|
Allgemeine Informationen |
|
|
Name (inkl. Rechtsform) |
|
|
Anschrift des Unternehmens |
|
|
Ansprechpartner |
|
|
Name |
|
|
Funktion |
|
|
Kontaktdaten (Telefon & E-Mailadresse) |
|
|
Datenschutzbeauftragter |
|
|
Stellung des Datenschutzbeauftragten (wenn nicht, bitte erläutern warum) |
☐ intern ☐ extern |
|
Name |
|
|
ggf. Anschrift (bei externen Datenschutzbeauftragten) |
|
|
Kontaktdaten (Telefon & E-Mailadresse) |
|
|
Datenschutzorganisation |
|
| 2.1 |
Welche Unternehmensbereiche sind mit dem Thema Datenschutz betraut? |
|
| 2.2 |
Beschreiben Sie bitte das Zusammenwirken der einzelnen Stellen in datenschutzrechtlichen Angelegenheiten unter Beifügung eines aussagekräftigen Organigramms |
|
| 2.3 |
Sofern es einen Datenschutzbeauftragten gibt, wie und in welcher Häufigkeit berichtet er an die Geschäftsführung? Legen Sie die Berichte der letzten drei Jahre vor. |
|
|
Umsetzung der DS-GVO |
|
| 3.1 |
Welche Unternehmensbereiche waren oder sind maßgeblich in die Umsetzung der DS-GVO involviert? |
|
| 3.2 |
Kreuzen Sie bitte die wesentlichen Maßnahmen an, die Sie im Rahmen der Umsetzung getroffen haben und überlassen uns die entsprechende Dokumentation. |
☐ Sensibilisierungsmaßnahmen ☐ interne Datenschutz-Richtlinie ☐ Erstellung von Datenschutzhinweisen zur Erfüllung der Informationspflicht ☐ Löschkonzept ☐ Abschluss von Auftragsverarbeitungsverträgen ☐ Prozess Datenschutz-Folgenabschätzung ☐ Anpassung und Erweiterung interner Vorgaben zur Dokumentation ☐ Dokumentation der Umsetzung der DS-GVO ☐ Betriebsvereinbarungen zum Datenschutz ☐ Benennung eines internen bzw. Beauftragung eines externen Datenschutzbeauftragten ☐ Prozesse für Betroffenenrechte ☐ Prozesse für Beschwerdebearbeitung ☐ Prüfung vertraglicher Grundlagen für internationalen Datentransfer (Bitte teilen Sie mit, mit welchen Dienstleistern in Drittländern ein Vertragsverhältnis besteht) ☐ Überprüfung/Neuverhandlung der Verträge mit externen Dienstleistern ☐ Dokumentation der internen Datenschutzorganisation ☐ Prozess für die Meldung von Datenpannen ☐ Einwilligungsprozess (Legen Sie die Dokumentation der etwaig eingeholten Einwilligungen vor.) |
| 3.3 |
Erläutern Sie bitte kurz den Umsetzungsstatus, falls noch nicht bzw. nicht vollständig umgesetzt. Benennen Sie bitte auch die Gründe. |
|
| 3.4 |
Hat Ihre interne Revision oder eine vergleichbare Einheit die Einführung und Umsetzung der DS-GVO in Ihrem Unternehmen geprüft? Wenn ja- mit welchem Ergebnis? |
|
|
Zulässigkeit der Datenverarbeitung |
|
| 4.1 |
Bitte listen Sie die wesentlichen unternehmensspezifischen Datenverarbeitungen auf und ordnen Sie diesen Rechtsgrundlagen zu, auf die Sie die Verarbeitung personenbezogener Daten stützen (Artikel 6, 9 DS-GVO inkl. Spezialnormen) |
|
| 4.2 |
Sofern Sie auf Basis von Einwilligungen personenbezogene Daten verarbeiten, fügen Sie bitte exemplarisch Ihr(e) Muster bei. |
|
|
Beschwerde-Bearbeitung |
|
| 5.1 |
Listen Sie bitte die mit der Bearbeitung datenschutzrechtlicher Beschwerden befassten Stellen Ihres Unternehmens auf. |
|
| 5.2 |
Anhand welcher Kriterien stuft Ihr Unternehmen die Rückmeldung eines Kunden als datenschutzrechtliche Beschwerde ein (Beschwerdedefinition)? |
|
| 5.3 |
Wie unterscheidet sich die Bearbeitung einer datenschutzrechtlichen Beschwerde von der Bearbeitung einer sonstigen Beschwerde? |
|
|
Betroffenenrechte |
|
| 6.1 |
Wie stellen Sie sicher, dass den Betroffenenrechten auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Nachberichtspflicht und Datenübertragbarkeit angemessen nachgekommen wird? Bitte kreuzen Sie zutreffendes an: |
☐ Regelungen der Verantwortlichkeiten, Zuständigkeiten und des Kommunikationsverlaufs im Unternehmen ☐ Prozesse zur Beantwortung von Anfragen der Betroffenen (einschließlich Erkennen als Anfrage zu einem Betroffenenrecht z.B. durch Schlüsselwörter, Identifikation der Betroffenen, Bearbeitungsdauer, Rückmeldung an Betroffene u.a.) ☐ Verwenden von Mustern für Antwortschreiben ☐ Prozesse zur Sicherstellung der Einhaltung von Fristen ☐ Prozesse zur Nachverfolgung des Fortschritts der Bearbeitung ☐ Verfahren zur Reaktion, wenn ein(e) Betroffene(r) mit der Beantwortung nicht zufrieden ist ☐ Sensibilisierung der Mitarbeiter |
| 6.2 |
Skizzieren Sie bitte überblicksartig Ihre wesentlichen Prozesse zu den o. g. Betroffenenrechten. Legen Sie bitte möglichst Nachweise (z. B. Verfahrensbeschreibungen, Mustertexte etc.) bei, die eine Überprüfung Ihrer Angaben ermöglichen. |
|
| 6.3 |
Wie kommen Sie Ihren Informationspflichten gegenüber Kunden gem. Art. 13 bzw. 14 DS-GVO nach? Bitte fügen Sie exemplarisch Ihre Texte bei. |
☐ Homepage ☐ Postversand ☐ E-Mail-Link ☐ Aushang ☐ Sonstige |
| 6.4 |
Zu welchem Zeitpunkt informieren Sie Ihre Kunden (i. S. v. 6.3)? |
|
| 6.5 |
Wie werden Missstände und Schwachstellen im Umgang mit Betroffenenrechten kontinuierlich verbessert und die Verbesserungsmaßnahmen auf ihre Wirksamkeit hin überprüft? |
|
| 6.6 |
Wie viele Betroffenenanfragen hatten Sie in den letzten drei Jahren und gibt es derzeit offene Anfragen? |
|
|
Sensibilisierungsmaßnahmen |
|
| 7.1 |
Stellen Sie sicher, dass Ihre Mitarbeiterinnen und Mitarbeiter für den Umgang mit personenbezogenen Daten hinreichend sensibilisiert sind? |
☐ Ja ☐ Nein |
| 7.2 |
Benennen Sie, wenn zutreffend, die wesentlichen Sensibilisierungsmaßnahmen und machen Sie Angaben zum Ausführungsturnus. |
|
|
Rechenschaftspflicht |
|
| 8.1 |
Wie können Sie die Einhaltung der Grundsätze der Datenverarbeitung nachweisen? |
|
| 8.2 |
Wie haben Sie sichergestellt, dass alle Ihre Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden, in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wurden? Wie stellen Sie dessen Aktualität sicher? Legen Sie bitte eine Übersicht Ihrer dokumentierten Verfahren sowie ein Beispielverfahren als Muster bei. |
|
| 8.3 |
Haben Sie eine Übersicht über die bestehenden Auftragsverarbeitungsverträge? Bitte stellen Sie die Übersicht bereit und fügen Ihre Musterverträge bei. |
|
|
Technischer Datenschutz |
|
| 9.1 |
Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen bzw. die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten? Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden? Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben? Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Privacy by Design und by Default)? |
|
| 9.2 |
Haben Sie in den letzten drei Jahren eine Datenpanne an die Aufsichtsbehörde oder an Betroffenen gemeldet? Geben Sie uns hierzu eine Übersicht. |
|
| 9.2 |
Überlassen Sie uns Ihre interne Dokumentation der Datenpannen. |
|