Text: DSMS Self-Assessment¶
| Kontrollnummer | 9.1.1 |
|---|---|
| Kontrollfrage | Inwieweit sind Richtlinien zum Datenschutz vorhanden? |
| Ziel | Die Organisation benötigt mindestens eine Richtlinie zum Datenschutz. Diese spiegelt die Wichtigkeit und Bedeutung des Datenschutzes wider und ist an die Organisation angepasst. Weitere Richtlinien können je nach Organisationsgröße und -struktur sinnvoll sein. |
| Anforderungen (muss) | + Eine Richtlinie ist erstellt, wird regelmäßig aktualisiert und von der Organisationsleitung freigegeben. |
| Hilfestellung: Beispiele Normaler Schutzbedarf |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.2.1 |
| --- | --- |
| Kontrollfrage | Inwieweit sind die Verantwortlichkeiten für Datenschutz organisiert? |
| Ziel | Ein erfolgreicher Datenschutz benötigt klare Verantwortlichkeiten in der Organisation. |
| Anforderungen (muss) | + Bestellung eines Datenschutzbeauftragten, sofern gesetzlich erforderlich, Art. 37 DSGVO
- Festlegung, ob freiwillige oder verpflichtende Bestellung eines Datenschutzbeauftragten
- sonst Bestimmung einer Datenschutzfunktion oder Vergleichbarem
+ Veröffentlichung der Kontaktdaten (z.B. im Internet)
+ Eingliederung in die Unternehmensstruktur
+ Ausübung der Kontrollpflichten aus Art. 39 Abs. 1 lit. b) DSGVO und entsprechende Dokumentation
+ Dokumentation des datenschutzrechtlichen Status und Bericht an die höchste Managementebene
+ Ausstattung mit ausreichenden Kapazitäten und Ressourcen
- Festlegung, ob hauptamtliche oder nebenamtliche Datenschutzfunktion
- hinreichende fachliche Qualifikation
- regelmäßige fachliche Fortbildungen
- Zugang zu Fachliteratur
- Unterstützung des Datenschutzbeauftragten durch Datenschutzkoordinatoren in den Unternehmensbereichen, abhängig von der Unternehmensgröße (z.B. Marketing, Vertrieb, Personal, Logistik, Entwicklung etc.) |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.3.1 |
| --- | --- |
| Kontrollfrage | Inwieweit werden Verarbeitungen identifiziert und erfasst? |
| Ziel | Das Unternehmen erfüllt seine Rechenschafts- und Transparenzpflicht und schafft sich so eine Übersicht über die jeweiligen Datenverarbeitungen. |
| Anforderungen (muss) | + Sofern gesetzlich erforderlich, wird ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 und/oder Abs. 2 DSGVO (in letzterem Fall nur auftragsgegenständliche Informationen, ausdrücklich nicht andere Informationen/Angaben zu internen Verarbeitungen) geführt.
- Es existiert eine Prozessbeschreibung/Ablaufbeschreibung mit definierten Zuständigkeiten. |
| Hilfestellung: Beispiele Normaler Schutzbedarf | Es brauchen nicht alle Informationswerte einzeln aufgelistet zu werden, sondern es können ebenso Kategorien gebildet werden (z. B. Stammdaten der Mitarbeiter - verantwortliche Stelle: Personalabteilung). |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.4.1 |
| --- | --- |
| Kontrollfrage | Inwieweit wird der Umgang mit risikoreichen Verarbeitungen sichergestellt (Datenschutzfolgenabschätzung)? |
| Ziel | Der Umgang mit risikoreichen Verarbeitungen wird in Zusammenarbeit mit dem Dienstleister mit entsprechenden Maßnahmen abgesichert, um Risiken für die Rechte und Freiheiten der Betroffenen zu identifizieren und ggf. zu reduzieren. |
| Anforderungen (muss) | + Verarbeitungen, welche eine Datenschutzfolgenabschätzung benötigen, sind bekannt.
+ Datenschutzfolgenabschätzungen werden durchgeführt.
- Verantwortlichkeiten/Aufgaben und Unterstützungsmöglichkeiten im Rahmen von Datenschutzfolgenabschätzungen sind festgelegt und bekannt. |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.5.1 |
| --- | --- |
| Kontrollfrage | Inwieweit ist die Übermittlung von Daten gemanagt? |
| Ziel | Das Unternehmen kennt und sichert Datenübermittlungen ab. |
| Anforderungen (muss) | + Für die Übermittlung von Daten liegen entsprechende Prozesse und Arbeitsabläufe vor.
- z.B. gültige Verträge iSd Art. 28 DSGVO, geeignete Transferinstrumente (z.B. Standardvertragsklauseln, Transfer Impact Assessments, Angemessenheitsbeschlüsse)
- Sicherstellung der Zustimmung bzw. des Widerspruchrechts des Verantwortlichen bei Unterbeauftragungen |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.5.2 |
| --- | --- |
| Kontrollfrage | Inwieweit werden vertragliche Vereinbarungen an Auftragnehmer und Kooperationspartner weitergegeben und deren Einhaltung überprüft? |
| Ziel | Das Unternehmen kennt und sichert Datenübermittlungen an Unterauftragnehmer ab. |
| Anforderungen (muss) | + Mit Auftraggebern vereinbarte vertragliche Vereinbarungen werden, soweit zutreffend, an Auftragnehmer und Kooperationspartner (Unterauftragsverarbeiter) weitergegeben.
+ Eine Überprüfung der Einhaltung vertraglicher Vereinbarungen findet statt.
- Aktuelle Kontaktdaten der Ansprechpartner beim Unterauftragnehmer sind verfügbar, werden eingeleitet und verfolgt. |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.5.3 |
| --- | --- |
| Kontrollfrage | Inwieweit werden Datenübermittlungen an Drittländer gemanagt? |
| Ziel | Das Unternehmen kennt und sichert Datenübermittlungen in Drittländer ab. |
| Anforderungen (muss) | + Übermittlungen an Drittländer sind bekannt und werden systematisch erfasst.
- z.B. durch entsprechende Dokumentationen im Verarbeitungsverzeichnis
+ Geeignete Garantien (Kapitel V DSGVO, Berücksichtigungen von Entscheidungen des EuGH zum internationalen Datentransfer, Transfer Impact Assessment bei Relevanz, insbes. bei Rolle als Datenexporteur) liegen für die Datenübermittlungen vor,.
+ Bei Datenübermittlungen an Drittstaaten wird geprüft, ob die Zustimmung des Verantwortlichen zu jeder Übermittlung an Drittländer einzuholen ist. |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.6.1 |
| --- | --- |
| Kontrollfrage | Inwieweit werden Betroffenenanfragen verarbeitet? |
| Ziel | Das Ziel ist die Sicherstellung einer fristgerechten Bearbeitung und Erfüllung von Betroffenenanfragen, um die gesetzlich zugesicherten Betroffenenrechte zu wahren. |
| Anforderungen (muss) | + Betroffenenanfragen werden fristgerecht bearbeitet.
- Es sind Verfahren vorhanden, um den Verantwortlichen bei der Beantwortung von Betroffenenanfragen zu unterstützen.
- Mitarbeiter werden dahingehend geschult, dass sie bei einer eingehenden Betroffenenanfrage unverzüglich den jeweiligen Verantwortlichen kontaktieren und das weitere Vorgehen mit diesem abstimmen müssen. |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.6.2 |
| --- | --- |
| Kontrollfrage | Inwieweit werden Datenschutzvorfälle verarbeitet? |
| Ziel | Das Ziel der Bearbeitung von Datenschutzvorfällen soll sicherstellen, dass ein möglicher Schaden für die Betroffenen begrenzt und ein wiederholtes Eintreten verhindert wird. Zudem muss die gesetzlich erforderliche Dokumentation und ggf. fristgerechte Meldung an die Aufsichtsbehörde sichergestellt sein. |
| Anforderungen (muss) | + Datenschutzvorfälle (z.B. unberechtigter Zugriff auf personenbezogene Daten) werden fristgerecht bearbeitet.
+ Die Maßnahmen aus 1.6.1 des Fragebogens Informationssicherheit berücksichtigen auch Datenschutzvorfälle oder alternativ besteht ein Notfallplan für Vorgehen im Datenschutzvorfall.
+ Zusätzlich sind Verfahren zur Sicherstellung der nachfolgenden Aspekte etabliert und dokumentiert:
- unverzügliche Meldung an den jeweiligen Verantwortlichen, soweit sein Auftrag betroffen ist
- Dokumentation der Prozesse - Schulung der Mitarbeiter zu den definierten Maßnahmen/Prozessen
- Unterstützung des jeweils Verantwortlichen bei der Bearbeitung von Datenschutzvorfällen |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen. | Kontrollnummer | 9.7.1 | | --- | --- | | Kontrollfrage | Inwieweit werden Mitarbeiter auf Vertraulichkeit verpflichtet? | | Ziel | Für Organisationen gelten Gesetze, Vorschriften und interne Richtlinien. Für die Beschäftigung (Einstellung/Durchführung/Beendigung) ist es wichtig, dass sich Mitarbeiter zur Einhaltung der Richtlinien verpflichten. | | Anforderungen (muss) | + Mitarbeiter, zu deren Aufgabe die Verarbeitung personenbezogener Daten gehört, werden in dokumentierter Form zur Vertraulichkeit (auch über die Dauer des Arbeitsverhältnisses hinaus) und auf die Einhaltung der geltenden Datenschutzgesetze verpflichtet. | | Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.7.2 |
| --- | --- |
| Kontrollfrage | Inwieweit werden Mitarbeiter zum Datenschutz geschult? |
| Ziel | Wenn die Anforderungen und die Risiken des Datenschutzes bei den Mitarbeitern nicht bekannt sind, besteht das Risiko, dass sich Mitarbeiter falsch verhalten und damit der Organisation ein Schaden entsteht. Daher ist es wichtig, dass Datenschutzes als selbstverständlicher Teil ihrer Tätigkeit verinnerlicht ist und gelebt wird. |
| Anforderungen (muss) | + Mitarbeiter sind geschult und sensibilisiert.
- Abstufung des Umfangs, der Häufigkeit und der Inhalte der Schulung nach Schutzbedarf der Daten
- Mitarbeiterinnen und Mitarbeiter in kritischen Bereichen (z.B. IT Administratoren) werden spezifisch auf ihre Tätigkeit ausgerichtet unterwiesen und geschult (z.B. spezifische Schulungen oder Handlungsanweisung, Kurzvideos, etc.). |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
| Kontrollnummer | 9.8.1 |
| --- | --- |
| Kontrollfrage | Inwieweit ist der Umgang mit Weisungen in Auftragsverarbeitungsverhältnissen gemanaget? |
| Ziel | Durch den geordneten und definierten Umgang mit Weisungen hinsichtlich der auftragsgegenständlichen Verarbeitung des Verantwortlichen soll sichergestellt werden, dass die Aufgaben des Auftragsverarbeiters erfüllt werden sowie dass der Auftragsverarbeiter die vorgesehenen und vertraglich vereinbarten Pflichten erfüllt (insbesondere auch zur Feststellung einer ggf. vorliegenden Überschreitung des vertraglich vereinbarten Rahmens). |
| Anforderungen (muss) | + Der Umgang mit Weisungen hinsichtlich der auftragsgegenständlichen Verarbeitung des Verantwortlichen ist gewährleistet.
+ Es sind Verfahren und Maßnahmen vorhanden, welche sicherstellen, dass:
- Weisungen dokumentiert sind
- Weisungen umgesetzt werden können (z.B. Verfahren für das Berichtigen, Löschen, …)
- Daten nach Auftraggeber und konkretem Auftrag getrennt sind |
| Hilfestellung: Beispiele Normaler Schutzbedarf | |
Fügen Sie mithilfe des Makros für den Seiteneigenschaftenbericht eine Tabelle mit Schlüssel-Wert-Paaren hinzu, um die Daten auf einer anderen Seite anzuzeigen.
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |