DSGVO-Checkliste Für Anfänger

Diese DSGVO-Checkliste wurde entsprechend der DSGVO-Konformität erstellt. Außerdem ist sie die einzige DSGVO-Checkliste, die Sie je benötigen werden.

Bevor Sie die DSGVO-Checkliste durchgehen, ist es wichtig, einige grundlegende Schritte zu wiederholen. Erster Ausgangspunkt ist die Kenntnis über die allgemeinen Rechte, die Ihre Kunden/Nutzer haben:

Betroffenenrecht: Dies sind die Rechte Ihrer Kunden und Nutzer gemäß der Allgemeinen Datenschutzverordnung (DSGVO).

Datenübertragbarkeit: Dies ist das Recht einer Person nach der DSGVO, ihre Daten an andere Datenverantwortliche weiterzugeben. Im Wesentlichen bedeutet es, dass Verbraucher durch schnellen und effizienten Datentransfer von einem Unternehmen zum anderen wechseln können.

Das Recht, vergessen zu werden: Kunden/Benutzer können Sie auffordern, alle ihre Daten zu löschen.

Das Recht, Profiling zu verhindern: Dies kann durch automatisierte Entscheidungsfindung oder durch andere Formen der Entscheidungsfindung geschehen, die personenbezogene Daten einer Person verarbeiten und Rückschlüsse auf diese Personen ziehen.

Das Recht, der Verarbeitung zu widersprechen: Ihre Kunden können Sie von der Verarbeitung jeder Kategorie ihrer Daten, die Sie haben, ausschließen.

Das Recht auf Berichtigung und Löschung: Dies bezieht sich auf die Bearbeitung von Daten und die Beschränkung des Zugriffs auf bestimmte Arten von Daten.

Subject Access Requests („SARs“): Dies sind Anfragen, die Ihr Kunde/Nutzer zu einem beliebigen Zeitpunkt stellen kann, um Sie nach Daten zu fragen, die Sie über ihn haben und wie diese verwendet werden.

Wiederholung der grundlegenden DSGVO Schritte

Machen Sie zunächst eine Bestandsaufnahme aller Daten, die Sie sammeln und verarbeiten. Wenn Sie ein Controller sind, fragen Sie sich als Leitsatz, warum Sie diese Daten sammeln. Wenn Sie ein Verarbeiter sind, fragen Sie sich: In wessen Namen sammeln Sie diese Daten? Das ist der wichtigste Teil unserer DSGVO Checkliste.

Benennen Sie einen DSB:

Ein Datenschutzbeauftragter kann intern oder extern für Ihr Unternehmen tätig sein. Wenn Sie jemanden intern ernennen, stellen Sie sicher, dass er sowohl Autonomie als auch Zugang zu den Geschäftsführern und dem oberen Management hat. Das ist vor allem notwendig, damit sie ihre datenschutzrechtlichen Pflichten und Verantwortlichkeiten ohne übermäßigen Stress und Blockaden selbstständig wahrnehmen können. Sobald dies geschehen ist, unterzeichnen Sie einen Vertrag mit der entsprechenden Person. Eine Voraussetzung für die Entsendung eines Datenschutzbeauftragten ist laut Gesetz, dass er über angemessene Fähigkeiten verfügt. Das bedeutet, dass Ihr DSB ein umfassendes Verständnis der Allgemeinen Datenschutzverordnung (DSGVO) haben sollte.

Es ist notwendig, dass Sie einen Datenschutzbeauftragten (DSB) ernennen:

1.1. Wenn das Kerngeschäft Ihres Unternehmens die Verarbeitung großer Mengen an persönlichen Daten sowie die Überwachung Ihrer Nutzer oder im DSGVO-Jargon „Datensubjekte“ ist: Personenbezogene Daten sind folgende Arten von Daten:

Daten, die eine direkte Identifizierung von Informationen wie Vorname, Nachname, Telefonnummer u.a. ermöglichen.

Pseudonyme Daten oder Daten, die die Informationen eines Betroffenen nicht direkt identifizieren, sprich die keine direkte Identifizierung von Nutzern erlauben, sondern das Herausfiltern individueller Verhaltensweisen z. B. durch gezielte Werbung (die richtige Anzeige zum richtigen Zeitpunkt dem richtigen Nutzer zu zeigen).

1.2. Wenn Ihr Unternehmen mit einer großen Menge an sensiblen Daten zu tun hat, handelt es sich um eine der folgenden Daten:

Ethnische Herkunft

Politische Meinungen

Religiöse oder philosophische Überzeugungen

Gewerkschaftsmitgliedschaft

Genetische Daten

Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person

Daten über die Gesundheit oder das Sexualleben und/oder die sexuelle Orientierung einer natürlichen Person

  1. Daten-Mapping:

Der zweitwichtigste Teil der DSGVO Checkliste ist die Erstellung einer Übersicht aller Daten und die Angabe aller Abteilungen, die die Daten bei der Erfassung und Verarbeitung berühren. Die verwendeten Daten müssen kategorisiert werden, damit ihre Rechtsgrundlage klar wird. Rechtsgrundlage könnten unter anderem Einwilligung, berechtigtes Interesse und vertragliche Notwendigkeit sein.

Um zu beurteilen, wohin die Daten fließen, müssen Sie eine Mind-Map erstellen, die Ihnen hilft, Ihre Compliance-Prozesse zu steuern.

  1. Sie sollten alle Aspekte der Unternehmensinteraktion mit Daten dokumentieren. Hier sind die Fragen, die Sie beantworten können sollten:

Warum wurden die Daten überhaupt gesammelt? Zu welchem Zweck?

Auf welcher Rechtsgrundlage rechtfertigen Sie die Speicherung dieser Daten? Einwilligung oder gesetzliche Bestimmungen?

3.1. Die Aufzeichnung der Verarbeitungstätigkeiten erfolgt unter diesem Schritt.

Beachten Sie hierbei alle Schritte in Ihrem Mind-Mapping-Prozess. Wer hat im jeweiligen Schritt Zugriff auf die Daten? Durch die Dokumentation Ihrer Prozesse erhalten Sie ein viel klareres und besseres Verständnis für die Datenerhebungs- und Managementstrategien Ihres Unternehmens sowie für den Compliance-Prozess. Eine konkrete Dokumentation, die definitiv durchzuführen ist, ist eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA).

3.2. Lieferantenmanagement

Wie schützen Sie diese Daten vor Verstößen? Wofür werden diese Daten noch verwendet? Stellen Sie sicher, dass Sie alle Ihre Lieferanten aufgelistet haben und Ihre Kunden/Nutzer wissen, dass Sie ihre Daten mit anderen Parteien teilen.

  1. Datenschutzverletzungen

Seien Sie ehrlich und transparent in Bezug auf alle Daten, die Sie sammeln. Im Falle eines Verstoßes werden die Personen alle Daten offenlegen, die sie bekommen haben. Ihre Kunden müssen wissen, welche Daten Sie speichern. Hier erfahren Sie mehr darüber, wie moderne Unternehmen über Daten denken sollten: https://hbr.org/2015/05/customer-data-designing-for-transparency-and-trust.

Verletzungen der Datensicherheit in Bezug auf die Daten, die Ihr Unternehmen sammelt und verarbeitet, können auftreten und müssen nach den Richtlinien des DSGVO behandelt werden. Der entscheidende Punkt hierbei ist Ihre Kunden/Nutzer über den Verstoß zu informieren. Angesichts der Bedeutung, die die EU den personenbezogenen Daten beigemessen hat, ist es nicht verwunderlich, dass die Betroffenen darauf aufmerksam werden, wenn ihre Daten von anderen Parteien, die nicht über eine Einwilligung verfügen, berührt werden. In einem solchen Fall muss die zuständige Datenschutzbehörde spätestens innerhalb von 72 Stunden nach Kenntnisnahme informiert werden.

Die gleiche Frist gilt für die betroffenen Personen, deren Daten Sie erfassen und verwenden. Das Unternehmen muss alle Personen kontaktieren und sie darauf hinweisen, dass eine Datenschutzverletzung vorliegt. Unternehmen brauchen diese Maßnahme in der Praxis jedoch nicht, wenn die Daten soweit verschlüsselt sind, dass sie nicht nachvollziehbar sind, oder wenn der Verantwortliche für die Datenverarbeitung alle notwendigen Schritte unternommen hat sicherzustellen, dass die Verletzung keine Rechte oder Freiheiten gefährdet. Wenn es einen beispiellosen Aufwand erfordern würde, jeden Betroffenen einzeln zu kontaktieren, dann würde auch eine öffentliche Bekanntmachung diese Anforderung erfüllen.

  1. Antrag auf die Erteilung einer Auskunft über personenbezogene Daten

Dies ist der entscheidende Teil der DSGVO Checkliste, da sie in früheren Datenschutzgesetzen nicht verfügbar war. Es ist eines der Grundrechte, die die DSGVO für die Verbraucher vorsieht. Das bedeutet im Wesentlichen, dass die betroffenen Personen jederzeit nachfragen können, welche Daten von ihrer Organisation erfasst wurden. Diese Zugriffsanfragen können nicht berechnet werden, auch wenn die Bearbeitung viel Zeit in Anspruch nimmt. Außerdem müssen sie innerhalb eines Monats vom Inhaber der Datenverarbeitung beantwortet werden. Das Gesetz legt zudem den allgemeinen Grundsatz fest, wann ein für die Verarbeitung Verantwortlicher dem Betroffenen die entsprechenden Verwaltungskosten in Rechnung stellen kann, wenn nachgewiesen werden kann, dass der Antrag „offensichtlich unbegründet oder übertrieben“ ist. Auf diese Weise wird das Gleichgewicht der individuellen Rechte und die Rechte des Unternehmens gehalten, um einen gewissen Schutz vor Missbrauch dieser Bestimmung zu erhalten. Hier ist eine grundlegende Zusammenfassung dieses Artikels, wie in der DSGVO skizziert:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  1. a) die Verarbeitungszwecke;
  2. b) die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen

Organisationen;

  1. d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  3. f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  4. g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  5. h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“.
  6. Technische Checkliste

Als Teil der DSGVO Checkliste führt Sie diese Checkliste durch die technischen Schritte, die Ihr Unternehmen durchführen muss.

6.1. Stellen Sie sicher, dass Ihre Domainnamen geschützt sind. Sie können das tun, indem Sie diese entweder regelmäßig erneuern oder wenn Sie sie von einer dritten Partei kaufen, sicherstellen, dass der konfigurierte Nameserver, der maßgebend ist, und, dass Ihre kritischen Dienste gesichert sind.

6.2. Viele Unternehmen haben Google Apps, Slack, WordPress, die sie in ihrem täglichen Geschäftsleben verwenden. Diese Dienste haben alle Standardeinstellungen, die verbessert werden sollten, um das Sicherheitsniveau Ihrer Organisation zu erhöhen. Außerdem müssen Sie sicherstellen, dass alle Ihre Dienste und Anwendungen aktualisiert werden, damit neue Sicherheitseinstellungen sowie DSGVO-konforme Einstellungen implementiert werden. Hier finden Sie eine Quelle, die zeigt, wie Sie Ihre Google-Anwendungen sicherer machen können: https://blog.trailofbits.com/2015/07/07/how-to-harden-your-google-apps/.

6.3. So bequem und verlockend es auch sein mag: Teilen Sie Ihr WIFI nicht

Shared Workplaces sind heutzutage weit verbreitet, was bedeutet, dass die gemeinsame Nutzung von WIFI-Netzwerken durch Unternehmen, Gäste, Studenten oder Nachbarn das Risiko von Sicherheitsverletzungen birgt, z. B. könnten Personen Informationen über Ihr Netzwerk sammeln und sogar den Zugriff auf Ressourcen ermöglichen, die durch Quell-IP geschützt sind. Machen Sie es sich zur Gewohnheit, Ihr Passwort regelmäßig zu ändern.

6.4. Entwicklung und Kommunikation eines Reaktionsplans bei Sicherheitsverletzungen

Dieser ermöglicht es dem Verantwortlichen zum Zeitpunkt eines Verstoßes, entsprechend über einen Vorfall zu kommunizieren und ermöglicht die schnellste Reaktion in technischer/ kommunikativer Hinsicht.

 

6.5. Anreize zur Fehlerfindung schaffen

Sie könnten ein externes oder internes Bug-Bounty-Programm haben, das sowohl externe Hacker als auch interne Mitarbeiter dazu anregt, Schwachstellen zu melden. Sobald diese Schwachstellen gemeldet wurden, müssen sie von Entwicklern oder anderen Personen innerhalb Ihres Entwicklungsteams überprüft werden, die über das nötige Know-how verfügen, um die erhaltenen Berichte auszuwerten.

6.6. Schulung technischer und nicht-technischer Mitarbeiter

Nicht selten sind Ihre Mitarbeiter und Ihr Humankapital diejenigen, die Sie angreifbar machen könnten, weshalb es wichtig ist zu wissen, wie Hacker oder andere Parteien Ihr Unternehmen infiltrieren können. Indem Sie ihren Bekanntheitsgrad erhöhen, verringern Sie das Risiko in eine Falle zu tappen. Normalerweise vergessen Unternehmen, ihre nicht-technischen Mitarbeiter zu schulen. Hier könnte jedoch umso mehr Trainingsbedarf bestehen, da Fachwissen fehlt, um solche Cyber-Angriffe und Schwachstellen zu erkennen und zu bewältigen.

6.7. 2-Faktor-Authentifizierung als obligatorische Regel im Mitarbeiterhandbuch

Diese stellt sicher, dass alle Konten Ihrer Mitarbeiter sicher sind. Und falls ein Passwort gestohlen wird, hat der Angreifer immer noch keinen Zugriff auf die Konten und die Informationen Ihres Unternehmens darin. Als CEO/CTO/CSO ist es Ihre Aufgabe, dafür zu sorgen, dass diese Regel von allen eingehalten wird. Die Verwendung eines komplexen und einzigartigen Passworts für jede Website ist ein guter Ratschlag, jedoch kann es so sehr schwierig sein, Passwörter abzurufen.

Passwort-Manager sind eine gute Möglichkeit, da diese sich alles mit einem Master-Passwort merken können.

6.8. Geräte verschlüsseln

Durch die Verschlüsselung von Firmen-Laptops und -Telefonen schützen Sie Ihr Unternehmensvermögen. Bevor Sie das tun, sollten Sie vielleicht eine Bestandsaufnahme Ihres gesamten Unternehmensvermögens vornehmen und die Mitarbeiter je nach Tätigkeit in Kategorien von Sicherheitsstufen einteilen. Hier finden Sie einige Quellen zum Verschlüsselungsverfahren: https://support.apple.com/en-us/HT204837

https://support.microsoft.com/en-us/instantanswers/e7d75dd2-29c2-16ac-f03d-20cfdf54202f/turn-on-device-encryption.

6.9. Förderung von Best Practices wie das „Sperren“ von Geräten und die Stärkung von Passwörtern

Ob Mitarbeiter den Schreibtisch für eine Minute oder eine Stunde verlassen – ermutigen Sie sie, ihre Geräte abzuschließen und es sich zur Gewohnheit zu machen. Dadurch ist Ihr Unternehmensvermögen sowohl vor Angriffen als auch vor zufälligen Unfällen geschützt. Denken Sie daran, dass Ihre Arbeitsumgebung vielleicht sicher ist, wenn Sie aber irgendwann z.B. externe Gäste oder Kandidaten für Interviews zu Besuch haben, diese manchmal schon durch einen schnellen Blick auf einen Bildschirm Zugriff auf Ihre Daten erlangen könnten. Außerdem würde diese Gewohnheit Ihren Mitarbeitern helfen Unternehmensinformationen sicher zu halten, wenn sie zum Beispiel auf Reisen sind oder zu Meetups gehen. Recherchieren Sie einfach Passwortmanager, wählen Sie einen guten aus und schlagen Sie diesen Ihren Mitarbeitern vor.

HR-Checkliste

Diese HR-Checkliste ist größtenteils eine organisatorische und technische Maßnahme im Rahmen unserer DSGVO Checkliste.

  1. Erstellen Sie ein Datenprotokoll: Überlegen Sie, welche Daten Ihrer Mitarbeiter Sie bearbeiten, und erstellen Sie ein Protokoll ihrer Verarbeitungstätigkeiten (Record of Processing Activities RPA). Wie bereits erwähnt, müssen Sie Folgendes angeben, um die Daten zu dokumentieren:

–       die Art der Daten (z. B. persönliche oder spezielle Personen (die früher als sensibel bezeichnet wurden))

–       die Datenkategorien (z. B. Rekrutierungsinformationen, Bankverbindung, Leistungsinformationen, Abwesenheitsdaten)

–       wen die Daten betreffen (z. B. Angestellte, Angehörige, Bewerber etc.)

–       wer Ihnen die Daten zur Verfügung gestellt hat (z. B. der Bewerber/Mitarbeiter selbst, Kreditreferenzagenturen, Personalvermittler oder andere Mitarbeiter)

–       Geben Sie Ihre Rechtsgrundlage für die Bearbeitung an (z. B. zur Erfüllung des Arbeitsvertrags, zur Erfüllung einer gesetzlichen Anforderung, legitimer oder sonstiger Interessen). Die Einwilligung als Rechtsgrundlage für personalbezogene Aufgaben wird nur selten Anwendung finden. Beachten Sie die gesetzlichen Anforderungen, die Sie erfüllen müssen, um die Erhebung und Verarbeitung zu rechtfertigen (z. B. zur Einhaltung des Arbeitsrechts oder zur Beurteilung der Arbeitsfähigkeit eines Mitarbeiters).

–       Der Zweck der Verarbeitung (z. B. um den Mitarbeiter zu bezahlen, für die Steuerberichterstattung oder um die Leistung zu managen)

–       Wo und wie die Daten gespeichert werden und wer Zugriff darauf hat, z. B. HR-Software, Steuerberater, gedruckte Lohnzetteldateien.

  1. Datenübernahmen: Aktualisieren Sie Ihre Lieferantenliste und protokollieren Sie sie separat. Außerdem sollten Sie alle Daten, die übertragen werden, einschließen (wie z. B. wer die Daten übertragen hat, wann sie übertragen wurden, wo sie gespeichert werden und wie Sie die Daten übertragen haben). Wenn Sie personenbezogene Daten außerhalb der Europäischen Union (EU) übermitteln, müssen Sie angeben, welche Schutzvorkehrungen getroffen wurden und die entsprechende Datenschutzerklärung mit Ihren Partnern unterzeichnen.
  2. Geben Sie an, wann genau die Daten gelöscht werden sollen: Hier können Sie Ihre Datensubjekte in Mitarbeiter, Bewerber oder andere Kategorien einteilen, die für Ihren Fall sinnvoll sind. Beispielsweise können Sie es bei Bewerbern zum Leitsatz machen, die Daten von abgelehnten Mitarbeitern monatlich/vierteljährlich zu löschen. Sie müssen jedoch in der Lage sein, diesen Zeitraum zu rechtfertigen.
  3. Führen Sie eine automatische Entscheidungsfindung oder Profilerstellung durch, z. B. für die elektronische Personalsuche auf der Grundlage von Studienleistungen, psychometrischen Tests oder anderen Metriken? Fügen Sie diese zu Ihrem RPA hinzu.
  4. Müssen Sie eine Datenschutz-Folgenabschätzung durchführen bzw. wann müssen Sie dies voraussichtlich in Zukunft tun (z. B. weil Sie eine risikoreiche Verarbeitung durchführen oder durchführen werden oder neue HR-Technologie einführen werden)?
  5. Überprüfen Sie, ob Ihre IT-Infrastruktur DSGVO konform ist. Ihre IT-Infrastruktur wird für zwei Hauptthemen bzgl. DSGVO Konformität relevant sein – Sicherheit und Arbeitnehmerrechte. Sicherheitsprobleme:
  6. Berücksichtigung von Arbeitnehmerrechten: Erlauben Ihnen Ihre automatisierten Entscheidungsprozesse, Einwände zu verarbeiten und auf Wunsch einen menschlichen Entscheidungsträger einzubeziehen?
  7. Wie werden Sie auf Zugriffsanfragen von Betroffenen reagieren? Können Sie einfach nach allen Daten zu einer bestimmten Person suchen? Dadurch wird die Beantwortung von Zugriffsanfragen Ihrer Mitarbeiter oder potenziellen Mitarbeiter wesentlich leichter. Können Ihre Mitarbeiter die Verarbeitung ihrer Daten einschränken? Oder Fehler korrigieren?
  8. Welches Verfahren stellen Sie einem Mitarbeiter zur Verfügung, um von seinem Widerspruchsrecht Gebrauch zu machen? Haben Sie die Verantwortung einer bestimmten Person zugewiesen?
  9. Wie erreichen Sie die unternehmensweite Löschung von personenbezogenen Daten auf Wunsch eines Mitarbeiters in relevanten Situationen?
  10. Ist der Export von Daten aus Ihrem System möglich? .csv-,.pdf- oder .txt-Dateien sind gängige Formate. Dies ermöglicht Ihnen, die Portabilität zu verwalten oder die Daten auf Wunsch des Arbeitnehmers oder eines zukünftigen/ehemaligen Arbeitgebers zu übertragen.
  11. Aktualisieren Sie Ihre Datenschutzrichtlinien und Arbeitsverträge: Nachdem Sie alle notwendigen Änderungen vorgenommen haben, ist es unerlässlich, dass Sie auch alle Ihre Mitarbeiter und andere Stakeholder informieren.

–       Datenschutzhinweis für Mitarbeiter

–       Datenschutzerklärung

–       Richtlinie für die Meldung von Datenschutzverletzungen

–       Subjekt-Zugangsregelung

–       Vorratsdatenspeicherung

  1. Stellen Sie sicher, dass alle Ihre Mitarbeiter ein angemessenes Maß an Schulung für den Umgang mit personenbezogenen Daten erhalten, das auf ihre Aufgaben zugeschnitten ist. Sie müssen über die richtigen Richtlinien und Verfahren informiert werden. Das Training muss regelmäßig aktualisiert werden und aufgezeichnet werden.
  2. Bewerten und ergreifen Sie die notwendigen Maßnahmen mit allen Ihren Partnern, die in irgendeiner Weise Ihre Daten berühren.

Sales & Marketing Aktivitäten im Zusammenhang mit der DSGVO Checkliste

Das ist wahrscheinlich neu für Sie und der schwierigste Teil der DSGVO Checkliste, denn es braucht Zeit.

  1. Prüfen und kontrollieren Sie Ihre Mailinglisten. Grundsätzlich müssen alle Personen entfernt werden, von denen Sie kein Opt-in haben und die dieses Opt-in nicht registriert haben. Für neue Abonnenten stellen Sie sicher, dass der potenzielle Abonnent bestätigt, dass er sich in Ihre Mailingliste eintragen möchte, indem er eine automatische E-Mail sendet, um das Abonnement zu bestätigen.
  2. Überprüfen Sie die Art und Weise, wie Sie persönliche Daten sammeln. Kaufen Sie immer noch Mailinglisten? Dann ist es jetzt vielleicht an der Zeit, mit einer neuen Mailingliste zu beginnen, die Sie von informierten Kunden erhalten haben und die eine rechtliche Grundlage für das Sammeln derer E-Mail-Adressen bietet. Löschen Sie alle E-Mails mit fehlender Einwilligung oder Rechtsgrundlage. Eine Möglichkeit, wie Sie trotzdem einfach Nutzer gewinnen oder Website-Besucher konvertieren können, ist es, den Besuchern Ihrer Website die Möglichkeit zu bieten, sich selbst über ein Pop-up in Ihre Mailing-Liste einzutragen.
  3. Wenn Sie Ihre Einwilligung einholen, ist sicherzustellen, dass ein Link zu Ihrer Datenschutzrichtlinie besteht, sodass Ihre Daten genauso behandelt werden, wie Sie es wünschen.
  4. Informieren Sie Ihre Vertriebs- und Marketingteams darüber, was rechtlich möglich ist und welche Praktiken aufzugeben sind, z. B.: Cold Mailing/Cold Calling (wenn die E-Mail-Adresse und/oder Telefonnummer nicht durch eine ordnungsgemäße Einwilligung übernommen wurde).
  5. Stellen Sie sicher, dass Ihre Kundendaten Teil Ihres Customer Relationship Management (CRM)-Systems sind. Dieses unterstützt das Bearbeiten und Überprüfen der Daten, sowie den Zugriff in einem maschinenlesbaren Format.
  6. Sammeln Sie Daten, die für Ihren Vertrieb oder Ihr Marketing notwendig sind. Fragen Sie sich, welche Datenkategorien Sie tatsächlich benötigen und welche Sie einfach löschen können. Wenn es um die Anmeldung von Formularen geht, fragen Sie nur nach den Elementen, die Sie benötigen und verwenden werden.
  7. Wenn Sie es noch nicht haben, probieren Sie Push-Benachrichtigungen aus. Werbetreibende können mit Hilfe von Push-Benachrichtigungen jederzeit eine Nachricht an die Abonnenten senden. Sie sind in der Post-DSGVO-Welt besonders hilfreich, da sie keine personenbezogenen Daten verarbeiten (IP-Adressen sind anonymisiert) und um die ausdrückliche Zustimmung zum Opt-in und zum Erhalt von Benachrichtigungen bitten.
  8. Stellen Sie sicher, dass die Datenschutzerklärung aktualisiert und leicht zu lesen ist (keine 1000 Seiten lang und ohne jeglichen Fachjargon).

DSGVO Checkliste für die Datenschutz-Folgenabschätzung bei Projekten

Laut DSGVO ist diese notwendig, wenn eine Organisation ein neues Projekt durchführt, das erhebliche Risiken in Bezug auf die Freiheiten und Rechte des Einzelnen, insbesondere in Bezug auf den Datenschutz, birgt. Wenn Organisationen ein solches Risiko in Bezug auf eine neue oder bestehende Operation identifiziert, sind dies die folgenden Schritte:

  1. Finden Sie heraus, ob eine Notwendigkeit für die DPIA besteht – führen Sie eine Bewertung durch und ermitteln Sie, ob die mit der Verarbeitung verbundenen Risiken eine DPIA erforderlich machen. Im Allgemeinen sind dies einige risikoreiche Aktivitäten, für die Sie wahrscheinlich eine DPIA durchführen müssten:

–       Großflächige Verarbeitung personenbezogener Standortdaten

–       Allgemeine große Datenanalyse

–       Großflächige Verarbeitung von Personaldaten mit Potenzial für signifikante Auswirkungen auf die Mitarbeiter

–       Video-/Audio-Analyse-Tools

–       Erstellung großflächiger individueller Profile

–       Analytik mit signifikanter Wirkung für den Einzelnen

–       Belohnungssysteme, die Profile generieren

–       Fitness-Wearables und Apps

  1. Verstehen und beschreiben Sie den Informationsfluss – Erstellen Sie eine Karte, wie die Informationen innerhalb des jeweiligen Verarbeitungsvorgangs gesammelt, gespeichert, verwendet und gelöscht werden.
  2. Identifizieren Sie alle Risiken – dokumentieren Sie die Bedrohungen, deren Umfang, Schwachstellen und die möglichen Gefahren für die Rechte und Freiheiten von Personen, deren Daten Sie sammeln und/oder verarbeiten.
  3. Bewerten Sie Ihre Datenschutzlösungen – Führen Sie für jedes Risiko, das Sie für die persönlichen Daten identifiziert haben, eine Kosten-Nutzen-Analyse durch und entscheiden Sie, ob Sie das Risiko akzeptieren, das Risiko ablehnen oder das Risiko akzeptieren möchten, aber mit Maßnahmen zur Verringerung der Auswirkungen der Bedrohung.
  4. Dokumentation der DPIA-Ergebnisse – Erstellen Sie einen Bericht, der vom Entscheidungsträger unterzeichnet wird. Wenn jedoch ein hohes Risiko besteht, muss der DPIA-Bericht der Datenschutzbehörde zur Konsultation vorgelegt werden.
  5. Integrieren Sie die Ergebnisse in Ihren Projektplan – stellen Sie bei jedem wichtigen Projekt-Meilenstein sicher, dass Sie auf Ihre DPIA zurückgreifen, um sicherzustellen, dass die erforderlichen Maßnahmen zur Risikobewältigung ergriffen werden.

Ich hoffe, Sie fanden diese umfassende DSGVO Checkliste nützlich. Grundsätzlich sollten Sie daran denken, dass jede undurchsichtige Erhebung und Verarbeitung von Daten hinterfragt werden sollte. Die Ausbildung Ihrer Mitarbeiter wird in jedem Falle hilfreich sein, um die Einhaltung der DSGVO zu gewährleisten. Fehlt Ihnen etwas in dieser DSGVO Checkliste? Arbeiten Sie mit uns an der Checkliste!