Checkliste zur DSGVO-Konformität

Wenn Ihre Organisation personenbezogene Daten von Einwohnern der Europäischen Union sammelt oder verarbeitet, unterliegt sie der Datenschutz-Grundverordnung (DSGVO). Die DSGVO listet spezifische Anforderungen sowohl für data controllers (Organisationen, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmen) als auch für data processors (Unternehmen, die für die Verarbeitung von Daten im Auftrag eines Controllers verantwortlich sind) auf, und die Strafen für Nichteinhaltung sind hoch.

Dieser Artikel bietet Checklisten, um Ihnen zu helfen, die GDPR-Konformität zu erreichen und aufrechtzuerhalten. Es könnte auch ratsam sein, professionellen Rechtsrat einzuholen.

Checkliste für den Einstieg

Ihre oberste Liste der DSGVO-Anforderungen sollte mindestens Folgendes umfassen:

• Stellen Sie einen Datenschutzbeauftragten ein oder ernennen Sie eine Person für die Rolle des DPO — Ein Datenschutzbeauftragter ist verantwortlich für die Überwachung der Datenschutzstrategie eines Unternehmens und deren Umsetzung. Die Rolle des DPO ist verpflichtend, wenn eine „besondere Kategorie“ von Daten verarbeitet wird oder die Datenverarbeitung durch eine öffentliche Behörde erfolgt. Wenn Ihr Unternehmen keine Niederlassung in der EU hat, müssen Sie einen offiziellen Vertreter in der EU ernennen.
• Führen Sie eine Datenschutz-Folgenabschätzung durch (DPIA) — Erfassen Sie alle Ihre Prozesse, die die Erhebung, Speicherung, Nutzung oder Löschung personenbezogener Daten beinhalten, und bewerten Sie dann, wie wertvoll oder vertraulich die Informationen sind und welchen Schaden oder welche Belastung Personen im Falle eines Sicherheitsvorfalls erleiden könnten. Nutzen Sie die Ergebnisse, um geeignete Sicherheitsmaßnahmen, Richtlinien und Verfahren auszuwählen. Denken Sie daran, dass alle Prozesse von Anfang an mit Datenschutz im Sinn gestaltet werden müssen und Datenschutz standardmäßig angewendet werden muss, wann immer neue Produkte oder Dienstleistungen der Öffentlichkeit zugänglich gemacht werden.
• Skizzieren Sie Ihre Daten-Governance plan — Daten-Governance umfasst die Zusammenstellung der Personen, Prozesse und Technologien, die erforderlich sind, um Daten im gesamten Unternehmen konsistent und ordnungsgemäß zu verwalten.
• Holen Sie die Zustimmung für Datenerhebung, -speicherung und -löschung ein — Die Einhaltung der DSGVO erfordert Transparenz und gibt Verbrauchern mehr Kontrolle über ihre Daten.
• Dokumentieren Sie Ihre Compliance-, Audit- und Aufzeichnungsverfahren — Datenverantwortliche müssen nachweisen können, dass ihre Organisation den GDPR-Vorschriften entspricht. Stellen Sie insbesondere sicher, dass Sie eine dokumentierte, rechtmäßige Grundlage für die Speicherung und Verarbeitung von Daten haben.
• Bereiten Sie sich auf Datenpannen vor — Datenverantwortliche sind verpflichtet, die Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme einer Datenpanne zu benachrichtigen, während Datenverarbeiter die relevanten Datenverantwortlichen über jede Datenpanne informieren müssen. Wenn eine Panne ein hohes Risiko für die betroffenen Personen darstellt, müssen diese ebenfalls informiert werden, es sei denn, es waren wirksame Schutzmaßnahmen wie Pseudonymisierung oder vollständige Anonymisierung vorhanden.
• Dokumentieren Sie Ihre Datenschutzmaßnahmen — Prüfer werden sehen wollen, welche Kontrollmechanismen Sie implementiert haben.
• Halten Sie eine aktuelle Liste der Verarbeitungstätigkeiten. Wenn Ihre Organisation mindestens 250 Mitarbeiter hat oder an der Verarbeitung von Daten mit hohem Risiko beteiligt ist, müssen Sie eine Liste Ihrer Verarbeitungstätigkeiten führen, die Sie jederzeit den Aufsichtsbehörden vorlegen können.

GDPR-Audit-Checkliste

Ihre endgültige Audit-Checkliste hängt von verschiedenen Faktoren ab, einschließlich des Umfangs Ihrer Operationen, der Menge und Arten von Daten, die Sie sammeln, und den Ergebnissen Ihrer Datenschutz-Folgenabschätzung. Hier sind jedoch die wichtigsten Punkte, die Sie tun müssen, und Fragen, die Sie stellen sollten, während Sie daran arbeiten, die DSGVO einzuhalten:

• Dokumentieren Sie die personenbezogenen Daten, die Sie sammeln — Welche Daten sammeln wir?
• Minimieren Sie, was Sie sammeln — Haben wir eine Funktion für jedes Datenelement?
• Verstehen Sie Ihre Datenflüsse — Wo speichern wir die Daten?
• Wählen Sie starke Sicherheitsmaßnahmen — Wie schützen und dokumentieren wir die Daten?
• Verfeinern Sie Ihre Datenhaltungsrichtlinie — Wie lange bewahren wir die Daten auf?
• Risiken bewerten — Haben wir angemessene Maßnahmen ergriffen, um Daten aus allen Quellen, einschließlich E-Mails und Formularen, zu schützen?
• Haben Sie eine interne Sicherheitsrichtlinie — Was müssen Teammitglieder über den Schutz von Daten wissen? Gibt es Schritte, die sie unternehmen müssen, um die Sicherheitsstandards zu wahren?
• Bereiten Sie sich auf Anfragen von betroffenen Personen (DSARs) vor — Wie ist der Prozess, um eine Anfrage zum Löschen, Ändern oder Zugreifen auf die von uns gespeicherten Daten zu erfüllen? (Die Rechte der betroffenen Personen und Ihre entsprechenden Pflichten sind unten im Detail aufgeführt.)

Checkliste für die Rechte betroffener Personen

Stellen Sie sicher, dass Sie die folgenden acht Rechte der betroffenen Personen wahren:

• Recht auf Information — Personen können von Ihnen verlangen, dass Sie klare und prägnante Informationen darüber bereitstellen, was Sie mit ihren personenbezogenen Daten tun.
• Recht auf Zugang— Jede betroffene Person kann von Ihnen verlangen, eine Kopie ihrer personenbezogenen Daten bereitzustellen, zusammen mit zusätzlichen Informationen, die ihnen helfen zu verstehen, wie und warum Sie ihre Daten verwenden und zu überprüfen, ob dies rechtmäßig geschieht.
• Recht auf Berichtigung— Personen haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Je nach Zweck der Datenverarbeitung können Personen auch das Recht haben, die Vervollständigung unvollständiger personenbezogener Daten zu fordern (beispielsweise durch Hinzufügen einer ergänzenden Erklärung).
• Recht auf Löschung (Recht auf Vergessenwerden) — Personen haben das Recht, dass ihre personenbezogenen Daten gelöscht werden. Das Recht ist nicht absolut und gilt nur unter bestimmten Umständen.
• Recht auf Einschränkung der Verarbeitung— Die DSGVO räumt Personen das Recht ein, die Nutzung ihrer Daten durch eine Organisation zu beschränken.
• Recht auf Datenübertragbarkeit— Personen haben das Recht, die von ihnen einem Verantwortlichen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie können auch verlangen, dass der Verantwortliche diese Daten direkt an einen anderen Verantwortlichen übermittelt.
• Widerspruchsrecht gegen die Verarbeitung — Personen können jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Einspruch erheben, und der Verantwortliche muss die Verarbeitung einstellen.
• Rechte im Zusammenhang mit automatisierten Entscheidungsfindungen bei der Verarbeitung personenbezogener Daten — Personen haben das Recht, nicht ausschließlich auf automatisierter Verarbeitung (wie Profiling) basierenden Entscheidungen unterworfen zu sein, die rechtliche Wirkungen für sie haben.

Sie sind verpflichtet, es den betroffenen Personen zu erleichtern, diese Rechte auszuüben, entweder indem Sie eine Selbstbedienungsseite mit klaren Schaltflächen und Optionen bereitstellen oder über direkte Anfragen aus externen Kontaktformen.

Offenlegungscheckliste

Machen Sie die folgenden Informationen in klarer, leicht verständlicher Sprache öffentlich zugänglich:

• Datenschutzrichtlinie — Erläutern Sie Ihren Ansatz zum Datenschutz und zur Datensicherheit. Beschreiben Sie, welche persönlichen und nicht-persönlichen Informationen Sie sammeln und warum.
• Datenaufbewahrungsrichtlinie — Stellen Sie sicher, dass Sie Daten nicht länger aufbewahren, als es für die Zwecke, für die sie gesammelt wurden, notwendig ist. Sorgen Sie dafür, dass Sie persönliche Daten, die nicht mehr benötigt werden, automatisch löschen oder anonymisieren.
• Bedingungen für die Datenübertragung in andere Länder — Erläutern Sie, unter welchen Bedingungen Sie internationale Übertragungen personenbezogener Daten zulassen.
• Datenschutzrichtlinie — Erläutern Sie, wie personenbezogene Daten gemäß der DSGVO geschützt werden.
• Kontaktinformationen — Geben Sie die rechtliche Adresse Ihrer Organisation an sowie die Kontaktdaten Ihres Datenschutzbeauftragten (falls vorhanden).
• Nutzungsbedingungen — Wenn Ihr System nicht absichtlich Daten von oder über Kinder sammelt, geben Sie Folgendes in Fettschrift an: „Diese Website steht nur Personen zur Verfügung, die mindestens 16 Jahre alt sind.“ Andernfalls müssen Sie ein Kontrollkästchen zu Ihrer Registrierungsseite hinzufügen (wie unten beschrieben) und die elterliche Zustimmung für Benutzer unter 16 Jahren einholen.
• Zahlungsrichtlinie & Cookie-Richtlinie — Legen Sie fest, wie Zahlungen verarbeitet werden und welche Cookies das System setzt und verwendet.

Checkliste für die Registrierungsseite

Beachten Sie die folgenden Anforderungen bei der Gestaltung Ihrer Registrierungsseite:

• Die Anzahl der Felder muss minimal und angemessen sein.
• Es muss für die betroffenen Personen klar sein, worin sie einwilligen. Sie müssen ihnen eine detaillierte Kontrolle darüber geben, welche Marketingmaterialien sie von Ihnen erhalten, und nicht einfach alle Einwilligungen in ein einziges Kontrollkästchen zusammenfassen. Sie benötigen ein separates Kontrollkästchen, wenn Sie den Benutzern die Möglichkeit geben wollen, sich für einen Newsletter anzumelden.
• Es ist zwingend erforderlich, dass Benutzer ausdrücklich Ihren Nutzungsbedingungen und Datenschutzrichtlinien zustimmen.

Audit-Dokumenten-Checkliste

Folgende Dokumente sind während einer Überprüfung der GDPR-Konformität erforderlich:

• Datenschutzrichtlinie
• Datenschutzrichtlinie für personenbezogene Daten
• Inventar der Verarbeitungstätigkeiten
• Richtlinie zur Reaktion auf Sicherheitsvorfälle
• Benachrichtigungsformular für Datenpannen an die Aufsichtsbehörde
• Benachrichtigungsformular über Datenpannen an die betroffenen Personen
• Datenaufbewahrungsrichtlinie
• Die folgenden Richtlinien können in einer einzigen Informations-Governance-Richtlinie kombiniert werden:
• Richtlinie zur Datenentsorgung
• Backup- und Geschäftskontinuitätspolitik
• Systemzugriffskontrollrichtlinie
• SLA und Eskalationsverfahren
• Kryptografische Kontrollrichtlinie
• Richtlinie für Notfallwiederherstellung und Geschäftskontinuität
• Codierungsstandards und Einführungsverfahren
• Beschäftigungspolitik und -prozesse
• Richtlinie zur Benutzerdeaktivierung
• Audit-Richtlinie
• Risikobewertungsrichtlinie
• Richtlinie für Bewusstsein und Schulung

Checklisten zum Datenschutz

Die DSGVO gibt keine spezifischen Sicherheitskontrollen für die Einhaltung vor, fordert jedoch, dass Sie das Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen wahren. Die folgenden Checklisten werden Ihnen helfen, geeignete technische und organisatorische Maßnahmen und Praktiken umzusetzen.

Checkliste für den Datenschutz: Technische Maßnahmen

• Netzwerksicherheit — Design der Netzwerksicherheit, Firewalls, VPN-Zugang
• Verschlüsselung für ruhende Daten — Komplette Festplattenverschlüsselung, Datenbankverschlüsselung
• Verschlüsselung für Datenübertragung — HTTPS, IPSec, TLS, PPTP, SSH
• Zugriffskontrollen (physisch und technisch):
• Beschränken Sie den Zugriff auf Ihr System auf vertrauenswürdige Quellen
• Implementieren Sie die Erkennung und Prävention von Insider-Bedrohungen
• Beschränken Sie Benutzer- und Gruppenberechtigungen entsprechend den beruflichen Anforderungen
• Beschränken Sie die Nutzung von Privileged Accounts
• Setzen Sie eine starke Passwortrichtlinie durch
• Implementieren Sie eine Sperrrichtlinie
• Eindringlingsprävention und -erkennung
• Gesundheitsüberwachung
• Regelmäßige Backups
• Backup-Verschlüsselung
• Multifaktor-Authentifizierung (MFA), strenge Autorisierung
• Antivirus-Lösung
• Regelmäßige Infrastruktur-Scans
• Richtlinie zur Softwareinstallation, Richtlinie zur Softwareaktualisierung, Richtlinie zum Geräteupgrade

Checkliste für den Datenschutz: Organisatorische Maßnahmen

• Sorgfaltspflicht — Ihre Sicherheitsmaßnahmen sind nutzlos, wenn Sie Daten an Dritte weitergeben, die keinen Datenschutz garantieren können. Eine gründliche Überprüfung Ihrer Lieferanten und Dienstleister ist genauso wichtig wie interne Audits und Berichterstattung.
• Überprüfungen & Audits — Um sicherzustellen, dass Ihre Richtlinien und Verfahren wirksam sind, sollten Sie regelmäßige Überprüfungen und Audits durchführen. Es kann hilfreich sein, Vorlagen für diese Überprüfungen zu haben.
• Schulung — Sie müssen sicherstellen, dass Ihre Mitarbeiter und Auftragnehmer sich der rechtlichen Risiken bewusst sind und über die entsprechenden Fähigkeiten verfügen.
• Berichterstattung — Regelmäßige Berichte an das obere Management sind entscheidend für die unternehmensweite Verantwortlichkeit sowie für die Beschaffung angemessener Finanzmittel und anderer Ressourcen zur Einhaltung der DSGVO.