Checkliste zur DSGVO für große Unternehmen un...
 

Checkliste zur DSGVO für große Unternehmen und Konzerne

Als ganz wesentliche Neuerung der Europäische Datenschutz-Grundverordnung („DSGVO“) gilt die gesteigerte Eigenverantwortung der Unternehmen.

Demnach müssen Unternehmen selbst entscheiden, welche technischen und organisatorischen Maßnahmen gesetzt werden müssen, um den Anforderungen der DSGVO zu entsprechen.  

Da die DSGVO mit Inkrafttreten am 25.05.2018 direkt anwendbar ist und keine Umsetzungsfristen kennt, ist es höchste Zeit, zu evaluieren, welche Konsequenzen die DSGVO für den eigenen Geschäftsbetrieb bringt.  

Die folgende Checkliste soll das individuelle DSGVO-Projekt Schritt-für-Schritt unterstützen:

1.      Schritt: Erhebung des Status quo der Datenverarbeitung

1.1.              Zu erheben ist im Wesentlichen:

·      Welche personenbezogenen Daten werden verarbeitet (zB Kunden, eigenes und fremdes Personal, Ansprechpartner bei Lieferanten, etc)?
·      Zu welchem Zweck werden Daten erhoben und verarbeitet?
·      Auf welcher Rechtsgrundlage basiert die Datenverarbeitung?
·      An wen werden Daten weitergegeben und gibt es hierfür eine Rechtsgrundlage?
·      Was passiert mit Daten nach Erreichung des Zwecks (zB Anonymisierung/Löschung/längere gesetzliche Aufbewahrungspflicht)?

2.      Schritt: Einrichtung eines Datenschutz-Compliance-Systems
2.1.              Erstellung einer Datenschutzstrategie/Datenschutz-Policy

·      Festlegung Ziele, interne Rollen, Verantwortlichkeiten der Datenverarbeitung und Auswertung Risiko für Rechte und Freiheiten der Betroffenen

·      Festlegung technische und organisatorische Sicherheitsmaßnahmen in Bezug auf Datenverarbeitung, zB Datenbank- und Speicherkonzepte, Zugriffskonzepte, Anonymisierungs- und Pseudonymisierungskonzepte,  Löschkonzepte

2.2.              Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
2.3.              Erstellung einer Datenschutz-Folgenabschätzung
2.4.              Festlegung der Verantwortlichkeiten für die Verpflichtungen nach
                    der DSGVO, insbesondere für die Gewährleistung der
                    Betroffenenrechte
1.5.              Festlegung von Abläufen bei Anfragen/Anträgen von betroffenen 
                    Personen
1.6.              Festlegung von Notfallstrategien

3.      Schritt: Bestellung eines Datenschutzbeauftragten
3.1.              Für größere Unternehmen in der Regel verpflichtend, aber auch
                    sinnvoll, wenn ein Datenschutzbeauftragter nicht obligatorisch ist.
3.2.              Entscheidung, ob interner oder externer Datenschutzbeauftragter
3.3.              Bestellung eines Datenschutzbeauftragten
                     („Datenschutzmanager“) auch für Tochtergesellschaften

4.      Schritt: Prüfung der Datenschutzzustimmungserklärungen
4.1.              Zeitpunkt der Einwilligung vor Erhebung der Daten?
4.2.              Enthält die Erklärung inhaltlich …
·      Art der von der Verarbeitung betroffenen Daten
·      Zweck der Datenverarbeitung
·      der/die Verantwortlichen
·      Speicherdauer der Daten
·      Widerrufsmöglichkeit
4.3.              Formelle Prüfung
·      Einwilligungsfähigkeit der betroffenen Person (Einwilligung von Personen unter 14 Jahren)
·      Freiwilligkeit (liegt ein Abhängigkeitsverhältnis vor?)
·      Klare und einfach verständliche Formulierung
·      Nachweisbarkeit
4.4.              Werden erteilte Einwilligung protokolliert und sind jederzeit
                    abrufbar?

5.      Schritt: Prüfung der bisher verwendeten Formulare
5.1.              Evaluierung bislang verwendete Formulare (zB Zustimmungserklärungen, auch in AGB)
5.2.              Evaluierung Formularpolitik in Tochtergesellschaften
5.3.              Anpassung der Formulare an die Anforderungen der DSGVO  

6.      Schritt: Einrichtung eines Kontrollsystems
6.1.              Erweiterung internes Kontrollsystem um Datenschutz
6.2.              Festlegung der Verantwortlichkeiten im Zusammenhang mit
                    Kontrolle der Datenschutzstrategien, Sicherheitssysteme und
                     technischen sowie organisatorischen Maßnahmen
6.3.              Festlegung von Kontrollprozessen (wann werden Stichproben
                    gezogen etc)

7.      Schritt: Einrichtung eines Dokumentationssystems
7.1.              Entsprechend der Rechenschaftspflicht sind alle Vorgänge zu
                    protokollieren und dokumentieren, insbesondere
·      Wahrnehmung Informationspflichten
·      Erteilung von Datenschutzzustimmungserklärungen
·      Anträge von Betroffenen und deren Erledigung
·      Interne Kontrollen
·      Personalschulungen

8.      Schritt: Prüfung und Adaptierung der Verträge mit  Auftragsverarbeitern
·      Evaluierung Verträge mit Auftragsverarbeitern, insbesondere: DSGVO-Konformität,  Wirksamkeit für gesamte Unternehmensgruppe,  Regressmöglichkeiten,  Versicherungsdeckung bei Verstößen 

9.      Schritt: Implementierung Datenschutz durch Technik
·      Evaluierung, ob IT-Systeme dem Stand der Technik entsprechen
·      Evaluierung Kompatibilität Systeme mit Sicherheitsmaßnahmen
·      Implementieren von technischen Compliance-Maßnahmen (Privacy by
       design/default)
·      Implementieren von verpflichtenden Sicherheitsmaßnahmen (Art 32 DSGVO)

10.      Schritt: Information und Schulung der Mitarbeiter
·      Schulungskonzept für Mitarbeiter, insbesondere auch bei Neueintritt, die dem Aufgabenbereich der Mitarbeiter entsprechen
·      Dokumentation der Information
·      Protokollierungen Schulungen und Informationen im Personalakt

Diese Checkliste ist nur eine Orientierungshilfe; selbstverständlich wird es notwendig sein,  die spezifischen Anforderungen des jeweiligen Betriebs zu berücksichtigen.
stats