DSGVO Checkliste zum Downloaden (kostenlos)

Die DSGVO kann komplex und schwer umzusetzen sein. Mit dieser Checkliste erhalten Sie ein Tool zur Hand, welches Ihnen ermöglicht, die DSGVO schnell umzusetzen und Ihren Status Quo zu prüfen. Sie kann auch als kleine DSGVO Audit Checkliste gesehen werden. Sie wurde von einem TÜV-geprüften Datenschutzauditor erstellt und befindet sich so im ständigen praktischen Einsatz.

Sie erhalten Erklärungen und Praxisbeispiele, mit denen Sie konkret in die Umsetzung gehen können.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Hilfe zur Umsetzung der Checkliste

Um Ihnen die Umsetzung zu erleichtern, erhalten Sie eine Klassifikation zu jedem Punkt:

KlassifizierungLegende
Dringlichkeit1 - Sofort erledigen / einführen.
2 - Zeitnah erledigen / einführen.
3 - Bei Bedarf erledigen / einführen.
Wichtigkeit1 - Sehr wichtig, Bußgeld wahrscheinlich
2 - Wichtig
3 - Unklare Rechtslage / Nicht explizit gefordert
Aufwandsschätzung1 - Sehr aufwändig, viel Zeit / Ressourcen einplanen
2 - Mittlere Aufwandsschätzung
3 - Wenig Aufwand

Beispiel:

Dringlichkeit   3 Wichtigkeit   2 Aufwandsschätzung   1

Dieser Punkt ist also nicht zwingend sofort zu erledigen, ist wichtig, ist aber sehr aufwändig. Überlegen Sie hier, wie groß Ihr Risiko und Ihre Umsetzungsressourcen sind.

DSGVO Checkliste: Allgemeine Rahmenbedingungen

Nun beginnt die ausführliche Checkliste. Idealerweise drucken Sie sich diese aus und gehen sie Stück für Stück durch, bis Sie jeden Punkt entweder mit einer Aufgabe verknüpft haben oder beschlossen haben den Punkt nicht umzusetzen.

Werden grundsätzlich alle Bemühungen, die Datenschutzgesetze einzuhalten, dokumentiert?
Praxisbeispiel: Der Versandhändler K hat in 2019 einen Datenschutzberater engagiert und alle seine rechtlich relevanten Texte auf seiner Webseite neu erstellen lassen. Er hat jede Änderung in einem Dokument aufgeschrieben. Dieses Dokument kann er im Falle einer Behördenanfrage gut als Nachweis nutzen, dass er den Datenschutz ernst genommen hat.
Klassifikation:
Dringlichkeit     2          Wichtigkeit       3          Aufwandsschätzung      1
Umsetzungsbeispiele:
  • Fortlaufendes Dokument oder Ordner führen, in dem alle datenschutzrelevanten Verbesserungen enthalten sind.
  • Einen Datenschutzberater oder Anwalt engagieren, und einen Abschlussbericht anfordern.
  • Jährliche Rechenschaftsberichte des DSB einfordern und archivieren.
Besteht in Ihrem Unternehmen ein allgemeines Bewusstsein, dass Datenschutz ein wichtiges Thema und “Chefsache” ist?
Praxisbeispiel: Die Geschäftsführung der X GmbH schult alle Ihre Mitarbeiter zum Thema Datenschutz mit Hilfe einer E-Learning Lösung. Die Einladung zum Workshop kommt direkt von der Geschäftsführung. In der E-Mail geht die Geschäftsführung darauf ein, welchen großen Stellenwert Datenschutz um Unternehmen hat.
Klassifikation:
Dringlichkeit     3      Wichtigkeit      2      Aufwandsschätzung      3
Umsetzungsbeispiele:
  • Wurde ein Gesellschafterbeschluss zum Datenschutz gefasst?
  • Gab es eine unternehmensweite Datenschutzschulung, die von der Geschäftsführung initiiert wurde?
  • Gab es bereits externe Audits zum Thema Datenschutz, bei denen die Geschäftsführung federführend war?
Wurden alle Mitarbeiter, Geschäftsführer, Inhaber und sonstige Dritte, die mit personenbezogenen Daten betraut sind hinsichtlich des Datenschutzes geschult?
Praxisbeispiel: Die Y GmbH hat nur wenige Mitarbeiter. Diese werden in einem Meeting zum Thema Datenschutz geschult. Anschließend werden die Schulungsprotokolle von allen Teilnehmern unterschrieben und im Datenschutz Ordner abgeheftet.
Klassifikation:
Dringlichkeit     3      Wichtigkeit      2      Aufwandsschätzung      1
Umsetzungsbeispiele:
  • Schulung via E-Learning (Selbststudium).
  • Präsenzschulung.
  • Rundmail zur Sensibilisierung.
  • Anfertigung von Schulungsprotokollen mit Unterschrift der Beteiligten.
  • Vertragliche Verpflichtung auf den Datenschutz und das Datengeheimnis.
  • E-Mail mit einer Präsentation zum Thema Datenschutz im Anhang.
Wurden Ressourcen in Form von Personal, Weiterbildungen und / oder Softwareanschaffungen bzgl. Datenschutz freigegeben?
Praxisbeispiel: Ein Einzelunternehmer kauft sich einen Generator für seine Datenschutzerklärung und bringt seine Datenschutzerklärung auf den neuesten Stand. Außerdem hat er seine US-amerikanische E-Mail-Marketing Lösung hin zu einem deutschen Anbieter gewechselt.
Klassifikation:
Dringlichkeit     3      Wichtigkeit      2      Aufwandsschätzung      2
Umsetzungsbeispiele:
  • Anschaffung von DSGVO-Software z.B. zur Erstellung von Dokumentationen.
  • Abonnement von Fachliteratur.
  • Abstellung von Mitarbeitern für das Thema Datenschutz.
  • Wechsel von Softwaresystemen hin zu datenschutzfreundlichen Alternativen.
Überprüfen Sie regelmäßig (1x pro Jahr), ob der Datenschutz in Ihrem Unternehmen eingehalten wird?
Praxisbeispiel: Die Muster AG lässt einmal im Jahr einen Datenschutzaudit von einem externen Berater durchführen und veröffentlicht diesen auf seiner Webseite.
Klassifikation:
Dringlichkeit     2      Wichtigkeit      2      Aufwandsschätzung      1
Umsetzungsbeispiele:
  • Jährliche Neuerstellung aller Dokumentationen zur DSGVO.
  • Jährliche Rechenschaftsberichte des DSB.
  • Regelmäßige Datenschutzaudits.
  • IST Analyse zum Datenschutz inkl. kontinuierlichem Verbesserungsprozess.
Löschen Sie Datensätze regelmäßig, bei denen keine Aufbewahrungspflicht mehr besteht oder deren Zweck erfüllt ist?
Praxisbeispiel: Im Dokumentenmanagementsystem der X GmbH werden alle Dokumente, die keine besondere Kennzeichnung haben, nach spätestens 11 Jahren gelöscht.
Klassifikation:
Dringlichkeit     3      Wichtigkeit      3      Aufwandsschätzung      2
Umsetzungsbeispiele:
    • Automatische Löschung von Datensätzen, die nicht mehr benötigt werden oder deren gesetzliche Aufbewahrungsfrist abgelaufen ist.
    • Manuelle jährliche Kontrolle aller Datensätze, ob sie gelöscht werden können.
Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Design” (Datenschutz durch Technikgestaltung) hin überprüft?
Praxisbeispiel: Abonnenten eines Unternehmensnewsletters können sich mit einem Klick aus dem Newsletter austragen und Ihre Einwilligung widerrufen.
Klassifikation:
Dringlichkeit     3      Wichtigkeit      3      Aufwandsschätzung      2
Umsetzungsbeispiele:
    • Datensätze werden automatisiert gelöscht oder anonymisiert.
    • Datensätze werden bei Unregelmäßigkeiten automatisch gesperrt.
    • Betroffene können Datenschutzeinstellungen leicht und automatisiert vornehmen.
Haben Sie Ihre Prozesse / Software / Datensammlungen auf “Privacy by Default” (Datenschutz durch datenschutzfreundliche Voreinstellungen) hin überprüft?
Praxisbeispiel: Auf einem Kontaktformular werden nur die E-Mail-Adresse und ein Freitext erfasst, alle anderen Angaben sind freiwillig.
Klassifikation:
Dringlichkeit     3      Wichtigkeit      3      Aufwandsschätzung      2
Umsetzungsbeispiele:
    • Schon bei der Erfassung von Daten wird nur so viel erhoben, wie unbedingt nötig.
    • Auch nicht technikaffine Nutzer können Ihre Daten steuern.
Haben Sie Ihre Prozesse / Software / Datensammlungen auf die DSGVO Grundprinzipien hin überprüft?
Praxisbeispiel: Die M GmbH wechselt Ihren Hosting-Anbieter, um die Daten Ihrer Kunden ausfallsicher zur Verfügung zu stellen.
Klassifikation:
Dringlichkeit     2      Wichtigkeit      2      Aufwandsschätzung      1
Umsetzungsbeispiele:
    • Vereinbarkeit des Zweckes mit der DSGVO.
    • Anzuwendende Rechtsgrundlagen.
    • Transparenz.
    • Verarbeitung nach Treu und Glauben.
    • Datenminimierung.
    • Datenrichtigkeit.
    • Datenintegrität, -vertraulichkeit und -verfügbarkeit.
Haben Sie die wesentlichen datenschutzrechtlich relevanten Prozesse definiert?
Praxisbeispiel: Die X GmbH hat alle Service-Mitarbeiter darüber informiert, dass alle Anfragen bzgl. DSGVO von Betroffenen oder Behörden direkt an die Vorgesetzten weitergeleitet werden sollen.
Klassifikation:
Dringlichkeit     1      Wichtigkeit      1      Aufwandsschätzung      2
Umsetzungsbeispiele:
    • Prozess “Sicherstellung der Betroffenenrechte” wurde definiert.
    • Prozess “Behörde fragt an” wurde definiert.
    • Prozess “Verletzungen des Schutzes personenbezogener Daten” wurde definiert.
    • Prozess “Löschung von personenbezogenen Daten” wurde definiert.
    • Prozess “Evaluierung neuer Soft- und Hardware bzgl. Datenschutz” wurde definiert.
    • Prozess “Kontinuierlicher Verbesserungsprozess Datenschutz” wurde definiert.

DSGVO Checkliste: Der Umgang mit Kundendaten

Ab hier wird aus Platzgründen die umfangreiche PDF-Checkliste nur noch mit den jeweiligen Checklistenpunkten wiedergegeben. Die komplette Checkliste als PDF können Sie hier herunterladen. Dort gibt es zu allen Punkten auch wieder Beispiele, eine Evaluierung und Umsetzungsbeispiele.

Sind die eventuell eingeholten Einwilligungen Ihrer Kunden und / oder Interessenten korrekt erteilt worden?
Können Sie Anfragen von Kunden (bzw. Betroffenen im Allgemeinen) bzgl. Auskunft, Berichtigung, Einschränkung, Löschung, Widerspruch, Übertragung, Sperrung nach kommen?
Klären Sie Ihre Kunden und / oder Interessenten regelmäßig und automatisiert über Ihre Grundsätze der Datenverarbeitung auf (Einhaltung von Informationspflichten) und haben Sie klare Prozesse wann und wo über die Datenverarbeitung informiert wird?

DSGVO Checkliste: Dienstleister und andere Dritte

Sind alle Ihre Auftragsverarbeiter an rechtsgültige Verträge (Auftragsverarbeitungsverträge) gebunden?
Wenn Sie Auftragsverarbeiter im Ausland beanspruchen und es sich um Drittstaaten i.S.d. Kommission handelt, liegen Ihnen Garantien zur Gewährleistung eines hohen Datenschutzniveaus vor? Bestehen ggf. Ausnahmen von dieser Pflicht?
Sind Ihre Dienstleister oder sonstige externe Mitarbeiter auf das Datengeheimnis verpflichtet worden?

DSGVO Checkliste: Webseiten und Apps

Haben Sie Ihre Datenschutzerklärung(en) geprüft?
Ist Ihre Website technisch DSGVO-konform?

DSGVO Checkliste: Einhaltung der Dokumentationspflichten nach DSGVO

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Haben Sie ein Verzeichnis von Verarbeitungstätigkeiten erstellt?
Haben Sie eine Risikoanalyse zu jeder Verarbeitungstätigkeit durchgeführt?
Haben Sie jede Verarbeitungstätigkeit auf die Notwendigkeit einer Datenschutzfolgenabschätzung (DSFA) hin überprüft?
Müssen Sie eine DSFA durchführen?
Haben Sie Ihre technischen und organisatorischen Maßnahmen (TOM) dokumentiert?
Haben Sie ein Löschkonzept? Protokollieren Sie Löschungen?
Haben Sie geprüft, ob Sie einen Datenschutzbeauftragten bestellen müssen? Haben Sie einen bestellt, falls dies für Sie notwendig ist und haben Sie diesen gemeldet?
Haben Sie ein Datenschutzkonzept ausgearbeitet und dort alle getroffenen Maßnahmen, Prozesse und Dokumentationen dokumentiert (Nachweisbarkeit)?

DSGVO Checkliste: Grundsätzliche technische Checks

Haben Sie Backups? Haben Sie diese auch schon getestet?
Ist Ihre Software auf dem aktuellsten Stand?
Haben Sie geeignete Mittel ergriffen, Ihre IT Infrastruktur zu schützen?
Haben Sie ein Berechtigungskonzept?

Kostenloser Download der kompletten DSGVO Checkliste als PDF

Dies war nur ein Auszug aus der kompletten DSGVO-Checkliste. Hier können Sie die komplette Checkliste inkl. allen Praxisbeispielen komplett kostenlos herunterladen. Sie erhalten ein PDF inkl. Linkliste direkt zum Ausdrucken und abarbeiten.

Fazit

Mit der DSGVO Checkliste können Sie Stück für Stück Ihr Datenschutzniveau überprüfen. Die Priorisierung und die Praxisbeispiele helfen Ihnen auch zu verstehen, was mit einzelnen Punkten gemeint ist. Setzen Sie noch heute die einzelnen Punkte um, um Ihr Datenschutzniveau zu ermitteln.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Checkliste-fuer-KMU-zur-DS-GVO_LDI-NRW.pdf