Kurzbeschreibung
Anhand der Checkliste können Datenschutzbeauftragte prüfen, ob sie alle Aufgaben erledigt bzw. berücksichtigt haben.
Wichtige Hinweise:
Die Aufgaben des Datenschutzbeauftragten ergeben sich aus dem Gesetz, vor allem aus Art. 38 DSGVO und Art. 39 DSGVO. Er muss mindestens folgende Befugnisse haben, man kann ihm aber auch weitere Kompetenzen übertragen (Art. 38 Abs. 6 DSGVO).
- Unterrichtung und Beratung des Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten über ihre Verpflichtungen
- Kontrolle, ob die DSGVO und andere Datenschutzvorschriften eingehalten werden
- Zuweisung von Zuständigkeiten und Schulung der Mitarbeitenden
- Beratung über Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO
- Beratung von betroffenen Personen (Der Datenschutzbeauftragte muss für diese eine Anlaufstelle sein)
- Zusammenarbeit mit der Aufsichtsbehörde
§ 38 BDSG 2018 enthält von der DSGVO abweichende Regelungen. Wichtig ist: Die Pflicht zum Datenschutzbeauftragten gilt nur für Unternehmen, die mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Dabei spielt es nach Meinung der Fachleute keine Rolle, ob die zehn Beschäftigten Festangestellte oder freie Mitarbeiter sind.
Für alle Unternehmen ist auch nach BDSG 2018 ein Datenschutzbeauftragter vorgeschrieben, wenn für die Datenverarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist oder wenn der Betrieb personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§ 38 Abs. 1 BDSG).
Die Checkliste fasst die wichtigsten Aufgaben eines Datenschutzbeauftragten zusammen.
Datenschutzbeauftragter, Aufgaben
Thema/Frage |
Erledigt? (ja/nein/nicht zutreffend) |
Anmerkungen/Erläuterungen |
Vorarbeit |
Verfahrensverzeichnis und Zugriffsberechtigungen Liegen Ihnen als Datenschutzbeauftragten die Angaben nach Art 38 Abs. 2 DSGVO vor (vom Arbeitgeber mitgeteilt oder selbst zusammengetragen)? Haben Sie die in Art. 38 Abs. 3 DSGVO vorgeschriebene unabhängige Stellung im Unternehmen? |
|
|
Allgemeine Aufgaben |
Mitarbeiter-Verpflichtung: Haben Sie geprüft, ob die Angestellten und die freien Mitarbeitenden verpflichtet wurden, die Grundsätze für die Verarbeitung personenbezogener Daten gemäß DSGVO und dem BDSG 2018 einzuhalten? Wurde die Verpflichtung schriftlich vereinbart? |
|
|
Mitarbeiter-Schulung: Haben Sie die Mitarbeiter mit den Datenschutz-Vorschriften vertraut gemacht oder machen lassen (Art. 39 Abs. 1 DSGVO)? |
|
|
Archivierung der Daten: Haben Sie sichergestellt, dass die Daten so archiviert werden, dass den Betroffenen jederzeit eine Auskunft gemäß Art. 15 DSGVO erteilt werden kann? Werden alle Daten gemäß den gesetzlichen Vorschriften archiviert? |
|
|
Beratungen: Beraten Sie die verantwortliche Stelle und die zuständigen Bearbeiter und die Auftragsverarbeiter über das Datenschutzrecht (Art. 39 Abs. 1 DSGVO) |
|
|
Ansprechpartner: Stehen Sie als Ansprechpartner für Betroffene zur Verfügung und prüfen Sie deren Anliegen in jedem Einzelfall (Art. 38 Abs. 4 DSGVO)? |
|
|
Weiterbildung: Nutzen Sie Möglichkeiten, sich selbst weiterzubilden, damit Ihre Fachkenntnisse auf einem aktuellen Stand bleiben (Art. 37 Abs. 5 DSGVO)? |
|
|
Überwachung der Datenverarbeitung: jeweils pro Datenverarbeitung |
Datenschutz-Folgenabschätzung: Werden Sie von sich aus aktiv, wenn eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO notwendig wird? |
|
|
Rechtsgrundlage: Prüfen Sie, ob jede Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten rechtmäßig ist und ob die Erlaubnis der betroffenen Personen eingeholt wurde (Art. 5 DSGVO, Art. 6 DSGVO)? |
|
|
Weitere gesetzliche Vorgaben: Soweit zutreffend: Haben Sie geprüft, ob weitere gesetzliche Vorgaben eingehalten werden, insbes. bei |
|
|
Technische und organisatorische Maßnahmen: Sind technische und organisatorische Maßnahmen getroffen und gewährleisten sie einen ausreichenden Schutz der personenbezogenen Daten (Art. 25 DSGVO und Art. 32 DSGVO)? |
|
|
Datenvermeidung und Datensparsamkeit: Werden nur so wenig personenbezogene Daten wie möglich erhoben und genutzt (Art. 5 DSGVO)? |
|
|
Wahrung der Rechte von Betroffenen: Ist sichergestellt, dass die Rechte der Betroffenen gewahrt werden können? Vor allem folgende Rechte: |
|
|
Organisation Sind Sie nicht nur rechtlich, sondern auch tatsächlich so in die Unternehmens-/Behördenstrukturen eingebunden, dass Sie informiert und angehört werden? |
Haben Sie sich selbst Strukturen geschaffen, die Ihnen die Arbeit erleichtern? Können Sie ggf. auf Infrastruktur und Helfer zurückgreifen, um Ihre Aufgaben zu erfüllen? |
|
|
Können Sie, wenn nötig, au... |