Checkliste Datenschutzgrundverordnung
Was müssen Sie vorbereiten?
Am 25. Mai 2018 müssen Sie die Datenschutzgrundverordnung (DGSVO) der Europäischen Union vollumfänglich anwenden. Ab diesem Zeitpunkt sollten Sie sich hüten, Datenschutzverletzungen als Kavaliersdelikte anzusehen, denn von nun an können sie mit harten Sanktionen geahndet werden. Bußgelder in Höhe von 20 Mio. Euro oder 4 % des Umsatzes sind möglich. Wem in Anbetracht dieser Zahlen der Schreck in die Glieder fährt, kann sich aber beruhigen: Mithilfe unserer Checkliste können Sie grob vorbereiten, worauf Sie künftig achten müssen.
Welche Daten erfassen Sie wo?
In Bezug auf personenbezogene Daten (Name, Adresse, Alter, Beruf, Staatsangehörigkeit, Religionszugehörigkeit, etc.), sollten Sie sich diese Fragen stellen:
- Wo und wie erhebt, speichert und verarbeitet Ihr Unternehmen personenbezogene Daten? (Dazu gehören nicht nur Kundendaten, sondern auch Mitarbeiter- und Lieferanten-Daten.)
- Wie stellen Sie sicher, dass die Daten in möglichst geringem Umfang und nur für einen speziellen Zweck verarbeitet werden (Prinzip der Datenminimierung)?
- Wie gut ist die Verschlüsselung? Wie sicher und stabil laufen Ihre IT-Systeme (auch bei Belastungsspitzen)? Wie gut funktioniert die Datenwiederherstellung nach Ausfällen?
Können Sie die Daten auf Anfrage einsehen, bearbeiten und löschen?
DSGVO verpflichtet Unternehmen, natürlichen Personen auf Anfrage Auskunft zu den gespeicherten Daten der Person zu geben, sie zu korrigieren oder zu löschen (insbesondere wenn die Speicherung unzulässig war).
- Haben Sie einen Prozess, nach dem Sie Wunsch auf Auskunft, Korrektur oder Löschen nachkommen können?
- Wie unterrichten Sie andere Unternehmen, an die Sie die Daten weitergegeben haben?
Sind die Daten Ihrer Mitarbeiter ausreichend geschützt?
Als Arbeitgeber verarbeiten Sie sowohl von Mitarbeitern als auch (vorübergehend) von Bewerbern sensible personenbezogene Daten. Hier ist mit besonderer Umsicht vorzugehen.
- Sind Ihre Mitarbeiter schriftlich über den Zweck der Datenverarbeitung informiert worden?
- Kennen Ihre Mitarbeiter ihr Recht zur schriftlichen Einwilligung und zum Widerruf?
- Sind die elektronischen und physischen Personalakten manipulationssicher und unzugänglich abgelegt?
- Sind Sie sicher, dass Sie die E-Mail- und Internet-Nutzungs-Daten Ihrer Mitarbeiter nicht einsehen können (für den Fall, dass Sie private Nutzung erlauben)?
- Löschen Sie standardmäßig Bewerberdaten nach Abschluss des Bewerbungsverfahrens?
- Sind auch Daten von freien Mitarbeitern, Dienstleistern oder Lieferanten ausreichend geschützt?
Gehen Sie mit Kundendaten vorschriftsmäßig um?
Im Rahmen von Marketing- und Werbemaßnahmen werden häufig personenbezogene Daten von Kunden oder Interessenten erhoben, die sehr sensibel sind. Diese Daten müssen unbedingt konform zu den Vorschriften der DSGVO erhoben werden.
- Gab der Interessent seine Einwilligung zur Datenverarbeitung zu Werbezwecken ab, als er seine Daten über ein Online-Formular übermittelt hat (z.B. Newsletter-/Shop-Anmeldung)?
- Dient die Datenverarbeitung einer Leistung, die Sie als Unternehmen erbringen?
- Ist der Interessent darüber informiert, wie seine Daten verarbeitet werden und welche Drittanbieter ggf. einbezogen werden (z.B. Google Analytics)?
- Kann der Interessent sein Einverständnis zur Datenverarbeitung widerrufen?
Haben Sie eine korrekte Vorgehensweise bei Datenschutzverletzungen?
Gemäß DSGVO müssen Sie im Fall von Datenschutzverletzungen binnen 72 Stunden reagieren und den Fall der zuständigen Aufsichtsbehörde melden.
- Gibt es einen Prozess für Notfälle, nach dem Sie bei Datenschutzverletzungen vorgehen können?
- Ermöglicht Ihr Prozess die rechtzeitige Meldung innerhalb von 72 Stunden?
Gibt es in Ihrem Unternehmen einen Datenschutzbeauftragten?
Die DSGVO verpflichtet bestimmte Unternehmen, einen Datenschutzbeauftragten einzusetzen. Wird trotzt Verpflichtung kein Datenschutzbeauftragter bestellt, drohen Bußgelder von bis zu 50.000 Euro.
- Haben Sie geprüft, ob Sie einen Datenschutzbeauftragten ernennen müssen? Falls ja, haben Sie bereits einen Datenschutzbeauftragten bestellt?
- Stellen Sie Ihrem Datenschutzbeauftragten alle notwendigen Mittel für seine Aufgabe zur Verfügung?
- Ist es dem Datenschutzbeauftragten möglich auszuwerten, wie effektiv Datenschutz-Maßnahmen sind? Wenn Sie die Punkte auf der Checkliste im Blick haben, haben Sie bereits eine grundlegende Vorbereitung auf die DSGVO unternommen. Mit einigen der Punkte sollten Sie sich jedoch gründlicher auseinandersetzen, um auf der (rechts)sicheren Seite zu sein.