Datenschutz-Kurzcheck

datenschutz-kurzcheck, did, dresdner institut fuer datenschutz

Datenschutz ist ein zentrales Anliegen für jede Organisation. Unser Kurzcheck bietet Ihnen die Möglichkeit, den aktuellen Stand der ergriffenen Maßnahmen zu bewerten. Beantworten Sie die untenstehenden Fragen und erhalten Sie umgehend wichtige Hinweise zu möglichen Umsetzungslücken und datenschutzrechtlichen Risiken.

    Die Verarbeitung Ihrer Eingaben erfolgt ausschließlich zum Export der persönlichen Auswertung des Datenschutz-Kurzcheck. Eine darüberhinausgehende Speicherung oder Weitergabe von Eingaben an Dritte erfolgt nicht. Informationen zum Datenschutz auf dieser Seite erhalten Sie in unserer Datenschutzinformation.


    Erläuterung: Die Verarbeitung personenbezogener Daten umfasst unter anderem das Sammeln, Ordnen, Speichern, Verändern, Betrachten, Nutzen, Veröffentlichen, Verbinden und Löschen. Bei mehr als 20 PC-Arbeitsplätzen ist diese Frage regelmäßig zu bejahen.
    Ja.Nein, derzeit nicht.

    Hinweis: Gemäß § 38 Absatz 1 Bundesdatenschutzgesetz (BDSG) müssen nicht-öffentliche Stellen einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Jede Verarbeitung personenbezogener Daten (u. a. Beschäftigte, Ansprechpersonen) muss den Grundsätzen gemäß Art. 5 DS-GVO entsprechen und dokumentiert werden. Zur Erfüllung der Nachweispflichten sollten Sie insbesondere folgende Dokumentationen vorhalten:

    • Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO),

    • Technische und organisatorische Maßnahmen (Art. 32 DS-GVO),

    • Risikobeurteilungen sowie gegebenenfalls Datenschutz-Folgenabschätzungen (Art. 35 DS-GVO),

    • Datenschutzinformationen, auch "Datenschutzerklärungen" genannt (Art. 13, 14 DS-GVO),

    • sowie gegebenenfalls Einwilligungserklärungen und Interessenabwägungen.


    Ja.Nein, derzeit nicht.

    Hinweis: Für öffentliche und nicht-öffentliche Stellen besteht gemäß Art. 37 Absatz 1 DS-GVO unter bestimmten Umständen die Pflicht zur Benennung eines Datenschutzbeauftragten. Darüber hinaus besteht für nicht-öffentliche Stellen unabhängig von der Anzahl der Beschäftigten gemäß § 38 Absatz 1 Satz 2 BDSG die Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO erforderlich ist. Letztere ist notwendig, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen könnte, beispielsweise in Verbindung mit Künstlicher Intelligenz.


    Ja.Nein, derzeit nicht.

    Hinweis: Die Beschäftigten müssen jederzeit in der Lage sein, die datenschutzrechtlichen Anforderungen im Arbeitsalltag korrekt umzusetzen. Hierfür bedarf es eines Bewusstseins für datenschutzrechtliche Belange und einer Kenntnis über die datenschutzrechtlichen Grundlagen. Dies sollte durch regelmäßige Schulungen und Sensibilisierungen zielgruppenorientiert vermittelt werden.


    Erläuterung: Datenschutzverletzungen sind Verletzungen der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führen.
    Ja.Nein, derzeit nicht.

    Hinweis: Datenschutzverletzungen mit einem Risiko für die betroffenen Personen sind gemäß Art. 33 Absatz 1 DS-GVO nach Kenntnisnahme unverzüglich und spätestens innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde zu melden. Zur Einhaltung der Meldefrist sollten standardisierte Vorgehen und Meldewege definiert und erprobt werden.


    Erläuterung: Im Verzeichnis der Verarbeitungstätigkeiten sind wesentliche Angaben zur Datenverarbeitung aufzuführen, beispielsweise Zweck und Rechtsgrundlage sowie Empfänger.
    Ja.Nein, derzeit nicht.

    Hinweis: Das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO stellt die zentrale Dokumentation zum Nachweis der datenschutzrechtlichen Anforderungen dar. Es dient dem Datenschutzbeauftragten bei der Durchführung datenschutzrechtlicher Prüfungen und erleichtert dem Verantwortlichen die Beantwortung von Anfragen Betroffener sowie die Gewährleistung der Betroffenenrechte. Zur Aufrechterhaltung eines stets aktuellen Verzeichnisses der Verarbeitungstätigkeiten ist es erforderlich, dass Änderungen und Ergänzungen von Datenverarbeitungen umgehend übernommen werden.


    Erläuterung: Die Einwilligungserklärung und die Interessenabwägung stellen spezifische Rechtsgrundlagen zur Verarbeitung personenbezogener Daten dar.
    Ja.Nein, derzeit nicht.

    Hinweis: Gemäß Art. 6 Absatz 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn eine der aufgeführten Rechtsgrundlagen nachweislich erfüllt ist. Erfolgt eine Datenverarbeitung auf Grundlage einer Einwilligungserklärung oder einer Interessenabwägung, müssen diese im Zweifel vorgelegt werden können.


    Erläuterung: Eine Auftragsverarbeitung beschreibt die Verarbeitung personenbezogener Daten im Auftrag eines anderen Unternehmens oder Organisation, beispielsweise im Rahmen der Nutzung von Cloud-Diensten. Gemeinsame Verantwortlichkeit bedeutet, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke der Verarbeitung und die Mittel zur Verarbeitung festlegen.
    Ja.Nein, derzeit nicht.

    Hinweis: Erfolgt eine Verarbeitung personenbezogener Daten durch Auftragsverarbeiter (Art. 28 DS-GVO) oder gemeinsam mit anderen Verantwortlichen (Art. 26 DS-GVO) müssen zwingend datenschutzrechtliche Verträge abgeschlossen werden, welche die Rollen, Aufgaben und rechtlichen Pflichten der Parteien abbilden. Der oder die Verantwortliche sind im Zweifel nachweispflichtig.


    Erläuterung: Eine Datenschutzinformation soll betroffene Personen, wie beispielsweise Beschäftigte, Kunden oder Interessenten, transparent über die Datenverarbeitung informieren.
    Ja.Nein, derzeit nicht.

    Hinweis: Datenschutzinformationen müssen die gesetzlichen Pflichtinhalte aus Art. 13 DS-GVO (Datenerhebung direkt bei der betroffenen Person) oder aus Art. 14 DS-GVO (Datenerhebung bei Dritten) erfüllen. Sind Datenschutzinformationen unvollständig oder fehlen ganz, kann sich dies nachteilig auf die Rechtmäßigkeit von Datenverarbeitungen auswirken.


    Ja.Nein, derzeit nicht.

    Erläuterung: Die Nutzung dienstlicher Informations- und Kommunikationstechnik bedarf einer klaren Regelung hinsichtlich (un-)zulässiger Verwendungszwecke sowie der Umstände und Bedingungen der Nutzung. Auch wenn sich aus der DS-GVO keine unmittelbare Verpflichtung zur Etablierung einer solchen Richtlinie ergibt, kann diese mit Blick auf die Anforderungen an die Sicherheit der Verarbeitung (Art. 32 DS-GVO) sinnvoll sein.


    Ja.Nein, derzeit nicht.

    Hinweis: Der Schutz vertraulicher Informationen und gefährdeter Systeme wird mit zunehmender Digitalisierung immer wichtiger. Gemäß Art. 32 Absatz 1 DS-GVO sind insbesondere unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Risiken angemessene technische und organisatorische Maßnahmen zu ergreifen. Sie können beispielsweise personenbezogene Daten auf (mobilen) Endgeräten mit folgenden gängigen Methoden ohne großen Aufwand schützen:

    • Sichere Passwörter,

    • Firewall & Virenprogramme,

    • Verschlüsselung.


    Ja.Nein, derzeit nicht.

    Hinweis: Sie dürfen personenbezogene Daten grundsätzlich nur so lange verarbeiten, wie eine Rechtsgrundlage für die Verarbeitung vorliegt. Es müssen daher immer klare Regelungen zum Löschen und Aufbewahren von Daten getroffen, technisch umgesetzt und regelmäßig kontrolliert werden.

    Klicken Sie nun "Zusammenfassung erstellen", um Ihre persönliche Datenschutz-Kurzcheck-Auswertung auszudrucken oder zu speichern. Sie wünschen Unterstützung bei der Umsetzung der datenschutzrechtlichen Anforderungen? Wenden Sie sich gern per E-Mail an das Dresdner Institut für Datenschutz unter
    zentrale@dids.de oder nutzen Sie den unten dargestellten Button zur Angebotsanfrage!


    ANGEBOTSANFRAGE

    Impressum

    Datenschutz

    Meldung