Zum Inhalt springen

DSGVO / GDPR Compliance

Datenschutz-Grundverordnung (EU) 2016/679

Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr. Dieses Modul deckt die wichtigsten Anforderungen ab, inkl. Mapping zu DORA.

Management-Zusammenfassung

  • 17 DSGVO-Anforderungen in 6 Themenbereichen
  • Betroffenenrechte nach Art. 15-22
  • DPIA-Prozess nach Art. 35-36
  • Verarbeitungsverzeichnis nach Art. 30
  • Data-Breach-Notification nach Art. 33-34
  • Mapping zu DORA Art. 5-30

DSGVO Anforderungen (17)

Data Subject Rights

GDPR-001 Data Subject Rights

Recht auf Auskunft (Art. 15)

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden.

Umsetzung

Auskunftsprozess einrichten, Fristen (1 Monat) überwachen, Formular bereitstellen

Auskunftsantragsformular Prozessdokumentation Fallbearbeitungsnachweise
DORA-Mapping: DORA Art. 13(4) — Informationsregister
GDPR-002 Data Subject Rights

Recht auf Löschung (Art. 17)

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden.

Umsetzung

Löschprozess definieren, Löschfristen festlegen, automatische Löschroutinen einrichten

Löschkonzept Löschprotokolle Aufbewahrungsfristen-Matrix
DORA-Mapping: DORA Art. 13(5) — Datenaufbewahrung
GDPR-003 Data Subject Rights

Recht auf Datenübertragbarkeit (Art. 20)

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Umsetzung

Export-Schnittstellen bereitstellen, maschinenlesbare Formate unterstützen (JSON, CSV)

Data-Portability-Schnittstelle Export-Log Formatdokumentation
DORA-Mapping: DORA Art. 28 — Datenportabilität bei Auslagerung
GDPR-004 Data Subject Rights

Recht auf Berichtigung (Art. 16)

Die betroffene Person hat das Recht, die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Umsetzung

Berichtigungsprozess einrichten, Prüfverfahren für Korrekturen etablieren

Berichtigungsformular Bearbeitungsprotokolle Prozessbeschreibung
DORA-Mapping: DORA Art. 13(5) — Datenqualität
GDPR-005 Data Subject Rights

Recht auf Einschränkung der Verarbeitung (Art. 18)

Die betroffene Person hat das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.

Umsetzung

Prozess zur Sperrung von Datensätzen, technische Sperrmöglichkeit in Systemen

Verarbeitungseinschränkungsprozess Sperrkonzept Systemdokumentation
DORA-Mapping: DORA Art. 9(4) — Zugangskontrollen
GDPR-006 Data Subject Rights

Recht auf Widerspruch (Art. 21)

Die betroffene Person hat das Recht, gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen.

Umsetzung

Widerspruchsverfahren etablieren, automatisierte Entscheidungen kennzeichnen

Widerspruchsformular Bearbeitungsprozess Opt-Out-Nachweise
DORA-Mapping: DORA Art. 13(4) — Betroffenenrechte

Data Protection Impact Assessment

GDPR-007 Data Protection Impact Assessment

Datenschutz-Folgenabschätzung (Art. 35)

Ist eine Form der Verarbeitung, insbesondere bei neuen Technologien, voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden, so führt der Verantwortliche eine Datenschutz-Folgenabschätzung durch.

Umsetzung

DPIA-Prozess etablieren, Kriterienkatalog für DPIA-Pflicht, Vorlage und Review-Verfahren

DPIA-Vorlage DPIA-Berichte Genehmigungsnachweise DSB
DORA-Mapping: DORA Art. 7 — Risikobewertung
GDPR-008 Data Protection Impact Assessment

Vorabkonsultation (Art. 36)

Ergibt die Datenschutz-Folgenabschätzung, dass die Verarbeitung ein hohes Risiko zur Folge hätte, so konsultiert der Verantwortliche die Aufsichtsbehörde vor der Verarbeitung.

Umsetzung

Konsultationsprozess definieren, Vorlagen für Aufsichtsbehörden-Kommunikation

Konsultationsanträge Bescheide der Aufsichtsbehörde Kommunikationsverlauf
DORA-Mapping: DORA Art. 24(5) — Vorabkonsultation

Data Processing Register

GDPR-009 Data Processing Register

Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Jeder Verantwortlicher und jeder Auftragsverarbeiter führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen.

Umsetzung

Verarbeitungsverzeichnis führen (elektronisch), regelmäßige Aktualisierung, Kategorisierung

Verarbeitungsverzeichnis Aktualisierungsprotokolle Freigaben
DORA-Mapping: DORA Art. 13 — Informationsregister
GDPR-016 Data Processing Register

Auftragsverarbeitung (Art. 28)

Der Auftragsverarbeiter bietet hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen. Die Auftragsverarbeitung ist vertraglich zu regeln.

Umsetzung

AVV-Mustervertrag, Due-Diligence-Prüfung, Verarbeitungsverzeichnis für AV

AVV-Verträge Due-Diligence-Berichte Subunternehmer-Listen
DORA-Mapping: DORA Art. 28(3) — Vertragliche Anforderungen
GDPR-017 Data Processing Register

Gemeinsame Verantwortlichkeit (Art. 26)

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, sind sie gemeinsam Verantwortliche. Sie müssen eine Vereinbarung treffen.

Umsetzung

Joint-Controller-Vereinbarung, transparente Zuständigkeitsregelung, Ansprechpartner

Joint-Controller-Vereinbarung Zuständigkeitsmatrix Beratungsprotokolle
DORA-Mapping: DORA Art. 5(6) — Gemeinsame Verantwortung

Data Breach Notification

GDPR-010 Data Breach Notification

Meldung von Verletzungen des Schutzes personenbezogener Daten (Art. 33)

Der Verantwortliche meldet der zuständigen Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden.

Umsetzung

Incident-Response-Prozess, Meldeformular, Fristen-Tracking, Escalation-Procedure

Data-Breach-Response-Plan Meldeformulare Fristen-Dokumentation
DORA-Mapping: DORA Art. 18 — Meldepflichten
GDPR-011 Data Breach Notification

Benachrichtigung der betroffenen Person (Art. 34)

Ist die Verletzung des Schutzes personenbezogener Daten voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden, benachrichtigt der Verantwortliche die betroffene Person unverzüglich.

Umsetzung

Benachrichtigungsvorlagen, Kommunikationskanäle, Eskalationsmatrix für hohes Risiko

Benachrichtigungsvorlagen Kommunikationsplan Zustellungsnachweise
DORA-Mapping: DORA Art. 19 — Freiwillige Benachrichtigung

Data Protection Officer

GDPR-012 Data Protection Officer

Benennung eines Datenschutzbeauftragten (Art. 37)

Der Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht.

Umsetzung

DSB benennen, behördliche Meldung, organisatorische Einbindung sicherstellen

Bestellungsurkunde DSB Meldung an Aufsichtsbehörde Organigramm
DORA-Mapping: DORA Art. 5(4) — IKT-Sicherheitsbeauftragter
GDPR-013 Data Protection Officer

Aufgaben und Stellung des DSB (Art. 38-39)

Der Datenschutzbeauftragte ist in alle Datenschutzfragen einzubeziehen. Er unterrichtet und berät den Verantwortlichen. Der DSB darf wegen seiner Aufgaben nicht benachteiligt werden.

Umsetzung

DSB in Datenschutzfragen einbinden, Berichtsweg zur Geschäftsleitung, Ressourcenausstattung

Jahresbericht DSB Stellungnahmeprotokolle Ressourcenbudget
DORA-Mapping: DORA Art. 5(5) — Berichtswege

International Transfers

GDPR-014 International Transfers

Datenübermittlung in Drittländer (Art. 44-45)

Die Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation ist nur zulässig, wenn die Voraussetzungen der Art. 45-49 erfüllt sind.

Umsetzung

Angemessenheitsbeschluss prüfen, Standardvertragsklauseln (SCC) nutzen, TIA durchführen

Transfer Impact Assessment SCC-Verträge Länderliste Angemessenheitsbeschlüsse
DORA-Mapping: DORA Art. 28(4) — Drittland-Auslagerungen
GDPR-015 International Transfers

Ausnahmen für bestimmte Fälle (Art. 49)

Soweit kein Angemessenheitsbeschluss und keine geeigneten Garantien vorliegen, ist die Übermittlung nur unter bestimmten Ausnahmen zulässig (z.B. Einwilligung, Vertragserfüllung).

Umsetzung

Ausnahmekatalog dokumentieren, Einwilligungsprozess, ad-hoc-Fallprüfung

Ausnahmedokumentation Einwilligungsnachweise Fallprüfungsprotokolle
DORA-Mapping: DORA Art. 30(7) — CTPP mit Drittlandbezug

Rechtlicher Hinweis: Diese Inhalte stellen eigenständige Interpretationen dar. Keine Rechtsberatung. Verbindlich sind der Gesetzeswortlaut und die Rechtsprechung.