Datenschutzgrundverordnung - Artikelreihe
7. Checkliste DSGVO - Kompaktwissen für die technischen Umsetzung
Die folgende Checkliste soll einen Überblick über die wichtigsten Aspekte der DSGVO bezüglich der vorzunehmenden technischen Umsetzung geben:
1. Die Datenschutzgrundverordnung schützt ausschließlich personenbezogene Daten.
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder indentifizierbare natürliche Person beziehen. Die Verarbeitung der Daten bedeutet beispielsweise das Erheben, das Speichern, den Abgleich, das Auslesen usw.
⇒ Check 1: Verarbeiten Sie personenbezogene Daten? (z. B. in der Buchhaltung, im Online-Geschäft, im Newsletter-Verteiler, Arbeitnehmerdaten, Fotos, Videos, ...)
2. Die Verarbeitung der Daten darf nur zu dem vertraglich vereinbarten, gesetzlich festgelegtem oder zu dem in Einwilligung genannten Zweck erfolgen.
Der Zweck muss legitim und bereits vor der Erhebung festgelegt sein. Personenbezogene Daten dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
⇒ Check 2: Erfolgt die Datenverarbeitung alleinig zu dem vertraglichen, gesetzlichen oder zu dem mit einer Einwilligung der betroffenen Persone genehmigten Zweck?
3. Zu den Informationspflichten gehört die Nennung der Rechtsgrundlagen für die Datenverarbeitung (dies betrifft nicht strafrechtlich relevante oder sensible Daten).
Wichtige Rechtsgrundlagen:
a) zur Erfüllung eines Vertrages mit dem Betroffenen oder zur Durchführung vorvertraglicher Maßnahmen (z.B. Verarbeitung der Daten zur Rechnungslegung)
b) Einwilligung (einschl. Nennung der Zwecke der Verarbeitung) der betroffenen Person (z.B. aktiv angeklicktes Feld auf der Internetpräsenz, schriftliche Einwilligungserklärung mit Unterschrift)
c) Erfüllung einer rechtlichen Pflicht (z.B. Personalfragebogen im Arbeitsverhältnis)
⇒ Check 3: Besteht eine Rechtsgrundlage für die Datenverarbeitung?
4. Es besteht die Pflicht, nur diejenigen Daten einer Person zu verarbeiten, die für den Zweck der Datenverarbeitung erforderlich sind.
Dafür ist technisch sicherzustellen, dass bereits nur solche personenbezogene Daten abgefragt werden, die überhaupt für den Verarbeitungszweck erforderlich sind (z. B. kein exaktes Geburtsdatum, sofern das Geburtsjahr für den Zweck der Datenverabeitung ausreichend ist).
⇒ Check 4: Sind die Abfragen der Daten (z. B. im Bestellprozess im Online-Handel) auf das erforderliche Maß beschränkt?
5. Personenbezogene dürfen zeitlich nicht unnötig lang gespeichert werden.
Die Daten einer Person sind nur so lange zu speichern, wie es unbedingt erforderlich ist. Die Verantwortlichen sollten hierfür regelmäßige Überprüfungen vorsehen und Löschungen vornehmen, auch wenn die Person nicht ausdrücklich die Löschung der Daten verlangt. Denn bei einer Kontrolle der Aufsichtsbehörde kann das "Horten" der Daten bestraft werden.
⇒ Check 5: Werden die Daten regelmäßig kontrolliert und gelöscht, sofern sie nicht länger benötigt werden?
6. Die Verarbeitung der personenbezogenen Daten muss durch die Einhaltung von technischen Standards sicher erfolgen.
Die Daten dürfen nicht anders verarbeitet werden, als eine angemessene Sicherheit der personenbezogenen Daten ausreichend gewährleistet ist. Im Wege von technischen (z.B. Schutz durch Passwörter) und organisatorischen Maßnahmen (z.B. Verschließen von Räumlichkeiten) muss sichergestellt werden, dass Unbefugte keinen Zugang zu den Daten erhalten können.
1. Die Datenschutzgrundverordnung schützt ausschließlich personenbezogene Daten.
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder indentifizierbare natürliche Person beziehen. Die Verarbeitung der Daten bedeutet beispielsweise das Erheben, das Speichern, den Abgleich, das Auslesen usw.
⇒ Check 1: Verarbeiten Sie personenbezogene Daten? (z. B. in der Buchhaltung, im Online-Geschäft, im Newsletter-Verteiler, Arbeitnehmerdaten, Fotos, Videos, ...)
2. Die Verarbeitung der Daten darf nur zu dem vertraglich vereinbarten, gesetzlich festgelegtem oder zu dem in Einwilligung genannten Zweck erfolgen.
Der Zweck muss legitim und bereits vor der Erhebung festgelegt sein. Personenbezogene Daten dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
⇒ Check 2: Erfolgt die Datenverarbeitung alleinig zu dem vertraglichen, gesetzlichen oder zu dem mit einer Einwilligung der betroffenen Persone genehmigten Zweck?
3. Zu den Informationspflichten gehört die Nennung der Rechtsgrundlagen für die Datenverarbeitung (dies betrifft nicht strafrechtlich relevante oder sensible Daten).
Wichtige Rechtsgrundlagen:
a) zur Erfüllung eines Vertrages mit dem Betroffenen oder zur Durchführung vorvertraglicher Maßnahmen (z.B. Verarbeitung der Daten zur Rechnungslegung)
b) Einwilligung (einschl. Nennung der Zwecke der Verarbeitung) der betroffenen Person (z.B. aktiv angeklicktes Feld auf der Internetpräsenz, schriftliche Einwilligungserklärung mit Unterschrift)
c) Erfüllung einer rechtlichen Pflicht (z.B. Personalfragebogen im Arbeitsverhältnis)
⇒ Check 3: Besteht eine Rechtsgrundlage für die Datenverarbeitung?
4. Es besteht die Pflicht, nur diejenigen Daten einer Person zu verarbeiten, die für den Zweck der Datenverarbeitung erforderlich sind.
Dafür ist technisch sicherzustellen, dass bereits nur solche personenbezogene Daten abgefragt werden, die überhaupt für den Verarbeitungszweck erforderlich sind (z. B. kein exaktes Geburtsdatum, sofern das Geburtsjahr für den Zweck der Datenverabeitung ausreichend ist).
⇒ Check 4: Sind die Abfragen der Daten (z. B. im Bestellprozess im Online-Handel) auf das erforderliche Maß beschränkt?
5. Personenbezogene dürfen zeitlich nicht unnötig lang gespeichert werden.
Die Daten einer Person sind nur so lange zu speichern, wie es unbedingt erforderlich ist. Die Verantwortlichen sollten hierfür regelmäßige Überprüfungen vorsehen und Löschungen vornehmen, auch wenn die Person nicht ausdrücklich die Löschung der Daten verlangt. Denn bei einer Kontrolle der Aufsichtsbehörde kann das "Horten" der Daten bestraft werden.
⇒ Check 5: Werden die Daten regelmäßig kontrolliert und gelöscht, sofern sie nicht länger benötigt werden?
6. Die Verarbeitung der personenbezogenen Daten muss durch die Einhaltung von technischen Standards sicher erfolgen.
Die Daten dürfen nicht anders verarbeitet werden, als eine angemessene Sicherheit der personenbezogenen Daten ausreichend gewährleistet ist. Im Wege von technischen (z.B. Schutz durch Passwörter) und organisatorischen Maßnahmen (z.B. Verschließen von Räumlichkeiten) muss sichergestellt werden, dass Unbefugte keinen Zugang zu den Daten erhalten können.
⇒ Check 6: Werden die Daten nach den neuesten Sicherheitsstandards verarbeitet?
7. Aus der Datenverarbeitung folgt eine Rechenschaftspflicht in Form der Erstellung eines Verzeichnisses.
Art. 30 DSGVO normiert für den Verantwortlichen und dem Auftragsverarbeiter die Pflicht, ein schriftliches oder elektronisches Verzeichnis aller Datenverarbeitungsvorgänge zu führen. Grundsätzlich besteht diese Verpflichtung nur für Unternehmen ab 250 Mitarbeiter, wenn diese Unternehmen keine Daten verarbeiten, die für die betroffene Person ein besonderes Risiko bedeuten, die Datenverarbeitung nur gelegentlich erfolgt und keine besonderen Datenkategorien nach Art. 9 Abs. 1 bzw. Art. 10 DSGVO betroffen sind.
⇒ Check 7: Besteht die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses für Sie?
8. Es besteht für einige Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten.
7. Aus der Datenverarbeitung folgt eine Rechenschaftspflicht in Form der Erstellung eines Verzeichnisses.
Art. 30 DSGVO normiert für den Verantwortlichen und dem Auftragsverarbeiter die Pflicht, ein schriftliches oder elektronisches Verzeichnis aller Datenverarbeitungsvorgänge zu führen. Grundsätzlich besteht diese Verpflichtung nur für Unternehmen ab 250 Mitarbeiter, wenn diese Unternehmen keine Daten verarbeiten, die für die betroffene Person ein besonderes Risiko bedeuten, die Datenverarbeitung nur gelegentlich erfolgt und keine besonderen Datenkategorien nach Art. 9 Abs. 1 bzw. Art. 10 DSGVO betroffen sind.
⇒ Check 7: Besteht die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses für Sie?
8. Es besteht für einige Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Der Datenschutzbeauftragte ist gemäß Art. 37 DSGVO dann von nichtöffentlichen Stellen (außerhalb von den besonderen Datenkategorien, die stets die Bestellung eines Datenschutzbeauftragten verlangen) zu bestellen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in einer Datenverarbeitung besteht, die "eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen" (Art. 37 Abs. 1 b DSGVO). Denkbar ist dies z. B. bei Marketing-Unternehmen, die Nutzerdaten analysieren und dies zur Kerntätigkeit des Unternehmens zählt.
⇒ Check 8: Besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten für Sie?
Datenschutzgrundverordnung:
1. Ziele und neue Ideen
2. Datenschutz ganz neu
3. personenbezog. Daten
4. Transparenzgebot
5. Infos Art. 13/14 die I.
6. Infos Art. 13/14, die II.
7. Checkliste DSGVO
8. Erläuterungen Checkliste
9. FAQ-wichtigste Probleme
⇒ Check 8: Besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten für Sie?
Datenschutzgrundverordnung:
1. Ziele und neue Ideen
2. Datenschutz ganz neu
3. personenbezog. Daten
4. Transparenzgebot
5. Infos Art. 13/14 die I.
6. Infos Art. 13/14, die II.
7. Checkliste DSGVO
8. Erläuterungen Checkliste
9. FAQ-wichtigste Probleme
Weitere Informationen zum Thema Datenschutz erhalten Sie hier. Bitte wenden Sie sich bei Fragen dazu gern an mich: Kontaktformular
Tags: Datenschutz, Abmahnung Online - Handel, Infos für Unternehmer und Verbraucher, Rechtliche Informationen
