DSGVO Questionnaire

Hallo und ein großes Dankeschön, dass du Teil unserer Kertos-Reise bist!

Durch dieses Questionnaire hilftst du uns, dein Unternehmen möglichst effizient und auf deine persönlichen Bedürfnisse zugeschnitten, datenschutzrechtlich compliant zu machen.

Nenne uns deine Firma

Bitte gib eine Antwort an

Sind Unternehmensgesellschaften in einem Drittland?

Drittland = Außerhalb der EU und des Europäischen Wirtschaftsraums (Liechtenstein, Norwegen und Island)

Nein

Wurden Verträge zur Verarbeitung von Daten zwischen den Unternehmen abgeschlossen (bspw. Auftragsverarbeitungsverträge, andere Verträge)?

Nein

Bitte beschreibe (kurz und knapp) die Haupttätigkeit/en des Unternehmens.

Was macht ihr (Produkt/Service)? Für wen (B2B/B2C)?

Bitte eine Antwort angeben

Wird in eurem Unternehmen Künstliche Intelligenz (AI) genutzt – entweder intern durch Mitarbeitende oder als Bestandteil eurer Produkte/Dienstleistungen?

Bitte wähle eine oder mehrere der Antwortmöglichkeiten aus:

Ja, Mitarbeitende nutzen allgemein verfügbare AI-Tools (z. B. ChatGPT, Copilot, Midjourney) im Arbeitsalltag.

Ja, unser Produkt / Service enthält AI-Funktionalitäten.

Nein, AI wird aktuell nicht genutzt.

Noch nicht entschieden / in Prüfung.

Unklar / nicht geregelt, ob Mitarbeitende externe AI-Tools verwenden.

Über welche digitalen Kanäle bietet ihr eure Services oder Produkte an?

Unternehmenswebsite

Webapp (SaaS Produkt)

Mobile App (IOS/Android)

Beschreibung

Bitte füge hier die Links / Informationen zu den betriebenen Websites/Plattformen/Apps ein.

Bitte eine Antwort angeben

Beschreibung

Welcher Dienstleister?
(z.B. Mailchimp, HubSpot, Brevo)

Bitte eine Antwort angeben

Beschreibung

Welcher Dienstleister?
(z.B. Personio, Workday, eigenes Formular)

Bitte eine Antwort angeben

Beschreibung

Welcher Dienstleister?
(z.B. Intercom, Drift, Tidio)

Bitte eine Antwort angeben

Beschreibung

Welcher Dienstleister?
(z.B. Calendly, Cal.com, HubSpot Forms)

Bitte eine Antwort angeben

Besteht ein Verzeichnis in dem dokumentiert ist, welche Datenverarbeitungen es im Unternehmen gibt?

Das kann eine Auflistung der einzelnen Geschäftsprozesse der jeweiligen Abteilungen sein, aus der hervorgeht welche Daten, wie und warum verarbeitet werden.

Beispiele für einzelne Verarbeitungstätigkeiten: Lead Generation, Betrieb der Unternehmenswebsite, Customer Relationship Management

Nein

Für den Fall, dass das Unternehmen ein Service Provider ist (Bsp. Angebot einer Software im Bereich Compliance): Besteht dafür eine eigene Dokumentation?

Nein

Bitte liste die einzelnen Abteilungen eures Unternehmens gemäß dem unten angeführten Beispiel auf.

Bsp:

HR-Department

Finance

Legal

...

Auflistung Abteilungen

Bitte gib eine Antwort an

Wer ist die interne Ansprechperson für Datenschutz (Datenschutz-Koordinator:in)?

Name / Rolle

Bitte gib eine Antwort an

Wer genehmigt und überprüft Datenschutz- und Sicherheitsrichtlinien sowie Entscheidungen?

Name / Rolle

Bitte gib eine Antwort an

Wer ist für IT-Sicherheit / Systemadministration verantwortlich (z.B. IT-Admin, Head of IT)

Name / Rolle

Bitte gib eine Antwort an

Gibt es weitere relevante Rollen im Zusammenhang mit Datenschutz & Sicherheit (z. B. CISO)?

Name / Rolle

Bitte gib eine Antwort an

Werden Freelancer im Unternehmen eingesetzt und wenn ja, in welcher Rolle?

Please choose an option

Nein, wir setzen keine Freelancer ein

Ja, Freelancer mit Zugriff auf personenbezogene Daten (z. B. IT-Admin, Entwickler, Support)

Ja, Freelancer ohne Zugriff auf personenbezogene Daten (z. B. Grafikdesign, Marketing-Content)

Ja, Freelancer übernehmen eine eigene Fachverantwortung (z. B. externe Buchhaltung, Rechtsberatung)

Unklar / noch nicht geregelt

Welche Arten von Daten werden im Produkt erhoben, verarbeitet und gespeichert?

Bsp. Login-Daten (Benutzername, E-Mail Adresse), Zahlungsdaten, Tracking-Daten.

Bitte eine Antwort angeben

Werden besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet (abgesehen vom HR Department)?

Bitte wähle eine Option

Werden im Unternehmen Entscheidungen getroffen, basierend auf automatisierten Verarbeitungen?

Beispiel: Ein Algorithmus bewertet und entscheidet über die Kreditwürdigkeit einer Person und anhand der Ergebnisse wird die Entscheidung über die Erteilung eines Kredits getroffen.

Nein

Wurden für einzelne Verarbeitungen bereits tiefergehende Abwägungen zwischen dem Interesse des Unternehmens und den Rechten der betroffenen Personen (Datenschutz-Folgenabschätzung) vorgenommen?

Erklärung: Die DSGVO verlangt, dass für Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen mit sich bringen (bspw. Videoüberwachung), eine separate Beurteilug durchgeführt werden muss.

Nein

Besteht ein (dokumentierter) Prozess für die Behandlung und Bearbeitung von Betroffenenanfragen?

Betroffenenanfragen sind z.B. Auskunft / Löschung / Berichtigung

Nein

Besteht ein (dokumentierter) Prozess, wie mit der Löschung von Daten und den damit zusammenhängenden Aufbewahrungspflichten umgegangen werden sollte (Löschkonzept)?

Nein

Gab es in der Vergangenheit eines der folgenden Themen im Unternehmen?

Betroffenenanfragen (DSR/DSAR) wurden gestellt

Kontakt mit der Aufsichtsbehörde (ASB) wegen Datenschutz

Datenschutzvorfälle / Data Breaches

Keine davon

Wird der Zugriff zu Systemen / Ordnern / IT-Infrastruktur auf diejenigen Mitarbeiter:innen eingeschränkt, die diesen tatsächlich brauchen?

Nein

Wird die IT-Infrastruktur regelmäßig externen Audits unterzogen?

(bspw. ISO 27001, TÜV)?

Nein

Kann es bewerkstelligt werden, dass Systeme und Datensammlungen im Falle des Verlusts / Zerstörung wiederhergestellt werden können?

Nein

Welche Formen von Remote Work sind im Unternehmen erlaubt?

Home Office

Remote Work (Cafè, Zug, Co-Working-Space)

Workation (Arbeit aus dem Ausland, innerhalb der EU)

Workation außerhalb der EU

Unklar / nicht geregelt

Wie erfolgt der externe Zugriff auf Systeme oder das Unternehmensnetzwerk?

Über VPN (Virtual Private Network)

Direkt über Cloud-Services (z. B. Microsoft 365, Google Workspace, SaaS-Tools)

Remote Desktop / Citrix / Terminalserver

Kombination (VPN + Cloud)

Kein gesicherter Remote-Zugriff / unsicher

Unklar / nicht geregelt

Können Mitarbeiter:innen selbstständig auf den IT-Geräten (des Unternehmens) Software / Tools installieren?

Nein

Verwendet das Unternehmen eine Art von Überwachungsmaßnahme wie etwa Videoüberwachung, GPS-Tracking oder Mikrofone?

Nein

Wie wird im Unternehmen Marketing betrieben (E-Mail, Events, CRM)?

E-Mail-Marketing mit Double-Opt-In (DOI)

E-Mail-Marketing ohne DOI / mit alten Listen

Einwilligungen werden dokumentiert (Consent-Management vorhanden)

Kein klares Consent-Tracking / Consent-Prozess unklar

Newsletter mit funktionierendem Opt-out / Abmeldelink

Unsubscribe/Suppression-Listen werden nicht oder unvollständig geführt

Newsletter-Tracking (Öffnungs-/Klicktracking, individuelle Auswertungen) wird eingesetzt

Wie erfolgt die Ansprache von Leads und Kunden im Vertrieb (Outreach)?

Cold E-Mails (ohne vorheriges Consent)

Cold Calls

Nur Warm Leads (z. B. Website-Signups, Eventkontakte)

Leads über externe Anbieter / gekaufte Listen

Opt-outs werden dokumentiert und respektiert

Kein klarer Opt-out-Prozess

Werden Mitarbeiter:innen (die mit pers. Daten arbeiten) zur Vertraulichkeit verpflichtet?

Nicht gemeint ist die arbeitsvertragliche Verpflichtung zur Verschwiegenheit von Geschäftsgeheimnissen. Es geht um die Verpflichtung zur Einhaltung der DSGVO-Vorgaben.

Nein

Besteht eine Mitarbeiter:innen Datenschutzinformation?

Datenschutzinformationen werden nicht nur für die Website gebraucht, sondern auch bspw. für das Beschäftigungsverhältnis.

Nein

Bestehen im Unternehmen bereits Datenschutzrichtlinien (z.B. Password-Policy, Umgang mit Lieferanten, Umgang mit personenbezogenen Daten)?

Bitte wähle eine Option

Nein

Bitte nenne uns, welche Richtlinien bereits bestehen:

Bspw. Passwort - Richtlinie, IT-Sicherheits Richtlinie

Richtlinie(n):

Please specify an answer

DSGVO Questionnaire

Besteht das Unternehmen aus mehreren juristischen Personen / Gesellschaften?

Bitte lade ein Organigramm der Konzernstruktur hoch.

Sind Unternehmensgesellschaften in einem Drittland?

Bitte liste die relevanten Drittländer auf.

Werden Daten zwischen den einzelnen Unternehmensgesellschaften ausgetauscht?

Wurden Verträge zur Verarbeitung von Daten zwischen den Unternehmen abgeschlossen (bspw. Auftragsverarbeitungsverträge, andere Verträge)?

Besteht ein Betriebsrat?

Bitte beschreibe (kurz und knapp) die Haupttätigkeit/en des Unternehmens.

Wird in eurem Unternehmen Künstliche Intelligenz (AI) genutzt – entweder intern durch Mitarbeitende oder als Bestandteil eurer Produkte/Dienstleistungen?

Bitte füge hier die Links / Informationen zu den betriebenen Websites/Plattformen/Apps ein.

Wird ein Newsletter auf der Website eingesetzt?

Welcher Dienstleister?(z.B. Mailchimp, HubSpot, Brevo)

Gibt es ein Karriereportal oder eine Bewerbungsmöglichkeit?

Welcher Dienstleister?(z.B. Personio, Workday, eigenes Formular)

Wird ein Live-Chat auf der Website genutzt?

Welcher Dienstleister?(z.B. Intercom, Drift, Tidio)

Gibt es eine Demo- oder Terminbuchungs-Seite?

Welcher Dienstleister?(z.B. Calendly, Cal.com, HubSpot Forms)

Besteht ein Verzeichnis in dem dokumentiert ist, welche Datenverarbeitungen es im Unternehmen gibt?

Das kann eine Auflistung der einzelnen Geschäftsprozesse der jeweiligen Abteilungen sein, aus der hervorgeht welche Daten, wie und warum verarbeitet werden.

Beispiele für einzelne Verarbeitungstätigkeiten: Lead Generation, Betrieb der Unternehmenswebsite, Customer Relationship Management

Für den Fall, dass das Unternehmen ein Service Provider ist (Bsp. Angebot einer Software im Bereich Compliance): Besteht dafür eine eigene Dokumentation?

Bitte liste die einzelnen Abteilungen eures Unternehmens gemäß dem unten angeführten Beispiel auf.

Bsp:

HR-Department

Finance

Legal

...

Wer ist die interne Ansprechperson für Datenschutz (Datenschutz-Koordinator:in)?

Wer genehmigt und überprüft Datenschutz- und Sicherheitsrichtlinien sowie Entscheidungen?

Wer ist für IT-Sicherheit / Systemadministration verantwortlich (z.B. IT-Admin, Head of IT)

Gibt es weitere relevante Rollen im Zusammenhang mit Datenschutz & Sicherheit (z. B. CISO)?

Werden Freelancer im Unternehmen eingesetzt und wenn ja, in welcher Rolle?

Welche Arten von Daten werden im Produkt erhoben, verarbeitet und gespeichert?

Werden besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet (abgesehen vom HR Department)?

Werden im Unternehmen auch Daten von Kindern verarbeitet?

Kinder im Sinne der DSGVO sind 1-15 Jahre alt.

Werden im Unternehmen Entscheidungen getroffen, basierend auf automatisierten Verarbeitungen?

Beispiel: Ein Algorithmus bewertet und entscheidet über die Kreditwürdigkeit einer Person und anhand der Ergebnisse wird die Entscheidung über die Erteilung eines Kredits getroffen.

Wurden für einzelne Verarbeitungen bereits tiefergehende Abwägungen zwischen dem Interesse des Unternehmens und den Rechten der betroffenen Personen (Datenschutz-Folgenabschätzung) vorgenommen?

Erklärung: Die DSGVO verlangt, dass für Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen mit sich bringen (bspw. Videoüberwachung), eine separate Beurteilug durchgeführt werden muss.

Besteht ein (dokumentierter) Prozess für die Behandlung und Bearbeitung von Betroffenenanfragen?

Betroffenenanfragen sind z.B. Auskunft / Löschung / Berichtigung

Besteht ein (dokumentierter) Prozess, wie mit der Löschung von Daten und den damit zusammenhängenden Aufbewahrungspflichten umgegangen werden sollte (Löschkonzept)?

Besteht ein (dokumentierter) Prozess, wie mit Data Breaches umgegangen wird (bspw. Hacker-Angriff)?

Gab es in der Vergangenheit eines der folgenden Themen im Unternehmen?

Sind in der Vergangenheit Mitarbeiter:innen Schulungen zum Thema Datenschutz durchgeführt worden?

Wird der Zugriff zu Systemen / Ordnern / IT-Infrastruktur auf diejenigen Mitarbeiter:innen eingeschränkt, die diesen tatsächlich brauchen?

Ist die Nutzung von privaten IT-Geräten (Bsp. Smartphone) für die Arbeit erlaubt?

Ist die Nutzung des Unternehmensnetzwerk (Internet, E-Mail oder IT-Geräte) für private Zwecke erlaubt?

Wird die IT-Infrastruktur regelmäßig externen Audits unterzogen?

Kann es bewerkstelligt werden, dass Systeme und Datensammlungen im Falle des Verlusts / Zerstörung wiederhergestellt werden können?

Ist Remote Work im Unternehmen erlaubt (z. B. Home Office oder Workation)?

Welche Formen von Remote Work sind im Unternehmen erlaubt?

Wie erfolgt der externe Zugriff auf Systeme oder das Unternehmensnetzwerk?

Können Mitarbeiter:innen selbstständig auf den IT-Geräten (des Unternehmens) Software / Tools installieren?

Gibt es ein IT-Sicherheitskonzept / Technische und organisatorische Maßnahmen (TOM)?

Verwendet das Unternehmen eine Art von Überwachungsmaßnahme wie etwa Videoüberwachung, GPS-Tracking oder Mikrofone?

Bitte gib die konkrete Form

der Überwachung an.

Wie wird im Unternehmen Marketing betrieben (E-Mail, Events, CRM)?

Wie erfolgt die Ansprache von Leads und Kunden im Vertrieb (Outreach)?

Werden Mitarbeiter:innen (die mit pers. Daten arbeiten) zur Vertraulichkeit verpflichtet?

Besteht eine Mitarbeiter:innen Datenschutzinformation?

Besteht eine Bewerber:innen Datenschutzinformation?

Bestehen im Unternehmen bereits Datenschutzrichtlinien (z.B. Password-Policy, Umgang mit Lieferanten, Umgang mit personenbezogenen Daten)?

Bitte nenne uns, welche Richtlinien bereits bestehen:

In welcher/n Sprache/n werden die Dokumente / Richtlinien benötigt?

Welche der folgenden Frameworks könnten in Zukunft für dein Unternehmen relevant sein?

Vielen Dank!

Error

Sorry, your response could not be sent. Please check your internet connection.

Welcher Dienstleister?
(z.B. Mailchimp, HubSpot, Brevo)

Welcher Dienstleister?
(z.B. Personio, Workday, eigenes Formular)

Welcher Dienstleister?
(z.B. Intercom, Drift, Tidio)

Welcher Dienstleister?
(z.B. Calendly, Cal.com, HubSpot Forms)