DSGVO-Checkliste

Checkliste zur Datenschutzgrundverordung: Hier finden Sie einige Anhaltspunkte, an Hand derer man sich bei der Umsetzung der „entlanghangeln“ kann. Ich selber bin im Bereich des Datenschutzrechtes vorwiegend tätig im Rahmen im Bereich der Konfliktlösung, gegenüber Betroffenen, im Rahmen von Abmahnungen und vor allem Klagen – zudem beratend für IT-Projekte und im IT-Arbeitsrecht.

Allgemeine Checkliste zur Umsetzung der DSGVO

Ganz allgemein, bevor Sie konkret die einzelnen Punkte der DSGVO angehen, sollten Sie einige allgemeine Punkte angehen, quasi als Vorbereitung, damit wesentliche elementare Informationen zur Verfügung stehen:

  • Analysieren Sie den aktuellen „Ist-Zustand“ in Ihrem Betrieb: Wie wird mit umgegangen, ist dies überhaupt ein Thema, gibt es bereits sensible Vorgänge?
  • Schätzen Sie ab, wo sich kurz- und mittelfristig in Ihrem Betrieb zukünftige und noch nicht existierende Datenverarbeitungen ergeben werden.
  • Erstellen Sie eine Risikoanalyse: Für welche Umsätze sind die jeweiligen Datenverarbeitungen verantwortlich, in welchem Verhältnis steht dies zu eventuellen Bußgeldern?
  • Klären Sie die Verantwortlichkeiten in Ihrem Unternehmen: Wer soll beteiligt sein, wer soll wofür Ansprechpartner sein? In jedem Fall sollte eine einzelne Person als Kommunikationsschnittstelle existieren – nicht als „Macher“ oder „Entscheidet“ sondern als derjenige, der die Kommunikation zur DSGVO-Umsetzung koordiniert.

DSGVO-Checkliste

Im Folgenden finden Sie eine Checkliste mit konkreten Punkten zur Umsetzung der DSGVO. Die Checkliste ist nicht allgemeinverbindlich und bietet bewusst nur grobe Anhaltspunkte. Sie basiert auf dem von mir entwickelten Arbeitspapier für ein Konzept für KMU zur Umsetzung der DSGVO.

Stichwort

Kurzbeschreibung

Verarbeitungstätigkeiten & Datenschutzfolgenabschätzung

Aus meiner Sicht bei KMU am besten zuerst Anlegen: Das Verzeichnis von Verarbeitungstätigkeiten. Hierbei insbesondere erfassen:

  • Rechtsgrundlage der Verarbeitung
  • Verarbeitung durch oder mit Dritten?
  • Bei Berufen auf Einwilligung ob sämtliche Einwilligungen vorhanden sind
  • Muss eine Datenschutzfolgenabschätzung angestellt werden?

Muss ein Datenschutzbeauftragter benannt werden:  Jedenfalls, wenn mindestens 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten stehen;

Datenschutz-Verpflichtung

Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten

Datenschutz-Verpflichtung

Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten

Informationspflichten

Prüfen ob Informationspflichten bestehen; Art 13, 14 DSGVO umsetzen: Beschäftigte (dazu eigener Punkt), Kunden bei Auftragsannahme, Datenschutzerklärung der Webseite

Einwilligungen

Werden notwendige Einwilligungen sauber eingeholt – sind frühere Einwilligungen dokumentiert und ausreichend entsprechend Art 7, 13 DSGVO.

Löschen von Daten

Ist das Löschen von Daten nötig: Regelmäßig erst nach Ablauf gesetzlicher Aufbewahrungspflichten. Prozessablauf bei Löschungsanfrage installieren.

Sicherheit

Sicherheit: Besondere Sicherung von Daten notwendig, besteht die Datensicherheit als Konzept?

Übersicht anfertigen wo externe Anbieter genutzt werden und jeweils vermerken, wo Auftragsverarbeitung notwendig ist

Meldepflicht bei Verletzungen

Meldepflicht für Datenschutzverletzungen: Notfallprotokoll entwickeln!

Videoüberwachung: Ausschilderung und Speicherungs-Löschkonzept prüfen

Rechte der Betroffenen

Umgang mit Rechten der Betroffenen: Prozessablauf installieren für Forderung nach Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruchsrecht, Recht auf Vergessenwerden.

Umgang mit Fotos

Fotos von Mitarbeitern oder Kindern müssen mit Vorsicht gehandhabt werden.

Besondere Kategorien personenbezogener Daten

Werden diese erhoben? Bei besonders sensiblen personenbezogenen Daten gelten erweiterte Vorgaben!

Drittstaaten

Findet eine Datenübermittlung in Staaten außerhalb der EU statt?

Beschäftigtendatenschutz

Sind Mitarbeiter über Datenverarbeitungen hinreichend informiert?

Zuständigkeit Behörden und Sanktionen

Welche Zuständigkeiten gibt es, welche Sanktionen drohen?

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.