Mit der Europäischen Datenschutz Grundverordnung – kurz – DSGVO hat die EU eine einheitliche Rechtsgrundlage für grenzüberschreitende Märkte geschaffen. Durch ihre 99 Artikel kommen zahlreiche neue Pflichten auch auf die Kanzleien zu, die das bisherige Bundesdatenschutzgesetz nicht kannte. Nachweispflicht, Privacy by Design, Recht auf Vergessen werden, Datenschutz Folgenabschätzungen, die Unterrichtung von Betroffenen und Aufsichtsbehörden über Datenschutzverstöße – und bis zum 25. Mai 2018 bleiben nicht mehr viel Zeit.
Unsere Checkliste fasst alle relevanten Punkte zusammen, die es bei der Umsetzung der EU DSGVO und BDSG n.F. zu beachten gilt:
- Setzen Sie einen Projekt und Zeitplan auf (festes Zieldatum 25.05.2018)
- Je nach Organisationsgröße: Einbindung der Kanzleiführung, um eine DSGVO konformen Unternehmenskultur zu etablieren
- Überarbeiten Sie interne Datenschutz Policies, ggf. mit Unterstützung externer Datenschutzexperten
- Erstellen Sie ein lückenloses Verarbeitungsverzeichnisses (Art. 30), das auf eine mögliche Anfrage der Aufsichtsbehörde hin jederzeit bereitgestellt werden kann
- Dokumentieren Sie die Datenschutz Folgenabschätzungen (Art. 35) sowie überschlägigen Risikoanalysen für alle (sonstigen) Verarbeitungsprozesse
- Konsultieren Sie die Aufsichtsbehörde in den Fällen, in denen ein hohes Risiko Level vorliegt (Art. 36)
- Überprüfen und ergänzen Sie ggf. Ihre Verträge mit externen Auftragsverarbeitern (AV) und prüfen Sie, ob eine Garantie der Auftragsverarbeiter vorhanden (Art. 28)
- Schaffen Sie kanzleiinterne Vereinbarungen über eine Auftragsverarbeitung, falls Sie im Kanzleiverbund eingebunden sind
- Überprüfung bereits vorhandener Einwilligungserklärungen der Betroffenen (zweckgebunden, rechtssicher dokumentiert)
- Klären Sie Besonderheiten im Bereich der Personaldatenverarbeitung
- Ergreifen Sie Maßnahmen zur Umsetzung Ihrer individuellen Löschungspflichten nach dem Grundsatz der Datenminimierung und Speicherbegrenzung
- Pseudonymisieren Sie personenbezogene Daten, für die eine Zuordnung zur konkreten Person nicht (mehr) erforderlich ist
- Löschen Sie personenbezogene Daten, für die der ursprüngliche Verarbeitungszweck weggefallen ist oder andere gesetzliche Anforderungen nicht hinreichend nachweisbar erfüllt sind und für die eine Pseudonymisierung nicht möglich bzw. unverhältnismäßig erscheint
- Überprüfen Sie die Sicherheit der EDV Systeme gemäß des Grundsatzes „Privacy by Design“ und passen Sie dies ggf. an (z.B. durch eine verbesserte Datenverschlüsselung)
- Überprüfen Sie Ihre EDV Systeme zur Erhebung personenbezogener Daten sowie die nachfolgenden (Weiter ) Verarbeitungsprozesse nach dem Grundsatz „Privacy by Default“ und passen Sie diese ggf. an
- Die lokale Speicherung von personenbezogenen Daten sollte reduziert oder sogar verboten werden
- Installieren Sie ein Meldesystem für den Fall möglicher Datenpannen
- Konzipieren und kommunizieren Sie einen Maßnahmenplan zur Gewährleistung umgehender Gegenmaßnahmen sowie einer möglichen Meldepflicht (innerhalb von 72 Stunden) bei der Aufsichtsbehörde
- Klären Sie die Verantwortlichkeiten in den Abteilungen/Dezernaten und dokumentieren Sie diese nachhaltig, inklusive beweiskräftiger Vorgangs Historie
- Sensibilisieren Sie alle Mitarbeiter der Kanzlei, verbunden mit entsprechenden Schulungsangeboten
- Schließen Sie Datenschutzverpflichtungserklärung für sämtliche Mitarbeiter ab, die Umgang mit personenbezogenen Daten haben können
- Einführung regelmäßiger Überwachungsprozesse und Audits
Lesen Sie mehr auf unserer Seite und erfahren Sie, wie Sie mit einer Cloud Software für Kanzleien diese Checkliste schneller anwenden können.
