Javascript is required
logo-dastralogo-dastra

AuditmodellBewertung der DSGVO-Konformität der Verarbeitung

Vorlage zur Bewertung der Verarbeitung personenbezogener Daten im Rahmen der DSGVO (Datenschutz-Grundverordnung).

1. Verantwortlichkeiten

1.1. Sind die Zuständigkeiten für die Verarbeitung klar festgelegt?
1.2. Geben Sie den Grund für die Nichtkonformität der Verarbeitung an.
1.3. Listen Sie die für die Umsetzung der Behandlung verantwortlichen Beteiligten auf.

2. Zwecke der Verarbeitung

2.1. Sind alle Zwecke der Verarbeitung rechtmäßig?
2.2. Geben Sie den Grund für die Nichtkonformität an.
2.3. Ist jeder Zweck genau festgelegt?
2.4. Geben Sie den Grund für die Nichtkonformität an.
2.5. Ist jeder Zweck eindeutig?
2.6. Geben Sie den Grund für die Nichtkonformität an.

3. Rechtsgrundlage

3.1. Gibt es für jeden Verarbeitungszweck eine Rechtsgrundlage?
3.2. Ist eine Rechtsgrundlage mit mindestens einem Zweck verbunden?
3.3. Sind die rechtlichen Grundlagen für die Zwecke korrekt?
3.4. Die verwendeten Rechtsgrundlagen sind Teil der folgenden?
3.5. Ist die Einwilligung freiwillig?

Die Einwilligung darf weder erzwungen noch beeinflusst werden. Der Person muss eine echte Wahlmöglichkeit geboten werden, ohne dass sie im Falle einer Ablehnung negative Konsequenzen zu befürchten hat.

3.6. Ist die Einwilligung spezifisch?

Eine Einwilligung muss sich auf eine einzige Verarbeitung für einen bestimmten Zweck beziehen.

3.7. Ist die Einwilligung informiert?

Damit die Einwilligung gültig ist, müssen der betroffenen Person vor der Einwilligung bestimmte Informationen mitgeteilt werden.

Über die Transparenzpflichten hinaus sollte der für die Verarbeitung Verantwortliche den betroffenen Personen die folgenden Informationen zur Verfügung stellen, um ihre informierte Einwilligung einzuholen:

  • die Identität des für die Verarbeitung Verantwortlichen;

  • die verfolgten Zwecke;

  • die Kategorien der erhobenen Daten;

  • das Bestehen eines Widerrufsrechts;

  • je nach Fall: die Tatsache, dass die Daten im Rahmen automatisierter Einzelentscheidungen verwendet oder in ein Land außerhalb der Europäischen Union übermittelt werden.

3.8. Ist die Einwilligung eindeutig?

Die Einwilligung muss von der betroffenen Person durch eine klare Erklärung oder eine andere eindeutige positive Handlung erteilt werden. Es darf keine Unklarheiten hinsichtlich der Einwilligung geben.

3.9. Sind die Interessen legitim?

Die Interessen gelten als legitim für die Verarbeitung von Daten:

  • die darauf abzielen, die Sicherheit des Netzwerks und der Informationen zu gewährleisten,

  • die zur Betrugsbekämpfung eingesetzt werden,

  • die für die Akquise von Kunden eines Unternehmens erforderlich sind,

  • die sich auf Kunden oder Mitarbeiter innerhalb einer Unternehmensgruppe zu internen Verwaltungszwecken beziehen.

Andernfalls kann die „Rechtmäßigkeit” des von einer Organisation verfolgten Interesses angenommen werden, wenn die folgenden drei Bedingungen erfüllt sind:

  • Das Interesse ist nach dem Gesetz offensichtlich rechtmäßig;

  • es ist hinreichend klar und präzise bestimmt;

  • es ist für die betreffende Organisation real und gegenwärtig und nicht fiktiv.

3.10. Ist die Quelle der gesetzlichen Verpflichtung bekannt?

Sie können den Gesetzestext identifizieren, der Sie zur Durchführung der Verarbeitung verpflichtet.

3.11. Ist der gemeinnützige Zweck bekannt?

4. Datenminimierung

4.1. Sind die Daten für die Durchführung der Verarbeitung unbedingt erforderlich?
4.2. Wenn nein, erklären Sie bitte warum.

5. Sensibilität der Daten

5.1. Werden alle von der Organisation verarbeiteten sensiblen Daten identifiziert?
5.2. Wenn nein, erklären Sie bitte warum.
5.3. Werden im Rahmen der Verarbeitung sensible Daten verarbeitet?

Dabei handelt es sich um Informationen, die

  • die angebliche rassische oder ethnische Herkunft,

  • politische Meinungen,

  • religiöse oder philosophische Überzeugungen

  • philosophischen Überzeugungen oder

  • die Gewerkschaftszugehörigkeit

  • sowie die Verarbeitung von genetischen Daten,

  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,

  • Gesundheitsdaten oder

  • Daten über das Sexualleben oder die sexuelle Orientierung einer natürlichen Person.

5.4. Ist die Rechtsgrundlage für die Verarbeitung sensibler Daten korrekt und gerechtfertigt?
5.5. Wenn nein, erklären Sie bitte warum.
5.6. Ist/Sind der/die Zweck(e) der Verarbeitung sensibler Daten legitim, festgelegt und eindeutig?
5.7. Wenn nein, erklären Sie bitte warum.

6. Standort der Daten

6.1. Ist der Standort der Daten bekannt?
6.2. Wenn nein, erklären Sie bitte warum.

7. Information der betroffenen Personen

7.1. Werden die von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen informiert?
7.2. Die Informationen für die betroffenen Personen umfassen folgende Elemente: ?
7.3. Wenn nicht, erklären Sie bitte warum.

8. Aufbewahrung der Daten

8.1. Sind die Aufbewahrungsfristen für die Daten festgelegt?
8.2. Sind die Aufbewahrungsfristen im Hinblick auf die Ziele (Zwecke) der Verarbeitung verhältnismäßig?
8.3. Wenn nicht, erklären Sie bitte warum.

9. Richtigkeit der Daten

9.1. Werden Maßnahmen getroffen, um sicherzustellen, dass die verarbeiteten Daten korrekt sind und gegebenenfalls aktualisiert werden?

10. Ausübung der Betroffenenrechte

10.1. Les personnes concernées peuvent-elles exercer facilement leurs droits sur leurs données personnelles ?

11. Empfänger der Daten

11.1. Sind die Empfänger der personenbezogenen Daten identifiziert?
11.2. Werden personenbezogene Daten an Subunternehmer weitergegeben?
11.3. Regelt ein Vertrag, der die Anforderungen von Artikel 28 der DSGVO enthält, die Beziehung zu den Auftragsverarbeitern?

12. Übermittlungen außerhalb der EU

12.1. Werden Übermittlungen personenbezogener Daten außerhalb der Europäischen Union erfasst?
12.2. Ist für jede Übertragung ein Übertragungsmechanismus vorgesehen und ist dieser angemessen?

13. Sicherheitsmaßnahmen

13.1. Werden Sicherheitsmaßnahmen zum Schutz personenbezogener Daten getroffen?
13.2. Sind die Sicherheitsmaßnahmen im Hinblick auf das Risiko einer Verletzung der Rechte der betroffenen Personen angemessen?
Erstellt am:10/04/2025
Aktualisiert am :10/24/2025
Lizenz : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale
Autor :
Paul-Emmanuel Bidault
Paul-Emmanuel Bidault
Dieses Auditmodell verwenden

Greifen Sie auf alle unsere Prüfungsmodelle zu

Probieren Sie Dastra jetzt aus, um auf alle unsere Auditvorlagen zuzugreifen, die Sie an Ihre Organisation anpassen können. Die ersten 30 Tage sind kostenlos und unverbindlich (keine Kreditkarte erforderlich).

Dieses Auditmodell verwenden
Abonnieren Sie unseren Newsletter

Wir werden Ihnen einige E-Mails senden, um Sie über unsere Neuigkeiten und die Neuerungen unserer Lösung auf dem Laufenden zu halten.

* Sie können sich jederzeit von jedem Newsletter abmelden.