• 0228 955 0220

DSGVO Checkliste, was ist zu beachten

© SWerner Ney/Fotolia
DSGVO Checkliste

Sie fühlen sich buchstäblich erschlagen von den ganzen Informationen zur DSGVO? Damit sind Sie sicher nicht allein. Die Datenschutzgrundverordnung ist für viele Menschen Neuland und schwer zu verstehen. Damit Sie sich etwas weniger verloren fühlen in dem Datenschutzdschungel, haben wir eine DSGVO Checkliste für Sie erstellt. So sehen Sie, welche Punkte für Sie am wichtigsten sind. Zumindest für den Anfang.

Wenn Sie diese DSGVO Checkliste verinnerlicht haben, können Sie sich in die DSGVO weiter vorarbeiten. Schritt für Schritt lernen Sie, die Datenschutzgrundverordnung zu verstehen.

Punkt 1 DSGVO Checkliste: Benennen Sie einen Datenschutzbeauftragten

Es gibt bestimmte Voraussetzungen, die besagen, dass Sie einen Datenschutzbeauftragten benennen müssen. Zum Beispiel ist dieser Beauftragte notwendig, wenn personenbezogene Daten automatisiert verarbeitet werden, das heißt mithilfe der elektronischen Datenverarbeitung. Unter personenbezogenen Daten sind Kundendaten und Mitarbeiterdaten zu verstehen.

Allerdings gibt es auch Ausnahmeregelungen, wo kein Datenschutzbeauftragter nötig ist. Dies gilt zum Beispiel für Unternehmen, in denen regelmäßig nicht mehr als 9 Mitarbeiter mit personenbezogenen Daten beschäftigt sind. Hier hat der Geschäftsführer die Möglichkeit, den Datenschutz selbst zu übernehmen.

Achtung ist hierbei dennoch geboten. Denn auch Beschäftigte, die nur hin und wieder Daten verarbeiten, zum Beispiel wenn Sie ausschließlich Zugriff auf Kundendaten haben, gehören auch zu der Maximalanzahl der 9 Mitarbeiter. Auch spielt es keine Rolle, ob die Mitarbeiter in Teil- oder Vollzeit arbeiten. Freiberufler, Praktikanten oder Azubis gehören ebenfalls als vollwertiger Mitarbeiter dazu.

Aber auch hierbei gibt es wieder eine Ausnahme. Verarbeitet das Unternehmen Daten, für die eine Folgenabschätzung notwendig ist, muss ein Datenschutzbeauftragter hinzugezogen werden. Dies ist zum Beispiel der Fall, wenn bei den Betroffenen ein hohes Risiko besteht.

Dies besteht bei folgenden Daten:

  • ethnische Herkunft
  • sexuelle Orientierung
  • Gesundheit
  • politische Einstellung

Das heißt, eine kleine psychotherapeutische Praxis, mit beispielsweise 5 Mitarbeitern, braucht einen Datenschutzbeauftragten.

Punkt 2 DSGVO Checkliste: Legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an

Jedes Unternehmen ist verpflichtet, ein sogenanntes Verzeichnis anzulegen. Das klingt zuerst einmal abschreckend. Ist es aber nicht. Denn in der Regel handelt es sich hierbei um eine einfache Tabelle, die für die Datenschutzbehörden vollkommen ausreicht. In dieser Tabelle wird aufgelistet, welche Daten Sie wann, wie und warum in Ihrem Unternehmen erhoben haben. Zum Beispiel Daten Ihrer Kunden, wie Name Adresse und Telefonnummer.

Wichtig hierbei ist aber, dass Sie nicht die internen Daten vergessen. Hierzu zählen unter anderem Personaldaten und Daten aus der Lohnbuchhaltung. Aber auch noch einige weitere Daten.

Handelt es sich um ein großes Unternehmen, sollte ein Projektverantwortlicher bestellt werden. Dieser befragt alle Mitarbeiter, die für die Datenverarbeitung verantwortlich sind. Welche Punkte abzufragen sind, sehen Sie in der nachstehen Auflistung:

  • Informationen, die Betroffene erhalten – und zwar über das erheben und Speichern von personenbezogenen Daten.
  • Des Weiteren, wie diese Informationen erteilt werden. Stehen sie zum Beispiel in den AGBs oder teilt man diese mündlich mit?
  • Welche Daten werden erhoben? Welchen Zweck hat die Datenerhebung? Wie wird die Weiterverarbeitung der Daten gehandhabt? Hieraus ergibt sich, ob der Betroffene erst seine Zustimmung geben muss oder ob die Datenverarbeitung gesetzlich erlaubt ist.
  • Gilt es die Daten zu anonymisieren oder zu pseudonymisieren?
  • Wie lange bleiben die Daten gespeichert?
  • Erfolgt eine Weitergabe der Daten? Wenn ja, an wen und ist dieser dann auch verantwortlich für den Datenschutz?
  • Wo speichern Sie die Daten? Geschieht die Speicherung außerhalb der EU? Wenn ja, müssen die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt sein. Ist dies so?
  • Sind die Daten ausreichend geschützt? Zum Beispiel durch technische und organisatorische Maßnahmen?

Aus diesen Punkten entsteht ein Verarbeitungsverzeichnis.

Punkt 3 DSGVO Checkliste: Legen Sie Prozesse fest und schreiben Sie ein Prozesshandbuch

In Ihrem Unternehmen sollten Sie alle Prozesse, die mit Datenverarbeitung verbunden sind, dokumentieren. Außerdem sollten Sie diese, wenn nötig, optimieren.

Beispiel:

  • Wie informieren Sie die Kunden über die Verarbeitung der Daten?
  • Wie ist die Reaktion Ihrer Mitarbeiter, wenn Kunden fragen, welche ihrer Daten gespeichert sind?
  • Was muss getan werden, wenn der Kunde wünscht, dass seine Daten gelöscht werden? Wer trägt hierfür die Verantwortung?
  • Es kommt zu einem Datenleck und so geraten die Daten in falsche Hände. Welche Prozesse sind nun zu initialisieren?
  • Daten haben eine bestimmte Frist, wie lange sie gespeichert bleiben müssen. Dieses Ziel ist erreicht. Wie erfolgt der Löschprozess?
  • Wie sieht es mit der Mitarbeiterschulung aus, damit Ihre Mitarbeiter die Prozesse kennen und auch ausführen können?

Achtung

Kommen Daten in die falschen Hände, sind Sie als Unternehmen verpflichtet, dieses innerhalb von 72 Stunden zu melden. Und zwar an die zuständige Landesdatenschutzbehörde.

Punkt 4 DSGVO Checkliste: Führen Sie, wenn nötig, eine Folgenabschätzung durch

Gehen Sie mit besonders sensiblen Daten um, ist es gegebenenfalls notwendig, eine Folgenabschätzung durchzuführen. Dies gilt insbesondere für Arztpraxen oder Versicherungsmakler. Das gilt für alle Unternehmen, die eine Kategorisierung nach folgenden Themen durchführen:

  • Sexualität
  • Krankheiten
  • Rassische oder ethnische Herkunft
  • Finanzen
  • politische Ansichten

Denn gerade bei diesen Personen besteht eine hohe Gefahr von Datenmissbrauch. Es sollte ursprünglich vonseiten der Datenschutzbehörde eine Liste herausgebracht werden. Diese Liste besagt, welche Datenverarbeitungsvorgänge eine Folgenabschätzung voraussetzen. Allerdings ist diese Liste bisher nicht erschienen. Das hat zufolge, dass die Entscheidungen im Einzelfall zu treffen sind.

Das Ziel der Folgenabschätzung ist Folgendes: Es gilt, die Risiken für die Persönlichkeitsrechte des Betroffenen zu erkennen. Außerdem sollen so dementsprechende Schutzmaßnahmen getroffen werden. Aber worin besteht denn eine Datenschutz-Folgenabschätzung? Die Antwort finden Sie in den nachstehend aufgezeigten Punkten:

  • Vorgänge der Datenverarbeitung beschreiben.
  • Die Beschreibung des Zwecks für die Datenverarbeitung. Außerdem die Begründung, worin ein berechtigtes Interesse des Unternehmens liegt. Im Hinblick auf den Zweck muss die Datenverarbeitung im passenden Verhältnis stehen.
  • Beschreibung der eventuellen Risiken. Allerdings gilt das für die Risiken, die für den Betroffenen bestehen.
  • Dokumentieren Sie, was technisch und organisatorisch getan werden muss, damit die Daten gegen unberechtigten Zugriff, aber auch gegen Weitergabe, gesichert sind.
  • Eine Dokumentation, wie im Falle eines Leaks verfahren wird.
  • Welche Kontrollmechanismen greifen, um die Daten weiterhin zu schützen?

Achtung

Bei Fragen haben Sie die Möglichkeit, sich an die Landesdatenschutzbehörde zu wenden. Denn diese hat hierbei eine beratende Funktion.

Punkt 5 DSGVO Checkliste: Dokumentation aller Anstrengungen

Als Unternehmer müssen Sie alle Anstrengungen, die Sie getan haben, dokumentieren. Hier einige Beispiele:

  • Bei welchem Seminar war der Datenschutzbeauftragte?
  • Wann wurde welche Firewall installiert?
  • Welche Verträge haben Sie mit Dienstleistern geschlossen?

Ist Ihre Dokumentation lückenlos, haben Sie die Chance, auch bei Datenlecks oder Verstößen ohne ein Bußgeld davonzukommen. Allerdings ist es hierbei wichtig, dass Sie nach einer Anfrage bezüglich Ihrer Unterlagen diese umgehend vorlegen.


Das könnte Sie auch interessieren: Risiko Smartphone – Unternehmensdaten immer „sicher“ dabei?

* Selbstverständlich können Sie den 150 Euro Gutschein sowie eBooks und Leitfäden auch unabhängig von einer Newsletter-Anmeldung anfordern. Schreiben Sie uns dazu bitte eine kurze E-Mail mit Link zu dieser Seite.

Copyright © 2019 [r]evolution. Impressum | Datenschutz