DSGVO COMPLIANCE - IMPLEMENTIERUNGSANLEITUNG

Checkliste | Governance | Technische Maßnahmen | Betroffenenrechte | Datenschutz-Management

1. GRUNDLEGENDE DSGVO-ANFORDERUNGEN

Verzeichnis der Verarbeitungstätigkeiten (Art. 30): Per GDPR Art. 30 (Record of Processing)
Verzeichnis aller Datenverarbeitungstätigkeiten erstellt per Art. 30(1)
Verantwortlicher dokumentiert (Name, Kontakt) per Art. 30(1)(a)
Zweck der Verarbeitung dokumentiert per Art. 30(1)(c)
Kategorien personenbezogener Daten dokumentiert per Art. 30(1)(b)
Kategorien Empfänger dokumentiert per Art. 30(1)(e)
Speicherdauer dokumentiert per Art. 30(1)(d)

Datenschutzbeauftragter (DPO - Erfordernis): Per GDPR Art. 37 (Designation)
Datenschutzbeauftragter bestellt (wenn erforderlich per Art. 37(1)) per Art. 37(1)
DPO-Kontaktdaten veröffentlicht per Art. 37(7)
DPO-Ressourcen verfügbar (Zeit, Budget, Unabhängigkeit) per Art. 38
(Erforderlich: Öffentliche Behörden, Unternehmen mit Kerngeschäft Datenüberwachung, >250 Mitarbeiter)

Datenschutz-Folgenabschätzung (DPIA - Art. 35): Per GDPR Art. 35 (Data Protection Impact Assessment)
DPIA durchgeführt für riskante Verarbeitungen per Art. 35(1)
Risikoanalyse dokumentiert (Wahrscheinlichkeit, Schweregrad) per Art. 35(3)
Mitigationsmaßnahmen definiert per Art. 35(7)

2. RECHTLICHE GRUNDLAGEN (GDPR ART. 6 - DOKUMENTATION)

Lawful Basis für alle Datenverarbeitungen: Per GDPR Art. 6 (Lawfulness of Processing)
Consent (Art. 6(1)(a)): Explizite Einwilligung per Checkbox per Art. 7 (Conditions)
Contract (Art. 6(1)(b)): Vertragserfüllung dokumentiert per Art. 6(1)(b)
Legal Obligation (Art. 6(1)(c)): Rechtliche Pflicht dokumentiert per Art. 6(1)(c)
Vital Interests (Art. 6(1)(d)): Lebenswichtige Interessen dokumentiert per Art. 6(1)(d)
Public Task (Art. 6(1)(e)): Öffentliche Aufgabe dokumentiert per Art. 6(1)(e)
Legitimate Interests (Art. 6(1)(f)): Interessensabwägung durchgeführt & dokumentiert per Art. 6(1)(f) + Recital 47

3. BETROFFENENRECHTE (GDPR ART. 12-23 - UMSETZUNG)

Rechte implementieren & dokumentieren: Per GDPR Art. 12 (Transparent Communication)
Auskunftsrecht (Art. 15): Prozess zur Antragsbearbeitung per Art. 15(1) + Art. 12(3) (30 days)
Berichtigungsrecht (Art. 16): Änderungsmechanismus implementiert per Art. 16
Löschungsrecht (Art. 17): Löschkonzept & Prozess per Art. 17 (Right to Erasure)
Recht auf Einschränkung (Art. 18): Einschränkungsmechanismus per Art. 18
Datenportabilitätsrecht (Art. 20): Export in maschinenlesbarem Format per Art. 20(1)
Widerspruchsrecht (Art. 21): Widerspruchsmöglichkeit per Art. 21(1)
Antragsbearbeitung: Alle Anfragen innerhalb 30 Tage beantwortet per Art. 12(3)

4. AUFTRAGSVERARBEITUNG (GDPR ART. 28 - PROCESSOR)

Auftragsverarbeiter & AVV (Auftragsverarbeitungsvertrag): Per GDPR Art. 28 (Processor Agreement)
Liste aller Auftragsverarbeiter (Dienstleister) erstellt per Art. 28(2) + Art. 30(1)(e)
AVV mit JEDEM Auftragsverarbeiter abgeschlossen per Art. 28(3) (Host, Cloud, E-Mail, Analytics)
Subunternehmer genehmigt & dokumentiert per Art. 28(2) + Art. 28(4)
Datensicherung mit Auftragsverarbeitern per Art. 28(3)(c)
Regelmäßige Audits durchgeführt per Art. 28(3)(h)

5. SICHERHEIT & TECHNISCHE MASSNAHMEN (GDPR ART. 32)

Technische & Organisatorische Maßnahmen (TOMs): Per GDPR Art. 32 (Security of Processing)
Verschlüsselung: HTTPS/TLS 1.2+ für Übertragung per Art. 32(1)(b)
Verschlüsselung: AES-256 für Daten in Ruhe per Art. 32(1)(a)
Zugriffskontrolle: Starke Passwörter (min. 12 Zeichen) + MFA per Art. 32(1)(b)
Regelmäßige Sicherheitsaudits & Penetrationstests per Art. 32(1)(a)
Incident Response Plan (Notfallplan) per Art. 32(1)(c)
Backup & Wiederherstellung (tägliche Backups) per Art. 32(1)(c)
Mitarbeiterschulung: DSGVO-Training für alle Mitarbeiter per Art. 32(4)

6. DATENPANNEN & MELDEPFLICHT (GDPR ART. 33-34)

Breach Notification Prozess (KRITISCH): Per GDPR Art. 33-34 (Breach Notification)
Meldung an Behörde: Ohne verzögerung, spätestens 72 Stunden per Art. 33(1)
Behörde: Zuständige Datenschutzbehörde (z.B. Berliner Beauftragte) per Art. 33(1)
Inhalt der Meldung: Art der Panne, Auswirkungen, Maßnahmen per Art. 33(3)
Betroffenenbenachrichtigung: Bei hohem Risiko per Art. 34(1)
Dokumentation aller Pannen (für Nachweis) per Art. 33(5)

7. INTERNATIONALE DATENFLÜSSE (ART. 44-49)

Sichere Transfers in Nicht-EU-Länder: Per GDPR Art. 44-49 (International Transfers)
EU-Angemessenheitsbeschluss geprüft (UK, Japan, Australien) per Art. 45
Standard Contractual Clauses (SCCs) abgeschlossen per Art. 46(2)(c)
Transfer Impact Assessment (TIA) durchgeführt per Art. 49(1)(d) Schrems II
Zusätzliche Maßnahmen (Verschlüsselung) für USA-Transfers per Schrems II Judgment (C-311/18)
KRITISCH (Schrems II): USA-Transfers erfordern zusätzlich zu SCCs Verschlüsselung per Schrems II. Bloße SCCs nicht ausreichend!

8. DATENSCHUTZ-DOKUMENTATION & GOVERNANCE

Policies & Dokumentation: Per GDPR Art. 5(2) (Accountability)
Datenschutzrichtlinie (Data Protection Policy) dokumentiert per Art. 5(2)
Incident Management Policy per Art. 33-34
Mitarbeiterschulung & Verpflichtung auf Geheimhaltung per Art. 32(4)
Privacy by Design & Default implementiert per Art. 25 (Data Protection by Design)
Compliance-Status: Alle Checkboxen müssen abgehakt sein für vollständige DSGVO-Konformität.