Was ist ein Datenschutzbeauftragter? Ein Ratgeber für die Einstellung nach der Datenschutz-Grundverordnung (DSGVO)

Seit 25. Mai 2018 ist die neue Datenschutz-Grundverordnung in Kraft. Haben Sie zu diesem Zeitpunkt noch keinen Datenschutzbeauftragten bestellt, dann hilft Ihnen dieser Ratgeber dabei.
Schritt für Schritt werden wir alle Ihre Fragen über Datenschutzbeauftragte beantworten.

 

Was ist ein Datenschutzbeauftragter (DSB)?


Datenschutzbeauftragte sind die Verantwortlichen für den Datenschutz und die Umsetzung der entsprechenden Maßnahmen innerhalb des Unternehmens. Sie sind zuständig für die Überwachung der Datenschutz-Strategie, um die Einhaltung der DSGVO-Richtlinien zu gewährleisten. Außerdem berichten sie direkt an die Geschäftsführung des Unternehmens.

 

Wer benötigt einen Datenschutzbeauftragten?

Laut Gesetzestext benötigen Sie einen Datenschutzbeauftragten, wenn:

 

  • mehr als 9 Personen in Ihrer Firma mit personenbezogenen Daten arbeiten;
  • Sie Daten in großem Umfang verarbeiten. Das würde bedeuten, dass die Daten, die Sie sammeln, verarbeiten, speichern oder verwenden, eine große Anzahl von Personen betreffen. Beispielsweise eine Stadt-Bevölkerung, oder die Verarbeitung von persönlichen Daten für verhaltensorientierte Werbung durch eine Suchmaschine (Profiling);
  • Ihre Verarbeitung durch eine öffentliche Behörde oder Körperschaft durchgeführt wird;
  • Sie sensible Daten über Gesundheit, Gewerkschaftsmitgliedschaft, Standorte, sexuelle Orientierung, genetische Daten oder Kinderdaten verarbeiten;
  • Sie systematisch überwachen und verfolgen. Zum Beispiel, wenn Sie Videodaten von Nutzern systematisch überwachen oder Internetnutzer systematisch auswerten, um TV-Bewertungspunkte zu überprüfen;
  • Sie spezielle Kategorien von Daten verarbeiten, die im Zusammenhang mit Straftaten stehen könnten;
  • Sie ein Auftragsdatenverarbeiter sind und systematisch Daten wie Internetverkehr, IP-Adresse oder Besucher überwachen.

 

Was sind die grundlegenden Verantwortlichkeiten eines Datenschutzbeauftragten?

Ein Datenschutzbeauftragter sollte für die folgenden Aufgaben verantwortlich sein:

  • Informierung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsdatenverarbeitenden sowie der Mitarbeiter, die für die Verarbeitung gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten durchführen;
  • Überwachung der Einhaltung dieser Verordnung oder anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Dazu gehört auch die Einhaltung der Grundsätze des für die Verarbeitung Verantwortlichen oder Verarbeiters im Hinblick auf den Schutz personenbezogener Daten: Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des Personals in Verarbeitungsvorgängen sowie die damit verbundenen Prüfungen;
  • Beratung bezüglich der Datenschutz-Folgenabschätzung gewährleisten, falls dies gefragt ist, sowie Überwachung seiner Leistung gem. Art. 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich der vorherigen Beratung (siehe Art. 36 DSGVO);
  • Angemessene Berücksichtigung der mit der Verarbeitung verbundenen Risiken bezüglich Art, Umfang, Kontext und Zweck der Verarbeitung.

 

Das bedeutet, dass ein Datenschutzbeauftragter der Koordinator zwischen der Firma und der Aufsichtsbehörde ist. Er/Sie ist außerdem dafür verantwortlich, auf Betroffene, d.h. Verbraucher/Kunden des Unternehmens, zu reagieren. Im Rahmen der DSGVO haben Betroffene nämlich das Recht, Zugriff auf ihre erfassten und verarbeiteten Daten anzufordern (sog. Auskunftsrecht der betroffenen Person, Art. 15 DSGVO).

 

Was sind die grundlegenden Aufgaben eines Datenschutzbeauftragten?
Dieser Abschnitt zeigt nun, welche Aufgaben aus den oben genannten Verantwortlichkeiten/Zuständigkeiten entstehen. Datenschutzbeauftragte (DSB) müssen demnach sicherstellen, dass die Datenschutz im Zusammenarbeit mit der Datenschutzbehörde eingehalten werden. Ein DSB muss:

 

  • sicherstellen, dass der Verantwortliche (die Firma) und die betroffenen Personen über ihre Datenschutzrechte, -pflichten und -pflichten informiert werden und gleichzeitig auf diese aufmerksam gemacht werden;
  • der DSGVO entsprechende Datensicherungsziele und -grundsätze erstellen und sicherstellen, dass diese vom Unternehmen eingehalten werden;
  • den Unternehmen Beratung und Empfehlungen bezüglich der Auslegung und Anwendung der Datenschutzbestimmungen geben;
  • Aufzeichnungen über die Verarbeitungstätigkeiten innerhalb des Unternehmens erstellen und den EDSB über diejenigen informieren, die spezifische Risiken aufweisen (sogenannte Vorabkontrollen);
  • die Einhaltung des Datenschutzes innerhalb des Unternehmens sicherstellen und diesem helfen, Rechenschaft abzulegen;
  • Anfragen oder Beschwerden von Seiten des Unternehmens, des für die Verarbeitung Verantwortlichen, anderer Personen oder auf eigene Initiative bearbeiten;
  • Anfragen zu Untersuchungen, zur Bearbeitung von Beschwerden und behördliche Inspektionen kooperativ beantworten;
  • das Unternehmen auf Verstöße gegen die Datenschutzvorschriften aufmerksam zu machen;
  • bei Bedarf eine Datenschutz-Folgenabschätzung durchführen und diese monatlich, vierteljährlich und jährlich überprüfen;
  • eine Datenverarbeitungsvereinbarung erstellen und mit diese mit Drittparteien abstimmen;
  • Datenschutzerklärungen, Cookie-Richtlinien und andere Datenschutzrichtlinien erstellen und aktualisieren;
  • Mitarbeiter an der Datenverarbeitung schulen;
  • Prüfungen durchführen, um die Einhaltung sicherzustellen.

 

 

Qualifikationen für Datenschutzbeauftragte

Es gibt keine genauen im Gesetz niedergeschriebene Qualifikationen. Aber das Gesetz sagt: "Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seines Fachwissens über Datenschutzgesetze und -praktiken ernannt.” Datenschutzbeauftragte sollten mindestens 30-60 Stunden geschult werden, um das Gesetz und seine Anforderungen zu verstehen. Sie können Ihren Datenschutzbeauftragten z.B. an folgenden Stellen schulen lassen:

 

  1. IAPP-Zertifizierungen
  2. TÜV in Deutschland
  3. IT-Governance in Großbritannien

 

Da es keine genauen Kriterien gibt, schlagen wir vor, dass Ihnen eine angemessene Schulung oder Zertifizierung für eine bestimmte Anzahl von Stunden helfen sollte. Wenn Ihr Datenschutzbeauftragter von Beruf Rechtsanwalt ist, würde dies die Ausbildung erleichtern.

Was kann eine Firma tun, um ihren DSB zu unterstützen?

Sie müssen sicherstellen, dass:

 

  • der DSB in alle Fragen des Datenschutzes eng und zeitnah eingebunden ist;
  • der DSB an die oberste Führungsebene, also Vorstand, Ihres Unternehmens berichtet;
  • der DSB unabhängig arbeitet und für die Ausübung seiner Aufgaben nicht entlassen oder bestraft wird;
  • Sie angemessene Ressourcen (ausreichend Zeit, finanzielle Mittel, Infrastruktur und gegebenenfalls Personal) zur Verfügung stellen, damit der DSB seinen Verpflichtungen im Zusammenhang mit dem DSGVO nachkommen und seinen Fachkenntnisstand aufrechterhalten kann;
  • Sie dem DSB angemessenen Zugang zu personenbezogenen Daten und Verarbeitungstätigkeiten gewähren;
  • Sie dem DSB angemessenen Zugang zu anderen Diensten innerhalb Ihres Unternehmens geben, so dass dieser wesentliche Unterstützung, Anregungen oder Informationen erhalten kann;
  • Sie bei der Durchführung einer DPIA den Rat Ihres DSB einholen und
  • Sie die Details Ihres DSB als Teil Ihrer Verarbeitungsprozesse erfassen.

 

Dies zeigt, wie wichtig der Datenschutzbeauftragte für Ihre Organisation ist und dass Sie ihn ausreichend unterstützen müssen, damit er seine Aufgabe selbständig wahrnehmen kann. Dazu gehört auch, dass Ihr DSB, wie oben bereits erwähnt, an die oberste Führungsebene berichtet. Dies bedeutet nicht, dass der DSB auf dieser Ebene geführt werden muss. Aber er muss direkten Zugang haben, um Führungskräfte, die Entscheidungen über die Verarbeitung personenbezogener Daten treffen, zu beraten.

 

Top 10 Praktiken für die Einstellung eines DSB

 

Als Verantwortliche/r für die Datenverarbeitung oder als Auftragsdatenverarbeitende/r sind die folgenden Vorgehensweisen für die Einstellung eines Datenschutzbeauftragten empfehlenswert:

 

  1. Datenschutzbeauftragte finden Sie in LinkedIn & Facebook Groups mit dem Suchbegriff “DSGVO” für Gruppen;
  2. Die IAPP hat eigene Gruppen, in denen Sie 40.000 verschiedene Datenschutzexperten finden können;
  3. Konferenzen zum Thema DSGVO wie Gipfeltreffen und Versammlungen sind ein guter Ort, um solche Datenschutzbeauftragten zu finden;
  4. Beauftragen Sie einen DSB oder einen auf diesem Gebiet spezialisierten Rechtsanwalt;
  5. Stellen Sie sicher, dass Ihr DSB Ihre IT-Infrastruktur und Ihre Anwendung versteht;
  6. Sie können einen externen DSB bestellen, der also kein fester Mitarbeiter Ihrer Firma ist;
  7. Ein DSB sollte über große Führungs- und Verhandlungsfähigkeiten verfügen und ein umfassendes Verständnis für die eigene Firma, die Betroffenen (Kunden) und das Gesetz haben;
  8. Viele Experten geben Tutorials und Inhalte zum Thema DSGVO. Wenn Sie planen, einen externen DSB zu beauftragen, dann sehen Sie sich dessen Webinare, Blogs und öffentliche Profile an;
  9. Machen Sie Ihre Due Diligence und fragen Sie nach mindestens 3 Referenzen von ihren bisherigen Kunden. Wenn Sie jemanden intern einstellen, dann fragen Sie den direkten Vorgesetzten;
  10. Wenn Sie einen externen DSB einstellen, stellen Sie sicher, dass Sie mit jemandem zusammenarbeiten, der nicht zu viele Mandanten hat. Wenn ein DSB viele Mandanten hat, finden ihre Fragen möglicherweise kein Gehör, wenn Sie sie nicht auf der Grundlage von Paketen bezahlen.

 

Sollte ich einen externen oder internen DSB einstellen?

 

Interner vs. externer DSB
Grundsätzlich kann ein Unternehmen einen DSB sowohl intern durch Zuordnung der Rolle zu einem Mitarbeiter als auch extern in der Person eines Dienstleisters ernennen. Das entscheidende Kriterium sollte immer die notwendige Sachkenntnis und Zuverlässigkeit sein, die ein DSB benötigt, um die beabsichtigten Aufgaben richtig erfüllen zu können. Doch was unterscheidet einen internen von einem externen DSB? Wir möchten die Unterschiede anhand wesentlicher Aspekte wie Kompetenz, Haftung und Kündigungsschutz erläutern. Damit Sie die Kosten eines internen und externen DSB direkt vergleichen können, zeigen wir Ihnen anhand einer fiktiven Kalkulation, wie die Investitionen Ihres Unternehmens in den Datenschutz strukturiert sein könnten.

 

Interner DSB

Wenn Sie einen betrieblichen DSB beauftragen, übergibt der Geschäftsführer die Aufgabe des DSB an einen Mitarbeiter des Unternehmens. Erfüllt ein interner Mitarbeiter alle notwendigen Voraussetzungen, kann er zum internen DSB ernannt werden. Nach der Benennung internen DSB steht der Arbeitnehmer unter Kündigungsschutz und hat Rechte auf weitere Ansprüche, wie z.B. eigene Ausrüstung oder Ausbildung.

 

Externer DSB
Im Gegensatz zum internen DSB steht der externe DSB Ihrem Unternehmen als Dienstleister zur Verfügung. Oft sind externe Datenschutzbeauftragte durch ihre Spezialisierung Experten auf ihrem Fachgebiet. Mit einer transparenten Kostenstruktur, vertraglich vereinbarten Preisen und einer variablen Vertragslaufzeit kümmert sich der externe DSB schnell und effizient um Ihr Geschäft und schützt Sie so vor hohen Bußgeldern.

 

Unterschiede zwischen externem und internem DSB
Zunächst lassen sich interne und externe DSBe hinsichtlich der anfallenden Kosten unterscheiden. Hierbei müssen für interne DSBe neben dem regulären Gehalt auch die Aus- und Weiterbildung sowie die Beschaffung von Literatur vom Unternehmen bezahlt werden. Dagegen profitiert Ihr Unternehmen von der transparenten Kostenstruktur bei einem externen DSB, da alle Leistungen und Kosten vertraglich festgelegt sind.

 

In Bezug auf die Kompetenz muss ein interner DSB zunächst zeit- und kostenintensive Weiterbildungsmaßnahmen durchlaufen, um sich das Fachwissen anzueignen, wenn er nicht bereits auf diesem Gebiet spezialisiert ist. Ein externer DSB hingegen kann von Beginn der Zusammenarbeit an zertifiziertes und sofort abrufbares Know-how vorweisen. Im Gegensatz dazu hat der interne DSB jedoch Vorteile bei der Ausbildung, da die Arbeitsabläufe in der Regel bereits bekannt sind, während sich ein externer DSB erst mit den Arbeitsabläufen und Prozessen vertraut machen muss.

 

Bereits bei der Benennung eines betrieblichen Datenschutzbeauftragten sollte eine mögliche, spätere Kündigung berücksichtigt werden. Ein interner DSB unterliegt einem besonderen Kündigungsschutz, der mit der Position des Betriebsrats vergleichbar ist. Die Beauftragung des externen Datenschutzbeauftragten kann jedoch fristgerecht beendet werden.

 

Dies möchten wir Ihnen anhand einer Tabelle näher erläutern:

 

ThemenInterner DSBExterner DSB
KostenNeben dem regulären Gehalt müssen die Kosten für Aus- und Weiterbildung sowie den Erwerb von Literatur vom Unternehmen getragen werdenTransparente Kostenstruktur durch vertraglich vereinbarte Preise
KompetenzenZeitaufwändige und komplexe Weiterbildungsmaßnahmen zur Erlangung des FachwissensZertifiziertes, vorhandenes und sofort abrufbares Know-how
DatenkontrolleAlle Daten bleiben im UnternehmenAlle Daten und das Unternehmensverständnis verbleiben bei einem externen DSB

 

Zeitliche Bindung 100 % Engagement für das ProjektTeilweise projektbezogen und höchstwahrscheinlich mit vielen anderen Unternehmen verbunden

 

Zeit, das Unternehmen zu verstehen Es wird nicht lange dauern, das Geschäft und den Prozess zu verstehen, da der interne DPO ein Teil des Unternehmens warEs braucht Zeit, bis ein externer DSB das Unternehmen versteht und meistens so, als würden Sie für ein Audit bezahlen

 

ReaktionszeitViel schneller, da bereits Teil des UnternehmensWesentlich langsamer, da der externe DSB nicht Teil des Unternehmens war

 

Kündigung des ArbeitsvertragesEin interner DSB ist gesetzlich geschützt. Grundsätzlich können Sie ihm nicht kündigen.Ein externer DSB kann nach Blick in die Vertragsbedingungen und -fristen relativ einfach ersetzt werden

 

Wie viel kostet ein DSB?

 

Nach unserer Erfahrung im Gespräch mit Hunderten von Datenschutzbeauftragten hängen die durchschnittlichen Kosten für einen DSB in Europa vom Stundensatz ab. Der Datenschutzbeauftragte ohne rechtlichen Hintergrund würde etwa 100-200€ pro Stunde kosten. Wenn Ihr DSB ein Rechtsanwalt ist, dann kostet er etwa 300-500€ pro Stunde. Es gibt viele DSBe, die nach dem Stundensatz pro Jahr oder Paket pro Monat arbeiten. Wenn Sie einen externen DSB einstellen, denken Sie daran, dass wenn die Rate wirklich niedrig ist, dieser dann wahrscheinlich viele Kunden hat, so dass Sie keine individuelle Aufmerksamkeit oder Beratung erhalten.

 

Häufige Fehler, die bei der Einstellung eines DSB zu vermeiden sind

  1. Stellen Sie niemanden intern in Ihrem Unternehmen als DSB ein, wenn die Rolle einen inhärenten Interessenkonflikt aufweist. Stellen Sie beispielsweise keine Marketing- oder Kundenbetreuer als DSB ein, da diese möglicherweise voreingenommen sind. Die Arbeitsgruppe 29 schlägt vor, einen internen DSB einzustellen und einen Interessenkonflikt zu vermeiden:
    1. die Positionen ermitteln, die mit der Funktion eines DSB unvereinbar sind, und diesbezügliche interne Regeln aufzustellen, um Interessenkonflikte zu vermeiden;
    2. eine allgemeinere Erklärung über Interessenkonflikte beizufügen;
    3. erklären, dass der DSB in Bezug auf seine Funktion als DSB keinen Interessenkonflikt hat, um das Bewusstsein für diese Anforderung zu schärfen;
    4. Schutzmaßnahmen in die internen Regeln der Organisation aufnehmen und sicherstellen, dass die Stellenausschreibung für die Position des DSB oder des Dienstleistungsvertrags hinreichend genau und detailliert ist, um einen Interessenkonflikt zu vermeiden. In diesem Zusammenhang ist auch zu beachten, dass Interessenkonflikte unterschiedliche Formen annehmen können, je nachdem, ob der DSB intern oder extern rekrutiert wird.
  2. Folgende Funktionen stehen in Konflikt zueinander: Chief Executive Officer, Chief Operating Officer, Chief Financial Officer, Chief Medical Officer, Head of Marketing Department, Head of Human Resources oder Head of IT Department;
  3. Einstellung eines hauptberuflichen Datenschutzbeauftragten, wenn Sie jedoch nur einen nebenberuflichen Datenschutzbeauftragten benötigen.

Hier ist ein Beispiel für einen Terminbrief für einen DSB von ECOMPLY.io

Muster-Bestellschreiben für den DSB:

 

Frau Muster. - Datenschutzbeauftragte -

Beispiel Straße 2

23456 Musterstadt

 

Ernennung von Frau #### zum betrieblichen Datenschutzbeauftragten

Die ACME GmbH ernennt hiermit mit sofortiger Wirkung Frau Sample zur Datenschutzbeauftragten - gemäß Artikel 37 DSGVO unter Hinweis auf § 38 BDSG-neu für unser Unternehmen. Um die Ausübung dieser Rolle als Datenschutzbeauftragter zu erleichtern, berichtet er direkt an die Geschäftsleitung, insbesondere an NAME_GESCHÄFTSFÜHRUNG.

Frau Sample ist mit der Beratung und Ad-hoc-Stichprobenprüfung zur Sicherstellung der unternehmensweiten Einhaltung der Bestimmungen des DSGVO und weiterer Datenschutzbestimmungen betraut.

Konkret ergeben sich ihre Aufgaben aus der DSGVO und sind insbesondere an Artikel 39 DSGVO anzugleichen.

Frau Muster handelt ohne aufsichtsrechtliche Weisung bei der Anwendung von Fachwissen im Bereich des Datenschutzes und wird von der Geschäftsleitung bei ihren Ausführungsbemühungen unterstützt. Zu diesem Zweck kann sie sich bei Bedarf an die für unser Unternehmen zuständige Datenschutzbehörde wenden.

 

Vertretung der Geschäftsführung:

 

 

_______________________________ ______________________________

Ort, Datum  Unterschrift Geschäftsführer

 NAME_GESCHÄFTSFÜHRUNG

 

 


Warum benutzt combyne ECOMPLY.io für Datenschutz?

Combyne, die mobile App, die die Lösung für das Problem des “perfekten Outfits für den perfekten Anlass” parat hat.

Erstelle dein ganz persönliches Outfit mit all deinen Lieblingsstücken und Teilen deiner liebsten Marken. Du kannst auch einfach ein Foto von irgendeinem deiner Outfits machen und sie zu deinem Outfit hinzufügen.

Spare deine Energie für die wirklich wichtigen Dinge, kein endloses An- und Ausziehen, kleide dich auf deinem Smartphone-Bildschirm ein und entscheide dich für die beste Kombination.

Wir haben uns mit Christian Dienst, dem leitenden Geschäftsführer von combyne, zusammengesetzt, um zu erfahren, was ihn an ECOMPLY.io überzeugt hat.

Was bedeutet die DSGVO für Sie?

Christian: Ich bin davon überzeugt, dass sie Unternehmen und Organisationen die Möglichkeit gibt, ihre internen Datenstrukturen darzustellen und ihre Systeme entsprechend zu verbessern. Letztendlich ist es ein internationaler Standard, den Unternehmen brauchen um die Daten und die Privatsphäre ihrer Kunden und Mitarbeiter zu schützen.

Warum müssen Sie compliant werden?

Christian: Ab dem ersten Tag auf dem Weg zur EU-Datenschutz-Grundverordnung, wurde für uns der Datenschutz unserer Nutzer und Angestellten groß geschrieben. Auch wenn wir nicht in riesige Prozesse involviert sind, gibt uns die DS-GVO die Möglichkeit der Strukturierung und der Verbesserung des Datenmanagements. Durch die Etablierung einer datenbewussten Umwelt kann unsere Nutzer-Community und unsere Partner noch besser von unseren Produkten profitieren.

Warum haben Sie ECOMPLY.io gewählt?

Christian: Nachdem sich eine Strategie zum Umgang mit unseren Datenprozessen herauskristallisierte, wurde uns bewusst, wie das von ECOMPLY.io integrierte Format uns unterstützen könnte. Da wir noch immer ein kleines Unternehmen sind (per Definition der DS-GVO-Richtlinien), ist uns eine einfach nutzbare und erreichbare Plattform, die leicht zu handhaben ist, sehr wichtig.

Wer arbeitet mit ECOMPLY.io und wie passt es in Ihre eigenen Prozesse?

Christian: In der Entwurfsphase wurde nur ein kleines Team involviert. Zunächst mussten wir verstehen, welche Prozesse und Implementierungen am geeignetsten sind, woraufhin später das ganze Team einbezogen werden konnte. Der dadurch entstandene Ideen-Pool ist ein unbezahlbarer Mehrwert für unser Unternehmen.

Was hat ECOMPLY.io zu Ihren Vorbereitungen auf die DSGVO Compliance beigetragen?

Christian: ECOMPLY.io war für uns eine tolle Unterstützung. Der Überblick über Prozesse, Anforderungen und Erklärungen hat uns eine Menge Zeit und Energie gespart. Mit der Wahl des passenden Prozesses war der Grundstein gelegt und unsere internen Aktivitäten konnten ganz einfach eingefügt werden. Die dadurch entstandene Prozess-Datenbank ist nun unsere Basis, das ECOMPLY Team stand uns dabei immer mit Rat und Tat zur Seite.

Was waren die Alternativen?

Christian: Mögliche Alternativen wären die Organisation der einzelnen Informationen gewesen, das Erstellen von Vorlagen und allen notwendigen Dokumenten. Dies hätte uns natürlich viel extra Zeit gekostet, um ein gut nutzbares Format zu erstellen und unsere eigenen Inhalte einzufügen. Das hätte unseren Weg zur DS-GVO-Compliance natürlich deutlich verlängert.

Abschließende Worte?

Christian: ECOMPLY bietet uns eine anwenderfreundliche Schritt-für-Schritt-Anleitung zu einem attraktiven Preis und mit tollem Live-Support.

Inspiriert durch combyne’s Reise zur compliance? Holen Sie sich JETZT eine kostenlose probierien!


DSGVO SaaS

10 DSGVO Fragen für SaaS-Unternehmen beantwortet

In den letzten Tagen, direkt nach unserer Produktveröffentlichung, haben wir viele Fragen von Menschen erhalten, die Interesse am Compliance-Prozess haben. Wo fangt ihr an? Was muss ich beachten? Da die DSGVO ab Mai diesen Jahres in Kraft treten wird, werden viele Unternehmen aktiv. Wir denken, dass ein beispielhaftes Unternehmen in den letzten Zügen der DSGVO-Compliance helfen könnte. Woodpecker.co ist eines von ihnen und berichtet uns hier über ihre Vorgehensweise und ihre Gedanken zur Verbesserung im Prozess.

1) Wie haben Sie mit der DSGVO begonnen?

Da unser Unternehmen in Polen angesiedelt ist, sind wir schon recht früh in Kontakt mit der DSGVO gekommen. Wir haben von Anfang an, seit wir von der großen Veränderung gehört haben, versucht up to date mit den neuesten Standards zu sein. Seitdem verfolgen wir den Prozess der DSGVO natürlich sehr präzise.

2) Was waren Ihre ersten Schritte? Erläutern Sie gerne Ihre Schritte

Zunächst haben wir die Verordnung gelesen, was in meinen Augen in jeder Firma ein Verantwortlicher übernehmen sollte, der von A bis Z mit dem Thema vertraut ist. Die DSGVO verursacht viele Sorgen und Panik, genauso wie die daraus resultierende Implementierungen. Das Auseinandersetzen mit dem Thema bringt viel Klärung und Verständnis für die DSGVO.

Später fanden wir einige DSGVO Konferenzen, zu denen wir einen frisch ernannten Datenschutz-Spezialisten sendeten, der sein gesammeltes Wissen mit dem gesamten Team im Anschluss teilte. Dies geschah maßgeschneidert für alle Abteilungen: Office Management, Sales, Marketing - und zeigte uns die Auswirkungen auf unsere Arbeit auf. Der Nutzen war schlichtweg unbezahlbar!

Wir haben unsere Richtlinien und Nutzungsbedingungen angepasst, unsere Newsletter Anmeldeformulare sowie unseren downloadbaren Marketing-Inhalt und die App überarbeitet.

Im Anschluss haben wir uns damit beschäftigt, wie andere Firmen sich auf die DSGVO vorbereiten. Wir haben uns für eine transparente Arbeit mit der DSGVO gegenüber unseren Kunden entschieden. Hier werden wichtige Fragen erklärt, um unsere Kunden und Abonnenten zu informieren.

3) Wie hat sich Ihr E-Mail Marketing bezüglich der DSGVO verändert?

Der erste Schritt war die Sicherstellung, dass unsere Anmeldeformulare klar zu verstehen sind, wie die DSGVO es fordert. Die Dokumente sollten frei von missverständlichen Begriffen sein. Der Nutzer sollte wissen, was genau er unterschreibt.

Die Abonnenten sollten sich mit ihren Daten sicher fühlen, auch wenn sie sie an uns übermitteln. Nach wie vor können sie sich aus dem Newsletter austragen.

Die DSGVO fordert ebenso eine Datenminimierung dass also nur die wirklich notwendigen persönlichen Daten gesammelt werden. Dies war bereits der Fall, wenn es um unsere Marketingkommunikation geht! Wir sammeln nur die wirklich wichtigen Daten um Newsletter versenden zu können. So rufen wir z.B. keine Abonnenten an, da wir ihre Rufnummer nicht speichern.

Im nächsten Schritt haben wir an unserer Signatur am Ende der Newsletter gearbeitet und diese auf Vollständigkeit für die Leser geprüft. Ebenso arbeiten wir an der Rückmeldung an den Abonnenten, dass er die erhaltene Mail bekommt, da er unseren Blog abonniert hat.

4) Was sind die 10 einfachsten Veränderungen und Tipps im Marketing?

  1. Ruhig bleiben! Die DSGVO soll nicht Ihre aktuellen Marketing-Aktivität einschränken, es geht vielmehr darum die Rechte der Nutzer zu schützen.
  2. Glauben Sie nicht alles, was Sie über die DSGVO gelesen haben. Viele Informationen sind vor allem Interpretationen der eigentlichen Verordnung. Trennen Sie die Spreu vom Weizen.
  3. Finden Sie einen firmeninternen Verantwortlichen, der sich einen Überblick darüber verschafft, wie persönliche Daten gehandhabt werden. Ist transparent was mit den Daten passiert? Wer hat Zugang zu den Daten? Ist der Prozess sicher? Falls dies nicht der Fall ist, wird es höchste Zeit so sicher wie möglich zu werden.
  4. Überprüfung der Opt-in-Formulare. Diese sollten kurz und einfach zu verstehen sein, nicht im Kleingedruckten zu finden sein und mit gut lesaren Farben wiedergegeben.
  5. Fragen Sie nach den Informationen, die Sie wirklich brauchen. Die DSGVO fordert, dass die gesammelten Daten verhältnismäßig sind zum Nutzen des Prozesses. Eine Firmenadresse ist z.B. nicht notwendig, wenn der Firma selbst nie etwas zugesandt werden soll.
  6. Halten Sie die Datenbank sauber und transparent. Das regelmäßige Aussortieren und Umstrukturieren ist essentiell. Ist nicht klar, wie ein Abonnent auf die Newsletter-Liste gekommen ist, fragen Sie am besten nach, ob er Teil der Liste sein oder lieber gelöscht werden möchte. Löscht sich ein Nutzer, stellen Sie sicher, dass er vom Mail-Verteiler gelöscht wird.
  7. Seien Sie transparent – Teilen Sie Ihren Nutzern mit, wie sie die Daten weiter nutzen werden. Die DSGVO fordert Transparenz. Die Kunden und Newsletter-Abonnenten müssen verstehen auf welchen Wegen ihre Daten prozessiert werden und was gespeichert wird.
  8. Halten Sie Ihre Versprechen – wenn Sie einen wöchentlichen Newsletter versprechen, senden Sie keine extra Informationen, oder häufigere Mitteilungen an Ihre Abonnenten. Wenn Sie versprechen, dass der Abonnent aus Ihrem Verteiler gelöscht wird, dann tun Sie das auch. In Zukunft ist das Vertrauen in Ihr Wort umso wichtiger.
  9. Schauen Sie sich an, wie die DSGVO in Ihrem Land interpretiert und ausgelegt wird. EU-Staaten unterscheiden sich leicht durch nationale Öffnungsklauseln.
  10. Informieren Sie Ihre Abonnenten und Nutzer über Ihre internen Schritte um der DSGVO gerecht zu werden. Wir erhalten immer noch Anfragen, ob wir denken, dass die App A oder B DSGVO-compliant ist. Und wir können es nicht beurteilen, solange dieses Unternehmen kein Statement zur DSGVO abgegeben hat.

5) Wie lange haben Sie selbst gebraucht, um für die DSGVO compliant zu werden?

Um ehrlich zu sein, sind wir erst auf der Zielgeraden. Wir müssen immer noch an ein, zwei Sachen feilen. Wir sind uns sicher, in weniger als einer Woche soweit zu sein. Wir haben einige Monate daran gearbeitet, da wir die persönlichen Daten unserer User und die ihrer Interessenten verarbeiten. Wir müssen uns auch durch die die DSGVO-Compliance durcharbeiten.

6) Welchen Rat würden Sie Leser geben, die jetzt mit der DSGVO beginnen?

Versuchen Sie nicht alles auf einmal zu machen! Das könnte Sie überfordern. Zumal es im Internet viele widersprüchliche Ratschläge gibt. Beginnen Sie mit kleinen Schritten. So kamen wir auf die Idee, auf unserem Blog eine DSGVO-Checkliste zu erstellen. Wenn Sie nicht wissen, was zu tun ist, nehmen Sie den Rat eines Anwalts. Aber ich bin mir sicher, dass Sie es schaffen, sich selbst um die Einhaltung der DSGVO zu kümmern.

Beginnen Sie sich Gedanken zu machen, welche Daten Sie sammeln und woher Sie sie bekommen. Es geht nicht nur um die Stütze durch die Risikobewertung. Es hilft Ihnen auch zu erkennen, welche Art von Datensicherheitsrichtlinie Sie benötigen.

Ändern Sie die Art, wie Sie über die DSGVO denken. Es handelt sich nicht um eine Politik, die Fehler im gegenwärtigen System abdeckt, sondern um eine Politik, die zeigt, wie das System funktioniert.

7) Wäre eine schrittweise und einfach zu verwendende DSGVO-Lösung sinnvoll, wenn man jetzt damit anfängt?

Das wäre noch besser. Ich denke, dass die Compliance so viel Zeit in Anspruch nahm, weil wir nicht alles an einem Ort hatten. Hätten wir eine Lösung gehabt, mit der wir unsere Arbeit besser organisieren hätten können, hätte es viel weniger Zeit gekostet, um die DSGVO zu erfüllen.

8) Wie sehr hassten Sie es, Excel-Tabellen für die DSGVO zu verwenden?

Wir haben die DSGVO-Dokumente verteilt, weil es viele Informationen gibt, die wir im Auge behalten müssen. Ebenso mussten wir unsere Datenbank überprüfen und alles in unserer Macht stehende tun, um die persönlichen Daten unserer Nutzer und Newsletter-Abonnenten zu sichern. Es wurde sehr hektisch. Wenn wir eine App gehabt hätten oder etwas, das alles unter einem Dach hält und uns zusammenarbeiten lässt, wären wir begeistert gewesen.

9) Sie haben hier erwähnt - "machen Sie eine Liste aller In-App-Bereiche, die beachtet werden müssen, um die Verordnung zu erfüllen (ABGESCHLOSSEN)" - Was waren diese Änderungen?

Als Vertriebs-Automatisierungs-Werkzeug ist Woodpecker beides, Datenverarbeiter und Datenverantwortlicher. Wir verarbeiten personenbezogene Daten und erlauben unseren Nutzern, personenbezogene Daten ihrer Interessenten zu verarbeiten. Aus diesem Grund mussten wir überprüfen, wie wir personenbezogene Daten verarbeiten und wie andere personenbezogene Daten in der App verarbeiten können. Wir müssen vorsichtig mit den Daten unserer Nutzer sein. Und wir müssen es unseren Nutzern ermöglichen, die personenbezogenen Daten ihrer Interessenten in einer Form zu verarbeiten, die der DSGVO entspricht.

10) Haben Sie ein Beispiel für eine “cold E-Mail”, die Sie Ihren Geschäftskontakten auf Basis der DSGVO schreiben, die sich nicht angemeldet haben?

Der Mail-Inhalt ändert sich nicht viel zu dem, wie er vorher war. Es gibt zwei Dinge, die unsere Aufmerksamkeit benötigen, wenn wir eine “cold E-Mail” schreiben. Die erste Sache ist eine eng ausgerichtete Liste auf Erfolgsaussichten. Ein Spray-and-pray-Ansatz war nie effektiv, aber jetzt ist das unter der DSGVO illegal. Wenn wir uns entschließen, jemandem eine “cold E-Mail” zu senden, sollten Sie in der Lage sein zu begründen, warum Sie eine bestimmte Person für diese “cold E-Mail-Liste” ausgewählt haben. Unsere Geschäftsordnung sollte eng mit ihren verbunden sein.

Die andere Sache ist, dass wir transparent sein sollten. Wir sollten Informationen mitgeben oder zumindest darauf vorbereitet sein, gefragt zu werden, ob wir die persönlichen Daten unserer Interessenten verarbeiten und dass potenzielle Kunden jederzeit den Erhalt weiterer E-Mails von uns ablehnen können. Wir haben ein Beispiel dafür in unserem Artikel über die DSGVO.

Sie können Woodpecker.co hier anschauen!

Und wenn Sie nicht wissen, wie Sie Ihren Compliance-Prozess starten sollen oder in vielen Excel-Tabellen ertrinken, Probierien Sie unsere Software bei uns!


Logo EU GDPR

5 grundlegende Gebote der DSGVO und was sie für das E-Mail Marketing bedeuten

5 grundlegende Gebote der DSGVO und was sie für das E-Mail Marketing bedeuten

 

Die DSGVO ist in aller Munde, denn am 25. Mai dieses Jahres wird Sie alleinig rechtskräftig. In diesem Zusammenhang kommen auf Unternehmen einige Anforderungen in Sachen Datenschutz zu. In diesem Beitrag erklärt Ihnen Sarah Weingarten von Newsletter2Go 5 maßgebliche Gebote, welche im Datenschutz gelten und wie Sie diese bei Ihrem E-Mail Marketing am besten beachten. – Der folgende Beitrag dient nur zu Informationszwecken und ist ausdrücklich nicht als rechtliche Beratung zu verstehen.

 

Gebot 1: Das Verbot mit Erlaubnisvorbehalt

 

Das Verbot mit Erlaubnisvorbehalt bezieht sich auf die Einwilligung einer Verarbeitung personenbezogener Daten. Jede Verarbeitung, der nicht von der betroffenen Person zugestimmt wurde, bedarf einer gesetzlichen Erlaubnis. Daten dürfen ohne Erlaubnistatbestand nicht verarbeitet werden. Für den Newsletter-Versand als solchen gibt es keine gesetzliche Regelung. Das bedeutet, dass die Einwilligung von jedem Empfänger gesondert und vor allem vorab eingeholt werden muss.

 

Gebot 2: Die Datensparsamkeit

 

Eine Datenverarbeitung muss generell dem Zweck angemessen sein. Das bedeutet, dass sie sachlich relevant sein muss und sich auf das notwendige Maß beschränkt. Ein gutes Beispiel ist hier das Anmeldeformular für einen Newsletter. Es darf nur ein Pflichtfeld enthalten: die E-Mail-Adresse. Sie ist ausreichend, um Newsletter an individuelle Empfänger zu versenden. Zusätzlich können natürlich noch Name und Geburtsdatum abgefragt werden. Diese Informationen dürfen jedoch nicht verpflichtend für den Betroffenen sein, um die Anmeldung zum Newsletter wirksam werden zu lassen.

 

Gebot 3: Die Zweckbindung

 

Werden personenbezogene Daten verarbeitet, so darf dies nur zu dem Zweck geschehen, für den sie erhoben wurden. Dies bedeutet, dass bei der Datenerhebung konkret mitgeteilt werden muss, für welchen Zweck die Daten verwendet werden. So bedeutet dies zum Beispiel, dass die erhobene Adresse bei einer Bestellung lediglich zu diesem Zweck verwendet werden darf. Möchten Sie Newsletter an diese Adressen versenden, müssen Sie sich eine Einwilligung einholen.

Für E-Mail Marketing bedeutet dies, dass im Anmeldeformular für den Newsletter konkret angegeben werden muss, für welchen Zweck die Daten verarbeitet werden. Hier kann beispielsweise genannt werden, dass dem Betroffenen Produktempfehlungen, Tipps oder Neuigkeiten zum Unternehmen zugestellt werden.

 

 

Gebot 4: Die Datensicherheit

 

Bei der Datenverarbeitung von personenbezogenen Daten ist es wichtig, entsprechende geeignete technische und organisatorische Maßnahmen zu treffen. So sollen die Daten vor Missbrauch geschützt werden. Solche Maßnahmen bedeuten, dass dafür zu sorgen ist, dass keine unberechtigte Person Zugriff auf die erhobenen Daten hat. Das kann beispielsweise durch Passwörter und Verschlüsselungen gewährleistet werden. Für das Newsletter Marketing bedeutet dies, dass Ihre Daten durch Ihren Software-Anbieter sensibel zu behandeln sind. Das bedeutet, dass sie Serverräume beispielsweise gesichert und die Rechenzentren hinreichend geschützt sind.

 

Gebot 5: Transparenz

 

Es ist Transparenz bezüglich der Datenverarbeitung zu gewährleisten. Dies bedeutet, dass Betroffene, also natürliche Personen, deren Daten verarbeitet werden, genau wissen sollen, dass und vor allem welche Daten in Bezug auf ihre Person erhoben wurden. Datenverarbeitende Personen und Unternehmen haben ein Verfahrensverzeichnis zu führen und die entsprechenden Löschfristen zu implementieren. Der Datenverarbeitende ist außerdem verpflichtet, das öffentliche Verfahrensverzeichnis auf Anfrage jederzeit bereitzustellen.

 

 

Und noch etwas: In Sachen Datenschutz und Datenerhebung gilt grundsätzlich, dass jedes Unternehmen für die Datenerhebungen vollumfänglich verantwortlich ist. Sollten Subunternehmen herangezogen werden, wie beispielsweise Servicedienstleister oder auch Softwares, mit denen die Daten verarbeitet werden, muss ein sogenannter Vertrag zur Auftragsverarbeitung abgeschlossen werden. Zwischen Newsletter2Go und seinen Kunden sind die Voraussetzungen an eine Auftragsverarbeitung gegeben, sodass stets ein solcher Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.

 

Mit der DGSVO sollten datenschutzrechtliche Vorgaben künftig gezielter und strenger umgesetzt werden. Das Datenschutzniveau in der EU soll einheitlich werden. Ziel der DSGVO ist es – besonders im Zuge der Digitalisierung der Gesellschaft – dem gläsernen Menschen vorzubeugen und personenbezogene Daten so sicher wie möglich zu behandeln. Wie Sie rechtssicher Newsletter-Abonnenten sammeln und welche Informationspflichten Sie als Unternehmen haben, können Sie in unserem Whitepaper zur DSGVO nachlesen.

 

 


GDPR Ready

Die Datenschutz-Grundverordnung Allgemeine Fragen

Allgemeine Fragen

Was genau ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung des Europäischen Parlaments, des Rats der Europäischen Union und der Europäischen Kommission. Sie soll den Datenschutz für alle Personen in der EU stärken und vereinheitlichen. Ein Thema der Verordnung ist auch der Transfer/Export von personenbezogenen Daten außerhalb der EU.

Wann tritt die DSGVO in Kraft?

Die DSGVO wurde im April 2016 mit einer Übergangsfrist von zwei Jahren genehmigt. Am 25. Mai 2018 tritt die Verordnung letztendlich in Kraft.

Wen soll diese Verordnung schützen?

Diese Regelung gilt für alle betroffenen Personen (innerhalb der EU). Sie konzentriert sich auf den Schutz personenbezogener Daten, sowie auf ein einfacheres regulatorisches Umfeld für Unternehmen. Es soll sichergestellt werden, dass die betroffene Person der rechtmäßige Eigentümer ihrer personenbezogenen Daten ist und die damit verbundenen Rechte jederzeit gewährleistet sind.

 Welche Unternehmen betrifft die Verordnung?

Jedes Unternehmen, das persönliche Daten sammelt, speichert und verarbeitet, sei es von seinen Kunden, Mitarbeitern oder Partnern. Eine einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Wird die DSGVO meine Firma betreffen? Muss ich sie einhalten?

Wenn Sie mindestens eine dieser Fragen mit JA beantworten, sollten Sie die DSGVO einhalten.

Sammelt Ihr Unternehmen Daten von seinen Kunden?

Sammelt Ihr Unternehmen Daten von seinen Mitarbeitern?

Verarbeitet Ihr Unternehmen digitale Zahlungen (Kreditkarten)?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per E-Mail?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter per Post?

Kontaktiert Ihr Unternehmen Kunden, Partner oder Mitarbeiter telefonisch?

Versendet Ihr Unternehmen Produkte per Post an Kunden, Lieferanten oder Partner?

 

Wo gilt die DSGVO?

Der räumliche Anwendungsbereich ist in Art. 3 DSGVO geregelt. Darin heißt es, dass die Datenschutz-Grundverordnung für alle 28 EU-Mitgliedstaaten und für Unternehmen und Organisationen außerhalb der EU gilt, soweit es die Verarbeitung von Daten von EU-Bürgern betrifft. Dabei spielt es keine Rolle, ob die Person kurz- oder langfristig in der EU ist. Der räumliche Anwendungsbereich kann nachträglich vertraglich nicht geändert werden. Es spielt auch keine Rolle, welche Art von Dienstleistungen oder Produkten Unternehmen oder Organisationen anbieten. Entscheidend ist nur, ob personenbezogene Daten von EU-Bürgern erhoben und verarbeitet werden.

Für wen gilt die DSGVO?

Die Datenschutz-Grundverordnung gilt für Personen und Einrichtungen jeder Größe, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, unabhängig davon, wo sich der Auftragsverarbeiter befindet. Diese Regeln gelten auch für Auftragsverarbeiter, einschließlich Dritter wie Cloud-Anbieter. Erneut die einfache Faustregel: jedes Unternehmen, das Kunden in der EU oder selbst einen Standort in der EU hat.

Macht die DSGVO einen Unterschied zwischen B2B und B2C?

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sie gilt gleichermaßen für beide. Hintergrund ist, dass die Datenschutz-Grundverordnung für den Schutz von Einzelpersonen und nicht von juristischen Personen gilt.

 
Spezifische Fragen – Behörden

Wie wird die Verordnung durchgesetzt?

Nach dem 25. Mai 2018 können Organisationen, die gegen die DSGVO verstoßen, auditiert werden und Sanktionen erleiden. Audits können nach dem Zufallsprinzip oder aufgrund von Beschwerden erfolgen. Dies kann für verschiedene Länder der Europäischen Union etwas variieren.

Wer ist meine Datenschutzbehörde?

Jede Europäische Union und das EFTA-Mitglied benennt eine nationale Organisation / Kommission / Agentur / Büro / Behörde, die für die Durchsetzung der DSGVO innerhalb der Grenzen jedes Landes zuständig ist. Diese Behörde stellt Informationen und Unterstützung bereit, prüft Unternehmen und verhängt Sanktionen. Hier finden Sie die Liste aller Websites für jede nationale Behörde in der EU:

Andorra: https://www.apda.ad/
Österreich: https://www.dsb.gv.at/
Belgien: http://www.privacycommission.be/
Bulgarien: https://www.cpdp.bg/
Kroatien: http://azop.hr/
Zypern: http://www.dataprotection.gov.cy/
Tschechisch: Republik https://www.uoou.cz/
Dänemark: https://www.datatilsynet.dk/
Estland: http://www.aki.ee/en
Finnland: http://www.tietosuoja.fi/en/
Frankreich: https://www.cnil.fr/en/home
Deutschland: https://www.bfdi.bund.de/
Griechenland: http://www.dpa.gr/
Ungarn: https://naih.hu/
Island: https://www.personuvernd.is/
Irland: https://www.dataprotection.ie/
Italien: http://www.gpdp.it/
Lettland: http://www.dvi.gov.lv/en/
Liechtenstein: http://www.dss.llv.li/
Litauen: http://www.dvi.gov.lv/en/
Luxemburg: https://cnpd.public.lu/
Mazedonien: https://www.dzlp.mk/
Malta: https://idpc.org.mt/
Monaco: https://www.ccin.mc/
Niederlande: https://autoriteitpersoonsgegevens.nl/
Norwegen: https://www.datatilsynet.no/
Polen: http://www.giodo.gov.pl/
Portugal: https://www.cnpd.pt/
Rumänien: http://www.dataprotection.ro/
Russland: http://eng.rkn.gov.ru/
Serbien: https://www.poverenik.rs/sr/
Slowakei: https://dataprotection.gov.sk/
Slowenien: https://www.ip-rs.si/
Spanien: https://www.agpd.es/
Schweden: https://www.datainspektionen.se/
Schweiz: https://www.edoeb.admin.ch/
Vereinigtes Königreich: https://ico.org.uk/

 

Bei Verstoß gegen die DSGVO ist die Behörde zuständig, in dem das betroffene Unternehmen physisch oder rechtlich ansässig ist. ACHTUNG: Dies gilt unabhängig davon, wo die Verletzung der Privatsphäre aufgetreten ist.

 

Spezifische Fragen – Betroffene Person

Welche Rechte gibt die DSGVO EU-Bürgern?

Die mächtigste Möglichkeit für Unternehmen Zugriff und Kontrolle über Daten erlangen können, ist zunächst die Zustimmung des Betroffenen. Der Betroffene dieser Daten hat dann drei Hauptrechte:

Zugangsrecht: Jeder EU-Bürger hat auf Anfrage das Recht, zu erfahren, welche personenbezogenen Daten ein Unternehmen besitzt und / oder verarbeitet.

Recht auf Löschung: Jeder EU-Bürger hat das Recht, die Löschung aller Daten zu verlangen, die das Unternehmen von einem erhalten und / oder verarbeitet hat.

Recht auf Datenübertragbarkeit: Wenn eine betroffene Person zu einem neuen Dienstleister wechseln möchte, kann sie verlangen, dass alle ihre persönlichen Daten in einem maschinenlesbaren Standardformat an den neuen Dienstleister übertragen werden.

Was ist die Zustimmung zur Datenverarbeitung?

Bei der Datenerhebung muss das Unternehmen den Zweck klarstellen. Alle Aktivitäten, die mit diesen Daten durchgeführt werden, müssen in den Bedingungen der Einwilligung beschrieben werden, die von der betroffenen Person als Rechtsgrundlage für die Verarbeitung akzeptiert werden müssen.

Die Zustimmung muss ausdrücklich für die erhobenen Daten und die Zwecke erfolgen, für die die Daten verwendet werden (Artikel 7; definiert in Artikel 4). Die Zustimmung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt werden und nachweisbar sein.

Muss die Zustimmung nachgewiesen werden?

Die für die Datenverarbeitung Verantwortlichen müssen in der Lage sein, eine Einwilligung (Opt-in) nachweisen zu können. Die Einwilligung kann zurückgezogen werden, wenn die betroffene Person darum bittet.

Brauche ich immer eine Zustimmung?

Kurz gesagt, nein bzw. nicht immer. Die Zustimmung ist eine rechtmäßige Grundlage für die Verarbeitung von Daten. Es gibt darüber hinaus fünf weitere Möglichkeiten, das Recht an der Verarbeitung von Daten zu erlangen. Die Zustimmung wird nicht immer die einfachste oder am besten geeignete sein.

Sie sollten immer die gesetzliche Grundlage wählen, die am besten geeignet ist und welche Sie ohne überproportionalen Aufwand bekommen können. Wenn die Zustimmung schwierig ist, liegt dies oft daran, dass eine andere gesetzliche Grundlage angemessener ist. Daher sollten Sie die Alternativen in Betracht ziehen.

Es liegt in Ihrer Verantwortung, eine rechtmäßige Grundlage für die Verarbeitung im Rahmen der DSGVO zu ermitteln.

 

Spezifische Fragen – Maßnahmen

Welche schnellen Maßnahmen sollte mein Unternehmen ergreifen?

Suchen Sie zunächst nach professionellen Ratschlägen. Es muss kein Anwalt sein, es gibt viele andere Fachleute, die auf die DSGVO spezialisiert sind, die Ihnen bei der Einhaltung helfen können. Darüber hinaus helfen Ihnen Online-Lösungen für die Einhaltung der DSGVO wie Ecomply bei der Anleitung und können die Arbeit für Sie sehr vereinfachen.

Was sind die Aufzeichnungen der Verarbeitungstätigkeiten?

Für die Einhaltung der DSGVO ist eine der Hauptanforderungen, dass jedes Unternehmen eine detaillierte Beschreibung aller Aktivitäten protokollieren muss, bei denen personenbezogene Daten verarbeitet werden. Diese Beschreibungen werden als „Datensätze“ bezeichnet und bieten einen Überblick über alle Datenverarbeitungstätigkeiten in Ihrer Organisation. Es ermöglicht dem Unternehmen zu verstehen, welche Art von Datenkategorien von wem und für welche Zwecke verarbeitet werden.

Was ist ein Datenschutzbeauftragter (DPO)?

Der Datenschutzbeauftragte ist der Verantwortliche für die Datenschutzaktivitäten und -maßnahmen innerhalb des Unternehmens. Er / Sie hat die Rolle des Sicherheitsleiters inne und ist für die Überwachung der Datenschutzstrategie und -umsetzung verantwortlich, um die Einhaltung der DSGVO-Anforderungen sicherzustellen.

Was ist ein virtueller DPO?

Es handelt sich um einen externen Datenschutzbeauftragten, der einem Unternehmen Online-Hilfe bereitstellt. Es kann auch eine Gruppe von Personen mit verschiedenen Spezialitäten als DPO-Einheit dienen. Bei zweitem Ansatz sollte eine bestimmte Person als Leiter der DPO-Funktion benannt werden.

Was ist eine Datenverarbeitungsvereinbarung? Wann ist es nötig?

Wenn die Verarbeitungstätigkeiten ausgelagert werden – was bedeutet, dass sie von einem anderen Unternehmen durchgeführt werden – muss ein Vertrag zwischen den Parteien geschlossen werden. Dieser Vertrag ist der so genannte Auftragsverarbeitungsvertrag. Die Vereinbarung muss den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der zu verarbeitenden personenbezogenen Daten, die Kategorien der betroffenen Personen, sowie die Pflichten und Rechte für die Verantwortlichen der Datenverarbeitung festlegen.

Was bedeutet „Privacy by Design“?

„Secure by Design“ bedeutet, dass der Datenschutz während der Entwicklung der Software, des Produkts oder des Prozesses beachtet und integriert wird. Die Verarbeitung der Daten soll verständlich sein und das Produkt, die Software oder der Prozess über Werkzeuge verfügen, die den betroffenen Personen das Recht auf Zugang, Löschung und Übertragbarkeit gewähren.

Wie wird das CCTV-Sicherheitssystem von der DSGVO beeinflusst?

Aufnahmen von Überwachungsvideos unterliegen der DSGVO, da sie zur Nachverfolgung und Identifizierung von Personen verwendet werden können. Es ist wichtig, einen klaren Zweck für diese Angelegenheit vorzulegen, ebenso wie die Zustimmung der Personen, die aufgezeichnet werden.

Wie wird der E-Mail-Posteingang des Mitarbeiters beeinflusst?

Jeder E-Mail-Account eines jeden Mitarbeiters ist privat und enthält personenbezogene Daten. Damit die Firma vorsätzlich darauf zugreifen kann, muss der Mitarbeiter dazu ausdrücklich zustimmen. Wenn ein Mitarbeiter das Unternehmen verlässt, kann das Unternehmen eingehende Nachrichten entweder an eine von diesem Benutzer bestimmte Adresse weiterleiten oder um Erlaubnis (Zustimmung) bitten, auf diese neuen Nachrichten zugreifen zu dürfen.

 
Spezifische Fragen – Klassifikationen

Was ist der Unterschied zwischen persönlichen und sensiblen Daten?

Personenbezogene Daten werden auf Informationen bezogen, die sich auf die betroffene Person beziehen und die dazu genutzt werden können, ihre Identität direkt oder indirekt zu bestimmen.

Sensible Daten beziehen sich auf die Informationen in Bezug auf die Grundrechte, die Intimität und den freien Willen der betroffenen Person. Beispiele hierfür sind Krankenakten, religiöse Überzeugungen, politische Meinungen, biometrische Daten oder genetische Daten.
 

Spezifische Fragen – Strafen

Was sind die Strafen?

Gemäß Artikel 83 Absatz 5 DSGVO kann die Höchststrafe für Unternehmen und Organisationen bei Nichteinhaltung der Datenschutz-Grundverordnung bis zu 20 Mio. EUR oder 4% des jährlichen weltweiten Umsatzes betragen, je nachdem, welcher Betrag höher ist. Nach Art. B. kann ein Unternehmen mit 2% verurteilt werden, wenn es seine Aufzeichnungen nicht in der richtigen Reihenfolge führt (Artikel 28).

 

Spezifische Frage – Deutschland

Wer ist der „Verantwortliche“ und welche Aufgaben hat er / sie?

Ein für die Verarbeitung Verantwortlicher ist eine „natürliche oder juristische Person, Agentur, Institution oder andere Einrichtung“, die personenbezogene Daten für ihre eigenen Zwecke verarbeitet. Er entscheidet „über die Zwecke und Mittel der personenbezogenen Datenverarbeitung“ (Artikel 4 (7) DS-BER).
Die Entscheidung über die Zwecke und die Schutzmaßnahmen muss jedoch im Rahmen der Bestimmungen der DSGVO erfolgen. Die Schutzmaßnahmen für die personenbezogenen Daten müssen entsprechend den Schutzbedürfnissen ausgewählt werden. Der Verantwortliche muss die Rechtmäßigkeit und Zweckmäßigkeit der Datenverarbeitung, sowie die Rechte der betroffenen Personen, deren Daten verarbeitet werden, sicherstellen. Er muss auch die Einhaltung der DSGVO nachweisen können.

Was bedeutet „Prozessor“?

Ein Prozessor oder auch Verarbeiter ist eine „natürliche oder juristische Person, Behörde, Stelle oder Organisation, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet“ (Artikel 4 Absatz 8 DS-GMO). Der Prozessor verarbeitet die personenbezogenen Daten nur im Rahmen von Anweisungen der verantwortlichen Person. Er ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.

Im Vergleich zu den vorherigen Regelungen, was sind die wichtigsten Änderungen?

Der Anwendungsbereich der Verordnung wird auf alle Verarbeitungen ausgeweitet, die sich
an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten.

Es gibt einige neue Begriffsdefinitionen (Artikel 4):
Beispiele:
– Umfassender Verarbeitungsbegriff (Art. 4 Nr. 2) – Aufhebung der Dreiteilung
(Erhebung, Verarbeitung, Übermittlung)
– Auftragsverarbeiter (Art. 4 Nr. 8) – keine Beschränkung mehr auf Auftragsverarbeitung im EWR
– Profiling (Art. 4 Nr. 4)
– Einwilligung (Art. 4 Nr. 11)
– Besondere Arten von Daten: So gibt es z. B. unter der DSGVO neue Definitionen für
»biometrische Daten« und »genetische Daten« (Art. 4 Nr. 12, 13). Unternehmen, die z. B.
mit Verfahren wie Gesichtserkennung und Fingerabdruck arbeiten. Sie sollten nicht nur die
neuen Definition, sondern auch die damit verbundenen Vorschriften prüfen.

Die Verarbeitung zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders
geregelt als im BDSG – Weiterverarbeitung nur bei kompatiblen Zwecken zulässig (war auch
in der Richtlinie schon so, aber im BDSG anders umgesetzt).

Die Anforderungen an die freiwillige Einwilligung wurden graduell erhöht.

Die Anforderungen an den Widerruf der Einwilligung wurden für den Betroffenen herabgesetzt.

Das Kopplungsverbot wurde verschärft.

Die Informations- und Auskunftspflichten wurden um weitere Angaben erweitert.

Es gibt eine neue Portabilitätsverpflichtung für Daten: diese muss in gängigem Format wieder zur Verfügung gestellt werden und ggf. auf Wunsch sogar direkt an Dritte übermittelt werden.

Die Löschpflicht wird erweitert (Hinweispflicht bei Weitergabe von Daten an Dritte).

Das Widerspruchsrecht wird erweitert.

Die »Joint Controllership«, bei der zwei verantwortliche Stellen gemeinsam Daten mit
jeweils vertraglich festgelegten Verantwortlichkeiten verarbeiten, war im BDSG ebenfalls
nicht enthalten (jedoch schon in der EU-Richtlinie enthalten).

Die Pflichten im Auftragsverhältnis haben sich teilweise geändert. Der Auftragsverarbeiter
wird für seinen Verantwortungsbereich stärker in die Pflicht genommen. Er hat eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen auch direkt gegenüber
den Betroffenen.

Die Verordnung hat in Bezug auf die technisch-organisatorischen Maßnahmen einen stärker
risikobasierten Ansatz, der eine Dokumentation der Risikoeinschätzung nötig macht.

Für besonders risikobehaftete Datenverarbeitungen wird die Durchführung einer Datenschutz-
Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung der Verfahren
bei der Aufsichtsbehörde (Vorabkontrolle gem. §4d Abs. 5 BDSG).

Ausweitung der Meldepflicht bei Datenpannen an eine Aufsichtsbehörde auf jeden Vorfall,
der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt. Der Vorfall muss binnen 72 h gemeldet werden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie »voraussichtlich« zu einem »hohen Risiko« führt.

Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich europaweit nach dem
Hauptsitz bzw. der Niederlassung.

Die möglichen Geldbußen für Verstöße wurden drastisch erhöht – auf bis zu 4% des
weltweiten Umsatzes pro Verstoß.



Was ist zum größten Teil gleich geblieben?

Bereits bestehende Datenschutzgrundsätze wie Zweckbindung, Datenminimierung und Transparenz bleiben erhalten. Ab 2018 wird die Datenverarbeitung weiterhin eine Rechtsgrundlage haben, z.B. sind „Vertragserfüllung“ oder „Zustimmung der betroffenen Person“ erforderlich. Die wesentlichen Rechtsgrundlagen für die Datenverarbeitung bleiben: eine heute zulässige Datenverarbeitung wird ebenfalls ab 2018 erwartet.

 

Gilt die DSGVO nur für die neu erworbenen Daten und Anwendungen?

Nein, die neue Verordnung betrifft alle bestehenden und neuen Daten. Das bedeutet, dass die DSGVO auch Daten betrifft, die im Voraus gespeichert wurden. Die Einhaltung der Vorschriften muss daher für alle – sowohl alte als auch neue – Verarbeitungen überprüft werden. Die folgenden Probleme sollten zum Beispiel berücksichtigt werden:

– Entspricht die bestehende Dokumentation der Datenverarbeitungsprozesse den neuen Datenschutzanforderungen?

– Werden die erweiterten Informationspflichten innerhalb der bestehenden Datenschutzrichtlinie erfüllt?

– Sind die formellen Voraussetzungen für die Einwilligung erfüllt?

– Berücksichtigt der bestehende Risikomanagementprozess die Anforderungen zur Ermittlung geeigneter technisch-organisatorischer Schutzmaßnahmen?

Brauche ich noch einen Datenschutzbeauftragten?

Nach heutigem Stand wird ein Datenschutzbeauftragter in Deutschland weiterhin benötigt, wenn mindestens zehn Personen im Unternehmen mit der automatisierten Datenverarbeitung beschäftigt sind.

Wer ist für die Einhaltung der DSGVO im Unternehmen verantwortlich?

Auch wenn ein Datenschutzbeauftragter bestellt wird, liegt die Verantwortung für die Einhaltung der DSGVO ausschließlich beim Verantwortlichen / beim Unternehmen. Der Datenschutzbeauftragte (DPO) berät und unterstützt nur bei der Umsetzung.


DSGOV Glossar

Wie hält man sich an die Datenschutzgrundverordnung (DSGVO)? Einblicke von Mailjet's Datenschutzbeauftragter Darine Fayed

Mailjet ist eines der wenigen Unternehmen, das nach dem DSGVO-Standard arbeitet und das die damit verbundenen Regulierungen einhält. Letzte Woche habe ich mich mit Darine Fayed, Head of Legal und Data Protection Officer (DPO) von Mailjet, getroffen, um zu verstehen und zu erfahren, wie ihr Weg zur DSGVO-Konformität ausgesehen hat und inwiefern SaaS-Unternehmen mit der DSGVO konform sind. Darine gab uns Einblicke in einige Verfahren von Mailjet, mithilfe derer sie nach dem DSGVO-Standard arbeiten.

In diesem Interview erklärte Darine uns, dass Compliance nicht nur Gesetze und Vorschriften betrifft, sondern auch eine verbesserte Kundenerfahrung schafft. Darine sprach ausführlich über die Aufzeichnung der Verarbeitungstätigkeiten, deren Vorteile für den Rest des Unternehmens und die Ressourcen, die vor dem offiziellen Stichtag eingehalten werden müssen.

Wie haben Sie mit Ihren Aufzeichnungen für ein Verzeichnis von Verarbeitungstätigkeiten (Records of Processing Activities, RPA) begonnen?

Wir haben mit einer Compliance-Roadmap begonnen, in der wir alle Pflichtaufgaben aufzählten, die wir vor unserer Deadline im Dezember 2017 erledigen mussten, um unseren Kunden vor dem offiziellen Stichtag die Einhaltung der DSGVO-Vorschriften anbieten zu können.

Eine der Pflichtaufgaben auf unserer Liste bestand darin, eine Aufzeichnung der Verarbeitungtätigkeiten, siehe Art. 30, zu führen. Dieser Artikel beinhaltet grundsätzlich, dass wir als Organisation den Überblick über alle Daten, die wir sammeln, aufbewahren und verarbeiten haben müssen und dass wir die verantwortliche Partei für diese Daten identifizieren, auch um sicherzustellen, dass die Aufbewahrungsfrist eingehalten wird.

Es war ein Identifikationsprozess für uns – um uns einen globalen Überblick über die von uns gespeicherten Daten zu verschaffen und den Datenfluss richtig zu verwalten. Unser gesamtes Verarbeitungsverzeichnis war einer unserer Roadmap-Schritte zur Einhaltung der Datenschutzrichtlinien.

Einige Unternehmen sind der Meinung, dass sie die RPA (Records of Processing Activities) nicht durchführen müssen. Wie haben Sie das für Mailjet als Verpflichtung identifiziert?

In unserem Fall bedienen wir mehr als 100.000 Kunden in Mailjet und verarbeiten eine große Menge von persönlichen Daten unserer Kunden, die alles enthalten, was sie in unsere Plattform eingeben, wie z.B. die Kontaktliste, die ihre E-Mail-Adresse enthält, sowie andere spezifische Informationen wie das Geschlecht oder eine andere persönliche Kennung dieser bestimmten Person. Daraus haben wir erkannt, dass wir uns in großem Umfang mit dieser Art von Daten beschäftigen.

Und ich weiß, dass es eine Ausnahme im Sinne der Datenschutz-Grundverordnung für kleine und mittlere Unternehmen gibt – dass jedes Unternehmen, das weniger als 250 Beschäftigte hat und einen Umsatz von weniger als einem bestimmten Euro-Betrag hat, von der Steuer befreit sein kann. Aber für uns geht es nicht nur um die Einhaltung der DSGVO, sondern es gibt auch andere Vorteile, die hinter den Aufzeichnungen der Verarbeitungstätigkeiten stehen. Es ist wichtig für die gesamte globale Sicht unseres Unternehmens,  für grundlegende Geschäftsverfahren und eine gute Organisation.

Es ist auch sehr wichtig für Unternehmen ein umfassendes Verständnis dafür zu haben, welche Daten gesammelt werden. Dies  hilft, die anderen Verpflichtungen zu identifizieren und einzuhalten, die Unternehmen im Rahmen der Datenverarbeitungsregeln haben.

(Erfahren Sie mehr über die Ausnahmen für Kleinst- und Kleinunternehmen in diesen Richtlinien.)

Wenn aus Ihrer Sicht eine kleine Firma, sagen wir zehn Mitarbeiter, sehr oft personenbezogene Daten verarbeitet, denken Sie, dass sie der DSGVO entsprechen müssen?

Ja, wenn es in großem Maßstab ist. Die Leitlinien der Arbeitsgruppe haben uns einige Hinweise gegeben, was die Verarbeitung im großen Maßstab bedeutet, und sie ist nicht sehr groß in Bezug auf die Menge, sondern basiert auf Ihrer Aktivität und dem Anteil an der Verarbeitung dieser Daten.

Das Beispiel der Arbeitsgruppe beschreibt diese Situation sehr gut. Betrachten Sie ein Krankenhaus, wo sie Patienten aufnehmen und behandeln. Das hat mit der Datenverarbeitung an sich nichts zu tun, ein Krankenhaus ist kein Technologieunternehmen. In einem Krankenhaus kommen Patienten jeden Tag an, um von Ärzten behandelt zu werden, und wenn sie ankommen, gehen oder während eines anderen Prozesses, zeichnet das Krankenhaus die Informationen des Patienten, wie Name und Gesundheitsinformationen auf. Obwohl das Hauptgeschäft in der Behandlung von Patienten besteht, sammelt und verarbeitet das Krankenhaus s sensible Daten dieser  Patientenit . Da sie jedoch eine große Datenmenge  verarbeiten, müssen sie eine Aufzeichnung der Verarbeitungsaktivität führen.

Es basiert nicht nur auf der Aktivität, sondern auch darauf, ob Sie Ihre Datenverarbeitungstätigkeiten analysieren müssen.

Die Verarbeitung von Daten ist für uns bei Mailjet das Herzstück oder der Kern unserer Aktivitäten. Wir drehen personenbezogene Daten um, wir stellen Statistiken aus. Auf der Basis unserer Software als Servicetechnologie, betrachten wir das als einen großen Aspekt für uns und müssen dies auf einem hohen Sicherheitsniveau für unsere Kunden halten.

Wie viele Verarbeitungstätigkeiten gibt es für Mailjet als Softwareanbieter?

Es gibt keine genaue Zahl, aber wir schätzen, dass es unter hundert Aktivitäten in drei verschiedenen Rollen sind.

Zunächst verarbeiten wir die Daten unserer Kunden. Diese Daten werden uns von unseren Kunden zur Verfügung gestellt, wenn sie Daten über sich selbst, ihre Firma und Kreditkartendaten angeben, um ihre Konten zu bearbeiten. Diese Daten werden basierend auf dem Vertrag zwischen Mailjet und unseren Kunden gesammelt.

Die zweite Rolle ist die Datenverarbeitung von Endempfängern, d. h. die betroffenen Personen. In Mailjet versenden wir im Auftrag unserer Kunden täglich eine große Menge an E-Mails. Diese E-Mails werden von den betroffenen Personen empfangen, da unsere Kunden E-Mail-Adressen eingegeben haben. Es besteht kein Vertrag zwischen uns und dem Endnutzer, sondern wir verarbeiten ihre Daten im Auftrag unserer eigenen Kunden. In diesem Fall müssen wir immer noch die Rechte der betroffenen Personen oder Endbenutzer respektieren.

Und schließlich ist unsere dritte Rolle die Datenverarbeitung für eigene Mitarbeiter und Auftragnehmer. Als Unternehmen behandeln und verarbeiten wir HR-bezogene Daten über unsere internen Prozesse und Mitarbeiter. Dies bezieht sich auf die Gehaltsabrechnungen und andere Aktivitäten in Bezug auf unsere Mitarbeiter.

Wie lange dauerte der gesamte Prozess der RPA?

Für uns war dies ein sehr langer Prozess, der mehrere Monate und viel Mühe in Anspruch nahm. Wir beauftragten einen Manager, der verschiedene Personen in verschiedenen Abteilungen befragte, um die Daten, die wir bei Mailjet sammeln, besser zu verstehen. Im Grunde betrachtete er die Datenbanken, um die verschiedenen Arten der vorhandenen Daten herauszufinden. Er identifizierte die untergliederten Datenbanken und was in jeder von ihnen gespeichert ist, all das kostet Zeit und Mühe.

Hat die RPA Mailjet als Unternehmen irgendwie geholfen? Hinsichtlich der Vorteile haben Sie bereits über gute Geschäftsverfahren gesprochen. Aber hat euch das überhaupt geholfen?

Es hat uns bei unseren anderen Aufgaben geholfen, die Daten, die wir haben, besser zu verstehen. Darüber hinaus hat es uns geholfen, bessere Geschäftsentscheidungen in Bezug auf die Vorratsdatenspeicherung zu treffen und zu entscheiden, welche Daten wirklich notwendig sind, um unseren Service bereitzustellen.

Was ist entscheidend für diesen RPA-Prozess, bevor Sie mit dem gesamten Prozess beginnen?

Die entscheidenden Ressourcen sind Zeit, Personal und Befugnisse für den Zugriff auf die Daten. Unternehmen, die diesen Prozess erst nah am Haupttermin beginnen, haben möglicherweise nicht genug Zeit, um dies zu tun, da dies normalerweise viel Zeit und Ressourcen in Anspruch nimmt.

Für uns bei Mailjet können wir niemanden vom IT-Team fragen. Die brauchen die richtige Person, die Zugriff auf die Datenbanken hat. Es gibt nur bestimmte Personen mit Zugriff auf die Daten in Mailjet.

(So schlägt Ihnen Mailjet vor, sich für den Start bereit zu machen!)

Und wie viele Abteilungen und Personen waren an diesem ganzen Prozess beteiligt?

Die Einhaltung der DSGVO betrifft die gesamte Organisation. Es handelt sich nicht nur um die Rechtsabteilung oder die IT-Abteilung. Es ist ein kollaborativer Prozess, der verschiedene Rollen beinhaltet. Sie brauchen ein oder zwei Leute, die das Projekt anführen. Für uns war das die Rechtsabteilung, die sich um die Organisation der Roadmap und dann um die Datenregistrierung kümmerte und letztendlich identifizierte, welche Informationen enthalten sein mussten.

Stark involviert war auch die IT-Abteilung, die bei Mailjet in ein Entwicklungsteam und ein operatives Team aufgeteilt ist und vom CTO Pierre Puchois geleitet wird. Das operative Team war für die Implementierung und Modifikation verschiedener IT-Prozesse verantwortlich.

Haben Sie die Möglichkeit, mit den Marketing- und Verkaufsabteilungen zu sprechen, da es ja auch Prozesse gibt, die diese Abteilungen betreffen?

Ja! Jeder muss mitmachen, um Mailjet zur Einhaltung der DSGVO zu bringen. Unser Compliance-Manager hat sich mit allen anderen Managern, einschließlich Vertrieb und HR, zusammengesetzt, um alle benötigten Informationen zu erhalten und die Kommunikation und Prozesse intern zu überarbeiten.

In der Regel stellt sich die Frage, ob die Aufzeichnungen der Verarbeitungstätigkeiten regelmäßig aktualisiert werden sollen. Wie oft wird die Mailjet-Registrierungsdatenbank für Verarbeitungstätigkeiten aktualisiert?

​​Anstelle von festen Fristen haben wir Meilensteine, um sie zu aktualisieren. Zu Beginn, als wir die Dokumentation während der Erstellung der Datei starteten, haben wir regelmäßig alle zwei Wochen aktualisiert.

Jetzt, da die Datei vollständig ist, wird sie mindestens alle sechs bis acht Monate aktualisiert. Wennn ein neues Produkt oder eine Funktion mit neuen Spezifikationen entwickelt wurde, wird gegebenfalls auch das RPA aktualisiert, sobald das Team die Genehmigung von der Datenschutzseite erhält.

Haben Sie eine Software zur Verwaltung dieser RPA verwendet?

Nein. Es wurden keine externen Tools verwendet.

Die IT-Abteilung verfügte über eigene IT-Tools, die  intern entwickelt wurden und gewartet werden. Sie führten eine Suche in den Datenbanken durch, um alle Arten von gespeicherten Daten (persönliche und nicht personenbezogene Daten) zu finden.

Wenn Sie die Möglichkeit hätten, dies per Software zu tun, hätten Sie sich dafür entschieden, weil es Ihnen in irgendeiner Weise hätte nützen können?

Ja! Je mehr Ressourcen desto besser, besonders wenn die Zeit begrenzt ist. Und ich denke, wenn wir weniger Zeit bei Mailjet hätten, hätten wir vielleicht eine Software verwenden können.

Wenn Sie eine Software hätten, was wäre die erste Software gewesen, die Sie für die verschiedenen Aspekte in den Aufgaben verwendet hätten? Hätten Sie mit etwas Bestimmten angefangen, wenn es beispielsweise eine Einwilligungssoftware, RPA oder ein Audit-Tool gäbe? Welche Software wäre das und in welcher Richtung der DSGVO?

Ich habe mehrere Konferenzen zu diesem Thema besucht und ich habe verschiedene Softwares gesehen. Für Personen, die ganz am Anfang stehen und nicht wissen wo sie anfangen sollen, könnte eine Management-Software der richtige Weg sein. Auch aus Sicht der Revision könnte es eine interessante Software sein, da manchmal eine externe Person oder Organisation benötigt wird, die analytische Hilfe leistet.

Ein Tipp für Unternehmen, die ihren DSGVO-Prozess jetzt starten?

Ein Tipp wäre, die richtigen Drittanbieter zu wählen. Weil es auch Ihre Verantwortung ist, konforme Drittanbieter zu haben. Sie könnten Probleme haben, wenn Sie die anderen Dienste, die Sie verwenden, nicht überprüfen oder verifizieren. Und Sie haben immer noch die Zeit bis Mai 2018, um auf konforme Anbieter umzusteigen.

(Erfahren Sie mehr darüber, wie Mailjet mit Drittanbietern handelt: hier)

Über Mailjet: Mailjet ist eine All-in-One-Lösung zum Senden, Verfolgen und Liefern von Marketing- und Transaktions-E-Mails. Die Cloud-basierte Infrastruktur ist einzigartig und hochskalierbar mit einer proprietären Technologie, die die Zustellbarkeit von E-Mails optimiert. Mailjet kann entweder über eine einfach zu bedienende Online-Drag-and-Drop-Schnittstelle oder über APIs aufgerufen werden, mit denen Entwickler ihre Funktionen in ihre Online-App oder ihren Online-Service oder ihr ausgeklügeltes SMTP-Relay integrieren können. Mailjet hat weltweit Niederlassungen (einschließlich Paris, London, Berlin, Toronto und New York) sowie 100.000 Kunden und Partnern in 150 Ländern.


DSGOV Glossar

DSGVO Glossar

DSGVO Glossar

Hier finden Sie ein Glossar zur Datenschutzgrundverordnung (DSGVO). Da die DSGVO von Juristen geschrieben wurde und oftmals schwer verständlich ist, möchten wir Ihnen die wichtigsten Begriffe hier erklären.

Die Datenschutz-Grundverordnung (DSGVO) – die Verordnung zum Schutz der Personen in der Europäischen Union bei der Verarbeitung und beim Verkehr von personenbezogenen Daten in der heutigen Zeit, in der die Online-Datenfreigabe eine größere Rolle spielt.

Die DSGVO wurde am 27. April 2016 verabschiedet und trat am 25. Mai 2018 in Kraft.

Verordnung – ein von der Europäischen Union erlassener Rechtsakt, der sofort in den Mitgliedstaaten angewendet werden kann und nicht mehr in nationales Recht umgesetzt werden muss.

Das bedeutet, dass die DSGVO seit dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union wirksam wurde.

Personenbezogene Daten – alle Daten, mit deren Hilfe eine Person identifiziert werden kann.

Beispiele für persönliche Daten sind Name, Ort, persönliche Identifikationsnummer, die Haarfarbe oder eine Liste mit Kundennamen und deren Adressen, IT-Nutzungsdaten, Verkehrsdaten, Informationen bezüglich Bildung, Einkommen, Kennzeichen.

Sensible personenbezogene Daten – ähnlich wie personenbezogene Daten, da sie hauptsächlich zur Identifizierung einer Person geeignet sind. Allerdings sind die Folgen im Falle einer Offenlegung dieser Daten drastischer.

Beispiele für sensible personenbezogene Daten sind Angaben zu religiösen Ansichten, Ethnie, politische Meinung, sexuelle Orientierung, physische und psychische Gesundheitszustände, biometrische oder genetische Daten.

Biometrische Daten – alle Daten, die verwendet werden können, um einen Einzelnen anhand seiner einzigartigen Merkmale zu identifizieren.

Fingerabdrücke gelten als ein Beispiel für biometrische Daten. Die DSGVO besagt, dass die Verarbeitung solcher Daten untersagt ist, außer die betroffene Person hat die Zustimmung erteilt und die Verarbeitung ist aus bestimmten Gründen erforderlich (wie zum Beispiel der Schutz der Grundbedürfnisse des Einzelnen).

Genetische Daten – alle Daten, die sich auf genetische Merkmale einer betroffenen Person beziehen. Diese Daten sind einzigartig und individuell.

Der Schutz der genetischen Daten ist sehr wichtig, da sie auf eine Weise verwendet werden können, die sich für die betreffende Person nachteilig auswirken kann. Zum Beispiel könnten Krankenversicherungen anhand ihnen vorliegender genetischer Daten die Kosten einer Versicherung mithilfe dieser Informationen aufgrund z.B. erhöhter Erkrankungsrisiken erhöhen.

Gesundheitsdaten – alle Daten, die Informationen über den körperlichen und geistigen Zustand eines Einzelnen liefern können.

Zum Beispiel werden medizinische Aufzeichnungen psychischer Störungen wie Depressionen als gesundheitsbezogene Daten angesehen.

Datensubjekt – eine Person, auf die sich die Daten beziehen.

Beispielsweise ist ein Student ein Datensubjekt, weil die Universität Daten (wie Name, Adresse, Nationalität, Geburtsdatum usw.) über ihn erhebt.

Darüber hinaus kann die Verarbeitung von Daten die Mitarbeiter, Manager, Vertragspartner, Lieferanten usw. betreffen.

Verarbeitung – alle Operationen, die an den personenbezogenen Daten durchgeführt werden, wie das Erheben, die Verwendung, die Übermittlung oder die Speicherung von Daten.

Wenn Benutzer neue Konten erstellen oder Online-Shopping mit ihren Kreditkarten durchführen, verarbeiten die Websites ihre persönlichen Daten.

Verschlüsselung – der Schutz personenbezogener Daten mit dem Ziel, die Vertraulichkeit und Integrität der Daten sicherzustellen und sie für diejenigen unlesbar zu machen, die keinen expliziten Zugang zu diesen Daten haben.

Verschlüsselte Daten müssen zuerst entschlüsselt werden, bevor sie genutzt werden können.

Verantwortliche Stelle / Data Controller (DC) – die Stelle, die entscheidet, welche Daten verarbeitet werden und mit welchen Mitteln.

Beispiele für Data Controller sind Personen, Regierungsabteilungen oder Unternehmen. Die DSGVO verpflichtet die betroffenen Personen, Informationen über die Verarbeitung personenbezogener Daten bereit zu stellen und Zugang zu den personenbezogenen Daten zu gewähren.

Der Data Controller muss in kürzester Zeit Informationen wie den Zweck der Verarbeitung, die Art der verarbeiteten personenbezogenen Daten, wer der Empfänger der persönlichen Daten war usw. mitteilen.

Datenverarbeiter / Data Processor (DP) – die Entität, die für die Verarbeitung personenbezogener Daten im Namen des Data Controllers verantwortlich ist.

Beispiele dafür sind IT-Dienstleister oder Marktforschungsunternehmen.

Nur die Data Processors, die ausreichende Garantien in Bezug auf die DSGVO bieten, werden vom Data Controller ausgewählt.

Datenempfänger – die Stelle, die die vom Data Processor verarbeiteten Daten empfängt.

Diese Empfänger können öffentlich (zum Beispiel Finanzämter, Regierungsbehörden usw.) oder privat (zum Beispiel Abteilungen für die eigenen Mitarbeiter – Marketing, Personal, Buchhaltung usw. oder Banken, Telekommunikationsunternehmen usw.) sein.

Datenschutzvereinbarung – wenn ein Data Controller einen Data Processor ernennt, muss er diesen Rechtsakt erstellen (Data Protection Agreement, DPA), um alle Bestandteile der Datenverarbeitung wie Datensubjekte, Dauer, Zweck, verwendete Mittel usw. schriftlich festzulegen.

Die Pflichten und Rechte des Data Processors müssen eindeutig festgelegt sein (zum Beispiel die Pflicht zur Vertraulichkeit oder die Verpflichtung, alle technischen Maßnahmen zu ergreifen, um Verstöße zu vermeiden).

Right to erasure / Recht auf Löschung – auch “Right to be forgotten” oder „Recht, vergessen zu werden” genannt – sichert dem Einzelnen das Recht zu, dass der Data Controller die personenbezogenen Daten unverzüglich löscht, die anderen Data Controller darüber informiert, dass die Person die Löschung der Daten beantragt hat und die weitere Sammlung, Verarbeitung und Weitergabe der Daten endet.

Zum Beispiel wird von Suchmaschinen auf Anfrage einer Person erwartet, die Links zu denjenigen Webseiten zu löschen, die mit dem Namen der Person verknüpft sind.

Right to the restriction of processing / Recht auf Verarbeitungseinschränkung – Recht des Einzelnen, die Verarbeitung der Daten durch den Data Controller einzuschränken, wenn diese fehlerhaft oder rechtswidrig ist oder wenn der Data Controller die personenbezogenen Daten nicht mehr benötigt.

Wird dieses Recht von der betroffenen Person verwendet, ist der Data Controller verpflichtet, weitere Controller, die die Daten verarbeiten, zu informieren.

Right to data portability / Recht auf Datenübertragbarkeit – ermöglicht der betroffenen Person, personenbezogene Daten von dem Controller in einem Format zu erhalten, das von einem anderen Data Controller gelesen werden kann.

Dieses Recht kann eine hohe Anwendbarkeit in der Bankenbranche haben, wenn ein Datensubjekt seine Transaktionen einsehen will und sie in einem lesbaren Format erhalten möchte.

Joint controllers / Verbundene Controller – zwei oder mehrere Data Controller entscheiden gemeinsam, welche Daten mit welchen Mitteln verarbeitet werden. Der Prozess muss in Bezug auf die Rechte der betroffenen Person transparent durchgeführt werden.

Zum Beispiel können eine Firma, die bestimmte Waren herstellt, und ihr autorisierter Händler entscheiden, die persönlichen Daten ihrer Kunden zu teilen.

Vertreter des Data Controllers – eine natürliche oder juristische Person, die den Controller bezüglich der Einhaltung der DSGVO vertritt.

Records of processing / Verzeichnis der Verarbeitungstätigkeiten – alle Verarbeitungen bezüglich personenbezogener Daten von Unternehmen mit mehr als 250 Mitarbeitern oder mit einem Risiko für die Rechte und Freiheiten der betroffenen Personen müssen aufgezeichnet werden.

Wenn eine Organisation beispielsweise mehr als 250 Mitarbeiter beschäftigt, sollte sie Aufzeichnungen über alle Aktivitäten im Zusammenhang mit der Verarbeitung von Daten führen.

Data protection impact assessment / Datenschutz-Folgenabschätzung – wenn die verarbeiteten Daten ein Risiko für die Rechte und Freiheiten der Datensubjekte darstellen, ist der Controller verpflichtet, das Risiko vor Beginn der Verarbeitung zu bewerten. Der Datenschutzbeauftragte kann in dieser Angelegenheit Unterstützung anbieten.

Wenn das Ergebnis der Bewertung ein hohes Risiko aufweist, muss das Verfahren alle sechs Monate überprüft werden. Bei mittlerem Risiko wird der Prozess alle neun, bei geringem Risiko alle zwölf Monate überprüft.

Supervisory authority / Aufsichtsbehörde – eine Behörde, mit der die Data Controller und Data Processor zusammenarbeiten, falls erforderlich oder notwendig.

Jeder Staat der EU wird mindestens eine unabhängige Aufsichtsbehörde benennen.

In Deutschland gibt es 15 Aufsichtsbehörden, die für die verschiedenen Länder der Bundesrepublik zuständig sind (zum Beispiel die bayerische Datenschutzbehörde – BayLDA, zuständig für den Freistaat Bayern)

Der Europäische Datenschutzausschuss – eine Einrichtung der Europäischen Union, die aufgrund der DSGVO eingerichtet wurde und aus je einem Leiter der Aufsichtsbehörde jedes Staates der EU besteht.

Der Hauptzweck des Ausschusses besteht darin, die Anwendung der Verordnung sicherzustellen.

Rechtsverletzungen von personenbezogenen Daten – ein Sicherheitsproblem, das zu rechtswidrigen Zugang, Nutzung, Verbreitung etc. von personenbezogenen Daten führt.

Zum Beispiel wurden im Jahr 2013 drei Millionen verschlüsselte Kreditkarten-Datensätze von Kunden der Firma Adobe nach einer Datenpanne gestohlen.

Der Data Controller informiert die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne über die Art der Verletzung, die betroffenen personenbezogenen Daten, die wahrscheinlichen Folgen und die möglichen Maßnahmen zur Behebung des entstandenen Schadens.

Wenn die Verletzung als ein Risiko für die Rechte und Freiheiten des Einzelnen angesehen wird, muss auch das Datensubjekt benachrichtigt werden.

Um solche Probleme zu vermeiden, ist der Data Processor gehalten, das Risiko möglicher Datenschutzverletzungen zu analysieren und Maßnahmen zu ergreifen, welche die Sicherheit nach Möglichkeit zu erhöhen. Das Risiko wird auf einer Skala von 1 (geringes Risiko) bis 3 (hohes Risiko) bewertet.

Data Protection Officer / Datenschutzbeauftragter – eine Person, deren Hauptaufgabe darin besteht, die Einhaltung der DSGVO eines Unternehmens zu überwachen und bezüglich Datenschutzmaßnahmen zu beraten.

Ein Datenschutzbeauftragter wird nur in folgenden drei Fällen ernannt: (1) Es handelt sich bei dem Unternehmen um eine Behörde, (2) die Haupttätigkeit des Unternehmens liegt in der umfangreichen und systematischen Überwachung von Datensubjekten oder (3) die Haupttätigkeit des Unternehmens besteht darin, Daten über die Verurteilung wegen einer Straftat zu verarbeiten.

Pseudonymisierung – ein Prozess, der durch die DSGVO gefördert wird und bei dem die Daten nicht einer Person zugeordnet werden können und nicht dazu beitragen können, die Person ohne zusätzliche Informationen zu identifizieren.

Diese Methode soll die Sicherheit der Daten erhöhen und das Risiko von Verstößen verringern. Die Data Controller werden ermutigt, diesen Prozess zu nutzen, um den Sicherheitsanforderungen der DSGVO gerecht zu werden.

Ausnahme – eine Abweichung von einem Gesetz oder einer Regel.

Im Zusammenhang mit den Verordnungen der Europäischen Union kann eine Ausnahme zur Folge haben, dass ein Mitgliedstaat ein neues Gesetz nicht sofort umsetzen kann.

Consent / Zustimmung – die Zustimmung einer Person zur Verarbeitung personenbezogener Daten.

Beispielsweise müssen Sie bei der Registrierung auf einer Webseite oder für die Teilnahme an einem Online-Wettbewerb ein Kästchen ankreuzen, mit dem Sie sich einverstanden erklären, dass das Unternehmen die von Ihnen bereitgestellten Daten verwenden und verarbeiten darf.

Profiling – eine Methode, die die bereitgestellten persönlichen Daten verwendet, um zukünftiges Verhalten vorherzusagen.

Zum Beispiel werden personenbezogene Daten von Social-Media-Webseiten genutzt, um gezielte Werbung basierend auf Likes, Hobbys, angesehenen Seiten usw. anzubieten.

Ablagesystem – ein System, das die personenbezogenen Daten organisiert und nach bestimmten Kriterien zugänglich macht.

Zum Beispiel die Auswahl von persönlichen Daten von Personen in einem geografischen Gebiet oder eines bestimmten Alters.

Datenübertragung – Übermittlung personenbezogener Daten aus den 28 EU-Ländern und den drei EWR-Ländern (Norwegen, Island und Liechtenstein) in ein Drittland. Die DSGVO lässt diesen Prozess nur zu, wenn das betreffende Land die Bedingungen der Verordnung erfüllt. Eine Kommission bewertet das Niveau des Datenschutzes in diesem spezifischen Land und genehmigt oder lehnt die Datenübertragung in der Folge ab.

Bisher hat die Kommission erklärt, dass folgende Länder ausreichenden Datenschutz gewähren: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz und Uruguay.

Verlässt das Vereinigte Königreich die Europäische Union und den EWR, wird es ein Drittland.

EWR – europäischer Wirtschaftsraum, in dem der freie Verkehr von Personen, Dienstleistungen, Waren und Kapital erlaubt ist.

Derzeit gibt es 28 EU-Staaten im EWR sowie Norwegen, Liechtenstein und Island.

Binding Corporate Rules (BCR) / Verbindliche, unternehmensinterne Vorschriften – das Regelwerk, das von multinationalen Unternehmen verwendet wird und die Übermittlung personenbezogener Daten innerhalb der Gruppe von Unternehmen, die nicht Teil des EWR sind und nicht das erforderliche Datenschutzniveau gewährleisten, reguliert.

Die verbindlichen, unternehmensinternen Vorschriften müssen von der EU genehmigt werden und bieten infolgedessen eine ausreichende Schutzgarantie, sodass diese internationalen Übermittlungen stattfinden können.

Zum Beispiel verabschiedete eBay verbindliche unternehmensinterne Vorschriften, die von der luxemburgischen nationalen Datenkommission genehmigt wurden.

Sanktionen – Bestrafung wegen Nichteinhaltung der DSGVO. Die Bußgelder für Datenschutzverletzungen können bis zu € 20 Millionen oder 4 % der weltweiten Bruttoeinnahmen (je nachdem, welcher Wert höher ist) betragen.

Infolge dieser sehr hohen Strafen droht vielen Unternehmen, die sich nicht an die Vorschriften halten oder gegen den Datenschutz verstoßen, die Insolvenz.

Bildquelle: https://goo.gl/images/mCjuJr