EU DSGVO ToDo-Liste bis Mai 2018

Diese Liste gibt Ihnen einen verkürzten Überblick, welche Maßnahmen Sie bis zum 25.05.2018 ergreifen sollten. Da einige nationale Regelungen noch ausstehen und viele Begriffe innerhalb der EU-Datenschutzgrundverordnung (DSGVO) auslegungsbedürftig sind, kann diese Liste leider nicht als abschließend vollständig betrachtet werden.

EU-DSGVO Information der Führungskräfte über die bevorstehenden Änderungen
Art. 30 Abs. 1 Relevante Verfahren zusammentragen
Art. 30 Abs. 1 Benennung Verarbeitungsverantwortliche & Stellv.
Art. 30 Abs. 1 Erstellung Verarbeitungsverzeichnis durch den Verarbeitungsverantwortlichen
Art. 30 Abs. 1 Relevante TOMs für Verarbeitung zusammentragen
Art. 30 Abs. 2 Auftragsverarbeiter über ihre Pflicht zur Verzeichnisführung unterrichten
Art. 30 Abs. 2 Auftragsverarbeiter zur Übermittlung ihrer Verzeichnisse auffordern
Art. 32 Abs. 1 Pkt. A Dokumentation Verschlüsselung pbDaten
Art. 32 Abs. 1 Pkt. B Dokumentation Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste mit dauerhaften Verfahren
Art. 32 Abs. 1 Pkt. C Dokumentation Backup, sowie rasche Wiederherstellbarkeit
Art. 32 Abs. 1 Pkt. D Dokumentation der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs
Art. 32 Abs. 2 Analyse und Beurteilung des angemessenen Schutzniveaus der einzelnen Datenverarbeitungen
Art. 32 Abs. 4 Nachweisführung, dass Mitarbeiter, die pbDaten verarbeiten, dies jeweils nur auf und nach Anweisung des Datenverarbeitungsverantwortlichen tun
Art. 33 Einrichten eines Meldeweges und von Meldekriterien von Datenschutzverletzungen bei der Aufsichtsbehörde
Art. 34 Planung des Vorgehens zur Meldung von Datenschutzverstößen an die Betroffenen
Art. 35 Abs. 1 & 3 Schriftliche Beurteilung aller Verfahren, ob eine Folgeabschätzung notwendig ist
Art. 35 Abs. 7 Durchführung der Folgeabschätzungen
Art. 36 Abs. 1 Ggf. Konsultation der Aufsichtsbehörde zur Genehmigung der risikoreichen DV basierend auf der Folgeabschätzung
Art. 13 Abs. 1 Zusammenstellung einer Übersicht der datenerhebenden Dokumente und digitalen Erhebungen
Art. 13 Abs. 1 Texte zur Erfüllung der Informationspflichten für die Erhebungen erstellen
Art. 13 Abs. 2 Planung der Bereitstellung der in Abs. 2 genannten Informationen für alle Betroffenen
Art. 14 Prüfung, ob Daten existieren, die nicht vom Betroffenen erhoben wurden
Art. 14 Texte zur Erfüllung der Informationspflichten für den Datenbesitz erstellen
Art. 24 Abs. 1 Nachweisführung der Umsetzung der TOMs durch den jeweiligen DV-Verantwortlichen
Art. 24 Abs. 1 Verfahren zur regelmäßigen Nachweisführung der Umsetzung der TOMs durch den jeweiligen DV-Verantwortlichen
Art 24 Abs. 2 Erstellung einer Datenschutzrichtlinie zum Nachweis gegenüber der Aufsichtsbehörde
Art 24 Abs. 2 Dokumentation der regelmäßigen Kontrolle der Einhaltung der Datenschutzrichtlinie zum Nachweis gegenüber der Aufsichtsbehörde
Art. 25 Dokumentation von Privacy by Default und Design durch den DV-Verantwortlichen
Art. 4 Abs. 1 i.V.m. Erwägungsgrund 30 IP-Adresse und Cookies müssen als pbDaten behandelt werden. Anpassung der DV.
Art. 7 & 8 Anpassung der Einwilligungstexte und der Form der Einwilligung
Art. 6 Abs. 1 Pkt. F Nachweis der berechtigten Interessen für die DV, die deren rechtliche Grundlage bildet
Art. 28 Abs. 1 Nachweis der sorgfältigen Auswahl für alle Auftragsverarbeiter erstellen
Art. 28 Abs. 3 Verträge und Kontrollen mit den Auftragsverarbeitern an die geforderten Inhalte von Abs. 3 anpassen
Art. 28 Abs. 4 i.V.m. Abs. 1 Nachweise der Vertragsabschlüsse mit Subauftragnehmern von den Auftragnehmern einfordern
Art. 39 Abs. 1 Pkt. B Sensibilisierung der Mitarbeiter
Art. 39 Abs. 1 Pkt. B Schulung der Mitarbeiter über die neuen Inhalte
Anpassung ggf. vorhandener Betriebsvereinbarungen und Arbeitsanweisungen