Checkliste Datenschutz

 

Alle Betriebe müssen die DSGVO umsetzen – unabhängig von ihrer Größe. Im Folgenden finden Sie eine Checkliste der umzusetzenden Vorgaben:

 

Schulung

Stellen Sie sicher, dass Sie Ihre Mitarbeiter für den Datenschutz sensibilisiert und geschult haben. Ihre Mitarbeiter sollten alle wesentlichen Begriffe aus dem Datenschutzrecht (wie z.B. personenbezogene Daten, Auftragsverarbeitung usw.) einordnen können. Außerdem sollten Sie Ihre Mitarbeiter über die Rechtsgrundlagen und Pflichten informiert haben.


Verzeichnis der Verarbeitungstätigkeiten

Sie müssen gemäß Art. 30 DSGVO alle datenverarbeitenden Prozesse (wie z.B. Rechnungsstellung, Schlüsselherausgabe, Webseitennutzungsanalyse, Benutzererstellung etc.) in einem Verzeichnis dokumentieren. Weiterhin sollten Sie die Verarbeitungstätigkeiten hinsichtlich des Datenschutzrisikos beurteilen und die technischen und organisatorischen Schutzmaßnahmen beschreiben.


Datenschutzfolgenabschätzungen

Datenverarbeitungen, die ein erhebliches Risiko für die Betroffenen bedeuten, müssen identifiziert und sowohl juristisch als auch technisch geprüft werden. Bei dieser Prüfung, der Datenschutzfolgenabschätzung, ist unter anderem zu prüfen, ob die Datenverarbeitung ein erhebliches Risiko für die Betroffenen darstellt. Entsprechende Maßnahmen zum Schutz der Betroffenen sind umzusetzen.

Die Aufsichtsbehörde in Niedersachsen hat wegen der Missachtung dieser Anforderungen ein Bußgeld in Höhe von 10,4 Millionen Euro gegen notebooksbilliger.de verhängt.


Schutzmaßnahmen

Zum Schutz der Datenverarbeitung hat jeder Betrieb technische und organisatorische Schutzmaßnahmen zu treffen und zu dokumentieren. Stellen Sie sicher, dass Sie eine entsprechende Dokumentation haben und regelmäßig aktualisieren.


Interne Datenschutzvorgaben

Definieren Sie für Ihre Mitarbeiter verbindliche Datenschutzrichtlinien. Nur mit diesen können Sie gewährleisten, dass datenschutzrechtliche Vorgaben richtig umgesetzt werden.

Vertraulichkeitsverpflichtungen

Stellen Sie sicher, dass alle Mitarbeiter eine Vertraulichkeitsverpflichtung unterzeichnet haben.


Auftragsverarbeitungshältnisse

Verarbeitungstätigkeiten können auch durch Dienstleister durchgeführt werden. Sie sollten die Auftragsverhältnisse erfassen und beurteilen, ob das Dienstleistungsverhältnis eine Auftragsverarbeitung darstellt. Zudem sind entsprechende Verträge zu schließen.


Kontrolle der Dienstleister

Sofern Sie Auftragsverarbeitungsverhältnisse als Auftraggeber vereinbart haben, sind Sie verpflichtet, die Einhaltung der vereinbarten Schutzmaßnahmen (TOMs) durch den Dienstleister zu prüfen.


Einwilligungen

Nachdem Sie alle Verarbeitungstätigkeiten identifiziert haben, die eine Einwilligung benötigen, sollten Sie sicherstellen, dass die rechtlichen Anforderungen an die Einholung der Einwilligung eingehalten werden. Die AOK Baden-Württemberg musste ein Bußgeld i.H.v. 1,2 Millionen Euro wegen der Missachtung dieser Anforderungen zahlen.

Bei einzelnen Verarbeitungstätigkeiten (u.a. beim Newsletterversand) kann eine zweistufige Einwilligung notwendig sein (Double-Opt-In).


Betroffenenrechte

Definieren Sie Arbeitsprozesse, mit denen Sie den Betroffenenrechten rechtssicher  nachkommen können (Auskunftsersuchen, Löschung, Widerruf etc.). Falsch umgesetzte Betroffenenrechte könnten erhebliche Bußgelder zur Folge haben. 

So hat Berliner Aufsichtsbehörde einer Bank gegenüber ein Bußgeld über 300.000€ wegen einer unzureichenden Datenauskunft ausgesprochen.