Stand des Datenschutzes
Mit den nachstehenden 15 Fragen können Sie sich im Stil einer Checkliste einen Überblick über den Stand der Organisation des Datenschutzes in Ihrem Unternehmen verschaffen.
1. Sind die Mitarbeiterschulungen organisiert?
Sämtliche Mitarbeiter des Unternehmens, die personenbezogene Datenverarbeitungen durchführen, sind über ihre Pflichten zum Datenschutz zu informieren. Der Datenschutzbeauftragte berät Sie dazu gemäß Art. 39 DSGVO.
2. Ist das Verzeichnis der Verarbeitungstätigkeiten für die internen Verfahren und für die Verfahren von Auftraggebern in Auftragsverarbeitungsverhältnissen, einschließlich des Internet-Auftritts und einer eventuellen Videobeobachtung erstellt?
Gemäß Art 30 Abs. 1 DSGVO muss jedes Unternehmen das Verzeichnis der Verarbeitungstätigkeiten für die internen Verfahren und die Verfahren als Auftraggeber eines Auftragsverarbeitungsverhältnisses führen.
3. Ist das Verzeichnis der Verarbeitungstätigkeiten für die Verfahren als Auftragnehmer eines Auftragsverarbeitungsverhältnisses erstellt?
Gemäß Art 30 Abs. 1 DSGVO muss jedes Unternehmen das Verzeichnis der Verarbeitungstätigkeiten die Verfahren als Auftragnehmer eines Auftragsverarbeitungsverhältnisses führen.
4. Ist die private Nutzung der unternehmenseigenen ITK-Technik durch die Mitarbeiter oder die unternehmerischen Nutzung privater Geräte unter Beachtung der rechtlichen Folgen geregelt?
Die private Nutzung unternehmenseigener ITK-Technik durch die Mitarbeiter oder die unternehmerische Nutzung privater Geräte sollte unter Beachtung der rechtlichen Folgen geregelt werden. Wenn sie nicht geregelt ist, gilt sie nach übereinstimmender Ansicht der Datenschutz-Aufsichtsbehörden als erlaubt.
Bei den rechtlichen Folgen sind insbesondere zu beachten:
– Kontrollverbot bei erlaubter oder nicht geregelter privater Nutzung
– Verbot der E-Mail-Archivierung privater E-Mails bei erlaubter oder nicht geregelter privater Nutzung
5. Sind die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit festgelegt?
Gemäß Art. 32 DSGVO sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der personenbezogenen Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, damit ein dem Risiko angemessenes Schutzniveau gewährleistet ist.
6. Ist die Verarbeitung besonderer Arten personenbezogener Daten gemäß Art. 9 und 10 DSGVO organisiert?
Besondere Kategorien personenbezogener Daten dürfen nur in den in Art. 9 Abs. 2 DSGVO genannten Fällen verarbeitet werden. Personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten dürfen gemäß Art. 10 DSGVO nur unter behördlicher Aufsicht verarbeitet werden.
7. Sind die Auftragsverarbeitungsverträge erstellt?
Im Fall einer Auftragsverarbeitung ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein Vertrag gemäß Art. 28 DSGVO zu schließen.
8. Ist die Datenschutzrichtlinie in Kraft gesetzt?
In einer Datenschutzrichtlinie positioniert sich die Geschäftsleitung eines Unternehmens gegenüber der Belegschaft und ihren Kunden zum Datenschutz und legt die geltenden unternehmerischen Grundsätze des Datenschutzes fest. Eine Datenschutzrichtlinie ist nicht gesetzlich vorgeschrieben, erleichtert aber die Organisation des Datenschutzes in Unternehmen und ist eine Hilfe bei Prüfungen durch die Datenschutz-Aufsichtsbehörde.
9. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?
Gemäß Art. 35 DSGVO muss der Verantwortliche bei Verarbeitungen, die auf Grund der Art, des Umfangs und anderer Umstände voraussichtlich ein hohes Risiko für die Recht und Freiheiten natürlicher Personen zur Folge haben, eine Abschätzung der Folgen der Datenverarbeitung durch, die die zur Abwendung der Risiken geplanten Abhilfemaßnahmen enthält.
10. Ist die Gewährleistung der Betroffenenrechte organisiert?
Das Unternehmen muss alle Mitteilungen gemäß den Art. 15 bis 22 und 34 DSGVO (Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung oder Einschränkung, Recht auf Datenübertragbarkeit, Widerspruchsrecht, automatisierte Entscheidung im Einzelfall, Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten) übermitteln.
11. Sind die Meldungen bei Verletzung des Schutzes personenbezogener Daten organisiert?
Das Unternehmen muss gemäß Art. 33 DSGVO im Fall der Verletzung des Schutzes personenbezogener Daten die Verletzung unverzüglich und möglichst binnen 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde melden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Darüber hinaus muss das Unternehmen gemäß Art. 34 DSGVO die betroffenen Personen über die Verletzung informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen hat.
12. Wurde der Datenverkehr in der Unternehmensgruppe organisiert?
Für personenbezogene Datenverarbeitungen innerhalb von Unternehmensgruppen sollten geeignete Verträge ausgearbeitet werden, die die personenbezogene Verarbeitung auf der Basis von Art. 6 Abs. 1 lit. f DSGVO absichern.
13. Werden die Informationspflichten erfüllt?
Nach den Art. 13 und 14 DSGVO (Informationen bei der Erhebung personenbezogener Daten) müssen die betroffenen Personen informiert werden, wenn über sie personenbezogene Daten erhoben werden.
14. Sind die Kontaktdaten des Datenschutzbeauftragten bekanntgemacht?
Gemäß Art. 37 Abs. 7 DSGVO muss das Unternehmen die Kontaktdaten des Datenschutzbeauftragten veröffentlichen.
15. Wurde der Datenschutzbeauftragte an die zuständige Datenschutz-Aufsichtsbehörde gemeldet?
Gemäß Art. 37 Abs. 7 DSGVO muss das Unternehmen die Kontaktdaten des Datenschutzbeauftragten der zuständigen Datenschutz-Aufsichtsbehörde mitteilen.