Checkliste zur Umsetzung der Europäischen Datenschutz-Grundverordnung und BDSG n.F.

veröffentlicht am Datenschutz und Datensicherheit, Digitalisierung / Legal Tech

© coloures-pic – stock.adobe.com

Mit Wirkung zum 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten und ersetzt ganz nebenbei das bisherige deutsche Datenschutzrecht. Unsere Checkliste fasst alle relevanten Punkte zusammen, die es bei der Umsetzung der EU-DSGVO und BDSG n.F. zu beachten gilt:
  • Projekt- und Zeitplanung aufgesetzt (Zieldatum 25.05.2018)
  • Einbindung der Unternehmensführung zur Etablierung einer DSGVO-konformen Unternehmenskultur
  • Überarbeitung der internen Datenschutz-Policies, ggf. mit Unterstützung externer Datenschutzexperten
  • Erstellung eines lückenlosen Verarbeitungsverzeichnisses (Art. 30), das auf eine mögliche Anfrage der Aufsichtsbehörde hin jederzeit bereitgestellt werden kann
  • Dokumentation der Datenschutz-Folgenabschätzungen (Art. 35) sowie überschlägigen Risikoanalysen für alle (sonstigen) Verarbeitungsprozesse
  • Konsultation der Aufsichtsbehörde in den Fällen, in denen ein hohes Risiko-Level vorliegt (Art. 36)
  • Verträge mit externen Auftragsverarbeitern (ADV) überprüft und ggf. ergänzt, Garantie der Auftragsverarbeiter vorhanden (Art. 28)
  • Unternehmensinterne Vereinbarungen über eine Auftragsverarbeitung für sämtliche Konzerngesellschaften abgeschlossen
  • Überprüfung bereits vorhandener Einwilligungserklärungen der Betroffenen (zweckgebunden, rechtssicher dokumentiert)
  • Besonderheiten im Bereich der Personaldatenverarbeitung mit der Personalabteilung geklärt
  • Maßnahmen zur Umsetzung der individuellen Löschungspflichten nach dem Grundsatz der Datenminimierung und Speicherbegrenzung ergriffen
  • Pseudonymisierung personenbezogener Daten, für die eine Zuordnung zur konkreten Person nicht (mehr) erforderlich ist
  • Löschung personenbezogener Daten, für die der Verarbeitungszweck weggefallen ist oder andere gesetzliche Anforderungen nicht hinreichend nachweisbar erfüllt sind und für die eine Pseudonymisierung nicht möglich bzw. unverhältnismäßig erscheint
  • Sicherheit der EDV Systeme gemäß dem Grundsatz „Privacy by Design“ überprüft und ggf. angepasst (z.B. durch eine verbesserte Datenverschlüsselung)
  • Alle EDV Systeme zur Erhebung personenbezogener Daten sowie die nachfolgenden (Weiter-) Verarbeitungsprozesse nach dem Grundsatz „Privacy by Default“ überprüft und ggf. angepasst
  • Lokale Speicherung von personenbezogenen Daten reduziert/verboten
  • Meldesystem installiert für den Fall möglicher Datenpannen
  • Maßnahmenplan kommuniziert zur Gewährleistung umgehender Gegenmaßnahmen sowie einer möglichen Meldepflicht bei der Aufsichtsbehörde (innerhalb von 72 Stunden)
  • Verantwortlichkeiten in den Abteilungen geklärt und nachhaltig dokumentiert, inklusive beweiskräftiger Vorgangs-Historie
  • Information aller Mitarbeiter des Unternehmens, verbunden mit entsprechenden Schulungsangeboten
  • Datenschutzverpflichtungserklärung für sämtliche Mitarbeiter abgeschlossen, die Umgang mit personenbezogenen Daten haben können
  • Einführung regelmäßiger Überwachungsprozesse und Audits
Sie suchen praktische Tools zur Umsetzung der neuen Datenschutzanforderung? Sie wollen wissen, wie Sie sich vor Datenpannen schützen und Risiken vermeiden können? Dann informieren Sie sich hier zu unserem legisway essentials Datenschutz-Dashboard!