Der schnelle Überblick

Wir verwenden diesen Leitfaden, um bei unseren neuen Mandanten einen schnellen, aber fundierten Überblick über die Umsetzung der notwendigen Datenschutzmaßnahmen zu erhalten.

Nutzen Sie die Fragen gerne, um selbst den einen ersten Eindruck vom Stand der Dinge zu bekommen: Die Fragen sind so gestellt, dass sie die Rechte der Betroffenen fokussieren und die Sichtweise einer Aufsichtsbehörde, die ein Unternehmen prüft, wiedergeben.

Gehen Sie alle Fragen zum Datenschutz und zur Informationssicherheit durch: Könnten Sie bereits zu allen Punkten eine positive Antwort geben oder sind sogar die notwendigen Nachweisdokumente bereits vorhanden und vollständig?

Machen Sie sich Notizen, wenn Sie Fragen haben oder wissen, wo Ihre Dokumentation Lücken aufweist. Unsere Experten unterstützen Sie gerne bei der Vervollständigung der Unterlagen oder erläutern Ihnen, wie Sie selbst Ihre Nachweise optimieren können.

1       Datenschutzmanagementsystem

Zunächst sind die allgemeinen Pflichten, die die DSGVO an jeden Verantwortlichen stellt, zu überprüfen:

1.1      Datenschutzmanagement

• Existiert eine Datenschutzleitlinie bzw. Datenschutzhandbuch bzw. Datenschutzkonzept? Darin sollte die grundlegende datenschutzrechtliche Ausrichtung definiert sein.
• Werden Löschfristen geregelt und umgesetzt?
• Wird die Nutzung der IT geregelt?

1.2      Datenschutzorganisation

• Ist ein Datenschutzbeauftragter wirksam bestellt?
• Sind weitere Aufgaben und Rollen im Rahmen des Datenschutzes verteilt?
• Gibt es eine Regelung zu Ansprechpartnern und Meldewegen im internen DS?
• Wurde der Datenschutzbeauftragte der Behörde gemeldet und sind dessen Kontaktdaten intern sowie extern bekannt?
• Lässt sich die Geschäftsleitung regelmäßig über den Stand des Datenschutzes informieren? (Jour Fixe)

1.3      Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

• Besteht ein vollständiges Verzeichnis von Verarbeitungstätigkeiten? Der notwendige Inhalt wird in Art. 30 DSGVO bestimmt. Diese Informationen sind für jede Datenverarbeitung anzugeben.
• Ist dieses Verzeichnis als Nachweisdokument für die Behörde ausgestellt? Das Dokument dient laut DSGVO ausschließlich zur Information der Behörde. Es sollte daher aus sich heraus verständlich sein.
• Falls das Unternehmen als Auftragsverarbeiter tätig ist, muss außerdem ein Verzeichnis der Verarbeitungstätigkeiten für Auftragsverarbeiter geführt werden. 

1.4      Auftragsverarbeitung (Art. 28 DSGVO)

• Wurden alle notwendigen Auftragsverarbeitungsverträge geprüft und abgeschlossen? Ein Vertrag ist dann notwendig, wenn ein anderes Unternehmen (auch im Konzern) Daten des Verantwortlichen in dessen Auftrag verarbeitet. 
• Jedes Unternehmen kann Auftragsverarbeitungsverträge sowohl als Auftragnehmer wie auch als Auftraggeber nutzen. Daher sind alle Verträge zu betrachten. 
• Besteht ein Prozess zur datenschutzrechtlich konformen Einbindung externer Parteien?

1.5      Informationspflichten (Art. 13 f. DSGVO)

• Existieren Vorlagen zur Erfüllung der Informationspflichten (siehe: Kundeninformationsschreiben und Mitarbeiterinformationsschreiben)? Jeder Betroffene ist über die Nutzung seiner Daten zu informieren, unabhängig davon, ob die Daten von ihm selbst oder einer anderen Stelle kommen.
• Werden die Informationspflichten gegenüber Betroffenen erfüllt, bei denen Daten direkt erhoben wurden?
• Werden Daten von Dritten erhalten und werden in diesem Fall die Informationspflichten eingehalten?
• Existiert eine Datenschutzerklärung auf der Website?

1.6      Verpflichtung auf den Datenschutz

• Werden Mitarbeiter und externe Dienstleister vor dem ersten Kontakt mit personenbezogenen Daten auf die Einhaltung der Datenschutzvorschriften verpflichtet (siehe: Verpflichtungserklärung)?

1.7      Mitarbeiterschulung

• Werden Mitarbeiter ausreichend und regelmäßig auf den Datenschutz hin geschult? Der Arbeitgeber ist sonst für die Fehler

1.8      Datenschutzverletzungen (Art. 33 DSGVO)

• Bestehen Regelungen, Prozesse und Verantwortlichkeiten, wie bei einer Datenschutzverletzung zu handeln ist? Datenschutzverstöße müssen binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, was ohne definierte Regelungen und Prozesse (z.B. als Richtlinie für Datenschutznotfälle) kaum einzuhalten ist.

1.9      Anfragen Betroffener (Art. 15 ff. DSGVO)

• Bestehen Regelungen, Prozesse und Verantwortlichkeiten, wie mit Anfragen bzw. Anträgen Betroffener umzugehen ist (z.B. als Richtlinie für Betroffenenanfragen)? Derartige Anfragen sind in der Regel unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten. In seltenen Ausnahmefällen kann sich die Frist auf bis zu drei Monate erhöhen.

1.10   Datenschutzfolgenabschätzung (Art. 35 DSGVO)

• Wurden die Risiken der einzelnen Datenverarbeitungen evaluiert?
• Falls ein hohes Risiko für den Betroffenen besteht, wurde eine Datenschutzfolgenabschätzung durchgeführt (siehe: Richtlinie zur Datenschutzfolgenabschätzung)?

 

2       Informationssicherheit

Die Überprüfung der Maßnahmen zur Sicherung der Informationen, besonders der personenbezogenen Daten, ist  eine weitere Grundlage bei der Bewertung des DSMS. Der Datenschutz lebt von der technischen Umsetzung.

2.1       Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

• Werden Daten nach Möglichkeit pseudonymisiert? Pseudonymisierung bedeutet, dass Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechenden technischen und organisatorischen Maßnahmen unterliegen. Achtung: Auch diese Daten unterliegen, anders als anonymisierte Daten, den Regelungen der DSGVO.
• Welche Geräte werden im Unternehmen wie verschlüsselt?

 

2.2       Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Zutrittskontrolle: Durch welche Maßnahmen wird das Unternehmen räumlich abgesichert?
• Zugangskontrolle: Wie werden die Datenverarbeitungssysteme vor dem Eindringen und der Nutzung Unbefugter gesichert?
• Zugriffskontrolle: Wie wird verhindert, dass personenbezogene Daten außerhalb der eingeräumten Berechtigungen verarbeitet werden können?
• Trennungskontrolle: Wie wird sichergestellt, dass Daten, die zu unterschiedlichen Zwecken erhoben werden, auch getrennt verarbeitet werden?

2.3       Integrität (Art. 32 Abs. 1 lit. b DSGVO)

• Weitergabekontrolle: Welche Versendungsart (digital und physisch) besteht beim Versand von Daten an Kunden, Auftraggeber bzw. Dritte und wie wird diese geschützt?
• Eingabekontrolle: Ist die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege gewährleistet?

2.4       Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

• Verfügbarkeitskontrolle: Sind die Systeme so eingerichtet, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind?
• Belastbarkeitskontrolle: Besitzen die Systeme die Fähigkeit, mit risikobedingten Veränderungen umgehen zu können und weisen sie eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen auf?

2.5       Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

• Existiert ein Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall?

2.6       Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Incident-Response-Prozess: Ist ein Prozess zur Vorbereitung auf Sicherheitsverletzungen (Angriffen) und Systemstörungen sowie zur Identifizierung, Eingrenzung, Beseitigung und Erholung von selbigen implementiert?
• Datenschutzfreundliche Voreinstellungen: Werden die möglichen Voreinstellungen in Datenverarbeitungssystemen so getroffen, dass nur Daten verarbeitet werden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind und werden diese möglichst kurz gespeichert?
• Regelmäßige Überprüfungen: Werden die technischen und organisatorischen Maßnahmen regelmäßig auf ihre Wirksamkeit hin evaluiert?