DSGVO Checkliste: Mein 18-Punkte-Plan

1.) Sind alle Datenverarbeitungsvorgänge identifiziert und klassifiziert? Beispiele:

• Datenerhebung durch den Webserver (IP-Adresse, Betriebssystem…)
• Geolokation?
• Cookies
• Analysetools, Trackingtools
• Cloud-Services
• Social Media
• Telefon
• E-Mail-Programme
• CRM-Software
• Auftragsverarbeitung
• Weitergabe von Daten an Dritte (siehe Ziffer 3.)
• Bewerberkontakte, Kundenkontakte, Messekontakte usw.

2.) Sind für alle Datenverarbeitungsvorgänge u.a. geprüft:

• der Zweck
• ob der Zweck mit der DSGVO vereinbar ist
• ob für die Verarbeitung eine Rechtsgrundlage besteht
• ob die Verarbeitung dem Grundsatz entspricht u.a.
  • der Transparenz
  • der Zweckbindung
  • der Verarbeitung nach Treu und Glauben
  • der Datenminimierung
  • der Datenrichtigkeit
  • der Datenintegrität, -vertraulichkeit und -verfügbarkeit
  • der Speicherbegrenzung usw.

3.) Sind alle Datenverarbeitungsvorgänge daraufhin überprüft, ob Daten weitergegeben werden?

• Wenn eine Weitergabe erfolgt, an wen?
  • eigene Mitarbeiter
  • externe Mitarbeiter/Freelancer/Dienstleister
  • Steuerberater, Rechtsanwalt
  • Postdienstleister, Versanddienstleister
  • Agenturen, Hotels, Entleiher
  • Lieferanten/Kunden
  • Partner/Franchisepartner/Lizenznehmer usw.
• Aufgrund welcher Rechtsgrundlage?
• Gibt es einen Meldeprozess innerhalb der Weiterleitungskette, wenn Betroffene ihre Rechte (siehe Ziffer 13.) geltend machen?

4.) Sind Verantwortlichkeiten aller Verarbeiter festgelegt?

• Wer ist wann allein „Verantwortlicher“?
• Wer ist mit wem wann „Gemeinsam Verantwortlicher“?
• Wer ist wann für wen „Auftragsverarbeiter“?
• Gibt es ggf. eine Verantwortlichkeit aus dem Sozialdatenschutz?
• Gibt es ggf. eine Verantwortlichkeit aus dem Telekommunikationsgeheimnis?

Sind die Verantwortlichkeiten vertraglich klar geregelt? Entsprechen diese Regelungen den Mindestanforderungen der DSGVO?

5.) Sind Personen unter 16 Jahren von einem Datenverarbeitungsvorgang betroffen?

• Wenn ja, sind die notwendigen Schutzmaßnahmen ergriffen?

6.) Sind alle Datenverarbeitungsvorgänge auf die datenschutzfreundlichste Gestaltung geprüft und ausgerichtet?

7.) Sind technische und organisatorische Maßnahmen getroffen, die Datenpannen und Datenschutzverstöße vermeiden können? Und sind diese auch dokumentiert und in das Gesamtkonzept eingebettet? Beispiele:

• Administrationskontrolle
• Auftragskontrolle
• Eingabekontrolle
• Pseudonymisierung
• Verfügbarkeitskontrolle
• Weitergabekontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Zutrittskontrolle

8.) Gibt es ein Sperr- und Löschkonzept?

• Notwendige Sperrungen (welcher Mitarbeiter hat noch Zugriff auf welche Daten?)
• Löschfristen und -systeme
• Ist das Sperr- und Löschkonzept in die technischen und organisatorischen Maßnahmen eingebettet? (siehe Ziffer 7.)

9.) Bestehen für alle Verarbeitungsvorgänge auch passende Datenschutzhinweise?

• Beinhalten die Datenschutzhinweise die notwendigen Mitteilungspflichten?
• Gibt es Prozesse im Unternehmen, wann und wie die Datenschutzhinweise platziert werden, z.B.
  • bei telefonischer Kontaktaufnahme,
  • bei Gewinnspielen vor Ort,
  • bei Kundenakquise,
  • bei Bewerbungen,
  • bei neuen Aufträgen,
  • bei Scoring,
  • bei Sicherheitsüberprüfungen usw.

10.) Muss ein Datenschutzbeauftragter bestellt werden?

• Ist der Datenschutzbeauftragte hinreichend kompetent und
• mit den notwendigen Instrumenten ausgestattet, um seine Aufgaben erfüllen zu können?
• Sind die Kontaktdaten des Datenschutzbeauftragten u.a. in den Datenschutzhinweisen genannt?

11.) Ist die Notwendigkeit einer Datenschutz-Folgenabschätzung geprüft?

• Sind bisherige Folgenabschätzungen rechtmäßig durchgeführt und dokumentiert?
• Gibt es einen Prozess, dass künftig die Notwendigkeit einer Folgenabschätzung erkannt wird?

12.) Sind die Verträge und AGB geprüft und angepasst in Bezug auf eine etwaige Datenverarbeitung?

• Liegt ggf. eine Auftragsverarbeitung vor? Wenn ja, bestehen entsprechende Verträge dazu?
• Sind die Verantwortlichkeiten geklärt? (siehe auch Ziffer 4.)

13.) Ist man auf Betroffenenrechte vorbereitet? Besteht ein Prozess für den Fall, dass

• ein Betroffener seinen Anspruch auf Datenübertragbarkeit geltend macht?
• ein Betroffener seine Einwilligung widerruft? (z.B. unverzügliche Löschung)
• ein Betroffener sein Recht auf Einschränkung der Verarbeitung geltend macht?
• ein Betroffener seine Auskunfts- und Beschwerderechte geltend macht?

14.) Sind Maßnahmen getroffen für den Fall einer Datenpanne? (z.B. Meldeketten, Abwehrmaßnahmen, Verantwortlichkeiten usw.)

15.) Mitarbeiterdaten(-schutz) nicht vergessen:

• Gibt es ausreichende Maßnahmen zum Schutz der Mitarbeiter- und Bewerberdaten?
• Sind die Verträge und Vorlagen entsprechend aktualisiert?
• Ist ggf. der Betriebsrat bzw. Personalrat einbezogen?

16.) Sind Mitarbeiter und Dienstleister sensibilisiert und geschult?

• Reaktionen auf die Geltendmachung von Betroffenenrechten
• Reaktionen auf Datenpannen
• Gibt es schriftliche Weisungen bzw. Verpflichtungen auf das Datengeheimnis?

17.) Besteht ein Verzeichnis aller Datenverarbeitungsvorgänge?

• Gibt es einen Prozess, dass die Inhalte des Verzeichnisses regelmäßig geprüft und aktualisiert werden?
• Sind für jeden Verarbeitungsvorgang u.a. festgelegt:
  • Zweck
  • Rechtsgrundlage (z.B. Einwilligung, berechtigtes Interesse, Vertragserfüllung)
  • Dauer/Löschung
• Sind Alt-Datenbestände auf DSGVO-Konformität geprüft?
  • Newsletterlisten
  • Kundendaten
  • Bewerberdaten
  • Lieferantendaten
  • Mitarbeiterdaten (Fotos, Privattelefonnummern usw.) usw.

18.) Sind alle getroffenen Maßnahmen und Prozesse dokumentiert (Nachweisbarkeit!)?