Deutsche Datenschutz Consult - Logo
 +49 40 228 60 70-0
 

Machen Sie den Quick-Check!

Prüfen Sie online anhand von nur wenigen Fragen, wo Sie bei der Umsetzung der DSGVO stehen! Wir erstellen Ihnen gerne eine kostenlose Vorab-Einschätzung zu den folgenden vier Kernthemen:

DSGVO Organisations-Check

Datenschutz-Organisation
Wie ist der Datenschutz organisatorisch im Unternehmen verankert? Gibt es klare Zuständigkeiten, wie wird das Thema "Datenschutz" im Unternehmen kommuniziert, sind die wesentlichen Bereiche durch klare Richtlinien oder Handlungsanweisungen geregelt?

DSGVO Daten-Check

Datenfluss-Steuerung
Wissen Sie eigentlich, welche personenbezogenen Daten wofür im Unternehmen verarbeitet werden und wie lange diese Daten gespeichert werden? Haben Sie einen Überblick über die Schnittstellen zu Dritten?

DSGVO IT-Check

IT-Sicherheit
Wie garantieren Sie die Einhaltung von Sicherheitsstandards? Welche Maßnahmen treffen Sie zum Schutz der personenbezogenen Daten und wie stellen Sie sicher, dass diese Maßnahmen ausreichend sind?

DSGVO Reaktions-Check

Betroffenenrechte und Datenschutzverletzungen
Wie stellen Sie sicher, dass Sie sowohl auf Betroffenenanfragen als auch auf Datenschutzverletzungen richtig reagieren und die Rechte der Betroffenen wahren?

Sie haben Fragen, rufen Sie uns gerne an oder schicken uns eine Mail. Selbstverständlich behandeln wir Ihre Eingaben vertraulich - eine Weitergabe an Dritte findet nicht statt.

Tel: +49 40 228 60 70 – 403
Mail: quickcheck@ddsc.de

Datenschutz ist 'Chefsache'. Die Verantwortung für die Einhaltung der Vorgaben liegt beim Unternehmen - und damit immer unmittelbar bei der Geschäftsführung. Diese hat daher die erforderlichen Maßnahmen zu treffen, um die Einhaltung der Datenschutzvorgaben sicherzustellen. Ein wichtiges Instrument hierfür ist der Aufbau einer Datenschutzorganisation, die Maßnahmen in das Unternehmen tragen und diese umsetzen kann.

Ist sich die Geschäftsführung Ihres Unternehmens dieser Verantwortung bewusst, und wird diese von der Geschäftsführung ausdrücklich anerkannt (z.B. über eine Datenschutz-Strategie oder Unternehmensziele)?

Ist die Verantwortlichkeit für den Datenschutz klar von der Kontrolle der Ausführung getrennt?

Ist jedem internen und externen Mitarbeiter bekannt, wer für die Umsetzung des Datenschutzes und wer für die Kontrolle dieser Umsetzung verantwortlich ist?

Werden Ihre Mitarbeiter gezielt und regelmäßig in Bezug auf den Datenschutz sensibilisiert?

Hat sich Ihr Unternehmen zu einer Datenschutzstrategie bekannt und ist diese den Mitarbeitern bekannt?

Gibt es in Ihrem Unternehmen verbindliche Vorgaben für die Mitarbeiter hinsichtlich der Verarbeitung personenbezogener Daten (z.B. über eine Datenschutzrichtlinie)?

Werden die Datenschutzrisiken im Unternehmen regelmäßig erfasst und die Maßnahmen zum Schutz der personenbezogenen Daten bewertet und optimiert?

Datenschutz muss immer an den Aktivitäten ansetzen, mit denen ein Unternehmen personenbezogene Daten verarbeitet. Voraussetzung für eine korrekte Ausrichtung der Datenschutzmaßnahmen ist daher, dass man sich einen Überblick darüber verschafft, welche Prozesse im Unternehmen überhaupt personenbezogene Daten verarbeiten und welche Wege personenbezogene Daten im Unternehmen (und möglicherweise aus dem Unternehmen raus) nehmen.

Gibt es eine vollständige Übersicht, an welchen Orten (eigene Server, mobile Endgeräte, ausgelagerte Speicherorte, ...) welche Kategorien von personenbezogenen Daten gespeichert werden?

Personenbezogene Daten dürfen nur gespeichert werden, solange Sie über eine Rechtsgrundlage verfügen. Haben Sie für alle Datenkategorien Löschfristen definiert und entsprechende Löschprozesse oder -mechanismen implementiert?

Sind für alle Bereiche Ihres Unternehmens die wesentlichen Verarbeitungstätigkeiten, die personenbezogene Daten zum Gegenstand haben, hinsichtlich Zweck, Datenkategorien und Betroffenenkategorien dokumentiert?

Haben Sie Ihre Verarbeitungstätigkeiten daraufhin geprüft, ob eine Datenschutz-Folgenabschätzung erforderlich ist?

Gibt es einen vollständigen Überblick darüber, an welchen Stellen Dritte in Ihre Verarbeitungsprozesse eingebunden werden (z.B. externe Kommunikationslösungen, Cloud-Dienstleister ...)?

Können Sie jede Einbindung Dritter einer der folgenden Kategorien zuordnen? 1) Übermittlung an andere verantwortliche Stelle; 2) Auftragsverarbeitung; 3) Gemeinsame Verantwortlichkeit

Nutzen Sie in Ihrem Unternehmen WhatsApp zur internen und/oder externen Kommunikation oder Apples iCloud, ohne über gesonderte Vorkehrungen die Einhaltung der DSGVO-Vorgaben sicherzustellen?

Datenschutz und Datensicherheit werden oft als synonyme Begriffe gebraucht, verfolgen aber unterschiedliche Schutzziele. Gleichwohl gibt es Schnittmengen, so dass im Rahmen des Datenschutzmanagements auch Aspekte der Datensicherheit eine Rolle spielen.

Gibt es eine(n) IT-Sicherheitsbeauftragte(n) neben der Geschäftsführung?

Ist der Umfang der erlaubten Privatnutzung der IT-Infrastruktur insbesondere auch im Hinblick auf die Nutzung von Email-, Internet- und Telefonie-Systemen geregelt?

Ist die Einbringung privater Endgeräte in die betriebliche Infrastruktur (BYOD) geregelt?

Haben Sie die technischen und organisatorischen Maßnahmen dokumentiert, die Sie zum Schutz der personenbezogenen Daten getroffen haben?

Werden die Maßnahmen, die zum Schutz der Informationssicherheit getroffen wurden, regelmäßig auf Wirksamkeit und Optimierungsmöglichkeiten geprüft?

Erfolgt eine regelmäßige Erfassung der Risiken für die Datensicherheit und werden hierbei auch Datenschutzrisiken mit berücksichtigt?

Gibt es einen Notfallplan, der die Schritte beschreibt, die Sie nach einem Totalausfall zur schnellstmöglichen Wiederherstellung der Betriebsbereitschaft nehmen müssen?

Der Umgang mit Betroffenenrechten und Datenschutzverletzungen stellt eine direkte Schnittstelle der internen Datenschutzorganisation mit der Außenwelt dar. Hier wird für Außenstehende sichtbar, wie gut die Datenschutzvorgaben intern umgesetzt sind. Da es sich noch dazu um Szenarien mit typischerweise hohem Konfliktpotenzial handelt, kann eine Vernachlässigung dieses Bereichs schnell Aufmerksamkeit erzeugen und entsprechende Risiken nach sich ziehen.

Wenn Sie personenbezogene Daten erheben, müssen Sie regelmäßig die Betroffenen über diesen Umstand aufklären. Kommen Sie an allen Punkten, an denen personenbezogene Daten erhoben werden, Ihren Informationspflichten (i.d.R. über Datenschutzerklärungen) nach?

Können Sie Betroffene im Fall von Auskunftsersuchen vollständig und richtig informieren - einschließlich sämtlicher über den Betroffenen gespeicherten Daten, ihrer Herkunft, seiner Rechte sowie der Speicherung der Auskunftsbearbeitung?

Sind Sie in der Lage, für jeden Betroffenen eine Auflistung aller über ihn gespeicherten Daten zu erstellen?

Können Sie für jeden Betroffenen die kurzfristige, vollständige Umsetzung von Korrektur- und Löschungsanfragen sicherstellen?

Ist die Einhaltung von Aufbewahrungspflichten oder die Berücksichtigung anderer, der Löschung entgegenstehender Gründe bei der Umsetzung von Löschungsanfragen sichergestellt und wird der Betroffene über die ersatzweise Sperrung solcher Daten korrekt informiert?

Sind Ihre Mitarbeiter über den Begriff der Datenschutzverletzung und die Bedeutung der unverzüglichen Meldung einer solchen hinsichtlich der 72-Stunden-Frist informiert?

Gibt es eine Checkliste, ein Flussdiagramm oder sonstige Handlungsanweisung, die beschreibt, wie man sich im Fall einer Datenschutzverletzung verhalten soll und welche Schritte zu nehmen sind?