Checkliste zur Dokumentation der getroffenen technischen und organisatorischen Maßnahmen gem. DS-GVO

Die Checkliste kann von dem Verantwortlichen bzw. dem Auftragsverarbeiter als Instrument der Selbstüberprüfung genutzt werden und kann als Anlage bei Verträgen der Auftragsverarbeitung und dem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) Verwendung finden. Als ein Hilfsmittel soll es diese Checkliste dem Verantwortlichen bzw. dem Auftragsverarbeiter ermöglichen, die bereits getroffenen technischen und organisatorischen Maßnahmen, die sich aus den Anforderungen aus Artikel 5 (Grundsätze für die Verarbeitung personenbezogener Daten), Artikel 24 (Verantwortung des für die Verarbeitung Verantwortlichen), Artikel 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellung – data protection by design und data protection by default) und Artikel 32 (Sicherheit der Verarbeitung) der DS-GVO ergeben, strukturiert und übersichtlich zu erfassen.

Dies erleichtert dem Verantwortlichen, dem Auftragsverarbeiter und auch der Aufsichtsbehörde unter Berücksichtigung der Art, des Umfang, der Umstände und der Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos der Beeinträchtigung der Rechte und Freiheiten natürlicher Personen eine erste Beurteilung der Angemessenheit der getroffenen technischen und organisatorischen Maßnahmen vorzunehmen.

Die Checkliste enthält eine Vielzahl möglicher technischer und organisatorischer Maßnahmen, welche jedoch nicht alle umgesetzt werden müssen. Sie ist nicht abschließend und kann vom Verantwortlichen bzw. dem Auftragsverarbeiter ergänzt werden.

Es besteht keine Pflicht zur Nutzung dieser Checkliste, sie ermöglicht jedoch sowohl eine transparente als auch kompakte Darstellung der getroffenen technischen und organisatorischen Maßnahmen.

Checkliste (Download als PDF-Datei)
Checkliste (Download als DOCX-Datei)