DSA-Audit
- Verweise auf EU-U.S. und Swiss-U.S. Privacy Shield Dokumentation finden sich hier.
Überprüfung 1: Vorbereitung auf die DSGVO
Wie hat sich das Unternehmen auf die DSGVO vorbereitet? Welche Vorgehensweise, welche Bereiche waren involviert und welche Maßnahmen wurden initiiert wurden. Sofern noch nicht alle Maßnahmen vollständig umgesetzt wurden, den aktuellen Umsetzungsstatus erläutern.
AUDIT:
- Wurden erkennbar alle wesentlichen Unternehmensbereiche eingebunden, die mit personenbezogenen Daten arbeiten (z.B. Personal, IT, Vertrieb/Kundenbetreuung, Marketing)?
- Gibt es Hinweise darauf, dass Schulungen zur DSGVO durchgeführt wurden?
- Wurden erkennbar alle vom Unternehmen geplanten Maßnahmen umgesetzt?
Überprüfung 2: Verzeichnis von Verarbeitungstätigkeiten (VVT)
Wie wird sichergestellt, dass alle Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden? Wie wird dessen Aktualität sichergestellt? Bitte eine Übersicht der dokumentierten Verfahren sowie ein Beispielverfahren vorlegen.
AUDIT:
- Wird deutlich, dass bestehende Verfahren an die neue Rechtslage angepasst bzw. neue Verfahren erfasst wurden?
- Wird deutlich, dass das Verzeichnis von Verarbeitungstätigkeiten (VVT) regelmäßig überprüft und soweit erforderlich aktualisiert wird?
- Ist aus der Verfahrensübersicht erkennbar, dass die Standardverfahren zur z.B. Bürokommunikation, Personalverwaltung, Lohnabrechnung, Bewerbermanagement, Homepage und Kundenverwaltung dokumentiert sind?
- Entspricht das übersandte Musterverfahren den rechtlichen Vorgaben des. Art. 30 Abs. 1 DSGVO?
CHECKLISTE:
- Sind Name und Kontaktdaten des Verantwortlichen angegeben?
- Sind – soweit einschlägig – Name und Kontaktdaten des ggf. gemeinsam mit ihm Verantwortlichen angegeben?
- Sind – soweit einschlägig – Name und Kontaktdaten des ggf. Vertreters des Verantwortlichen angegeben?
- Sind – soweit einschlägig – Name und Kontaktdaten des ggf. vorhandenen5. Werden die Zwecke der Verarbeitung genannt?
- Werden die Kategorien betroffener Personen (z.B. Beschäftigte, Kunden, etc.) und die Kategorien personenbezogener Daten (z.B. Mitarbeiter-Stammdaten, Bewerberdaten, Kundenkontaktdaten, Bonitätsdaten, etc.) beschrieben?
- Werden die Kategorien von Empfängern (z.B. Banken, Sozialversicherungsträger, unternehmensinterne Datenempfänger wie Betriebsrat oder -arzt) gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, angegeben?
- Wird eine Aussage zur Übermittlung von personenbezogenen Daten an ein Drittland oder an eine intern. Organisation getroffen?
- Werden die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien angegeben?
- Erfolgt eine allg. Beschreibung der technischen u. organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO?
Überprüfung 3: Zulässigkeit der Verarbeitung
Auf Basis welcher Rechtsgrundlagen werden die personenbezogenen Daten verarbeitet?Sofern diese auch auf Basis von Einwilligungen personenbezogener Daten verarbeitet werden, bitte verwendete Muster vorlegen.
AUDIT:
- Sind die genannten Rechtsgrundlagen auf Basis der vorgelegten Verfahrensübersicht plausibel?
- Sind die Einwilligungserklärungen leicht verständlich, d.h. wird inhaltlich der betroffenen Person das „Ob“ und „Wie“ der Einwilligungserteilung in einer klaren und einfachen Sprache vor Augen geführt?
- Wird auf die Identität des Verantwortlichen hingewiesen?
- Wird der Zweck der Verarbeitung genannt?
- Wird die Art der Daten, die erhoben und verwendet werden, genannt?
- Wird auf das Widerrufsrecht hingewiesen?
- Ist aus den Unterlagen erkennbar, dass der Widerruf so einfach ist wie die Erteilung der Einwilligung?
- Gibt es Anhaltspunkte dafür, dass das Merkmal der Freiwilligkeit fehlen könnte?
- Wird aus den Unterlagen deutlich, dass die Einwilligungen dokumentiert werden?
Überprüfung 4: Betroffenenrechte
Wie wird die Einhaltung der Betroffenenrechte (auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit) sichergestellt? Prozesse skizzieren und detailliert beschreiben, wie den Informationspflichten nachgekommen wird. Vorhandene Musterinformationen bitte vorlegen. (keine Zweideutigkeit, Vermeidung von Fachvokabular, sofern Fachvokabular verwendet wird, Erläuterung der Fachbegriffe)
CHECKLISTE:
- Ist der Umgang mit der Informationspflicht nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
- Werden die Informationen leicht zugänglich zur Verfügung gestellt (z.B. Aushang, Flyer, E-Mail, Brief …)?
- Sind die Informationen übersichtlich darstellt (z.B. durch Überschriften, Absätze, Gliederung)?
- Sind die Informationen verständlich und in einfacher Sprache formuliert?
- Werden die Betroffenen über den für die Verarbeitung Verantwortlichen informiert (Name und Kontaktdaten)?
- Weist das Muster auf die Kontaktdaten der/des DSB hin?
- Informiert das Muster über die Zwecke der Verarbeitung und nennt die Rechtsgrundlagen?
- Wird das berechtigte Interesse beschrieben, sofern eine Verarbeitung nach Art. 6 Abs. 1 Buchstabe f. DSGVO erfolgt?
- Werden die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten genannt?
- Informiert der Verantwortliche über die Übermittlung oder die Absicht einer Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation?
- Falls 5. bejaht wird: Informiert der Verantwortliche über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Fall von Übermittlungen gemäß Art. 46 oder 47 oder 49 Abs. 1 DSGVO über die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind?
- Wird bei Erhebung der Daten über die Speicherdauer informiert?
- Wird auf das Recht auf Auskunft hingewiesen?
- Wird auf das Recht auf Berichtigung hingewiesen?
- Wird auf das Recht Löschung hingewiesen?
- Wird auf das Recht zur Einschränkung der Verarbeitung hingewiesen?
- Wird auf das Widerspruchsrecht hingewiesen?
- Wird auf das Recht auf Datenübertragbarkeit hingewiesen?
- Wird auf das Recht auf Widerruf der Einwilligung hingewiesen?
- Wird auf das Beschwerderecht ggü. der Aufsichtsbehörde hingewiesen?
- Wird auf die gesetzliche oder vertragliche Pflicht zur Verarbeitung hingewiesen?
- Wird bei Bestehen einer automatisierten Entscheidungsfindung (z.B. Profiling) über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person informiert?
- Wird bei einer beabsichtigten Zweckänderung sichergestellt, dass die betroffene Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen (s. vorstehend Punkte 5 bis 22) erhält?
- Gibt es eine Datenschutzerklärung auf der Website?
- Ist die Datenschutzerklärung leicht zu finden (max. 2 Clicks ab der Startseite)?
- Ist die Datenschutzerklärung verständlich und in einfacher Sprache formuliert? (Definition s. Punkt 4)
Auskunftsrecht
CHECKLISTE:
- Ist der Umgang mit dem Auskunftsrecht plausibel und logisch nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
- Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird?
- Wird aus dem beschriebenen Prozess deutlich, dass die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags erteilt wird?
- Kann der Prozessbeschreibung entnommen werden, dass durch den Verantwortlichen voraussichtlich vollständige Auskünfte erteilt werden (z.B. durch Beschreibung der eingebundenen Unternehmensbereiche, Hinweis auf Nutzung einer Softwareanwendung)?
- Ist aus den Unterlagen erkennbar, dass der Verantwortliche auf Antrag eine Kopie der personenbezogenen Daten zur Verfügung stellt?
Berichtigungsrecht
CHECKLISTE:
- Ist der Umgang mit dem Berichtigungsrecht nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
- Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird?
- Wird aus dem beschriebenen Prozess deutlich, dass die betroffene Person in Bezug auf die ergriffenen Maßnahmen (Berichtigung) unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags informiert wird?
- Ist den Unterlagen zu entnehmen, dass der Verantwortliche, soweit er die Daten anderen Empfänger offengelegt hat, allen Empfängern jede Berichtigung mitteilt?
Löschung
CHECKLISTE:
- Ist der Umgang mit dem Recht auf Löschung nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
- Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird?
- Wird aus dem beschriebenen Prozess deutlich, dass die betroffene Person in Bezug auf die ergriffenen Maßnahmen (Löschung) unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags informiert wird?
- Wird beschrieben, unter welchen Voraussetzungen Daten gelöscht werden?
- Ist den Unterlagen zu entnehmen, dass der Verantwortliche, soweit er die Daten anderen Empfänger offengelegt hat, allen Empfängern jede Löschung mitteilt?
Einschränkung der Verarbeitung
CHECKLISTE:
- Ist der Umgang mit dem Recht auf Einschränkung der Verarbeitung nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
- Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird?
- Wird aus dem beschriebenen Prozess deutlich, dass die betroffene Person in Bezug auf die ergriffenen Maßnahmen (Einschränkung der Verarbeitung) unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags informiert wird?
- Ist beschrieben, dass die betroffene Person sowohl über die Einschränkung als auch vor deren Aufhebung über die Aufhebung unterrichtet wird?
- Ist den Unterlagen zu entnehmen, dass der Verantwortliche, soweit er die Daten anderen Empfänger offengelegt hat, allen Empfängern jede Einschränkung mitteilt?
Datenübertragbarkeit
CHECKLISTE:
- Ist der Umgang mit dem Recht auf Datenübertragbarkeit nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
- Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird?
- Wird aus dem beschriebenen Prozess deutlich, dass der betroffenen Person die Daten unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung gestellt werden?
- Wird beschrieben, dass der Verantwortliche bezüglich des Rechts auf Datenübertragbarkeit sicherstellt, dass die Daten in einem gängigen, strukturierten und maschinenlesbaren Format zur Verfügung gestellt werden (d.h. von einer gebräuchlichen Softwareanwendung leicht zu identifizieren, zu extrahieren und zu öffnen)?
Überprüfung 5: technischer Datenschutz
Wie wird sichergestellt, dass technischen und organisatorischen Maßnahmen bzw. die der Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten.
AUDIT:
- Ist ein risikobasierter Ansatz in der Antwort berücksichtigt?
- Wurde gezeigt, dass verstanden wurde, dass auf Basis des ermittelten Risikos die dargelegten technisch- und organisatorischen Maßnahmen geeignet sind, das Risiko auf ein angemessenes Schutzniveau zu reduzieren?
- Zeigt die Antwort, dass verstanden wurde, dass ein Abwägungsprozess erfolgen muss (Risiko, Implementierungskosten und Stand der Technik), um ein angemessenes Schutzniveau zu erreichen?
- Zeigt die Antwort, dass das Unternehmen erkannt hat, dass die Verantwortung für die technisch- und organisatorischen Maßnahmen des Dienstleisters beim Verantwortlichen bleibt?
Wie wird sichergestellt, dass technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
AUDIT:
- Wurde der Begriff "Stand der Technik" richtig verstanden?
- Zeigt die Antwort, dass verstanden wurde, dass das Unternehmen nachweisen muss, dass die gewählten technisch-organisatorischen Maßnahmen den Stand der Technik berücksichtigen?
- Zeigt die Antwort, dass verstanden wurde, dass sich der "Stand der Technik" kontinuierlich weiterentwickelt?
- Zeigt die Antwort, dass verstanden wurde, dass die technisch-organisatorischen Maßnahmen kontinuierlich den jeweiligen "Stand der Technik" berücksichtigen müssen?
Wie wird sichergestellt, dass für die aktuellen oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept vorliegt?
AUDIT
- Zeigt die Antwort, dass verstanden wurde, dass die Kenntnis und Berücksichtigung der Organisation für das Rechte- und Rollenkonzept relevant ist?
- Zeigt die Antwort, dass verstanden wurde, dass eine Funktionstrennung, sowie die Trennung von Person und Rolle berücksichtigt werden muss?
- Zeigt die Antwort, dass verstanden wurde, dass die Dokumentation der zugelassenen Benutzer und Rechteprofile im Rechte- und Rollenkonzept berücksichtigt werden muss?
- Zeigt die Antwort, dass verstanden wurde, dass die Auswahl von Identitäts- und Berechtigungsmanagementsystemen im Rechte- und Rollenkonzept berücksichtigt werden muss?
Wie wird sichergestellt, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mitberücksichtigt werden (Privacy by Design und by Default)?
AUDIT
- Zeigt die Antwort, dass verstanden wurde, dass Datenschutz als Standardeinstellung zu berücksichtigen ist?
- Zeigt die Antwort, dass verstanden wurde, dass der Datenschutz während des gesamten Lebenszyklus beachtet werden muss?
- Zeigt die Antwort, dass verstanden wurde, dass die Minimierung der Verarbeitung personenbezogener Daten anzustreben ist?
- Zeigt die Antwort, dass verstanden wurde, dass Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt werden sollte?
Überprüfung 6: Datenschutz-Folgenabschätzung
Wie wird sichergestellt, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird?
AUDIT
Werden alle Normen, nach denen ein hohes Risiko zu bejahen ist, geprüft?
- Art. 35 Abs. 4?
- Art. 35 Abs. 3?
- Art. 35 Abs. 1?
Welche Methodik zur Risikobestimmung wird verwendet?
- WP 248?
- KP Nr. 18 – Risiko?
- Eigene Methode?
- Ist die beschriebene eigene Methode geeignet, hochriskante Verfahren zu identifizieren?
It beschrieben, wer für die Prüfung zuständig ist?
Wird beschrieben, wo die Schwellwertprüfung dokumentiert wird?
Sind die Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen identifiziert?Welche?Fügen Sie bitte die jeweilige Dokumentation zur Datenschutz-Folgenabschätzung bei.
AUDIT
Welche DSFA wurde beispielhaft ausgewertet?
Wurden Verfahren mit voraussichtlich hohen Risiken für die Rechte und Freiheiten natürlicher Personen durch den Verantwortlichen identifiziert?
Inhaltliche Prüffähigkeit
- Liegt eine systematische Beschreibung der Verarbeitungsvorgänge vor?
- Liegt eine systematische Beschreibung der Verarbeitungszwecke vor?
- Ergebnis
Musste für die vorliegende Form der Verarbeitung eine DSFA gemacht werden?
- Ja
- Nein, weil kein hohes Risiko
- Nein, weil bereits für einen ähnlichen Verarbeitungsvorgang eine DSFA durchgeführt wurde
- Nein, weil die Verarbeitung vor dem 25. Mai 2018 begonnen hat und die Datenschutzaufsichtsbehörde oder der Datenschutzbeauftragte das Verfahren im Rahmen einer Vorabkontrolle geprüft haben und sich die Risiken seitdem nicht geändert haben
Liegt eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck vor?
- Ist die Notwendigkeit der Verarbeitung behauptet?
- Ist die Notwendigkeit begründet?
- Ist die Verhältnismäßigkeit der Verarbeitungsvorgänge behauptet?
- Ist die Verhältnismäßigkeit der Verarbeitungsvorgänge begründet?
Liegt eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen vor?
- Wird die Methode zur Risikobewertung beschrieben?
- Wieviel der folgenden Gewährleistungsziele werden betrachtet: Vertraulichkeit, Integrität, Verfügbarkeit, Transparenz, Intervenierbarkeit, Nichtverkettung
- Werden Risiken benannt?
- Wird die Schwere des Schadens angegeben?
- Sind die Einstufungen der Schwere des Schadens begründet?
- Wird die Eintrittswahrscheinlichkeit angegeben?
- Sind die Einstufungen der Eintrittswahrscheinlichkeiten begründet?
- Erfolgt die Begründung unter Berücksichtigung von Art, Umfang, Umständen und Zwecken der Verarbeitung?
- Werden Risikoquellen benannt?Z.B. Hacker, Hardwareausfall, eigene Mitarbeiter
Abhilfemaßnahmen
- Sind Abhilfemaßnahmen genannt?
- Sind die Abhilfemaßnahmen beschrieben?
- Berücksichtigen die Abhilfemaßnahmen die festgestellten Risiken?
- Berücksichtigen die Abhilfemaßnahmen die Implementierungskosten?
- Berücksichtigen die Abhilfemaßnahmen den Stand der Technik?
- Erfolgt eine Restrisikobetrachtung?
Ist geprüft worden, ob ein Verfahren der vorherigen Konsultation nach Art. 36 durchzuführen ist?
Ist der Rat des Datenschutzbeauftragten nach Art. 35 Abs. 2 eingeholt worden?
Ist der Standpunkt der betroffenen Personen nach Art. 35 Abs. 9 eingeholt worden?
Überprüfung 7: Auftragsverarbeitung
Sind bestehende Verträge mit Auftragsverarbeitern an die neuen Regelungen der DSGVO angepasst worden?Musterverträge und aktuellen Beispielvertrag mit einem Auftragsverarbeiter.
Audit
- Ist den Unterlagen zu entnehmen, dass die bestehenden Verträge an die neue Rechtslage angepasst wurden?
- Entspricht das übersandte Muster den rechtlichen Anforderungen?
CHECKLISTE:
- Wird der Gegenstand der Verarbeitung im Vertrag festgelegt?
- Wird die Dauer der Vereinbarung fixiert?
- Enthält der Vertrag Angaben zu Art (Modalitäten wie z.B. Erheben, die Organisation, die Anpassung, Verbreitung oder auch Vernichtung der Daten) und Zweck der Verarbeitung?
- Wurde die Art der personenbezogenen Daten und die Kategorien betroffener Personen festgelegt?
- Gibt es eine Dokumentation der Weisungsbefugnisse des Verantwortlichen?
- Gibt es eine Regelung in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation?
- Ist mittels des Mustervertrags gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben?(z.B. mittels Zusicherung, dass eine Verpflichtung gem. Art. 29 vorliegt?)
- Gibt es eine Regelung, wonach der Auftragsverarbeiter alle gem. Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen ergreift?
- Wurde im Mustervertrag festgelegt, dass die Inanspruchnahme eines weiteren Auftragsverarbeiters der vorherigen Genehmigung des Verantwortlichen bedarf bzw. ein Unterauftragsverbot vereinbart?
- Wurde für den Fall einer Unterbeauftragung geregelt, dass den Unterauftragsverarbeiter die gleichen Pflichten aufzuerlegen sind, wie dem Auftragsverarbeiter?
- Enthält der Mustervertrag eine Regelung, wonach der Auftragsverarbeiter den Verantwortlichen bei dessen Umsetzung der Betroffenenrechte unterstützt?
- Beinhaltet der Mustervertrag eine Regelung, wonach der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 genannten Pflichten unterstützt?
- Wurden die Verpflichtungen des Auftragsverarbeiters nach Auftragsbeendigung fixiert (nach Wahl des Verantwortlichen Löschung oder Rückgabe aller personenbezogenen Daten)?
- Sind die Kontrollrechte des Verantwortlichen festgelegt worden?
Audit:
- Entspricht der übersandte Beispielvertrag den rechtlichen Anforderungen?
CHECKLISTE:
- Wurde der Gegenstand der Verarbeitung im Vertrag festgelegt?
- Wurde die Dauer der Vereinbarung fixiert?
- Enthält der Vertrag Angaben zu Art und Zweck der Verarbeitung?
- Wurde die Art der personenbezogenen Daten und die Kategorien betroffener Personen festgelegt?
- Gibt es eine Dokumentation der Weisungsbefugnisse des Verantwortlichen?
- Gibt es eine Regelung in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation?
- Ist mittels des Beispielvertrags gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben?(z.B. mittels Zusicherung, dass eine Verpflichtung gem. Art. 29 vorliegt?)
- Gibt es eine Regelung, wonach der Auftragsverarbeiter alle gem. Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen ergreift?
- Wurde im Beispielvertrag festgelegt, dass die Inanspruchnahme eines weiteren Auftragsverarbeiters der vorherigen Genehmigung des Verantwortlichen bedarf bzw. ein Unterauftragsverbot vereinbart?
- Wurde für den Fall einer Unterbeauftragung geregelt, dass den Unterauftragsverarbeiter die gleichen Pflichten aufzuerlegen sind, wie dem Auftragsverarbeiter?
- Enthält der Beispielvertrag eine Regelung, wonach der Auftragsverarbeiter den Verantwortlichen bei dessen Umsetzung der Betroffenenrechte unterstützt?
- Beinhaltet der Beispielvertrag eine Regelung, wonach der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der in den Art. 32 bis 36 genannten Pflichten unterstützt?
- Wurden die Verpflichtungen des Auftragsverarbeiters nach Auftragsbeendigung fixiert (nach Wahl des Verantwortlichen Löschung oder Rückgabe aller personenbezogenen Daten)?
- Sind die Kontrollrechte des Verantwortlichen festgelegt worden?
Überprüfung 8: Datenschutzbeauftragter
Wie ist der Datenschutzbeauftragter in die Organisation eingebunden? Welche Fachkundenachweise hat er?
AUDIT
Welche Aufgaben hat der Datenschutzbeauftragte?
- Beratung der Geschäftsführung
- Beratung der Fachabteilungen
- Sensibilisierung der Mitarbeiter
- Durchführung interner Audits/Kontrollen
- Beantwortung/Klärung von Datenschutzbeschwerden
- Durchführung von Anfragen zu Betroffenenrechten
- Aufgabenplanung der Fachabteilungen
- Durchführung der Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO)
- Sonstige: __________________________________________________________
CHECKLISTE
- Berichtet der betriebliche Datenschutzbeauftragte (bDSB) in seiner Funktion direkt an die Geschäftsleitung?
- Hat der bDSB noch eine Linienaufgabe im Unternehmen?
- Falls ja: Welche Position wird im Unternehmen noch bekleidet?
- Bestehen hierdurch die Gefahr einer Befangenheit und damit ein Interessenkonflikt? (z.B. DSB ist Inhaber selbst, Vorstand, Geschäftsführung oder Leitung HR oder IT)
- Organisatorische Einbindung bei einem externen DSB:
- Lässt sich aus den Unterlagen die aktuelle und ausreichende Fachkunde der/des DSB entnehmen?
- Veröffentlichung der Kontaktdaten des DSB:
- Erfolgte die Veröffentlichung auf der Internetseite des Unternehmens?
- Sind die Kontaktdaten des DSB dort leicht auffindbar? (max. 2 Clicks ab der Startseite)
- Erfolgte eine Meldung des DSB bei der Aufsichtsbehörde?
Überprüfung 9: Meldepflichten
Wie wird sichergestellt, dass das Unternehmen Datenschutzverstöße fristgemäß an die Aufsichtsbehörde meldet? Diesbezüglichen Prozesse skizzieren.
AUDIT
- Wurde der Prozess zur Meldung der Datenschutzverstöße nachvollziehbar dargestellt?
- Sind im Meldeprozess die Verantwortlichkeiten (wer macht was) klar geregelt?
- Wird die 72-Std.-Frist erkennbar berücksichtigt?
- Wird deutlich, dass die Mitarbeiter hinsichtlich dieses Prozesses sensibilisiert wurden?
- Ist aus den Unterlagen erkennbar, dass die Datenschutzverstöße dokumentiert werden?
Überprüfung 10: Dokumentation
Wie wird die Einhaltung aller vorstehend in Ziff. 2 – 9 genannten Pflichten nachgewiesen?
CHECKLISTE:
- Ergibt sich aus der Antwort oder den sonstigen Unterlagen, dass eine Dokumentation zu jeder der abgefragten Pflichten vorhanden ist?