Prüfschema: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Zeile 5: Zeile 5:
 
|| 1. ||  style="width: 55%" | Sind '''[[personenbezogene Daten]]''' betroffen (Art. 4 Nr. 1 EU-DSGVO)? ||Sind natürliche Personen identifiziert oder identifizierbar?|| ||
 
|| 1. ||  style="width: 55%" | Sind '''[[personenbezogene Daten]]''' betroffen (Art. 4 Nr. 1 EU-DSGVO)? ||Sind natürliche Personen identifiziert oder identifizierbar?|| ||
 
|-
 
|-
|| 2. || Sind '''[[besondere Kategorien personenbezogener Daten]]''' betroffen (Art. 9 EU-DSGVO)? ||Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen?|| ||
+
|| 2. || Werden diese Daten i. S. d. EU-DSGVO '''[[Verarbeitung|verarbeitet]]''' (Art. 4 Nr. 2 EU-DSGVO)? ||Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen. Liegt eine ''Erhebung'' oder ein ''Empfang'' von Daten vor, muss eine '''[[Datenschutzerklärung]]''' (Art. 13, 14 EU-DSGVO) abgegeben werden.|| ||
 
|-
 
|-
|| 3. || Werden diese Daten i. S. d. EU-DSGVO '''[[Verarbeitung|verarbeitet]]''' (Art. 4 Nr. 2 EU-DSGVO)? ||Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen|| ||
+
|| 3. || Ist die EU-DSGVO '''[[Anwendbarkeit | räumlich]]''' anwendbar (Art. 2 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird. || ||
 
|-
 
|-
|| 4. || Ist die EU-DSGVO '''[[Anwendbarkeit | sachlich]]''' anwendbar (Art. 2 EU-DSGVO)? ||'''Wenn''' keine rein persönliche und keine rein familiäre Datenverarbeitung stattfindet.|| ||
+
|| 4. || Ist die Verarbeitung '''[[Rechtmäßigkeit | rechtmäßig]]''' (Art. 6 EU-DSGVO)? || '''Wenn''' eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt. Liegt ein datenschutzrechtlich nicht rechtmäßiger Fall vor, muss eventuell eine '''[[Meldung an die Aufsichtsbehörde]]''' vorgenommen werden.
 +
|| ||
 
|-
 
|-
|| 5. || Ist die EU-DSGVO '''[[Anwendbarkeit | räumlich]]''' anwendbar (Art. 2 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird. || ||
+
|| 5. || Sind '''[[besondere Kategorien personenbezogener Daten]]''' betroffen (Art. 9 EU-DSGVO)? ||Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen? Die Rechtmäßigkeit dieser Verarbeitung ist noch weiter eingeschränkt (Art. 9 EU-DSGVO).|| ||
 
|-
 
|-
|| 6. || Ist die Verarbeitung '''[[Rechtmäßigkeit | rechtmäßig]]''' (Art. 6 EU-DSGVO)? || '''Wenn''' eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt.|| ||
+
|| 6. || Wer sind (gemeinsam) '''[[Verantwortliche]]''' oder '''[[Auftragsverarbeiter]]''' (Kapitel IV EU-DSGVO)? ||'''Wenn''' Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.|| ||
 
|-
 
|-
|| 7. || Werden Daten an Drittländer '''[[Übermittlung | übermittelt]]''' (Art. ? || Werden Daten außerhalb der EU verarbeitet?|| ||
+
|| 7. || Ist eine '''[[Verarbeitungsverzeichnis]]''' notwendig (Art. 30 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. '''Inhalt:''' Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen|| ||
 
|-
 
|-
|| 8. || Werden vorhandene Daten '''[[Zweckänderung | zweckentfremdet]]''' (Art. 6 Abs. 4 EU-DSGVO)? ||Sollen Daten anders verarbeitet werden als bei der Erhebung erklärt?|| ||
+
|| 8. || Ist ein '''[[Datenschutzbeauftragte|Datenschutzbeauftragter]]''' notwendig (Art. 37 EU-DSGVO)? ||'''Wenn''' Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.|| ||
 
|-
 
|-
|| 9. || Wer sind (gemeinsam) '''[[Verantwortliche]]''' oder '''[[Auftragsverarbeiter]]''' (Kapitel IV EU-DSGVO)? ||'''Wenn''' Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.|| ||
+
|| 9. || Ist eine '''[[Datenschutzfolgenabschätzung]]''' notwendig (Art. 35 EU-DSGVO)? ||'''Wenn''' ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). '''Inhalt:''' Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen|| ||
 
|-
 
|-
|| 10. || Ist ein '''[[Datenschutzbeauftragte|Datenschutzbeauftragter]]''' notwendig (Art. 37 EU-DSGVO)? ||'''Wenn''' Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.|| ||
+
|| 10. || Sind '''[[technische und organisatorische Maßnahmen]]''' geeignet (Art. 32 EU-DSGVO)? ||Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen|| ||
 
|-
 
|-
|| 11. || Ist eine '''[[Datenschutzerklärung]]''' notwendig (Art. 13, 14 EU-DSGVO)? ||'''Wenn''' Erhebung oder Erhalt von Daten vorliegt. '''Inhalt:''' Verantwortliche, Datenschutzbeauftragte, Zweck, Rechtsgrundlage, Übermittlungen|| ||
 
|-
 
|| 12. || Ist eine '''[[Verarbeitungsverzeichnis]]''' notwendig (Art. 30 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. '''Inhalt:''' Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen|| ||
 
|-
 
|| 13. || Ist eine '''[[Datenschutzfolgenabschätzung]]''' notwendig (Art. 35 EU-DSGVO)? ||'''Wenn''' ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). '''Inhalt:''' Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen|| ||
 
|-
 
|| 14. || Sind '''[[technische und organisatorische Maßnahmen]]''' geeignet (Art. 32 EU-DSGVO)? ||Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen|| ||
 
|-
 
|| 15. || Sind '''[[Betroffenenrechte]]''' gesichert (Art. 15 ff. EU-DSGVO)? || Auskunft, Berichtigung, Übertragbarkeit, Widerspruch, Einschränkung, Löschung|| ||
 
|-
 
|| 16. || Ist eine '''[[Meldung an die Aufsichtsbehörde]]''' vorzunehmen (Art. 33 EU-DSGVO)? ||'''Wenn''' der Schutz personenbezogener Daten verletzt worden ist. '''Inhalt:''' Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze), Kontaktdaten des Datenschutzbeauftragten, Wahrscheinliche Folgen der Verletzung, Ergriffene oder vorgeschlagene Maßnahmen zur Behebung. '''Tipp:''' Datenschutzerklärungen, Einwilligungen, Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzungen bereit halten!|| ||
 
 
|}
 
|}

Version vom 6. Mai 2021, 14:35 Uhr

Nr. Frage Erläuterungen J N
1. Sind personenbezogene Daten betroffen (Art. 4 Nr. 1 EU-DSGVO)? Sind natürliche Personen identifiziert oder identifizierbar?
2. Werden diese Daten i. S. d. EU-DSGVO verarbeitet (Art. 4 Nr. 2 EU-DSGVO)? Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen. Liegt eine Erhebung oder ein Empfang von Daten vor, muss eine Datenschutzerklärung (Art. 13, 14 EU-DSGVO) abgegeben werden.
3. Ist die EU-DSGVO räumlich anwendbar (Art. 2 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird.
4. Ist die Verarbeitung rechtmäßig (Art. 6 EU-DSGVO)? Wenn eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt. Liegt ein datenschutzrechtlich nicht rechtmäßiger Fall vor, muss eventuell eine Meldung an die Aufsichtsbehörde vorgenommen werden.
5. Sind besondere Kategorien personenbezogener Daten betroffen (Art. 9 EU-DSGVO)? Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen? Die Rechtmäßigkeit dieser Verarbeitung ist noch weiter eingeschränkt (Art. 9 EU-DSGVO).
6. Wer sind (gemeinsam) Verantwortliche oder Auftragsverarbeiter (Kapitel IV EU-DSGVO)? Wenn Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.
7. Ist eine Verarbeitungsverzeichnis notwendig (Art. 30 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. Inhalt: Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen
8. Ist ein Datenschutzbeauftragter notwendig (Art. 37 EU-DSGVO)? Wenn Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.
9. Ist eine Datenschutzfolgenabschätzung notwendig (Art. 35 EU-DSGVO)? Wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). Inhalt: Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen
10. Sind technische und organisatorische Maßnahmen geeignet (Art. 32 EU-DSGVO)? Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen