Ist mein Unternehmen DSGVO konform?

Folgende Fragen liefern einen ersten Einblick, ob Sie die wichtigsten Punkte der DSGVO beachtet haben.

ACHTUNG: Die österreichische sowie andere europäische Datenschutzbehörden geben laufend Entscheidungen in Verfahren ab. Diese Entscheidungen geben Hinweise, wie die Datenschutzgrundverordnung korrekt auszulegen ist. Dabei gibt es viele Details zu beachten, die auch Ihr Unternehmen treffen (siehe „Aktuelle Entscheidungen Datenschutzbehörde“).

• Wurde ein Verzeichnis der Verarbeitungstätigkeiten erstellt, welches alle relevanten Punkte der DSGVO abbildet? Wurden alle Datenanwendung auf Rechtskonformität mit der DSGVO und dem österreichischen Datenschutzgesetz DSG evaluiert? (Zweckmäßigkeit, Erforderlichkeit, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit, Transparenz)
• Kann das Verzeichnis der Verarbeitungstätigkeiten jederzeit der Datenschutzbehörde vorgelegt werden, ohne dass noch aufwändige Nacharbeit notwendig ist?
• Wurde für alle Datenanwendungen dokumentiert evaluiert, ob eine Datenschutzfolgeabschätzung notwendig ist oder nicht. Wurde die Begründung für das Nicht-Durchführen der Datenschutzfolgeabschätzung dokumentiert?



• Wurden relevante Betriebsvereinbarungen abgeschlossen?
• Wurden notwendige Einwilligungen rechtskonform erstellt und von den Betroffenen unterzeichnet. Gerade bei den Einwilligungen gibt es immer wieder Entscheidungen der Datenschutzbehörden, die diese für ungültig erklären, da sie nicht rechtsgültig formuliert sind.
• Erfassen Sie sensible Daten (Gesundheitsdaten, Patientendaten, Ethnie, politische Einstellung,…)?

• Werden Daten von Kindern erfasst und sind alle Vorkehrungen diesbezüglich rechtskonform?
• Führt ihr Unternehmen Profiling im Sinne der DSGVO durch?
• Wurden alle betroffenen Personenkreise bezüglich Datenschutz informiert? Mitarbeiter, Kunden, wo zutreffend Lieferanten, Patienten, …. Erfüllt die Datenschutzinformation alle Vorgaben des Art 13 und/oder Art 14 DSGVO und alle Vorgaben aus aktuellen Entscheidungen der Datenschutzbehörden?
• Wissen Sie, wer Ihre Datenschutz relevanten Auftragsverarbeiter sind und haben mit allen einen Vertrag abgeschlossen? Wurden alle Auflagen bezüglich Datentransfer ins EU Ausland beachtet, insbesondere bei Cloud Speicherplätzen oder globalen IT Dienstleistern?
• Besteht die Notwendigkeit bei Ihrem Auftragsverarbeiter ein Datenschutz Audit durchzuführen?
• Haben Sie mit anderen Verantwortlichen Vereinbarungen getroffen gemäß Artikel 26 DSGVO?
• Ist ein Datenschutzbeauftragter notwendig und wenn ja, wurde dieser an die Datenschutzbehörde gemeldet? Erfüllt der Datenschutzbeauftragte die notwendigen Qualifikationen und hat Ressourcen um seine Aufgaben wahrzunehmen? Gibt es einen Interessenskonflikt? (siehe „Datenschutzbeauftragter oder Datenschutzkoordinator?“)
• Wissen Sie, wie Sie alle Betroffenenrechte umsetzen können? Sind Sie bereit innerhalb von 4 Wochen alle Informationen zu liefern?
• Gibt es in Ihrem Unternehmen einen Prozess zum Umgang mit Datenschutzverletzungen? Wie erfolgt die Kommunikation mit der Datenschutzbehörde?
• Gibt es ein Archivsystem mit kontrollierter Löschung in Ihrem Unternehmen? Unterliegen alle personenbezogenen Daten einer Aufbewahrungsfrist und der Möglichkeit diese auch tatsächlich am Ende der Aufbewahrungsdauer zu löschen oder zu anonymisieren?
• Haben Sie alle Maßnahmen zur Daten und IT Sicherheit getroffen, die notwendig sind?