Rechtliche Grundlagen klären:
- Rechtsgrundlage für Datenverarbeitung identifiziert (Art. 6 DSGVO)
- Bei personenbezogenen Daten: Einwilligung oder berechtigtes Interesse?
- Zweckbindung definiert und dokumentiert
- Datenminimierung: Nur notwendige Daten verwenden
Technische Maßnahmen:
- Anonymisierung wo möglich implementiert
- Pseudonymisierung für identifizierbare Daten
- Verschlüsselung bei Übertragung und Speicherung
- Zugriffskontrolle: Wer darf welche Daten sehen?
- Logging: Wer hat wann auf welche Daten zugegriffen?
Organisatorische Maßnahmen:
- Verarbeitungsverzeichnis erstellt (Art. 30 DSGVO)
- Datenschutz-Folgenabschätzung durchgeführt (falls erforderlich)
- Mitarbeiter geschult
- Prozesse für Betroffenenrechte etabliert
- Incident Response Plan für Datenpannen