IT-Arbeitsrecht.

Allgemeine Checkliste zur Umsetzung der DSGVO

Ganz allgemein, bevor Sie konkret die einzelnen Punkte der DSGVO angehen, sollten Sie einige allgemeine Punkte angehen, quasi als Vorbereitung, damit wesentliche elementare Informationen zur Verfügung stehen:

  • Analysieren Sie den aktuellen “Ist-Zustand” in Ihrem Betrieb: Wie wird mit Datenschutz umgegangen, ist dies überhaupt ein Thema, gibt es bereits sensible Vorgänge?
  • Schätzen Sie ab, wo sich kurz- und mittelfristig in Ihrem Betrieb zukünftige und noch nicht existierende Datenverarbeitungen ergeben werden.
  • Erstellen Sie eine Risikoanalyse: Für welche Umsätze sind die jeweiligen Datenverarbeitungen verantwortlich, in welchem Verhältnis steht dies zu eventuellen Bußgeldern?
  • Klären Sie die Verantwortlichkeiten in Ihrem Unternehmen: Wer soll beteiligt sein, wer soll wofür Ansprechpartner sein? In jedem Fall sollte eine einzelne Person als Kommunikationsschnittstelle existieren – nicht als “Macher” oder “Entscheidet” sondern als derjenige, der die Kommunikation zur DSGVO-Umsetzung koordiniert.

DSGVO-Checkliste

Im Folgenden finden Sie eine Checkliste mit konkreten Punkten zur Umsetzung der DSGVO. Die Checkliste ist nicht allgemeinverbindlich und bietet bewusst nur grobe Anhaltspunkte. Sie basiert auf dem von mir entwickelten Arbeitspapier für ein Konzept für KMU zur Umsetzung der DSGVO.

Stichwort

Kurzbeschreibung

Verarbeitungstätigkeiten & Datenschutzfolgenabschätzung

Aus meiner Sicht bei KMU am besten zuerst Anlegen: Das Verzeichnis von Verarbeitungstätigkeiten. Hierbei insbesondere erfassen:

  • Rechtsgrundlage der Verarbeitung
  • Verarbeitung durch oder mit Dritten?
  • Bei Berufen auf Einwilligung ob sämtliche Einwilligungen vorhanden sind
  • Muss eine Datenschutzfolgenabschätzung angestellt werden?

Datenschutzbeauftragter

Muss ein Datenschutzbeauftragter benannt werden:  Jedenfalls, wenn mindestens 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten stehen;

Datenschutz-Verpflichtung

Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten

Datenschutz-Verpflichtung

Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten

Informationspflichten

Prüfen ob Informationspflichten bestehen; Art 13, 14 DSGVO umsetzen: Beschäftigte (dazu eigener Punkt), Kunden bei Auftragsannahme, Datenschutzerklärung der Webseite

Einwilligungen

Werden notwendige Einwilligungen sauber eingeholt – sind frühere Einwilligungen dokumentiert und ausreichend entsprechend Art 7, 13 DSGVO.

Löschen von Daten

Ist das Löschen von Daten nötig: Regelmäßig erst nach Ablauf gesetzlicher Aufbewahrungspflichten. Prozessablauf bei Löschungsanfrage installieren.

Sicherheit

Sicherheit: Besondere Sicherung von Daten notwendig, besteht die Datensicherheit als Konzept?

Auftragsverarbeitung

Übersicht anfertigen wo externe Anbieter genutzt werden und jeweils vermerken, wo Auftragsverarbeitung notwendig ist

Meldepflicht bei Verletzungen

Meldepflicht für Datenschutzverletzungen: Notfallprotokoll entwickeln!

Videoüberwachung

Videoüberwachung: Ausschilderung und Speicherungs-Löschkonzept prüfen

Rechte der Betroffenen

Umgang mit Rechten der Betroffenen: Prozessablauf installieren für Forderung nach Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruchsrecht, Recht auf Vergessenwerden.

Umgang mit Fotos

Fotos von Mitarbeitern oder Kindern müssen mit Vorsicht gehandhabt werden.

Besondere Kategorien personenbezogener Daten

Werden diese erhoben? Bei besonders sensiblen personenbezogenen Daten gelten erweiterte Vorgaben!

Drittstaaten

Findet eine Datenübermittlung in Staaten außerhalb der EU statt?

Beschäftigtendatenschutz

Sind Mitarbeiter über Datenverarbeitungen hinreichend informiert?

Zuständigkeit Behörden und Sanktionen

Welche Zuständigkeiten gibt es, welche Sanktionen drohen?

Rechtsanwalt & Strafverteidiger bei Anwaltskanzlei Ferner Alsdorf
Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.
Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht (Alle anzeigen)

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht

Von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht

Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime sowie Arbeitsrecht und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.