Welche Anforderungen müssen erfüllt werden?
Mit der Verabschiedung der DSGVO am 25.Mai 2016, war schon damals klar, dass die Aufsichtsbehörden verstärkt anhaltlos Prüfungen abhalten werden. Ab 25. Mai 2018 muss die Aufsichtsbehörde jeden Verstoß gegen das Datenschutzrecht bestrafen. Vor dem Hintergrund der angehobenen Bußgelder von bis zu 20 Mio. € ist Dies als sehr kritisch anzusehen.
Struktur und Verantwortlichkeit im Unternehmen:
Vorhandensein einer Datenschutzleitlinie, Beschreibung der Datenschutzziele, Regelung der Verantwortlichkeiten, Bewusstsein über Datenschutzrisiken, Transparenz über Zielkonflikte (z.B. zwischen Marketing- und Rechtsabteilung).
Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten? Gemeldet nach Art. 37 Abs. 8 DSGVO?
Übersicht der Verarbeitungen:
- Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art. 30 DSGVO?
- Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design –Art. 25 DSGVO)?
Auftragsdatenverarbeitung:
- Haben Sie Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter) eingebunden?
- Wenn ja, haben Sie mit allen Ihren Auftragsverarbeitern die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DSGVO abgeschlossen?
Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte:
- Haben Sie Ihre Texte zur datenschutzrechtlichen Information der betroffenen Personen bei der Datenerhebung an die Anforderungen nach Art. 13 bzw. 14 DSGVO angepasst?
- Haben Sie insbesondere folgende Informationen neu aufgenommen, sofern nicht bereits vorher enthalten DSGVO: Wie erstellt man eine Datenschutzerklärung?
- Haben Sie Ihre Werbe-Einwilligungserklärungen für Kunden, Interessenten usw., an die Anforderungen von Art. 7 und 13 DSGVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?
- Haben Sie ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den eigenen Daten nach Art. 15 DSGVO zeitnah und vollständig erfüllen zu können (Art. 12 Abs. 1 DSGVO)?
Verantwortlichkeit, Umgang mit Risiken:
- Gibt es für jede Verarbeitungstätigkeit Angaben, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung nach-weisen können, z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern und/oder Löschfristen (Art. 5 Abs. 2 DSGVO)?
- Haben Sie geprüft, ob die Einwilligungen, auf die Sie eine Verarbeitung stützen, noch den Voraussetzungen der Art. 7 und/oder 8 DSGVO entsprechen?
- Können Sie das Vorliegen der Einwilligung nachweisen?
- Haben Sie einen Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DSGVO erfolgt (Art 24 Abs. 1 DSGVO)?
- Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DSGVO angepasst?
- Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?
- Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und Verbesse-rung der Security-Maßnahmen umgesetzt?
- Wurden Schutzmaßnahmen wie Pseudonymisierung und der Einsatz von kryptographischen Verfahren zum Schutz vor unbefugten oder unrechtmäßigen Verarbeitungen sowohl bezüglich externer als auch interner „Angreifer“ umgesetzt?
- Haben Sie sich auf die evtl. Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung vorbereitet?
Datenschutzverletzungen:
- Haben Sie gem. Art. 33 DSGVO sichergestellt, dass die Meldung von Verletzungen des Schutzes perso-nenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde möglich ist?
- Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrem Unternehmen erkannt wer-den können. Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos bzw. eines hohen Risi-kos in Ihrem Unternehmen eingeführt?
- Haben Sie einen Prozess aufgesetzt, wie mit potentiellen Verletzungen intern umzugehen ist?
- Haben Sie festgelegt, wer, wann und wie mit der Datenschutzaufsichtsbehörde kommuniziert?
Diese Übersicht der Fragen einer Aufsichtsbehörde hat keinen Anspruch auf Vollständigkeit. Viel mehr sollte damit gerechnet werden, dass zahlreiche individuelle Fragestellungen möglich sind.
Gerne unterstützen wir Sie bei der datenschutzkonformen Optimierung Ihres Unternehmens im Hinblick auf die DSGVO.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.