DSGVO Checkliste zum Downloaden (kostenlos)

Die DSGVO kann komplex und schwer umzusetzen sein. Mit dieser Checkliste erhalten Sie ein Tool zur Hand, welches Ihnen ermöglicht, die DSGVO schnell umzusetzen und Ihren Status Quo zu prüfen. Sie kann auch als kleine DSGVO Audit Checkliste gesehen werden. Sie wurde von einem TÜV-geprüften Datenschutzauditor erstellt und befindet sich so im ständigen praktischen Einsatz.

Die Checklistenpunkte basieren auf diversen Fragebögen der Aufsichtsbehörden und sind damit direkt aus der Praxis heraus entstanden und im Einsatz.

Sie erhalten Erklärungen und Praxisbeispiele, mit denen Sie konkret in die Umsetzung gehen können.

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Hilfe zur Umsetzung der Checkliste zur DSGVO

Um Ihnen die Umsetzung zu erleichtern, erhalten Sie eine Klassifikation zu jedem Punkt. Auch bei der Umsetzung der DSGVO ist die Verhältnismäßigkeit zu wahren. Nicht jede Maßnahme ist gleich wichtig, um DSGVO konform zu sein. Natürlich sollten Sie jeden Punkt der DSGVO Checkliste umsetzen, die Klassifizierung ist jedoch ein wichtiges Instrument, um zu priorisieren. Darüber hinaus hilft Ihnen die Aufwandsschätzung, Ressourcen zu blocken und ggf. aufzuteilen.

KlassifizierungLegende
Dringlichkeit1 – Sofort erledigen / einführen.
2 – Zeitnah erledigen / einführen.
3 – Bei Bedarf erledigen / einführen.
Wichtigkeit1 – Sehr wichtig, Bußgeld wahrscheinlich
2 – Wichtig
3 – Unklare Rechtslage / Nicht explizit gefordert
Aufwandsschätzung1 – Sehr aufwändig, viel Zeit / Ressourcen einplanen
2 – Mittlere Aufwandsschätzung
3 – Wenig Aufwand

Beispiel:

Dringlichkeit  3Wichtigkeit  2Aufwandsschätzung  1

Dieser Punkt ist also nicht zwingend sofort zu erledigen, ist wichtig, ist aber sehr aufwändig. Überlegen Sie hier, wie groß Ihr Risiko und Ihre Umsetzungsressourcen sind. Ggf. können Sie diesen Punkt der DSGVO Checkliste direkt abarbeiten, da er mit wenig Aufwand verbunden ist.

DSGVO Checkliste: Allgemeine Rahmenbedingungen

Nun beginnt die ausführliche Checkliste. Idealerweise drucken Sie sich diese aus und gehen sie Stück für Stück durch, bis Sie jeden Punkt entweder mit einer Aufgabe verknüpft haben oder beschlossen haben, den Punkt nicht umzusetzen.

Allgemeine Rahmenbedingungen umfassen die Grundsätze der DSGVO. Hier geht es darum zu prüfen, was allgemein, bzw. organisatorisch, getan wird, um den Datenschutz im Unternehmen einzuhalten. Schulen Sie Ihre Mitarbeiter regelmäßig? Werden Ressourcen bereitgestellt, um die DSGVO ordentlich umzusetzen?


Werden grundsätzlich alle Bemühungen, die Datenschutzgesetze einzuhalten, dokumentiert?

Praxisbeispiel: Der Versandhändler K hat in 2019 einen Datenschutzberater engagiert und alle seine rechtlich relevanten Texte auf seiner Webseite neu erstellen lassen. Er hat jede Änderung in einem Dokument aufgeschrieben. Dieses Dokument kann er im Falle einer Behördenanfrage gut als Nachweis nutzen, dass er den Datenschutz ernst genommen hat.

Klassifikation:
Dringlichkeit     2         

Wichtigkeit       3         
Aufwandsschätzung      1

Umsetzungsbeispiele

  • Fortlaufendes Dokument oder Ordner führen, in dem alle datenschutzrelevanten Verbesserungen enthalten sind.
  • Einen Datenschutzberater oder Anwalt engagieren, und einen Abschlussbericht anfordern.
  • Jährliche Rechenschaftsberichte des DSB einfordern und archivieren.

Besteht in Ihrem Unternehmen ein allgemeines Bewusstsein, dass Datenschutz ein wichtiges Thema und “Chefsache” ist?

Praxisbeispiel: Die Geschäftsführung der X GmbH schult alle Ihre Mitarbeiter zum Thema Datenschutz mit Hilfe einer E-Learning Lösung. Die Einladung zum Workshop kommt direkt von der Geschäftsführung. In der E-Mail geht die Geschäftsführung darauf ein, welchen großen Stellenwert Datenschutz im Unternehmen hat.

Klassifikation:
Dringlichkeit     3         

Wichtigkeit       2         
Aufwandsschätzung      3

Umsetzungsbeispiele

  • Wurde ein Gesellschafterbeschluss zum Datenschutz gefasst?
  • Gab es eine unternehmensweite Datenschutzschulung, die von der Geschäftsführung initiiert wurde?
  • Gab es bereits externe Audits zum Thema Datenschutz, bei denen die Geschäftsführung federführend war?

Wurden alle Mitarbeiter, Geschäftsführer, Inhaber und sonstige Dritte, die mit personenbezogenen Daten betraut sind hinsichtlich des Datenschutzes geschult?

Praxisbeispiel: Die Y GmbH hat nur wenige Mitarbeiter. Diese werden in einem Meeting zum Thema Datenschutz geschult. Anschließend werden die Schulungsprotokolle von allen Teilnehmern unterschrieben und im Datenschutz Ordner abgeheftet.

Klassifikation:
Dringlichkeit     3         

Wichtigkeit       2         
Aufwandsschätzung      1

Umsetzungsbeispiele

  • Schulung via E-Learning (Selbststudium).
  • Präsenzschulung.
  • Rundmail zur Sensibilisierung.
  • Anfertigung von Schulungsprotokollen mit Unterschrift der Beteiligten.
  • Vertragliche Verpflichtung auf den Datenschutz und das Datengeheimnis.
  • E-Mail mit einer Präsentation zum Thema Datenschutz im Anhang.

Wurden Ressourcen in Form von Personal, Weiterbildungen und / oder Softwareanschaffungen bzgl. Datenschutz freigegeben?

Praxisbeispiel: Ein Einzelunternehmer kauft sich einen Generator für seine Datenschutzerklärung und bringt seine Datenschutzerklärung auf den neuesten Stand. Außerdem hat er seine US-amerikanische E-Mail-Marketing Lösung hin zu einem deutschen Anbieter gewechselt.

Klassifikation:
Dringlichkeit     3         

Wichtigkeit       2         
Aufwandsschätzung      2

Umsetzungsbeispiele

  • Anschaffung von DSGVO-Software z.B. zur Erstellung von Dokumentationen.
  • Abonnement von Fachliteratur.
  • Abstellung von Mitarbeitern für das Thema Datenschutz.
  • Wechsel von Softwaresystemen hin zu datenschutzfreundlichen Alternativen.

Überprüfen Sie regelmäßig (1x pro Jahr), ob der Datenschutz in Ihrem Unternehmen eingehalten wird?

Praxisbeispiel: Die Muster AG lässt einmal im Jahr einen Datenschutzaudit von einem externen Berater durchführen und veröffentlicht diesen auf seiner Webseite.

Klassifikation:
Dringlichkeit     2         

Wichtigkeit       2         
Aufwandsschätzung      1

Umsetzungsbeispiele

  • Jährliche Neuerstellung aller Dokumentationen zur DSGVO.
  • Jährliche Rechenschaftsberichte des DSB.
  • Regelmäßige Datenschutzaudits.
  • IST Analyse zum Datenschutz inkl. kontinuierlichem Verbesserungsprozess.

Löschen Sie Datensätze regelmäßig, bei denen keine Aufbewahrungspflicht mehr besteht oder deren Zweck erfüllt ist?

Praxisbeispiel: Im Dokumentenmanagementsystem der X GmbH werden alle Dokumente, die keine besondere Kennzeichnung haben, nach spätestens 11 Jahren gelöscht.

Klassifikation:
Dringlichkeit     3         

Wichtigkeit       3         
Aufwandsschätzung      2

Umsetzungsbeispiele

  • Automatische Löschung von Datensätzen, die nicht mehr benötigt werden oder deren gesetzliche Aufbewahrungsfrist abgelaufen ist.
  • Manuelle jährliche Kontrolle aller Datensätze, ob sie gelöscht werden können.

Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Design” (Datenschutz durch Technikgestaltung) hin überprüft?

Praxisbeispiel: Abonnenten eines Unternehmensnewsletters können sich mit einem Klick aus dem Newsletter austragen und Ihre Einwilligung widerrufen.

Klassifikation:
Dringlichkeit     3         

Wichtigkeit       3         
Aufwandsschätzung      2

Umsetzungsbeispiele

  • Datensätze werden automatisiert gelöscht oder anonymisiert.
  • Datensätze werden bei Unregelmäßigkeiten automatisch gesperrt.
  • Betroffene können Datenschutzeinstellungen leicht und automatisiert vornehmen.

Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen) hin überprüft?

Praxisbeispiel: Auf einem Kontaktformular werden nur die E-Mail-Adresse und ein Freitext erfasst, alle anderen Angaben sind freiwillig.

Klassifikation:
Dringlichkeit     3         

Wichtigkeit       3         
Aufwandsschätzung      2

Umsetzungsbeispiele

  • Schon bei der Erfassung von Daten wird nur so viel erhoben, wie unbedingt nötig.
  • Auch nicht technikaffine Nutzer können Ihre Daten steuern.

Haben Sie Ihre Prozesse / Software / Datensammlungen auf die DSGVO Grundprinzipien hin überprüft?

Praxisbeispiel: Die M GmbH wechselt Ihren Hosting-Anbieter, um die Daten Ihrer Kunden ausfallsicher zur Verfügung zu stellen.

Klassifikation:
Dringlichkeit     2         

Wichtigkeit       2         
Aufwandsschätzung      1

Umsetzungsbeispiele

  • Vereinbarkeit des Zweckes mit der DSGVO.
  • Anzuwendende Rechtsgrundlagen.
  • Transparenz.
  • Verarbeitung nach Treu und Glauben.
  • Datenminimierung.
  • Datenrichtigkeit.
  • Datenintegrität, -vertraulichkeit und -verfügbarkeit.

Haben Sie die wesentlichen datenschutzrechtlich relevanten Prozesse definiert?

Praxisbeispiel: Die X GmbH hat alle Service-Mitarbeiter darüber informiert, dass alle Anfragen bzgl. DSGVO von Betroffenen oder Behörden direkt an die Vorgesetzten weitergeleitet werden sollen.

Klassifikation:
Dringlichkeit     1         

Wichtigkeit       1         
Aufwandsschätzung      2

Umsetzungsbeispiele

  • Prozess “Sicherstellung der Betroffenenrechte” wurde definiert.
  • Prozess “Behörde fragt an” wurde definiert.
  • Prozess “Verletzungen des Schutzes personenbezogener Daten” wurde definiert.
  • Prozess “Löschung von personenbezogenen Daten” wurde definiert.
  • Prozess “Evaluierung neuer Soft- und Hardware bzgl. Datenschutz” wurde definiert.
  • Prozess “Kontinuierlicher Verbesserungsprozess Datenschutz” wurde definiert.

DSGVO Checkliste: Der Umgang mit Kundendaten

Ab hier wird aus Platzgründen die umfangreiche PDF-Checkliste nur noch mit den jeweiligen Checklistenpunkten wiedergegeben. Die komplette Checkliste als PDF können Sie hier herunterladen. Dort gibt es zu allen Punkten auch wieder Beispiele, eine Evaluierung und Umsetzungsbeispiele.

Der Umgang mit Kundendaten ist eine eigene DSGVO Checkliste. Hier sollten Sie prüfen, ob Sie die Kundendaten den Gesetzen entsprechend verarbeiten. Hier geht es nicht nur darum,  interne Prozesse zu prüfen, sondern auch sicher zu gehen, dass z.B. Dokumentationspflichten eingehalten werden.

Sind die eventuell eingeholten Einwilligungen Ihrer Kunden und / oder Interessenten korrekt erteilt worden?
Können Sie Anfragen von Kunden (bzw. Betroffenen im Allgemeinen) bzgl. Auskunft, Berichtigung, Einschränkung, Löschung, Widerspruch, Übertragung, Sperrung nach kommen?
Klären Sie Ihre Kunden und / oder Interessenten regelmäßig und automatisiert über Ihre Grundsätze der Datenverarbeitung auf (Einhaltung von Informationspflichten) und haben Sie klare Prozesse wann und wo über die Datenverarbeitung informiert wird?

DSGVO Checkliste: Dienstleister und andere Dritte

Dienstleister und sonstige Dritte (z.B. Auftragsverarbeiter) spielen eine besondere Rolle im Zusammenhang mit der DSGVO. Hier geben Sie Ihre Daten in Fremde Hände, es ist also besondere Vorsicht geboten.

Sind alle Ihre Auftragsverarbeiter an rechtsgültige Verträge (Auftragsverarbeitungsverträge) gebunden?
Wenn Sie Auftragsverarbeiter im Ausland beanspruchen und es sich um Drittstaaten i.S.d. Kommission handelt, liegen Ihnen Garantien zur Gewährleistung eines hohen Datenschutzniveaus vor? Bestehen ggf. Ausnahmen von dieser Pflicht?
Sind Ihre Dienstleister oder sonstige externe Mitarbeiter auf das Datengeheimnis verpflichtet worden?

DSGVO Checkliste: Webseiten und Apps

Mit Webauftritten und Apps treten Sie nach Außen in Kontakt mit Betroffenen, prüfen Sie die Punkte darauf, ob sie für Sie relevant sind.

Haben Sie Ihre Datenschutzerklärung(en) geprüft?
Ist Ihre Website technisch DSGVO-konform?

DSGVO Checkliste: Einhaltung der Dokumentationspflichten nach DSGVO

Die DSGVO hat viele konkrete Anforderungen an die Dokumentation Ihrer Verarbeitungsvorgänge. Hierbei ist nicht nur das Verzeichnis von Verarbeitungstätigkeiten entscheidend, sondern viele weitere Dokumentationen.

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Haben Sie eine Risikoanalyse zu jeder Verarbeitungstätigkeit durchgeführt?
Haben Sie jede Verarbeitungstätigkeit auf die Notwendigkeit einer Datenschutzfolgenabschätzung (DSFA) hin überprüft?
Müssen Sie eine DSFA durchführen?
Haben Sie Ihre technischen und organisatorischen Maßnahmen (TOM) dokumentiert?
Haben Sie ein Löschkonzept? Protokollieren Sie Löschungen?
Haben Sie geprüft, ob Sie einen Datenschutzbeauftragten bestellen müssen? Haben Sie einen bestellt, falls dies für Sie notwendig ist und haben Sie diesen gemeldet?
Haben Sie ein Datenschutzkonzept ausgearbeitet und dort alle getroffenen Maßnahmen, Prozesse und Dokumentationen dokumentiert (Nachweisbarkeit)?

DSGVO Checkliste: Grundsätzliche technische Checks

Technisch sollte Ihre Infrastruktur stets auf dem aktuellen Stand der Technik sein, damit Sie Ihren Sorgfaltspflichten nach kommen. Insgesamt sollten Sie auch konkrete technische und organisatorische Maßnahmen aufsetzen.

Haben Sie Backups? Haben Sie diese auch schon getestet?
Ist Ihre Software auf dem aktuellsten Stand?
Haben Sie geeignete Mittel ergriffen, Ihre IT Infrastruktur zu schützen?
Haben Sie ein Berechtigungskonzept?

Kostenloser Download der kompletten DSGVO Checkliste als PDF

Dies war nur ein Auszug aus der kompletten DSGVO-Checkliste. Hier können Sie die komplette Checkliste inkl. allen Praxisbeispielen komplett kostenlos herunterladen. Sie erhalten ein PDF inkl. Linkliste direkt zum Ausdrucken und abarbeiten.

Fazit

Mit der DSGVO Checkliste können Sie Stück für Stück Ihr Datenschutzniveau überprüfen. Die Priorisierung und die Praxisbeispiele helfen Ihnen auch zu verstehen, was mit einzelnen Punkten gemeint ist. Setzen Sie noch heute die einzelnen Punkte um, um Ihr Datenschutzniveau zu ermitteln.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Tipp: Sie wollen vorausgefüllte Vorlagen vom Profi und die DSGVO endlich abschließen?

Quellen

https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

https://www.ldi.nrw.de/datenschutz/soziales-und-gesundheit/informationspflichten-im-gesundheitsbereich

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Beteiligungskonzept wird in einer Gruppe von Menschen erstellt.

Das Beteiligungskonzept – Wieso Sie Ihren Datenschutzbeauftragten (DSB) immer einbinden sollten

Die Einbindung des Datenschutzbeauftragten (DSB) ist ein zentraler Baustein für die datenschutzrechtliche Compliance eines Unternehmens. Dennoch wird seine Rolle in der Praxis häufig unterschätzt oder zu spät berücksichtigt. Dies führt nicht nur zu vermeidbaren rechtlichen und operativen Risiken, sondern auch zu einem Spannungsverhältnis zwischen der Geschäftsführung, die Entscheidungen trifft und Verantwortung trägt, und dem DSB, ... Weiterlesen
Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Jetzt schnell herunterladen und Ihr Datenschutzniveau überprüfen

DSGVO-Checkliste

Vom Datenschutzauditor (TÜV) geprüft und in der Praxis bewährt:

Einsatz von KI im Unternehmen
Umgang mit Kundendaten nach DSGVO
Check Ihrer Webseiten und Apps
Linksammlung zur DSGVO