Ab dem 25.05.2018 gilt es: Checkliste umzusetzender Maßnahmen nach der EU-Datenschutzgrundverordnung (EU-DSGVO)

Der datenschutzrechtliche Status Quo Ihres Unternehmens sollte mit der nachstehenden Agenda gegengeprüft werden. Es handelt sich hierbei um ein Rumpfprogramm. Eine ausführliche Version mit Erläuterungen, Hinweisen und Empfehlungen kann in unserem Stuttgarter Büro angefordert werden.

Von RA/Fachanwalt für IT-Recht Dr. Jens Bücking (zugleich externer Datenschutzbeauftragter), Stuttgart

 

(1) Ist die EU-DSGVO überhaupt auf Sie anwendbar? Insbesondere …

a) Bieten Sie entgeltlich oder unentgeltlich Waren oder Dienstleistungen an und verarbeiten in diesem Zusammenhang Daten von in der EU aufhältigen Personen?

b) Wenn ja: Nehmen Sie im Zusammenhang mit diesem Angebot eine Erhebung, Verarbeitung (d.h. Speicherung, Übermittlung, Veränderung, Sperrung und Löschung) und

c) Beobachten Sie das Verhalten natürlicher Personen in der EU zum Zwecke des Profiling?

2) Haben Sie eine Bestandsaufnahme (GAP-Analyse, Soll-/Ist-Vergleich) durchgeführt?

(3) Wurden unternehmensorganisatorische Vorbereitungsmaßnahmen getroffen? Insbesondere …

a) Wurde der betriebliche/behördliche oder externe Datenschutzbeauftragte ordnungsgemäß und rechtzeitig eingebunden ?

b) Wurde die Belegschaft in Bezug auf die Anforderungen der Verordnung rechtzeitig und effizient vorbereitet und in der Anwendung geschult?

c) Wurden Betriebsrat bzw. Personalrat rechtzeitig in die Umsetzungsprozesse mit einbezogen und die einschlägigen Dienst- bzw. Betriebsvereinbarungen entsprechend angepasst?

d) Werden (auch mit Blick auf die massiven Bußgelder) fortan regelmäßig Sensibilisierungs- und Schulungsmaßnahmen durchgeführt?

(4) Tauschen Sie personenbezogene Daten mit Stellen außerhalb der EU aus?

a) Wenn ja: Besteht ein Rechtfertigungstatbestand für diesen Datentransfer, wie insbes.

a. eine freiwillige, informierte, ausdrückliche und konkrete Einwilligung in einen bestimmten Verarbeitungszweck, oder

b. liegen andere gesetzliche Erlaubnistatbestände wie z.B. eine Betriebsvereinbarung vor, oder

c. ist der Transfer zur Erfüllung eines Vertrages zwischen Ihnen und den betroffenen Personen erforderlich und alternativlos?

b) Wenn ja: Transferieren Sie personenbezogene Daten zu Stellen außerhalb folgender Gebiete: EU, Andorra, Argentinien, Island, Kanada, Liechtenstein, Norwegen, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Uruguay, Neuseeland?

c) Wenn ja: Können Sie diesen Transfer auf ein zwischenstaatliches oder multilaterales Übereinkommen stützen?

d) Wenn nein: Verwenden Sie für diesen Transfer als Rechtsgrundlage mit der empfangenden Stelle

a. EU-Standardvertragsklauseln, oder

b. Genehmigte Unternehmens-/konzernweite Datenschutzrichtlinien, oder

c. Sonstige anerkannte Datenschutzgarantien, oder

d. eine Zertifizierung bestimmter Verarbeitungsvorgänge?

e) Ist eine Überarbeitung der zugrunde liegenden Verträge (z.B. Aufgaben-Outsourcing, Konzern- oder ARGE etc.-Kooperationen, Auftragsdatenverarbeitung, RZ-Verträge, Cloud, SaaS, ASP, Hosting etc.) gemäß den Vorgaben der Verordnung erfolgt?

f) Wenn ja: Wurde ein Verzeichnis über alle Verarbeitungstätigkeiten erstellt, das der Aufsichtsbehörde zur Verfügung gestellt werden kann?

g) Kann nachgewiesen werden, dass auch der Auftragsverarbeiter die Verpflichtungen der Verordnung erfüllt?

h) Wurden alle von den Datentransfers betroffenen internen Funktionsträger und Abteilungen beteiligt?

(5) Ist die Einhaltung der Grundsätze der Datenverarbeitung sichergestellt?

a) Ist die Rechtmäßigkeit jeder Verarbeitung personenbezogener Daten in sämtlichen von Ihnen eingesetzten Geschäftsprozessen gewährleistet, insbes. die Grundsätze der

• Zweckbindung,
• Datensparsamkeit,
• Richtigkeit,
• Transparenz,
• Begrenzung der Speicherdauer,
• Integrität und
• Vertraulichkeit

der Datenverarbeitung?

b) Werden die Betroffenen vor der Erhebung ihrer personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über alle datenschutzrelevanten Umstände und ihre Betroffenenrechte informiert?

(6) Ist ein Informations- und Beschwerdemanagement eingerichtet?

(7) Kann das Betroffenenrecht auf Löschung und auf Vergessenwerden effektiv wahrgenommen werden? Insbesondere …

  • Besteht ein Löschkonzept (unter Einschluss des Rechts auf Vergessenwerden) mit entsprechenden Löschfristen?

(8) Wird die Wirksamkeit von Einwilligungen fortlaufend überprüft und sichergestellt?

(9) Sind Sie bereit für die Datenschutzfolgenabschätzung? Insbesondere …

  • Besteht ein Konzept zur Durchführung, Dokumentation und Behördeneinbindung des Datenschutzfolgenabschätzungsverfahrens?

(10) Werden die Verordnungsgrundsätze über Datenschutz durch Datensicherheit (Privacy by Design, Privacy by Default) berücksichtigt?

(11) Besteht ein effektives Meldewesen bei Datenschutzvorfällen?

(12) Wurde die Werbung (insbes. auch im Internet) der EU-DSGVO angepasst?

(13) Wurde das durch die EU-DSGVO erhöhte Risikopotenzial für das Unternehmen in das obligatorische Risikomanagement implementiert? Insbesondere …

  • Erfolgte eine Anpassung

a. der Datenschutz-Richtlinien und des Datenschutzkonzepts,

b. des IT-Sicherheits- / Datensicherheitskonzepts,

c. des Archivierungs-, Backup- und Löschkonzepts (inkl. des neuen Rechts auf Vergessenwerden),

d. des Notfallkonzepts für Datenpannen bei erweiterten Meldepflichten,

e. des Krisenreaktionsplans (Desaster Recovery / Business Continuity) aufgrund erweiterter Meldepflichten,

f) von Verfahrensverzeichnis und Verfahrensbeschreibungen,

g) des Datenschutz-Managementsystem (DMS) als weiterer Bestandteil des Risikomanagement- und Kontrollsystems (u.a. zur Durchführung der neuen Datenschutz-Folgenabschätzung)?

h) Erfolgte eine Anpassung der Verpflichtungserklärungen auf das Datengeheimnis und ggfls. der Geheimschutzklauseln?

(14) Wurde das Vertrags- und Personalmanagement an die EU-DSGVO angepasst?

(15) Wurden die allgemeinen Dokumentationspflichten der EU-DSGVO umgesetzt?