Bis zum 25. Mai 2018 müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet  ist betroffen. Sie sind betroffen, wenn Sie z.B. Lieferantendaten haben, eine Kundendatei führen oder Rechnungen ausstellen.

Um Geldstrafen und Streitigkeiten in Bezug auf die neuen Verordnungen zu vermeiden, soll die folgende Checkliste dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung der richtigen Maßnahmen rechtzeitig zu setzen.

1. Planung

  • Eine zuständige Person auswählen, die die Anpassung leitet
  • Wenn nötig Team von internen und externen Experten zusammenstellen
  • Zeit- und Budget-Plan erstellen und Milestones definieren

 

2. Ist-Zustand ermitteln und den gewünschten Soll-Zustand festsetzten

  • Welche von der DSGVO betroffenen Daten werden verarbeitet?
    • Sensible Daten, Gesundheitsdaten, Profiling, Personen unter 16 Jahren?
  • Was sind die Zwecke meiner Datenverarbeitungen?
  • Was ist die Rechtsgrundlage der Datenverarbeitung?
    • Liegt eine Einwilligung vor? Werden ausdrückliche Einwilligungen benötigt?
  • Werden Auftragsverarbeiter herangezogen?
    • Gibt es schriftliche Vereinbarungen für die Auftragsverarbeitung?
    • Weist der Auftragsverarbeiter die erforderliche Zuverlässigkeit auf?
  • Wie werden die Informationspflichten und Betroffenenrechte (nach der DSGVO) erfüllt?
    • Lesen Sie dafür unseren Blogpost „Vom „Recht auf Vergessenwerden“ bis zu höheren Geldstrafen – was die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) mit sich bringt“
  • Welche Datensicherheitsmaßnahmen sind vorhanden?
  • Werden die Vorgaben des Datenschutzes bereits erreicht oder muss dieser erhöht werden?
  • Besteht für meine Datenverarbeitungen Dokumentationspflicht?
  • Wie wird die Dokumentationspflicht erfüllt (mehr als 250 Mitarbeiter oder die anderen Kriterien müssen erfüllt werden)?
  • Brauche ich einen Datenschutzbeauftragten?
  • Welche Vorkehrungen gegen Datenschutzverletzungen wurden bisher in meinem Unternehmen getroffen?
  • Ist für meine Datenverarbeitungen eine Risiko-Folgenabschätzung durchzuführen?
    • Welche Risiken aus der Datenverarbeitung ergeben sich für die Rechte und Freiheiten der Betroffenen?
    • Ist es möglich das Risiko zu minimieren?
  • Ist eine vorherige Konsultation der Aufsichtsbehörde nötig?
  • Besteht Datenverkehr mit dem EU-Ausland?
  • Sind Klauseln zum Arbeitnehmerdatenschutz in Verträgen nötig bzw vorhanden?

 

3. Gewünschten Soll-Zustand festsetzen

  • Basierend auf dem erhobenen Ist-Stand und den gesetzlichen Zielen sind konkrete Umsetzungspläne zu entwickeln.
  • Dabei ist zu beachten:
    • Maßnahmenplane festlegen und Zielerreichung laufend überprüfen
    • Die dafür nötigen Ressourcen sicherstellen und zeitlich einplanen
    • einzelne Projekte wenn nötig priorisieren und Abhängigkeiten untereinander berücksichtigen
    • sofern nötig externe Experten als Unterstützung der Umsetzung auswählen und kontaktieren

 

  • Wenngleich für einzelne Anforderungen der DSGVO teils detaillierte Regeln einzuhalten sind, sollten Sie bei der Umsetzung stets die folgenden Ziele vor Augen haben:
    • Datenverarbeitungen müssen DSGVO-konform sein (dies ist vom „Verantwortlichen“ sicherzustellen; siehe dazu den Blogeintrag „Die Pflichten des Verantwortlichen“)
    • Alle Grundsätze der Erhebung und Verarbeitung sind einzuhalten (siehe dazu „Welche Grundsätze müssen bei der Erhebung und Verarbeitung der Daten eingehalten werden?“)
    • Verantwortungsbewusster Umgang mit Daten
    • Haftungen und Sanktionen vermeiden
    • Kunden die Sicherheit geben mit Ihren Daten verantwortungsvoll umzugehen