DSVG für Autobus, Luftfahrt und Schifffahrt: Checkliste

Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung eines Maßnahmenplanes rechtzeitig zu setzen:

1. Vorbereitung 

• Für die Anpassung an die DSGVO zuständige Personen (intern/extern) nominieren

2. Durchführung der Bestandsanalyse, um ein Datenverarbeitungsverzeichnis erstellen zu können:

Welche personenbezogene Daten werden verarbeitet?

• Welche Datenanwendungen bestehen?

  • Welche Standardanwendungen liegen derzeit vor? 
  • Welche Datenanwendungen sind derzeit im DVR registriert?
  • Wird eine Bildverarbeitung (z.B. Videoüberwachung) durchgeführt?
  • Überprüfen Sie Ihre AGB, Datenschutzerklärungen, Impressum, laufende Verträge, Website-Einstellungen, etc

• Was sind die Zwecke meiner Datenverarbeitungen?
• Was ist die Rechtsgrundlage der Datenverarbeitung?
  • Liegt eine Einwilligung vor?

• Welche sensiblen Daten werden verarbeitet?

• Werden Auftragsverarbeiter (derzeit „Dienstleister“) herangezogen?
  • Gibt es schriftliche Vereinbarungen für die Auftragsverarbeitung? 
    • siehe Musterformular „Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO: EU-Datenschutz-Grundverordnung (DSGVO): Mustervertrag)
  • Weist der Auftragsverarbeiter die erforderliche Zuverlässigkeit auf?

• Wie werden die Informationspflichten (nach der DSGVO) erfüllt?

• Wie werden die Betroffenenrechte (nach der DSGVO) erfüllt? 
  • An wen in meinem Unternehmen können sich betroffene Personen für die Ausübung ihrer Betroffenenrechte wenden?

Welche Datensicherheitsmaßnahmen sind vorhanden?

Wie ist privacy by design/privacy by default implementiert?

Besteht für meine  Datenverarbeitungen Dokumentationspflicht?

• Wie wird die Dokumentationspflicht erfüllt?

Welche Vorkehrungen gegen Datenschutzverletzungen existieren schon in meinem Unternehmen?

Ist für meine Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen?

• Welche Risiken aus der Datenverarbeitung ergeben sich für die Rechte und Freiheiten der Betroffenen
• Wie kann ich den Risikoeintritt verhindern oder zumindest minimieren?

Ist eine vorherige Konsultation bei der Aufsichtsbehörde notwendig?

Brauche ich einen Datenschutzbeauftragten?

Welcher Datenverkehr mit dem EU-Ausland besteht und auf welcher Rechtsgrundlage?

Besonderheiten Arbeitnehmerdatenschutz

• Überprüfung von Dienstverträgen, Betriebsvereinbarungen, Dienstordnungen, etc

• Rechtzeitige Kommunikation mit dem Betriebsrat

• Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform (siehe dazu „Pflichten des Verantwortlichen“ und „Grundsätze und Rechtmäßigkeit der Verarbeitung“) erfolgen? (z.B. Dokumentation der Einwilligungserklärungen, Verarbeitungsverzeichnis, Dokumentation der ergriffenen Sicherheitsmaßnahmen, Dokumentation der Risikoabschätzung, Protokollierung oder Dokumentation der Weisungen an dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, Dokumentation der Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit, etc)

3. Muster für Datenverarbeitungsverzeichnis

Musterformulare (Sammlung)

1. Mustervertrag für die Auftragsverarbeitung
2. Muster-Verarbeitungsverzeichnis für Verantwortliche 
3. Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter
4. Verpflichtungserklärung zum Datengeheimnis und zur Wahrung von Geschäfts- und Betriebsgeheimnissen
5. Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten
6. Data Breach Notification - Muster Meldung an die Aufsichtsbehörde  (Meldung bei Verlust der Kontrolle über Daten)
7. Data Breach Notification - Muster Benachrichtigung der betroffenen Person (Datenverarbeitungsverzeichnis mit Word-Download und Anwendungsbeispiel)
8. Checkliste für Cookies und Web-Analyse im Webshop

Stand: 12.03.2018