1. Checkliste Organisationskontrolle
Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend
| 1. Organisationskontrolle | |||||
|---|---|---|---|---|---|
| Nr. | Vorgabe | erf. | nicht erf. | nicht erfdl. | Bemerkungen |
| 1.1 | Betriebsrat vorhanden? | x | |||
| 1.2 | Feststellung des Schutzbedarfs der personenbezogenen Daten: | ||||
| 1.2.1 | Kundendaten | x | |||
| 1.2.2 | Lieferantendaten | x | |||
| 1.2.3 | Mitarbeiterdaten | x | |||
| 1.2.4 | Besondere personenbezogene Daten gem. § 3 Abs. 9 BDSG | x | |||
| 1.3 | Risikoanalyse liegt vor? | x | |||
| 1.4 | Wird der BSI IT-Grundschutz umgesetzt? | x | |||
| 1.5 | Schriftliche Regelungen über den Betrieb und die Abläufe der Datenverarbeitung sowie zu den verschiedenen Datensicherheitsmaßnahmen | x | |||
| 1.5.1 | IT-Sicherheitskonzeption | x | |||
| 1.5.2 | IT-Sicherheitsrichtlinien | x | |||
| 1.5.3 | Arbeits- und Verfahrensanweisungen | x | |||
| 1.5.4 | Stellenbeschreibungen | x | |||
| 1.6 | Mitbenutzung der DV-Anlagen durch Fremdfirmen | x | |||
| 1.7 | Mitbenutzung der TK-Anlagen durch Fremdfirmen | x | |||
| 1.8 | Urlaubs-/Krankheitsvertretung des DV-Verantwortlichen | x | |||
| 1.9 | DV-Revision, interne Revision | x | |||
| 1.10 | Ausreichende Funktionstrennung, 4-Augen-Prinzip | x | |||
| 1.11 | Regelungen zur Beschaffung von Hard- und Software | x | |||
| 1.12 | Schriftliches Programmfreigabeverfahren | x | |||
| 1.13 | Regelungen über Sicherung des Datenbestandes | x | |||
| 1.14 | Regelmäßige Hinweise, Ermahnungen um das Problembewusstsein zu fördern | x | |||
| 1.15 | Gelegentliche, unvermutete Kontrolle der Einhaltung von Datenschutz- und Datensicherungsmaßnahmen | x | |||
| 1.16 | IT-Versicherungen | x | Vandalismus, Diebstahl | ||
| 1.17 | Ist ein Datenschutzbeauftragter (DSB) bestellt (§ 4f BDSG)? | x | |||
| 1.17.1 | Schriftliche Bestellung des DSB | x | |||
| 1.17.2 | Betriebliche Stellung | x | |||
| 1.17.2.1 | hauptamtlich | x | |||
| 1.17.2.2 | nebenamtlich | x | |||
| 1.17.2.3 | extern | x | |||
| 1.17.2.4 | freiwillig bestellt (ohne gesetzlichen Zwang) | x | |||
| 1.17.2.5 | der Geschäftsleitung direkt unterstellt | x | extern | ||
| 1.17.2.6 | weisungsfrei | x | |||
| 1.17.2.7 | Sind die Kündigungsregeln bekannt und werden sie umgesetzt? | x | |||
| 1.17.3 | Liegt Kurzbeschreibung des beruflichen Werdeganges vor? | x | |||
| 1.17.4 | Welche Fortbildungsmaßnahmen sind abgeschlossen? | x | |||
| 1.17.5 | Welche Fortbildungsmaßnahmen sind geplant? | x | |||
| 1.17.6 | Werden Fortbildungsmaßnahmen ermöglicht und entsprechende Kosten geplant/übernommen? | x | |||
| 1.17.7 | Stellen-/Aufgabenbeschreibung vorhanden? | x | |||
| 1.17.8 | Tätigkeitsberichte des DSB | x | |||
| 1.18 | Datenschutzordnung | x | Leitlinie zu Datenschutz und Informationssicherheit | ||
| 1.19 | Verpflichtung nach § 5 BDSG | x | nicht erforderlich nach DSGVO | ||
| 1.20 | Verpflichtung nach § 88 TKG | x | |||
| 1.21 | Schulungs-/Informationsnachweise (§ 4g BDSG) | x | |||
| 1.22 | Verfahrensübersicht für jedermann (§ 4g BDSG) | x | |||
| 1.23 | Interne Verfahrensübersichten (§ 4d, § 4e, § 4g BDSG) | x | Verfahrensverzeichnis w3 GmbH | ||
| 1.24 | Verfahren zur Sicherung der Rechte von Betroffenen | x | Richtlinie für die Umsetzung von Betroffenenrechten | ||