EVENTFAQ News

aus dem Eventrecht
DSGVO Checkliste für alle Unternehmen

DSGVO Checkliste für alle Unternehmen

Von Thomas Waetke 18. April 2018

Hier finden Sie meine Checkliste für die Umsetzung der Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) in Ihrem Unternehmen. Ich habe mich dabei auf 18 Punkte konzentriert. Die Reihenfolge der 18 Punkte ist eher willkürlich, und soll nicht bedeuten, dass die ersten Punkte “wichtiger” seien als die letzten Punkte.

Wenn Sie schon die einzelnen Begriffe nicht kennen sollten, dann erkennen Sie zumindest Ihren Handlungsbedarf ;-)

1) Besteht allgemein ein Datenschutzkonzept?

2) Sind Dienstleister, Tools, Plugins, Cloud-Services usw. geprüft?

  • (z.B. ob hier datenschutzrelevante Vorgänge stattfinden, eine Übermittlung in Nicht-EU-Staaten usw.)
  • Webseite (z.B. Einbindung von Social Media-Plugins, Newsletterformulare usw.)
  • Betriebshandy
  • Telefonanlage
  • E-Mail-Programme
  • CRM-Software
  • Auftragsverarbeitung

Sind die Erkenntnisse in die notwendigen Maßnahmen eingeflossen? (z.B. in das Verzeichnis der Verarbeitungsvorgänge, in die organisatorischen Maßnahmen)

3) Sind alle Datenverarbeitungsvorgänge daraufhin überprüft, ob Daten weitergegeben werden?

  • Wenn eine Weitergabe erfolgt, an wen?
  • Aufgrund welcher Rechtsgrundlage?
  • Gibt es einen Meldeprozess innerhalb der Weiterleitungskette, wenn Betroffene ihre Rechte (siehe Ziffer 13.) geltend machen?

4) Sind Verantwortlichkeiten aller Verarbeiter festgelegt?

  • Wer ist wann allein „Verantwortlicher“?
  • Wer ist mit wem wann „Gemeinsam Verantwortlicher“?
  • Wer ist wann für wen „Auftragsverarbeiter“?

5) Sind Personen unter 16 Jahren von einem Datenverarbeitungsvorgang betroffen?

  • Wenn ja, sind die notwendigen Schutzmaßnahmen ergriffen?

6) Sind alle Datenverarbeitungsvorgänge auf die datenschutzfreundlichste Gestaltung geprüft und ausgerichtet?

7) Sind technische und organisatorische Maßnahmen getroffen, die Datenpannen und Datenschutzverstöße vermeiden können?

8) Gibt es ein Sperr- und Löschkonzept?

  • Notwendige Sperrungen (welcher Mitarbeiter hat noch Zugriff auf welche Daten?)
  • Löschfristen

9) Bestehen für alle Verarbeitungsvorgänge auch passende Datenschutzhinweise?

  • Beinhalten die Datenschutzhinweise die notwendigen Mitteilungspflichten?
  • Gibt es Prozesse im Unternehmen, wann und wie die Datenschutzhinweise platziert werden (z.B. bei telefonischer Kontaktaufnahme, bei Gewinnspielen vor Ort, bei Kundenakquise, bei neuen Aufträgen usw.)

10) Muss ein Datenschutzbeauftragter bestellt werden?

  • Ist der Datenschutzbeauftragte hinreichend kompetent und
  • mit den notwendigen Instrumenten ausgestattet, um seine Aufgaben erfüllen zu können?
  • Sind die Kontaktdaten des Datenschutzbeauftragten u.a. in den Datenschutzhinweisen genannt?

11) Ist die Notwendigkeit einer Datenschutz-Folgenabschätzung geprüft?

  • Sind bisherige Folgenabschätzungen rechtmäßig durchgeführt und dokumentiert?
  • Gibt es einen Prozess, dass künftig die Notwendigkeit einer Folgenabschätzung erkannt wird?

12) Sind die Verträge und AGB geprüft und angepasst in Bezug auf eine etwaige Datenverarbeitung?

  • Liegt ggf. eine Auftragsverarbeitung vor? Wenn ja, bestehen entsprechende Verträge dazu?
  • Sind Verantwortlichkeiten geklärt? (siehe auch Ziffer 4.)

13) Ist man auf Betroffenenrechte vorbereitet? Besteht ein Prozess für den Fall, dass

  • ein Betroffener seinen Anspruch auf Datenübertragbarkeit geltend macht?
  • ein Betroffener seine Einwilligung widerruft? (z.B. unverzügliche Löschung)
  • ein Betroffener sein Recht auf Einschränkung der Verarbeitung geltend macht?
  • ein Betroffener seine Auskunfts- und Beschwerderechte geltend macht?

14) Sind Maßnahmen getroffen für den Fall einer Datenpanne? (z.B. Meldeketten, Abwehrmaßnahmen, Verantwortlichkeiten usw.)

15) Mitarbeiterdaten(-schutz) nicht vergessen:

  • Gibt es ausreichende Maßnahmen zum Schutz der Mitarbeiter- und Bewerberdaten?
  • Sind die Verträge und Vorlagen entsprechend aktualisiert?
  • Ist ggf. der Betriebsrat bzw. Personalrat einbezogen?

16) Sind Mitarbeiter und Dienstleister sensibilisiert und geschult?

  • Reaktionen auf die Geltendmachung von Betroffenenrechten
  • Reaktionen auf Datenpannen
  • Gibt es schriftliche Weisungen bzw. Verpflichtungen auf das Datengeheimnis?

17) Besteht ein Verzeichnis aller Datenverarbeitungsvorgänge?

  • Gibt es einen Prozess, dass die Inhalte des Verzeichnisses regelmäßig geprüft und aktualisiert werden?
  • Sind für jeden Verarbeitungsvorgang u.a. festgelegt:
    • Zweck
    • Rechtsgrundlage (z.B. Einwilligung, berechtigtes Interesse, Vertragserfüllung)
    • Dauer/Löschung

18) Sind alle getroffenen Maßnahmen und Prozesse dokumentiert (Nachweisbarkeit!)?

Die Checkliste kann nicht jeden Einzelfall abbilden. Aber vielleicht hilft sie Ihnen; ich freue mich über Ergänzungsvorschläge und weitere Ideen. Schicken Sie mir eine E-Mail: info@eventfaq.de.

 

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Thomas-Waetke_Profil: © Sebastian Heck
  • Checkliste: © tameek - Fotolia.com