Checkliste Datenschutz
Alle Betriebe müssen die DSGVO umsetzen – unabhängig von ihrer Größe. Im Folgenden finden Sie eine Checkliste der umzusetzenden Vorgaben:
Schulung
Stellen Sie sicher, dass Sie Ihre Mitarbeiter für den Datenschutz sensibilisiert und geschult haben. Ihre Mitarbeiter sollten alle wesentlichen Begriffe aus dem Datenschutzrecht (wie z.B. personenbezogene Daten, Auftragsverarbeitung usw.) einordnen können. Außerdem sollten Sie Ihre Mitarbeiter über die Rechtsgrundlagen und Pflichten informiert haben.
Verzeichnis der Verarbeitungstätigkeiten
Sie müssen gemäß Art. 30 DSGVO alle datenverarbeitenden Prozesse (wie z.B. Rechnungsstellung, Schlüsselherausgabe, Webseitennutzungsanalyse, Benutzererstellung etc.) in einem Verzeichnis dokumentieren. Weiterhin sollten Sie die Verarbeitungstätigkeiten hinsichtlich des Datenschutzrisikos beurteilen und die technischen und organisatorischen Schutzmaßnahmen beschreiben.
Datenschutzfolgenabschätzungen
Datenverarbeitungen, die ein erhebliches Risiko für die Betroffenen bedeuten, müssen identifiziert und sowohl juristisch als auch technisch geprüft werden. Bei dieser Prüfung, der Datenschutzfolgenabschätzung, ist unter anderem zu prüfen, ob die Datenverarbeitung ein erhebliches Risiko für die Betroffenen darstellt. Entsprechende Maßnahmen zum Schutz der Betroffenen sind umzusetzen.
Die Aufsichtsbehörde in Niedersachsen hat wegen der Missachtung dieser Anforderungen ein Bußgeld in Höhe von 10,4 Millionen Euro gegen notebooksbilliger.de verhängt.
Schutzmaßnahmen
Zum Schutz der Datenverarbeitung hat jeder Betrieb technische und organisatorische Schutzmaßnahmen zu treffen und zu dokumentieren. Stellen Sie sicher, dass Sie eine entsprechende Dokumentation haben und regelmäßig aktualisieren.
Interne Datenschutzvorgaben
Vertraulichkeitsverpflichtungen
Stellen Sie sicher, dass alle Mitarbeiter eine Vertraulichkeitsverpflichtung unterzeichnet haben.
Auftragsverarbeitungshältnisse
Verarbeitungstätigkeiten können auch durch Dienstleister durchgeführt werden. Sie sollten die Auftragsverhältnisse erfassen und beurteilen, ob das Dienstleistungsverhältnis eine Auftragsverarbeitung darstellt. Zudem sind entsprechende Verträge zu schließen.
Kontrolle der Dienstleister
Sofern Sie Auftragsverarbeitungsverhältnisse als Auftraggeber vereinbart haben, sind Sie verpflichtet, die Einhaltung der vereinbarten Schutzmaßnahmen (TOMs) durch den Dienstleister zu prüfen.
Einwilligungen
Nachdem Sie alle Verarbeitungstätigkeiten identifiziert haben, die eine Einwilligung benötigen, sollten Sie sicherstellen, dass die rechtlichen Anforderungen an die Einholung der Einwilligung eingehalten werden. Die AOK Baden-Württemberg musste ein Bußgeld i.H.v. 1,2 Millionen Euro wegen der Missachtung dieser Anforderungen zahlen.
Bei einzelnen Verarbeitungstätigkeiten (u.a. beim Newsletterversand) kann eine zweistufige Einwilligung notwendig sein (Double-Opt-In).
Betroffenenrechte
So hat Berliner Aufsichtsbehörde einer Bank gegenüber ein Bußgeld über 300.000€ wegen einer unzureichenden Datenauskunft ausgesprochen.