Mit Wirkung zum 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten und ersetzt ganz nebenbei das bisherige deutsche Datenschutzrecht. Unsere Checkliste fasst alle relevanten Punkte zusammen, die es bei der Umsetzung der EU-DSGVO und BDSG n.F. zu beachten gilt:
- Projekt- und Zeitplanung aufgesetzt (Zieldatum 25.05.2018)
- Einbindung der Unternehmensführung zur Etablierung einer DSGVO-konformen Unternehmenskultur
- Überarbeitung der internen Datenschutz-Policies, ggf. mit Unterstützung externer Datenschutzexperten
- Erstellung eines lückenlosen Verarbeitungsverzeichnisses (Art. 30), das auf eine mögliche Anfrage der Aufsichtsbehörde hin jederzeit bereitgestellt werden kann
- Dokumentation der Datenschutz-Folgenabschätzungen (Art. 35) sowie überschlägigen Risikoanalysen für alle (sonstigen) Verarbeitungsprozesse
- Konsultation der Aufsichtsbehörde in den Fällen, in denen ein hohes Risiko-Level vorliegt (Art. 36)
- Verträge mit externen Auftragsverarbeitern (ADV) überprüft und ggf. ergänzt, Garantie der Auftragsverarbeiter vorhanden (Art. 28)
- Unternehmensinterne Vereinbarungen über eine Auftragsverarbeitung für sämtliche Konzerngesellschaften abgeschlossen
- Überprüfung bereits vorhandener Einwilligungserklärungen der Betroffenen (zweckgebunden, rechtssicher dokumentiert)
- Besonderheiten im Bereich der Personaldatenverarbeitung mit der Personalabteilung geklärt
- Maßnahmen zur Umsetzung der individuellen Löschungspflichten nach dem Grundsatz der Datenminimierung und Speicherbegrenzung ergriffen
- Pseudonymisierung personenbezogener Daten, für die eine Zuordnung zur konkreten Person nicht (mehr) erforderlich ist
- Löschung personenbezogener Daten, für die der Verarbeitungszweck weggefallen ist oder andere gesetzliche Anforderungen nicht hinreichend nachweisbar erfüllt sind und für die eine Pseudonymisierung nicht möglich bzw. unverhältnismäßig erscheint
- Sicherheit der EDV Systeme gemäß dem Grundsatz „Privacy by Design“ überprüft und ggf. angepasst (z.B. durch eine verbesserte Datenverschlüsselung)
- Alle EDV Systeme zur Erhebung personenbezogener Daten sowie die nachfolgenden (Weiter-) Verarbeitungsprozesse nach dem Grundsatz „Privacy by Default“ überprüft und ggf. angepasst
- Lokale Speicherung von personenbezogenen Daten reduziert/verboten
- Meldesystem installiert für den Fall möglicher Datenpannen
- Maßnahmenplan kommuniziert zur Gewährleistung umgehender Gegenmaßnahmen sowie einer möglichen Meldepflicht bei der Aufsichtsbehörde (innerhalb von 72 Stunden)
- Verantwortlichkeiten in den Abteilungen geklärt und nachhaltig dokumentiert, inklusive beweiskräftiger Vorgangs-Historie
- Information aller Mitarbeiter des Unternehmens, verbunden mit entsprechenden Schulungsangeboten
- Datenschutzverpflichtungserklärung für sämtliche Mitarbeiter abgeschlossen, die Umgang mit personenbezogenen Daten haben können
- Einführung regelmäßiger Überwachungsprozesse und Audits
