Jahresplan-Datenschutz mit Checkliste
Datenschutz ist kein One-Night-Stand, sondern eine langfristige Beziehung, und so eine Beziehung muss gepflegt werden. Vermutlich hast du dich durch das Datenschutz-Audit gekämpft und dein Unternehmen in diesem Bereich fit gemacht. Damit das so bleibt, musst du dich aber regelmäßig um das Thema kümmern. Das Audit spiegelt einen Zustand zu einer bestimmten Zeit wider. Wie überall im Leben ändern sich aber vielleicht manche Umstände. Und hier muss auch der Datenschutz angepasst werden. Vielleicht führst du neue Prozesse ein, bei denen personenbezogene Daten verarbeitet werden, z. B. eine neue Software zum Personalmanagement oder ein Tool auf der Webseite.
In diesem Artikel erkläre ich dir, wie du einen Jahresplan Datenschutz aufstellst und was du alles überprüfen solltest. Außerdem findest du eine Checkliste zum Jahresplan-Datenschutz.
Datenschutzorganisation
Sind die Verantwortlichkeiten klar verteilt?
Du solltest klare Vorgaben haben, wer sich im Unternehmen um das Thema Datenschutz kümmert (z. B. ein Datenschutzkoordinator) und wer mit dieser Person zusammenarbeitet (z. B. Fachabteilungen). Dabei solltest du regelmäßig prüfen, ob diese Zuweisungen noch passen (z. B. weil Mitarbeitende gewechselt haben oder Abteilungen umstrukturiert wurden).
Hast oder brauchst du einen Datenschutzbeauftragten (DSB)?
Prüfe, ob du gesetzlich dazu verpflichtet bist, einen DSB zu ernennen (Art. 37 DSGVO, § 38 BDSG). Das ist in der Regel ab 20 Mitarbeitenden der Fall, die regelmäßig personenbezogene Daten verarbeiten. Ab wann du einen Datenschutzbeauftragten brauchst, erfährst du hier: Ab wann benötige ich einen Datenschutzbeauftragten?. Dabei kannst du einen eigenen Mitarbeitenden benennen oder einen externen Datenschutzbeauftragten bestellen. Natürlich empfehle ich (nicht ganz unparteiisch) die Bestellung eines externen Datenschutzbeauftragten. Warum? Das erfährst du hier: Interner Datenschutzbeauftragter? – 10 Gründe für einen externen Datenschutzbeauftragten.
Verarbeitungstätigkeiten
Ein zentraler Punkt für deinen Jahresplan-Datenschutz sind die Verarbeitungstätigkeiten. Dabei empfehle ich dir grundsätzlich, dass du diese laufend prüfst und jede Änderung sofort dokumentierst. Da das aber nicht immer möglich ist, solltest du dich wenigstens einmal im Jahr mit dem Thema beschäftigen. Beachte dabei folgende Punkte.
Ist dein Verzeichnis der Verarbeitungstätigkeiten aktuell?
Stelle sicher, dass dein Verzeichnis der Verarbeitungstätigkeiten vollständig und aktuell ist. Ideal aktualisierst du das Verzeichnis mit jeder Aufnahme einer neuen Tätigkeit oder der Aufgabe einer alten Tätigkeit. Falls das nicht immer klappt, solltest du einmal im Jahr die Prozesse im Unternehmen anschauen und prüfen, ob neue Tätigkeiten dazugekommen sind oder alte weggefallen sind. Mehr zum Thema erfährst du hier: Warum du ein Verarbeitungsverzeichnis für den Datenschutz in deinem Unternehmen benötigst.
Beschränkst du die Datenverarbeitung auf das Wesentliche?
Prüfe wenigstens einmal im Jahr, ob du nur die Daten erhebst und verarbeitest, die wirklich notwendig sind (Art. 5 Abs. 1 lit. c DSGVO).
Sind die Rechtsgrundlagen für die Datenverarbeitung klar?
Kontrolliere, ob jede Verarbeitung auf einer gültigen Rechtsgrundlage basiert (Art. 6 DSGVO). Sensible Daten benötigen besondere Aufmerksamkeit (Art. 9 DSGVO). Dabei solltest du insbesondere gesetzliche Änderungen im Auge behalten. Diese sind nicht so häufig, kommen aber vor. Ein Thema ist dabei z. B. immer wieder die Datenverarbeitung personenbezogener Daten in den USA. Hier gibt es immer wieder Änderungen auf welcher rechtlichen Basis diese Verarbeitungen gestützt werden dürfen. Aktuell ist das z. B. auf Basis eines Privacy Frameworks mit den USA möglich. Das kann sich jedoch ändern, wenn der EuGH dieses für ungültig erklärt, wie er dies auch mit älteren Abkommen bereits getan hat.
Betroffenenrechte
Wie gehst du mit Anfragen um?
Teste regelmäßig, ob du Anfragen zur Auskunft, Berichtigung, Löschung oder Übertragbarkeit innerhalb der gesetzlichen Frist von einem Monat bearbeiten kannst (Art. 15–20 DSGVO).
Hast du Einwilligungen korrekt eingeholt?
Stelle sicher, dass du Einwilligungen DSGVO-konform einholst, dokumentierst und den Widerruf ermöglichst (Art. 7 DSGVO). Prüfe regelmäßig, ob noch entsprechende Einwilligungen vorliegen.
Löschen und Vernichten?
Prüfe regelmäßig, ob dein Löschkonzept noch der Realität im Unternehmen entspricht und die darin verankerten Vorgaben auch konsequent umgesetzt werden. Die Löschung von nicht mehr benötigten Daten ist ein zentraler Punkt in deinem Datenschutzmanagement, der in der Praxis häufig zu Problemen führt. Leider wird das tatsächliche Löschen oft „vergessen“. Behörden reagieren hier im Zweifel mit empfindlichen Bußgeldern. Die Datenschutzbehörde Hamburg etwa hatte gegen ein Inkassounternehmen ein Bußgeld in Höhe von 900.000 EUR verhängt, weil diese sensible Daten zu spät gelöscht hatte. Das ist sicherlich kein Standardfall, zeigt uns aber, wie ernst die Behörden das Thema nehmen. Lösche personenbezogene Daten, die nicht mehr benötigt werden, gemäß Art. 17 DSGVO. Automatisierte Löschmechanismen können dir dabei helfen, und Stichproben verschaffen dir Sicherheit.
IT-Sicherheit
Sind deine technischen und organisatorischen Maßnahmen (TOM) auf dem neuesten Stand?
Prüfe regelmäßig, ob deine technischen und organisatorischen Maßnahmen
- noch dem Stand der Technik entsprechen und
- deinem erforderlichen Schutzniveau entsprechen.
Plane dabei regelmäßige Schwachstellenanalysen und Penetrationstests ein.
Dabei geht es nicht nur um die klassische Cybersicherheit, sondern auch um alltägliche Themen wie Brandschutz. Es bringt dir nichts, wenn deine Firewall besser ist als die des Pentagon, aber jeder in deinen Serverraum latschen kann, wie es ihm gerade passt, oder dein Serverraum einfach abbrennt, weil kein Feuerlöscher existiert.
Hast du funktionierende Backups?
Prüfe regelmäßig, ob deine Backups sicher aufbewahrt und im Ernstfall wiederhergestellt werden können. Gerade die regelmäßige Prüfung der Wiederherstellung ist ein Punkt, der häufig vernachlässigt wird und fatale Folgen haben kann. Es bringt dir nichts, wenn du eine ausgefeilte Strategie für Backups hast, diese aber im Zweifel nicht wieder eingespielt werden können.
Hast du einen Plan für Datenschutzverletzungen?
Entwickle einen Incident Response Plan und teste ihn regelmäßig. So kannst du im Falle einer Datenschutzverletzung schnell reagieren und deiner Meldepflicht innerhalb von 72 Stunden nachkommen (Art. 33 DSGVO).
Auftragsverarbeitung
Hast du Verträge mit deinen Dienstleistern abgeschlossen?
Überprüfe, ob alle Auftragsverarbeiter einen DSGVO-konformen Vertrag unterzeichnet haben (Art. 28 DSGVO). Aktualisiere diese Verträge regelmäßig.
Überwachst du deine Dienstleister?
Kontrolliere regelmäßig, ob die Datenschutzmaßnahmen deiner Dienstleister den Anforderungen entsprechen. Audits oder Sicherheitsnachweise können dir dabei helfen.
Mitarbeiter
Schulst du deine Mitarbeitenden regelmäßig?
Sorge dafür, dass dein Team wenigstens einmal im Jahr Datenschutzschulungen erhält (Art. 39 Abs. 1 lit. b DSGVO). Passe die Inhalte an aktuelle Entwicklungen an. Dabei geht es nicht darum, deine Mitarbeitenden zu Datenschutzexperten zu machen. Diese sollen aber ein Gespür dafür entwickeln, wann etwas datenschutzrelevant sein könnte, um dann den entsprechenden Ansprechpartner zu kontaktieren. Awareness-Kampagnen zu Themen wie Phishing oder Passwortsicherheit stärken zusätzlich das Bewusstsein für Datenschutzrisiken.
Sind die Verantwortlichkeiten bekannt?
Prüfe regelmäßig, ob deine Mitarbeitenden wissen, an wen sie sich mit dem Thema Datenschutz wenden können, z. B. den Datenschutzkoordinator oder den externen Datenschutzbeauftragten.
Überprüfung von Dokumenten
Sind deine Datenschutzrichtlinien aktuell?
Aktualisiere regelmäßig deine Richtlinien und prüfe, ob sie für alle verständlich sind. Prozesse im Unternehmen ändern sich. Daran sollten auch deine Richtlinien angepasst werden.
Sind deine Datenschutzinformationen korrekt?
Ein häufiger Punkt für Änderungen sind Datenschutzinformationen. Ein neues Tool für das Bewerbermanagement auf der Webseite oder ein neues Tool für das Tracking von Webseitenbesuchern sind nur zwei Beispiele, die eine Anpassung deiner Datenschutzinformationen auf der Webseite notwendig machen. Datenschutzinformationen brauchst du aber natürlich nicht nur für deine Webseite, sondern auch für deine Mitarbeitenden und ggf. Geschäftspartner. Auch diese müssen regelmäßig angepasst werden.
Kommunikation mit Behörden
Hast du einen Plan für behördliche Anfragen?
Prüfe regelmäßig deinen Prozess für den Umgang mit Anfragen von Datenschutzaufsichtsbehörden und lege Verantwortlichkeiten fest. Solche Anfragen kommen zwar nicht allzu häufig vor, sollten aber reibungslos gehandhabt werden.
Bist du auf Meldungen vorbereitet?
Hast du einen Prozess etabliert, bei dem eine Datenschutzverletzung innerhalb der gesetzlichen Frist gemeldet werden kann? Teste, ob dieser Prozess funktioniert.
Fazit Jahresplan-Datenschutz
Die Einhaltung der DSGVO ist kein One-Night-Stand, sondern ein fortlaufender Prozess. Ein Jahresplan-Datenschutz hilft dir dabei, dass dein Unternehmen die gesetzlichen Anforderungen dauerhaft erfüllt und Datenschutzrisiken minimiert. Indem du regelmäßige Überprüfungen und Schulungen durchführst, stärkst du nicht nur deine Compliance, sondern auch das Vertrauen in dein Unternehmen. Das Ganze kann natürlich auch in regelmäßigen Wiederholungsaudits gemacht werden. Sprich mich gerne an, wenn ich dir hier helfen kann.
Hol dir jetzt unseren Newsletter!
Du willst beim Thema Datenschutz und Informationssicherheit auf dem Laufenden bleiben? Dann melde dich jetzt zu meinem Update Datenschutz an. Das Update kommt ca. 1 mal im Monat und informiert über neue Trends, Urteile, Entscheidungen und von mir veröffentlichte Ratgeber und Muster zum Datenschutz. Außerdem gibt es Updates zu meiner Arbeitsweise und meinen Produkten.