Checkliste zur Umsetzung der DSGVO

Checkliste für KMU, um die Datenschutz-Grundverordnung einzuhalten und Datenschutzrisiken zu minimieren.

Beratung zur IT-Compliance Zur Checkliste

Aktuelle Seite:
Startseite
Ressourcen
DSGVO
Checkliste zur Umsetzung der DSGVO

Anleitung zur Nutzung der Checkliste

Diese umfassende Checkliste hilft Ihnen dabei, die Einhaltung aller wichtigen DSGVO-Anforderungen in Ihrem Unternehmen systematisch zu überprüfen. Arbeiten Sie die Punkte der Reihe nach ab und dokumentieren Sie Ihre Maßnahmen.

Nutzen Sie die Checkboxen, um erledigte Punkte zu markieren
Ihr Fortschritt wird automatisch gespeichert
Bei Fragen kontaktieren Sie unsere Datenschutzexperten

Gesamtfortschritt

0 von 48 Punkten

Abgeschlossen: 0

In Bearbeitung: 0

Ausstehend: 48

1. Grundsätze der Datenverarbeitung

Fortschritt: 0/8

Die DSGVO bindet jede Verarbeitung personenbezogener Daten an die Grundsätze des Artikels 5: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Verantwortliche müssen die Einhaltung nicht nur sicherstellen, sondern jederzeit nachweisen können (Rechenschaftspflicht nach Artikel 5 Absatz 2). Wer dagegen verstößt, riskiert Bußgelder im oberen Rahmen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.

Rechtmäßigkeit: Für jede Verarbeitung personenbezogener Daten wurde eine Rechtsgrundlage nach Art. 6 DSGVO identifiziert und dokumentiert.

Transparenz: Eine vollständige Datenschutzerklärung mit allen erforderlichen Informationen nach Art. 13/14 DSGVO ist vorhanden und leicht zugänglich.

Zweckbindung: Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet.

Datenminimierung: Es werden nur die Daten erhoben, die für den angegebenen Zweck notwendig sind.

Richtigkeit: Angemessene Maßnahmen zur Sicherstellung und Überprüfung der Datenrichtigkeit sind implementiert.

Speicherbegrenzung: Aufbewahrungsfristen wurden festgelegt und ein Löschkonzept ist implementiert.

Integrität und Vertraulichkeit: Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten sind implementiert.

Rechenschaftspflicht: Die Einhaltung aller Grundsätze ist dokumentiert und nachweisbar.

2. Rechte der betroffenen Personen

Fortschritt: 0/8

Die Artikel 12 bis 22 DSGVO geben betroffenen Personen unter anderem das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Verantwortliche müssen solche Anträge unverzüglich bearbeiten, spätestens innerhalb eines Monats, unentgeltlich und in verständlicher Form. Bleiben Reaktionen aus oder fallen sie fehlerhaft aus, drohen Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes sowie Schadensersatzansprüche nach Artikel 82.

Recht auf Information: Betroffene Personen werden vor der Datenerhebung umfassend über die Verarbeitung informiert.

Recht auf Auskunft: Prozesse zur Beantwortung von Auskunftsanfragen innerhalb eines Monats sind etabliert.

Recht auf Berichtigung: Verfahren zur schnellen Korrektur unrichtiger Daten sind implementiert.

Recht auf Löschung: Prozesse zur Umsetzung von Löschungsanträgen unter Berücksichtigung von Aufbewahrungspflichten existieren.

Recht auf Einschränkung: Technische Maßnahmen zur Einschränkung der Verarbeitung auf Anfrage sind vorhanden.

Recht auf Datenübertragbarkeit: Systeme können Daten in strukturierten, maschinenlesbaren Formaten bereitstellen.

Widerspruchsrecht: Verfahren zur Behandlung von Widersprüchen gegen die Verarbeitung sind dokumentiert.

Dokumentation: Alle Anfragen und deren Bearbeitung werden systematisch dokumentiert und nachverfolgt.

3. Pflichten der Verantwortlichen

Fortschritt: 0/8

Verantwortliche müssen nach Artikel 24 DSGVO geeignete Maßnahmen treffen und deren Wirksamkeit nachweisen können. Dazu gehören ein Verzeichnis der Verarbeitungstätigkeiten (Artikel 30), technische und organisatorische Maßnahmen sowie die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde möglichst binnen 72 Stunden nach Bekanntwerden (Artikel 33) und gegebenenfalls an Betroffene (Artikel 34). Bei Dokumentations- und Meldeversäumnissen drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

Verzeichnis von Verarbeitungstätigkeiten: Ein vollständiges und aktuelles Verzeichnis nach Art. 30 DSGVO ist vorhanden.

Privacy by Design: Datenschutzanforderungen werden bereits bei der Entwicklung von Systemen und Prozessen berücksichtigt.

Privacy by Default: Datenschutzfreundliche Voreinstellungen sind in allen Systemen implementiert.

Auftragsverarbeiterverträge: Mit allen Dienstleistern sind vollständige Verträge nach Art. 28 DSGVO geschlossen.

Datenschutzbeauftragter: Falls erforderlich, ist ein qualifizierter Datenschutzbeauftragter bestellt und angemeldet.

Meldung von Datenschutzverletzungen: Prozesse zur Erkennung und Meldung von Verletzungen innerhalb von 72 Stunden sind etabliert.

Mitarbeiterschulungen: Regelmäßige Datenschutzschulungen für alle relevanten Mitarbeiter werden durchgeführt.

Internationale Datentransfers: Alle Übermittlungen in Drittländer erfolgen auf Basis angemessener Garantien.

4. Datenschutz-Folgenabschätzung

Fortschritt: 0/8

Führt eine Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, etwa bei umfangreicher Verarbeitung sensibler Daten oder systematischer Überwachung, schreibt Artikel 35 DSGVO eine vorherige Datenschutz-Folgenabschätzung vor. Lässt sich das Risiko nicht eindämmen, ist die Aufsichtsbehörde vorab zu konsultieren (Artikel 36). Wer die Abschätzung unterlässt, riskiert Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

Schwellenwertprüfung: Es wurde systematisch geprüft, welche Verarbeitungen eine DSFA erfordern.

Systematische Beschreibung: Alle relevanten Verarbeitungsvorgänge und deren Zwecke sind detailliert dokumentiert.

Bewertung der Notwendigkeit: Die Erforderlichkeit und Verhältnismäßigkeit der Verarbeitung wurde bewertet.

Risikobewertung: Alle Risiken für die Rechte und Freiheiten der betroffenen Personen wurden identifiziert und bewertet.

Abhilfemaßnahmen: Konkrete Maßnahmen zur Risikominimierung sind definiert und implementiert.

Konsultation der Aufsichtsbehörde: Bei hohen Risiken wurde die Aufsichtsbehörde vor Beginn der Verarbeitung konsultiert.

Dokumentation: Alle DSFA sind vollständig dokumentiert und werden regelmäßig überprüft.

Überwachung: Ein System zur kontinuierlichen Überwachung der implementierten Maßnahmen ist etabliert.

5. Technische und organisatorische Maßnahmen

Fortschritt: 0/8

Artikel 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein dem Risiko angemessenes Schutzniveau sicherzustellen. Dazu zählen beispielsweise Verschlüsselung, Pseudonymisierung, die Verfügbarkeit und Belastbarkeit der Systeme sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. Unzureichende Sicherheit wird mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes geahndet und erhöht zugleich das Risiko meldepflichtiger Sicherheitsvorfälle.

Pseudonymisierung und Verschlüsselung: Geeignete Verfahren sind implementiert und dokumentiert.

Vertraulichkeit: Zugriffskontrollen und Berechtigungskonzepte schützen vor unbefugtem Zugriff.

Integrität: Maßnahmen zum Schutz vor unbeabsichtigter Zerstörung oder Verlust sind implementiert.

Verfügbarkeit: Systeme gewährleisten die dauerhafte Verfügbarkeit und den Zugang zu personenbezogenen Daten.

Wiederherstellbarkeit: Regelmäßige Backups und getestete Wiederherstellungsverfahren sind vorhanden.

Regelmäßige Überprüfung: Die Wirksamkeit aller Maßnahmen wird kontinuierlich getestet und bewertet.

Incident Response: Ein Plan für den Umgang mit Sicherheitsvorfällen ist vorhanden und wird regelmäßig getestet.

Dokumentation: Alle TOM sind vollständig dokumentiert und werden regelmäßig aktualisiert.

6. Besondere Kategorien und Kinder

Fortschritt: 0/8

Die Verarbeitung besonderer Kategorien wie Gesundheits-, Religions- oder biometrischer Daten ist nach Artikel 9 DSGVO grundsätzlich untersagt und nur mit einem Ausnahmetatbestand zulässig, etwa der ausdrücklichen Einwilligung. Für Dienste der Informationsgesellschaft, die Kindern direkt angeboten werden, verlangt Artikel 8 eine wirksame Einwilligung; in Deutschland gilt hierfür die Altersgrenze von 16 Jahren. Verstöße fallen in den oberen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.

Identifikation besonderer Kategorien: Alle Verarbeitungen besonderer Kategorien sind identifiziert und entsprechend behandelt.

Ausnahmetatbestände: Für jede Verarbeitung besonderer Kategorien liegt eine spezifische Rechtsgrundlage nach Art. 9 vor.

Erhöhte Sicherheitsmaßnahmen: Besondere Kategorien sind durch zusätzliche technische und organisatorische Maßnahmen geschützt.

Kinderdaten: Bei Verarbeitung von Daten von Kindern unter 16 Jahren liegt eine wirksame Einwilligung der Erziehungsberechtigten vor.

Altersverifikation: Angemessene Verfahren zur Altersverifikation bei Online-Diensten für Kinder sind implementiert.

Kinderfreundliche Informationen: Datenschutzinformationen für Kinder sind altersgerecht und verständlich formuliert.

Profiling und automatisierte Entscheidungen: Besondere Schutzmaßnahmen für Kinder bei automatisierten Verarbeitungen sind getroffen.

Regelmäßige Überprüfung: Die Verarbeitung besonderer Kategorien und Kinderdaten wird regelmäßig überprüft und angepasst.

Herzlichen Glückwunsch!

Sie haben alle Checklisten-Punkte abgearbeitet. Ihr Unternehmen ist auf einem sehr guten Weg zur vollständigen DSGVO-Konformität.

Beratungstermin vereinbaren

Checklisten-Übersicht

1 Grundsätze 0/8 2 Betroffenenrechte 0/8 3 Pflichten 0/8 4 DSFA 0/8 5 TOM 0/8 6 Besondere Daten 0/8

Statistiken

Gesamtfortschritt: 0%

Abgeschlossen: 0

Verbleibend: 48

Downloads

Excel-Vorlage

Zur Bearbeitung

Sind Sie bereit für die DSGVO-Compliance?

Diese Checkliste ist Teil unseres Beratungsangebots für KMU zur IT-Compliance und Governance.

Starten Sie noch heute mit unserer umfassenden Checkliste und der Unterstützung von SecuraTrust! So schützen Sie Ihr Unternehmen vor Bußgeldern und Reputationsschäden.

Zur Checkliste zurück Angebot zur DSGVO-Compliance

Checkliste zur Umsetzung der DSGVO

Anleitung zur Nutzung der Checkliste

Gesamtfortschritt

1. Grundsätze der Datenverarbeitung

2. Rechte der betroffenen Personen

3. Pflichten der Verantwortlichen

4. Datenschutz-Folgenabschätzung

5. Technische und organisatorische Maßnahmen

6. Besondere Kategorien und Kinder

Herzlichen Glückwunsch!

Sind Sie bereit für die DSGVO-Compliance?

Technisch notwendig

Verwendete Cookies (4)

PHP Session Cookie (PHPSESSID)

CSRF-Schutz-Token

SecuraTrust Cookie Consent

Stripe Checkout (Weiterleitung)

Optionale Features

LocalStorage-Features (Browser-lokale Speicherung)

DSGVO-Checklisten Fortschritt (LocalStorage)