Datenschutzagentur Lößl

Wir helfen Ihnen gerne

08041-8084334

DSGVO

DSGVO (Datenschutzgrundverordnung)

Die DSGVO (Datenschutzgrundverordnung) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen, Vereine und öffenltliche Stellen EU-weit geregelt werden. Sie ersetzt das BDSG alt und steht als europäisches Gesetz über den Ländergesetzen.
Die Umsetzung der DSGVO wird durch die jeweiligen Landesbehörden für den Datenschutz beaufsichtigt und kontrolliert. Die Landesbehörden für den Datenschutz sind auch berechtigt Bußgelder (bis zu 20 Mio €) bei Verstößen zu verhängen. Nachfolgend die wichtigtsten Punkte, auf die Sie als Selbständiger bzw. Unternehmer achten sollten.


I. Struktur und Verantwortlichkeiten im Unternehmen

1.        Gibt es das Bewußtsein im Unternehmen, dass Datenschutz Chefsacheist, beispielweise durch
            * Vorhandensein einer Datenschutzleitlinie
            * Beschreibung der Datenschutzziele
            * Regelung der Verantwortlichkeiten
            * Bewusstsein über Datenschutzrisiken
            * Transparenz über Zielkonflickte (z.B. zwischen Marketing - Rechtabteilung

2.         Verfügt Ihr Unternehmen über einen betrieblichen Datenschutzbeauftragten?
             * Wenn nein, warum nicht?
             * Wenn ja, ist geklärt, wann er von wem einzubeziehen ist?
             * Wenn ja, ist er schon gem. Art 37 Abs. 8 DS-GVO der zuständigen Aufsichtsbehörde gemeldet?


II. Übersicht über Verarbeitungen

1.       Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten gem. Art. 30 DS-GVO
             * Wenn nein, warum nicht? Ist das dokumentiert?
           Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines 
           jeden Prozesses in Ihrem Unternehmen Berücjsichtigung finden (Privacy By Design-Art. 25 DS-GVO)?    


III. Einbindung Externer

1.         Haben Sie Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter) eingebunden?
            * Wenn ja, haben Sie eine Übersicht über die Auftragsverarbeiter?
            * Wenn ja, haben Sie mit allen Ihren Auftragsverarbeitern die erforderlichen Vereinbarungen mit
               dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?


IV. Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte

1.        Haben Sie Ihre Texte zur datenschutzrechtlichen Information der betroffenen Personen bei der
             Datenerhebung an die Anforderungen nach Art. 13 bzw. 14 DS-GVO angepasst?
              * Wenn nein, warum nicht?


2.        Haben Sie insbes. folgende Informationen neu aufgenommen, sofern nicht bereits vorher enthalten:
            * Kontaktdaten des Datenschutzbeauftragten
            * Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
            * Falls Sie die Verarbeitung mit ihrrn berechtigten Interessen oder berechtigten Interessen eines
               Dritten begründen: die berechtigten Interessen
            * Falls Sie Daten in Drittländer übermitteln: die von Ihnenzum Einsatz gebrachten geeigneten
               Garantien zum Schutz der Daten (z.B. Standartdatenschutzklauseln)
            * Dauer der Speicherung; sofern nicht möglich, die Kriterien für die Festlegung dieser Dauer
            * Bestehen der Rechte betroffener Personen auf Auskunft, Berichtigung, Löschung, Einschränkung
               der Verarbeitung, auf Widerspruch aufgrund besonderer Situation einer betroffenen Person
               sowie auf Datenportabilität
            * Sofern Verarbeitung auf Einwilligung beruht; das Recht zum jederzeitigen Widerruf der Einwilligung
            * Recht auf Beschwerde bei der Aufsichtsbehörde
            * Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen
               Vertragsabschluss erforderlich ist
            * Sofern einschlägig: die Vornahme einer automatisierten Entscheidungsfindung einschließlich
               Profiling sowie - in diesem Fall - Informationen über die involvierte Logik sowie die Tragweite und
               die angestrebten Auswirkungen der Verarbeitung für die betroffenen Personen
             * Sofern Sie die Daten nicht bei der betroffenen Person erhoben haben: aus welcher Quelle die 
                personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen
             * Haben Sie Ihre Werbe-Einwilligungserklärung für Kunden, Interessenten usw., an die Anforderungen
                von Art. 7 und 13 DS-GVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur
                jederzeitigen Widerrufbarkeit der Einwilligung)?

3.          * Haben Sie ein Verfahren eingerichtet, um Anträge von betroffenen Personen auf Auskunft zu den ei-
                 genen Daten nach Art.15 DS-GVO zeitnah und vollständig erfüllen zu können (Art.12 Abs.1 DS-GVO)?

4.          * Haben Sie Verfahren eingerichtet, um Anträge auf Datenübertragbarkeit betroffener Personen
                 erfüllen zu können (Art. 20 DS-GVO)
  
    

 


V. Verantwortlichkeit, Umgang mit Risiken

1.        * Gibt es für jede Verantwortlichkeit Angaben, mit der Sie die Rechtmäßigkeit Ihrer Verarbeitung
               nachweisen können, z.B. bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern
               und/oder Löschfristen (Art. 5 Abs. 2 DS-GVO)?
            * Haben Sie geprüft, ob die Einwilligung, auf die Sie eine Verarbeitung stützen, noch den
               Voraussetzungen der Art. 7 und /oder 8 DS-GVO entsprechen?

2.         * Haben Sie ein Datenmanagementsystem installiert, um sicherzustellen und den Nachweis erbrin-
               gen zu können, dass Ihre Verarbeitung gemäß der DS-GVO erfolgt (Art. 24 Abs. 1 DS-GVO)?

3.         * Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die 
                neuen Anforderungen des Art. 32 DS-GVO angepasst?
            * Haben Sie insbesondere besetehende Checklisten zur Auswahl von technischen und organisa-
               torischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art. des
               Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintritts-
               wahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten ersetzt?
            * Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und
               Verbesserung der Security-Maßnahmen umgesetzt?
            * Wurden Schutzmaßnahmen wie Pseudonymisierung und der Einsatz von kryptographischen
               Verfahren zum Schutz vor unbefugten oder unrechtmäßigen Verarbeitungen sowohl bezüglich
               externer als auch interner "Angreifer" umgesetzt?

4.         * Haben Sie sich auf die evtl. Notwendigkeit der Durchführung einer Datenschutz-Folgenab-
               schätzung vorbereitet?
            * Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgen-
               abschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?
            * Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz-Folgenabschätzung
               in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Prozess der Datenschutz-Folgen-
               abschätzung entschieden; haben Sie diesen schon einmal getestet?
 


VI. Datenschutzverletzungen

1.         * Haben Sie gem. Art. 33 DS-GVO sichergestellt, dass die Meldungen von Verletzungen des Schutzes
               personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde möglich ist?
            * Haben Sie insbesondere sichergestellt, dass Datenschutzverletzungen in Ihrem Unternehmen
               erkannt werden können? Haben Sie dazu eine geeignete Methode zur Ermittlung eines Risikos bzw.
               eines hohen Risikos in Ihrem Unternehmen eingeführt?
            * Haben Sie einen Prozess aufgesetzt, wie mit potentiellen Verletzungen intern umzugehen ist?
            * Haben Sie festgelegt, wer, wann und wie mit der Datenschutzaufsichtsbehörde kommuniziert?


 
Schließen
loading

Video wird geladen...