DSGVO-Checkliste von Rechtsanwalt Jens Ferner

Checkliste zur Datenschutzgrundverordung: Hier finden Sie einige Anhaltspunkte, an Hand derer man sich bei der Umsetzung der DSGVO „entlanghangeln“ kann. Ich selber bin im Bereich des Datenschutzrechtes vorwiegend tätig im Rahmen im Bereich der Konfliktlösung, gegenüber Betroffenen, im Rahmen von Abmahnungen und vor allem Klagen – zudem beratend für IT-Projekte und im IT-Arbeitsrecht.

Allgemeine Checkliste zur Umsetzung der DSGVO

Ganz allgemein, bevor Sie konkret die einzelnen Punkte der DSGVO angehen, sollten Sie einige allgemeine Punkte angehen, quasi als Vorbereitung, damit wesentliche elementare Informationen zur Verfügung stehen:

Analysieren Sie den aktuellen „Ist-Zustand“ in Ihrem Betrieb: Wie wird mit Datenschutz umgegangen, ist dies überhaupt ein Thema, gibt es bereits sensible Vorgänge?
Schätzen Sie ab, wo sich kurz- und mittelfristig in Ihrem Betrieb zukünftige und noch nicht existierende Datenverarbeitungen ergeben werden.
Erstellen Sie eine Risikoanalyse: Für welche Umsätze sind die jeweiligen Datenverarbeitungen verantwortlich, in welchem Verhältnis steht dies zu eventuellen Bußgeldern?
Klären Sie die Verantwortlichkeiten in Ihrem Unternehmen: Wer soll beteiligt sein, wer soll wofür Ansprechpartner sein? In jedem Fall sollte eine einzelne Person als Kommunikationsschnittstelle existieren – nicht als „Macher“ oder „Entscheidet“ sondern als derjenige, der die Kommunikation zur DSGVO-Umsetzung koordiniert.

DSGVO-Checkliste

Im Folgenden finden Sie eine Checkliste mit konkreten Punkten zur Umsetzung der DSGVO. Die Checkliste ist nicht allgemeinverbindlich und bietet bewusst nur grobe Anhaltspunkte. Sie basiert auf dem von mir entwickelten Arbeitspapier für ein Konzept für KMU zur Umsetzung der DSGVO.

Stichwort

Kurzbeschreibung

Verarbeitungstätigkeiten & Datenschutzfolgenabschätzung

Aus meiner Sicht bei KMU am besten zuerst Anlegen: Das Verzeichnis von Verarbeitungstätigkeiten. Hierbei insbesondere erfassen:

Rechtsgrundlage der Verarbeitung
Verarbeitung durch oder mit Dritten?
Bei Berufen auf Einwilligung ob sämtliche Einwilligungen vorhanden sind
Muss eine Datenschutzfolgenabschätzung angestellt werden?

Datenschutzbeauftragter

Muss ein Datenschutzbeauftragter benannt werden: Jedenfalls, wenn mindestens 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten stehen;

Datenschutz-Verpflichtung

Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten

Datenschutz-Verpflichtung

Datenschutz-Verpflichtung von Beschäftigten vornehmen? Ja, wenn Umgang mit personenbezogenen Daten

Informationspflichten

Prüfen ob Informationspflichten bestehen; Art 13, 14 DSGVO umsetzen: Beschäftigte (dazu eigener Punkt), Kunden bei Auftragsannahme, Datenschutzerklärung der Webseite

Einwilligungen

Werden notwendige Einwilligungen sauber eingeholt – sind frühere Einwilligungen dokumentiert und ausreichend entsprechend Art 7, 13 DSGVO.

Löschen von Daten

Ist das Löschen von Daten nötig: Regelmäßig erst nach Ablauf gesetzlicher Aufbewahrungspflichten. Prozessablauf bei Löschungsanfrage installieren.

Sicherheit

Sicherheit: Besondere Sicherung von Daten notwendig, besteht die Datensicherheit als Konzept?

Auftragsverarbeitung

Übersicht anfertigen wo externe Anbieter genutzt werden und jeweils vermerken, wo Auftragsverarbeitung notwendig ist

Meldepflicht bei Verletzungen

Meldepflicht für Datenschutzverletzungen: Notfallprotokoll entwickeln!

Videoüberwachung

Videoüberwachung: Ausschilderung und Speicherungs-Löschkonzept prüfen

Rechte der Betroffenen

Umgang mit Rechten der Betroffenen: Prozessablauf installieren für Forderung nach Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruchsrecht, Recht auf Vergessenwerden.

Umgang mit Fotos

Fotos von Mitarbeitern oder Kindern müssen mit Vorsicht gehandhabt werden.

Besondere Kategorien personenbezogener Daten

Werden diese erhoben? Bei besonders sensiblen personenbezogenen Daten gelten erweiterte Vorgaben!

Drittstaaten

Findet eine Datenübermittlung in Staaten außerhalb der EU statt?

Beschäftigtendatenschutz

Sind Mitarbeiter über Datenverarbeitungen hinreichend informiert?

Zuständigkeit Behörden und Sanktionen

Welche Zuständigkeiten gibt es, welche Sanktionen drohen?

Über
Letzte Artikel

Fachanwalt für IT-Recht Jens Ferner

Rechtsanwalt bei Anwaltskanzlei Ferner Alsdorf

Fachanwalt für IT-Recht Jens Ferner - Ihr Fachanwalt für IT-Recht mit bundesweiter Tätigkeit im digitalen Recht: In der dynamischen IT- und Technologielandschaft, in der sich Gesetze und Technologien ständig weiterentwickeln, liegt der Fokus unserer Kanzlei in der IT-Prozessführung, der Unterstützung von Startups sowie in der Beratung konkreter Themenbereiche: Software, Daten, Robotik, Batterien, Quantum Computing, KI, Metaverse, Green-IT und IT-Sicherheit.

Letzte Artikel von Fachanwalt für IT-Recht Jens Ferner (Alle anzeigen)

Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
Ransomware Risk Report 2024 von Semperis - 11. September 2024
Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024