Die DSGVO-Compliance Checklist

DSGVO

Die Einhaltung der Datenschutzgrundverordnung (DSGVO) kann sich mühsam anfühlen – aber das muss nicht sein. Um die Dinge zu vereinfachen, haben wir diese Checkliste zusammengestellt, die Ihnen hilft, die Einhaltung der DSGVO zu verstehen und zu verbessern.

Bitte beachten Sie, dass der Inhalt dieser Checkliste keine Rechtsberatung darstellt. Wenn Sie Ratschläge zur Auslegung dieser Informationen und ihrer Richtigkeit suchen oder Hilfe bei der Anwendung der DSGVO-Gesetze auf Ihre spezifischen Umstände benötigen, empfehlen wir Ihnen, einen auf die Einhaltung der DSGVO spezialisierten Anwalt zu konsultieren.

Datenverantwortliche, Datenverarbeiter und betroffene Personen

Bevor Sie diese Checkliste durchgehen, müssen Sie feststellen, welche Punkte der DSGVO auf Sie und Ihr Unternehmen oder Ihre Organisation zutreffen. Hier unterscheiden wir zwischen Punkten, die für die betroffene Person, den Datenverantwortlichen und den Datenverarbeiter relevant sind.

Um schnell durch die unten stehende Checkliste zu navigieren, wählen Sie Ihre Rolle aus, um nur die für Sie und Ihr Unternehmen relevanten Punkte der Checkliste anzuzeigen.

Das Datensubjekt

Das Datensubjekt ist der Nutzer: die natürliche Person oder das Individuum, dessen personenbezogene Daten erhoben, gespeichert oder verarbeitet werden. Das bedeutet, dass die betroffene Person jede natürliche Person ist, die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu spezifischen Elementen der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität identifiziert werden kann.

Der Datenverantwortliche

Der Datenschutzverantwortliche ist die Stelle – die Person, Organisation usw. – die bestimmt, zu welchen Zwecken und wie personenbezogene Daten verarbeitet werden. Das heißt, wenn Ihr Unternehmen oder Ihre Organisation entscheidet, „warum“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es der Datenverantwortliche.

Wenn Ihr Unternehmen oder Ihre Organisation das „Warum“ und „Wie“ der Verarbeitung personenbezogener Daten gemeinsam mit einer oder mehreren Organisationen festlegt, ist es ein gemeinsamer Datenverantwortlicher. Gemeinsam mit dem Datenverantwortlichen muss eine Vereinbarung getroffen werden, in der die jeweiligen Aufgaben und Verantwortlichkeiten für die Einhaltung der Vorschriften der DSGVO festgelegt sind.

Die Checkliste zur Einhaltung der DSGVO

GDPR Checklist

Nutzerrechte

Mehr erfahren:

DSGVO Artikel 12 – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte des Datensubjekts

Relevant für: betroffene Personen

Mehr erfahren:

DSGVO Artikel 13 – Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen Person

DSGVO Artikel 14 – Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden

Relevant für: betroffene Personen

Mehr erfahren:

DSGVO Artikel 15 – Recht auf Auskunft durch die betroffene Person

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 16 – Recht auf Berichtigung

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 18 – Recht auf Einschränkung der Verarbeitung

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 19 – Meldepflicht zur Berichtigung oder Löschung personenbezogener Daten oder zur Einschränkung der Verarbeitung

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 20 – Recht auf Datenübertragbarkeit

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 21 – Recht auf Widerspruch

Relevant für: Betroffene Personen

Mehr erfahren:

DSGVO Artikel 22 – Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling

Relevant für: Betroffene Personen

Rechtmäßige Grundlage und Transparenz

Mehr erfahren:

DSGVO Artikel 6 – Rechtmäßigkeit der Verarbeitung

Relevant für: Datenverantwortliche

Mehr erfahren:

DSGVO Artikel – Transparente Information, Kommunikation und Modalitäten

DSGVO Artikel 30 – Aufzeichnungen über Verarbeitungstätigkeiten

Relevant für: Datenschutbeauftragte und Datenverarbeiter

Daten und Sicherheit

Relevant für: Datenverantwortliche und Datenverarbeiter

Mehr erfahren:

DSGVO Artikel 25 – Datenschutz durch Design und durch Voreinstellungen

DSGVO Artikel 30 – Aufzeichnungen über Verarbeitungstätigkeiten

Relevant für. : data controllers and data processors

Even if your technical security is robust and operational security can still be a weak link. To minimise security risks, train your staff to be aware of data protection. Employees who have access to personal data and non-technical employees should receive extra training in GDPR requirements.

Learn more:

GDPR Article 25 – Data protection by design and by default

Relevant für: Datenverarbeiter

Verwaltung und Rechenschaftspflicht

Die von Ihnen ernannte Person sollte befugt sein, die Datenschutzpolitik und deren Umsetzung zu bewerten.

Mehr erfahren:

DSGVO Artikel 25 – Datenschutz durch Design und durch Voreinstellungen

Relevant für: Datenverarbeiter

Mehr erfahren:

DSGVO Artikel 37 – Benennung des Datenschutzbeauftragten

Relevant für: Datenverantwortliche und Datenverarbeiter

Mehr erfahren:

DSGVO Artikel 25 – Datenschutz durch Design und durch Voreinstellungen

Relevant für: Datenverantwortliche und Datenverarbeiter

Mehr erfahren:

DSGVO Artikel 28 – Prozessor

Relevant für: Datenverarbeiter

Mehr erfahren:

DSGVO Artikel 27 – Vertreter von nicht in der Union ansässigen für die Verarbeitung Verantwortlichen oder Verarbeitern

Relevant für: Datenverantwortliche und Datenverarbeiter

Um die Datenschutzrisiken eines Projekts zu ermitteln und zu minimieren, müssen Sie eine DSFA für Verarbeitungen durchführen, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen. Sie müssen sowohl die Wahrscheinlichkeit als auch die Schwere der Auswirkungen auf natürliche Personen berücksichtigen, um den Grad des Risikos zu bewerten.

Mehr erfahren:

DSGVO Artikel 35 – Datenschutzfolgenabschätzung

Relevant für: Datenverantwortliche und Datenverarbeiter

Im Falle einer Verletzung des Schutzes personenbezogener Daten sollten Sie die Verletzung innerhalb von 72 Stunden nach ihrer Entdeckung der örtlichen Behörde melden. Darüber hinaus sollten Sie die Art der Datenverletzung, die Anzahl der betroffenen Personen, die wahrscheinlichen Folgen der Datenverletzung und die Maßnahmen, die Sie zur Behebung der Verletzung des Schutzes personenbezogener Daten ergriffen haben, mitteilen. Sofern die durchgesickerten personenbezogenen Daten nicht verschlüsselt waren, sollten Sie auch die betroffene Person, deren Daten Sie verloren haben, über die Datenschutzverletzung informieren.

Mehr erfahren:

DSGVO Artikel 33 – Benachrichtigung der Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten

DSGVO Artikel 34 – Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person

Relevant für: Datenverantwortliche und Datenverarbeiter

Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

Die Europäische Kommission ist befugt zu entscheiden, ob ein Land außerhalb der EU ein angemessenes Datenschutzniveau bietet. Nur wenn die Kommission feststellt, dass ein angemessenes Schutzniveau gewährleistet ist, dürfen Sie personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln. Zu den Ausnahmen für bestimmte Situationen gehören unter anderem die Bedingungen, unter denen die betroffene Person der geplanten Übermittlung ausdrücklich zugestimmt hat und die Übermittlung aus wichtigen Gründen des öffentlichen Interesses erforderlich ist.

Mehr erfahren:

DSGVO Artikel 45 – Übermittlungen auf der Grundlage einer Angemessenheitsentscheidung
DSGVO Artikel 46 – Übermittlungen, die angemessenen Garantien unterliegen
DSGVO Artikel 49 – Ausnahmen für besondere Situationen

Relevant für: Datenverantwortliche und Auftragsverarbeiter

Datenschutzrechte

Ihre Kunden haben das Recht zu erfahren, welche persönlichen Daten Sie über sie haben, wie Sie sie verwenden, wie lange Sie sie speichern wollen und warum Sie sie für diese Dauer aufbewahren.

Mehr erfahren:

GDPR Artikel 15 – Auskunftsrecht der betroffenen Person

Relevant für: Datenschutzbauftragte und Datenverarbeiter

Learn more:

DSGVO Artikel 15 – Recht auf Auskunft durch die betroffene Person

Relevant für: Datenschutzbauftragte und Datenverarbeiter

Mehr erfahren:

DSGVO Artikel 17 – Recht auf Löschung (‚Recht auf Vergessenwerden‘)

Relevant für: Datenverantwortliche und Datenverarbeiter

Weitere Informationen:

DSGVO Artikel 18 – Recht auf Einschränkung der Verarbeitung

Relevant für: Datenverantwortliche und Datenverarbeiter

Weitere Informationen:

DSGVO Artikel 20 – Recht auf Datenübertragbarkeit

Relevant für: Datenverantwortliche und Datenverarbeiter

Dies gilt nur, wenn Sie automatisierte Prozesse verwenden, um Entscheidungen über Personen zu treffen, die rechtliche oder „ähnlich bedeutende“ Auswirkungen haben. Wenn Sie der Meinung sind, dass dies auf Sie zutrifft, müssen Sie ein Verfahren einrichten, das den Schutz der Rechte, Freiheiten und berechtigten Interessen von Personen gewährleistet.

Mehr erfahren:

DSGVO Artikel 22 – Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling

Relevant für: Datenverantwortliche

Einwilligung

Mehr erfahren:

DSGVO Artikel 7 – Bedingungen für die Zustimmung

Relevant für: Datenverantwortliche

Mehr erfahren:

DSGVO Artikel 7 – – Bedingungen für die Zustimmung

Relevant für: Datenverantwortliche

Für Kinder unter 16 Jahren muss ein Erziehungsberechtigter die Zustimmung zur Datenverarbeitung geben. Wenn die Einwilligung über Ihre Website erteilt wird, sollten Sie sich nach besten Kräften vergewissern, dass die Zustimmung tatsächlich vom Erziehungsberechtigten und nicht vom Kind erteilt wurde.

Erfahren Sie mehr:

DSGVO Artikel 8 – Bedingungen für die Einwilligung des Kindes in Bezug auf Dienste der Informationsgesellschaft

Relevant für: Datenverantwortliche

Weitere Informationen:

DSGVO Artikel 7 – Bedingungen für die Einwilligung

Relevant für: Datenverantwortliche

Follow-up

Learn more:

DSGVO Artikel 25 – Datenschutz durch Technik und durch Voreinstellungen

Relevant für: Datenverarbeiter