Auch mehrere Monate nach Wirksamwerden der DSGVO sind sich noch viele Unternehmen unsicher, ob sie die strengen Anforderungen erfüllen. Rechtsanwältin Kathrin Schürmann hat daher eine Checkliste für Unternehmen entwickelt.
Rechtsgrundlagen
Auch unter der DSGVO ist für die Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage erforderlich (Verbot mit Erlaubnisvorbehalt). Eine Datenverarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist, ein berechtigtes Interesse für die Datenverarbeitung besteht oder eine Einwilligung des Betroffenen vorliegt.
Haben Sie für alle Datenverarbeitungsvorgänge eine Rechtsgrundlage geprüft und dokumentiert?
Verträge/Regularien
Unternehmen sollten ihre bestehenden Verträge zur Auftragsverarbeitung nach Artikel 28 DSGVO überprüfen. Auch bestehende Geschäftsprozesse und Richtlinien, wie z.B. Dienstvereinbarungen, sollten überprüft werden, ob sie mit den Anforderungen der DSGVO vereinbar sind.
Haben Sie alle Auftragsverarbeitungsverträge und Richtlinien geprüft und evtl. angepasst?
Informationspflichten/Datenschutzerklärung
Die DSGVO schreibt vor, dass der von der Datenverarbeitung betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck und die Dauer der Datenverarbeitung mitgeteilt werden. Zudem ist über die Auskunfts- und Widerspruchsrechte zu informieren und die Rechtsgrundlage der Datenverarbeitung zu nennen. Das gilt gegenüber Mitarbeitern, Geschäftspartnern und Kunden. Entsprechende Informationen sind zur Verfügung zu stellen, z.B. in der Datenschutzerklärung.
Haben Sie alle Informationspflichten erfüllt und die Datenschutzerklärung angepasst?
Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung ist Pflicht, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat.
Haben Sie Datenschutz-Folgenabschätzungen durchgeführt und dokumentiert?
Datenpannen
Bezüglich Datenpannen sind die unternehmensinternen Prozesse darauf zu überprüfen, ob Notfallsysteme existieren, die Mitarbeitern etwa darüber Auskunft geben, wie Cyber-Angriffe technisch abzuwehren sind, wie die Meldepflichten gemäß Art. 33 und 34 DSGVO umzusetzen sind und welche Mitarbeiter des Unternehmens als Ansprechpartner dienen.
Haben Sie für Datenpannen einen dokumentierten Prozess?
Betroffenenrechte
Die in der DSGVO geregelten Betroffenenrechte müssen in den Geschäftsabläufen des Unternehmens abgebildet und gegenüber den Betroffenen umgesetzt werden. Hierzu gehören etwa das Recht auf Löschung und Datenübertragbarkeit. Haben Sie für die Betroffenenrechte einen dokumentierten Prozess? Dokumentation Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, müssen in ein Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen und ständig aktualisiert werden. Die Dokumentationspflichten dienen der betrieblichen Selbstkontrolle sowie der effektiven Überprüfung durch die Aufsichtsbehörde.
Haben Sie alle Prozesse im VVT dokumentiert?
Mitarbeiter schulen
Geschäftsleitung und andere für das Thema Datenschutz Zuständige sollten innerhalb des Unternehmens für den Schutz personenbezogener Daten sensibilisieren. Zudem ist Unternehmen zu empfehlen, Mitarbeiter bezüglich der Neuerungen der DSGVO zu schulen.
Haben Sie Schulungen durchgeführt?
