Die Einhaltung der Datenschutzgrundverordnung (DSGVO) kann sich mühsam anfühlen – aber das muss nicht sein. Um die Dinge zu vereinfachen, haben wir diese Checkliste zusammengestellt, die Ihnen hilft, die Einhaltung der DSGVO zu verstehen und zu verbessern.
Bitte beachten Sie, dass der Inhalt dieser Checkliste keine Rechtsberatung darstellt. Wenn Sie Ratschläge zur Auslegung dieser Informationen und ihrer Richtigkeit suchen oder Hilfe bei der Anwendung der DSGVO-Gesetze auf Ihre spezifischen Umstände benötigen, empfehlen wir Ihnen, einen auf die Einhaltung der DSGVO spezialisierten Anwalt zu konsultieren.
Datenverantwortliche, Datenverarbeiter und betroffene Personen
Bevor Sie diese Checkliste durchgehen, müssen Sie feststellen, welche Punkte der DSGVO auf Sie und Ihr Unternehmen oder Ihre Organisation zutreffen. Hier unterscheiden wir zwischen Punkten, die für die betroffene Person, den Datenverantwortlichen und den Datenverarbeiter relevant sind.
Um schnell durch die unten stehende Checkliste zu navigieren, wählen Sie Ihre Rolle aus, um nur die für Sie und Ihr Unternehmen relevanten Punkte der Checkliste anzuzeigen.
Das Datensubjekt
Das Datensubjekt ist der Nutzer: die natürliche Person oder das Individuum, dessen personenbezogene Daten erhoben, gespeichert oder verarbeitet werden. Das bedeutet, dass die betroffene Person jede natürliche Person ist, die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu spezifischen Elementen der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität identifiziert werden kann.
Der Datenverantwortliche
Der Datenschutzverantwortliche ist die Stelle – die Person, Organisation usw. – die bestimmt, zu welchen Zwecken und wie personenbezogene Daten verarbeitet werden. Das heißt, wenn Ihr Unternehmen oder Ihre Organisation entscheidet, „warum“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen, ist es der Datenverantwortliche.
Wenn Ihr Unternehmen oder Ihre Organisation das „Warum“ und „Wie“ der Verarbeitung personenbezogener Daten gemeinsam mit einer oder mehreren Organisationen festlegt, ist es ein gemeinsamer Datenverantwortlicher. Gemeinsam mit dem Datenverantwortlichen muss eine Vereinbarung getroffen werden, in der die jeweiligen Aufgaben und Verantwortlichkeiten für die Einhaltung der Vorschriften der DSGVO festgelegt sind.
Relevant für. : data controllers and data processors
Even if your technical security is robust and operational security can still be a weak link. To minimise security risks, train your staff to be aware of data protection. Employees who have access to personal data and non-technical employees should receive extra training in GDPR requirements.
Relevant für: Datenverantwortliche und Datenverarbeiter
Um die Datenschutzrisiken eines Projekts zu ermitteln und zu minimieren, müssen Sie eine DSFA für Verarbeitungen durchführen, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen. Sie müssen sowohl die Wahrscheinlichkeit als auch die Schwere der Auswirkungen auf natürliche Personen berücksichtigen, um den Grad des Risikos zu bewerten.
Relevant für: Datenverantwortliche und Datenverarbeiter
Im Falle einer Verletzung des Schutzes personenbezogener Daten sollten Sie die Verletzung innerhalb von 72 Stunden nach ihrer Entdeckung der örtlichen Behörde melden. Darüber hinaus sollten Sie die Art der Datenverletzung, die Anzahl der betroffenen Personen, die wahrscheinlichen Folgen der Datenverletzung und die Maßnahmen, die Sie zur Behebung der Verletzung des Schutzes personenbezogener Daten ergriffen haben, mitteilen. Sofern die durchgesickerten personenbezogenen Daten nicht verschlüsselt waren, sollten Sie auch die betroffene Person, deren Daten Sie verloren haben, über die Datenschutzverletzung informieren.
Relevant für: Datenverantwortliche und Datenverarbeiter
Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
Die Europäische Kommission ist befugt zu entscheiden, ob ein Land außerhalb der EU ein angemessenes Datenschutzniveau bietet. Nur wenn die Kommission feststellt, dass ein angemessenes Schutzniveau gewährleistet ist, dürfen Sie personenbezogene Daten an ein Drittland oder eine internationale Organisation übermitteln. Zu den Ausnahmen für bestimmte Situationen gehören unter anderem die Bedingungen, unter denen die betroffene Person der geplanten Übermittlung ausdrücklich zugestimmt hat und die Übermittlung aus wichtigen Gründen des öffentlichen Interesses erforderlich ist.
Relevant für: Datenverantwortliche und Auftragsverarbeiter
Datenschutzrechte
Ihre Kunden haben das Recht zu erfahren, welche persönlichen Daten Sie über sie haben, wie Sie sie verwenden, wie lange Sie sie speichern wollen und warum Sie sie für diese Dauer aufbewahren.
Relevant für: Datenverantwortliche und Datenverarbeiter
Dies gilt nur, wenn Sie automatisierte Prozesse verwenden, um Entscheidungen über Personen zu treffen, die rechtliche oder „ähnlich bedeutende“ Auswirkungen haben. Wenn Sie der Meinung sind, dass dies auf Sie zutrifft, müssen Sie ein Verfahren einrichten, das den Schutz der Rechte, Freiheiten und berechtigten Interessen von Personen gewährleistet.
Für Kinder unter 16 Jahren muss ein Erziehungsberechtigter die Zustimmung zur Datenverarbeitung geben. Wenn die Einwilligung über Ihre Website erteilt wird, sollten Sie sich nach besten Kräften vergewissern, dass die Zustimmung tatsächlich vom Erziehungsberechtigten und nicht vom Kind erteilt wurde.