Prüfschema

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Nr. Frage Erläuterungen J N
1. Sind personenbezogene Daten betroffen (Art. 4 Nr. 1 EU-DSGVO)? Sind natürliche Personen identifiziert oder identifizierbar?
2. Sind besondere Kategorien personenbezogener Daten betroffen (Art. 9 EU-DSGVO)? Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen?
3. Werden diese Daten i. S. d. EU-DSGVO verarbeitet (Art. 4 Nr. 2 EU-DSGVO)? Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen
4. Ist die EU-DSGVO sachlich anwendbar (Art. 2 EU-DSGVO)? Wenn keine rein persönliche und keine rein familiäre Datenverarbeitung stattfindet.
5. Ist die EU-DSGVO räumlich anwendbar (Art. 2 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird.
6. Ist die Verarbeitung rechtmäßig (Art. 6 EU-DSGVO)? Wenn eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt.
7. Werden Daten an Drittländer übermittelt (Art. ? Werden Daten außerhalb der EU verarbeitet?
8. Werden vorhandene Daten zweckentfremdet (Art. 6 Abs. 4 EU-DSGVO)? Sollen Daten anders verarbeitet werden als bei der Erhebung erklärt?
9. Wer sind (gemeinsam) Verantwortliche oder Auftragsverarbeiter (Kapitel IV EU-DSGVO)? Wenn Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.
10. Ist ein Datenschutzbeauftragter notwendig (Art. 37 EU-DSGVO)? Wenn Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.
11. Ist eine Datenschutzerklärung notwendig (Art. 13, 14 EU-DSGVO)? Wenn Erhebung oder Erhalt von Daten vorliegt. Inhalt: Verantwortliche, Datenschutzbeauftragte, Zweck, Rechtsgrundlage, Übermittlungen
12. Ist eine Verarbeitungsverzeichnis notwendig (Art. 30 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. Inhalt: Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen
13. Ist eine Datenschutzfolgenabschätzung notwendig (Art. 35 EU-DSGVO)? Wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). Inhalt: Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen
14. Sind technische und organisatorische Maßnahmen geeignet (Art. 32 EU-DSGVO)? Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen
15. Sind Betroffenenrechte gesichert (Art. 15 ff. EU-DSGVO)? Auskunft, Berichtigung, Übertragbarkeit, Widerspruch, Einschränkung, Löschung
16. Ist eine Meldung an die Aufsichtsbehörde vorzunehmen? Wenn der Schutz personenbezogener Daten verletzt worden ist. Inhalt: Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze), Kontaktdaten des Datenschutzbeauftragten, Wahrscheinliche Folgen der Verletzung, Ergriffene oder vorgeschlagene Maßnahmen zur Behebung. Tipp: Datenschutzerklärungen, Einwilligungen, Verarbeitungsverzeichnisse und Datenschutzfolgenabschätzungen bereit halten!