DS-GVO Checkliste

Die 10 wichtigsten Schritte

von Charlotte Jeroma

Zur DS-GVO stellen wir hier noch mal eine komprimierte Liste zusammen mit den wichtigsten Schritten, die im Unternehmen getan werden müssen.

Die Liste ist hier zusätzlich verfügbar als

1. Haben wir ein Gesamtkonzept bzgl. unseres Datenschutzes?

Das Gesamtkonzept erfasst die relevanten Bereiche in Unternehmen, die von der DS-GVO betroffen sind.

2. Wurde ein Datenschutzkonzept erfasst?

Das Datenschutzkonzept dokumentiert alle datenschutzrechtlichen Aspekte im Unternehmen zusammenfassend.

Beantwortet: Was sind unsere Ziele, Verantwortlichkeiten, technischen und organisatorischen Maßnahmen und Dokumentationspflichten bzgl. des Datenschutzes?

3. Dokument: Steht dem Verantwortlichen ein internes Verzeichnis von Verarbeitungstätigkeiten (VV) zur Verfügung?

Dieses Verzeichnis soll zu höherer Transparenz bzgl. der Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens führen. Es enthält Verfahrensbeschreibungen.

Beantwortet: Warum gilt die Datenverarbeitung als rechtmäßig?
Welche personenbezogenen Daten werden wie, wann und warum verarbeitet?

4. Dokument: Technische und Organisatorische Maßnahmen (TOM)

Dieses Dokument beschreibt, wie die Daten der Betroffenen (Kunden, Lieferanten, Mitarbeiter etc.) abgesichert und geschützt werden. Es rechtfertigt im Fall eines Datenlecks oder Datenschutzverstoßes den Schutzgrad des Unternehmens. 

Beantwortet: Sind unsere technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten angemessen?

5. Müssen wir eine Datenschutz-Folgeabschätzung (DSFA) durchführen?

Die DSFA dient  der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Mit einer Risikoanalyse sollte zuerst festgestellt werden, ob für bestimmte Datenverarbeitungsprozesse aufgrund sensibler Daten eine DSFA erforderlich ist.

Beantwortet: Wie hoch ist die Eintritts-Wahrscheinlichkeit von Datenpannen?

6. Informieren wir unsere Kunden hinreichend, dass eine Datenverarbeitung stattfindet (z.B. via E-Mail oder Website)?

Datenschutzhinweise informieren darüber, in welchem Rahmen eine Datenverarbeitung stattfindet, d.h. wie die Daten erhoben und verarbeitet werden. Entsprechende Datenschutz Dokumente sind z.B. auf Webseiten vorzufinden, oder aber auch häufig Bestandteil von Vertriebs- und Vertragsunterlagen.

Beantwortet: In welchem Rahmen findet eine Datenverarbeitung statt?

7. Sind relevante Betriebsvereinbarungen mit unseren Mitarbeitern bereits getroffen und vertraglich niedergelegt worden?

Betriebsvereinbarungen werden mit Mitarbeitern getroffen um vertraglich sicherzustellen, dass die Verarbeitung von personenbezogenen Daten rechtmäßig verläuft. Zusätzlich können firmeninterne Verhaltensregeln für den Umgang mit personenbezogenen Daten festgelegt werden.

Relevante Themenbereiche für diese Vereinbarungen sind folgende:

  • IT Richtlinien
  • Home-Office
  • Datenschutzkonforme Aktenvernichtung
  • Dokumentation von Zutritts-/ Zugriffsberechtigungen
  • Einwilligungserklärung Fotoaufnahmen
  • Evidenzhaltung Bewerberdaten
  • Löschung persönlicher Daten
  • Informationspflicht

8. Haben wir von all unseren Auftragsverarbeitern Verträge zur Datenverarbeitung (AV-Vertrag) erhalten?

Im Falle der Verarbeitung von personenbezogenen Daten durch externe Partner (z.B. durch die LocalBranding GmbH oder aber auch externe Rechnungsstellen), muss über diesen Auftrag zwingend ein Vertrag abgeschlossen werden.

Beantwortet: Welche Partei ist für die Verarbeitung personenbezogener Daten in welchem Maße verantwortlich?

9. Sollten wir einen Datenschutzbeauftragten (DSB) benennen?

Sollte ein DSB gesetzlich pflichtgemäß erforderlich sein, muss dieser ernannt werden. Sollte dies nicht der Fall sein, muss zumindest geklärt werden wer für den fortlaufenden Schutz personenbezogener Daten verantwortlich ist (oft ist dies der Geschäftsführer/ die Geschäftsführerin).

Beantwortet: Wer ist mit dem Schutz personenbezogener Daten in unserem Unternehmen beauftragt?

10. Können wir im Falle einer Anfrage auf die Erteilung der Auskunft schnell agieren?

Die DS-GVO berechtigt Betroffene dazu Informationen über die Verarbeitung personenbezogener Daten zu erhalten. Aus diesem Grund sollten Sie in der Lage sein, schnellstmöglich Auskunft geben zu können, ob und wenn ja, wie und zu welchem Zweck personenbezogene Daten der betreffenden Person verarbeitet werden.