| |
| datenschutz:tom:organisationskontrolle-checkliste [2018/07/30 15:39] – Externe Bearbeitung 127.0.0.1 | datenschutz:tom:organisationskontrolle-checkliste [2018/07/30 15:58] (aktuell) – [Tabelle] Ralf Gebhard |
|---|
| |
| Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend\\ | Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend\\ |
| | {{tablelayout?rowsHeaderSource=Auto&tablePrint=1}} |
| ^ ** 1. Organisationskontrolle** |||||| | ^ ** 1. Organisationskontrolle** |||||| |
| ^ Nr. ^ Vorgabe ^ erf. ^ nicht erf. ^ nicht erfdl. ^ Bemerkungen ^ | ^ Nr. ^ Vorgabe ^ erf. ^ nicht erf. ^ nicht erfdl. ^ Bemerkungen ^ |
| | **1.1** | **Betriebsrat vorhanden?** | | | x | | | | **1.1** | **Betriebsrat vorhanden?** | | | x | | |
| | **1.2** | **Feststellung des Schutzbedarfs der personenbezogenen Daten:** ||||| | | **1.2** | **Feststellung des Schutzbedarfs der personenbezogenen Daten:** ||||| |
| | 1.2.1 | Kundendaten | x | | | | | | 1.2.1 | Kundendaten | x | | | | |
| | 1.2.2 | Lieferantendaten | x | | | | | | 1.2.2 | Lieferantendaten | x | | | | |
| | 1.2.3 | Mitarbeiterdaten | x | | | | | | 1.2.3 | Mitarbeiterdaten | x | | | | |
| | 1.2.4 | Besondere personenbezogene Daten gem. § 3 Abs. 9 BDSG | | | x | | | | 1.2.4 | Besondere personenbezogene Daten gem. § 3 Abs. 9 BDSG | | | x | | |
| | **1.3** | **Risikoanalyse liegt vor?** | | x | | | | | **1.3** | **Risikoanalyse liegt vor?** | | x | | | |
| | **1.4** | **Wird der BSI IT-Grundschutz umgesetzt?** | | | x | | | | **1.4** | **Wird der BSI IT-Grundschutz umgesetzt?** | | | x | | |
| | **1.5** | **Schriftliche Regelungen über den Betrieb und die Abläufe der Datenverarbeitung sowie zu den verschiedenen Datensicherheitsmaßnahmen** | x | | | | | | **1.5** | **Schriftliche Regelungen über den Betrieb und die Abläufe der Datenverarbeitung sowie zu den verschiedenen Datensicherheitsmaßnahmen** | x | | | | |
| | 1.5.1 | IT-Sicherheitskonzeption | | | x | | | | 1.5.1 | IT-Sicherheitskonzeption | | | x | | |
| | 1.5.2 | IT-Sicherheitsrichtlinien | x | | | | | | 1.5.2 | IT-Sicherheitsrichtlinien | x | | | | |
| | 1.5.3 | Arbeits- und Verfahrensanweisungen | x | | | | | | 1.5.3 | Arbeits- und Verfahrensanweisungen | x | | | | |
| | 1.5.4 | Stellenbeschreibungen | | | x | | | | 1.5.4 | Stellenbeschreibungen | | | x | | |
| | **1.6** | **Mitbenutzung der DV-Anlagen durch Fremdfirmen** | | | x | | | | **1.6** | **Mitbenutzung der DV-Anlagen durch Fremdfirmen** | | | x | | |
| | **1.7** | **Mitbenutzung der TK-Anlagen durch Fremdfirmen** | | | x | | | | **1.7** | **Mitbenutzung der TK-Anlagen durch Fremdfirmen** | | | x | | |
| | **1.8** | **Urlaubs-/Krankheitsvertretung des DV-Verantwortlichen** | x | | | | | | **1.8** | **Urlaubs-/Krankheitsvertretung des DV-Verantwortlichen** | x | | | | |
| | **1.9** | **DV-Revision, interne Revision** | | | x | | | | **1.9** | **DV-Revision, interne Revision** | | | x | | |
| | **1.10** | **Ausreichende Funktionstrennung, 4-Augen-Prinzip** | x | | | | | | **1.10** | **Ausreichende Funktionstrennung, 4-Augen-Prinzip** | x | | | | |
| | **1.11** | **Regelungen zur Beschaffung von Hard- und Software** | | | x | | | | **1.11** | **Regelungen zur Beschaffung von Hard- und Software** | | | x | | |
| | **1.12** | **Schriftliches Programmfreigabeverfahren** | | | x | | | | **1.12** | **Schriftliches Programmfreigabeverfahren** | | | x | | |
| | **1.13** | **Regelungen über Sicherung des Datenbestandes** | x | | | | | | **1.13** | **Regelungen über Sicherung des Datenbestandes** | x | | | | |
| | **1.14** | **Regelmäßige Hinweise, Ermahnungen um das Problembewusstsein zu fördern** | x | | | | | | **1.14** | **Regelmäßige Hinweise, Ermahnungen um das Problembewusstsein zu fördern** | x | | | | |
| | **1.15** | **Gelegentliche, unvermutete Kontrolle der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen** | x | | | | | | **1.15** | **Gelegentliche, unvermutete Kontrolle der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen** | x | | | | |
| | **1.16** | **IT-Versicherungen** | x | | | Vandalismus, Diebstahl | | | **1.16** | **IT-Versicherungen** | x | | | Vandalismus, Diebstahl | |
| | **1.17** | Ist ein Datenschutzbeauftragter (DSB) bestellt (§ 4f BDSG)? | x | | | | | | **1.17** | Ist ein Datenschutzbeauftragter (DSB) bestellt (§ 4f BDSG)? | x | | | | |
| | 1.17.1 | Schriftliche Bestellung des DSB | x | | | | | | 1.17.1 | Schriftliche Bestellung des DSB | x | | | | |
| | 1.17.2 | Betriebliche Stellung | | | x | | | | 1.17.2 | Betriebliche Stellung | | | x | | |
| | 1.17.2.1 | hauptamtlich | | | x | | | | 1.17.2.1 | hauptamtlich | | | x | | |
| | 1.17.2.2 | nebenamtlich | | | x | | | | 1.17.2.2 | nebenamtlich | | | x | | |
| | 1.17.2.3 | extern | | | x | | | | 1.17.2.3 | extern | | | x | | |
| | 1.17.2.4 | freiwillig bestellt (ohne gesetzlichen Zwang) | x | | | | | | 1.17.2.4 | freiwillig bestellt (ohne gesetzlichen Zwang) | x | | | | |
| | 1.17.2.5 | der Geschäftsleitung direkt unterstellt | | | x | extern | | | 1.17.2.5 | der Geschäftsleitung direkt unterstellt | | | x | extern | |
| | 1.17.2.6 | weisungsfrei | x | | | | | | 1.17.2.6 | weisungsfrei | x | | | | |
| | 1.17.2.7 | Sind die Kündigungsregeln bekannt und werden sie umgesetzt? | | | x | | | | 1.17.2.7 | Sind die Kündigungsregeln bekannt und werden sie umgesetzt? | | | x | | |
| | 1.17.3 | Liegt Kurzbeschreibung des beruflichen Werdeganges vor? | | | x | | | | 1.17.3 | Liegt Kurzbeschreibung des beruflichen Werdeganges vor? | | | x | | |
| | 1.17.4 | Welche Fortbildungsmaßnahmen sind abgeschlossen? | | | x | | | | 1.17.4 | Welche Fortbildungsmaßnahmen sind abgeschlossen? | | | x | | |
| | 1.17.5 | Welche Fortbildungsmaßnahmen sind geplant? | | | x | | | | 1.17.5 | Welche Fortbildungsmaßnahmen sind geplant? | | | x | | |
| | 1.17.6 | Werden Fortbildungsmaßnahmen ermöglicht und entsprechende Kosten geplant/übernommen? | | | x | | | | 1.17.6 | Werden Fortbildungsmaßnahmen ermöglicht und entsprechende Kosten geplant/übernommen? | | | x | | |
| | 1.17.7 | Stellen-/Aufgabenbeschreibung vorhanden? | | | x | | | | 1.17.7 | Stellen-/Aufgabenbeschreibung vorhanden? | | | x | | |
| | 1.17.8 | Tätigkeitsberichte des DSB | x | | | | | | 1.17.8 | Tätigkeitsberichte des DSB | x | | | | |
| | **1.18** | **Datenschutzordnung** | x | | | [[datenschutz:leitlinie|Leitlinie zu Datenschutz und Informationssicherheit]] | | | **1.18** | **Datenschutzordnung** | x | | | [[datenschutz:leitlinie|Leitlinie zu Datenschutz und Informationssicherheit]] | |
| | **1.19** | **Verpflichtung nach § 5 BDSG** | | | x | nicht erforderlich nach DSGVO | | | **1.19** | **Verpflichtung nach § 5 BDSG** | | | x | nicht erforderlich nach DSGVO | |
| | **1.20** | **Verpflichtung nach § 88 TKG** | | | x | | | | **1.20** | **Verpflichtung nach § 88 TKG** | | | x | | |
| | **1.21** | **Schulungs-/Informationsnachweise (§ 4g BDSG)** | | | x | | | | **1.21** | **Schulungs-/Informationsnachweise (§ 4g BDSG)** | | | x | | |
| | **1.22** | **Verfahrensübersicht für jedermann (§ 4g BDSG)** | | | x | | | | **1.22** | **Verfahrensübersicht für jedermann (§ 4g BDSG)** | | | x | | |
| | **1.23** | **Interne Verfahrensübersichten (§ 4d, § 4e, § 4g BDSG)** | x | | | [[datenschutz:verfahren|Verfahrensverzeichnis w3 GmbH]] | | | **1.23** | **Interne Verfahrensübersichten (§ 4d, § 4e, § 4g BDSG)** | x | | | [[datenschutz:verfahren|Verfahrensverzeichnis w3 GmbH]] | |
| | **1.24** | **Verfahren zur Sicherung der Rechte von Betroffenen** | x | | | [[datenschutz:richtlinie-umsetzung-betroffenenrechte|Richtlinie für die Umsetzung von Betroffenenrechten]] | | | **1.24** | **Verfahren zur Sicherung der Rechte von Betroffenen** | x | | | [[datenschutz:richtlinie-umsetzung-betroffenenrechte|Richtlinie für die Umsetzung von Betroffenenrechten]] | |