Prüfschema: Unterschied zwischen den Versionen

Aus Datenschutz
Zur Navigation springen Zur Suche springen
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{| class="wikitable" style="width: 100%"
+
Wenn Sie links auf ''Druckversion'' klicken, können Sie ein Prüfformular ausdrucken!
 +
 
 +
{| class="wikitable" style="vertical-align:top"
 
|-
 
|-
 
! Nr. !! Frage !!  Erläuterungen !! J !! N
 
! Nr. !! Frage !!  Erläuterungen !! J !! N
 
|-
 
|-
|| 1. || style="width: 55%" | Sind '''[[personenbezogene Daten]]''' betroffen (Art. 4 Nr. 1 EU-DSGVO)? ||Sind natürliche Personen identifiziert oder identifizierbar?|| ||
+
|| Fall: || style="width: 55%" | || Vergeben Sie ein eindeutiges Kennzeichen für diese Prüfung.
 
|-
 
|-
|| 2. || Sind '''[[besondere Kategorien personenbezogener Daten]]''' betroffen (Art. 9 EU-DSGVO)? ||Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen?|| ||
+
|| Sachverhalt: || || Erläutern Sie den Sachverhalt ohne personenbezogene Daten zu verwenden, da dies einen eigenen Datenschutzfall bilden könnte!
 
|-
 
|-
|| 3. || Werden diese Daten i. S. d. EU-DSGVO '''[[Verarbeitung|verarbeitet]]''' (Art. 4 Nr. 2 EU-DSGVO)? ||Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen|| ||
+
|| 1. || Sind '''[[personenbezogene Daten]]''' betroffen (Art. 4 Nr. 1 EU-DSGVO)? ||Sind natürliche Personen direkt oder mit Hilfe anderer Daten eindeutig identifizierbar? Als personenbezogene Daten gelten auch z.- B. IP-Adressen oder Kfz-Kennzeichen. Auch einzigartige Eigenschaften können jemanden identifizieren.|| ||
 
|-
 
|-
|| 4. || Ist die EU-DSGVO '''[[Anwendbarkeit | sachlich]]''' anwendbar (Art. 2 EU-DSGVO)? ||'''Wenn''' keine rein persönliche und keine rein familiäre Datenverarbeitung stattfindet.|| ||
+
|| 2. || Werden diese Daten i. S. d. EU-DSGVO '''[[Verarbeitung|verarbeitet]]''' (Art. 4 Nr. 2 EU-DSGVO)? ||Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen. Liegt eine ''Erhebung'' oder ein ''Empfang'' von Daten vor, muss eine '''[[Datenschutzerklärung]]''' (Art. 13, 14 EU-DSGVO) abgegeben werden.|| ||
 
|-
 
|-
|| 5. || Ist die EU-DSGVO '''[[Anwendbarkeit | räumlich]]''' anwendbar (Art. 2 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird. || ||
+
|| 3. || Ist die EU-DSGVO '''[[Anwendbarkeit | räumlich]]''' anwendbar (Art. 2 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird. || ||
 
|-
 
|-
|| 6. || Ist die Verarbeitung '''[[Rechtmäßigkeit | rechtmäßig]]''' (Art. 6 EU-DSGVO)? || '''Wenn''' eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt.|| ||
+
|| 4. || Ist die Verarbeitung '''[[Rechtmäßigkeit | rechtmäßig]]''' (Art. 6 EU-DSGVO)? || '''Wenn''' eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt. Liegt ein datenschutzrechtlich nicht rechtmäßiger Fall vor, muss eventuell eine '''[[Meldung an die Aufsichtsbehörde]]''' vorgenommen werden.
 +
|| ||
 
|-
 
|-
|| 7. || Werden Daten an Drittländer '''[[Übermittlung | übermittelt]]''' (Art. ? || Werden Daten außerhalb der EU verarbeitet?|| ||
+
|| 5. || Sind '''[[besondere Kategorien personenbezogener Daten]]''' betroffen (Art. 9 EU-DSGVO)? ||Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen? Die Rechtmäßigkeit dieser Verarbeitung ist noch weiter eingeschränkt (Art. 9 EU-DSGVO).|| ||
 
|-
 
|-
|| 8. || Werden vorhandene Daten '''[[Zweckänderung | zweckentfremdet]]''' (Art. 6 Abs. 4 EU-DSGVO)? ||Sollen Daten anders verarbeitet werden als bei der Erhebung erklärt?|| ||
+
|| 6. || Wer sind (gemeinsam) '''[[Verantwortliche]]''' oder '''[[Auftragsverarbeiter]]''' (Kapitel IV EU-DSGVO)? ||'''Wenn''' Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.|| ||
 
|-
 
|-
|| 9. || Wer sind (gemeinsam) '''[[Verantwortliche]]''' oder '''[[Auftragsverarbeiter]]''' (Kapitel IV EU-DSGVO)? ||'''Wenn''' Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.|| ||
+
|| 7. || Ist eine '''[[Verarbeitungsverzeichnis]]''' notwendig (Art. 30 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. '''Inhalt:''' Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen|| ||
 
|-
 
|-
|| 10. || Ist ein '''[[Datenschutzbeauftragte|Datenschutzbeauftragter]]''' notwendig (Art. 37 EU-DSGVO)? ||'''Wenn''' Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.|| ||
+
|| 8. || Ist ein '''[[Datenschutzbeauftragte|Datenschutzbeauftragter]]''' notwendig (Art. 37 EU-DSGVO)? ||'''Wenn''' Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.|| ||
 
|-
 
|-
|| 11. || Ist eine '''[[Datenschutzerklärung]]''' notwendig (Art. 13, 14 EU-DSGVO)? ||'''Wenn''' Erhebung oder Erhalt von Daten vorliegt. '''Inhalt:''' Verantwortliche, Datenschutzbeauftragte, Zweck, Rechtsgrundlage, Übermittlungen|| ||
+
|| 9. || Ist eine '''[[Datenschutzfolgenabschätzung]]''' notwendig (Art. 35 EU-DSGVO)? ||'''Wenn''' ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). '''Inhalt:''' Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen|| ||
 
|-
 
|-
|| 12. || Ist eine '''[[Verarbeitungsverzeichnis]]''' notwendig (Art. 30 EU-DSGVO)? ||'''Wenn''' Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. '''Inhalt:''' Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen|| ||
+
|| 10. || Sind '''[[technische und organisatorische Maßnahmen]]''' geeignet (Art. 32 EU-DSGVO)? ||Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen|| ||
 
|-
 
|-
|| 13. || Ist eine '''[[Datenschutzfolgenabschätzung]]''' notwendig (Art. 35 EU-DSGVO)? ||'''Wenn''' ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). '''Inhalt:''' Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen|| ||
 
|-
 
|| 14. || Sind '''[[technische und organisatorische Maßnahmen]]''' geeignet (Art. 32 EU-DSGVO)? ||Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen|| ||
 
|-
 
|| 15. || Sind '''[[Betroffenenrechte]]''' gesichert (Art. 15 ff. EU-DSGVO)? || Auskunft, Berichtigung, Übertragbarkeit, Widerspruch, Einschränkung, Löschung|| ||
 
|-
 
|| 16. || Ist eine '''[[Meldung an die Aufsichtsbehörde]]''' vorzunehmen (Art. 33 EU-DSGVO)? ||'''Wenn''' der Schutz personenbezogener Daten verletzt worden ist. '''Inhalt:''' Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze), Kontaktdaten des Datenschutzbeauftragten, Wahrscheinliche Folgen der Verletzung, Ergriffene oder vorgeschlagene Maßnahmen zur Behebung. '''Tipp:''' Datenschutzerklärungen, Einwilligungen, Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzungen bereit halten!|| ||
 
 
|}
 
|}

Aktuelle Version vom 6. Mai 2021, 14:50 Uhr

Wenn Sie links auf Druckversion klicken, können Sie ein Prüfformular ausdrucken!

Nr. Frage Erläuterungen J N
Fall: Vergeben Sie ein eindeutiges Kennzeichen für diese Prüfung.
Sachverhalt: Erläutern Sie den Sachverhalt ohne personenbezogene Daten zu verwenden, da dies einen eigenen Datenschutzfall bilden könnte!
1. Sind personenbezogene Daten betroffen (Art. 4 Nr. 1 EU-DSGVO)? Sind natürliche Personen direkt oder mit Hilfe anderer Daten eindeutig identifizierbar? Als personenbezogene Daten gelten auch z.- B. IP-Adressen oder Kfz-Kennzeichen. Auch einzigartige Eigenschaften können jemanden identifizieren.
2. Werden diese Daten i. S. d. EU-DSGVO verarbeitet (Art. 4 Nr. 2 EU-DSGVO)? Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen. Liegt eine Erhebung oder ein Empfang von Daten vor, muss eine Datenschutzerklärung (Art. 13, 14 EU-DSGVO) abgegeben werden.
3. Ist die EU-DSGVO räumlich anwendbar (Art. 2 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird.
4. Ist die Verarbeitung rechtmäßig (Art. 6 EU-DSGVO)? Wenn eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt. Liegt ein datenschutzrechtlich nicht rechtmäßiger Fall vor, muss eventuell eine Meldung an die Aufsichtsbehörde vorgenommen werden.
5. Sind besondere Kategorien personenbezogener Daten betroffen (Art. 9 EU-DSGVO)? Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen? Die Rechtmäßigkeit dieser Verarbeitung ist noch weiter eingeschränkt (Art. 9 EU-DSGVO).
6. Wer sind (gemeinsam) Verantwortliche oder Auftragsverarbeiter (Kapitel IV EU-DSGVO)? Wenn Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.
7. Ist eine Verarbeitungsverzeichnis notwendig (Art. 30 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. Inhalt: Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen
8. Ist ein Datenschutzbeauftragter notwendig (Art. 37 EU-DSGVO)? Wenn Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.
9. Ist eine Datenschutzfolgenabschätzung notwendig (Art. 35 EU-DSGVO)? Wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). Inhalt: Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen
10. Sind technische und organisatorische Maßnahmen geeignet (Art. 32 EU-DSGVO)? Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen