DSGVO-Maßnahmenübersicht

Welche Maßnahmen Sie bis zum Stichtag ergreifen sollten, können Sie dieser Liste entnehmen. Sie gibt Ihnen einen verkürzten Überblick. Da einige nationale Regelungen noch ausstehen, wird es ein 2. Anpassungsgesetz geben. Viele Begriffe innerhalb der Datenschutzgrundverordnung (DSGVO) sind auslegungsbedürftig. Die deutschen Aufsichtsbehörden legen derzeit erste Interpretationen aus, sodaß der Anwender sich daran orientieren kann. Diese Liste kann somit nicht als abschließend oder vollständig betrachtet werden.

  • Information der Führungskräfte über die bevorstehenden Änderungen: EU-DSGVO, BDSG (neu)
  • Relevante Verfahren zusammentragen: Art. 30 Abs. 1
  • Benennung Verarbeitungsverantwortliche & Stellvertreter: Art. 30 Abs. 1
  • Erstellung Verarbeitungsverzeichnis durch den Verarbeitungsverantwortlichen: Art. 30 Abs. 1
  • Relevante TOMs für Verarbeitung zusammentragen: Art. 30 Abs. 1
  • Auftragsverarbeiter über ihre Pflicht zur Verzeichnisführung unterrichten: Art. 30 Abs. 2
  • Auftragsverarbeiter zur Übermittlung ihrer Verzeichnisse auffordern: Art. 30 Abs. 2
  • Dokumentation Verschlüsselung personenbezogener Daten: Art. 32 Abs. 1 Pkt. A
  • Dokumentation Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste mit dauerhaften Verfahren: Art. 32 Abs. 1 Pkt. B
  • Dokumentation Backup, sowie rasche Wiederherstellbarkeit: Art. 32 Abs. 1 Pkt. C
  • Nachweispflicht als DSB bzgl. der ordnungsgemäßen Verarbeitung: Art. 5  und BDSG 2018 §26 Abs. 5
  • Dokumentation der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs: Art. 32 Abs. 1 Pkt. D
  • Analyse und Beurteilung des angemessenen Schutzniveaus der einzelnen Datenverarbeitungen: Art. 32 Abs. 2
  • Nachweisführung, dass Mitarbeiter, die personenbezogenen Daten verarbeiten, dies jeweils nur auf und nach Anweisung des Datenverarbeitungsverantwortlichen tun: Art. 32 Abs. 4
  • Einrichten eines Meldeweges und von Meldekriterien von Datenschutzverletzungen bei der Aufsichtsbehörde: Art. 33
  • Planung des Vorgehens zur Meldung von Datenschutzverstößen an die Betroffenen: Art. 34
  • Schriftliche Beurteilung aller Verfahren, ob eine Folgeabschätzung notwendig ist: Art. 35 Abs. 1 & 3
  • Durchführung der Folgeabschätzungen: Art. 35 Abs. 7
  • Ggf. Konsultation der Aufsichtsbehörde zur Genehmigung der risikoreichen DV basierend auf der Folgeabschätzung: Art. 36 Abs. 1
  • Zusammenstellung einer Übersicht der datenerhebenden Dokumente und digitalen Erhebungen: Art. 13 Abs. 1
  • Texte zur Erfüllung der Informationspflichten für die Erhebungen erstellen: Art. 13 Abs. 1
  • Planung der Bereitstellung der in Abs. 2 genannten Informationen für alle Betroffenen: Art. 13 Abs. 2
  • Prüfung, ob Daten existieren, die nicht vom Betroffenen erhoben wurden: Art. 14
  • Texte zur Erfüllung der Informationspflichten für den Datenbesitz erstellen: Art. 14
  • Nachweisführung der Umsetzung der TOMs durch den jeweiligen DV-Verantwortlichen: Art. 24 Abs. 1
  • Verfahren zur regelmäßigen Nachweisführung der Umsetzung der TOMs durch den jeweiligen DV-Verantwortlichen: Art. 24 Abs. 1
  • Erstellung einer Datenschutzrichtlinie zum Nachweis gegenüber der Aufsichtsbehörde: Art 24 Abs. 2
  • Dokumentation der regelmäßigen Kontrolle der Einhaltung der Datenschutzrichtlinie zum Nachweis gegenüber der Aufsichtsbehörde: Art 24 Abs. 2
  • Dokumentation von Privacy by Default und Design durch den DV-Verantwortlichen: Art. 25
  • IP-Adresse und Cookies müssen als pbDaten behandelt werden. Anpassung der DV.: Art. 4 Abs. 1 i.V.m. Erwägungsgrund 30
  • Anpassung der Einwilligungstexte und der Form der Einwilligung: Artt. 7 & 8
  • Nachweis der berechtigten Interessen für die DV, die deren rechtliche Grundlage bildet: Art. 6 Abs. 1 Pkt. Ff
  • Nachweis eines bestehenden Vertrages für die DV, die deren rechtliche Grundlage bildet: Art. 6 Abs. 1 Pkt. b
  • Nachweis der sorgfältigen Auswahl für alle Auftragsverarbeiter erstellen: Art. 28 Abs. 1
  • Verträge und Kontrollen mit den Auftragsverarbeitern an die geforderten Inhalte von Abs. 3 anpassen: Art. 28 Abs. 3
  • Nachweise der Vertragsabschlüsse mit Subauftragnehmern von den Auftragnehmern einfordern: Art. 28 Abs. 4 i.V.m. Abs. 1
  • Sensibilisierung der Mitarbeiter: Art. 39 Abs. 1 Pkt. B
  • Schulung der Mitarbeiter über die neuen Inhalte: Art. 39 Abs. 1 Pkt. B
  • Anpassung ggf. vorhandener Betriebsvereinbarungen und Arbeitsanweisungen

Quellen:

 

Twitter Digg Delicious Stumbleupon Technorati Facebook

No comments yet... Be the first to leave a reply!