EU-Datenschutz

Grundverordnung Newsletter Nr. 7

Fragebogen zur Umsetzung der DS-GVO
Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 wird sich der Datenschutz in Unternehmen verändern. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen Fragebogen zum neuen Datenschutz (sog. "DS-GVO-Prüffragebogen") formuliert. Damit möchte es Unternehmen eine Checkliste an die Hand geben. Wer sich auf die DS-GVO vorbereiten möchte, kann diesen Fragenbogen verwenden und in seinem Betrieb einen Datenschutz-Check durchführen.
Gleichzeitig können sich Unternehmen mit dem Fragebogen auf eine eventuelle Prüfung durch die Datenschutzaufsichtsbehörde vorbereiten. Unternehmen können über diese Datenschutz-Checkliste ermitteln, was bereits umgesetzt worden ist und an welchen Stellen nachgebessert werden sollte. Dazu gehören:
  • Struktur und Verantwortlichkeit im Unternehmen: Gibt es eine Datenschutzleitlinie? Wie sind die Verantwortlichkeiten für den Datenschutz geregelt?
  • Gibt es im Unternehmen einen Datenschutzbeauftragten?
  • Gibt es eine Übersicht über die Verarbeitung personenbezogener Daten in Ihrem Unternehmen?
  • Haben Sie Externe zur Verarbeitung (Auftragsverarbeiter) solcher Daten eingebunden und ist dies ordentlich dokumentiert? Sind Vereinbarungen mit Dienstleistern abgeschlossen und dokumentiert?
  • Ist die Verarbeitung personenbezogener Daten transparent? Sind die Informationspflichten erfüllt und die Texte an die neuen Vorgaben der DS-GVO angepasst?
  • Für den Umgang mit Risiken: Haben Sie die Rechtmäßigkeit Ihrer Verarbeitung niedergelegt und liegen alle erforderlichen Einwilligungen vor?
  • Datenschutz-Folgenabschätzung: Haben Sie in Ihrem Unternehmen geklärt, ob eine Datenschutz-Folgenabschätzung notwendig ist? Wenn ja, haben Sie bereits eine Methode dafür festgelegt?
  • Ist bei Datenschutzverletzungen in Ihrem Unternehmen sichergestellt, dass die Aufsichtsbehörde innerhalb von 72 Stunden darüber informiert wird?

Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018

I. Struktur und Verantwortlichkeit im Unternehmen
1.
  • Gibt es das Bewusstsein im Unternehmen, dass Datenschutz Chefsache ist, beispielsweise durch
  • Vorhandensein einer Datenschutzleitlinie
  • Beschreibung der Datenschutzziele
  • Regelung der Verantwortlichkeiten
  • Bewusstsein über Datenschutzrisiken
  • Transparenz über Zielkonflikte (z.B. zwischen Marketing- und Rechtsabteilung)
2.
  • Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten?
  • Wenn nein, warum nicht?
  • Wenn ja, ist geklärt, wann er von wem einzubeziehen ist?
  • Wenn ja, ist er schon gem. Art. 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet?
II. Übersicht über Verarbeitungen
1.
  • Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art. 30 DS-GVO?
  • Wenn nein, warum nicht? Ist das dokumentiert?
  • Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jedenProzesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design –Art. 25 DS-GVO)?
III. Einbindung Externer
1.
  • Haben Sie Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter) eingebunden?
  • Wenn ja, haben Sie eine Übersicht über die Auftragsverarbeiter?
  • Wenn ja, haben Sie mit allen Ihren Auftragsverarbeitern die erforderlichen Vereinbarungen mit demMindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?
IV.Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte
1.
  • Haben Sie Ihre Texte zur datenschutzrechtlichen Information der betroffenen Personen bei der Datenerhe-bung an die Anforderungen nach Art. 13 bzw. 14 DS-GVO angepasst?
  • Wenn nein, warum nicht?
2.
  • Haben Sie insbes. folgende Informationen neu aufgenommen, sofern nicht bereits vorher enthalten:
  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
  • Falls Sie die Verarbeitung mit ihren berechtigten Interessen oder berechtigten Interessen eines Drittenbegründen: die berechtigten Interessen
  • Falls Sie Daten in Drittländer übermitteln: die von Ihnen zum Einsatz gebrachten geeigneten Garantienzum Schutz der Daten (z.B. Standarddatenschutzklauseln)
  • Dauer der Speicherung; sofern nicht möglich, die Kriterien für die Festlegung dieser Dauer
  • Bestehen der Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, auf Widerspruch aufgrund besonderer Situation einer betroffenen Person sowie auf Datenportabilität
  • Sofern Verarbeitung auf Einwilligung beruht: das Recht zum jederzeitigen Widerruf der Einwilligung
  • Recht auf Beschwerde bei der Aufsichtsbehörde
  • Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
  • Sofern einschlägig: die Vornahme einer automatisierten Entscheidungsfindung einschließlich Profilingsowie – in diesem Fall – Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person
  • Sofern Sie die Daten nicht bei der betroffenen Person erhoben haben: aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen
  • Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018
  • BayLDA DS-GVO Fragebogen 2
  • Haben Sie Ihre Werbe-Einwilligungserklärungen für Kunden, Interessenten usw., an die Anforderungen von Art. 7 und 13 DS-GVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?
3.
  • Haben Sie ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Art. 15 DS-GVO zeitnah und vollständig erfüllen zu können (Art. 12 Abs. 1 DS-GVO)?
4.
  • Haben Sie Verfahren eingerichtet, um Anträge auf Datenübertragbarkeit betroffener Personen erfüllen zu können (Art. 20 DS-GVO)?
V. Verantwortlichkeit, Umgang mit Risiken
1.
  • Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung nachweisen können, z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen (Art. 5 Abs. 2 DS-GVO)?
  • Haben Sie geprüft, ob die Einwilligungen, auf die Sie eine Verarbeitung stützen, noch den Voraussetzungen der Art. 7 und/oder 8 DS-GVO entsprechen?
  • Können Sie das Vorliegen der Einwilligung nachweisen?
2.
  • Haben Sie einen Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DS-GVO erfolgt (Art 24 Abs. 1 DS-GVO)?
3.
  • Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DS-GVO angepasst?
  • Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?
  • Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und Verbesse-rung der Security-Maßnahmen umgesetzt?
  • Wurden Schutzmaßnahmen wie Pseudonymisierung und der Einsatz von kryptographischen Verfahren zum Schutz vor unbefugten oder unrechtmäßigen Verarbeitungen sowohl bezüglich externer als auch interner „Angreifer“ umgesetzt?
4.
  • Haben Sie sich auf die evtl. Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung vorbereitet?
  • Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?
  • Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz-Folgenabschätzung in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Prozess der Datenschutz-Folgenabschätzung entschieden; haben Sie diesen schon einmal getestet?
VI. Datenschutzverletzungen
1.
  • Haben Sie gem. Art. 33 DS-GVO sichergestellt, dass die Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde möglich ist?
  • Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrem Unternehmen erkannt werden können. Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos bzw. eines hohen Risikos in Ihrem Unternehmen eingeführt?
  • Haben Sie einen Prozess aufgesetzt, wie mit potentiellen Verletzungen intern umzugehen ist
  • Haben Sie festgelegt, wer, wann und wie mit der Datenschutzaufsichtsbehörde kommuniziert?
Die Richtigkeit der Angaben wird bestätigt:
Datum
Unternehmensleitung
ggf. Datenschutzbeauftragter