DSGVO Checkliste zum Downloaden (kostenlos)

Die DSGVO kann komplex und schwer umzusetzen sein. Mit dieser Checkliste erhalten Sie ein Tool zur Hand, welches Ihnen ermöglicht, die DSGVO schnell umzusetzen und Ihren Status Quo zu prüfen. Sie kann auch als kleine DSGVO Audit Checkliste gesehen werden. Sie wurde von einem TÜV-geprüften Datenschutzauditor erstellt und befindet sich so im ständigen praktischen Einsatz.

Die Checklistenpunkte basieren auf diversen Fragebögen der Aufsichtsbehörden und sind damit direkt aus der Praxis heraus entstanden und im Einsatz.

Sie erhalten Erklärungen und Praxisbeispiele, mit denen Sie konkret in die Umsetzung gehen können.

Inhalte

Hilfe zur Umsetzung der Checkliste zur DSGVO
DSGVO Checkliste: Allgemeine Rahmenbedingungen
DSGVO Checkliste: Der Umgang mit Kundendaten
DSGVO Checkliste: Dienstleister und andere Dritte
DSGVO Checkliste: Webseiten und Apps
DSGVO Checkliste: Einhaltung der Dokumentationspflichten nach DSGVO
DSGVO Checkliste: Grundsätzliche technische Checks
Kostenloser Download der kompletten DSGVO Checkliste als PDF
Fazit
Quellen

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Hilfe zur Umsetzung der Checkliste zur DSGVO

Um Ihnen die Umsetzung zu erleichtern, erhalten Sie eine Klassifikation zu jedem Punkt. Auch bei der Umsetzung der DSGVO ist die Verhältnismäßigkeit zu wahren. Nicht jede Maßnahme ist gleich wichtig, um DSGVO konform zu sein. Natürlich sollten Sie jeden Punkt der DSGVO Checkliste umsetzen, die Klassifizierung ist jedoch ein wichtiges Instrument, um zu priorisieren. Darüber hinaus hilft Ihnen die Aufwandsschätzung, Ressourcen zu blocken und ggf. aufzuteilen.

Klassifizierung	Legende
Dringlichkeit	1 - Sofort erledigen / einführen. 2 - Zeitnah erledigen / einführen. 3 - Bei Bedarf erledigen / einführen.
Wichtigkeit	1 - Sehr wichtig, Bußgeld wahrscheinlich 2 - Wichtig 3 - Unklare Rechtslage / Nicht explizit gefordert
Aufwandsschätzung	1 - Sehr aufwändig, viel Zeit / Ressourcen einplanen 2 - Mittlere Aufwandsschätzung 3 - Wenig Aufwand

Beispiel:

Dringlichkeit

Wichtigkeit

Aufwandsschätzung

Dieser Punkt ist also nicht zwingend sofort zu erledigen, ist wichtig, ist aber sehr aufwändig. Überlegen Sie hier, wie groß Ihr Risiko und Ihre Umsetzungsressourcen sind. Ggf. können Sie diesen Punkt der DSGVO Checkliste direkt abarbeiten, da er mit wenig Aufwand verbunden ist.

DSGVO Checkliste: Allgemeine Rahmenbedingungen

Nun beginnt die ausführliche Checkliste. Idealerweise drucken Sie sich diese aus und gehen sie Stück für Stück durch, bis Sie jeden Punkt entweder mit einer Aufgabe verknüpft haben oder beschlossen haben, den Punkt nicht umzusetzen.

Allgemeine Rahmenbedingungen umfassen die Grundsätze der DSGVO. Hier geht es darum zu prüfen, was allgemein, bzw. organisatorisch, getan wird, um den Datenschutz im Unternehmen einzuhalten. Schulen Sie Ihre Mitarbeiter regelmäßig? Werden Ressourcen bereitgestellt, um die DSGVO ordentlich umzusetzen?

Werden grundsätzlich alle Bemühungen, die Datenschutzgesetze einzuhalten, dokumentiert?

Praxisbeispiel: Der Versandhändler K hat in 2019 einen Datenschutzberater engagiert und alle seine rechtlich relevanten Texte auf seiner Webseite neu erstellen lassen. Er hat jede Änderung in einem Dokument aufgeschrieben. Dieses Dokument kann er im Falle einer Behördenanfrage gut als Nachweis nutzen, dass er den Datenschutz ernst genommen hat.

Klassifikation:
Dringlichkeit     2
Wichtigkeit       3
Aufwandsschätzung      1

Umsetzungsbeispiele

Fortlaufendes Dokument oder Ordner führen, in dem alle datenschutzrelevanten Verbesserungen enthalten sind.
Einen Datenschutzberater oder Anwalt engagieren, und einen Abschlussbericht anfordern.
Jährliche Rechenschaftsberichte des DSB einfordern und archivieren.

Besteht in Ihrem Unternehmen ein allgemeines Bewusstsein, dass Datenschutz ein wichtiges Thema und “Chefsache” ist?

Praxisbeispiel: Die Geschäftsführung der X GmbH schult alle Ihre Mitarbeiter zum Thema Datenschutz mit Hilfe einer E-Learning Lösung. Die Einladung zum Workshop kommt direkt von der Geschäftsführung. In der E-Mail geht die Geschäftsführung darauf ein, welchen großen Stellenwert Datenschutz im Unternehmen hat.

Klassifikation:
Dringlichkeit     3
Wichtigkeit       2
Aufwandsschätzung      3

Umsetzungsbeispiele

Wurde ein Gesellschafterbeschluss zum Datenschutz gefasst?
Gab es eine unternehmensweite Datenschutzschulung, die von der Geschäftsführung initiiert wurde?
Gab es bereits externe Audits zum Thema Datenschutz, bei denen die Geschäftsführung federführend war?

Wurden alle Mitarbeiter, Geschäftsführer, Inhaber und sonstige Dritte, die mit personenbezogenen Daten betraut sind hinsichtlich des Datenschutzes geschult?

Praxisbeispiel: Die Y GmbH hat nur wenige Mitarbeiter. Diese werden in einem Meeting zum Thema Datenschutz geschult. Anschließend werden die Schulungsprotokolle von allen Teilnehmern unterschrieben und im Datenschutz Ordner abgeheftet.

Klassifikation:
Dringlichkeit     3
Wichtigkeit       2
Aufwandsschätzung      1

Umsetzungsbeispiele

Schulung via E-Learning (Selbststudium).
Präsenzschulung.
Rundmail zur Sensibilisierung.
Anfertigung von Schulungsprotokollen mit Unterschrift der Beteiligten.
Vertragliche Verpflichtung auf den Datenschutz und das Datengeheimnis.
E-Mail mit einer Präsentation zum Thema Datenschutz im Anhang.

Wurden Ressourcen in Form von Personal, Weiterbildungen und / oder Softwareanschaffungen bzgl. Datenschutz freigegeben?

Praxisbeispiel: Ein Einzelunternehmer kauft sich einen Generator für seine Datenschutzerklärung und bringt seine Datenschutzerklärung auf den neuesten Stand. Außerdem hat er seine US-amerikanische E-Mail-Marketing Lösung hin zu einem deutschen Anbieter gewechselt.

Klassifikation:
Dringlichkeit     3
Wichtigkeit       2
Aufwandsschätzung      2

Umsetzungsbeispiele

Anschaffung von DSGVO-Software z.B. zur Erstellung von Dokumentationen.
Abonnement von Fachliteratur.
Abstellung von Mitarbeitern für das Thema Datenschutz.
Wechsel von Softwaresystemen hin zu datenschutzfreundlichen Alternativen.

Überprüfen Sie regelmäßig (1x pro Jahr), ob der Datenschutz in Ihrem Unternehmen eingehalten wird?

Praxisbeispiel: Die Muster AG lässt einmal im Jahr einen Datenschutzaudit von einem externen Berater durchführen und veröffentlicht diesen auf seiner Webseite.

Klassifikation:
Dringlichkeit     2
Wichtigkeit       2
Aufwandsschätzung      1

Umsetzungsbeispiele

Jährliche Neuerstellung aller Dokumentationen zur DSGVO.
Jährliche Rechenschaftsberichte des DSB.
Regelmäßige Datenschutzaudits.
IST Analyse zum Datenschutz inkl. kontinuierlichem Verbesserungsprozess.

Löschen Sie Datensätze regelmäßig, bei denen keine Aufbewahrungspflicht mehr besteht oder deren Zweck erfüllt ist?

Praxisbeispiel: Im Dokumentenmanagementsystem der X GmbH werden alle Dokumente, die keine besondere Kennzeichnung haben, nach spätestens 11 Jahren gelöscht.

Klassifikation:
Dringlichkeit     3
Wichtigkeit       3
Aufwandsschätzung      2

Umsetzungsbeispiele

Automatische Löschung von Datensätzen, die nicht mehr benötigt werden oder deren gesetzliche Aufbewahrungsfrist abgelaufen ist.
Manuelle jährliche Kontrolle aller Datensätze, ob sie gelöscht werden können.

Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Design” (Datenschutz durch Technikgestaltung) hin überprüft?

Praxisbeispiel: Abonnenten eines Unternehmensnewsletters können sich mit einem Klick aus dem Newsletter austragen und Ihre Einwilligung widerrufen.

Klassifikation:
Dringlichkeit     3
Wichtigkeit       3
Aufwandsschätzung      2

Umsetzungsbeispiele

Datensätze werden automatisiert gelöscht oder anonymisiert.
Datensätze werden bei Unregelmäßigkeiten automatisch gesperrt.
Betroffene können Datenschutzeinstellungen leicht und automatisiert vornehmen.

Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen) hin überprüft?

Praxisbeispiel: Auf einem Kontaktformular werden nur die E-Mail-Adresse und ein Freitext erfasst, alle anderen Angaben sind freiwillig.

Klassifikation:
Dringlichkeit     3
Wichtigkeit       3
Aufwandsschätzung      2

Umsetzungsbeispiele

Schon bei der Erfassung von Daten wird nur so viel erhoben, wie unbedingt nötig.
Auch nicht technikaffine Nutzer können Ihre Daten steuern.

Haben Sie Ihre Prozesse / Software / Datensammlungen auf die DSGVO Grundprinzipien hin überprüft?

Praxisbeispiel: Die M GmbH wechselt Ihren Hosting-Anbieter, um die Daten Ihrer Kunden ausfallsicher zur Verfügung zu stellen.

Klassifikation:
Dringlichkeit     2
Wichtigkeit       2
Aufwandsschätzung      1

Umsetzungsbeispiele

Vereinbarkeit des Zweckes mit der DSGVO.
Anzuwendende Rechtsgrundlagen.
Transparenz.
Verarbeitung nach Treu und Glauben.
Datenminimierung.
Datenrichtigkeit.
Datenintegrität, -vertraulichkeit und -verfügbarkeit.

Haben Sie die wesentlichen datenschutzrechtlich relevanten Prozesse definiert?

Praxisbeispiel: Die X GmbH hat alle Service-Mitarbeiter darüber informiert, dass alle Anfragen bzgl. DSGVO von Betroffenen oder Behörden direkt an die Vorgesetzten weitergeleitet werden sollen.

Klassifikation:
Dringlichkeit     1
Wichtigkeit       1
Aufwandsschätzung      2

Umsetzungsbeispiele

Prozess “Sicherstellung der Betroffenenrechte” wurde definiert.
Prozess “Behörde fragt an” wurde definiert.
Prozess “Verletzungen des Schutzes personenbezogener Daten” wurde definiert.
Prozess “Löschung von personenbezogenen Daten” wurde definiert.
Prozess “Evaluierung neuer Soft- und Hardware bzgl. Datenschutz” wurde definiert.
Prozess “Kontinuierlicher Verbesserungsprozess Datenschutz” wurde definiert.

DSGVO Checkliste: Der Umgang mit Kundendaten

Ab hier wird aus Platzgründen die umfangreiche PDF-Checkliste nur noch mit den jeweiligen Checklistenpunkten wiedergegeben. Die komplette Checkliste als PDF können Sie hier herunterladen. Dort gibt es zu allen Punkten auch wieder Beispiele, eine Evaluierung und Umsetzungsbeispiele.

Der Umgang mit Kundendaten ist eine eigene DSGVO Checkliste. Hier sollten Sie prüfen, ob Sie die Kundendaten den Gesetzen entsprechend verarbeiten. Hier geht es nicht nur darum, interne Prozesse zu prüfen, sondern auch sicher zu gehen, dass z.B. Dokumentationspflichten eingehalten werden.

Sind die eventuell eingeholten Einwilligungen Ihrer Kunden und / oder Interessenten korrekt erteilt worden?

Können Sie Anfragen von Kunden (bzw. Betroffenen im Allgemeinen) bzgl. Auskunft, Berichtigung, Einschränkung, Löschung, Widerspruch, Übertragung, Sperrung nach kommen?

Klären Sie Ihre Kunden und / oder Interessenten regelmäßig und automatisiert über Ihre Grundsätze der Datenverarbeitung auf (Einhaltung von Informationspflichten) und haben Sie klare Prozesse wann und wo über die Datenverarbeitung informiert wird?

DSGVO Checkliste: Dienstleister und andere Dritte

Dienstleister und sonstige Dritte (z.B. Auftragsverarbeiter) spielen eine besondere Rolle im Zusammenhang mit der DSGVO. Hier geben Sie Ihre Daten in Fremde Hände, es ist also besondere Vorsicht geboten.

Sind alle Ihre Auftragsverarbeiter an rechtsgültige Verträge (Auftragsverarbeitungsverträge) gebunden?

Wenn Sie Auftragsverarbeiter im Ausland beanspruchen und es sich um Drittstaaten i.S.d. Kommission handelt, liegen Ihnen Garantien zur Gewährleistung eines hohen Datenschutzniveaus vor? Bestehen ggf. Ausnahmen von dieser Pflicht?

Sind Ihre Dienstleister oder sonstige externe Mitarbeiter auf das Datengeheimnis verpflichtet worden?

DSGVO Checkliste: Webseiten und Apps

Mit Webauftritten und Apps treten Sie nach Außen in Kontakt mit Betroffenen, prüfen Sie die Punkte darauf, ob sie für Sie relevant sind.

Haben Sie Ihre Datenschutzerklärung(en) geprüft?

Ist Ihre Website technisch DSGVO-konform?

DSGVO Checkliste: Einhaltung der Dokumentationspflichten nach DSGVO

Die DSGVO hat viele konkrete Anforderungen an die Dokumentation Ihrer Verarbeitungsvorgänge. Hierbei ist nicht nur das Verzeichnis von Verarbeitungstätigkeiten entscheidend, sondern viele weitere Dokumentationen.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Haben Sie ein Verzeichnis von Verarbeitungstätigkeiten erstellt?

Haben Sie eine Risikoanalyse zu jeder Verarbeitungstätigkeit durchgeführt?

Haben Sie jede Verarbeitungstätigkeit auf die Notwendigkeit einer Datenschutzfolgenabschätzung (DSFA) hin überprüft?

Müssen Sie eine DSFA durchführen?

Haben Sie Ihre technischen und organisatorischen Maßnahmen (TOM) dokumentiert?

Haben Sie ein Löschkonzept? Protokollieren Sie Löschungen?

Haben Sie geprüft, ob Sie einen Datenschutzbeauftragten bestellen müssen? Haben Sie einen bestellt, falls dies für Sie notwendig ist und haben Sie diesen gemeldet?

Haben Sie ein Datenschutzkonzept ausgearbeitet und dort alle getroffenen Maßnahmen, Prozesse und Dokumentationen dokumentiert (Nachweisbarkeit)?

DSGVO Checkliste: Grundsätzliche technische Checks

Technisch sollte Ihre Infrastruktur stets auf dem aktuellen Stand der Technik sein, damit Sie Ihren Sorgfaltspflichten nach kommen. Insgesamt sollten Sie auch konkrete technische und organisatorische Maßnahmen aufsetzen.

Haben Sie Backups? Haben Sie diese auch schon getestet?

Ist Ihre Software auf dem aktuellsten Stand?

Haben Sie geeignete Mittel ergriffen, Ihre IT Infrastruktur zu schützen?

Haben Sie ein Berechtigungskonzept?

Kostenloser Download der kompletten DSGVO Checkliste als PDF

Dies war nur ein Auszug aus der kompletten DSGVO-Checkliste. Hier können Sie die komplette Checkliste inkl. allen Praxisbeispielen komplett kostenlos herunterladen. Sie erhalten ein PDF inkl. Linkliste direkt zum Ausdrucken und abarbeiten.

Fazit

Mit der DSGVO Checkliste können Sie Stück für Stück Ihr Datenschutzniveau überprüfen. Die Priorisierung und die Praxisbeispiele helfen Ihnen auch zu verstehen, was mit einzelnen Punkten gemeint ist. Setzen Sie noch heute die einzelnen Punkte um, um Ihr Datenschutzniveau zu ermitteln.