Die DSGVO kann komplex und schwer umzusetzen sein. Mit dieser Checkliste erhalten Sie ein Tool zur Hand, welches Ihnen ermöglicht, die DSGVO schnell umzusetzen und Ihren Status Quo zu prüfen. Sie kann auch als kleine DSGVO Audit Checkliste gesehen werden. Sie wurde von einem TÜV-geprüften Datenschutzauditor erstellt und befindet sich so im ständigen praktischen Einsatz.
Die Checklistenpunkte basieren auf diversen Fragebögen der Aufsichtsbehörden und sind damit direkt aus der Praxis heraus entstanden und im Einsatz.
Sie erhalten Erklärungen und Praxisbeispiele, mit denen Sie konkret in die Umsetzung gehen können.
Inhalte
- Hilfe zur Umsetzung der Checkliste zur DSGVO
- DSGVO Checkliste: Allgemeine Rahmenbedingungen
- DSGVO Checkliste: Der Umgang mit Kundendaten
- DSGVO Checkliste: Dienstleister und andere Dritte
- DSGVO Checkliste: Webseiten und Apps
- DSGVO Checkliste: Einhaltung der Dokumentationspflichten nach DSGVO
- DSGVO Checkliste: Grundsätzliche technische Checks
- Kostenloser Download der kompletten DSGVO Checkliste als PDF
- Fazit
- Quellen
Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?
Hilfe zur Umsetzung der Checkliste zur DSGVO
Um Ihnen die Umsetzung zu erleichtern, erhalten Sie eine Klassifikation zu jedem Punkt. Auch bei der Umsetzung der DSGVO ist die Verhältnismäßigkeit zu wahren. Nicht jede Maßnahme ist gleich wichtig, um DSGVO konform zu sein. Natürlich sollten Sie jeden Punkt der DSGVO Checkliste umsetzen, die Klassifizierung ist jedoch ein wichtiges Instrument, um zu priorisieren. Darüber hinaus hilft Ihnen die Aufwandsschätzung, Ressourcen zu blocken und ggf. aufzuteilen.
| Klassifizierung | Legende |
|---|---|
| Dringlichkeit | 1 - Sofort erledigen / einführen. 2 - Zeitnah erledigen / einführen. 3 - Bei Bedarf erledigen / einführen. |
| Wichtigkeit | 1 - Sehr wichtig, Bußgeld wahrscheinlich 2 - Wichtig 3 - Unklare Rechtslage / Nicht explizit gefordert |
| Aufwandsschätzung | 1 - Sehr aufwändig, viel Zeit / Ressourcen einplanen 2 - Mittlere Aufwandsschätzung 3 - Wenig Aufwand |
Beispiel:
| Dringlichkeit | 3 | Wichtigkeit | 2 | Aufwandsschätzung | 1 |
Dieser Punkt ist also nicht zwingend sofort zu erledigen, ist wichtig, ist aber sehr aufwändig. Überlegen Sie hier, wie groß Ihr Risiko und Ihre Umsetzungsressourcen sind. Ggf. können Sie diesen Punkt der DSGVO Checkliste direkt abarbeiten, da er mit wenig Aufwand verbunden ist.
DSGVO Checkliste: Allgemeine Rahmenbedingungen
Nun beginnt die ausführliche Checkliste. Idealerweise drucken Sie sich diese aus und gehen sie Stück für Stück durch, bis Sie jeden Punkt entweder mit einer Aufgabe verknüpft haben oder beschlossen haben, den Punkt nicht umzusetzen.
Allgemeine Rahmenbedingungen umfassen die Grundsätze der DSGVO. Hier geht es darum zu prüfen, was allgemein, bzw. organisatorisch, getan wird, um den Datenschutz im Unternehmen einzuhalten. Schulen Sie Ihre Mitarbeiter regelmäßig? Werden Ressourcen bereitgestellt, um die DSGVO ordentlich umzusetzen?
Werden grundsätzlich alle Bemühungen, die Datenschutzgesetze einzuhalten, dokumentiert?
Praxisbeispiel: Der Versandhändler K hat in 2019 einen Datenschutzberater engagiert und alle seine rechtlich relevanten Texte auf seiner Webseite neu erstellen lassen. Er hat jede Änderung in einem Dokument aufgeschrieben. Dieses Dokument kann er im Falle einer Behördenanfrage gut als Nachweis nutzen, dass er den Datenschutz ernst genommen hat.
Klassifikation:
Dringlichkeit 2
Wichtigkeit 3
Aufwandsschätzung 1
Umsetzungsbeispiele
- Fortlaufendes Dokument oder Ordner führen, in dem alle datenschutzrelevanten Verbesserungen enthalten sind.
- Einen Datenschutzberater oder Anwalt engagieren, und einen Abschlussbericht anfordern.
- Jährliche Rechenschaftsberichte des DSB einfordern und archivieren.
Besteht in Ihrem Unternehmen ein allgemeines Bewusstsein, dass Datenschutz ein wichtiges Thema und “Chefsache” ist?
Praxisbeispiel: Die Geschäftsführung der X GmbH schult alle Ihre Mitarbeiter zum Thema Datenschutz mit Hilfe einer E-Learning Lösung. Die Einladung zum Workshop kommt direkt von der Geschäftsführung. In der E-Mail geht die Geschäftsführung darauf ein, welchen großen Stellenwert Datenschutz im Unternehmen hat.
Klassifikation:
Dringlichkeit 3
Wichtigkeit 2
Aufwandsschätzung 3
Umsetzungsbeispiele
- Wurde ein Gesellschafterbeschluss zum Datenschutz gefasst?
- Gab es eine unternehmensweite Datenschutzschulung, die von der Geschäftsführung initiiert wurde?
- Gab es bereits externe Audits zum Thema Datenschutz, bei denen die Geschäftsführung federführend war?
Wurden alle Mitarbeiter, Geschäftsführer, Inhaber und sonstige Dritte, die mit personenbezogenen Daten betraut sind hinsichtlich des Datenschutzes geschult?
Praxisbeispiel: Die Y GmbH hat nur wenige Mitarbeiter. Diese werden in einem Meeting zum Thema Datenschutz geschult. Anschließend werden die Schulungsprotokolle von allen Teilnehmern unterschrieben und im Datenschutz Ordner abgeheftet.
Klassifikation:
Dringlichkeit 3
Wichtigkeit 2
Aufwandsschätzung 1
Umsetzungsbeispiele
- Schulung via E-Learning (Selbststudium).
- Präsenzschulung.
- Rundmail zur Sensibilisierung.
- Anfertigung von Schulungsprotokollen mit Unterschrift der Beteiligten.
- Vertragliche Verpflichtung auf den Datenschutz und das Datengeheimnis.
- E-Mail mit einer Präsentation zum Thema Datenschutz im Anhang.
Wurden Ressourcen in Form von Personal, Weiterbildungen und / oder Softwareanschaffungen bzgl. Datenschutz freigegeben?
Praxisbeispiel: Ein Einzelunternehmer kauft sich einen Generator für seine Datenschutzerklärung und bringt seine Datenschutzerklärung auf den neuesten Stand. Außerdem hat er seine US-amerikanische E-Mail-Marketing Lösung hin zu einem deutschen Anbieter gewechselt.
Klassifikation:
Dringlichkeit 3
Wichtigkeit 2
Aufwandsschätzung 2
Umsetzungsbeispiele
- Anschaffung von DSGVO-Software z.B. zur Erstellung von Dokumentationen.
- Abonnement von Fachliteratur.
- Abstellung von Mitarbeitern für das Thema Datenschutz.
- Wechsel von Softwaresystemen hin zu datenschutzfreundlichen Alternativen.
Überprüfen Sie regelmäßig (1x pro Jahr), ob der Datenschutz in Ihrem Unternehmen eingehalten wird?
Praxisbeispiel: Die Muster AG lässt einmal im Jahr einen Datenschutzaudit von einem externen Berater durchführen und veröffentlicht diesen auf seiner Webseite.
Klassifikation:
Dringlichkeit 2
Wichtigkeit 2
Aufwandsschätzung 1
Umsetzungsbeispiele
- Jährliche Neuerstellung aller Dokumentationen zur DSGVO.
- Jährliche Rechenschaftsberichte des DSB.
- Regelmäßige Datenschutzaudits.
- IST Analyse zum Datenschutz inkl. kontinuierlichem Verbesserungsprozess.
Löschen Sie Datensätze regelmäßig, bei denen keine Aufbewahrungspflicht mehr besteht oder deren Zweck erfüllt ist?
Praxisbeispiel: Im Dokumentenmanagementsystem der X GmbH werden alle Dokumente, die keine besondere Kennzeichnung haben, nach spätestens 11 Jahren gelöscht.
Klassifikation:
Dringlichkeit 3
Wichtigkeit 3
Aufwandsschätzung 2
Umsetzungsbeispiele
- Automatische Löschung von Datensätzen, die nicht mehr benötigt werden oder deren gesetzliche Aufbewahrungsfrist abgelaufen ist.
- Manuelle jährliche Kontrolle aller Datensätze, ob sie gelöscht werden können.
Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Design” (Datenschutz durch Technikgestaltung) hin überprüft?
Praxisbeispiel: Abonnenten eines Unternehmensnewsletters können sich mit einem Klick aus dem Newsletter austragen und Ihre Einwilligung widerrufen.
Klassifikation:
Dringlichkeit 3
Wichtigkeit 3
Aufwandsschätzung 2
Umsetzungsbeispiele
- Datensätze werden automatisiert gelöscht oder anonymisiert.
- Datensätze werden bei Unregelmäßigkeiten automatisch gesperrt.
- Betroffene können Datenschutzeinstellungen leicht und automatisiert vornehmen.
Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen) hin überprüft?
Praxisbeispiel: Auf einem Kontaktformular werden nur die E-Mail-Adresse und ein Freitext erfasst, alle anderen Angaben sind freiwillig.
Klassifikation:
Dringlichkeit 3
Wichtigkeit 3
Aufwandsschätzung 2
Umsetzungsbeispiele
- Schon bei der Erfassung von Daten wird nur so viel erhoben, wie unbedingt nötig.
- Auch nicht technikaffine Nutzer können Ihre Daten steuern.
Haben Sie Ihre Prozesse / Software / Datensammlungen auf die DSGVO Grundprinzipien hin überprüft?
Praxisbeispiel: Die M GmbH wechselt Ihren Hosting-Anbieter, um die Daten Ihrer Kunden ausfallsicher zur Verfügung zu stellen.
Klassifikation:
Dringlichkeit 2
Wichtigkeit 2
Aufwandsschätzung 1
Umsetzungsbeispiele
- Vereinbarkeit des Zweckes mit der DSGVO.
- Anzuwendende Rechtsgrundlagen.
- Transparenz.
- Verarbeitung nach Treu und Glauben.
- Datenminimierung.
- Datenrichtigkeit.
- Datenintegrität, -vertraulichkeit und -verfügbarkeit.
Haben Sie die wesentlichen datenschutzrechtlich relevanten Prozesse definiert?
Praxisbeispiel: Die X GmbH hat alle Service-Mitarbeiter darüber informiert, dass alle Anfragen bzgl. DSGVO von Betroffenen oder Behörden direkt an die Vorgesetzten weitergeleitet werden sollen.
Klassifikation:
Dringlichkeit 1
Wichtigkeit 1
Aufwandsschätzung 2
Umsetzungsbeispiele
- Prozess “Sicherstellung der Betroffenenrechte” wurde definiert.
- Prozess “Behörde fragt an” wurde definiert.
- Prozess “Verletzungen des Schutzes personenbezogener Daten” wurde definiert.
- Prozess “Löschung von personenbezogenen Daten” wurde definiert.
- Prozess “Evaluierung neuer Soft- und Hardware bzgl. Datenschutz” wurde definiert.
- Prozess “Kontinuierlicher Verbesserungsprozess Datenschutz” wurde definiert.
DSGVO Checkliste: Der Umgang mit Kundendaten
Ab hier wird aus Platzgründen die umfangreiche PDF-Checkliste nur noch mit den jeweiligen Checklistenpunkten wiedergegeben. Die komplette Checkliste als PDF können Sie hier herunterladen. Dort gibt es zu allen Punkten auch wieder Beispiele, eine Evaluierung und Umsetzungsbeispiele.
Der Umgang mit Kundendaten ist eine eigene DSGVO Checkliste. Hier sollten Sie prüfen, ob Sie die Kundendaten den Gesetzen entsprechend verarbeiten. Hier geht es nicht nur darum, interne Prozesse zu prüfen, sondern auch sicher zu gehen, dass z.B. Dokumentationspflichten eingehalten werden.
DSGVO Checkliste: Dienstleister und andere Dritte
Dienstleister und sonstige Dritte (z.B. Auftragsverarbeiter) spielen eine besondere Rolle im Zusammenhang mit der DSGVO. Hier geben Sie Ihre Daten in Fremde Hände, es ist also besondere Vorsicht geboten.
DSGVO Checkliste: Webseiten und Apps
Mit Webauftritten und Apps treten Sie nach Außen in Kontakt mit Betroffenen, prüfen Sie die Punkte darauf, ob sie für Sie relevant sind.
DSGVO Checkliste: Einhaltung der Dokumentationspflichten nach DSGVO
Die DSGVO hat viele konkrete Anforderungen an die Dokumentation Ihrer Verarbeitungsvorgänge. Hierbei ist nicht nur das Verzeichnis von Verarbeitungstätigkeiten entscheidend, sondern viele weitere Dokumentationen.
Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?
DSGVO Checkliste: Grundsätzliche technische Checks
Technisch sollte Ihre Infrastruktur stets auf dem aktuellen Stand der Technik sein, damit Sie Ihren Sorgfaltspflichten nach kommen. Insgesamt sollten Sie auch konkrete technische und organisatorische Maßnahmen aufsetzen.
Kostenloser Download der kompletten DSGVO Checkliste als PDF
Dies war nur ein Auszug aus der kompletten DSGVO-Checkliste. Hier können Sie die komplette Checkliste inkl. allen Praxisbeispielen komplett kostenlos herunterladen. Sie erhalten ein PDF inkl. Linkliste direkt zum Ausdrucken und abarbeiten.
Fazit
Mit der DSGVO Checkliste können Sie Stück für Stück Ihr Datenschutzniveau überprüfen. Die Priorisierung und die Praxisbeispiele helfen Ihnen auch zu verstehen, was mit einzelnen Punkten gemeint ist. Setzen Sie noch heute die einzelnen Punkte um, um Ihr Datenschutzniveau zu ermitteln.
Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)
- Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
- Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
- Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche