Die Feststellung der Konformität einer Software, hinsichtlich der Einhaltung der Datenschutz-Grundverordnung (DSGVO), erfordert eine sorgfältige Prüfung und Analyse. Hier ist eine Checkliste, die Ihnen bei dieser Aufgabe helfen kann. Beachten Sie, dass dies nur eine grundlegende Checkliste ist und je nach Art der Software und den spezifischen Anforderungen Ihrer Organisation, Anpassungen erforderlich sein können:
- Datenschutzbeauftragter:
Gibt es einen Datenschutzbeauftragten oder eine verantwortliche Person für Datenschutzfragen im Unternehmen? - Verzeichnis von Verarbeitungstätigkeiten:
Gibt es ein Verzeichnis von Verarbeitungstätigkeiten, das alle Datenverarbeitungsaktivitäten im Zusammenhang mit Software erfasst? - Zweckbindung:
Ist der Zweck der Datenerfassung und -verarbeitung klar definiert und ist dieser rechtlich vertretbar? - Rechtmäßigkeit der Verarbeitung:
Werden personenbezogene Daten rechtmäßig und unter Berücksichtigung einer gültigen Rechtsgrundlage verarbeitet? - Transparenz:
Werden Benutzer über die Datenerfassung und -verarbeitung ausreichend informiert?
Gibt es eine stimmige Datenschutzerklärung? - Einwilligung:
Wird die Einwilligung zur Datenerfassung und -verarbeitung, sofern erforderlich, ordnungsgemäß eingeholt und dokumentiert? - Rechte der Betroffenen:
Werden die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung und Löschung, unterstützt und umgesetzt? - Datenminimierung:
Werden nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten erfasst und gespeichert? - Sicherheit:
Welche Sicherheitsmaßnahmen sind implementiert, um personenbezogene Daten zu schützen?
Gibt es z.B. Verschlüsselung, Zugriffsbeschränkungen und andere Sicherheitsmechanismen? - Meldung von Datenschutzverletzungen:
Ist ein Verfahren zur Meldung von Datenschutzverletzungen vorhanden
Sind die erforderlichen Schritte zur Benachrichtigung der Aufsichtsbehörden und der betroffenen Personen vorgesehen? - Datenschutz-Folgenabschätzung (DSFA):
Wurde eine DSFA durchgeführt, um Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten? - Auftragsverarbeitungsverträge (AVV):
Wenn externe Dienstleister Daten verarbeiten, gibt es entsprechende AVVs, um die Einhaltung der DSGVO sicherzustellen? - Datenübertragungen außerhalb der EU:
Wenn Daten außerhalb der EU übertragen werden, wie erfolgt dies in Übereinstimmung mit der DSGVO? - Datenretention:
Gibt es Richtlinien und Verfahren zur Festlegung der Aufbewahrungsfrist personenbezogener Daten? - Datenschutzschulungen:
Werden Schulungen und Schulungsmaterialien für Mitarbeiter bereitgestellt, um die Einhaltung der DSGVO sicherzustellen? - Regelmäßige Datenschutzprüfungen:
Werden regelmäßige interne Datenschutzprüfungen durchgeführt, um die Einhaltung sicherzustellen? - Dokumentation:
Gibt es Dokumentation und Aufzeichnungen, die die Einhaltung der DSGVO nachweisen? - Kontakt zur Aufsichtsbehörde:
Ist der Kontakt zur zuständigen Datenschutz-Aufsichtsbehörde hergestellt und bekannt? - Benutzerzugriff und Kontrolle:
Gibt es Mechanismen, mit denen Benutzer ihre Daten einsehen und kontrollieren können?
Diese Checkliste bietet eine Grundlage für die Überprüfung der DSGVO-Konformität Ihrer Software. Je nach Komplexität Ihrer Software und den spezifischen Anforderungen Ihrer Organisation kann es erforderlich sein, weitere spezifische Prüfungen und Anpassungen vorzunehmen. Es ist ratsam, im Zweifel einen Datenschutzexperten mit der Beurteilung zu beauftragen.
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
BayLDA – Das Bayerische Landesamt für Datenschutzaufsicht
https://www.lda.bayern.de/de/index.html
Datenschutz-Grundverordnung (DSGVO)
https://dejure.org/gesetze/DSGVO
Unser Datenschutz-Selbstaudit
https://www.datenschutz-muenchen.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen