Datenschutzdokumentation in KMU: Vortrag bei der IHK München

Am 27.05.2019 spricht Hauke Holtkamp, Geschäftsführer der ECOMPLY GmbH, bei der IHK als Gastredner zum Thema "Digitalisierung des Datenschutzes".

Titel des Vortrags

27.05.2019 16:00-16:30 Uhr

Zur Veranstaltung

Inhalt des Vortrags ist die Umsetzungsempfehlung für Datenschutz in kleinen und mittelständischen Unternehmen anhand einer Musterfirma. Insbesondere wird auf folgende Themen eingegangen:

  • Öffentliche Angaben (Informationspflichten)
  • Sensibilierung im eigenen Unternehmen
  • Digitale Datenschutzdokumentation

Teil der Veranstaltung sind Staatsekretär Roland Weigert (Bayerisches Staatsministerium für Wirtschaft, Landesentwicklung und Energie)
und IHK-Hauptgeschäftsführer Dr. Manfred Gößl.

Wir freuen uns auf Ihren Besuch.


Eine Anleitung für die Datenschutz-Folgenabschätzung

Eine Anleitung für die Datenschutz-Folgenabschätzung

Unternehmen können aufgrund der rasanten technologischen Entwicklung neue und innovative Geschäftsmodelle entwickeln.

Allerdings ändern Unternehmen ihre Arbeitsweise oft in einer Art und Weise, welche eine Verarbeitung großer Datenmengen erfordert. In diesem Fall müssen diese dann eine Datenschutz-Folgenabschätzung durchführen. Diese hilft Ihnen dabei, die Vorschriften besser zu verstehen und umzusetzen, was wiederum hilft, DSGVO Bußgelder zu vermeiden.

Jedes Mal, wenn Sie etwas ändern, müssen Sie gemäß der Datenschutz Grundverordnung (DSGVO) eine Folgenabschätzung durchführen. Die von Ihnen eingeleitete Änderung kann sowohl technologisch als auch strukturell sein. Unabhängig von der Art der Änderung müssen Sie eine Folgenabschätzung durchführen.

Wenn Sie keine Datenschutz-Folgenabschätzung durchführen, kann dies zu Geldbußen über 20 Millionen Euro oder 4% Ihres Jahresumsatzes führen, je nachdem welcher Betrag höher ist.

In diesem Artikel möchten wir Unternehmen ein grundlegendes Verständnis zum Thema Datenschutz-Folgenabschätzung vermitteln. Wir geben Ihnen auch Tipps, wie Sie eine solche durchführen können um DSGVO Bußgelder zu vermeiden.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

In unseren Recherchen das Thema betreffend haben wir noch keine endgültige Antwort auf diese Frage gefunden.

DSGVO Experten können sich nicht ausreichend dazu äußern.

Durch unsere Arbeit mit dem Thema konnten wir aber einige Anhaltspunkte finden, die zu verstehen helfen, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht. Nachfolgend finden Sie die wichtigsten Punkte. Wenn einer oder mehrere dieser auf sie zutrifft, ist eine Datenschutz-Folgenabschätzung empfehlenswert, um DSGVO-Geldbußen zu vermeiden:

 

  • Wenn Ihr Unternehmen Daten zu speziellen Kategorien verarbeitet (siehe Definition von Datenkategorien, die in der DSGVO erwähnt sind, um mehr zu erfahren).
  • Unternehmen/Organisationen, die Daten in großem Umfang verarbeiten (siehe Abschnitt Definition von großen Datenmengen).
  • Wenn Ihre Organisation/Firma von Individuen Profile erstellt.
  • Wenn Ihr Unternehmen/Organisation seine Dienstleistungen/Produkte direkt an Kinder richtet.

 

Artikel 35 DSGVO erlaubt es den Datenschutzbehörden auch, schwarze Listen der Verarbeitungs-Tätigkeiten zu erstellen. Diese Listen enthalten alle Aktivitäten, für die Sie eine Datenschutz-Folgenabschätzung durchführen müssen, um DSGVO-Bußen zu vermeiden.

Sie können diese auch Ihrer Datenschutz-Folgenabschätzung-Vorlage hinzufügen, um später darauf zurückzukommen. Hier ist eine Liste, die sich die deutschen Behörden ausgedacht haben.

 

Im Folgenden finden Sie die Antwort von Daniela Duda (einer renommierten Spezialistin in Deutschland) auf diese Frage.

Was ist eine Datenschutz-Folgenabschätzung?

Die Europäische Union (EU) hat die Datenschutz-Folgenabschätzung als Instrument im Rahmen der Datenschutz Grundverordnung (DSGVO) eingeführt. Die DSGVO empfiehlt sie, um die Risiken, die Verarbeitungstätigkeiten in einem Unternehmen mit sich bringen, besser einschätzen zu können.

Wenn Sie eine neue Technologie in Ihrem Unternehmen einführen, die Verarbeitungstätigkeiten automatisiert, müssen Sie eine Bewertung durchführen. Sie hilft, die Risiken der Verarbeitung zu bewerten und letztendlich zu reduzieren. Wenn Sie zu dem Schluss kommen, dass eine Verarbeitungstätigkeit zu einem erheblichen Schaden für die betroffenen Personen führen kann, konsultieren Sie bitte auch Ihre Datenverarbeitungsvereinbarung.

Die Datenschutz-Folgenabschätzung hilft Ihnen bei der Organisation Ihrer Projekte und gleichzeitig, die Geldbußen der DSGVO zu umgehen.

Was sagt die DSGVO über die Datenschutz-Folgenabschätzung?

Gemäß Artikel 35 sind Sie als Controller für die Durchführung einer Abschätzung verantwortlich:

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) ….

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Artikel 35 Absatz 3 DSGVO (siehe oben) legt die Regeln fest, wann genau eine Bewertung durchgeführt werden muss. Kurz gesagt, es heißt, dass Sie für jede Art von Verarbeitung eine Folgenabschätzung durchführen müssen.

Besonders wichtig wird es, wenn Sie neue Technologien einführen und analysieren, wie Daten mit diesen Technologien verarbeitet werden.

Darüber hinaus müssen Sie Art, Umfang, Kontext und Zweck der Verarbeitung selbst berücksichtigen. Wenn Sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen erkennen, dann müssen sie das Projekt neu planen, um diese Risiken zu minimieren. Sie müssen vor Projektbeginn eine Datenschutz-Folgenabschätzung integrieren. Als Verantwortlicher müssen Sie sich zudem bei hohen Risiken mit der zuständigen Datenschutzbehörde abstimmen.

Wenn Sie die Datenschutz-Folgenabschätzung erstellen oder für die Verwendung durch Ihr Unternehmen anpassen, fügen Sie den Artikel der DSGVO hinzu. Diese kann dann als Orientierungsgrundlage herangezogen werden und man kann sich jederzeit darauf berufen.

Definition von Art, Umfang und Kontext

Damit das leichter zu verstehen ist, hier ein Beispiel:

Ein Krankenhaus erfasst und verarbeitet die Gesundheitsdaten seiner Patienten.

Die Art der Daten ist dabei der Datentypen der verarbeitet wird.

Zum Beispiel, ein Arzt nimmt eine Blutprobe und auf der Basis dieser Blutprobe verschreibt er eine Behandlung oder ein Medikament, damit sich die Person erholen kann.

 

Diese Daten werden nach der DSGVO als PII kategorisiert. Der Umfang der Verarbeitung ist durch die Reichweite der Verarbeitungstätigkeit definiert - im Wesentlichen also wer Zugriff auf die Daten hat und wie viele Daten verarbeitet werden.

In unserem Beispiel untersucht ein Arzt 30 Patienten und erfasst ihre Informationen. Diese Daten können dann von 15 Ärzten, die Zugriff auf sie haben, verarbeitet werden, aber nicht von z.B. Pflegekräfte ohne diese Zugangsberechtigung.

Auch die Verarbeitung ist nicht automatisiert. Ein Arzt kann sich die gespeicherten Daten ansehen, aber es gibt keinen Algorithmus, der sie analysiert und eine Diagnose vorschlägt. In Zukunft können diese 15 Ärzte diese Daten auch zur Diagnose der Patienten nutzen, wie lang in die Zukunft muss jedoch auch in den Aufzeichnungen der Datenverarbeitungsvorgänge festgelegt sein, z.B. 5 Jahre. In diesem Beispiel wäre daher der Umfang der Verarbeitungstätigkeiten 30 Untersuchungsunterlagen, die von 15 Zugriffsberechtigten für 5 Jahre, nicht automatisiert verarbeitet werden können.

Der Kontext ist definiert als die Situation, in der die Daten erfasst und verarbeitet werden.

In diesem Fall ist es das Krankenhaus und die Rechtsgrundlage ist die Zustimmung. Wenn also ein Patient im Krankenhaus aufgenommen wird, muss dieser ausdrücklich seine Zustimmung zur Datenverarbeitung erteilen. Wenn dieser Patient, zu einem späteren Zeitpunkt wieder im Krankenhaus ist und die gleiche Art der Daten auf die gleiche Art verarbeitet werden, ist keine erneute Zustimmung notwendig. Wenn sich der Verarbeitungsprozess jedoch ändert ist in jedem Fall eine Zustimmung notwendig.

All diese Dinge, Art, Umfang und Dauer der Verarbeitungstätigkeit, müssen in der Datenschutz-Folgenabschätzung erwähnt und beschrieben werden.

Definition von Datenkategorien im Rahmen der DSGVO

Wenn Sie diese Kategorien verstehen, können Sie oder ihre Projektleiter problemlos Datenkategorien unterscheiden und eine Datenschutz-Folgenabschätzung durchführen.

 

Die Allgemeine Datenschutzverordnung definiert personenbezogene Daten als alle Informationen aufgrund derer eine natürliche Person identifiziert werden kann.

Diese Daten können berufliche Daten oder privater Natur sein. Dazu gehören auch Daten, durch die eine indirekte Identifikation mit Hilfe von Querverweisen möglich ist.

Ein Beispiel ist eine Matrikelnummer, die Ihnen an der Universität zugewiesen wurde, oder Ihre IP-Adresse.

Art 9 DSGVO legt fest in welcher Art und Weise besonders sensible Daten verarbeitet werden können. Dabei ist zu beachten, dass die DSGVO sensible Daten als solche Informationen definiert, welche Hinweise auf die rassische und ethnische Herkunft oder politische bzw. religiöse Ansichten einer Person geben könnten. Darunter fallen auch alle Daten, die die Gewerkschaftszugehörigkeit, Gesundheitsdaten oder andere biometrische Daten offenlegen.

Wenn Sie sensible oder personenbezogene Daten verarbeiten, müssen Sie dies, gem. DSGVO, in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Diese Protokollführung ist für die gesamte Datenverarbeitung erforderlich.

 

Weitere Datenkategorien

 

Hier sind einige weitere Definitionen, gem. Pegasystems, die Sie vielleicht nützlich finden könnten:

Daten über Gesundheit werden der DSGVO als personenbezogene Daten definiert, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Dazu gehört auch die Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand eines Patienten preisgeben können.

 

Genetische Daten werden laut DSGVO als personenbezogene Daten definiert, die sich auf vererbte oder erworbene genetische Merkmale einer Person beziehen. So auch Daten, die einzigartige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern. Es sind alle Daten, die Sie aus einer Analyse einer biologischen Probe von der betreffenden natürlichen Person erhalten.

 

Biometrische Daten sind personenbezogene Daten aus spezifischen technischen Verarbeitungsprozessen, die sich auf die physikalischen, physiologischen oder verhaltensmäßigen Eigenschaften einer Person beziehen. Es sind alle Daten, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen. Beispiele sind Gesichtsbilder oder daktyloskopische Daten.

(Pegasystems, 2018)

 

Definition von Datenverarbeitung im Großen Umfang

 

Die Verarbeitung von Daten im "großen Stil" ist schwer zu definieren, und es wird viel über die genaue juristische Bedeutung des Begriffes diskutiert.

Wenn Sie nun jedoch Daten in großem Umfang verarbeiten, müssen Sie eine Datenschutz-Folgenabschätzung durchführen, um keine DSGVO-Bußen zu erhalten. Also wann genau ist das notwendig?

Nach EC Europa:

"Die DSGVO definiert nicht, was ein Großprojekt ist.

Die WP29 empfiehlt, bei der Entscheidung, ob eine Verarbeitung in großem Umfang erfolgt, insbesondere die folgenden Faktoren zu berücksichtigen:

 

  • Die Anzahl der betroffenen Personen - entweder als eine bestimmte Anzahl oder als Anteil an der relevanten Bevölkerung.

 

  • Datenvolumen und/oder die Bandbreite der verschiedenen zu verarbeitenden Datenelemente
  • geplanten Verlauf und die bisheriger Dauer der Datenverarbeitungstätigkeit
  • Geografischer Umfang der Verarbeitungstätigkeit”

 

 

 

Was wir sicher wissen:

  • Wenn Sie Daten der Sonderkategorie verarbeiten, müssen sie, selbst wenn sie nur einen Datensatz haben, eine Datenschutz-Folgenabschätzung durchführen.
  • Als Freiberufler benötigen Sie bei einer überdurchschnittlich großen Anzahl von Datensätzen, eine Folgenabschätzung. Beispiele für Freelancer sind Ärzte, Anwälte oder andere Berufe, die mit Kunden zu tun haben. Eine beliebige Anzahl von Personen, die in Ihrem Fachgebiet über dem Durchschnitt liegt, gilt als großer Umfang.
  • Ebenso benötigen Sie als Unternehmen, in dem die Datenverarbeitung ein integraler Bestandteil Ihres Unternehmens ist, eine Datenschutz-Folgenabschätzung. Wenn es sich um eine regelmäßige Tätigkeit handelt, können Sie anhand der folgenden Faktoren begründen, warum Sie oder warum Sie keine Daten in großem Umfang verarbeiten: Anzahl der betroffenen Personen, Umfang der personenbezogenen Daten und geografische Standorte.

Hier sind einige Beispiele, die Sie in Ihre Datenschutz-Folgenabschätzung Vorlage integrieren können:

"...Verarbeitung von Patientendaten im regulären Geschäftsbetrieb durch ein Krankenhaus, Verarbeitung von Reisedaten von Einzelpersonen mit Hilfe des öffentlichen Personennahverkehrs einer Stadt (z.B. Tracking über Fahrkarten), Verarbeitung von Echtzeit-Geo-Standortdaten von Kunden einer internationalen Fast-Food-Kette zu statistischen Zwecken durch einen auf diese Tätigkeiten spezialisierten Prozessor, Verarbeitung von Kundendaten im regulären Geschäftsbetrieb durch eine Versicherungsgesellschaft oder eine Bank Verarbeitung von personenbezogenen Daten für verhaltensorientierte Werbung durch eine Suchmaschine, Verarbeitung von Daten (Inhalt, Verkehr, Standort) durch Telefon- oder Internetanbieter. [All diese stellen groß angelegte Verarbeitung dar]

 

Beispiele, die keine groß angelegte Verarbeitung darstellen, sind:

die Verarbeitung von Patientendaten durch einen einzelnen Arzt Bzw. Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt"

(EC Europa, 2018)

Als Leitfaden für Ihre Datenschutz-Folgenabschätzung, der Ihnen effektiv hilft, Bußgelder zu vermeiden, können Sie diese Beispiele in Ihre Datenschutz-Folgenabschätzungs-Vorlage aufnehmen, um diese als Werkzeug zum Verständnis des Prozesses zu nutzen. Verschiedene Projektmanager können sich dann auf das gleiche Dokument beziehen.

Wann ist es notwendig, eine Datenschutz-Folgenabschätzung durchzuführen?

 

Sie müssen eine Datenschutz-Folgenabschätzung, wenn Sie systematisch und umfassend Daten erfassen. Sie müssen sie auch durchführen, wenn Sie wichtige Entscheidungen über Menschen treffen. Vor allem, wenn dies durch automatisierte Prozesse oder Algorithmen geschieht. Wenn Sie neue Technologien zur groß angelegten Datenverarbeitung einsetzen, müssen Sie eine Folgenabschätzung durchführen.

 

Wenn Sie eine Technologie verwenden, die Daten einer besonderen Kategorie oder Daten zu Straftaten verarbeitet, muss eine Bewertung durchgeführt werden. Jede Technologie, mit der Sie personenbezogene Daten und Daten zu Straftaten verarbeiten, benötigt eine entsprechende Datenschutz-Folgenabschätzung.

 

Wenn Sie Profiling verwenden, führen automatisierte Entscheidungsfindung und Verarbeitung von Daten spezieller Kategorien dazu, dass eine Folgenabschätzung notwendig wird. Besonders wenn Sie diese Prozesse nutzen, um Entscheidungen über Opportunities zu treffen und den Zugang zu diesen Opportunities, Dienstleistungen oder Unterstützungsleistungen zu erhalten. Zum Beispiel, um einen Telefon- oder Netzvertrag von einem Träger oder ein Darlehen von einer Bank zu erhalten.

 

Regelmäßige und systematische Verarbeitung

Wenn Ihre Organisation eine regelmäßige und systematische Überwachung durchführt, ist eine Datenschutz-Folgenabschätzung erforderlich.

EC Europa fasst den Begriff der systematischen Überwachung zusammen:

"Der Begriff der regelmäßigen und systematischen Überwachung von betroffenen Personen ist in der DSGVO nicht definiert. Aber sie umfasst eindeutig alle Formen der Ortung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung. Der Begriff der Überwachung ist jedoch nicht auf die Online-Umgebung beschränkt."

Wenn Sie Daten aus mehreren Quellen kombinieren und darauf zugreifen, um sie zu vergleichen oder abzugleichen, wird auch die Erstellung einer Datenschutz-Folgenabschätzung empfohlen. Zum Beispiel die Erstellung von Käufer-Profilen aus Daten, die Sie aus öffentlichen Profilen in den sozialen Medien oder dem Online-Shopping-Verhalten erhalten. Wenn Sie den Online- oder Offline-Standort verfolgen und Daten durch ihn generieren, ist eine Datenschutz-Folgenabschätzung auch unerlässlich.

Wenn Ihr Unternehmen personenbezogene Daten von Kindern verarbeitet, müssen Sie eine Bewertung durchführen. Selbst wenn Sie dies durch automatisierte Entscheidungsfindung oder für das Marketing tun, erfordert dies eine Folgenabschätzung. Die werden sich auch von der zuständigen Datenschutzbehörde beraten lassen müssen, wenn die Dienstleistung oder das Produkt direkt an Minderjährige vermarktet wird.

Wenn Sie feststellen, dass die Verarbeitung personenbezogener Daten zu einem Risiko von Körperverletzungen führen kann, ist eine Bewertung erforderlich. Körperliche Schäden im Rahmen der DSGVO gelten als sehr schwerwiegend.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

Unternehmen müssen vor Projektbeginn, insbesondere jedoch vor Beginn der Datenverarbeitung, eine Datenschutz-Folgenabschätzung durchführen.

Schritt 1: Beschreibung der Verarbeitung

Sie müssen Art, Umfang, Kontext und Zweck der Verarbeitung detailliert beschreiben. Stellen Sie sicher, dass Sie Ihre Datenverarbeiter bitten, mit Ihnen zu kooperieren, um die von Ihnen durchgeführten Verarbeitungstätigkeiten vollständig zu verstehen, zu dokumentieren und alle damit verbundenen Risiken zu identifizieren.

Wenn Sie beispielsweise das Einkaufsverhalten verfolgen, würden Sie den Umfang des Trackings definieren. Was genau verfolgen Sie? Verfolgen Sie, was die Verbraucher kaufen, welche Produkte sie betrachten, wie lange sie sich ein Produkt ansehen? Das muss klar und deutlich zum Ausdruck gebracht werden.

Sie müssen auch angeben, warum genau Sie das Tracking durchführen: um nützliche, personalisierte Empfehlungen abzugeben. Beantworten Sie die Frage, wie Sie die Daten schützen, wo sich die Server befinden, was ist die Notwendigkeit der Verarbeitungstätigkeit und grundsätzlich alle Fragen, die Sie sich stellen würden, wenn Sie Ihre Aufzeichnungen der Verarbeitungstätigkeit erstellen. All diese Informationen müssen für jede Verarbeitungstätigkeitt dokumentiert werden.

Schritt 2: Identifizieren Sie die Risiken der Verarbeitungstätigkeit

Arbeiten Sie mit Ihrem Team zusammen, um alle Risiken zu identifizieren, die diese Aktivität für die Rechte und Freiheiten der Personen, von denen Sie die Daten erfassen, mit sich bringen könnte. Prüfen Sie, ob die Verarbeitung für Ihre Zwecke notwendig und verhältnismäßig ist und beschreiben Sie, wie Sie die Einhaltung der Datenschutzvorschriften sicherstellen. Die Bewertung der Schwere der Risiken für die Rechte und Interessen eines Individuums muss so objektiv wie möglich erfolgen.

Schritt 3: Dokumentieren Sie alles!

All dies müssen Sie für Ihre Datenschutz-Folgenabschätzung dokumentieren, einschließlich aller Unstimmigkeiten, die Sie mit Ihrem Datenschutzbeauftragten (DSB) haben. Nach der Dokumentation können Sie die Maßnahmen, in Sie in Ihre Projektplanung integriert haben, umsetzen.

Hauke Holtkamp rät Unternehmen, "...Statistiken zu verfolgen, anstatt Profile zu erstellen." Er arbeitet am Beispiel von ECOMPLY.io:

"Wir wollen verstehen, wie unsere Nutzer jeden Schritt durchlaufen, um die Anforderungen der DSGVO zu erfüllen und um zu sehen, wie viel Zeit unsere Nutzer für jeden Schritt aufwenden, damit wir die App besser machen können, indem wir die Schritte weiter analysieren, bei denen die meisten User Probleme haben. Das kann leicht anonym nachvollzogen werden, indem wir keine Profile unserer Benutzer erstellen. Wir sehen uns  einfach nur Statistiken über jeden Schritt an. Auf diese Weise integrieren wir die Prinzipien des Datenschutzes in unsere App."

Indem man diesem Ratschlag folgt, kann man verhindern, dass eine Datenschutz-Folgenabschätzung überhaupt notwendig wird.

Herausforderungen bei der Durchführung  der Datenschutz-Folgenabschätzung

Wenn Unternehmen externe Parteien mit der Durchführung einer Datenschutz-Folgenabschätzung beauftragen, besteht die Herausforderung darin, dass Kunden die Folgenabschätzung nicht durchführen wollen, da sie sich nicht bewusst sind, was sie darstellt und welche Folgen sie haben könnte. Daher besteht in der Regel die Befürchtung, dass die Durchführung einer solchen Maßnahme zu eingeschränkten Geschäftspraktiken und -optionen führen könnte.

Ein weiteres Problem ist der Mangel an Informationen, die notwendig sind, eine Folgenabschätzung vollständig durchzuführen. Dies hat zwei Gründe: Zum einen ist die DSGVO relativ neu und es bestehen viele Unklarheiten und zum Anderen ist nur ein kleiner Prozentsatz aller Unternehmen mit der Verordnung konform. Das bedeutet, dass sie sich ihrer Datenpfade und -verläufe nicht vollständig bewusst sind, was die Dokumentation im DPIA etwas schwierig macht.

Die Datenschutz-Folgenabschätzung hat auch die negative Konnotation, dass sie äußerst mühsam und zeitaufwändig ist. Dies entmutigt die Unternehmen, eine Einschätzung vorzunehmen oder Zeit und finanzielle Mittel in sie zu investieren, selbst wenn sie mit hohen Geldbußen rechnen müssen.

Hauke Holtkamp, Mitbegründer von ECOMPLY.io, sagt nach einem Kundengespräch:

"Die größte Herausforderung für unsere Kunden ist es, herauszufinden, wo sie anfangen sollen, da es im Moment nicht viel Referenzmaterial gibt. Außerdem hängen viele Geschäftsmodelle von einigen nicht konformen Prozessen ab. Eine Folgenabschätzung ist jedoch ein nützliches Instrument, um zu erkennen, wo in Ihrem Unternehmen regelwidrige Prozesse stattfinden."

Vorteile einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutz-Folgenabschätzung vor Projektbeginn ermöglicht es Ihnen, den Informationsfluss innerhalb des Projekts von Anfang an zu verfolgen.

  • Es wird Ihre Kommunikation zum Thema Datenschutz mit verschiedenen Interessengruppen verbessern.
  • Sie können bei Ihren Benutzern und Kunden das Vertrauen gewinnen, dass Sie ihre Daten verantwortungsbewusst verarbeiten.
  • Ihr Unternehmen kann sicherstellen, dass Ihre Nutzer nicht gefährdet sind, und die Kosten, für den Fall, dass ein Sicherheitsverstoß auftritt, reduzieren.
  • Es hilft Ihnen auch, die Betriebskosten zu senken, indem es den Informationsfluss optimiert.
  • Sie vermeiden DSGVO-Geldbußen, indem Sie die Einhaltung der Vorschriften sicherstellen.

Fazit

Die DSGVO ist noch eine relativ neue Gesetzgebung und Datenschutz-Folgenabschätzungen wurde zu diesem Zeitpunkt noch nicht von vielen Unternehmen durchgeführt. Es ist zunächst äußerst wichtig, den gesamten Datenfluss Ihres Unternehmens abzubilden, um zu verstehen, wie Daten durch Ihr Unternehmen fließen und verarbeitet werden.

Ihr Unternehmen sollte auch Mitarbeiter schulen, um festzustellen, wann Datenschutz-Folgenabschätzungen benötigt werden. Sie sollten dies als integralen Bestandteil der Compliance betrachten. Im Allgemeinen sollten Sie eine Datenschutz-Folgenabschätzunge für alle neuen Prozesse oder Organisationsmaßnahmen durchführen, die Sie ändern.

Laut Hauke Holtkamp:

“Eine Datenschutz-Folgenabschätzung zur Vermeidung von DSGVO-Strafzahlungen ist als Unternehmen unglaublich schwer durchführbar. Das erste, was Sie tun sollten, ist die Struktur Ihrer Prozesse zu strukturieren. Erstellen sie eine geordnete Liste der Prozesse und gehen Sie diese wie eine Checkliste, die angibt, welches Verfahren "schädlich" und welches "harmlos" ist, durch. Dies erleichtert die Strukturierung der Folgenabschätzung.

Stellen Sie am Ende hohe Risiken für bestimmte Prozesse fest, stellen Sie sicher, dass Sie Maßnahmen ergreifen, um diese Risiken zu reduzieren.”


10 der größten DSGVO-Mythen entlarven

10 der größten DSGVO-Mythen entlarven

10 der größten DSGVO-Mythen entlarven

Lassen Sie uns 10 der größten DSGVO-Mythen entlarven, die heute weit verbreitet sind!

Nur noch 2 Wochen bis zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Panik schlägt um! Und davon angetrieben herrscht Paranoia um das, was getan werden muss. Gerüchte. Behauptungen. Und verrückte Ideen. In diesem Blog werden wir alle lächerlichen DSGVO-Mythen entlarven, die wir bisher gehört haben.

Mythos 1: Die DSGVO ist ein Gesetz der Europäischen Union (EU) und gilt nur für europäische Unternehmen.

Dieser spezifische Mythos stellt die Rahmenbedingungen für die Anwendung der DSGVO in Frage. Sie gilt mit Sicherheit nicht nur für europäische Unternehmen. Sie gilt für ALLE Unternehmen, die in irgendeiner Weise Daten von Personen mit Wohnsitz in der EU erheben, empfangen und verarbeiten. Darüber hinaus muss jedes Unternehmen, das betroffenen Personen innerhalb der EU Waren oder Dienstleistungen anbietet oder deren Verhalten in irgendeiner Weise überwacht, die Vorschriften einhalten, unabhängig vom Standort des Unternehmens. Tatsächlich ist es möglich, dass ein europäisches Unternehmen nur Daten von in Amerika ansässigen Personen verarbeitet. In diesem Fall gilt die DSGVO nicht für das Unternehmen. Grundsätzlich spielt es keine Rolle, wo das Unternehmen seinen Sitz oder seine Wurzeln hat, die Frage, nach der beurteilt werden sollte, ob die DSGVO gilt oder nicht, ist: "Wessen Daten werden angefasst?"

Mythos 2: Die DSGVO wurde geschaffen, um Unternehmen mit Geldbußen zu bestrafen.

Die Grundsätze, auf denen die DSGVO beruht, sind nicht die Bestrafung von Unternehmen, sondern vielmehr die Ermächtigung der Menschen zu mehr Kontrolle über ihre Daten und die Gewährleistung einer verantwortungsvollen Datenerhebung und -verarbeitung. Die möglichen Bußgelder, die verhängt werden könnten, wurden lediglich immer wieder genannt, um die Bedeutung der Compliance für Unternehmen zu untermauern. Zum jetzigen Zeitpunkt kann jedoch niemand vorhersagen, wie streng die Behörden diese Geldbußen verhängen werden, wenn überhaupt. Höchstwahrscheinlich werden sie den Unternehmen Aufschub gewähren und reichlich Spielraum lassen, wenn sie sehen, dass Anstrengungen unternommen werden, um die Anforderungen zu erfüllen. Nicht für jeden kleinen Verstoß werden Geldbußen verhängt. Das liegt daran, dass das Wesen der DSGVO im Kern eher ermächtigend als strafend ist.

Mythos 3: Die DSGVO ist nur für IT-Abteilungen und das obere Management bestimmt.

Die meisten Menschen, die an Datenschutz denken, kommen sofort zu dem Schluss, dass das etwas für die IT-Abteilung ist. Im Falle der DSGVO ist dies jedoch überhaupt nicht der Fall. Die DSGVO soll den Umgang mit Daten in Unternehmen reformieren, weshalb sie für jede Abteilung und jede Person innerhalb eines Unternehmens gilt und Verantwortlichkeiten für alle mit sich bringt. Prozesse müssen geschaffen werden, aber auch die Mitarbeiter müssen über die DSGVO aufgeklärt werden. So werden beispielsweise bei der Erfassung aller Verarbeitungstätigkeiten Vertreter aller Abteilungen eines Unternehmens einbezogen.

Mythos 4: Alle Verstöße, egal wie geringfügig, müssen den Datenschutzbehörden gemeldet werden.

Verstöße müssen den zuständigen Behörden gemeldet werden, dies gilt jedoch nur für solche Verstöße, bei denen eine Gefahr für die Rechte und Freiheiten der Menschen besteht. Es muss also nicht jeder Verstoß gemeldet werden.

Mythos 5: Alle Angaben müssen in dem Moment gemacht werden, in dem ein Verstoß innerhalb eines Unternehmens auftritt.

Wenn es einen Verstoß innerhalb eines Unternehmens gibt, sind Details dazu manchmal nicht sofort verfügbar. Unternehmen müssen selbst nachforschen, bevor sie alle notwendigen Informationen sammeln können. Die DSGVO berücksichtigt dies und räumt einen Zeitraum von 72 Stunden ein, um solche Fälle zu melden, sofern möglich. Einmal gemeldete Daten können bei Bedarf auch nach den vorgesehenen 72 Stunden zur Verfügung gestellt werden.

Mythos 6: Für jede Aktivität muss eine Einwilligung eingeholt werden.

Die allgemeine Auffassung von Unternehmen ist, dass die Einwilligung von Usern im Mittelpunkt der DSGVO steht. Ohne Zustimmung kann keine Datenverarbeitung durchgeführt werden. Diese Auffassung ist äußerst irreführend. Die DSGVO lässt verschiedene Möglichkeiten zu, eine Verarbeitungstätigkeit zu rechtfertigen, von denen die Einwilligung der betroffenen Person nur eine ist. Einige andere sind unten in der ECOMPLY-Anwendung zu sehen, in der Sie einfach eine Möglichkeit auswählen können, um die rechtliche Grundlage für eine Aktivität zu ermitteln.

Mythos 7: Im Rahmen der DSGVO müssen Sie erneut die Zustimmung aller Betroffenen einholen!

Nachdem wir also den ersten der DSGVO-Mythen über die Einwilligung im Rahmen der DSGVO zunichte gemacht haben, geht es im zweiten Fall speziell um die Aufforderung zur Einwilligung im Rahmen der DSGVO. Die meisten Unternehmen sind der Meinung, dass dies von Grund aufgetan werden muss, um DSGVO-konform zu sein. Einwilligungen, die nach der Datenschutzrichtlinie eingeholt wurden, genügen den DSGVO-Standards jedoch. Überprüfen Sie lediglich die Einwilligungen und den Standard, den die DSGVO dafür setzt.

Mythos 8: Die neuen Regeln zur Datenübertragbarkeit gelten für alle Unternehmen.

Datenübertragbarkeitsanforderungen sind nur dann gegeben, wenn die Rechtsgrundlage einer Verarbeitungstätigkeit auf Einwilligung oder vertraglicher Notwendigkeit beruht.  Wenn die Rechtsgrundlage ein berechtigtes Interesse, ein öffentliches Interesse oder eine andere laut DSGVO zulässige Bestimmung ist, gelten die Anforderungen nicht.

Mythos 9: Das Rechenzentrum muss in der EU sein!

Dies ist eine weitere häufige Fehlannahme. Das Rechenzentrum eines Unternehmens muss nicht in der EU liegen. Es kann sich auch in einem der Drittländer befinden, die die DSGVO zulässt. Grundsätzlich darf es nicht in einem Land liegen, in dem es keine Datenschutzbestimmungen gibt. Hier sehen Sie, was wir zu diesem Thema hilfreich fanden.

Mythos 10: Biometrische Daten sind sensible Daten.

Dies ist der verständlichste Irrtum, der sich bezüglich der DSGVO entwickelt hat. Biometrische Daten, die ein Unternehmen sammelt, sind wie alle anderen Daten nur dann sensibel, wenn sie aktiv zu Identifikationszwecken verwendet werden. Sie werden tatsächlich überwiegend zu Identifikationszwecken erhoben, aber wenn das nicht der Fall ist, müssen biometrische Daten nicht als sensible Daten behandelt werden.


DSGVO-Checkliste Für Anfänger

DSGVO-Checkliste Für Anfänger

DSGVO-Checkliste Für Anfänger

Diese DSGVO-Checkliste wurde entsprechend der DSGVO-Konformität erstellt. Außerdem ist sie die einzige DSGVO-Checkliste, die Sie je benötigen werden.

Bevor Sie die DSGVO-Checkliste durchgehen, ist es wichtig, einige grundlegende Schritte zu wiederholen. Erster Ausgangspunkt ist die Kenntnis über die allgemeinen Rechte, die Ihre Kunden/Nutzer haben:

Betroffenenrecht: Dies sind die Rechte Ihrer Kunden und Nutzer gemäß der Allgemeinen Datenschutzverordnung (DSGVO).

Datenübertragbarkeit: Dies ist das Recht einer Person nach der DSGVO, ihre Daten an andere Datenverantwortliche weiterzugeben. Im Wesentlichen bedeutet es, dass Verbraucher durch schnellen und effizienten Datentransfer von einem Unternehmen zum anderen wechseln können.

Das Recht, vergessen zu werden: Kunden/Benutzer können Sie auffordern, alle ihre Daten zu löschen.

Das Recht, Profiling zu verhindern: Dies kann durch automatisierte Entscheidungsfindung oder durch andere Formen der Entscheidungsfindung geschehen, die personenbezogene Daten einer Person verarbeiten und Rückschlüsse auf diese Personen ziehen.

Das Recht, der Verarbeitung zu widersprechen: Ihre Kunden können Sie von der Verarbeitung jeder Kategorie ihrer Daten, die Sie haben, ausschließen.

Das Recht auf Berichtigung und Löschung: Dies bezieht sich auf die Bearbeitung von Daten und die Beschränkung des Zugriffs auf bestimmte Arten von Daten.

Subject Access Requests ("SARs"): Dies sind Anfragen, die Ihr Kunde/Nutzer zu einem beliebigen Zeitpunkt stellen kann, um Sie nach Daten zu fragen, die Sie über ihn haben und wie diese verwendet werden.

Wiederholung der grundlegenden DSGVO Schritte

Machen Sie zunächst eine Bestandsaufnahme aller Daten, die Sie sammeln und verarbeiten. Wenn Sie ein Controller sind, fragen Sie sich als Leitsatz, warum Sie diese Daten sammeln. Wenn Sie ein Verarbeiter sind, fragen Sie sich: In wessen Namen sammeln Sie diese Daten? Das ist der wichtigste Teil unserer DSGVO Checkliste.

Benennen Sie einen DSB:

Ein Datenschutzbeauftragter kann intern oder extern für Ihr Unternehmen tätig sein. Wenn Sie jemanden intern ernennen, stellen Sie sicher, dass er sowohl Autonomie als auch Zugang zu den Geschäftsführern und dem oberen Management hat. Das ist vor allem notwendig, damit sie ihre datenschutzrechtlichen Pflichten und Verantwortlichkeiten ohne übermäßigen Stress und Blockaden selbstständig wahrnehmen können. Sobald dies geschehen ist, unterzeichnen Sie einen Vertrag mit der entsprechenden Person. Eine Voraussetzung für die Entsendung eines Datenschutzbeauftragten ist laut Gesetz, dass er über angemessene Fähigkeiten verfügt. Das bedeutet, dass Ihr DSB ein umfassendes Verständnis der Allgemeinen Datenschutzverordnung (DSGVO) haben sollte.

Es ist notwendig, dass Sie einen Datenschutzbeauftragten (DSB) ernennen:

1.1. Wenn das Kerngeschäft Ihres Unternehmens die Verarbeitung großer Mengen an persönlichen Daten sowie die Überwachung Ihrer Nutzer oder im DSGVO-Jargon „Datensubjekte“ ist: Personenbezogene Daten sind folgende Arten von Daten:

Daten, die eine direkte Identifizierung von Informationen wie Vorname, Nachname, Telefonnummer u.a. ermöglichen.

Pseudonyme Daten oder Daten, die die Informationen eines Betroffenen nicht direkt identifizieren, sprich die keine direkte Identifizierung von Nutzern erlauben, sondern das Herausfiltern individueller Verhaltensweisen z. B. durch gezielte Werbung (die richtige Anzeige zum richtigen Zeitpunkt dem richtigen Nutzer zu zeigen).

1.2. Wenn Ihr Unternehmen mit einer großen Menge an sensiblen Daten zu tun hat, handelt es sich um eine der folgenden Daten:

Ethnische Herkunft

Politische Meinungen

Religiöse oder philosophische Überzeugungen

Gewerkschaftsmitgliedschaft

Genetische Daten

Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person

Daten über die Gesundheit oder das Sexualleben und/oder die sexuelle Orientierung einer natürlichen Person

  1. Daten-Mapping:

Der zweitwichtigste Teil der DSGVO Checkliste ist die Erstellung einer Übersicht aller Daten und die Angabe aller Abteilungen, die die Daten bei der Erfassung und Verarbeitung berühren. Die verwendeten Daten müssen kategorisiert werden, damit ihre Rechtsgrundlage klar wird. Rechtsgrundlage könnten unter anderem Einwilligung, berechtigtes Interesse und vertragliche Notwendigkeit sein.

Um zu beurteilen, wohin die Daten fließen, müssen Sie eine Mind-Map erstellen, die Ihnen hilft, Ihre Compliance-Prozesse zu steuern.

  1. Sie sollten alle Aspekte der Unternehmensinteraktion mit Daten dokumentieren. Hier sind die Fragen, die Sie beantworten können sollten:

Warum wurden die Daten überhaupt gesammelt? Zu welchem Zweck?

Auf welcher Rechtsgrundlage rechtfertigen Sie die Speicherung dieser Daten? Einwilligung oder gesetzliche Bestimmungen?

3.1. Die Aufzeichnung der Verarbeitungstätigkeiten erfolgt unter diesem Schritt.

Beachten Sie hierbei alle Schritte in Ihrem Mind-Mapping-Prozess. Wer hat im jeweiligen Schritt Zugriff auf die Daten? Durch die Dokumentation Ihrer Prozesse erhalten Sie ein viel klareres und besseres Verständnis für die Datenerhebungs- und Managementstrategien Ihres Unternehmens sowie für den Compliance-Prozess. Eine konkrete Dokumentation, die definitiv durchzuführen ist, ist eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA).

3.2. Lieferantenmanagement

Wie schützen Sie diese Daten vor Verstößen? Wofür werden diese Daten noch verwendet? Stellen Sie sicher, dass Sie alle Ihre Lieferanten aufgelistet haben und Ihre Kunden/Nutzer wissen, dass Sie ihre Daten mit anderen Parteien teilen.

  1. Datenschutzverletzungen

Seien Sie ehrlich und transparent in Bezug auf alle Daten, die Sie sammeln. Im Falle eines Verstoßes werden die Personen alle Daten offenlegen, die sie bekommen haben. Ihre Kunden müssen wissen, welche Daten Sie speichern. Hier erfahren Sie mehr darüber, wie moderne Unternehmen über Daten denken sollten: https://hbr.org/2015/05/customer-data-designing-for-transparency-and-trust.

Verletzungen der Datensicherheit in Bezug auf die Daten, die Ihr Unternehmen sammelt und verarbeitet, können auftreten und müssen nach den Richtlinien des DSGVO behandelt werden. Der entscheidende Punkt hierbei ist Ihre Kunden/Nutzer über den Verstoß zu informieren. Angesichts der Bedeutung, die die EU den personenbezogenen Daten beigemessen hat, ist es nicht verwunderlich, dass die Betroffenen darauf aufmerksam werden, wenn ihre Daten von anderen Parteien, die nicht über eine Einwilligung verfügen, berührt werden. In einem solchen Fall muss die zuständige Datenschutzbehörde spätestens innerhalb von 72 Stunden nach Kenntnisnahme informiert werden.

Die gleiche Frist gilt für die betroffenen Personen, deren Daten Sie erfassen und verwenden. Das Unternehmen muss alle Personen kontaktieren und sie darauf hinweisen, dass eine Datenschutzverletzung vorliegt. Unternehmen brauchen diese Maßnahme in der Praxis jedoch nicht, wenn die Daten soweit verschlüsselt sind, dass sie nicht nachvollziehbar sind, oder wenn der Verantwortliche für die Datenverarbeitung alle notwendigen Schritte unternommen hat sicherzustellen, dass die Verletzung keine Rechte oder Freiheiten gefährdet. Wenn es einen beispiellosen Aufwand erfordern würde, jeden Betroffenen einzeln zu kontaktieren, dann würde auch eine öffentliche Bekanntmachung diese Anforderung erfüllen.

  1. Antrag auf die Erteilung einer Auskunft über personenbezogene Daten

Dies ist der entscheidende Teil der DSGVO Checkliste, da sie in früheren Datenschutzgesetzen nicht verfügbar war. Es ist eines der Grundrechte, die die DSGVO für die Verbraucher vorsieht. Das bedeutet im Wesentlichen, dass die betroffenen Personen jederzeit nachfragen können, welche Daten von ihrer Organisation erfasst wurden. Diese Zugriffsanfragen können nicht berechnet werden, auch wenn die Bearbeitung viel Zeit in Anspruch nimmt. Außerdem müssen sie innerhalb eines Monats vom Inhaber der Datenverarbeitung beantwortet werden. Das Gesetz legt zudem den allgemeinen Grundsatz fest, wann ein für die Verarbeitung Verantwortlicher dem Betroffenen die entsprechenden Verwaltungskosten in Rechnung stellen kann, wenn nachgewiesen werden kann, dass der Antrag "offensichtlich unbegründet oder übertrieben" ist. Auf diese Weise wird das Gleichgewicht der individuellen Rechte und die Rechte des Unternehmens gehalten, um einen gewissen Schutz vor Missbrauch dieser Bestimmung zu erhalten. Hier ist eine grundlegende Zusammenfassung dieses Artikels, wie in der DSGVO skizziert:

"Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  1. a) die Verarbeitungszwecke;
  2. b) die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen

Organisationen;

  1. d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  3. f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  4. g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  5. h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person".
  6. Technische Checkliste

Als Teil der DSGVO Checkliste führt Sie diese Checkliste durch die technischen Schritte, die Ihr Unternehmen durchführen muss.

6.1. Stellen Sie sicher, dass Ihre Domainnamen geschützt sind. Sie können das tun, indem Sie diese entweder regelmäßig erneuern oder wenn Sie sie von einer dritten Partei kaufen, sicherstellen, dass der konfigurierte Nameserver, der maßgebend ist, und, dass Ihre kritischen Dienste gesichert sind.

6.2. Viele Unternehmen haben Google Apps, Slack, Wordpress, die sie in ihrem täglichen Geschäftsleben verwenden. Diese Dienste haben alle Standardeinstellungen, die verbessert werden sollten, um das Sicherheitsniveau Ihrer Organisation zu erhöhen. Außerdem müssen Sie sicherstellen, dass alle Ihre Dienste und Anwendungen aktualisiert werden, damit neue Sicherheitseinstellungen sowie DSGVO-konforme Einstellungen implementiert werden. Hier finden Sie eine Quelle, die zeigt, wie Sie Ihre Google-Anwendungen sicherer machen können: https://blog.trailofbits.com/2015/07/07/how-to-harden-your-google-apps/.

6.3. So bequem und verlockend es auch sein mag: Teilen Sie Ihr WIFI nicht

Shared Workplaces sind heutzutage weit verbreitet, was bedeutet, dass die gemeinsame Nutzung von WIFI-Netzwerken durch Unternehmen, Gäste, Studenten oder Nachbarn das Risiko von Sicherheitsverletzungen birgt, z. B. könnten Personen Informationen über Ihr Netzwerk sammeln und sogar den Zugriff auf Ressourcen ermöglichen, die durch Quell-IP geschützt sind. Machen Sie es sich zur Gewohnheit, Ihr Passwort regelmäßig zu ändern.

6.4. Entwicklung und Kommunikation eines Reaktionsplans bei Sicherheitsverletzungen

Dieser ermöglicht es dem Verantwortlichen zum Zeitpunkt eines Verstoßes, entsprechend über einen Vorfall zu kommunizieren und ermöglicht die schnellste Reaktion in technischer/ kommunikativer Hinsicht.

 

6.5. Anreize zur Fehlerfindung schaffen

Sie könnten ein externes oder internes Bug-Bounty-Programm haben, das sowohl externe Hacker als auch interne Mitarbeiter dazu anregt, Schwachstellen zu melden. Sobald diese Schwachstellen gemeldet wurden, müssen sie von Entwicklern oder anderen Personen innerhalb Ihres Entwicklungsteams überprüft werden, die über das nötige Know-how verfügen, um die erhaltenen Berichte auszuwerten.

6.6. Schulung technischer und nicht-technischer Mitarbeiter

Nicht selten sind Ihre Mitarbeiter und Ihr Humankapital diejenigen, die Sie angreifbar machen könnten, weshalb es wichtig ist zu wissen, wie Hacker oder andere Parteien Ihr Unternehmen infiltrieren können. Indem Sie ihren Bekanntheitsgrad erhöhen, verringern Sie das Risiko in eine Falle zu tappen. Normalerweise vergessen Unternehmen, ihre nicht-technischen Mitarbeiter zu schulen. Hier könnte jedoch umso mehr Trainingsbedarf bestehen, da Fachwissen fehlt, um solche Cyber-Angriffe und Schwachstellen zu erkennen und zu bewältigen.

6.7. 2-Faktor-Authentifizierung als obligatorische Regel im Mitarbeiterhandbuch

Diese stellt sicher, dass alle Konten Ihrer Mitarbeiter sicher sind. Und falls ein Passwort gestohlen wird, hat der Angreifer immer noch keinen Zugriff auf die Konten und die Informationen Ihres Unternehmens darin. Als CEO/CTO/CSO ist es Ihre Aufgabe, dafür zu sorgen, dass diese Regel von allen eingehalten wird. Die Verwendung eines komplexen und einzigartigen Passworts für jede Website ist ein guter Ratschlag, jedoch kann es so sehr schwierig sein, Passwörter abzurufen.

Passwort-Manager sind eine gute Möglichkeit, da diese sich alles mit einem Master-Passwort merken können.

6.8. Geräte verschlüsseln

Durch die Verschlüsselung von Firmen-Laptops und -Telefonen schützen Sie Ihr Unternehmensvermögen. Bevor Sie das tun, sollten Sie vielleicht eine Bestandsaufnahme Ihres gesamten Unternehmensvermögens vornehmen und die Mitarbeiter je nach Tätigkeit in Kategorien von Sicherheitsstufen einteilen. Hier finden Sie einige Quellen zum Verschlüsselungsverfahren: https://support.apple.com/en-us/HT204837

https://support.microsoft.com/en-us/instantanswers/e7d75dd2-29c2-16ac-f03d-20cfdf54202f/turn-on-device-encryption.

6.9. Förderung von Best Practices wie das „Sperren“ von Geräten und die Stärkung von Passwörtern

Ob Mitarbeiter den Schreibtisch für eine Minute oder eine Stunde verlassen - ermutigen Sie sie, ihre Geräte abzuschließen und es sich zur Gewohnheit zu machen. Dadurch ist Ihr Unternehmensvermögen sowohl vor Angriffen als auch vor zufälligen Unfällen geschützt. Denken Sie daran, dass Ihre Arbeitsumgebung vielleicht sicher ist, wenn Sie aber irgendwann z.B. externe Gäste oder Kandidaten für Interviews zu Besuch haben, diese manchmal schon durch einen schnellen Blick auf einen Bildschirm Zugriff auf Ihre Daten erlangen könnten. Außerdem würde diese Gewohnheit Ihren Mitarbeitern helfen Unternehmensinformationen sicher zu halten, wenn sie zum Beispiel auf Reisen sind oder zu Meetups gehen. Recherchieren Sie einfach Passwortmanager, wählen Sie einen guten aus und schlagen Sie diesen Ihren Mitarbeitern vor.

HR-Checkliste

Diese HR-Checkliste ist größtenteils eine organisatorische und technische Maßnahme im Rahmen unserer DSGVO Checkliste.

  1. Erstellen Sie ein Datenprotokoll: Überlegen Sie, welche Daten Ihrer Mitarbeiter Sie bearbeiten, und erstellen Sie ein Protokoll ihrer Verarbeitungstätigkeiten (Record of Processing Activities RPA). Wie bereits erwähnt, müssen Sie Folgendes angeben, um die Daten zu dokumentieren:

-       die Art der Daten (z. B. persönliche oder spezielle Personen (die früher als sensibel bezeichnet wurden))

-       die Datenkategorien (z. B. Rekrutierungsinformationen, Bankverbindung, Leistungsinformationen, Abwesenheitsdaten)

-       wen die Daten betreffen (z. B. Angestellte, Angehörige, Bewerber etc.)

-       wer Ihnen die Daten zur Verfügung gestellt hat (z. B. der Bewerber/Mitarbeiter selbst, Kreditreferenzagenturen, Personalvermittler oder andere Mitarbeiter)

-       Geben Sie Ihre Rechtsgrundlage für die Bearbeitung an (z. B. zur Erfüllung des Arbeitsvertrags, zur Erfüllung einer gesetzlichen Anforderung, legitimer oder sonstiger Interessen). Die Einwilligung als Rechtsgrundlage für personalbezogene Aufgaben wird nur selten Anwendung finden. Beachten Sie die gesetzlichen Anforderungen, die Sie erfüllen müssen, um die Erhebung und Verarbeitung zu rechtfertigen (z. B. zur Einhaltung des Arbeitsrechts oder zur Beurteilung der Arbeitsfähigkeit eines Mitarbeiters).

-       Der Zweck der Verarbeitung (z. B. um den Mitarbeiter zu bezahlen, für die Steuerberichterstattung oder um die Leistung zu managen)

-       Wo und wie die Daten gespeichert werden und wer Zugriff darauf hat, z. B. HR-Software, Steuerberater, gedruckte Lohnzetteldateien.

  1. Datenübernahmen: Aktualisieren Sie Ihre Lieferantenliste und protokollieren Sie sie separat. Außerdem sollten Sie alle Daten, die übertragen werden, einschließen (wie z. B. wer die Daten übertragen hat, wann sie übertragen wurden, wo sie gespeichert werden und wie Sie die Daten übertragen haben). Wenn Sie personenbezogene Daten außerhalb der Europäischen Union (EU) übermitteln, müssen Sie angeben, welche Schutzvorkehrungen getroffen wurden und die entsprechende Datenschutzerklärung mit Ihren Partnern unterzeichnen.
  2. Geben Sie an, wann genau die Daten gelöscht werden sollen: Hier können Sie Ihre Datensubjekte in Mitarbeiter, Bewerber oder andere Kategorien einteilen, die für Ihren Fall sinnvoll sind. Beispielsweise können Sie es bei Bewerbern zum Leitsatz machen, die Daten von abgelehnten Mitarbeitern monatlich/vierteljährlich zu löschen. Sie müssen jedoch in der Lage sein, diesen Zeitraum zu rechtfertigen.
  3. Führen Sie eine automatische Entscheidungsfindung oder Profilerstellung durch, z. B. für die elektronische Personalsuche auf der Grundlage von Studienleistungen, psychometrischen Tests oder anderen Metriken? Fügen Sie diese zu Ihrem RPA hinzu.
  4. Müssen Sie eine Datenschutz-Folgenabschätzung durchführen bzw. wann müssen Sie dies voraussichtlich in Zukunft tun (z. B. weil Sie eine risikoreiche Verarbeitung durchführen oder durchführen werden oder neue HR-Technologie einführen werden)?
  5. Überprüfen Sie, ob Ihre IT-Infrastruktur DSGVO konform ist. Ihre IT-Infrastruktur wird für zwei Hauptthemen bzgl. DSGVO Konformität relevant sein - Sicherheit und Arbeitnehmerrechte. Sicherheitsprobleme:
  6. Berücksichtigung von Arbeitnehmerrechten: Erlauben Ihnen Ihre automatisierten Entscheidungsprozesse, Einwände zu verarbeiten und auf Wunsch einen menschlichen Entscheidungsträger einzubeziehen?
  7. Wie werden Sie auf Zugriffsanfragen von Betroffenen reagieren? Können Sie einfach nach allen Daten zu einer bestimmten Person suchen? Dadurch wird die Beantwortung von Zugriffsanfragen Ihrer Mitarbeiter oder potenziellen Mitarbeiter wesentlich leichter. Können Ihre Mitarbeiter die Verarbeitung ihrer Daten einschränken? Oder Fehler korrigieren?
  8. Welches Verfahren stellen Sie einem Mitarbeiter zur Verfügung, um von seinem Widerspruchsrecht Gebrauch zu machen? Haben Sie die Verantwortung einer bestimmten Person zugewiesen?
  9. Wie erreichen Sie die unternehmensweite Löschung von personenbezogenen Daten auf Wunsch eines Mitarbeiters in relevanten Situationen?
  10. Ist der Export von Daten aus Ihrem System möglich? .csv-,.pdf- oder .txt-Dateien sind gängige Formate. Dies ermöglicht Ihnen, die Portabilität zu verwalten oder die Daten auf Wunsch des Arbeitnehmers oder eines zukünftigen/ehemaligen Arbeitgebers zu übertragen.
  11. Aktualisieren Sie Ihre Datenschutzrichtlinien und Arbeitsverträge: Nachdem Sie alle notwendigen Änderungen vorgenommen haben, ist es unerlässlich, dass Sie auch alle Ihre Mitarbeiter und andere Stakeholder informieren.

-       Datenschutzhinweis für Mitarbeiter

-       Datenschutzerklärung

-       Richtlinie für die Meldung von Datenschutzverletzungen

-       Subjekt-Zugangsregelung

-       Vorratsdatenspeicherung

  1. Stellen Sie sicher, dass alle Ihre Mitarbeiter ein angemessenes Maß an Schulung für den Umgang mit personenbezogenen Daten erhalten, das auf ihre Aufgaben zugeschnitten ist. Sie müssen über die richtigen Richtlinien und Verfahren informiert werden. Das Training muss regelmäßig aktualisiert werden und aufgezeichnet werden.
  2. Bewerten und ergreifen Sie die notwendigen Maßnahmen mit allen Ihren Partnern, die in irgendeiner Weise Ihre Daten berühren.

Sales & Marketing Aktivitäten im Zusammenhang mit der DSGVO Checkliste

Das ist wahrscheinlich neu für Sie und der schwierigste Teil der DSGVO Checkliste, denn es braucht Zeit.

  1. Prüfen und kontrollieren Sie Ihre Mailinglisten. Grundsätzlich müssen alle Personen entfernt werden, von denen Sie kein Opt-in haben und die dieses Opt-in nicht registriert haben. Für neue Abonnenten stellen Sie sicher, dass der potenzielle Abonnent bestätigt, dass er sich in Ihre Mailingliste eintragen möchte, indem er eine automatische E-Mail sendet, um das Abonnement zu bestätigen.
  2. Überprüfen Sie die Art und Weise, wie Sie persönliche Daten sammeln. Kaufen Sie immer noch Mailinglisten? Dann ist es jetzt vielleicht an der Zeit, mit einer neuen Mailingliste zu beginnen, die Sie von informierten Kunden erhalten haben und die eine rechtliche Grundlage für das Sammeln derer E-Mail-Adressen bietet. Löschen Sie alle E-Mails mit fehlender Einwilligung oder Rechtsgrundlage. Eine Möglichkeit, wie Sie trotzdem einfach Nutzer gewinnen oder Website-Besucher konvertieren können, ist es, den Besuchern Ihrer Website die Möglichkeit zu bieten, sich selbst über ein Pop-up in Ihre Mailing-Liste einzutragen.
  3. Wenn Sie Ihre Einwilligung einholen, ist sicherzustellen, dass ein Link zu Ihrer Datenschutzrichtlinie besteht, sodass Ihre Daten genauso behandelt werden, wie Sie es wünschen.
  4. Informieren Sie Ihre Vertriebs- und Marketingteams darüber, was rechtlich möglich ist und welche Praktiken aufzugeben sind, z. B.: Cold Mailing/Cold Calling (wenn die E-Mail-Adresse und/oder Telefonnummer nicht durch eine ordnungsgemäße Einwilligung übernommen wurde).
  5. Stellen Sie sicher, dass Ihre Kundendaten Teil Ihres Customer Relationship Management (CRM)-Systems sind. Dieses unterstützt das Bearbeiten und Überprüfen der Daten, sowie den Zugriff in einem maschinenlesbaren Format.
  6. Sammeln Sie Daten, die für Ihren Vertrieb oder Ihr Marketing notwendig sind. Fragen Sie sich, welche Datenkategorien Sie tatsächlich benötigen und welche Sie einfach löschen können. Wenn es um die Anmeldung von Formularen geht, fragen Sie nur nach den Elementen, die Sie benötigen und verwenden werden.
  7. Wenn Sie es noch nicht haben, probieren Sie Push-Benachrichtigungen aus. Werbetreibende können mit Hilfe von Push-Benachrichtigungen jederzeit eine Nachricht an die Abonnenten senden. Sie sind in der Post-DSGVO-Welt besonders hilfreich, da sie keine personenbezogenen Daten verarbeiten (IP-Adressen sind anonymisiert) und um die ausdrückliche Zustimmung zum Opt-in und zum Erhalt von Benachrichtigungen bitten.
  8. Stellen Sie sicher, dass die Datenschutzerklärung aktualisiert und leicht zu lesen ist (keine 1000 Seiten lang und ohne jeglichen Fachjargon).

DSGVO Checkliste für die Datenschutz-Folgenabschätzung bei Projekten

Laut DSGVO ist diese notwendig, wenn eine Organisation ein neues Projekt durchführt, das erhebliche Risiken in Bezug auf die Freiheiten und Rechte des Einzelnen, insbesondere in Bezug auf den Datenschutz, birgt. Wenn Organisationen ein solches Risiko in Bezug auf eine neue oder bestehende Operation identifiziert, sind dies die folgenden Schritte:

  1. Finden Sie heraus, ob eine Notwendigkeit für die DPIA besteht - führen Sie eine Bewertung durch und ermitteln Sie, ob die mit der Verarbeitung verbundenen Risiken eine DPIA erforderlich machen. Im Allgemeinen sind dies einige risikoreiche Aktivitäten, für die Sie wahrscheinlich eine DPIA durchführen müssten:

-       Großflächige Verarbeitung personenbezogener Standortdaten

-       Allgemeine große Datenanalyse

-       Großflächige Verarbeitung von Personaldaten mit Potenzial für signifikante Auswirkungen auf die Mitarbeiter

-       Video-/Audio-Analyse-Tools

-       Erstellung großflächiger individueller Profile

-       Analytik mit signifikanter Wirkung für den Einzelnen

-       Belohnungssysteme, die Profile generieren

-       Fitness-Wearables und Apps

  1. Verstehen und beschreiben Sie den Informationsfluss - Erstellen Sie eine Karte, wie die Informationen innerhalb des jeweiligen Verarbeitungsvorgangs gesammelt, gespeichert, verwendet und gelöscht werden.
  2. Identifizieren Sie alle Risiken - dokumentieren Sie die Bedrohungen, deren Umfang, Schwachstellen und die möglichen Gefahren für die Rechte und Freiheiten von Personen, deren Daten Sie sammeln und/oder verarbeiten.
  3. Bewerten Sie Ihre Datenschutzlösungen – Führen Sie für jedes Risiko, das Sie für die persönlichen Daten identifiziert haben, eine Kosten-Nutzen-Analyse durch und entscheiden Sie, ob Sie das Risiko akzeptieren, das Risiko ablehnen oder das Risiko akzeptieren möchten, aber mit Maßnahmen zur Verringerung der Auswirkungen der Bedrohung.
  4. Dokumentation der DPIA-Ergebnisse - Erstellen Sie einen Bericht, der vom Entscheidungsträger unterzeichnet wird. Wenn jedoch ein hohes Risiko besteht, muss der DPIA-Bericht der Datenschutzbehörde zur Konsultation vorgelegt werden.
  5. Integrieren Sie die Ergebnisse in Ihren Projektplan - stellen Sie bei jedem wichtigen Projekt-Meilenstein sicher, dass Sie auf Ihre DPIA zurückgreifen, um sicherzustellen, dass die erforderlichen Maßnahmen zur Risikobewältigung ergriffen werden.

Ich hoffe, Sie fanden diese umfassende DSGVO Checkliste nützlich. Grundsätzlich sollten Sie daran denken, dass jede undurchsichtige Erhebung und Verarbeitung von Daten hinterfragt werden sollte. Die Ausbildung Ihrer Mitarbeiter wird in jedem Falle hilfreich sein, um die Einhaltung der DSGVO zu gewährleisten. Fehlt Ihnen etwas in dieser DSGVO Checkliste? Arbeiten Sie mit uns an der Checkliste!


Was ist ein Datenschutzbeauftragter? Ein Ratgeber für die Einstellung nach der Datenschutz-Grundverordnung (DSGVO)

Seit 25. Mai 2018 ist die neue Datenschutz-Grundverordnung in Kraft. Haben Sie zu diesem Zeitpunkt noch keinen Datenschutzbeauftragten bestellt, dann hilft Ihnen dieser Ratgeber dabei.
Schritt für Schritt werden wir alle Ihre Fragen über Datenschutzbeauftragte beantworten.

 

Was ist ein Datenschutzbeauftragter (DSB)?


Datenschutzbeauftragte sind die Verantwortlichen für den Datenschutz und die Umsetzung der entsprechenden Maßnahmen innerhalb des Unternehmens. Sie sind zuständig für die Überwachung der Datenschutz-Strategie, um die Einhaltung der DSGVO-Richtlinien zu gewährleisten. Außerdem berichten sie direkt an die Geschäftsführung des Unternehmens.

 

Wer benötigt einen Datenschutzbeauftragten?

Laut Gesetzestext benötigen Sie einen Datenschutzbeauftragten, wenn:

 

  • mehr als 9 Personen in Ihrer Firma mit personenbezogenen Daten arbeiten;
  • Sie Daten in großem Umfang verarbeiten. Das würde bedeuten, dass die Daten, die Sie sammeln, verarbeiten, speichern oder verwenden, eine große Anzahl von Personen betreffen. Beispielsweise eine Stadt-Bevölkerung, oder die Verarbeitung von persönlichen Daten für verhaltensorientierte Werbung durch eine Suchmaschine (Profiling);
  • Ihre Verarbeitung durch eine öffentliche Behörde oder Körperschaft durchgeführt wird;
  • Sie sensible Daten über Gesundheit, Gewerkschaftsmitgliedschaft, Standorte, sexuelle Orientierung, genetische Daten oder Kinderdaten verarbeiten;
  • Sie systematisch überwachen und verfolgen. Zum Beispiel, wenn Sie Videodaten von Nutzern systematisch überwachen oder Internetnutzer systematisch auswerten, um TV-Bewertungspunkte zu überprüfen;
  • Sie spezielle Kategorien von Daten verarbeiten, die im Zusammenhang mit Straftaten stehen könnten;
  • Sie ein Auftragsdatenverarbeiter sind und systematisch Daten wie Internetverkehr, IP-Adresse oder Besucher überwachen.

 

Was sind die grundlegenden Verantwortlichkeiten eines Datenschutzbeauftragten?

Ein Datenschutzbeauftragter sollte für die folgenden Aufgaben verantwortlich sein:

  • Informierung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsdatenverarbeitenden sowie der Mitarbeiter, die für die Verarbeitung gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten durchführen;
  • Überwachung der Einhaltung dieser Verordnung oder anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Dazu gehört auch die Einhaltung der Grundsätze des für die Verarbeitung Verantwortlichen oder Verarbeiters im Hinblick auf den Schutz personenbezogener Daten: Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des Personals in Verarbeitungsvorgängen sowie die damit verbundenen Prüfungen;
  • Beratung bezüglich der Datenschutz-Folgenabschätzung gewährleisten, falls dies gefragt ist, sowie Überwachung seiner Leistung gem. Art. 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich der vorherigen Beratung (siehe Art. 36 DSGVO);
  • Angemessene Berücksichtigung der mit der Verarbeitung verbundenen Risiken bezüglich Art, Umfang, Kontext und Zweck der Verarbeitung.

 

Das bedeutet, dass ein Datenschutzbeauftragter der Koordinator zwischen der Firma und der Aufsichtsbehörde ist. Er/Sie ist außerdem dafür verantwortlich, auf Betroffene, d.h. Verbraucher/Kunden des Unternehmens, zu reagieren. Im Rahmen der DSGVO haben Betroffene nämlich das Recht, Zugriff auf ihre erfassten und verarbeiteten Daten anzufordern (sog. Auskunftsrecht der betroffenen Person, Art. 15 DSGVO).

 

Was sind die grundlegenden Aufgaben eines Datenschutzbeauftragten?
Dieser Abschnitt zeigt nun, welche Aufgaben aus den oben genannten Verantwortlichkeiten/Zuständigkeiten entstehen. Datenschutzbeauftragte (DSB) müssen demnach sicherstellen, dass die Datenschutz im Zusammenarbeit mit der Datenschutzbehörde eingehalten werden. Ein DSB muss:

 

  • sicherstellen, dass der Verantwortliche (die Firma) und die betroffenen Personen über ihre Datenschutzrechte, -pflichten und -pflichten informiert werden und gleichzeitig auf diese aufmerksam gemacht werden;
  • der DSGVO entsprechende Datensicherungsziele und -grundsätze erstellen und sicherstellen, dass diese vom Unternehmen eingehalten werden;
  • den Unternehmen Beratung und Empfehlungen bezüglich der Auslegung und Anwendung der Datenschutzbestimmungen geben;
  • Aufzeichnungen über die Verarbeitungstätigkeiten innerhalb des Unternehmens erstellen und den EDSB über diejenigen informieren, die spezifische Risiken aufweisen (sogenannte Vorabkontrollen);
  • die Einhaltung des Datenschutzes innerhalb des Unternehmens sicherstellen und diesem helfen, Rechenschaft abzulegen;
  • Anfragen oder Beschwerden von Seiten des Unternehmens, des für die Verarbeitung Verantwortlichen, anderer Personen oder auf eigene Initiative bearbeiten;
  • Anfragen zu Untersuchungen, zur Bearbeitung von Beschwerden und behördliche Inspektionen kooperativ beantworten;
  • das Unternehmen auf Verstöße gegen die Datenschutzvorschriften aufmerksam zu machen;
  • bei Bedarf eine Datenschutz-Folgenabschätzung durchführen und diese monatlich, vierteljährlich und jährlich überprüfen;
  • eine Datenverarbeitungsvereinbarung erstellen und mit diese mit Drittparteien abstimmen;
  • Datenschutzerklärungen, Cookie-Richtlinien und andere Datenschutzrichtlinien erstellen und aktualisieren;
  • Mitarbeiter an der Datenverarbeitung schulen;
  • Prüfungen durchführen, um die Einhaltung sicherzustellen.

 

 

Qualifikationen für Datenschutzbeauftragte

Es gibt keine genauen im Gesetz niedergeschriebene Qualifikationen. Aber das Gesetz sagt: "Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seines Fachwissens über Datenschutzgesetze und -praktiken ernannt.” Datenschutzbeauftragte sollten mindestens 30-60 Stunden geschult werden, um das Gesetz und seine Anforderungen zu verstehen. Sie können Ihren Datenschutzbeauftragten z.B. an folgenden Stellen schulen lassen:

 

  1. IAPP-Zertifizierungen
  2. TÜV in Deutschland
  3. IT-Governance in Großbritannien

 

Da es keine genauen Kriterien gibt, schlagen wir vor, dass Ihnen eine angemessene Schulung oder Zertifizierung für eine bestimmte Anzahl von Stunden helfen sollte. Wenn Ihr Datenschutzbeauftragter von Beruf Rechtsanwalt ist, würde dies die Ausbildung erleichtern.

Was kann eine Firma tun, um ihren DSB zu unterstützen?

Sie müssen sicherstellen, dass:

 

  • der DSB in alle Fragen des Datenschutzes eng und zeitnah eingebunden ist;
  • der DSB an die oberste Führungsebene, also Vorstand, Ihres Unternehmens berichtet;
  • der DSB unabhängig arbeitet und für die Ausübung seiner Aufgaben nicht entlassen oder bestraft wird;
  • Sie angemessene Ressourcen (ausreichend Zeit, finanzielle Mittel, Infrastruktur und gegebenenfalls Personal) zur Verfügung stellen, damit der DSB seinen Verpflichtungen im Zusammenhang mit dem DSGVO nachkommen und seinen Fachkenntnisstand aufrechterhalten kann;
  • Sie dem DSB angemessenen Zugang zu personenbezogenen Daten und Verarbeitungstätigkeiten gewähren;
  • Sie dem DSB angemessenen Zugang zu anderen Diensten innerhalb Ihres Unternehmens geben, so dass dieser wesentliche Unterstützung, Anregungen oder Informationen erhalten kann;
  • Sie bei der Durchführung einer DPIA den Rat Ihres DSB einholen und
  • Sie die Details Ihres DSB als Teil Ihrer Verarbeitungsprozesse erfassen.

 

Dies zeigt, wie wichtig der Datenschutzbeauftragte für Ihre Organisation ist und dass Sie ihn ausreichend unterstützen müssen, damit er seine Aufgabe selbständig wahrnehmen kann. Dazu gehört auch, dass Ihr DSB, wie oben bereits erwähnt, an die oberste Führungsebene berichtet. Dies bedeutet nicht, dass der DSB auf dieser Ebene geführt werden muss. Aber er muss direkten Zugang haben, um Führungskräfte, die Entscheidungen über die Verarbeitung personenbezogener Daten treffen, zu beraten.

 

Top 10 Praktiken für die Einstellung eines DSB

 

Als Verantwortliche/r für die Datenverarbeitung oder als Auftragsdatenverarbeitende/r sind die folgenden Vorgehensweisen für die Einstellung eines Datenschutzbeauftragten empfehlenswert:

 

  1. Datenschutzbeauftragte finden Sie in LinkedIn & Facebook Groups mit dem Suchbegriff “DSGVO” für Gruppen;
  2. Die IAPP hat eigene Gruppen, in denen Sie 40.000 verschiedene Datenschutzexperten finden können;
  3. Konferenzen zum Thema DSGVO wie Gipfeltreffen und Versammlungen sind ein guter Ort, um solche Datenschutzbeauftragten zu finden;
  4. Beauftragen Sie einen DSB oder einen auf diesem Gebiet spezialisierten Rechtsanwalt;
  5. Stellen Sie sicher, dass Ihr DSB Ihre IT-Infrastruktur und Ihre Anwendung versteht;
  6. Sie können einen externen DSB bestellen, der also kein fester Mitarbeiter Ihrer Firma ist;
  7. Ein DSB sollte über große Führungs- und Verhandlungsfähigkeiten verfügen und ein umfassendes Verständnis für die eigene Firma, die Betroffenen (Kunden) und das Gesetz haben;
  8. Viele Experten geben Tutorials und Inhalte zum Thema DSGVO. Wenn Sie planen, einen externen DSB zu beauftragen, dann sehen Sie sich dessen Webinare, Blogs und öffentliche Profile an;
  9. Machen Sie Ihre Due Diligence und fragen Sie nach mindestens 3 Referenzen von ihren bisherigen Kunden. Wenn Sie jemanden intern einstellen, dann fragen Sie den direkten Vorgesetzten;
  10. Wenn Sie einen externen DSB einstellen, stellen Sie sicher, dass Sie mit jemandem zusammenarbeiten, der nicht zu viele Mandanten hat. Wenn ein DSB viele Mandanten hat, finden ihre Fragen möglicherweise kein Gehör, wenn Sie sie nicht auf der Grundlage von Paketen bezahlen.

 

Sollte ich einen externen oder internen DSB einstellen?

 

Interner vs. externer DSB
Grundsätzlich kann ein Unternehmen einen DSB sowohl intern durch Zuordnung der Rolle zu einem Mitarbeiter als auch extern in der Person eines Dienstleisters ernennen. Das entscheidende Kriterium sollte immer die notwendige Sachkenntnis und Zuverlässigkeit sein, die ein DSB benötigt, um die beabsichtigten Aufgaben richtig erfüllen zu können. Doch was unterscheidet einen internen von einem externen DSB? Wir möchten die Unterschiede anhand wesentlicher Aspekte wie Kompetenz, Haftung und Kündigungsschutz erläutern. Damit Sie die Kosten eines internen und externen DSB direkt vergleichen können, zeigen wir Ihnen anhand einer fiktiven Kalkulation, wie die Investitionen Ihres Unternehmens in den Datenschutz strukturiert sein könnten.

 

Interner DSB

Wenn Sie einen betrieblichen DSB beauftragen, übergibt der Geschäftsführer die Aufgabe des DSB an einen Mitarbeiter des Unternehmens. Erfüllt ein interner Mitarbeiter alle notwendigen Voraussetzungen, kann er zum internen DSB ernannt werden. Nach der Benennung internen DSB steht der Arbeitnehmer unter Kündigungsschutz und hat Rechte auf weitere Ansprüche, wie z.B. eigene Ausrüstung oder Ausbildung.

 

Externer DSB
Im Gegensatz zum internen DSB steht der externe DSB Ihrem Unternehmen als Dienstleister zur Verfügung. Oft sind externe Datenschutzbeauftragte durch ihre Spezialisierung Experten auf ihrem Fachgebiet. Mit einer transparenten Kostenstruktur, vertraglich vereinbarten Preisen und einer variablen Vertragslaufzeit kümmert sich der externe DSB schnell und effizient um Ihr Geschäft und schützt Sie so vor hohen Bußgeldern.

 

Unterschiede zwischen externem und internem DSB
Zunächst lassen sich interne und externe DSBe hinsichtlich der anfallenden Kosten unterscheiden. Hierbei müssen für interne DSBe neben dem regulären Gehalt auch die Aus- und Weiterbildung sowie die Beschaffung von Literatur vom Unternehmen bezahlt werden. Dagegen profitiert Ihr Unternehmen von der transparenten Kostenstruktur bei einem externen DSB, da alle Leistungen und Kosten vertraglich festgelegt sind.

 

In Bezug auf die Kompetenz muss ein interner DSB zunächst zeit- und kostenintensive Weiterbildungsmaßnahmen durchlaufen, um sich das Fachwissen anzueignen, wenn er nicht bereits auf diesem Gebiet spezialisiert ist. Ein externer DSB hingegen kann von Beginn der Zusammenarbeit an zertifiziertes und sofort abrufbares Know-how vorweisen. Im Gegensatz dazu hat der interne DSB jedoch Vorteile bei der Ausbildung, da die Arbeitsabläufe in der Regel bereits bekannt sind, während sich ein externer DSB erst mit den Arbeitsabläufen und Prozessen vertraut machen muss.

 

Bereits bei der Benennung eines betrieblichen Datenschutzbeauftragten sollte eine mögliche, spätere Kündigung berücksichtigt werden. Ein interner DSB unterliegt einem besonderen Kündigungsschutz, der mit der Position des Betriebsrats vergleichbar ist. Die Beauftragung des externen Datenschutzbeauftragten kann jedoch fristgerecht beendet werden.

 

Dies möchten wir Ihnen anhand einer Tabelle näher erläutern:

 

ThemenInterner DSBExterner DSB
KostenNeben dem regulären Gehalt müssen die Kosten für Aus- und Weiterbildung sowie den Erwerb von Literatur vom Unternehmen getragen werdenTransparente Kostenstruktur durch vertraglich vereinbarte Preise
KompetenzenZeitaufwändige und komplexe Weiterbildungsmaßnahmen zur Erlangung des FachwissensZertifiziertes, vorhandenes und sofort abrufbares Know-how
DatenkontrolleAlle Daten bleiben im UnternehmenAlle Daten und das Unternehmensverständnis verbleiben bei einem externen DSB

 

Zeitliche Bindung 100 % Engagement für das ProjektTeilweise projektbezogen und höchstwahrscheinlich mit vielen anderen Unternehmen verbunden

 

Zeit, das Unternehmen zu verstehen Es wird nicht lange dauern, das Geschäft und den Prozess zu verstehen, da der interne DPO ein Teil des Unternehmens warEs braucht Zeit, bis ein externer DSB das Unternehmen versteht und meistens so, als würden Sie für ein Audit bezahlen

 

ReaktionszeitViel schneller, da bereits Teil des UnternehmensWesentlich langsamer, da der externe DSB nicht Teil des Unternehmens war

 

Kündigung des ArbeitsvertragesEin interner DSB ist gesetzlich geschützt. Grundsätzlich können Sie ihm nicht kündigen.Ein externer DSB kann nach Blick in die Vertragsbedingungen und -fristen relativ einfach ersetzt werden

 

Wie viel kostet ein DSB?

 

Nach unserer Erfahrung im Gespräch mit Hunderten von Datenschutzbeauftragten hängen die durchschnittlichen Kosten für einen DSB in Europa vom Stundensatz ab. Der Datenschutzbeauftragte ohne rechtlichen Hintergrund würde etwa 100-200€ pro Stunde kosten. Wenn Ihr DSB ein Rechtsanwalt ist, dann kostet er etwa 300-500€ pro Stunde. Es gibt viele DSBe, die nach dem Stundensatz pro Jahr oder Paket pro Monat arbeiten. Wenn Sie einen externen DSB einstellen, denken Sie daran, dass wenn die Rate wirklich niedrig ist, dieser dann wahrscheinlich viele Kunden hat, so dass Sie keine individuelle Aufmerksamkeit oder Beratung erhalten.

 

Häufige Fehler, die bei der Einstellung eines DSB zu vermeiden sind

  1. Stellen Sie niemanden intern in Ihrem Unternehmen als DSB ein, wenn die Rolle einen inhärenten Interessenkonflikt aufweist. Stellen Sie beispielsweise keine Marketing- oder Kundenbetreuer als DSB ein, da diese möglicherweise voreingenommen sind. Die Arbeitsgruppe 29 schlägt vor, einen internen DSB einzustellen und einen Interessenkonflikt zu vermeiden:
    1. die Positionen ermitteln, die mit der Funktion eines DSB unvereinbar sind, und diesbezügliche interne Regeln aufzustellen, um Interessenkonflikte zu vermeiden;
    2. eine allgemeinere Erklärung über Interessenkonflikte beizufügen;
    3. erklären, dass der DSB in Bezug auf seine Funktion als DSB keinen Interessenkonflikt hat, um das Bewusstsein für diese Anforderung zu schärfen;
    4. Schutzmaßnahmen in die internen Regeln der Organisation aufnehmen und sicherstellen, dass die Stellenausschreibung für die Position des DSB oder des Dienstleistungsvertrags hinreichend genau und detailliert ist, um einen Interessenkonflikt zu vermeiden. In diesem Zusammenhang ist auch zu beachten, dass Interessenkonflikte unterschiedliche Formen annehmen können, je nachdem, ob der DSB intern oder extern rekrutiert wird.
  2. Folgende Funktionen stehen in Konflikt zueinander: Chief Executive Officer, Chief Operating Officer, Chief Financial Officer, Chief Medical Officer, Head of Marketing Department, Head of Human Resources oder Head of IT Department;
  3. Einstellung eines hauptberuflichen Datenschutzbeauftragten, wenn Sie jedoch nur einen nebenberuflichen Datenschutzbeauftragten benötigen.

Hier ist ein Beispiel für einen Terminbrief für einen DSB von ECOMPLY.io

Muster-Bestellschreiben für den DSB:

 

Frau Muster. - Datenschutzbeauftragte -

Beispiel Straße 2

23456 Musterstadt

 

Ernennung von Frau #### zum betrieblichen Datenschutzbeauftragten

Die ACME GmbH ernennt hiermit mit sofortiger Wirkung Frau Sample zur Datenschutzbeauftragten - gemäß Artikel 37 DSGVO unter Hinweis auf § 38 BDSG-neu für unser Unternehmen. Um die Ausübung dieser Rolle als Datenschutzbeauftragter zu erleichtern, berichtet er direkt an die Geschäftsleitung, insbesondere an NAME_GESCHÄFTSFÜHRUNG.

Frau Sample ist mit der Beratung und Ad-hoc-Stichprobenprüfung zur Sicherstellung der unternehmensweiten Einhaltung der Bestimmungen des DSGVO und weiterer Datenschutzbestimmungen betraut.

Konkret ergeben sich ihre Aufgaben aus der DSGVO und sind insbesondere an Artikel 39 DSGVO anzugleichen.

Frau Muster handelt ohne aufsichtsrechtliche Weisung bei der Anwendung von Fachwissen im Bereich des Datenschutzes und wird von der Geschäftsleitung bei ihren Ausführungsbemühungen unterstützt. Zu diesem Zweck kann sie sich bei Bedarf an die für unser Unternehmen zuständige Datenschutzbehörde wenden.

 

Vertretung der Geschäftsführung:

 

 

_______________________________ ______________________________

Ort, Datum  Unterschrift Geschäftsführer

 NAME_GESCHÄFTSFÜHRUNG

 

 


Warum benutzt combyne ECOMPLY.io für Datenschutz?

Combyne, die mobile App, die die Lösung für das Problem des “perfekten Outfits für den perfekten Anlass” parat hat.

Erstelle dein ganz persönliches Outfit mit all deinen Lieblingsstücken und Teilen deiner liebsten Marken. Du kannst auch einfach ein Foto von irgendeinem deiner Outfits machen und sie zu deinem Outfit hinzufügen.

Spare deine Energie für die wirklich wichtigen Dinge, kein endloses An- und Ausziehen, kleide dich auf deinem Smartphone-Bildschirm ein und entscheide dich für die beste Kombination.

Wir haben uns mit Christian Dienst, dem leitenden Geschäftsführer von combyne, zusammengesetzt, um zu erfahren, was ihn an ECOMPLY.io überzeugt hat.

Was bedeutet die DSGVO für Sie?

Christian: Ich bin davon überzeugt, dass sie Unternehmen und Organisationen die Möglichkeit gibt, ihre internen Datenstrukturen darzustellen und ihre Systeme entsprechend zu verbessern. Letztendlich ist es ein internationaler Standard, den Unternehmen brauchen um die Daten und die Privatsphäre ihrer Kunden und Mitarbeiter zu schützen.

Warum müssen Sie compliant werden?

Christian: Ab dem ersten Tag auf dem Weg zur EU-Datenschutz-Grundverordnung, wurde für uns der Datenschutz unserer Nutzer und Angestellten groß geschrieben. Auch wenn wir nicht in riesige Prozesse involviert sind, gibt uns die DS-GVO die Möglichkeit der Strukturierung und der Verbesserung des Datenmanagements. Durch die Etablierung einer datenbewussten Umwelt kann unsere Nutzer-Community und unsere Partner noch besser von unseren Produkten profitieren.

Warum haben Sie ECOMPLY.io gewählt?

Christian: Nachdem sich eine Strategie zum Umgang mit unseren Datenprozessen herauskristallisierte, wurde uns bewusst, wie das von ECOMPLY.io integrierte Format uns unterstützen könnte. Da wir noch immer ein kleines Unternehmen sind (per Definition der DS-GVO-Richtlinien), ist uns eine einfach nutzbare und erreichbare Plattform, die leicht zu handhaben ist, sehr wichtig.

Wer arbeitet mit ECOMPLY.io und wie passt es in Ihre eigenen Prozesse?

Christian: In der Entwurfsphase wurde nur ein kleines Team involviert. Zunächst mussten wir verstehen, welche Prozesse und Implementierungen am geeignetsten sind, woraufhin später das ganze Team einbezogen werden konnte. Der dadurch entstandene Ideen-Pool ist ein unbezahlbarer Mehrwert für unser Unternehmen.

Was hat ECOMPLY.io zu Ihren Vorbereitungen auf die DSGVO Compliance beigetragen?

Christian: ECOMPLY.io war für uns eine tolle Unterstützung. Der Überblick über Prozesse, Anforderungen und Erklärungen hat uns eine Menge Zeit und Energie gespart. Mit der Wahl des passenden Prozesses war der Grundstein gelegt und unsere internen Aktivitäten konnten ganz einfach eingefügt werden. Die dadurch entstandene Prozess-Datenbank ist nun unsere Basis, das ECOMPLY Team stand uns dabei immer mit Rat und Tat zur Seite.

Was waren die Alternativen?

Christian: Mögliche Alternativen wären die Organisation der einzelnen Informationen gewesen, das Erstellen von Vorlagen und allen notwendigen Dokumenten. Dies hätte uns natürlich viel extra Zeit gekostet, um ein gut nutzbares Format zu erstellen und unsere eigenen Inhalte einzufügen. Das hätte unseren Weg zur DS-GVO-Compliance natürlich deutlich verlängert.

Abschließende Worte?

Christian: ECOMPLY bietet uns eine anwenderfreundliche Schritt-für-Schritt-Anleitung zu einem attraktiven Preis und mit tollem Live-Support.

Inspiriert durch combyne’s Reise zur compliance? Holen Sie sich JETZT eine kostenlose probierien!


DSGVO SaaS

10 DSGVO Fragen für SaaS-Unternehmen beantwortet

In den letzten Tagen, direkt nach unserer Produktveröffentlichung, haben wir viele Fragen von Menschen erhalten, die Interesse am Compliance-Prozess haben. Wo fangt ihr an? Was muss ich beachten? Da die DSGVO ab Mai diesen Jahres in Kraft treten wird, werden viele Unternehmen aktiv. Wir denken, dass ein beispielhaftes Unternehmen in den letzten Zügen der DSGVO-Compliance helfen könnte. Woodpecker.co ist eines von ihnen und berichtet uns hier über ihre Vorgehensweise und ihre Gedanken zur Verbesserung im Prozess.

1) Wie haben Sie mit der DSGVO begonnen?

Da unser Unternehmen in Polen angesiedelt ist, sind wir schon recht früh in Kontakt mit der DSGVO gekommen. Wir haben von Anfang an, seit wir von der großen Veränderung gehört haben, versucht up to date mit den neuesten Standards zu sein. Seitdem verfolgen wir den Prozess der DSGVO natürlich sehr präzise.

2) Was waren Ihre ersten Schritte? Erläutern Sie gerne Ihre Schritte

Zunächst haben wir die Verordnung gelesen, was in meinen Augen in jeder Firma ein Verantwortlicher übernehmen sollte, der von A bis Z mit dem Thema vertraut ist. Die DSGVO verursacht viele Sorgen und Panik, genauso wie die daraus resultierende Implementierungen. Das Auseinandersetzen mit dem Thema bringt viel Klärung und Verständnis für die DSGVO.

Später fanden wir einige DSGVO Konferenzen, zu denen wir einen frisch ernannten Datenschutz-Spezialisten sendeten, der sein gesammeltes Wissen mit dem gesamten Team im Anschluss teilte. Dies geschah maßgeschneidert für alle Abteilungen: Office Management, Sales, Marketing - und zeigte uns die Auswirkungen auf unsere Arbeit auf. Der Nutzen war schlichtweg unbezahlbar!

Wir haben unsere Richtlinien und Nutzungsbedingungen angepasst, unsere Newsletter Anmeldeformulare sowie unseren downloadbaren Marketing-Inhalt und die App überarbeitet.

Im Anschluss haben wir uns damit beschäftigt, wie andere Firmen sich auf die DSGVO vorbereiten. Wir haben uns für eine transparente Arbeit mit der DSGVO gegenüber unseren Kunden entschieden. Hier werden wichtige Fragen erklärt, um unsere Kunden und Abonnenten zu informieren.

3) Wie hat sich Ihr E-Mail Marketing bezüglich der DSGVO verändert?

Der erste Schritt war die Sicherstellung, dass unsere Anmeldeformulare klar zu verstehen sind, wie die DSGVO es fordert. Die Dokumente sollten frei von missverständlichen Begriffen sein. Der Nutzer sollte wissen, was genau er unterschreibt.

Die Abonnenten sollten sich mit ihren Daten sicher fühlen, auch wenn sie sie an uns übermitteln. Nach wie vor können sie sich aus dem Newsletter austragen.

Die DSGVO fordert ebenso eine Datenminimierung dass also nur die wirklich notwendigen persönlichen Daten gesammelt werden. Dies war bereits der Fall, wenn es um unsere Marketingkommunikation geht! Wir sammeln nur die wirklich wichtigen Daten um Newsletter versenden zu können. So rufen wir z.B. keine Abonnenten an, da wir ihre Rufnummer nicht speichern.

Im nächsten Schritt haben wir an unserer Signatur am Ende der Newsletter gearbeitet und diese auf Vollständigkeit für die Leser geprüft. Ebenso arbeiten wir an der Rückmeldung an den Abonnenten, dass er die erhaltene Mail bekommt, da er unseren Blog abonniert hat.

4) Was sind die 10 einfachsten Veränderungen und Tipps im Marketing?

  1. Ruhig bleiben! Die DSGVO soll nicht Ihre aktuellen Marketing-Aktivität einschränken, es geht vielmehr darum die Rechte der Nutzer zu schützen.
  2. Glauben Sie nicht alles, was Sie über die DSGVO gelesen haben. Viele Informationen sind vor allem Interpretationen der eigentlichen Verordnung. Trennen Sie die Spreu vom Weizen.
  3. Finden Sie einen firmeninternen Verantwortlichen, der sich einen Überblick darüber verschafft, wie persönliche Daten gehandhabt werden. Ist transparent was mit den Daten passiert? Wer hat Zugang zu den Daten? Ist der Prozess sicher? Falls dies nicht der Fall ist, wird es höchste Zeit so sicher wie möglich zu werden.
  4. Überprüfung der Opt-in-Formulare. Diese sollten kurz und einfach zu verstehen sein, nicht im Kleingedruckten zu finden sein und mit gut lesaren Farben wiedergegeben.
  5. Fragen Sie nach den Informationen, die Sie wirklich brauchen. Die DSGVO fordert, dass die gesammelten Daten verhältnismäßig sind zum Nutzen des Prozesses. Eine Firmenadresse ist z.B. nicht notwendig, wenn der Firma selbst nie etwas zugesandt werden soll.
  6. Halten Sie die Datenbank sauber und transparent. Das regelmäßige Aussortieren und Umstrukturieren ist essentiell. Ist nicht klar, wie ein Abonnent auf die Newsletter-Liste gekommen ist, fragen Sie am besten nach, ob er Teil der Liste sein oder lieber gelöscht werden möchte. Löscht sich ein Nutzer, stellen Sie sicher, dass er vom Mail-Verteiler gelöscht wird.
  7. Seien Sie transparent – Teilen Sie Ihren Nutzern mit, wie sie die Daten weiter nutzen werden. Die DSGVO fordert Transparenz. Die Kunden und Newsletter-Abonnenten müssen verstehen auf welchen Wegen ihre Daten prozessiert werden und was gespeichert wird.
  8. Halten Sie Ihre Versprechen – wenn Sie einen wöchentlichen Newsletter versprechen, senden Sie keine extra Informationen, oder häufigere Mitteilungen an Ihre Abonnenten. Wenn Sie versprechen, dass der Abonnent aus Ihrem Verteiler gelöscht wird, dann tun Sie das auch. In Zukunft ist das Vertrauen in Ihr Wort umso wichtiger.
  9. Schauen Sie sich an, wie die DSGVO in Ihrem Land interpretiert und ausgelegt wird. EU-Staaten unterscheiden sich leicht durch nationale Öffnungsklauseln.
  10. Informieren Sie Ihre Abonnenten und Nutzer über Ihre internen Schritte um der DSGVO gerecht zu werden. Wir erhalten immer noch Anfragen, ob wir denken, dass die App A oder B DSGVO-compliant ist. Und wir können es nicht beurteilen, solange dieses Unternehmen kein Statement zur DSGVO abgegeben hat.

5) Wie lange haben Sie selbst gebraucht, um für die DSGVO compliant zu werden?

Um ehrlich zu sein, sind wir erst auf der Zielgeraden. Wir müssen immer noch an ein, zwei Sachen feilen. Wir sind uns sicher, in weniger als einer Woche soweit zu sein. Wir haben einige Monate daran gearbeitet, da wir die persönlichen Daten unserer User und die ihrer Interessenten verarbeiten. Wir müssen uns auch durch die die DSGVO-Compliance durcharbeiten.

6) Welchen Rat würden Sie Leser geben, die jetzt mit der DSGVO beginnen?

Versuchen Sie nicht alles auf einmal zu machen! Das könnte Sie überfordern. Zumal es im Internet viele widersprüchliche Ratschläge gibt. Beginnen Sie mit kleinen Schritten. So kamen wir auf die Idee, auf unserem Blog eine DSGVO-Checkliste zu erstellen. Wenn Sie nicht wissen, was zu tun ist, nehmen Sie den Rat eines Anwalts. Aber ich bin mir sicher, dass Sie es schaffen, sich selbst um die Einhaltung der DSGVO zu kümmern.

Beginnen Sie sich Gedanken zu machen, welche Daten Sie sammeln und woher Sie sie bekommen. Es geht nicht nur um die Stütze durch die Risikobewertung. Es hilft Ihnen auch zu erkennen, welche Art von Datensicherheitsrichtlinie Sie benötigen.

Ändern Sie die Art, wie Sie über die DSGVO denken. Es handelt sich nicht um eine Politik, die Fehler im gegenwärtigen System abdeckt, sondern um eine Politik, die zeigt, wie das System funktioniert.

7) Wäre eine schrittweise und einfach zu verwendende DSGVO-Lösung sinnvoll, wenn man jetzt damit anfängt?

Das wäre noch besser. Ich denke, dass die Compliance so viel Zeit in Anspruch nahm, weil wir nicht alles an einem Ort hatten. Hätten wir eine Lösung gehabt, mit der wir unsere Arbeit besser organisieren hätten können, hätte es viel weniger Zeit gekostet, um die DSGVO zu erfüllen.

8) Wie sehr hassten Sie es, Excel-Tabellen für die DSGVO zu verwenden?

Wir haben die DSGVO-Dokumente verteilt, weil es viele Informationen gibt, die wir im Auge behalten müssen. Ebenso mussten wir unsere Datenbank überprüfen und alles in unserer Macht stehende tun, um die persönlichen Daten unserer Nutzer und Newsletter-Abonnenten zu sichern. Es wurde sehr hektisch. Wenn wir eine App gehabt hätten oder etwas, das alles unter einem Dach hält und uns zusammenarbeiten lässt, wären wir begeistert gewesen.

9) Sie haben hier erwähnt - "machen Sie eine Liste aller In-App-Bereiche, die beachtet werden müssen, um die Verordnung zu erfüllen (ABGESCHLOSSEN)" - Was waren diese Änderungen?

Als Vertriebs-Automatisierungs-Werkzeug ist Woodpecker beides, Datenverarbeiter und Datenverantwortlicher. Wir verarbeiten personenbezogene Daten und erlauben unseren Nutzern, personenbezogene Daten ihrer Interessenten zu verarbeiten. Aus diesem Grund mussten wir überprüfen, wie wir personenbezogene Daten verarbeiten und wie andere personenbezogene Daten in der App verarbeiten können. Wir müssen vorsichtig mit den Daten unserer Nutzer sein. Und wir müssen es unseren Nutzern ermöglichen, die personenbezogenen Daten ihrer Interessenten in einer Form zu verarbeiten, die der DSGVO entspricht.

10) Haben Sie ein Beispiel für eine “cold E-Mail”, die Sie Ihren Geschäftskontakten auf Basis der DSGVO schreiben, die sich nicht angemeldet haben?

Der Mail-Inhalt ändert sich nicht viel zu dem, wie er vorher war. Es gibt zwei Dinge, die unsere Aufmerksamkeit benötigen, wenn wir eine “cold E-Mail” schreiben. Die erste Sache ist eine eng ausgerichtete Liste auf Erfolgsaussichten. Ein Spray-and-pray-Ansatz war nie effektiv, aber jetzt ist das unter der DSGVO illegal. Wenn wir uns entschließen, jemandem eine “cold E-Mail” zu senden, sollten Sie in der Lage sein zu begründen, warum Sie eine bestimmte Person für diese “cold E-Mail-Liste” ausgewählt haben. Unsere Geschäftsordnung sollte eng mit ihren verbunden sein.

Die andere Sache ist, dass wir transparent sein sollten. Wir sollten Informationen mitgeben oder zumindest darauf vorbereitet sein, gefragt zu werden, ob wir die persönlichen Daten unserer Interessenten verarbeiten und dass potenzielle Kunden jederzeit den Erhalt weiterer E-Mails von uns ablehnen können. Wir haben ein Beispiel dafür in unserem Artikel über die DSGVO.

Sie können Woodpecker.co hier anschauen!

Und wenn Sie nicht wissen, wie Sie Ihren Compliance-Prozess starten sollen oder in vielen Excel-Tabellen ertrinken, Probierien Sie unsere Software bei uns!


Logo EU GDPR

5 grundlegende Gebote der DSGVO und was sie für das E-Mail Marketing bedeuten

5 grundlegende Gebote der DSGVO und was sie für das E-Mail Marketing bedeuten

 

Die DSGVO ist in aller Munde, denn am 25. Mai dieses Jahres wird Sie alleinig rechtskräftig. In diesem Zusammenhang kommen auf Unternehmen einige Anforderungen in Sachen Datenschutz zu. In diesem Beitrag erklärt Ihnen Sarah Weingarten von Newsletter2Go 5 maßgebliche Gebote, welche im Datenschutz gelten und wie Sie diese bei Ihrem E-Mail Marketing am besten beachten. – Der folgende Beitrag dient nur zu Informationszwecken und ist ausdrücklich nicht als rechtliche Beratung zu verstehen.

 

Gebot 1: Das Verbot mit Erlaubnisvorbehalt

 

Das Verbot mit Erlaubnisvorbehalt bezieht sich auf die Einwilligung einer Verarbeitung personenbezogener Daten. Jede Verarbeitung, der nicht von der betroffenen Person zugestimmt wurde, bedarf einer gesetzlichen Erlaubnis. Daten dürfen ohne Erlaubnistatbestand nicht verarbeitet werden. Für den Newsletter-Versand als solchen gibt es keine gesetzliche Regelung. Das bedeutet, dass die Einwilligung von jedem Empfänger gesondert und vor allem vorab eingeholt werden muss.

 

Gebot 2: Die Datensparsamkeit

 

Eine Datenverarbeitung muss generell dem Zweck angemessen sein. Das bedeutet, dass sie sachlich relevant sein muss und sich auf das notwendige Maß beschränkt. Ein gutes Beispiel ist hier das Anmeldeformular für einen Newsletter. Es darf nur ein Pflichtfeld enthalten: die E-Mail-Adresse. Sie ist ausreichend, um Newsletter an individuelle Empfänger zu versenden. Zusätzlich können natürlich noch Name und Geburtsdatum abgefragt werden. Diese Informationen dürfen jedoch nicht verpflichtend für den Betroffenen sein, um die Anmeldung zum Newsletter wirksam werden zu lassen.

 

Gebot 3: Die Zweckbindung

 

Werden personenbezogene Daten verarbeitet, so darf dies nur zu dem Zweck geschehen, für den sie erhoben wurden. Dies bedeutet, dass bei der Datenerhebung konkret mitgeteilt werden muss, für welchen Zweck die Daten verwendet werden. So bedeutet dies zum Beispiel, dass die erhobene Adresse bei einer Bestellung lediglich zu diesem Zweck verwendet werden darf. Möchten Sie Newsletter an diese Adressen versenden, müssen Sie sich eine Einwilligung einholen.

Für E-Mail Marketing bedeutet dies, dass im Anmeldeformular für den Newsletter konkret angegeben werden muss, für welchen Zweck die Daten verarbeitet werden. Hier kann beispielsweise genannt werden, dass dem Betroffenen Produktempfehlungen, Tipps oder Neuigkeiten zum Unternehmen zugestellt werden.

 

 

Gebot 4: Die Datensicherheit

 

Bei der Datenverarbeitung von personenbezogenen Daten ist es wichtig, entsprechende geeignete technische und organisatorische Maßnahmen zu treffen. So sollen die Daten vor Missbrauch geschützt werden. Solche Maßnahmen bedeuten, dass dafür zu sorgen ist, dass keine unberechtigte Person Zugriff auf die erhobenen Daten hat. Das kann beispielsweise durch Passwörter und Verschlüsselungen gewährleistet werden. Für das Newsletter Marketing bedeutet dies, dass Ihre Daten durch Ihren Software-Anbieter sensibel zu behandeln sind. Das bedeutet, dass sie Serverräume beispielsweise gesichert und die Rechenzentren hinreichend geschützt sind.

 

Gebot 5: Transparenz

 

Es ist Transparenz bezüglich der Datenverarbeitung zu gewährleisten. Dies bedeutet, dass Betroffene, also natürliche Personen, deren Daten verarbeitet werden, genau wissen sollen, dass und vor allem welche Daten in Bezug auf ihre Person erhoben wurden. Datenverarbeitende Personen und Unternehmen haben ein Verfahrensverzeichnis zu führen und die entsprechenden Löschfristen zu implementieren. Der Datenverarbeitende ist außerdem verpflichtet, das öffentliche Verfahrensverzeichnis auf Anfrage jederzeit bereitzustellen.

 

 

Und noch etwas: In Sachen Datenschutz und Datenerhebung gilt grundsätzlich, dass jedes Unternehmen für die Datenerhebungen vollumfänglich verantwortlich ist. Sollten Subunternehmen herangezogen werden, wie beispielsweise Servicedienstleister oder auch Softwares, mit denen die Daten verarbeitet werden, muss ein sogenannter Vertrag zur Auftragsverarbeitung abgeschlossen werden. Zwischen Newsletter2Go und seinen Kunden sind die Voraussetzungen an eine Auftragsverarbeitung gegeben, sodass stets ein solcher Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.

 

Mit der DGSVO sollten datenschutzrechtliche Vorgaben künftig gezielter und strenger umgesetzt werden. Das Datenschutzniveau in der EU soll einheitlich werden. Ziel der DSGVO ist es – besonders im Zuge der Digitalisierung der Gesellschaft – dem gläsernen Menschen vorzubeugen und personenbezogene Daten so sicher wie möglich zu behandeln. Wie Sie rechtssicher Newsletter-Abonnenten sammeln und welche Informationspflichten Sie als Unternehmen haben, können Sie in unserem Whitepaper zur DSGVO nachlesen.

 

 


GDPR Ready

Die Datenschutz-Grundverordnung Allgemeine Fragen

Allgemeine Fragen

Was genau ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung des Europäischen Parlaments, des Rats der Europäischen Union und der Europäischen Kommission. Sie soll den Datenschutz für alle Personen in der EU stärken und vereinheitlichen. Ein Thema der Verordnung ist auch der Transfer/Export von personenbezogenen Daten außerhalb der EU.

Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 mit einer Übergangsfrist von zwei Jahren genehmigt. Am 25. Mai 2018 tritt die Verordnung letztendlich in Kraft.

Wen soll diese Verordnung schützen?

Diese Regelung gilt für alle betroffenen Personen (innerhalb der EU). Sie konzentriert sich auf den Schutz personenbezogener Daten, sowie auf ein einfacheres regulatorisches Umfeld für Unternehmen. Es soll sichergestellt werden, dass die betroffene Person der rechtmäßige Eigentümer ihrer personenbezogenen Daten ist und die damit verbundenen Rechte jederzeit gewährleistet sind.

 Welche Unternehmen betrifft die Verordnung?

Jedes Unternehmen, das persönliche Daten sammelt, speichert und verarbeitet, sei es von seinen Kunden, Mitarbeitern oder Partnern. Eine einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Wird die DSGVO meine Firma betreffen? Muss ich sie einhalten?

Wenn Sie mindestens eine dieser Fragen mit JA beantworten, sollten Sie die DSGVO einhalten.

Sammelt Ihr Unternehmen Daten von seinen Kunden?

Sammelt Ihr Unternehmen Daten von seinen Mitarbeitern?

Verarbeitet Ihr Unternehmen digitale Zahlungen (Kreditkarten)?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per E-Mail?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per Post?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter telefonisch?

Versendet Ihr Unternehmen Produkte per Post an Kunden, Lieferanten oder Partner?

 

Wo gilt die DSGVO?

Der räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, soweit es die Verarbeitung von Daten von EU-Bürgern betrifft. Dabei spielt es keine Rolle, ob die Person kurz- oder langfristig in der EU ist. Der räumliche Anwendungsbereich kann nachträglich vertraglich nicht geändert werden. Es spielt auch keine Rolle, welche Art von Dienstleistungen oder Produkten Unternehmen oder Organisationen anbieten. Entscheidend ist nur, ob personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden.

Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Einrichtungen jeder Größe, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, wo sich der Auftragsverarbeiter befindet. Diese Regeln gelten auch für Auftragsverarbeiter, einschließlich Dritter wie Cloud-Anbieter. Erneut die einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Macht die DSGVO einen Unterschied zwischen B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sie gilt gleichermaßen für beide. Hintergrund ist, dass die Datenschutz-Grundverordnung für den Schutz von Einzelpersonen und nicht von juristischen Personen gilt.

 
Spezifische Fragen – Behörden

Wie wird die Verordnung durchgesetzt?

Nach dem 25. Mai 2018 können Organisationen, die gegen die DSGVO verstoßen, auditiert werden und Sanktionen erleiden. Audits können nach dem Zufallsprinzip oder aufgrund von Beschwerden erfolgen. Dies kann für verschiedene Länder der Europäischen Union etwas variieren.

Wer ist meine Datenschutzbehörde?

Jede Europäische Union und das EFTA-Mitglied benennt eine nationale Organisation / Kommission / Agentur / Büro / Behörde, die für die Durchsetzung der DSGVO innerhalb der Grenzen jedes Landes zuständig ist. Diese Behörde stellt Informationen und Unterstützung bereit, prüft Unternehmen und verhängt Sanktionen. Hier finden Sie die Liste aller Websites für jede nationale Behörde in der EU:

Andorra: https://www.apda.ad/
Österreich: https://www.dsb.gv.at/
Belgien: http://www.privacycommission.be/
Bulgarien: https://www.cpdp.bg/
Kroatien: http://azop.hr/
Zypern: http://www.dataprotection.gov.cy/
Tschechisch: Republik https://www.uoou.cz/
Dänemark: https://www.datatilsynet.dk/
Estland: http://www.aki.ee/en
Finnland: http://www.tietosuoja.fi/en/
Frankreich: https://www.cnil.fr/en/home
Deutschland: https://www.bfdi.bund.de/
Griechenland: http://www.dpa.gr/
Ungarn: https://naih.hu/
Island: https://www.personuvernd.is/
Irland: https://www.dataprotection.ie/
Italien: http://www.gpdp.it/
Lettland: http://www.dvi.gov.lv/en/
Liechtenstein: http://www.dss.llv.li/
Litauen: http://www.dvi.gov.lv/en/
Luxemburg: https://cnpd.public.lu/
Mazedonien: https://www.dzlp.mk/
Malta: https://idpc.org.mt/
Monaco: https://www.ccin.mc/
Niederlande: https://autoriteitpersoonsgegevens.nl/
Norwegen: https://www.datatilsynet.no/
Polen: http://www.giodo.gov.pl/
Portugal: https://www.cnpd.pt/
Rumänien: http://www.dataprotection.ro/
Russland: http://eng.rkn.gov.ru/
Serbien: https://www.poverenik.rs/sr/
Slowakei: https://dataprotection.gov.sk/
Slowenien: https://www.ip-rs.si/
Spanien: https://www.agpd.es/
Schweden: https://www.datainspektionen.se/
Schweiz: https://www.edoeb.admin.ch/
Vereinigtes Königreich: https://ico.org.uk/

 

Bei Verstoß gegen die DSGVO ist die Behörde zuständig, in dem das betroffene Unternehmen physisch oder rechtlich ansässig ist. ACHTUNG: Dies gilt unabhängig davon, wo die Verletzung der Privatsphäre aufgetreten ist.

 

Spezifische Fragen – Betroffene Person

Welche Rechte gibt die DSGVO EU-Bürgern?

Die mächtigste Möglichkeit für Unternehmen Zugriff und Kontrolle über Daten erlangen können, ist zunächst die Zustimmung des Betroffenen. Der Betroffene dieser Daten hat dann drei Hauptrechte:

Zugangsrecht: Jeder EU-Bürger hat auf Anfrage das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen besitzt und / oder verarbeitet.

Recht auf Löschung: Jeder EU-Bürger hat das Recht, die Löschung aller Daten zu verlangen, die das Unternehmen von einem erhalten und / oder verarbeitet hat.

Recht auf Datenübertragbarkeit: Wenn eine betroffene Person zu einem neuen Dienstleister wechseln möchte, kann sie verlangen, dass alle ihre persönlichen Daten in einem maschinenlesbaren Standardformat an den neuen Dienstleister übertragen werden.

Was ist die Zustimmung zur Datenverarbeitung?

Bei der Datenerhebung muss das Unternehmen den Zweck klarstellen. Alle Aktivitäten, die mit diesen Daten durchgeführt werden, müssen in den Bedingungen der Einwilligung beschrieben werden, die von der betroffenen Person als Rechtsgrundlage für die Verarbeitung akzeptiert werden müssen.

Die Zustimmung muss ausdrücklich für die erhobenen Daten und die Zwecke erfolgen, für die die Daten verwendet werden (Artikel 7; definiert in Artikel 4). Die Zustimmung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt werden und nachweisbar sein.

Muss die Zustimmung nachgewiesen werden?

Die für die Datenverarbeitung Verantwortlichen müssen in der Lage sein, eine Einwilligung (Opt-in) nachweisen zu können. Die Einwilligung kann zurückgezogen werden, wenn die betroffene Person darum bittet.

Brauche ich immer eine Zustimmung?

Kurz gesagt, nein bzw. nicht immer. Die Zustimmung ist eine rechtmäßige Grundlage für die Verarbeitung von Daten. Es gibt darüber hinaus fünf weitere Möglichkeiten, das Recht an der Verarbeitung von Daten zu erlangen. Die Zustimmung wird nicht immer die einfachste oder am besten geeignete sein.

Sie sollten immer die gesetzliche Grundlage wählen, die am besten geeignet ist und welche Sie ohne überproportionalen Aufwand bekommen können. Wenn die Zustimmung schwierig ist, liegt dies oft daran, dass eine andere gesetzliche Grundlage angemessener ist. Daher sollten Sie die Alternativen in Betracht ziehen.

Es liegt in Ihrer Verantwortung, eine rechtmäßige Grundlage für die Verarbeitung im Rahmen der DSGVO zu ermitteln.

 

Spezifische Fragen – Maßnahmen

Welche schnellen Maßnahmen sollte mein Unternehmen ergreifen?

Suchen Sie zunächst nach professionellen Ratschlägen. Es muss kein Anwalt sein, es gibt viele andere Fachleute, die auf die DSGVO spezialisiert sind, die Ihnen bei der Einhaltung helfen können. Darüber hinaus helfen Ihnen Online-Lösungen für die Einhaltung der DSGVO wie Ecomply bei der Anleitung und können die Arbeit für Sie sehr vereinfachen.

Was sind die Aufzeichnungen der Verarbeitungstätigkeiten?

Für die Einhaltung der DSGVO ist eine der Hauptanforderungen, dass jedes Unternehmen eine detaillierte Beschreibung aller Aktivitäten protokollieren muss, bei denen personenbezogene Daten verarbeitet werden. Diese Beschreibungen werden als „Datensätze“ bezeichnet und bieten einen Überblick über alle Datenverarbeitungstätigkeiten in Ihrer Organisation. Es ermöglicht dem Unternehmen zu verstehen, welche Art von Datenkategorien von wem und für welche Zwecke verarbeitet werden.

Was ist ein Datenschutzbeauftragter (DPO)?

Der Datenschutzbeauftragte ist der Verantwortliche für die Datenschutzaktivitäten und -maßnahmen innerhalb des Unternehmens. Er / Sie hat die Rolle des Sicherheitsleiters inne und ist für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der DSGVO-Anforderungen sicherzustellen.

Was ist ein virtueller DPO?

Es handelt sich um einen externen Datenschutzbeauftragten, der einem Unternehmen Online-Hilfe bereitstellt. Es kann auch eine Gruppe von Personen mit verschiedenen Spezialitäten als DPO-Einheit dienen. Bei zweitem Ansatz sollte eine bestimmte Person als Leiter der DPO-Funktion benannt werden.

Was ist eine Datenverarbeitungsvereinbarung? Wann ist es nötig?

Wenn die Verarbeitungstätigkeiten ausgelagert werden – was bedeutet, dass sie von einem anderen Unternehmen durchgeführt werden – muss ein Vertrag zwischen den Parteien geschlossen werden. Dieser Vertrag ist der so genannte Auftragsverarbeitungsvertrag. Die Vereinbarung muss den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden personenbezogenen Daten, die Kategorien der betroffenen Personen, sowie die Pflichten und Rechte für die Verantwortlichen der Datenverarbeitung festlegen.

Was bedeutet „Privacy by Design“?

„Secure by Design“ bedeutet, dass der Datenschutz während der Entwicklung der Software, des Produkts oder des Prozesses beachtet und integriert wird. Die Verarbeitung der Daten soll verständlich sein und das Produkt, die Software oder der Prozess über Werkzeuge verfügen, die den betroffenen Personen das Recht auf Zugang, Löschung und Übertragbarkeit gewähren.

Wie wird das CCTV-Sicherheitssystem von der DSGVO beeinflusst?

Aufnahmen von Überwachungsvideos unterliegen der DSGVO, da sie zur Nachverfolgung und Identifizierung von Personen verwendet werden können. Es ist wichtig, einen klaren Zweck für diese Angelegenheit vorzulegen, ebenso wie die Zustimmung der Personen, die aufgezeichnet werden.

Wie wird der E-Mail-Posteingang des Mitarbeiters beeinflusst?

Jeder E-Mail-Account eines jeden Mitarbeiters ist privat und enthält personenbezogene Daten. Damit die Firma vorsätzlich darauf zugreifen kann, muss der Mitarbeiter dazu ausdrücklich zustimmen. Wenn ein Mitarbeiter das Unternehmen verlässt, kann das Unternehmen eingehende Nachrichten entweder an eine von diesem Benutzer bestimmte Adresse weiterleiten oder um Erlaubnis (Zustimmung) bitten, auf diese neuen Nachrichten zugreifen zu dürfen.

 
Spezifische Fragen – Klassifikationen

Was ist der Unterschied zwischen persönlichen und sensiblen Daten?

Personenbezogene Daten werden auf Informationen bezogen, die sich auf die betroffene Person beziehen und die dazu genutzt werden können, ihre Identität direkt oder indirekt zu bestimmen.

Sensible Daten beziehen sich auf die Informationen in Bezug auf die Grundrechte, die Intimität und den freien Willen der betroffenen Person. Beispiele hierfür sind Krankenakten, religiöse Überzeugungen, politische Meinungen, biometrische Daten oder genetische Daten.
 

Spezifische Fragen – Strafen

Was sind die Strafen?

Gemäß Artikel 83 Absatz 5 DSGVO kann die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Nach Art. B. kann ein Unternehmen mit 2% verurteilt werden, wenn es seine Aufzeichnungen nicht in der richtigen Reihenfolge führt (Artikel 28).

 

Spezifische Frage – Deutschland

Wer ist der „Verantwortliche“ und welche Aufgaben hat er / sie?

Ein für die Verarbeitung Verantwortlicher ist eine „natürliche oder juristische Person, Agentur, Institution oder andere Einrichtung“, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet. Er entscheidet „über die Zwecke und Mittel der personenbezogenen Datenverarbeitung“ (Artikel 4 (7) DS-BER).
Die Entscheidung über die Zwecke und die Schutzmaßnahmen muss jedoch im Rahmen der Bestimmungen der DSGVO erfolgen. Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend den Schutzbedürfnissen ausgewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und Zweckmäßigkeit der Datenverarbeitung, sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, sicherstellen. Er muss auch die Einhaltung der DSGVO nachweisen können.

Was bedeutet „Prozessor“?

Ein Prozessor oder auch Verarbeiter ist eine „natürliche oder juristische Person, Behörde, Stelle oder Organisation, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet“ (Artikel 4 Absatz 8 DS-GMO). Der Prozessor verarbeitet die personenbezogenen Daten nur im Rahmen von Anweisungen der verantwortlichen Person. Er ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.

Im Vergleich zu den vorherigen Regelungen, was sind die wichtigsten Änderungen?

Der Anwendungsbereich der Verordnung wird auf alle Verarbeitungen ausgeweitet, die sich
an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten.

Es gibt einige neue Begriffsdefinitionen (Artikel 4):
Beispiele:
– Umfassender Verarbeitungsbegriff (Art. 4 Nr. 2) – Aufhebung der Dreiteilung
(Erhebung, Verarbeitung, Übermittlung)
– Auftragsverarbeiter (Art. 4 Nr. 8) – keine Beschränkung mehr auf Auftragsverarbeitung im EWR
– Profiling (Art. 4 Nr. 4)
– Einwilligung (Art. 4 Nr. 11)
– Besondere Arten von Daten: So gibt es z. B. unter der DSGVO neue Definitionen für
»biometrische Daten« und »genetische Daten« (Art. 4 Nr. 12, 13). Unternehmen, die z. B.
mit Verfahren wie Gesichtserkennung und Fingerabdruck arbeiten. Sie sollten nicht nur die
neuen Definition, sondern auch die damit verbundenen Vorschriften prüfen.

Die Verarbeitung zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders
geregelt als im BDSG – Weiterverarbeitung nur bei kompatiblen Zwecken zulässig (war auch
in der Richtlinie schon so, aber im BDSG anders umgesetzt).

Die Anforderungen an die freiwillige Einwilligung wurden graduell erhöht.

Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt.

Das Kopplungsverbot wurde verschärft.

Die Informations- und Auskunftspflichten wurden um weitere Angaben erweitert.

Es gibt eine neue Portabilitätsverpflichtung für Daten: diese muss in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden.

Die Löschpflicht wird erweitert (Hinweispflicht bei Weitergabe von Daten an Dritte).

Das Widerspruchsrecht wird erweitert.

Die »Joint Controllership«, bei der zwei verantwortliche Stellen gemeinsam Daten mit
jeweils vertraglich festgelegten Verantwortlichkeiten verarbeiten, war im BDSG ebenfalls
nicht enthalten (jedoch schon in der EU-Richtlinie enthalten).

Die Pflichten im Auftragsverhältnis haben sich teilweise geändert. Der Auftragsverarbeiter
wird für seinen Verantwortungsbereich stärker in die Pflicht genommen. Er hat eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen auch direkt gegenüber
den Betroffenen.

Die Verordnung hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker
risikobasierten Ansatz, der eine Dokumentation der Risikoeinschätzung nötig macht.

Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-
Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung der Verfahren
bei der Aufsichtsbehörde (Vorabkontrolle gem. §4d Abs. 5 BDSG).

Ausweitung der Meldepflicht bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall,
der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Der Vorfall muss binnen 72 h gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.

Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem
Hauptsitz bzw. der Niederlassung.

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht – auf bis zu 4% des
weltweiten Umsatzes pro Verstoß.



Was ist zum größten Teil gleich geblieben?

Bereits bestehende Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Transparenz bleiben erhalten. Ab 2018 wird die Datenverarbeitung weiterhin eine Rechtsgrundlage haben, z.B. sind „Vertragserfüllung“ oder „Zustimmung der betroffenen Person“ erforderlich. Die wesentlichen Rechtsgrundlagen für die Datenverarbeitung bleiben: eine heute zulässige Datenverarbeitung wird ebenfalls ab 2018 erwartet.

 

Gilt die DSGVO nur für die neu erworbenen Daten und Anwendungen?

Nein, die neue Verordnung betrifft alle bestehenden und neuen Daten. Das bedeutet, dass die DSGVO auch Daten betrifft, die im Voraus gespeichert wurden. Die Einhaltung der Vorschriften muss daher für alle – sowohl alte als auch neue – Verarbeitungen überprüft werden. Die folgenden Probleme sollten zum Beispiel berücksichtigt werden:

– Entspricht die bestehende Dokumentation der Datenverarbeitungsprozesse den neuen Datenschutzanforderungen?

– Werden die erweiterten Informationspflichten innerhalb der bestehenden Datenschutzrichtlinie erfüllt?

– Sind die formellen Voraussetzungen für die Einwilligung erfüllt?

– Berücksichtigt der bestehende Risikomanagementprozess die Anforderungen zur Ermittlung geeigneter technisch-organisatorischer Schutzmaßnahmen?

Brauche ich noch einen Datenschutzbeauftragten?

Nach heutigem Stand wird ein Datenschutzbeauftragter in Deutschland weiterhin benötigt, wenn mindestens zehn Personen im Unternehmen mit der automatisierten Datenverarbeitung beschäftigt sind.

Wer ist für die Einhaltung der DSGVO im Unternehmen verantwortlich?

Auch wenn ein Datenschutzbeauftragter bestellt wird, liegt die Verantwortung für die Einhaltung der DSGVO ausschließlich beim Verantwortlichen / beim Unternehmen. Der Datenschutzbeauftragte (DPO) berät und unterstützt nur bei der Umsetzung.


DSGOV Glossar

Wie hält man sich an die Datenschutzgrundverordnung (DSGVO)? Einblicke von Mailjet's Datenschutzbeauftragter Darine Fayed

Mailjet ist eines der wenigen Unternehmen, das nach dem DSGVO-Standard arbeitet und das die damit verbundenen Regulierungen einhält. Letzte Woche habe ich mich mit Darine Fayed, Head of Legal und Data Protection Officer (DPO) von Mailjet, getroffen, um zu verstehen und zu erfahren, wie ihr Weg zur DSGVO-Konformität ausgesehen hat und inwiefern SaaS-Unternehmen mit der DSGVO konform sind. Darine gab uns Einblicke in einige Verfahren von Mailjet, mithilfe derer sie nach dem DSGVO-Standard arbeiten.

In diesem Interview erklärte Darine uns, dass Compliance nicht nur Gesetze und Vorschriften betrifft, sondern auch eine verbesserte Kundenerfahrung schafft. Darine sprach ausführlich über die Aufzeichnung der Verarbeitungstätigkeiten, deren Vorteile für den Rest des Unternehmens und die Ressourcen, die vor dem offiziellen Stichtag eingehalten werden müssen.

Wie haben Sie mit Ihren Aufzeichnungen für ein Verzeichnis von Verarbeitungstätigkeiten (Records of Processing Activities, RPA) begonnen?

Wir haben mit einer Compliance-Roadmap begonnen, in der wir alle Pflichtaufgaben aufzählten, die wir vor unserer Deadline im Dezember 2017 erledigen mussten, um unseren Kunden vor dem offiziellen Stichtag die Einhaltung der DSGVO-Vorschriften anbieten zu können.

Eine der Pflichtaufgaben auf unserer Liste bestand darin, eine Aufzeichnung der Verarbeitungtätigkeiten, siehe Art. 30, zu führen. Dieser Artikel beinhaltet grundsätzlich, dass wir als Organisation den Überblick über alle Daten, die wir sammeln, aufbewahren und verarbeiten haben müssen und dass wir die verantwortliche Partei für diese Daten identifizieren, auch um sicherzustellen, dass die Aufbewahrungsfrist eingehalten wird.

Es war ein Identifikationsprozess für uns – um uns einen globalen Überblick über die von uns gespeicherten Daten zu verschaffen und den Datenfluss richtig zu verwalten. Unser gesamtes Verarbeitungsverzeichnis war einer unserer Roadmap-Schritte zur Einhaltung der Datenschutzrichtlinien.

Einige Unternehmen sind der Meinung, dass sie die RPA (Records of Processing Activities) nicht durchführen müssen. Wie haben Sie das für Mailjet als Verpflichtung identifiziert?

In unserem Fall bedienen wir mehr als 100.000 Kunden in Mailjet und verarbeiten eine große Menge von persönlichen Daten unserer Kunden, die alles enthalten, was sie in unsere Plattform eingeben, wie z.B. die Kontaktliste, die ihre E-Mail-Adresse enthält, sowie andere spezifische Informationen wie das Geschlecht oder eine andere persönliche Kennung dieser bestimmten Person. Daraus haben wir erkannt, dass wir uns in großem Umfang mit dieser Art von Daten beschäftigen.

Und ich weiß, dass es eine Ausnahme im Sinne der Datenschutz-Grundverordnung für kleine und mittlere Unternehmen gibt – dass jedes Unternehmen, das weniger als 250 Beschäftigte hat und einen Umsatz von weniger als einem bestimmten Euro-Betrag hat, von der Steuer befreit sein kann. Aber für uns geht es nicht nur um die Einhaltung der DSGVO, sondern es gibt auch andere Vorteile, die hinter den Aufzeichnungen der Verarbeitungstätigkeiten stehen. Es ist wichtig für die gesamte globale Sicht unseres Unternehmens,  für grundlegende Geschäftsverfahren und eine gute Organisation.

Es ist auch sehr wichtig für Unternehmen ein umfassendes Verständnis dafür zu haben, welche Daten gesammelt werden. Dies  hilft, die anderen Verpflichtungen zu identifizieren und einzuhalten, die Unternehmen im Rahmen der Datenverarbeitungsregeln haben.

(Erfahren Sie mehr über die Ausnahmen für Kleinst- und Kleinunternehmen in diesen Richtlinien.)

Wenn aus Ihrer Sicht eine kleine Firma, sagen wir zehn Mitarbeiter, sehr oft personenbezogene Daten verarbeitet, denken Sie, dass sie der DSGVO entsprechen müssen?

Ja, wenn es in großem Maßstab ist. Die Leitlinien der Arbeitsgruppe haben uns einige Hinweise gegeben, was die Verarbeitung im großen Maßstab bedeutet, und sie ist nicht sehr groß in Bezug auf die Menge, sondern basiert auf Ihrer Aktivität und dem Anteil an der Verarbeitung dieser Daten.

Das Beispiel der Arbeitsgruppe beschreibt diese Situation sehr gut. Betrachten Sie ein Krankenhaus, wo sie Patienten aufnehmen und behandeln. Das hat mit der Datenverarbeitung an sich nichts zu tun, ein Krankenhaus ist kein Technologieunternehmen. In einem Krankenhaus kommen Patienten jeden Tag an, um von Ärzten behandelt zu werden, und wenn sie ankommen, gehen oder während eines anderen Prozesses, zeichnet das Krankenhaus die Informationen des Patienten, wie Name und Gesundheitsinformationen auf. Obwohl das Hauptgeschäft in der Behandlung von Patienten besteht, sammelt und verarbeitet das Krankenhaus s sensible Daten dieser  Patientenit . Da sie jedoch eine große Datenmenge  verarbeiten, müssen sie eine Aufzeichnung der Verarbeitungsaktivität führen.

Es basiert nicht nur auf der Aktivität, sondern auch darauf, ob Sie Ihre Datenverarbeitungstätigkeiten analysieren müssen.

Die Verarbeitung von Daten ist für uns bei Mailjet das Herzstück oder der Kern unserer Aktivitäten. Wir drehen personenbezogene Daten um, wir stellen Statistiken aus. Auf der Basis unserer Software als Servicetechnologie, betrachten wir das als einen großen Aspekt für uns und müssen dies auf einem hohen Sicherheitsniveau für unsere Kunden halten.

Wie viele Verarbeitungstätigkeiten gibt es für Mailjet als Softwareanbieter?

Es gibt keine genaue Zahl, aber wir schätzen, dass es unter hundert Aktivitäten in drei verschiedenen Rollen sind.

Zunächst verarbeiten wir die Daten unserer Kunden. Diese Daten werden uns von unseren Kunden zur Verfügung gestellt, wenn sie Daten über sich selbst, ihre Firma und Kreditkartendaten angeben, um ihre Konten zu bearbeiten. Diese Daten werden basierend auf dem Vertrag zwischen Mailjet und unseren Kunden gesammelt.

Die zweite Rolle ist die Datenverarbeitung von Endempfängern, d. h. die betroffenen Personen. In Mailjet versenden wir im Auftrag unserer Kunden täglich eine große Menge an E-Mails. Diese E-Mails werden von den betroffenen Personen empfangen, da unsere Kunden E-Mail-Adressen eingegeben haben. Es besteht kein Vertrag zwischen uns und dem Endnutzer, sondern wir verarbeiten ihre Daten im Auftrag unserer eigenen Kunden. In diesem Fall müssen wir immer noch die Rechte der betroffenen Personen oder Endbenutzer respektieren.

Und schließlich ist unsere dritte Rolle die Datenverarbeitung für eigene Mitarbeiter und Auftragnehmer. Als Unternehmen behandeln und verarbeiten wir HR-bezogene Daten über unsere internen Prozesse und Mitarbeiter. Dies bezieht sich auf die Gehaltsabrechnungen und andere Aktivitäten in Bezug auf unsere Mitarbeiter.

Wie lange dauerte der gesamte Prozess der RPA?

Für uns war dies ein sehr langer Prozess, der mehrere Monate und viel Mühe in Anspruch nahm. Wir beauftragten einen Manager, der verschiedene Personen in verschiedenen Abteilungen befragte, um die Daten, die wir bei Mailjet sammeln, besser zu verstehen. Im Grunde betrachtete er die Datenbanken, um die verschiedenen Arten der vorhandenen Daten herauszufinden. Er identifizierte die untergliederten Datenbanken und was in jeder von ihnen gespeichert ist, all das kostet Zeit und Mühe.

Hat die RPA Mailjet als Unternehmen irgendwie geholfen? Hinsichtlich der Vorteile haben Sie bereits über gute Geschäftsverfahren gesprochen. Aber hat euch das überhaupt geholfen?

Es hat uns bei unseren anderen Aufgaben geholfen, die Daten, die wir haben, besser zu verstehen. Darüber hinaus hat es uns geholfen, bessere Geschäftsentscheidungen in Bezug auf die Vorratsdatenspeicherung zu treffen und zu entscheiden, welche Daten wirklich notwendig sind, um unseren Service bereitzustellen.

Was ist entscheidend für diesen RPA-Prozess, bevor Sie mit dem gesamten Prozess beginnen?

Die entscheidenden Ressourcen sind Zeit, Personal und Befugnisse für den Zugriff auf die Daten. Unternehmen, die diesen Prozess erst nah am Haupttermin beginnen, haben möglicherweise nicht genug Zeit, um dies zu tun, da dies normalerweise viel Zeit und Ressourcen in Anspruch nimmt.

Für uns bei Mailjet können wir niemanden vom IT-Team fragen. Die brauchen die richtige Person, die Zugriff auf die Datenbanken hat. Es gibt nur bestimmte Personen mit Zugriff auf die Daten in Mailjet.

(So schlägt Ihnen Mailjet vor, sich für den Start bereit zu machen!)

Und wie viele Abteilungen und Personen waren an diesem ganzen Prozess beteiligt?

Die Einhaltung der DSGVO betrifft die gesamte Organisation. Es handelt sich nicht nur um die Rechtsabteilung oder die IT-Abteilung. Es ist ein kollaborativer Prozess, der verschiedene Rollen beinhaltet. Sie brauchen ein oder zwei Leute, die das Projekt anführen. Für uns war das die Rechtsabteilung, die sich um die Organisation der Roadmap und dann um die Datenregistrierung kümmerte und letztendlich identifizierte, welche Informationen enthalten sein mussten.

Stark involviert war auch die IT-Abteilung, die bei Mailjet in ein Entwicklungsteam und ein operatives Team aufgeteilt ist und vom CTO Pierre Puchois geleitet wird. Das operative Team war für die Implementierung und Modifikation verschiedener IT-Prozesse verantwortlich.

Haben Sie die Möglichkeit, mit den Marketing- und Verkaufsabteilungen zu sprechen, da es ja auch Prozesse gibt, die diese Abteilungen betreffen?

Ja! Jeder muss mitmachen, um Mailjet zur Einhaltung der DSGVO zu bringen. Unser Compliance-Manager hat sich mit allen anderen Managern, einschließlich Vertrieb und HR, zusammengesetzt, um alle benötigten Informationen zu erhalten und die Kommunikation und Prozesse intern zu überarbeiten.

In der Regel stellt sich die Frage, ob die Aufzeichnungen der Verarbeitungstätigkeiten regelmäßig aktualisiert werden sollen. Wie oft wird die Mailjet-Registrierungsdatenbank für Verarbeitungstätigkeiten aktualisiert?

​​Anstelle von festen Fristen haben wir Meilensteine, um sie zu aktualisieren. Zu Beginn, als wir die Dokumentation während der Erstellung der Datei starteten, haben wir regelmäßig alle zwei Wochen aktualisiert.

Jetzt, da die Datei vollständig ist, wird sie mindestens alle sechs bis acht Monate aktualisiert. Wennn ein neues Produkt oder eine Funktion mit neuen Spezifikationen entwickelt wurde, wird gegebenfalls auch das RPA aktualisiert, sobald das Team die Genehmigung von der Datenschutzseite erhält.

Haben Sie eine Software zur Verwaltung dieser RPA verwendet?

Nein. Es wurden keine externen Tools verwendet.

Die IT-Abteilung verfügte über eigene IT-Tools, die  intern entwickelt wurden und gewartet werden. Sie führten eine Suche in den Datenbanken durch, um alle Arten von gespeicherten Daten (persönliche und nicht personenbezogene Daten) zu finden.

Wenn Sie die Möglichkeit hätten, dies per Software zu tun, hätten Sie sich dafür entschieden, weil es Ihnen in irgendeiner Weise hätte nützen können?

Ja! Je mehr Ressourcen desto besser, besonders wenn die Zeit begrenzt ist. Und ich denke, wenn wir weniger Zeit bei Mailjet hätten, hätten wir vielleicht eine Software verwenden können.

Wenn Sie eine Software hätten, was wäre die erste Software gewesen, die Sie für die verschiedenen Aspekte in den Aufgaben verwendet hätten? Hätten Sie mit etwas Bestimmten angefangen, wenn es beispielsweise eine Einwilligungssoftware, RPA oder ein Audit-Tool gäbe? Welche Software wäre das und in welcher Richtung der DSGVO?

Ich habe mehrere Konferenzen zu diesem Thema besucht und ich habe verschiedene Softwares gesehen. Für Personen, die ganz am Anfang stehen und nicht wissen wo sie anfangen sollen, könnte eine Management-Software der richtige Weg sein. Auch aus Sicht der Revision könnte es eine interessante Software sein, da manchmal eine externe Person oder Organisation benötigt wird, die analytische Hilfe leistet.

Ein Tipp für Unternehmen, die ihren DSGVO-Prozess jetzt starten?

Ein Tipp wäre, die richtigen Drittanbieter zu wählen. Weil es auch Ihre Verantwortung ist, konforme Drittanbieter zu haben. Sie könnten Probleme haben, wenn Sie die anderen Dienste, die Sie verwenden, nicht überprüfen oder verifizieren. Und Sie haben immer noch die Zeit bis Mai 2018, um auf konforme Anbieter umzusteigen.

(Erfahren Sie mehr darüber, wie Mailjet mit Drittanbietern handelt: hier)

Über Mailjet: Mailjet ist eine All-in-One-Lösung zum Senden, Verfolgen und Liefern von Marketing- und Transaktions-E-Mails. Die Cloud-basierte Infrastruktur ist einzigartig und hochskalierbar mit einer proprietären Technologie, die die Zustellbarkeit von E-Mails optimiert. Mailjet kann entweder über eine einfach zu bedienende Online-Drag-and-Drop-Schnittstelle oder über APIs aufgerufen werden, mit denen Entwickler ihre Funktionen in ihre Online-App oder ihren Online-Service oder ihr ausgeklügeltes SMTP-Relay integrieren können. Mailjet hat weltweit Niederlassungen (einschließlich Paris, London, Berlin, Toronto und New York) sowie 100.000 Kunden und Partnern in 150 Ländern.