Christian Maull,
Datenschutzbeauftragter,
Spezialist Compliance,
FCH Compliance GmbH

 

Die DSGVO steht vor der Tür und mittlerweile ist eines klar: Sie richtet zahlreiche Anforderungen an Unternehmen. Unklar bleibt allerdings häufig, was sich geändert hat und was konkret zu tun ist. Bei den umfangreichen Beiträgen und Umsetzungstipps, die im Netz zu finden sind, besteht außerdem das Risiko, die wesentlichen To-dos aus den Augen zu verlieren.

Die folgende Checkliste soll Sie deshalb dabei unterstützen, einige zentrale Umsetzungsthemen noch einmal zu fokussieren und die Umsetzung im Unternehmen gezielt zu überwachen.

  • Betroffene wurden bzw. werden bei Erhebung personenbezogener Daten gem. Art. 13, 14 und 21 DSGVO über die Verarbeitung und deren Inhalte informiert.
  • Der Datenschutzhinweis auf der Website wurde an die DSGVO angepasst. Neben den Informationspflichten gem. Art. 13, 14 und 21, werden Tracking-Tools und Empfänger in Drittstaaten (außerhalb der EU) aufgeführt.
  • in Verarbeitungsverzeichnis (Verzeichnis mit allen Prozessen/Verarbeitungen, in denen personenbezogene Daten verarbeitet werden) wurde erstellt. Die Inhalte orientieren sich an Art. 30 DSGVO.
  • Ein Verzeichnis technischer und organisatorischer Maßnahmen (Art. 32), welche das Risiko von Datenschutzverstößen reduzieren und die Einhaltung des Datenschutzes unterstützen wurde erstellt.
  • Eine Arbeitsanweisung/Datenschutzrichtlinie mit Anhängen und Vorlagen, welche die Handhabung des Datenschutzes in Ihrem Unternehmen aufzeigt, wurde erstellt und den Mitarbeitern zur Verfügung gestellt.
  • Alle Mitarbeiter wurden bzw. werden gem. dem Datenschutz auf die Vertraulichkeit verpflichtet.
  • Auftragsverarbeitungen werden mit dem Verarbeitungsverzeichnis verknüpft.
  • Auftragsverarbeiter erhalten einen Auftragsverarbeitungsvertrag gem. Art 28., welcher die Grundlage für die Übermittlung personenbezogener Daten darstellt.
  • Für Verarbeitungen im Auftrag (Ihr Unternehmen ist Auftragnehmer, erhält also personenbezogene Daten) sind ebenfalls Auftragsverarbeitungsverträge abzuschließen.
  • Bei Videoüberwachungen werden Betroffene zum frühestmöglichen Zeitpunkt über die Verarbeitung informiert. Das Unternehmen kommt seinen Kennzeichnungspflichten (Hinweis zur Videoüberwachung, Name und Kontaktdaten des Hauptsitzes der verarbeitenden Stelle) nach.
  • Ein Löschkonzept (wann sind personenbezogene Daten gelöscht) wurde erstellt. Die Umsetzung wurde begonnen.
  • Die Bewertung und der Umgang mit Datenschutzrisiken sind erfolgt.
  • Die Umsetzung von Betroffenenrechten (Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrechte, …) wurde vorgenommen.
  • Für personenbezogene Daten, welche nicht ausdrücklich für die Durchführung eines Vertrags notwendig sind, wurden Einwilligungserklärungen eingeholt. Dies betrifft sowohl Kunden, Mitarbeiter und Nicht-Kunden.
  • Ein Datenschutzbeauftragter wurde bestellt. Wenn mindestens zehn Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten betraut sind, ist ein Datenschutzbeauftragter zu bestellen. Dieser wurde an die zuständige Aufsichtsbehörde gemeldet.