DSGVO-Konformität: Umfassende Checkliste für Tests und Überprüfungen

DSGVO-Konformität: Umfassende Checkliste für Tests und Überprüfungen

Kurz gesagt: Die DSGVO erlegt jedem Unternehmen, das in Europa personenbezogene Daten verarbeitet, strenge Verpflichtungen auf, deren Nichteinhaltung mit hohen Strafen geahndet wird. Um die Vorschriften einzuhalten, müssen Unternehmen ihre Daten erfassen, die Rechtsgrundlagen überprüfen, eine gültige Einwilligung einholen und die Datenverarbeitung absichern. Dieser Leitfaden enthält eine umfassende Checkliste mit den Tests und Überprüfungen, die durchgeführt werden müssen, um die DSGVO einzuhalten.

Die Einhaltung der Datenschutz-Grundverordnung (DSGVO) ist für alle Unternehmen, die in Europa personenbezogene Daten verarbeiten, von entscheidender Bedeutung.

Die DSGVO, die 2018 in Kraft getreten ist, legt strenge Verpflichtungen fest , um sicherzustellen, dass personenbezogene Daten auf sichere und transparente Weise erhoben, gespeichert und genutzt werden.

Die Einhaltung aller Anforderungen der DSGVO kann jedoch komplex erscheinen. Ein strukturierter Ansatz, der auf regelmäßigen Tests und systematischen Überprüfungen basiert, ist unerlässlich, um Ihre Konformität zu bewerten und aufrechtzuerhalten.

Aber was muss man denn konkret testen und überprüfen?

In diesem Artikel finden Sie eine umfassende Checkliste, die Sie bei der Umsetzung der DSGVO-Konformität unterstützt.

DSGVO-Konformität-Tests

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine europäische Rechtsvorschrift, die die Verarbeitung personenbezogener Daten im gesamten Gebiet der Europäischen Union (EU) vereinheitlicht.

Diese Verordnung macht Unternehmen für die Erhebung, Speicherung, Nutzung und Übermittlung personenbezogener Daten verantwortlich. Sie zielt darauf ab, die Datenschutzrechte der europäischen Bürger zu schützen.

Somit hat jede betroffene Person folgende Möglichkeiten:

  • Die Löschung seiner personenbezogenen Daten beantragen,
  • Zu wissen, wo diese Informationen gespeichert sind,
  • Verstehen, wie sie verwendet werden.

Die Folgen bei Nichteinhaltung 

Die Nichteinhaltung der DSGVO setzt Unternehmen erheblichen Sanktionen aus: Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

Dies unterstreicht, wie wichtig ständige Wachsamkeit und eine konsequente Einhaltung der Vorschriften durch regelmäßige Tests und Überprüfungen sind.

Die fünf Grundprinzipien der DSGVO 

Die Nationale Kommission für Informatik und Freiheiten (CNIL) legt fünf Grundprinzipien fest, um die Einhaltung der DSGVO zu gewährleisten:

1. Zweckbindung: Daten dürfen nur für einen bestimmten, klar definierten und rechtmäßigen Zweck erhoben werden. Sie dürfen später nicht für einen anderen Zweck weiterverwendet werden.

2. Zweckbindung: Es dürfen nur Daten erhoben werden, die für die Erreichung des verfolgten Zwecks unbedingt erforderlich sind.

3. Die begrenzte Aufbewahrungsdauer: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist.

Anschließend müssen sie unter Einhaltung der geltenden gesetzlichen Verpflichtungen gelöscht, anonymisiert oder archiviert werden.

4. Sicherheit: Der für die Verarbeitung Verantwortliche muss alle erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um die Integrität und Vertraulichkeit der Daten zu gewährleisten und jeden unbefugten Zugriff durch Dritte zu verhindern.

5. Die Rechte des Einzelnen: Der Einzelne muss die Kontrolle über seine personenbezogenen Daten behalten.

Jede Person verfügt über die folgenden Rechte, die sie gegenüber dem für die Verarbeitung Verantwortlichen geltend machen kann:

  • Zugriff auf seine Daten und die Möglichkeit, eine Kopie davon zu erhalten,
  • Berichtigung unrichtiger oder unvollständiger Daten,
  • Widerspruch gegen deren Verwendung (außer im Falle einer gesetzlichen Verpflichtung, wie beispielsweise der Eintragung in ein Standesamtsregister).

Für wen gilt die DSGVO?

Die DSGVO gilt für ein breites Spektrum von Organisationen, die personenbezogene Daten verarbeiten, unabhängig davon, ob sie ihren Sitz in der Europäischen Union (EU) haben oder nicht.

Mit anderen Worten: Die Verordnung hat extraterritoriale Geltung, was bedeutet, dass sie auch für Organisationen außerhalb der EU gelten kann, wenn diese personenbezogene Daten von EU-Bürgern verarbeiten.

Die Einhaltung der DSGVO ist verpflichtend für:

Verantwortliche: Organisationen oder Einzelpersonen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen.

Auftragsverarbeiter: Stellen , die personenbezogene Daten im Auftrag der für die Verarbeitung Verantwortlichen verarbeiten.

Betroffene Personen: Personen, deren personenbezogene Daten von einer Organisation erhoben und verarbeitet werden.

DSGVO-Prüfungen

Checkliste zur Einhaltung der DSGVO 

1. Erfassen und identifizieren Sie Ihre personenbezogenen Daten

Der erste Schritt besteht darin, die von Ihnen erhobenen Daten und deren Weg durch Ihr Unternehmen zu ermitteln:

  • Welche Daten erheben Sie? (Namen, E-Mail-Adressen, IP-Adressen, Telefonnummern usw.).
  • Wo werden sie gespeichert? (interne Server, Cloud, Dienste von Drittanbietern).
  • Warum sammeln Sie diese Daten? Stellen Sie sicher, dass jede Datenerhebung einem klaren und legitimen Zweck dient.
  • Wer hat Zugriff darauf? Beschränken Sie den Zugriff auf die autorisierten Personen in Ihrer Organisation.

Tipp: Führen Sie ein Behandlungsprotokoll, um diese Informationen zu dokumentieren.

2. Die Rechtsgrundlagen für die Datenverarbeitung prüfen

Jede Datenerhebung oder -verarbeitung muss auf einer Rechtsgrundlage beruhen.

Die richtigen Fragen, die man stellen sollte:

  • Haben Sie eine eindeutige Einwilligung erhalten?
  • Ist dies für einen Vertrag erforderlich? Zum Beispiel, um eine Dienstleistung zu erbringen oder ein Produkt zu liefern.
  • Gibt es eine gesetzliche Verpflichtung? Zum Beispiel zur Aufbewahrung von Rechnungen oder Personenstandsunterlagen.
  • Liegt darin Ihr berechtigtes Interesse? Selbstverständlich darf dieses Interesse die Rechte der betroffenen Personen nicht beeinträchtigen.

3. Stellen Sie sicher, dass Sie eine gültige Einwilligung einholen

Die Einwilligung steht im Mittelpunkt der DSGVO. Um die Vorschriften einzuhalten:

  • Verwenden Sie klare und einfache Formulare ohne juristischen Fachjargon.
  • Bieten Sie eine leicht zugängliche Möglichkeit an, die Einwilligung zu verweigern oder zu widerrufen.
  • Führen Sie Aufzeichnungen über die eingeholten Einwilligungen, einschließlich Datum und Kontext.

Beispiel: Wenn Sie Newsletter versenden, stellen Sie sicher, dass ein Kontrollkästchen nicht voreingekreuzt ist, damit der Nutzer seine Zustimmung ausdrücklich erteilen kann.

4. Schützen Sie Ihre personenbezogenen Daten

Einige wichtige Maßnahmen im Hinblick auf die Datensicherheit:

  • Datenverschlüsselung: Schützen Sie sensible Informationen durch Verschlüsselung.
  • Zugriffskontrolle: Nur befugte Personen dürfen Zugriff auf die Daten haben.
  • Regelmäßige Audits und Tests: Führen Sie Sicherheitstests (Penetrationstests, Audits) durch, um Schwachstellen aufzudecken.
  • Maßnahmenplan für den Fall eines Vorfalls: Erstellen Sie ein klares Verfahren für die Reaktion im Falle einer Datenpanne (Meldung an die CNIL und an die betroffenen Personen).

5. Die Rechte der Nutzer respektieren

Die betroffenen Personen haben Rechte in Bezug auf ihre personenbezogenen Daten, und es liegt in Ihrer Verantwortung als Unternehmen, ihnen einfache und leicht zugängliche Möglichkeiten zur Ausübung dieser Rechte zu bieten.

  • Datenzugriff: Bieten Sie den Benutzern die Möglichkeit, auf ihre Daten zuzugreifen.
  • Berichtigung und Löschung: Ermöglichen Sie den Betroffenen, ihre Daten auf Anfrage zu berichtigen oder zu löschen.
  • Datenübertragbarkeit: Erleichtern Sie die Übertragung ihrer Daten in einem übersichtlichen und strukturierten Format.
  • Widerspruch: Respektieren Sie die Weigerung der Betroffenen, ihre Daten insbesondere für Marketingzwecke zu nutzen.

Tipp: Richten Sie eine eigene Seite oder eine E-Mail-Adresse ein, über die Nutzer ihre Anfragen stellen können.

6. Überprüfen Sie Ihre Subunternehmer und Drittanbieter

Wenn Sie Dienstleister mit der Datenverarbeitung beauftragen (Webhosting-Anbieter, CRM, Marketing-Tools), stellen Sie sicher, dass diese ebenfalls die DSGVO einhalten:

  • Konforme Verträge: Nehmen Sie Klauseln auf, in denen die Verpflichtungen Ihrer Subunternehmer im Bereich des Datenschutzes festgelegt sind.
  • Regelmäßige Überprüfung: Überprüfen Sie deren Vorgehensweisen, um die Einhaltung der Vorschriften sicherzustellen.
  • Benachrichtigung bei Datenlecks: Stellen Sie sicher, dass Sie im Falle einer Datenpanne umgehend benachrichtigt werden.

7. Eine konforme Cookie-Richtlinie einführen

Wenn Ihre Website Cookies verwendet, informieren Sie Ihre Nutzer darüber und holen Sie deren Einwilligung ein:

  • Fügen Sie ein übersichtliches Einwilligungsbanner mit Optionen zum Akzeptieren, Ablehnen und Anpassen hinzu.
  • Setzen Sie keine Cookies, solange der Nutzer nicht ausdrücklich seine Zustimmung erteilt hat.
  • Fügen Sie einen Link zu Ihrer Datenschutzerklärung hinzu, um weitere Informationen zu erhalten.

8. Aktualisieren Sie Ihre Datenschutzrichtlinien

Ihre Datenschutzerklärung muss leicht zugänglich sein (in der Regel über einen Link in der Fußzeile Ihrer Website) und in einer klaren und verständlichen Sprache verfasst sein.

Sie muss Folgendes enthalten:

  • Warum Sie die Daten erheben.
  • Welche Arten von Daten werden erfasst?
  • Wie sie verwendet und geschützt werden.
  • Die Rechte der Nutzer und wie sie diese ausüben können.

9. Die Risiken anhand einer Folgenabschätzung (AIPD) analysieren

Führen Sie bei risikoreichen Verarbeitungsvorgängen (z. B. Erhebung sensibler Daten oder groß angelegte Überwachung) eine Datenschutz-Folgenabschätzung (DSFA) durch:

  • Ermitteln Sie die Risiken für die Rechte von Personen.
  • Ergreifen Sie Maßnahmen, um diese zu mildern.
  • Wenden Sie sich an die CNIL, wenn die Risiken nicht gemindert werden können.

10. Einen Aktionsplan für den Fall eines Verstoßes erstellen

Kein System ist absolut sicher. Im Falle eines Datenlecks:

  • Ermitteln Sie die Ursache des Problems und sperren Sie den Zugriff auf die Daten.
  • Informieren Sie die CNIL innerhalb von 72 Stunden.
  • Benachrichtigen Sie die betroffenen Benutzer, wenn ihre Rechte gefährdet sind.
  • Dokumentieren Sie den Vorfall und verstärken Sie Ihre Sicherheitsmaßnahmen.

Sorgen Sie mit Mr Suricate für die Einhaltung der DSGVO Mr Suricate 

Mr Suricate unterstützt Mr Suricate bei der Einhaltung der DSGVO und gewährleistet dabei die Sicherheit und Zuverlässigkeit Ihrer IT-Systeme.

Mit unserem umfassenden Testangebot helfen wir Ihnen, potenzielle Schwachstellen in Ihrem System zu erkennen und zu beheben.

Unsere Lösungen sind darauf ausgelegt, Sie bei der Einhaltung der wichtigsten Grundsätze der DSGVO zu unterstützen: Zweckbindung, Relevanz, Aufbewahrungsfristen, Datensicherheit und Nutzerrechte.

Übernehmen Sie wieder die Kontrolle über Ihre Anwendungen, indem Sie Fehler auf Ihren Websites, in Ihren mobilen Apps und APIs in Echtzeit erkennen. Wir simulieren in regelmäßigen Abständen die Nutzerpfade, um eine kontinuierliche und leistungsstarke Überwachung zu gewährleisten.

FAQ

Was ist die DSGVO?

Die seit 2018 geltende Datenschutz-Grundverordnung regelt die Verarbeitung personenbezogener Daten in Europa. Sie schreibt Transparenz, Sicherheit und die Achtung der Rechte des Einzelnen vor; bei Verstößen drohen Sanktionen.

Welche Risiken bestehen bei Nichteinhaltung der DSGVO?

Geldstrafen in Höhe von bis zu mehreren Millionen Euro oder einem Prozentsatz des Umsatzes sowie ein Imageschaden und ein Vertrauensverlust bei den Kunden.

Wie lässt sich die Einhaltung der DSGVO überprüfen?

Anhand einer Checkliste: Daten erfassen, Rechtsgrundlagen prüfen, eine gültige Einwilligung sicherstellen und die Datenverarbeitung absichern. Regelmäßige Tests (Formulare, Cookies, Einwilligung) tragen dazu bei, die Vorschriften einzuhalten.