DSGVO-Checkliste

DSGVO-Checkliste für Datenverantwortliche/Unternehmensinhaber

Sind Sie mit der DSGVO auf dem neuesten Stand? Unsere DSGVO-Checkliste kann Ihnen dabei helfen, Ihr Unternehmen abzusichern, die Daten Ihrer Kunden zu schützen und teure Bußgelder wegen Nichteinhaltung zu vermeiden.

Um die DSGVO-Checkliste zu verstehen, ist es auch hilfreich, einige der Begriffe und die grundlegende Struktur des Gesetzes zu kennen. Diese Informationen finden Sie auf unserer Seite „Was ist die DSGVO?“. Bitte beachten Sie, dass nichts auf dieser Seite eine Rechtsberatung darstellt. Wir empfehlen Ihnen, mit einem Anwalt zu sprechen, der auf die Einhaltung der DSGVO spezialisiert ist und das Gesetz auf Ihre besonderen Umstände anwenden kann.

GDPR Checklist DE

Rechtsgrundlagen und Transparenz

(Organisationen mit mindestens 250 Mitarbeitern oder solche, die Daten mit hohem Risiko verarbeiten, müssen eine aktuelle und detaillierte Liste ihrer Verarbeitungstätigkeiten führen und bereit sein, diese Liste den Aufsichtsbehörden auf Anfrage vorzulegen. Der beste Weg, die Einhaltung der DSGVO nachzuweisen, ist: Organisationen mit weniger als 250 Mitarbeitern sollten ebenfalls eine Bewertung durchführen, da dies die Einhaltung der anderen Anforderungen der DSGVO erleichtert. Dazu gehören der Zugriff auf die Daten innerhalb Ihrer Organisation, alle Drittparteien (und deren Standort), die Zugriff haben, was Sie zum Schutz der Daten tun (z. B. Verschlüsselung) und wann Sie planen, sie zu löschen (falls möglich).

Gemäß der DSGVO müssen alle Organisationen, die personenbezogene Daten verarbeiten, eine Rechtsgrundlage dafür haben. Es gibt mehrere mögliche Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten rechtfertigen können, z. B. Einwilligung: Wenn Sie die Einwilligung der betroffenen Person zur Verarbeitung ihrer Daten für den bestimmten Zweck eingeholt haben, kann dies eine rechtmäßige Grundlage sein.

Sie müssen die Personen darüber informieren, dass Sie ihre Daten erfassen und warum. Sie sollten erklären, wie die Daten verarbeitet werden, wer Zugriff darauf hat und wie Sie sie sichern. Diese Informationen müssen in Ihrer Datenschutzrichtlinie enthalten sein und den betroffenen Personen zum Zeitpunkt der Datenerfassung zur Verfügung gestellt werden. Sie müssen „in prägnanter, transparenter, verständlicher und leicht zugänglicher Form und in klarer und einfacher Sprache präsentiert werden, insbesondere wenn sich die Informationen speziell an ein Kind richten.“



Datensicherheit

Sie müssen die Grundsätze des „Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ befolgen, einschließlich der Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ zum Schutz der Daten. Mit anderen Worten: Datenschutz muss nun etwas sein, das Sie bei der Verarbeitung personenbezogener Daten anderer Personen immer berücksichtigen müssen. Sie müssen außerdem sicherstellen, dass jede Verarbeitung personenbezogener Daten den in Artikel 5 auf gdpr.eu beschriebenen Datenschutzgrundsätzen entspricht. Zu den technischen Maßnahmen gehört die Verschlüsselung, und zu den organisatorischen Maßnahmen gehören Dinge wie die Begrenzung der Menge der von Ihnen erfassten personenbezogenen Daten oder das Löschen von Daten, die Sie nicht mehr benötigen. Der Punkt ist, dass Sie und Ihre Mitarbeiter sich dessen immer bewusst sein müssen.

Link zu Artikel 5

Die meisten Produktivitätstools, die Unternehmen nutzen, sind mittlerweile mit integrierter End-to-End-Verschlüsselung erhältlich, darunter E-Mail, Messaging-Dienste, Notizen und Cloud-Speicher. Die DSGVO verlangt von Organisationen, wenn möglich, Verschlüsselung oder Pseudonymisierung zu verwenden.

Auch wenn Ihre technische Sicherheit stark ist, kann die betriebliche Sicherheit immer noch eine Schwachstelle sein. Erstellen Sie eine Sicherheitsrichtlinie, die sicherstellt, dass Ihre Teammitglieder sich der Datensicherheit bewusst sind. Sie sollte Richtlinien zu E-Mail-Sicherheit, Passwörtern, Zwei-Faktor-Authentifizierung, Geräteverschlüsselung und VPNs enthalten. Mitarbeiter, die Zugriff auf personenbezogene Daten haben, und nicht-technische Mitarbeiter sollten zusätzliche Schulungen zu den DSGVO-Anforderungen erhalten.

Mithilfe einer Datenschutzbewertung (auch Datenschutz-Folgenabschätzung genannt) können Sie besser verstehen, inwiefern Ihr Produkt oder Ihre Dienstleistung die Daten Ihrer Kunden gefährden kann und wie Sie diese Risiken minimieren können. Das britische Information Commissioner’s Office (ICO) stellt auf seiner Website eine Checkliste zur Datenschutzbewertung zur Verfügung. Die DSGVO verlangt von Organisationen, diese Art von Analyse durchzuführen, wenn sie planen, die Daten von Personen auf eine Weise zu verwenden, die „wahrscheinlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat“. Das ICO empfiehlt, dies jedes Mal zu tun, wenn Sie personenbezogene Daten verarbeiten müssen.

Link zur Datenschutz-Folgenabschätzung

Wenn es zu einem Datenschutzverstoß kommt und personenbezogene Daten offengelegt werden, müssen Sie die Aufsichtsbehörde in Ihrem Zuständigkeitsbereich innerhalb von 72 Stunden benachrichtigen. Eine Liste der Aufsichtsbehörden vieler EU-Mitgliedsstaaten finden Sie unter gdpr.eu. Die DSGVO legt nicht fest, wen Sie benachrichtigen müssen, wenn Sie kein in der EU ansässiges Unternehmen sind. Für Personen in englischsprachigen Nicht-EU-Ländern ist es möglicherweise am einfachsten, das Büro des Datenschutzbeauftragten in Irland zu benachrichtigen. Sie sind außerdem verpflichtet, die betroffenen Personen umgehend über Datenschutzverstöße zu informieren, es sei denn, es ist unwahrscheinlich, dass der Verstoß sie gefährdet (z. B. wenn die gestohlenen Daten verschlüsselt sind).



Rechenschaftspflicht und Governance

Ein weiterer Aspekt des „Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ besteht darin, sicherzustellen, dass jemand in Ihrem Unternehmen für die Einhaltung der DSGVO verantwortlich ist. Diese Person sollte befugt sein, Datenschutzrichtlinien und deren Umsetzung zu bewerten.

Dies umfasst alle Dienste von Drittanbietern, die personenbezogene Daten Ihrer Datensubjekte verarbeiten, einschließlich Analysesoftware, E-Mail-Dienste, Cloud-Server usw. Die meisten Dienste verfügen über eine Standard-Datenverarbeitungsvereinbarung, die Sie auf ihren Websites einsehen können. Diese Vereinbarungen beschreiben die Rechte und Pflichten jeder Partei in Bezug auf die Einhaltung der DSGVO. Sie sollten nur Drittanbieter verwenden, die zuverlässig sind und angemessene Garantien für den Datenschutz bieten können.

Wenn Sie Daten von Personen in einem bestimmten Mitgliedstaat verarbeiten, müssen Sie in diesem Land einen Vertreter benennen, der in Ihrem Namen mit den Datenschutzbehörden kommunizieren kann. Die DSGVO und ihre offiziellen Begleitdokumente bieten keine Orientierung für Situationen, in denen die Verarbeitung EU-Bürger in mehreren Mitgliedstaaten betrifft. Bis diese Anforderung ausgelegt ist, kann es sinnvoll sein, einen Vertreter in einem Mitgliedstaat zu benennen, der Ihre Sprache spricht. Einige Organisationen, wie z. B. öffentliche Stellen, sind nicht verpflichtet, einen Vertreter in der EU zu benennen.

Es gibt drei Umstände, unter denen Organisationen einen Datenschutzbeauftragten (DSB) haben müssen, aber es ist eine gute Idee, einen zu haben, auch wenn die Regel nicht auf Sie zutrifft. Der DSB muss ein Datenschutzexperte sein, dessen Aufgabe es ist, die Einhaltung der DSGVO zu überwachen, Datenschutzrisiken zu bewerten, bei Datenschutzbewertungen zu beraten und mit Aufsichtsbehörden zusammenzuarbeiten. Lesen Sie hier mehr darüber

Link zum DSB



Datenschutzrichtlinie

Personen haben das Recht, zu sehen, welche persönlichen Daten Sie über sie haben und wie Sie diese verwenden. Sie haben auch das Recht zu erfahren, wie lange Sie ihre Daten aufbewahren möchten und aus welchem ​​Grund. Sie müssen ihnen die erste Kopie dieser Informationen kostenlos zusenden, können jedoch für weitere Kopien eine angemessene Gebühr erheben. Stellen Sie sicher, dass Sie die Identität der Person bestätigen können, die die Daten anfordert. Sie sollten in der Lage sein, solchen Anfragen innerhalb eines Monats nachzukommen.

Geben Sie Ihr Bestes, um die Daten auf dem neuesten Stand zu halten, indem Sie einen Datenqualitätsprozess einrichten, und machen Sie es Ihren Kunden leicht, ihre persönlichen Daten auf Richtigkeit und Vollständigkeit hin einzusehen und zu aktualisieren. Stellen Sie sicher, dass Sie die Identität der Person bestätigen können, die die Daten anfordert. Sie sollten in der Lage sein, Anfragen innerhalb eines Monats zu erfüllen.

Link zu Artikel 15
Link zu Artikel 16

Personen haben grundsätzlich das Recht, Sie aufzufordern, alle personenbezogenen Daten zu löschen, die Sie über sie gespeichert haben, und Sie müssen dieser Aufforderung innerhalb von etwa einem Monat nachkommen. Es gibt fünf Gründe, aus denen Sie die Aufforderung ablehnen können, z. B. die Ausübung der Meinungsfreiheit oder die Erfüllung einer gesetzlichen Verpflichtung. Sie sollten auch versuchen, die Identität der Person zu überprüfen, die die Aufforderung stellt.

Ihre betroffenen Personen können aus bestimmten Gründen eine Einschränkung oder Einstellung der Verarbeitung ihrer Daten verlangen, insbesondere wenn Zweifel an der Rechtmäßigkeit der Verarbeitung oder der Richtigkeit der Daten bestehen. Sie sind verpflichtet, dieser Aufforderung innerhalb von etwa einem Monat nachzukommen. Während die Verarbeitung eingeschränkt ist, dürfen Sie die Daten weiterhin behalten. Sie müssen die betroffenen Personen benachrichtigen, bevor Sie mit der Verarbeitung ihrer Daten erneut beginnen.

Das bedeutet, dass Sie in der Lage sein müssen, deren persönliche Daten in einem allgemein lesbaren Format (z. B. einer Kalkulationstabelle) entweder an sie selbst oder an einen von ihnen benannten Dritten zu senden. Aus geschäftlicher Sicht mag das unfair erscheinen, da Sie die Daten Ihrer Kunden möglicherweise an einen Konkurrenten weitergeben müssen. Aus Datenschutzsicht besteht die Idee jedoch darin, dass die Menschen Eigentümer ihrer Daten sind und nicht Sie.

Wenn Sie Ihre Daten zu Direktmarketingzwecken verarbeiten, müssen Sie die Verarbeitung zu diesem Zweck unverzüglich einstellen. Andernfalls können Sie Ihren Widerspruch anfechten, wenn Sie „zwingende berechtigte Gründe“ nachweisen können.

Einige Arten von Organisationen nutzen automatisierte Prozesse, um Entscheidungen über Personen zu treffen, die rechtliche oder „ebenso schwerwiegende“ Konsequenzen haben können. Wenn Sie der Meinung sind, dass dies auf Sie zutrifft, müssen Sie ein Verfahren einrichten, um sicherzustellen, dass Sie deren Rechte, Freiheiten und legitime Interessen schützen. Sie müssen es den Personen leicht machen, menschliches Eingreifen anzufordern, ihre Meinung zu Entscheidungen zu äußern und bereits getroffene Entscheidungen anzufechten.

Erfolg!

Herzlichen Glückwunsch! Wenn Sie die DSGVO-Checkliste gewissenhaft durchgearbeitet haben, können Sie Ihr Risiko regulatorischer Sanktionen deutlich reduzieren.

Abschließend möchten wir Sie noch einmal daran erinnern, dass diese Checkliste in keiner Weise eine Rechtsberatung darstellt. Die DSGVO enthält Dutzende von Bestimmungen, die nur in seltenen Fällen gelten, und es wäre kontraproduktiv, sie hier zu behandeln. Sie sollten einen Anwalt zu Rate ziehen, um sicherzustellen, dass Ihre Organisation vollständig DSGVO-konform ist.

033-document-1.png