Close

Fon: +49 (0)221 569 78 0 | Mail: info@vucx.de

by

DSGVO Checkliste

Von Irina Reitenbach und Alfred Heil

DSGVO Checkliste

In unserem zweiten Teil erfahren Sie wie die Datenschutz-Grundverordnung im Unternehmen umgesetzt werden kann. Wir haben eine DSGVO Checkliste mit den wichtigsten Schritten erstellt. Somit erhalten Sie einen Überblick über die notwendigen Maßnahmen.

Zurzeit werden E-Mails von Anwaltskanzleien an Unternehmen und Agenturen versendet, die auf den ersten Blick nur über die neue EU-DSGVO informieren möchten und nur nebenbei die hohen Geldbußen erwähnen. In Wirklichkeit erfüllen diese E-Mails den einen Zweck, und zwar die Verbreitung der Panik in den Unternehmen.

Falls Sie direkt zu einem Unterpunkt des Artikels springen möchten, klicken Sie einfach auf einen der unten stehenden Links:

I. DSGVO Chekliste
II. Handlungsempfehlungen
III. Fazit

 

I. DSGVO Checkliste

Die Unternehmen sollten bis zum 25.Mai 2018 folgende Maßnahmen umsetzen:

  • Externe und interne Prozesse DSGVO-konform gestalten
  • DSGVO-konforme Datenschutzerklärung erstellen
  • Personenbezogene Daten sichern
  • Personenbezogene Daten mit Einwilligung des Kunden verarbeiten
  • Kunden auf das Recht des Widerrufes hinweisen
  • Technische und organisatorische Maßnahmen festlegen
  • Datenschutzbeauftragten ernennen und bei der zuständigen Aufsichtsbehörde melden
  • Verarbeitungsverzeichnis anlegen
  • Risikomanagement aufbauen

II. Handlungsempfehlungen

1. Externe und interne Prozesse DSGVO-konform gestalten

Der Artikel 28 DSGVO beschreibt die Pflichten und Aufgaben des Auftragsverarbeiters, die sich z.B. aus einem geschlossenen Vertrag über die Verarbeitung ergeben können. Als erstes sollte der gesamte Prozess der Datenerhebung, Verarbeitung und Nutzung analysiert werden. Falls externe Partner wie z.B. Web-Hoster, Cloud-Provider, Datenanalysten etc. in den Prozess involviert sind, sollten diese Beziehungen gründlich überprüft werden.

Im Unternehmen gibt es viele Mitarbeiter, die Zugriff auf personenbezogene Daten von Kunden haben. Das sind z.B. Mitarbeiter der IT-, Personal-, Marketing- und Rechtsabteilung. Der Umgang und die Verarbeitung mit den personenbezogenen Daten sollten innerhalb aller Abteilungen geprüft werden. Es sollte ein Verfahrensverzeichnis erstellt werden, nähere Informationen sind im Artikel 30 DSGVO aufgelistet, in dem alle Beteiligten, sowie Prozesse festgehalten werden. Die Prozessabläufe im Unternehmen sollten sich vor dem Eintritt der DSGVO einer juristischen Prüfung unterziehen.

2. DSGVO-konforme Datenschutzerklärung erstellen

Der Erwägungsgrund 42 verweist auf die Richtlinie 93/13 EWG des Rates, die die Anforderungen an die Einwilligungserklärung stellt. Die Erklärung sollte demnach für den Einwilligenden sprachlich und inhaltlich leicht nachvollziehbar sein und sollte „keine missbräuchlichen Klauseln beinhalten“. Der Betroffene sollte Kenntnis über den Verantwortlichen haben und warum dieser die Daten verarbeitet.

Zusätzliche Informationen zum Inhalt der Erklärung finden sich im Artikel 12 Absatz 7 DSGVO.  Demnach können zusätzlich zu den bereitzustellenden Informationen auch „Bildsymbole“ verwendet werden, die von den Suchmaschinen erkannt werden können (Artikel 12 Absatz 8 DSGVO).

3. Personenbezogene Daten sichern

Laut dem Erwägungsgrund 39 DSGVO soll die Verarbeitung der personenbezogenen Daten die Grundsätze der „Datensicherheit und Datenvertraulichkeit“ einhalten. Die Daten sollen vor Dritten geschützt werden.  Außerdem sollen die Dritte weder einen Zugriff auf die Daten noch auf die verarbeitende Geräte haben.

4. Personenbezogene Daten mit Einwilligung des Kunden verarbeiten

Eine Grundvoraussetzung für die Verarbeitung der personenbezogenen Daten stellt eine freiwillige Einwilligung des Kunden dar (Art.6 -7 DSGVO). Der Kunde kann seine Einwilligung schriftlich, elektronisch oder mündlich bestätigen (Erwägungsgrund 32 DSGVO). In Artikel 7 DSGVO wird noch einmal die Verantwortung des Verarbeiters für die Dokumentation der Einwilligung hervorgehoben.

Eine zulässige Datenverarbeitung kann sich auch aus dem Artikel 6 Absatz 1 lit.b DSGVO ergeben. Wird mit der Verarbeitung die Pflicht aus einem Vertrag mit dem Betroffenen erfüllt, stellt dieser Zustand eine rechtmäßige Verarbeitung dar.

Nach Artikel 13 DSGVO trägt der Verarbeitende die Informationspflicht. Werden personenbezogene Daten von den Nutzern angefragt, muss zum Zeitpunkt der Erhebung folgende Informationen mitgeteilt werden: „Name und Kontaktdaten des Verantwortlichen, seines Vertreters und ggf. des Datenschutzbeauftragten; Zweck und Rechtsgrundlage“ für die Verarbeitung; in Ausnahmefällen muss auch das berechtigte Interesse dem Nutzer mitgeteilt werden. Zusätzlich müssen die Nutzer nach Artikel 13 Absatz 2 DSGVO weitere Informationen über die „Dauer der Speicherung, ihr Widerspruchsrecht, Datenübertragbarkeit, Beschwerderecht bei einer Aufsichtsbehörde, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung“ erhalten. Alle weiteren zusätzlichen Informationen können dem Artikel 13 Absatz 2 DSGVO entnommen werden. Ändert sich der Zweck der Weiterverarbeitung, muss der Betroffene darüber informiert werden.

Der Artikel 8 DSGVO enthält Informationen zu den Einwilligungen von Kindern. Personenbezogene Daten, die unter einer besonderen Kategorie im Artikel 9 DSGVO aufgelistet werden, unterliegen einem besonderen Schutz.

5. Kunden auf das Recht des Widerrufes hinweisen

Gemäß dem Artikel 7 DSGVO sollte die Person, die ihre Einwilligung erteilt hat, diese ohne zusätzliche Hindernisse widerrufen können. Bei dem Verarbeiter besteht die Pflicht die betroffene Person über die Möglichkeit des Widerrufs der Einwilligung zu informieren.

6. Technische und organisatorische Maßnahmen festlegen

Der Erwägungsgrund 78 verwendet zwei wichtige Begriffe: “Privacy by design“ und „Privacy by default“. Der Grundsatz „Privacy by design“ beschreibt die technischen Anforderungen und fordert, dass die Datenschutzmaßnahmen durch Hardware und Software berücksichtigt werden. „Privacy by default“ regelt die organisatorischen Maßnahmen.  In diesem Fall sollen personenbezogene Daten nur zweckgebunden gesammelt werden. Im Artikel 25 DSGVO wird „Pseudonymisierung“ als ein Beispiel für technische und organisatorische Maßnahmen (TOM) genannt. Weitere Maßnahmen betreffen die „Sicherheit der Verarbeitung“. Anhand der Zertifizierungen können die eingehaltenen Maßnahmen bestätigt werden.

7. Datenschutzbeauftragten ernennen und bei der zuständigen Aufsichtsbehörde melden

Unter welchen Voraussetzungen der Datenschutzbeauftragte benannt wird, ist in Artikeln 37 bis 39 DSGVO geregelt. Die Daten des Datenschutzbeauftragten sollen bei der Aufsichtsbehörde gemeldet werden (Artikel 37 Absatz 7 DSGVO).

8. Verarbeitungsverzeichnis anlegen

Es sollte im Interesse der Unternehmen sein, die Datenschutzmaßnahmen zu dokumentieren, zu prüfen und einzuhalten. In erster Linie sollen technische Sicherheitsvorkehrungen getroffen werden, um Datenmissbrauch zu vermeiden und personenbezogene Daten der Betroffenen zu schützen.

Die Unternehmen sollen Verzeichnisse erstellen und die Prozesse dokumentieren. Die Verzeichnisse dienen der späteren Überprüfung für die Aufsichtsbehörden oder die Anfragen der Kunden (Erwägungsgrund 82). Wie ein Verzeichnis aufgebaut werden soll und welche Elemente er enthalten soll, regelt der Artikel 30 DSGVO. Die Form für das Verzeichnis wird auch von dem Gesetz vorgegeben. Die Dokumentation sollte in einer schriftlichen oder elektronischen Form erfolgen.

9. Risikomanagement aufbauen

Eine gute Voraussetzung für die Einhaltung der DSGVO stellt ein funktionierendes Risikomanagement dar. Laut dem Erwägungsgrund 77 DSGVO sollte das Risiko frühzeitig identifiziert, beurteilt und nach Möglichkeit minimiert werden. Die internen Prozesse im Unternehmen sollten so gestaltet werden, dass beispielsweise beim Auftreten des Datenmissbrauchs eine schnelle Reaktion innerhalb von 72 Stunden erfolgen kann (Art.33 Absatz 5 DSGVO).

Im Erwägungsgrund 76 wird darauf verwiesen den Status des Risikos objektiv zu beurteilen. Im Artikel 32 DSGVO werden Maßnahmen genannt, die das Risiko einer ungeeigneten oder sogar widerrechtlichen Verarbeitung verringern können.

10. Zertifizierung anstreben

Das Ziel der Zertifizierung besteht darin, den Prozess transparenter zu gestalten. Außenstehende können anhand der Datenschutzsiegel und anderen Datenschutzlabels erkennen, ob die Unternehmen datenschutzkonform arbeiten (Erwägungsgrund 100). Im Artikel 42 DSGVO wird die Zertifizierung geregelt.

Das Bayerische Landesamt für Datenschutzaufsicht hat auf seiner Seite einen Test veröffentlicht, bei dem die Unternehmen prüfen können, wie gut sie auf die DSGVO vorbereitet sind.

https://www.lda.bayern.de/tool

III. Fazit

Die Unternehmen sollen ihre interne und externe Prozesse gründlich anhand der DSGVO analysieren und die Abläufe dokumentieren. Bereiche und Abteilungen, die mit personenbezogenen Daten arbeiten, sollen identifiziert werden. Im nächsten Schritt sollten die Maßnahmen in diesen Abteilungen überprüft werden.

Zusätzlich finden Sie eine Liste mit Dokumentationen, die die Unternehmen erstellen und in regelmäßigen Abständen aktualisieren sollten. Und die jeweiligen Prozesse, die im Unternehmen angepasst werden müssen.

Dokumentationen
Prozesse

Datenschutzfolgenabschätzung 

(Artikel 35 Absatz 3 DSGVO)
Profiling, Verarbeitung sensibler Daten, Videoüberwachung.
Nationale Aufsichtsbehörden können Listen bereitstellen, ob und welche Verarbeitungen eine Datenschutzfolgenabschätzung benötigen

Löschverfahren (Art.17 DSGVO)

 

 

 

Vereinbarungen zur Auftragsverarbeitung              Handlungen bei einem Auditverfahren
Einwilligungserklärungen Umgang mit Datenpannen
Datenschutzerklärungen Verarbeitungsprozess

Datenverarbeitungsprozess

Risikobewertung von geeigneten technisch-organisatorischen Maßnahmen
Betriebsvereinbarungen gemäß der DSGVO gestalten Handlungen bei Widersprüchen
Datenlöschung Widerruf der Einwilligung
Risikoeinschätzung für TOM Wiederherstellung der personenbezogenen Daten
Datenpannen Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeiten der TOM
Prozess der Benachrichtigung (Art.13 DSGVO), Auskunft (Art.15 DSGVO), Berichtigung (Art.16 DSGVO)
Interne Prozesse (z.B. Bewerbungsprozess)

 

Erfahren Sie in unserem nächsten Artikel alles über das Thema der ePrivacy Grundverordnung.

 

Dieser Artikel und die Liste stellen keine Rechtsberatung dar und können keine Rechtsberatung ersetzen.

 

Verwendete Quellen:

http://eur-lex.europa.eu/legal-content

http://www.bitkom.org/Datenschutz-Sicherheit

https://www.lda.bayern.de/datenschutz

https://www.lda.bayern.de/dsgvo_fragebogen

https://www.bmwi.de/Publikationen/datenschutzgrundverordnung

Zurück zum Anfang