DATENSCHUTZ-SCHNELLCHECK

In Vorbereitung auf die DS-GVO können Sie mit diesem Schnellcheck-Werkzeug prüfen, wie gut Ihr Unternehmen bei wesentlichen Datenschutzanforderungen aufgestellt ist.

In 28 Fragen werden Ihnen zu zentralen DS-GVO-Themen Fragen gestellt und am Ende ausgewertet, ob Sie sich bereits auf einem „guten Weg“ zur Umsetzung befinden oder ob Sie noch Maßnahmen zu treffen haben.

1. Sind Sie sich darüber im Klaren, ob die neuen Datenschutzvorschriften der DS-GVO auch für Sie relevant sind?
Wir haben keine Kunden aus dem EU-Raum, so dass die Verordnung unserer Meinung nach keine Anwendung bei uns finden wird.
Unser Unternehmen besteht aus nur wenigen Personen, deshalb betrifft uns die Verordnung nicht.
Da wir unseren Unternehmenssitz in einem EU-Mitgliedsstaat haben, gelten für uns die Vorschriften der DS-GVO.
Question 1 of 28

2. Werden Sie Ihre Verarbeitungstätigkeiten so durchführen, dass die auch für die betroffenen Personen nachvollziehbar ist?
Wir beabsichtigen bei allen unseren Verarbeitungstätigkeiten mit personenbezogenen Daten den Grundsatz der Transparenz zu berücksichtigen und betroffene Personen in geeigneter Weise darüber zu informieren.
Wir werden im Beschäftigungsverhältnis befindliche Personen, d. h. unsere Mitarbeiter, darüber informieren, was wir mit den Daten machen - nicht aber andere betroffene Personen wie z. B. unsere Kunden.
Wir werden alle betroffenen Personen über die Datenverarbeitungen informieren, bei denen ein Datentransfer in einen Drittstaat stattfindet (z. B. bei Einsatz von Cloud-Computing) - in anderen Fällen verzichten wir auf die transparente Information.
Question 2 of 28

3. Wie planen Sie die für manche Datenverarbeitung benötigten Einwilligungstexte, z. B. von Ihren Kunden, Patienten oder Beschäftigten, gemäß den neuen Anforderungen der DS-GVO anzupassen?
Wir werden eigene Texte einsetzen, die die konkreten Verarbeitungszwecke benennen, einen Hinweis auf die Freiwilligkeit der Einwilligung haben sowie die Möglichkeit des Widerrufs beschreiben. Auf komplizierte Formulierungen wollen wir dabei soweit wie möglich verzichten.
Wir werden noch etwas warten, bis die Aufsichtsbehörden neue Standardtexte für Einwilligungen vorlegen - solange können wir noch unsere alten Vorlagen verwenden, ohne dadurch einen Datenschutzverstoß zu begehen.
Da es weiterhin die Möglichkeit der mündlichen Einwilligung von betroffenen Personen gibt, verzichten wir auf die Schriftform und werden daher auch keine Nachweise vorhalten.
Question 3 of 28

4. Inwieweit wird Ihr Unternehmen betroffenen Personen eine umfassende Auskunft über die verarbeiteten personenbezogenen Daten erteilen, wenn diese es von Ihnen verlangen?
Auskunftsersuchen von Betroffenen hatten wir bislang noch nie - wir werden uns daher nicht speziell darauf vorbereiten, weil dafür einfach kein Bedarf besteht.
Ein Prozess zum schnellen Reagieren wird oder ist bereits implementiert, so dass betroffene Personen eine umfassende Auskunft von uns erhalten, sofern sie dies wünschen.
Eine Auskunft über alle relevanten personenbezogenen Daten einer betroffenen Person stellt für uns einen großen Aufwand dar, so dass wir situativ darauf reagieren müssen und wohl nicht immer eine vollständige Auskunft erteilt werden kann.
Question 4 of 28

5. Innerhalb welches Zeitraums werden Sie bei der Ausübung des Rechts auf Auskunft den betroffenen Personen die vollständigen Informationen mitteilen?
Spätestens nach einem Monat - in begründeten Fällen könnten wir jedoch auch mehr Zeit benötigen.
Wie allgemein bekannt muss eine solche Auskunft innerhalb von zwölf Wochen erteilt werden - diese Frist halten wir wohl ein.
Wenn der Aufwand für uns zu hoch ist, müssen gar keine Auskünfte erteilt werden - wie lange wir grundsätzlich brauchen, kann derzeit noch nicht abgeschätzt werden.
Question 5 of 28

6. Können Ihre Geschäftsprozesse und Systeme eine Löschung von personenbezogenen Daten realisieren?
Wir haben einen Prozess installiert, der bei Bedarf personenbezogene Daten in unserem Unternehmen identifizieren, einer betroffenen Person zuordnen und daher auch löschen kann.
Inwieweit eine solche Löschung möglich ist, wissen wir derzeit noch nicht - wir werden uns darum kümmern, wenn ein solcher Fall tatsächlich eintritt.
Manche der von uns eingesetzten Softwareprodukte unterstützen keine Löschung dieser Art - bestenfalls besteht die Möglichkeit einer Sperrung.
Question 6 of 28

7. Können Sie die Daten einer betroffenen Person bei Bedarf in einem strukturierten, gängigen und maschinenlesbaren Format zurückgegeben?
Wir werden prozessuale und technische Vorkehrungen treffen, um Daten übertragbar vorzuhalten - bei Bedarf könnte der Betroffene dann einen entsprechenden Output seiner Daten erhalten.
Eine betroffene Person kann standardmäßig die in unserem Unternehmen hinterlegten Stammdaten als Text-Datei erhalten - sollten weitere Daten gewünscht sein, muss dies explizit angegeben werden.
Eine Datenübertragbarkeit können wir nicht gewährleisten, da unsere Organisation und Systeme nicht ausreichend dafür ausgelegt sind - eine Aktualisierung wäre unwirtschaftlich.
Question 7 of 28

8. Wer innerhalb Ihres Unternehmens ist für den Datenschutz verantwortlich und stellt nachweislich sicher, dass die Verarbeitung gemäß der DS-GVO erfolgt?
Unser Datenschutzbeauftragter.
Unsere Unternehmensleitung.
Unser IT-Leiter.
Question 8 of 28

9. Wie geht Ihr Unternehmen mit dem zentralen Datenschutz-Begriff des "Risikos" um, der sich wie ein roter Faden durch die gesamte DS-GVO zieht?
Wir meinen, das Datenschutzrisiko ermöglicht uns bei geplanten Verarbeitungen, die an sich keine Rechtsgrundlage haben, einen eigenen Ermessensspielraum, um die Verarbeitungen womöglich doch durchzuführen, wenn das Risiko nicht allzu hoch ist.
Wir werden künftig bei unseren Verarbeitungen unter Bezug der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung die jeweilige Eintrittswahrscheinlichkeit und die Schwere berücksichtigen, um Datenschutz-Risiken für Rechte und Freiheiten natürlicher Personen zu ermitteln.
Unser Unternehmen kennt den Begriff des Risikos bereits aus dem Bereich der IT-Sicherheit, so dass wir das Datenschutz-Risiko als mathematisches Produkt von Eintrittswahrscheinlichkeit und finanziellem Schaden ermitteln werden.
Question 9 of 28

10. Welche Verarbeitungsaspekte werden in Ihrem Unternehmen für die Ermittlung eines Datenschutz-Risikos relevant sein?
Uns ist hauptsächlich der Schutz der Vertraulichkeit der personenbezogenen Daten wichtig, d. h. dass kein Unbefugter die Daten einsehen kann.
Wir orientieren uns an den Schutzzielen aus der IT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integrität - damit fahren wir seit Jahren erfolgreich.
Wir betrachten bei der Ermittlung von Datenschutzrisiken die gesamten Verarbeitungsgrundsätze der DS-GVO.
Question 10 of 28

11. Wird Ihr Unternehmen datenschutzfreundliche Voreinstellungen treffen, wenn die relevanten Daten nicht zwingend für Ihren Dienst oder Ihr Produkt erforderlich sind?
Datenschutzfreundliche Voreinstellungen würden unsere eigene Datenverarbeitung bzw. unser Geschäftsmodell zu sehr einschränken, von daher werden wir darauf verzichten, um wettbewerbsfähig zu bleiben.
Wir werden technische und organisatorische Maßnahmen treffen, damit Grundsätze wie etwa Datenminimierung wirksam umgesetzt werden können und sichergestellt wird, dass nur die erforderlichen personenbezogenen Daten verarbeitet werden.
Wir planen oder verfügen bereits über datenschutzfreundliche Optionen, werden diese jedoch nicht voreingestellt anbieten.
Question 11 of 28

12. Prüfen Sie bei Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, ob diese über geeignete technische und organisatorische Maßnahmen verfügen, um die Datenverarbeitung sicher und rechtskonform durchzuführen?
Wir werden bei unseren Dienstleistern darauf achten, dass diese hinreichende Garantien für eine gesetzeskonforme Verarbeitung, gerade auch im technisch-organisatorischen Bereich, bieten.
Wir werden wie gewohnt einen Vertrag zur Auftragsverarbeitung ohne spezifische Angaben zu technischen und organisatorischen Maßnahmen schließen.
Unsere Dienstleister müssen künftig selbst dafür sorgen, dass die Datenverarbeitung gesetzeskonform erfolgt - eine Prüfung unsererseits ist daher nicht erforderlich.
Question 12 of 28

13.
Planen oder verfügen Sie über ein Verzeichnis, das sämtliche Verarbeitungsvorgänge Ihres Unternehmens im Umgang mit personenbezogenen Daten dokumentiert sowie über einen Prozess, der sicherstellt, dass neue Verfahren darin aufgenommen und bereits enthaltene Verfahren regelmäßig geprüft werden?
Wir haben keine Verarbeitung mit hohem Risiko und benötigen daher eine solche Übersicht nicht.
Unser Datenschutzbeauftragter hat es bereits auf seiner To-Do-Liste.
Ein solches Verzeichnis ist vorhanden oder in Planung und könnte somit der Aufsichtsbehörde bei Anfrage ab 25.05.2018 vorgelegt werden.
Question 13 of 28

14. Was wird in das Verzeichnis von Verarbeitungstätigkeiten Ihres Unternehmens aufgenommen?
Alle unsere Prozesse, in denen mit personenbezogenen Daten umgegangen wird, werden berücksichtigt, sowie weitere allgemeine Daten wie Kontakt und Zweck der Verarbeitung.
Wir nehmen lediglich die wichtigsten IT-Komponenten wie Server, Arbeitsplätze oder Firewalls auf - alles andere wäre überdimensioniert.
Für unser Verzeichnis werden alle Papierunterlagen und Speichermedien, auf denen die personenbezogene Daten verarbeitet werden, Hauptbestandteil sein.
Question 14 of 28

15. Auf welcher Basis finden und prüfen Sie für Ihr Unternehmen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten?
In unserem Unternehmen gibt es gute Checklisten, durch die abgefragt werden kann, ob alle Maßnahmen durchgeführt werden und funktionieren - dies dient auch als Nachweis gegenüber den Datenschutzaufsichtsbehörden.
Unsere technischen und organisatorischen Maßnahmen werden ausschließlich von der IT-Abteilung ausgewählt, da diese über die notwendige Fachkompetenz und Erfahrung verfügt.
Auf Grund des neuen risikobasierten Ansatzes werden wir versuchen, für jede Verarbeitungstätigkeit geeignete Maßnahmen zu finden und die Wirksamkeit über einen Prozess regelmäßig zu evaluieren.
Question 15 of 28

16. Wie gewährleisten Sie die Sicherheit der Verarbeitung personenbezogener Daten in Ihrem Unternehmen und können diese notfalls auch der Aufsichtsbehörde nachweisen?Wir planen ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit unserer technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Wir planen ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit unserer technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Wir schützen unsere Server und PCs mit Firewalls und Virenscanner - es findet dabei ein umfassendes Monitoring durch unsere IT-Abteilung statt, so dass wir dies der Aufsichtsbehörde mitteilen können.
Wir werden eine IT-Zertifizierung (z. B. ISO/IEC 27001) anstreben und so einen ausreichenden Nachweis erhalten.
Question 16 of 28

17. Auf was werden Sie achten, wenn Ihr Unternehmen oder einer Ihrer Dienstleister einen Nachweis eines angemessen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten mittels einer ISO/IEC 27001 Zertifizierung erbringen möchte?
Wir werden sicherstellen, dass die zertifizierende Stelle ihren Sitz in der EU hat, da ansonsten das Zertifikat völlig wertfrei ist.
Auf Grund der gesetzlichen Vorgaben können wir und die Aufsichtsbehörden die ISO/IEC 27001-Zertifizierung als ausreichenden Sicherheitsnachweis akzeptieren.
Wir werden hinterfragen, ob die Risikobeurteilungsmethode an die Rechte und Freiheiten nach DS-GVO angepasst wurde und der Zertifizierungs-Scope alle Verarbeitungstätigkeiten mit personenbezogenen Daten umfasst.
Question 17 of 28

18. Sind in Ihrem Unternehmen alle Systeme, Prozesse und Menschen bezüglich der Angriffsmöglichkeiten durch Cyberkriminelle ausreichend sensibilisiert und geschützt?
Durch Sicherheitsprodukte ist ein entsprechender Schutz in unserem Unternehmen gewährleistet.
Cybersicherheit ist uns ein wichtiges Anliegen, um die Vorgaben der DS-GVO einhalten zu können - entsprechend widmen wir diesem Bereich besonders viel Aufmerksamkeit.
Da wir nicht im Visier von Cyberkriminellen stehen, stellen diese für uns kein echtes Datenschutzproblem dar.
Question 18 of 28

19. Können Sie künftig Verletzungen im Umgang mit personenbezogenen Daten in Ihrem Unternehmen feststellen und das daraus resultierende Risiko für die betroffenen Personen ermitteln?
Entsprechende Prozesse haben wir bereits oder werden wir noch implementieren, so dass Vorfälle erkannt und bewertet werden können.
Das Risiko für die betroffenen Personen ist für uns bei Sicherheitsvorfällen zweitrangig - wichtig ist, dass unserem Unternehmen dadurch kein finanzieller Schaden droht.
Wir haben zwar keinen Prozess, können Datenschutzverletzungen jedoch individuell aufarbeiten.
Question 19 of 28

20. Wann meldet Ihr Unternehmen künftig eine Datenschutzverletzung bei der zuständigen Aufsichtsbehörde, z. B. bei einem Hacking-Vorfall, Diebstahl oder Fehlversendung?
Eine Meldung an die Aufsichtsbehörde planen wir durchzuführen, wenn es sich mit unseren eigenen Interessen deckt - sollte dies der Fall sein, wird innerhalb von 7 Tagen gemeldet.
Wir beabsichtigen grundsätzlich keine Meldungen dieser Art zu praktizieren, da wir keine Notwendigkeit darin erkennen.
Wir versuchen, möglichst binnen 72 Stunden ab Kenntniserlangung jeden relevanten Vorfall an die Aufsichtsbehörde zu melden.
Question 20 of 28

21. Planen Sie eine Abschätzung der Folgen neu vorgesehener Verarbeitungsvorgänge Ihres Unternehmens durchzuführen?
Wir werden in unserem Unternehmen bestehende Routinen (z. B. Vorab-Kontrollen) beibehalten und auf neue Verfahren gezielt anwenden.
Wir werden systematische Beschreibungen der vorgesehenen Verarbeitungsvorgänge nutzen, um eine möglichst objektive Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen vornehmen zu können.
Wir werden uns bei der Aufsichtsbehörde informieren, wann ein hohes Risiko vorliegt und ob eine solche Abschätzung bei uns überhaupt durchzuführen wäre.
Question 21 of 28

22. Wie werden Sie die Folgen von bereits vorhandenen Verarbeitungsvorgängen in Ihrem Unternehmen künftig bewerten?
Wir haben Verarbeitungen mit hohen Datenschutzrisiken und prüfen deshalb bei jeder Veränderung der Rahmenbedingungen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.
Bestehende Verarbeitungstätigkeiten von Unternehmen werden von der DS-GVO besonders geschützt, wir müssen daher für diese nie eine Datenschutz-Folgenabschätzung durchführen.
Wir sind uns noch nicht sicher, ob wir bei bestehenden Verarbeitungsvorgängen eine Datenschutz-Folgenabschätzung durchführen müssen oder nicht - wir warten die Veröffentlichung von Black- und White-Lists der Aufsichtsbehörden ab und entscheiden dann.
Question 22 of 28

23. Welche Voraussetzungen werden Sie bei der Benennung eines Datenschutzbeauftragten (DSB) berücksichtigen?
Die Benennung eines DSB ist grundsätzlich freiwillig - die Position könnte deshalb von jedem unserer Mitarbeiter besetzt werden, ist aber ohne jegliche Verantwortung.
Wir prüfen die Situation in unserem Land, da die Benennung eines DSB in den EU-Mitgliedstaaten unterschiedlich geregelt werden kann - falls wir einen DSB benennen müssen, hat dieser aber nur eine beratende Funktion und ist somit für die Datenverarbeitung selbst nicht verantwortlich.
Die Benennung eines DSB ist für jedes Unternehmen in jedem EU-Mitgliedsstaat verpflichtend - wir müssen daher zwangsläufig einen DSB benennen, der dann die alleinige Verantwortung trägt.
Question 23 of 28

24. Haben Sie sich bereits damit befasst, inwieweit Datenschutzzertifizierungen und Prüfzeichen für Ihr eigenes Unternehmen oder Dienstleister geeignet sein könnten, um die Einhaltung von Vorgaben der DS-GVO nachzuweisen?
Sobald Kriterien und Kosten zur Zertifizierungsverfahren transparent veröffentlicht wurden, werden wir uns damit beschäftigen und abwägen, ob eine Zertifizierung für uns oder unsere Dienstleister von Bedeutung sein könnte.
Datenschutz-Zertifizierungen kosten zu viel Zeit, Geld und Arbeitskraft - von daher werden wir diesen im Alltag keine Bedeutung schenken.
Für uns wird es gleichgültig sein, ob ein Zertifikat nach DS-GVO-Kriterien oder ein beliebiges anderes Zertifikat vorliegt - Hauptsache, es handelt sich um ein Datenschutz-Zertifikat.
Question 24 of 28

25. Stellen Sie sicher, dass Datenübermittlungen ins Ausland künftig nur bei angemessenem Schutzniveau oder bei Vorliegen von Instrumenten wie Standardvertragsklauseln, Binding Corporate Rules oder Einwilligung der Betroffenen stattfinden?
Die Daten, die wir an ausländische Partner übermitteln, sind nicht so sensitiv - von daher benötigen wir keine besonderen Schutzmaßnahmen und Voraussetzungen.
Falls wir Daten mit ausländischen Unternehmen austauschen, werden wir individuelle Verträge schließen, in denen der Umgang mit den Daten detailliert beschrieben wird.
Datenübermittlungen in Nicht-EU/Nicht-EWR-Staaten werden sorgfältig ausgewählt und nur bei vorhandener Grundlage durchgeführt. Bestehende Vertragsdokumente werden in Vorbereitung auf die DS-GVO entsprechend geprüft und angepasst.
Question 25 of 28

26. Gehen Sie davon aus, dass es nach der DS-GVO datenschutzrechtlich für Ihr Unternehmen noch zulässig ist, personenbezogene Daten in die USA zu übermitteln?
Personenbezogene Daten dürfen wir nach der DS-GVO generell nicht mehr in die USA übermitteln - wir werden daher nach neuen Lösungen suchen.
Grundsätzlich dürfen personenbezogene Daten in die USA übermittelt werden, sofern zusätzlich zu den in der EU geltenden datenschutzrechtlichen Anforderungen noch spezielle Anforderungen für Übermittlungen in Drittländer erfüllt werden.
Nur besondere Kategorien personenbezogener Daten dürfen wir nicht mehr in die USA übermitteln - für sonstige personenbezogene Daten hat sich nichts geändert.
Question 26 of 28

27. Sofern Sie personenbezogene Daten an ein US-Unternehmen übermitteln oder planen und dies auf den EU-U.S.-Privacy-Shield stützen wollen, wie überprüfen Sie, ob die Übermittlung tatsächlich unter das Privacy-Shield fällt?
Der Anbieter hat uns mitgeteilt, dass er eine Privacy-Shield Zertifizierung besitzt - das reicht uns und den Aufsichtsbehörden als Nachweis.
Auf der speziellen Privacy-Shield Liste des U.S. Departement of Commerce überprüfen wir selbst, ob das Unternehmen mit einer gültigen Zertifizierung aufgeführt ist und dies die richtigen Datenkategorien umfasst.
"Das Privacy-Shield wird sowieso in Kürze vom Europäischen Gerichtshof für unwirksam erklärt, deswegen hat das für uns und die Aufsichtsbehörden schon heute keine Bedeutung mehr.
Question 27 of 28

28. Wie gehen Sie damit um, dass der Bußgeldrahmen bei Verstößen gegen Vorgaben der DS-GVO sich bis auf 20.000.000 Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres Ihres Unternehmens beläuft?
Der Bußgeldrahmen wird sich nicht auf die tägliche Praxis in unserem Unternehmen auswirken, da wir nicht damit rechnen, dass unser Unternehmen ins Visier der Aufsichtsbehörden gelangt - eine echte Drohkulisse sehen wir dadurch also nicht.
In unserem Unternehmen wird eine Neubewertung bestehender Haftungsrisiken stattfinden, damit Verstößen präventiv entgegengetreten werden kann - Datenschutz muss ein wichtiger Bestandteil bei unseren Projektplanungen sein.
Wir beschäftigen uns nicht mit Bußgeldern, da diese in Europa eine absolute Ausnahme und keinesfalls die Regel darstellen.
Question 28 of 28

Loading...