Erfahren Sie mit wenigen Klicks, ob Sie Ihre Daten ausreichend schützen.
Der adverit Datenschutz-Check

Unser Datenschutz-Check zeigt Ihnen, wie umfassend der Datenschutz in Ihrem Unternehmen beachtet wird. Bitte beantworten Sie dazu 18 Fragen aus 11 Themenbereichen, um eine erste Einschätzung zu erhalten – natürlich völlig anonym und kostenfrei.

1 / 11

1 Datenschutzbeauftragter

Besteht für Ihr Unternehmen die Pflicht zur Benennung eines Datenschutzbeauftragten?

Wenn unklar: "Ja"

Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach Art. 37 DSGVO und § 38 BDSG, sofern mindestens 20 oder mehr Personen mit der ständigen automatisierten Verarbeitung von personenbezogenen Daten befasst sind oder wenn personenbezogene Daten besonderer Kategorien nach den Maßgaben von Art. 9 DSGVO nach Art. 4 DSGVO verarbeitet werden.

Wurde ein Datenschutzbeauftragter von Ihrem Unternehmen benannt?

Wenn unklar: "Nein"

Soweit die Pflicht zur Benennung eines Datenschutzbeauftragten besteht, ist dieser zu benennen. Bei einem externen Datenschutzbeauftragten können hier z.B. die Vertragsunterlagen eingesehen werden.

Wurde der Datenschutzbeauftragte bei der zuständigen Behörde bestellt?

Wenn unklar: "Nein"

Nachdem der Datenschutzbeauftragte benannt wurde, ist dieser bei der zuständigen Behörde zu melden. Anschließend wird eine Bestätigung über die Meldung und die Bestellung des Datenschutzbeauftragten ausgestellt. Sollte eine Bestätigung über die Bestellung des Datenschutzbeauftragten nicht vorgelegt werden können, sollte "Nein" angegeben werden.

Entspricht der benannte und bestellte Datenschutzbeauftragte den Anforderung nach Art 38 Abs. 6 DSGVO?

Wenn unklar: "Nein"

Der Datenschutzbeauftragte muss unabhängig sein und darf keine leitende Funktion im Unternehmen innehaben. Im Zweifel kann hier auf den Arbeitsvertrag zurückgegriffen bzw. eingesehen werden. Bei einem externen Datenschutzbeauftragten ist anzunehmen, dass dieser unabhängig ist (soweit keine nahestehenden Personen mit dem externen Datenschutzbeauftragten in Verbindung stehen).

Weiter

2 / 11

2 Website

Betreibt Ihr Unternehmen eine Website?

Wenn unklar: "Ja"

Mit dem Betrieb einer Website wird der Betreiber bzw. das Unternehmen zu einem Anbieter von sog. Telemedien i.S.d. TMG. Abhängig von dem Inhalt, Umfang und der Tätigkeit des Betreibers sind durch den Betreiber verschiedene datenschutzrechtliche Vorgaben, sowie allgemeine Informationspflichten, umzusetzen und zu erfüllen.

Verfügt Ihr Unternehmen über eine (vollständige) Datenschutzerklärung auf der Website?

Wenn unklar: "Nein"

Unabhängig von der Art und dem Umfang in Bezug auf die Verarbeitung personenbezogener Daten mit einer Website werden über eine Website i.d.R. personenbezogene Daten erhoben und/oder verarbeitet. Dadurch ist fast jede Website mit einer Datenschutzerklärung zu versehen, in der u.a. auch Informationspflichten festgehalten werden, die Nennung des Datenschutzbeauftragten erfolgt oder auf die Übermittlung von Daten in Drittstaaten hingewiesen wird.

Weiter

3 / 11

3 Mitarbeiterschulungen

Erfolgen turnusmäßige Schulungen Ihrer Mitarbeiter nach Art. 39 DSGVO in Bezug auf die Sensibilisierung im Umgang mit personenbezogenen Daten?

Wenn unklar: "Nein"

Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach Art. 37 DSGVO und § 38 BDSG, sofern mindestens 20 oder mehr Personen mit der ständigen automatisierten Verarbeitung von personenbezogenen Daten befasst sind oder wenn personenbezogene Daten besonderer Kategorien nach den Maßgaben von Art. 9 DSGVO nach Art. 4 DSGVO verarbeitet werden.

Weiter

4 / 11

4 Auftragsdatenverarbeitung

Bestehen Auftragsverarbeiter?

Wenn unklar: "Ja"

Ein Auftragsverarbeiter verarbeitet nach Art. 28 DSGVO auf Grundlage eines Vertrages oder eines anderen rechtlichen Instruments Daten für einen Auftraggeber (Verantwortlicher). Der Auftraggeber bzw. Verantwortliche ist ggü. dem Auftragsverarbeiter weisungsbefugt, sodass der Auftragsverarbeiter die Weisungen des Verantwortlichen umzusetzen hat. Auftragsverarbeiter können hierbei u.a. Steuerberater, Unternehmen (z.B. Amazon oder Google) oder auch soziale Netzwerke (Facebook) sein.

Wurden Auftragsverarbeitungsverträge geschlossen?

Wenn unklar: "Nein"

Der Auftragsverarbeitungsvertrag ist nach Art. 28 DSGVO die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten i.S.v. Art. 9 DSGVO durch einen Auftragsverarbeiter. Dieser legt hierbei den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen fest.

In dem Unternehmen sollte eine Auflistung aller Auftragsverarbeiter inkl. Auftragsverarbeitungsverträgen bestehen. Sollte eine derartige Auflistung oder eine ähnliche Übersicht nicht bestehen sollte dieser Punkt mit "Nein" angegeben werden. Ebenfalls sollte ein "Nein" angegeben werden, sofern dem Unternehmen nicht bewusst ist, welche Auftragsverarbeiter im Unternehmen bestehen.

Weiter

5 / 11

5 Verzeichnis über Verarbeitungsaktivitäten

Besteht die Pflicht zur Erstellung eines Verzeichnisses über Verarbeitungsaktivitäten?

Wenn unklar: "Ja"

Nach Art. 30 DSGVO ist ein Verzeichnis über Verarbeitungsaktivitäten für jeden Verarbeitungsprozess durch den Verantwortlichen zu erstellen (insbesondere wenn unter anderem eine Verarbeitung von personenbezogenen Daten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO erfolgt).

Demnach ist das Verzeichnis über Verarbeitungsaktivitäten immer zu erstellen, wenn eine Verarbeitung von personenbezogenen Daten erfolgt. Erfolgt beispielsweise eine Lohnabrechnung, werden personenbezogene Daten in Bezug auf die Mitarbeiter, verarbeitet.

Soweit die Pflicht zur Erstellung des Verzeichnisses über Verarbeitungsaktivitäten besteht, wurde dies erstellt?

Wenn unklar: "Nein"

Das Verzeichnis über Verarbeitungsaktivitäten sollte von dem Unternehmen jederzeit vorgelegt und eingesehen werden können. Wurde dies von einem Externen, z.B. von einem externen Datenschutzbeauftragten erstellt, stützt dies die Belastbarkeit. Sollten Anzeichen identifiziert werden, die darauf hindeuten, dass das Verzeichnis über Verarbeitungsaktivitäten nicht den Anforderungen entspricht, sollte dieser Punkt mit "Nein" angegeben werden.

Weiter

6 / 11

6 Datenschutz-Folgeabschätzung

Besteht die Pflicht zur Erstellung einer Datenschutz-Folgeabschätzung?

Wenn unklar: "Ja"

Art. 35 Abs. 3 DSGVO regelt, in welchen Fällen "insbesondere" eine Datenschutz-Folgeabschätzung zu erstellen ist. Eine Erstellung ist demnach erforderlich, sofern eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, welche sich auf eine automatisierte Verarbeitung gründet und ihrerseits als Grundlage für Entscheidungen dient. Zudem ist eine Datenschutz-Folgeabschätzung zwingend durchzuführen, wenn eine Verarbeitung personenbezogener Daten besonderer Kategorie i.S.v. Art. 9 Abs. 1 DSGVO erfolgt oder wenn öffentlich zugängliche Bereiche systematisch überwacht werden.

Wurde eine Datenschutz-Folgeabschätzung erstellt?

Wenn unklar: "Nein"

Soweit die Erstellung einer Datenschutz-Folgeabschätzung nach den Maßgaben von Art. 35 DSGVO erforderlich ist, sollte die erstellte Datenschutz-Folgeabschätzung einer kritischen Würdigung unterzogen werden. Hierbei sollte sichergestellt werden, dass die Mindestanforderungen nach Art. 35 Abs. 7 abgedeckt wurden:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung, ggf. unter Nennung des berechtigten Interesses des Verarbeiters.
  • Eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Verarbeitung.
  • Eine Bewertung der Risiken für die Rechte und die Freiheit der betroffenen Personen.
  • Das Ergreifen von Maßnahmen, um die identifizierten Risiken zu bewältigen inklusive der Erbringung eines Nachweises im Hinblick auf die Einhaltung der DSGVO.
Weiter

7 / 11

7 Technische & organisatorische Maßnahmen

Wurden durch Ihr Unternehmen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO und § 64 BDSG ergriffen?

Wenn unklar: "Nein"

Bei der Verarbeitung von personenbezogenen Daten sind angemessenen Schutzmaßnahmen zu ergreifen, die sog. technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und § 64 BDSG. Im Rahmen der Befragung sollte sichergestellt werden, dass im Unternehmen ein Bewusstsein für technische und organisatorische Maßnahmen besteht und es sollten auf Nachfrage ergriffene Maßnahmen zu nachfolgenden Themen genannt werden können:

  • Physische & logische Zugriffskontrolle
  • Datenspeicherung
  • Datenträger
  • Nutzer
  • Transmission
  • Eingangskontrolle
  • Transport
  • Datenintegrität
  • Verfügbarkeitskontrolle
  • Trennbarkeit der Daten
  • Datenpannen
  • Wiederherstellung
  • Zuverlässigkeitskontrolle
  • Website
Weiter

8 / 11

8 Informationspflichten

Werden Informationspflichten, u.a. nach Art. 12-19 DSGVO und § 32 BDSG eingehalten?

Wenn unklar: "Nein"

Für den Verarbeiter personenbezogener Daten bestehen verschiedene Informationspflichten, unter anderem nach Art. 12 bis 19 DSGVO in Bezug auf die betroffenen Personen. Ferner bestehen ergänzende Informationspflichten nach § 32 BDSG, die zu berücksichtigen sind. Im Rahmen der Befragung sollte sichergestellt werden, dass dem Unternehmen Informationspflichten bekannt sind, und dass auf Anfragen von Betroffenen reagiert wird.

Weiter

9 / 11

9 Archivierung und Löschung

Besteht ein Konzept zur Archivierung und Löschung von personenbezogenen Daten nach Art. 5, 17 DSGVO i.V.m. Art. 30 DSGVO?

Wenn unklar: "Nein"

Nach Art. 5 und 17 DSGVO i.V.m. Art. 30 DSGVO ist durch einen Verarbeiter personenbezogener Daten ein Konzept zur Löschung von personenbezogenen Daten zu erstellen. Die Erstellung eines Löschkonzeptes besteht zum einen für personenbezogene Daten welche nicht mehr benötigt werden und/oder die Pflicht zur Löschung besteht. Zudem sind im Rahmen der Ausgestaltung der Technik datenschutzfreundliche Voreinstellungen zu treffen. Dies beinhaltet beispielsweise die Festlegung einer Speicherfrist und die Verwaltung der Zuständigkeiten (Art. 25 DSGVO i.V.m. Art 17 DSGVO).

Im Rahmen der Befragung sollte sichergestellt werden, dass die oben genannten Anforderungen durch das Unternehmen erfüllt werden. Auf Nachfrage sollten die ergriffenen Maßnahmen dargelegt werden können.

Weiter

10 / 11

10 Betroffenenrechte

Ist sich Ihr Unternehmen dem Bestehen von Betroffenenrechten bewusst und werden diese eingehalten?

Wenn unklar: "Nein"

Die Rechte von Betroffenen werden u.a. unter Art- 12-23 DSGVO geregelt. Im Rahmen der Befragung sollte sichergestellt werden, dass dem Unternehmen Informationspflichten bekannt sind und Anfragen von Betroffenen nicht übersehen werden.

Weiter

11 / 11

11 Beschäftigtendatenschutz

Ist sich Ihr Unternehmen den Anforderungen an den Beschäftigtendatenschutz nach Art. 88 DSGVO i.V.m. § 26 BDSG bewusst und werden diese eingehalten?

Wenn unklar: "Nein"

Die Rechte von Betroffenen werden u.a. unter Art- 12-23 DSGVO geregelt. Im Rahmen der Befragung sollte sichergestellt werden, dass dem Unternehmen Informationspflichten bekannt sind und Anfragen von Betroffenen nicht übersehen werden.

Zur Auswertung

12 Auswertung

Ihr Datenschutz-Risiko ist

Ihre Risikobewertung im Detail:

  1. Datenschutzbeauftragter:
  2. Website:
  3. Mitarbeiterschulungen:
  4. Auftragsdatenverarbeitung:
  5. Verzeichnis über Verarbeitungsaktivitäten:
  6. Datenschutz-Folgeabschätzung:
  7. Technische & organisatorische Maßnahmen:
  8. Informationspflichten:
  9. Archivierung und Löschung:
  10. Betroffenenrechte:
  11. Beschäftigtendatenschutz:

Kostenfreie Erstberatung

Sie möchten erfahren, wie einfach sich das Arbeitsleben mit einem Datenschutz-Paket von adverit anfühlt? Melden Sie sich gern bei uns. Wir beraten Sie kostenfrei zu allen Leistungen unserer Datenschutz-Pakete.

Kontakt
So ereichen Sie uns

Standort:

Kajen 10, 20459 Hamburg

Wählen Sie einen Betreff und senden Sie uns zu dem gewählten Thema eine Anfrage. Wir werden uns dann schnellstmöglich bei Ihnen melden. Alternativ können Sie uns auch anrufen unter +49 40 271 44 940 oder direkt einen Termin vereinbaren: Zur Terminvereinbarung

Loading
Ihre Nachricht wurde verschickt. Vielen Dank!