Prüfschema

Aus Datenschutz
Zur Navigation springen Zur Suche springen
Nr. Frage Erläuterungen J N
1. Sind personenbezogene Daten betroffen (Art. 4 Nr. 1 EU-DSGVO)? Sind natürliche Personen identifiziert oder identifizierbar?
2. Werden diese Daten i. S. d. EU-DSGVO verarbeitet (Art. 4 Nr. 2 EU-DSGVO)? Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Abgleich, Verknüpfung, Einschränkung, Vernichten, Organisieren, Ordnen. Liegt eine Erhebung oder ein Empfang von Daten vor, muss eine Datenschutzerklärung (Art. 13, 14 EU-DSGVO) abgegeben werden.
3. Ist die EU-DSGVO räumlich anwendbar (Art. 2 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter eine Niederlassung in der EU haben, sich Betroffene in der EU befinden, Betroffenen in der EU Waren oder Dienstleistungen angeboten werden oder ihr Verhalten beobachtet wird.
4. Ist die Verarbeitung rechtmäßig (Art. 6 EU-DSGVO)? Wenn eine Einwilligung, rechtliche Verpflichtung, Vertrag, lebenswichtiges, öffentliches oder berechtigtes Interesse vorliegt. Liegt ein datenschutzrechtlich nicht rechtmäßiger Fall vor, muss eventuell eine Meldung an die Aufsichtsbehörde vorgenommen werden.
5. Sind besondere Kategorien personenbezogener Daten betroffen (Art. 9 EU-DSGVO)? Sind Daten über Gesundheit, Abstammung, Politik/Gewerkschaft oder Sexualität vom Sachverhalt betroffen? Die Rechtmäßigkeit dieser Verarbeitung ist noch weiter eingeschränkt (Art. 9 EU-DSGVO).
6. Wer sind (gemeinsam) Verantwortliche oder Auftragsverarbeiter (Kapitel IV EU-DSGVO)? Wenn Verantwortliche gemeinsam Art und Weise der Verarbeitung bestimmen, sind sie gemeinsam Verantwortliche, ansonsten Verantwortliche und Auftragsverarbeiter.
7. Ist eine Verarbeitungsverzeichnis notwendig (Art. 30 EU-DSGVO)? Wenn Verantwortliche oder Auftragsverarbeiter mehr als 249 Beschäftigte haben. Inhalt: Verantwortliche, Datenschutzbeauftragte, Zweck, Betroffene (kat.), Daten (kat.), Empfänger, Löschfristen, technische und organisatorische Maßnahmen
8. Ist ein Datenschutzbeauftragter notwendig (Art. 37 EU-DSGVO)? Wenn Verantwortliche Behörden oder Organisationen mit mehr als 19 Computerarbeitsplätzen sind.
9. Ist eine Datenschutzfolgenabschätzung notwendig (Art. 35 EU-DSGVO)? Wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegen könnte (bei systematischer oder umfangreicher Verarbeitung). Inhalt: Verarbeitungsvorgänge, Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck, Bewertung von Risiken für Rechte und Freiheiten, Abhilfen
10. Sind technische und organisatorische Maßnahmen geeignet (Art. 32 EU-DSGVO)? Datensicherungskonzept, Zugriffsschutz, Benutzerkonzept, Videoüberwachung, Alarm- und Löschanlagen, Prozesse bei Einstellung und Kündigung, Reaktion auf Benutzeranfragen