Überprüfen Sie regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung?
Artikel 32 der EU-DSGVO beschreibt die Kriterien der technischen und organisatorischen Maßnahmen, um ein angemessenes Schutzniveau zu erzielen. Die Grundlegenden Begriffe der Vertraulichkeit, Integrität und Verfügbarkeit finden sich auch in der Verordnung wieder. Eine Neuerung wird durch den Begriff der Belastbarkeit eingeführt. Demnach müssen Verantwortliche der Datenverarbeitung die Belastbarkeit ihrer Dienste und Systeme gewährleisten.
Ja Nein
Besitzen Sie bereits Datenschutz relevante Zertifikate?
Im Datenschutzalltag trifft man häufig auf eine grundlegende Fragestellung: „Woher weiß man eigentlich, ob datenschutzrechtliche Vorgaben von einem Unternehmen eingehalten werden?“. Eine auf den ersten Blick einfache und pragmatische Lösung wäre, sich dies durch entsprechende Zertifikate nachweisen zu lassen.
Ja Nein
Haben Sie Prozesse implementiert, um einer Löschaufforderung nachzukommen?
Ausgehend von der Idee eines „digitalen Radiergummis“ regelt die EU-DSGVO künftig das Recht auf Löschung („Vergessenwerden“) detailliert in Artikel 17 der DSGVO. Die Vorschrift enthält die Voraussetzungen, bei deren Vorliegen der Verantwortliche zur Löschung der Daten verpflichtet ist. So ergibt sich eine Pflicht zu löschen beispielsweise dann, wenn der Zweck für die Datenverarbeitung weggefallen ist, der Betroffene seine Einwilligung widerruft oder die Daten unrechtmäßig verarbeitet wurden.
Ja Nein
Führen Sie ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten in Ihrem Unternehmen?
Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung ist im Grundsatz nichts anderes, als das altbekannte Verfahrensverzeichnis aus dem Bundesdatenschutzgesetz (BDSG). Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Während das alte Verfahrensverzeichnis in weiten Teilen noch auf Antrag jedermann zugänglich zu machen war, besteht diese Pflicht bei den Verzeichnissen von Verarbeitungstätigkeiten nur noch gegenüber den Aufsichtsbehörden. Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden. Das Verzeichnis der Verantwortlichen muss wesentliche Angaben zur Verarbeitung beinhalten wie z.B. Zweck der Verarbeitung, Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger.
Ja Nein
Arbeiten Sie mit besonders schutzbedürftigen Kundendaten?
Die besonderen Kategorien personenbezogener Daten sind bisher als besondere Arten personenbezogener Daten bekannt. Danach gehören zu den besonderen Arten personenbezogener Daten Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Neu hinzugekommen sind die Kategorien genetische Daten und biometrische Daten. Diese Kategorien sind besonders schutzbedürftig und setzen ein höheres Schutzniveau voraus.
Ja Nein
Berücksichtigen Sie die Wichtigkeit des Datenschutzes im Rahmen Ihres unternehmerischen Handelns?
Durch die Bußgeldvorschrift nach dem BDSG sind aktuell nach §43 BDSG Bußgelder von bis zu 300.000 Euro möglich. Nach dem 25. Mai 2018 erhöhen sich diese Summen bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Ja Nein
Wären Sie heute in der Lage eine Datenpanne zu identifizieren und innerhalb der geforderten 72 Stunden, an die zuständige Aufsichtsbehörde zu melden?
Die EU-DSGVO regelt in den Artikeln 33 und 34 den Umgang bei Datenpannen. Dabei sieht sie eine abgestufte Meldepflicht vor: Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.
Ja Nein
Könnten Sie durch geeignete technische und organisatorische Maßnahmen, wie der Verschlüsselung, vorweisen, dass Unbefugten der Zugang auf personenbezogenen Daten verwehrt bleibt?
Eine Benachrichtigung der betroffenen Person muss dagegen nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Auch ist eine Information des Betroffenen nicht (mehr) erforderlich, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den Unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen – als explizites Beispiel ist die Verschlüsselung genannt.
Ja Nein
Werden die Besucher Ihrer Webseite auf eine deutliche und transparente Art darüber informiert, wie Sie mit den personenbezogenen Daten der Besucher umgehen und dokumentieren Sie bzw. bewahren Sie die Einwilligungen Ihrer Kunden auf?
Die Einwilligung nach EU-DSGVO ist als eine Rechtmäßigkeitsvoraussetzung für die Verarbeitung pbD nur wirksam, wenn sie freiwillig und informiert abgegeben wird. Das Datenverarbeitende Unternehmen muss die Einhaltung der Rechtmäßigkeitsvoraussetzungen der Datenverarbeitung nachweisen. Um dieser Verpflichtung nachzukommen, wird wohl auch in Zukunft der Verantwortliche eine Einwilligung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z.B. E-Mail) holen müssen. Soweit Geschäfte im Wesentlichen über das Internet abgewickelt werden, dürfte, wie bisher auch, als Nachweis eine entsprechende Dokumentation des „Einwilligungs-Klickverhaltens“ der betroffenen Person ausreichen.
Ja Nein
Haben Sie externe Unternehmen (auch außerhalb der EU) damit beauftragt, personenbezogene Daten in Ihrem Namen zu bearbeiten und ist Ihr Auftragnehmer in der Lage, den gesetzlichen Verpflichtungen, wie z.B. zeitgerechte Meldung bei Datenpannen, nachzukommen?
Die Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber). Mit der EU-DSGVO kommt die Auftragsverarbeitung, die der deutschen Auftragsdatenverarbeitung sehr ähnlich ist. Dennoch bringt sie einige Neuerungen mit sich, die Unternehmen unbedingt berücksichtigen müssen. Es bleibt zwar dabei, dass ein Vertrag die Grundlage der Auftragsverarbeitung bildet. Allerdings ist es nicht mehr erforderlich, ihn ausschließlich auf schriftliche Art festzuhalten. Die neue Verordnung gestattet zudem den Abschluss elektronischer Verträge. Zugleich gehen mit ihr strenge Dokumentationspflichten einher, insbesondere für den Auftragsverarbeiter. Er ist dazu verpflichtet, ein Verzeichnis seiner Verarbeitungstätigkeiten zu führen. Ebenso unterliegt er der Verpflichtung, Datenpannen zu melden.
Ja Nein
Wurde jede einzelne Werbemaßnahme hinsichtlich ihrer fairen Verfahrensweise untersucht und diese Interessenabwägungen dokumentiert?
Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, abgesehen von einer Einwilligung, eine Interessenabwägung. Bei der Interessenabwägung sind die allgemeinen Grundsätze aus Artikel 5 Absatz 1 der EU-DSGVO zu berücksichtigen.
Ja Nein
Haben Sie vorbereitende Maßnahmen getroffen, um Ihren Kunden den Umfang ihrer personenbezogenen Daten mitzuteilen?
Nach Artikel 15 Absatz 1 der EU-DSGVO können betroffene Personen von dem im Unternehmen Verantwortlichen eine Auskunft darüber verlangen, ob ihre personenbezogenen Daten verarbeitet werden/ wurden, und wenn dies der Fall ist, um welche Daten es sich genau handelt.
Ja Nein
Führen Sie eine Risikoanalyse durch, bevor Sie neue Technologien einsetzen, die personenbezogene Daten verarbeiten sollen?
Wenn eine Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt, ist eine DSFA durchzuführen. Die EU-DSGVO verlangt für die Folgenabschätzung beispielsweise eine systematische Darstellung zu Art und Zweck der Datenverarbeitung, eine Beschreibung ihrer Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung für die Betroffenen.
Ja Nein
Wären Sie heute in der Lage, Ihrem Kunden all seine personenbezogenen Daten in einem maschinenlesbaren Format auszuhändigen?
Aufgrund unserer heutigen umfangreichen digitalen Kommunikationskultur, durch die wir viele persönliche Daten, z.B. in sozialen Netzwerken, hinterlassen, hat die EU-DSGVO nun auch ein Recht auf Datenübertragbarkeit geschaffen. Es soll den Nutzern ermöglichen, beispielsweise ihre Profildaten komfortabel mit wenigen Klicks bei einem anderen Dienst importieren zu können.
Ja Nein
Haben Sie einen Datenschutzbeauftragten bestellt?
Erstmals wird es mit der EU-DSGVO eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben. Diese ist bindend, sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen.
Ja Nein
Haben sie auf der Basis einer Risikobewertung geeignete technische und organisatorische Maßnahmen (wie Zugangs- und Benutzerkontrolle) implementiert?
Das Thema IT-Sicherheit hat in der EU-DSGVO einen höheren Stellenwert erhalten als bisher im BDSG. Dies wird dahingehend deutlich, dass die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, als Grundsatz in die EU-DSGVO aufgenommen wurde.
Ja Nein
