Dann öffne ich mal eine Startbox Umsetzung..
Ist zwar für "Unternehmeneinsatz" , aber auch recht zutreffend für Vereine.
Ersetze "Mitarbeiter" durch "Vereinskollegen" .... hier eine Step-by-Step Anleitung
viel Spass beim Umsetzen
grüssse rudi
IT Compliance Manager
ITQcert-Auditor
Dekra-Zertifizierte Datenschutzfachkraft
Fachkundiger gem. §4f Abs.2 BDSG
1 Prüfe: Bestellpflicht DSB
2 Abmahngründe eliminieren
3 Umsetzung gesetzlicher Anforderungen, siehe Folgeseiten.
Art. 30 Abs. 1 Relevante Verfahren zusammentragen
Art. 30 Abs. 1 Benennung Verarbeitungsverantwortliche & Stellvertretung
Art. 30 Abs. 1 Erstellung Verarbeitungsverzeichnis durch den Verarbeitungsverantwortlichen
Art. 30 Abs. 1 Relevante TOMs für Verarbeitung zusammentragen
Art. 30 Abs. 2 Auftragsverarbeiter über ihre Pflicht zur Verzeichnisführung unterrichten
Art. 30 Abs. 2 Auftragsverarbeiter zur Übermittlung ihrer Verzeichnisse auffordern
Art. 32 Abs. 1 Pkt. A Dokumentation Verschlüsselung pbDaten
Art. 32 Abs. 1 Pkt. B Dokumentation Vertraulichkeit, Integrität, Verfügbarkeit und
Belastbarkeit der Systeme und Dienste mit dauerhaften Verfahren
Art. 32 Abs. 1 Pkt. C Dokumentation Backup, sowie rasche Wiederherstellbarkeit
Art. 32 Abs. 1 Pkt. D Dokumentation der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs
Art. 32 Abs. 2 Analyse und Beurteilung des angemessenen Schutzniveaus der einzelnen Datenverarbeitungen
Art. 32 Abs. 4 Nachweisführung, dass Mitarbeiter, die pbDaten verarbeiten, dies jeweils nur auf und nach Anweisung des Datenverarbeitungsverantwortlichen tun
Art. 33 Einrichten eines Prozesses (Meldewege, Meldekriterien, Medium) zur Meldung bei Datenschutzverletzungen an die Aufsichtsbehörde
Art. 34 Planung des Vorgehens zur Meldung von Datenschutzverstößen an die Betroffenen
Art. 35 Abs. 1 & 3 Schriftliche Beurteilung aller Verfahren, ob eine Folgeabschätzung notwendig ist
Art. 35 Abs. 7 ggf. Durchführung der Folgeabschätzungen
Art. 36 Abs. 1 ggf. Konsultation der Aufsichtsbehörde zur Genehmigung der risikoreichen DV basierend auf der Folgeabschätzung
Art. 13 Abs. 1 Zusammenstellung einer Übersicht der datenerhebenden Dokumente und digitalen Erhebungen
Art. 13 Abs. 1 Texte zur Erfüllung der Informationspflichten für die Erhebungen erstellen
Art. 13 Abs. 2 Planung der Bereitstellung der in Abs. 2 genannten Informationen für alle Betroffenen
Art. 14 Prüfung, ob Daten existieren, die nicht beim Betroffenen erhoben wurden
Art. 14 Texte zur Erfüllung der Informationspflichten für den Datenbesitz erstellen
Art. 24 Abs. 1 Nachweisführung der Umsetzung der TOMs durch den jeweiligen DVVerantwortlichen
Art 24 Abs. 1 Verfahren zur regelmäßigen Nachweisführung der Umsetzung der TOMs durch den jeweiligen DV-Verantwortlichen
Art 24 Abs. 2 Erstellung einer Datenschutzrichtlinie zum Nachweis gegenüber der Aufsichtsbehörde
Art 24 Abs. 2 Dokumentation der regelmäßigen Kontrolle der Einhaltung der
Datenschutzrichtlinie zum Nachweis gegenüber der Aufsichtsbehörde
Art. 25 Dokumentation von Privacy by Default und Design durch den DVVerantwortlichen
Art. 4 Abs. 1 i.V.m. Erwägungsgrund 30 IP-Adresse und Cookies müssen als pbDaten behandelt werden. Anpassung der DV dahingehend.
Art. 7 & 8 Anpassung der Einwilligungstexte und der Form der Einwilligung
Art. 6 Abs. 1 Pkt. F Nachweis der berechtigten Interessen für die DV, die deren rechtliche Grundlage bildet
Art. 28 Abs. 1 Nachweis der sorgfältigen Auswahl für alle Auftragsverarbeiter erstellen
Art. 28 Abs. 3 Verträge und Kontrollen mit den Auftragsverarbeitern an die geforderten Inhalte von Abs. 3 anpassen
Art. 28 Abs. 4 i.V.m. Abs. 1 Nachweise der Vertragsabschlüsse mit Subauftragnehmern von den Auftragnehmern einfordern
Art. 39 Abs. 1 Pkt. B Sensibilisierung der Mitarbeiter
Art. 39 Abs. 1 Pkt. B Schulung der Mitarbeiter über die neuen Inhalte
Anpassung ggf. vorhandener Betriebsvereinbarungen und Arbeitsanweisungen