Prüfkatalog Rechenschaftspflicht. nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und Datengetriebenen Unternehmen. (Version 1.0)

Ähnliche Dokumente
EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

DATENSCHUTZ in der Praxis


Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Checkliste zur Datenschutzgrundverordnung

Abfrage zum Stand der Umsetzung der Datenschutz-Grundverordnung EU 2016/679 (DS-GVO) bei niedersächsischen Kommunen

- Wa s i s t j e t z t z u t u n? -

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Dokumentation der Verarbeitungstätigkeit. (Name, Anschrift) (Name, Anschrift) (Name, Kontaktdaten) (Name, Anschrift) (Name, Kontaktdaten) Beispiele:

Fragebogen zur Umsetzung der EU-DSGVO bis zum 25. Mai 2018

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

WPK aktuell. Mitgliederinformation

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Leitfaden. Der Bayerische Landesbeauftragte für den Datenschutz. Bayerisches Landesamt für Datenschutzaufsicht. und

Die EU-Datenschutz-Grundverordnung

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Datenschutzgrundverordnung

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

Datenschutz. Die DSGVO und was sie von uns will

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Dokumentationspflichten im neuen Datenschutzrecht

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen gemäß Art. 30 Abs. 1 DSGVO

Technischer Datenschutz

Datenschutz- Grundverordnung

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Dokumentation der Verarbeitungstätigkeit

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Die EU-Datenschutzgrundverordnung

Datenschutz- Grundverordnung 2016/679 DS-GVO

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

Projektplan. Projektverantwortlicher: Projektbeginn: Projektende: Aufgabe Verantwortliche/r Beginn Ende Erledigt. 1. Management sensibilisieren

Mit ISIS12 zur DS-GVO Compliance

Das neue Datenschutzrecht. 19. September 2018

Datenschutz-Richtlinie der SenVital

Startschuss DSGVO: Was muss ich wissen?

Datenschutz- Compliance nach der DS- GVO: Sicherstellung und Überwachung

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

II. Allgemeine Hinweise (vgl. Muster Merkblatt für Patienten )

Dokumentation der Verarbeitungstätigkeit

Dokumentationspflichten nach der DSGVO. 1. Rechenschaftspflicht, Art. 5 Abs. 2, 24 Abs. 1 DSGVO

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

Umsetzung der DSGVO an Hochschulen durch den Aufbau von Datenschutzmanagementsystemen

- Wa s b e d e u t e t d a s f ü r U n t e r n e h m e n? -

Datenschutz und Datensicherheit - Bericht aus der Praxis - Grundlegende Punkte und ausgewählte Praxisfälle

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Datenschutzkonzept. Vorwort. Das Datenschutzkonzept wurde an folgendem Datum veröffentlicht: Es wurde auf folgende Arten veröffentlicht:

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) des Vereins

Die Europäische Datenschutz- Grundverordnung. Schulung am

Verzeichnis von Verarbeitungstätigkeiten mit personenbezogenen Daten [1] gem. Artikel 30 DS-GVO

Neues Datenschutzrecht umsetzen Stichtag

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

HFBP Rechtsanwälte und Notar. besser.beraten.

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

Wir machen Sie fit. in Sachen Datenschutz.

Datenschutzgrundverordnung DSGVO

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Art. 30 DS-GVO)

EU-DSGVO 14. Juli Bei der Kelter Bietigheim-Bissingen

Die EU Datenschutz-Grundverordnung - Anpassungsbedarf für Unternehmen

KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

DSGVO und ihre Auswirkungen

Die praktische Umsetzung der DSGVO mittels Online Tool. Benigna Prochaska, MSc

Seite Referent: Rechtsanwalt Dr. jur. Björn Schreier Fachanwalt für Handels- und Gesellschaftsrecht Fachanwalt für Steuerrecht

Datenschutz für ÖBUVs. 07. November 2018

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Datenschutz und Informationssicherheit

Die EU Datenschutz-Grundverordnung - Anpassungsbedarf für Unternehmen

Raum für Investitionen. Herzlich Willkommen. Datenschutzgrundverordnung Was ist jetzt noch zu tun? Tichelpark Cinemas - 7.

DS-GVO und IT-Grundschutz

Neues Datenschutzrecht umsetzen Stichtag

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Muster-Informationspflichten nach Art. 13 DSGVO (Datenerhebung direkt beim Betroffen) und nach Art. 14 DSGVO (Datenerhebung über Dritte)

Die Datenschutz Grundverordnung Anforderungen und Pflichten für Unternehmen

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Informationsschreiben nach Art. 14 DSGVO bei Erhebung von personenbezogenen Daten nicht bei der betroffenen Person

Nachweis der DSGVO-Umsetzung im Verein (Checkliste)

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen

Operative Umsetzung des Datenschutzes nach EU-DSGVO. Rheinischer Unternehmertag

Dr. Thomas Schweiger, LLM (Duke) :57 Folie 1

Das neue Datenschutzrecht ab 25. Mai 2018 Anpassungsbedarf für HR. Leipzig, 27. Februar 2018

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

W i e w i r d e r a b d e m 2 5. M a i d i e We l t v e r ä n d e r n?

Datenschutzgrundverordnung (EU DS-GVO) anhand von praktischen Beispielen

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke Justitiarin/ Datenschutzbeauftragte

DATENSCHUTZHINWEISE nach DS-GVO

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Transkript:

Bayerisches Landesamt für Datenschutzaufsicht Prüfkatalog Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und Datengetriebenen Unternehmen (Version 1.0) Verantwortlicher: <Verantwortlicher> MUSTER Datum: <Datum> Aktenzeichen: <Aktenzeichen> Wir bitten um vollständige Beantwortung der in diesem Prüfkatalog gestellten Fragen und Zusendung der angeforderten Unterlagen auf Basis von Art. 58 DS-GVO bis spätestens zum <Rücksendedatum>. A. Aufbauorganisation 1. Gibt es eine Datenschutzleitlinie im Unternehmen? Bitte senden Sie uns eine Kopie der Leitlinie zu. 2. Ist ein Datenschutzbeauftragter bestellt und der Aufsichtsbehörde gemeldet? Ja Meldedatum: Art der Meldung: Online Brief E-Mail 3. Welche Aufgaben hat Ihr Datenschutzbeauftragter? Beratung der Geschäftsführung Beratung der Fachabteilungen Sensibilisierung der Mitarbeiter Durchführung interner Audits/Kontrollen Beantwortung/Klärung von Datenschutzbeschwerden Durchführung von Anfragen zu Betroffenenrechten Aufgabenplanung der Fachabteilungen Durchführung der Meldung von Datenschutzverletzungen (Art. 33/34 DS-GVO) Sonstige: 4. Sind, sofern mehrere Standorte vorhanden sind, die anderen Niederlassungen in ein einheitliches Datenschutzkonzept eingebunden? Bitte senden Sie uns eine Kopie des Datenschutzkonzepts (sofern vorhanden) zu bzw. beschreiben dieses kurz (ca. 1 Seite). Seite 1 von 6

5. Gibt es ein Konzept im Unternehmen, wer bezogen auf den Datenschutz für was zuständig ist (z.b. Schulung der Mitarbeiter, Meldung von Datenschutzverletzungen, )? Bitte senden Sie uns eine Kopie des Konzepts (sofern vorhanden) zu bzw. beschreiben dieses kurz (ca. 1 Seite). 6. Gibt es Regelungen für interne Kontrollen zur Einhaltung datenschutzrechtlicher Vorschriften? Bitte senden Sie uns eine Kopie der Regelungen(sofern vorhanden) zu bzw. beschreiben dieses kurz (Ca. 1 Seite). 7. Beschreiben Sie bitte kurz (ca. 1 Seite), wie mit den Berichten des Datenschutzbeauftragten im Unternehmen umgegangen wird? 8. Beschreiben Sie bitte kurz (ca. 1 Seite), wie überprüft wird, ob die Zusammenarbeit der verschiedenen Abteilungen in Datenschutzfragen funktioniert? B. Basis-Anforderungen Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) 9. Ist ein vollständiges Verarbeitungsverzeichnis vorhanden? Anzahl der Verarbeitungstätigkeiten: 10. Beschreiben Sie bitte kurz (ca. 1 Seite), nach welcher Methode (z.b. Zweck, Mittel, Prozess, IT-System, Abstraktion, ) die einzelnen Verarbeitungstätigkeiten ermittelt werden. 11. Sind bei den Empfängern auch interne Stellen (z.b. Personal, Geschäftsleitung, Marketing, ) umfasst? 12. Beschreiben Sie bitte kurz (ca. 1 Seite) die Regelungen, wie das Verarbeitungsverzeichnis verwaltet (z.b. aktualisiert) wird? Einheitliches Risikomodell 13. Existiert ein Dokument zum unternehmensweiten Verständnis des Datenschutzrisikos? Bitte senden Sie uns eine Kopie dieses Dokuments zu. 14. Beschreiben Sie bitte kurz (ca. 0,5-1 Seite), wie bei der Bewertung des Datenschutzrisikos der Schaden an den Rechten und Freiheiten verstanden wird 15. Beschreiben Sie bitte kurz (ca. 0,5-1 Seite), welche Skalen zur Modellierung der Eintrittswahrscheinlichkeit eines Datenschutzrisikos einheitlich im Unternehmen verwendet werden. Seite 2 von 6

16. Beschreiben Sie bitte kurz (ca. 0,5-1 Seite), wie Sie sicherstellen, dass alle relevanten Stellen/Fachbereiche den Unterschied zwischen dem Unternehmensrisiko (Fokus: Unternehmenswerte) und einem Datenschutzrisiko (Fokus: Rechte und Freiheiten natürlicher Personen) verstanden haben? 17. Werden die in der DS-GVO vorkommenden Risikoklassen Kein/Geringes Risiko, Risiko, Hohes Risiko einheitlich im Unternehmen verwendet? 18. Ist das Risikomodell sowohl den Verantwortlichen für Datenschutz als auch dem betrieblichen Datenschutzbeauftragten sowie dem Informationssicherheitsbeauftragten bekannt und wurde von diesen verstanden? C. Datenschutzkonforme Verarbeitung 19. Ist für jede Verarbeitungstätigkeit nach Art. 30 DS-GVO eine Rechtsgrundlage vorhanden? 20. Ist für die Verarbeitungen auf der Rechtsgrundlage Interessenabwägung nach Art. 6 Abs. 1 lit. f DS- GVO eine dokumentierte Begründung vorhanden? 21. Sind Einwilligungen nach den Formalien des Art. 7 DS-GVO ausgestaltet und können diese jederzeit widerrufen werden? 22. Wurde für jede im Verzeichnis nach Art. 30 DS-GVO dokumentierte Verarbeitung eine Schwellwertanalyse (d.h. Risikoüberprüfung) zur Vorbereitung der Frage, ob eine Datenschutzfolgenabschätzung durchgeführt werden muss, vorgenommen? Bezeichnen Sie bitte stichwortartig die Verarbeitungstätigkeiten, für die Sie die Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DS-GVO ermittelt haben: 23. Existiert ein Löschkonzept (z.b. nach DIN 66398), das auch den Umgang mit Archiven und Backups regelt? Bitte senden Sie uns eine Kopie dieses Konzepts zu. Seite 3 von 6

24. Werden geeignete Security-Maßnahmen zur Sicherstellung der Verfügbarkeit, Vertraulichkeit und Integrität nach Art. 32 DS-GVO getroffen? Bitte senden Sie uns bitte das IT-Sicherheitskonzept bzw. eine Zusammenfassung davon zu. 25. Existiert ein Prozess (Plan-Do-Check-Act) zur Sicherstellung der Wirksamkeit der Security- Maßnahmen nach Art. 32 DS-GVO? Bitte senden Sie uns bitte eine kurze Beschreibung dieses Prozesses zu 26. Beschreiben Sie uns bitte konzeptionell (ca. 1 Seite), wie Datenschutz durch Technikgestaltung nach Art. 25 Abs. 1 DS-GVO bei Ihnen unter besonderer Berücksichtigung der Grundsätze der Datensparsamkeit und der Einhaltung der Zweckbindung in den Verarbeitungstätigkeiten umgesetzt wird. 27. Sind die letzten (zwei) Audits des Datenschutzbeauftragten vorhanden und besitzen diese eine einheitliche Prüfmethodik? Bitte senden Sie uns Kopien der Prüfberichte zu. 28. Beschreiben Sie bitte kurz (ca. 1 Seite), wie Sie sicherstellen, dass Auftragsverarbeiter nach Art. 28 DS- GVO auf Basis eines geeigneten Risikomodells und darauf aufbauenden wirksamen technischen und organisatorischen Maßnahmen (entsprechend Art. 25 Abs. 1 DS-GVO) ausgewählt werden? 29. Beschreiben Sie bitte kurz (ca. 1 Seite), wie Sie sicherstellen, dass (bei Auftragsverarbeitungen) die Rechtsgrundlage der sog. zweiten Stufe bei Datentransfers in Drittstatten korrekt ausgestaltet wird. 30. Existiert ein einheitliches Kryptokonzept? Bitte senden Sie uns bitte eine Kopie des Konzepts zu. 31. Existiert ein einheitliches Pseudonymisierungskonzept? Bitte senden Sie uns bitte eine Kopie des Konzepts zu. 32. Gibt es bei Ihnen Verarbeitungstätigkeiten, für die eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO gegeben ist? Falls ja, beschreiben Sie bitte stichwortartig diese Verarbeitungen und legen uns für eine dieser Verarbeitungen den entsprechenden Vertrag über die gemeinsame Verantwortlichkeit vor.. D. Umgang mit Betroffenenrechten 33. Ist ein dokumentierter Prozess vorhanden, wie mit Auskunftsansprüchen nach Art. 15 DS-GVO umgegangen wird? Bitte beschreiben Sie diesen Prozess kurz (ca. 1 Seite) Seite 4 von 6

34. Beschreiben Sie bitte kurz (ca. 1 Seite), wie sichergestellt wird, dass die personenbezogenen Daten der Betroffenen aus allen vorhandenen Systemen und ggf. Zweigniederlassungen schnell und vollständig verfügbar sein können? 35. Sind für alle im Verzeichnis nach Art. 30 DS-GVO dokumentierten Verarbeitungstätigkeiten geeignete (ggf. gemeinsame) Informationen gemäß Art. 13, 14 DS-GVO vorhanden? 36. Wurden die Webseite(n) seit dem 25.Mai 2018 derart überarbeitet, dass auf ihnen über die Datenverarbeitung (der Webseite) ausreichend gemäß Art. 13 DS-GVO informiert wird? Bitte senden Sie uns eine komplette Liste aller Domain-Namen Ihres Unternehmens zu. 37. Ist ein Verfahren vorhanden, mit dem die Antwortzeiten auf Fristeinhaltung bezüglich der Betroffenenrechte gemäß Art. 14-22 sicherstellt werden. Bitte beschreiben Sie dieses Verfahren kurz (ca. 1 Seite) 38. Ist ein Verfahren vorhanden, mit dem auf Anfragen der Datenschutzaufsichtsbehörden bezüglich dort eingegangener Datenschutzbeschwerden reagiert wird. Bitte beschreiben Sie dieses Verfahren kurz (ca. 1 Seite) 39. Sind Schulungsunterlagen vorhanden, mit denen die Personen, die an den Prozessen zur Sicherstellung der Betroffenen mitarbeiten, sachgerecht informiert werden. Senden Sie uns bitte eine Kopie dieser Unterlagen zu. 40. Ist ein Software-Tool vorhanden, mit dem Anfragen von Betroffenen verwaltet werden? Mit welchen Rollen-/Rechtekonzepten wird dieses Tool konfiguriert? Name der Software: 41. Welche Überlegungen haben Sie angestellt, um auf einen Antrag einer betroffenen Person auf Datenportabilität nach Art. 20 DS-GVO zu reagieren? Beschreiben Sie bitte kurz dieses Verfahren: Bisher keine Überlegungen angestellt. E. Umgang mit Datenschutzverletzungen 42. Wie viele Datenschutzverletzungen nach Art. 33 DS-GVO sind bei Ihnen bekannt geworden? Anzahl seit 25.05.2018: Keine 43. Beschreiben Sie bitte kurz (ca. 1 Seite), wie Datenschutzverletzungen nach Art. 33/34 DS-GVO im Unternehmen erkannt werden. Seite 5 von 6

44. Beschreiben Sie bitte kurz (ca. 1 Seite), wie Sie Datenschutzverletzungen, die bei Dienstleistern (auch in Drittstaaten) auftreten, erkennen, dokumentieren und aufarbeiten? 45. Beschreiben Sie bitte kurz (ca. 1 Seite), ob, und wenn ja, wie Sie nur Dienstleister auswählen, die ein überzeugendes Konzept zur Erkennung von Datenschutzverletzungen bei sich umgesetzt haben? 46. Wird das Risikomodell zur Einstufung des Datenschutzrisikos auch bei Datenschutzverletzungen nach Art.33/34 DS-GVO eingesetzt? 47. Beschreiben Sie uns bitte kurz(ca. 0,5-1 Seite) Ihren Prozess, wie Sie bei Datenschutzverletzungen feststellen, dass ein hohes Risiko für die Betroffenen vorliegt und wie Sie diese zu informieren beabsichtigen. 48. Ist der Meldeweg zur zuständigen Aufsichtsbehörde für alle beteiligten Stellen zur Aufarbeitung der Datenschutzverletzungen bekannt? 49. Gibt es einen (dokumentierten) Prozess, um Datenschutzverletzungen innerhalb 72 Stunden (auch an Wochenenden/Feiertagen) bei der zuständigen Aufsichtsbehörde zu melden? 50. Ist geklärt und dokumentiert, bei welchen Stellen im Unternehmen die Meldefrist von 72 Stunden startet? Bitte nennen Sie uns diese Stellen: Seite 6 von 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback