Bewerberdaten: Das dürfen Sie speichern

Den
richtigen Mitarbeiter zu finden und dann auch zu halten, ist in Zeiten des
Fachkräftemangels für viele Unternehmen ein großes Problem. Facebook, LinkedIn,
Jobbörsen und Empfehlungen durch Mitarbeiter: Eine Vielzahl von Quellen wird
genutzt, um qualifizierte Mitarbeiter zu rekrutieren. Der Datenschutz macht
jedoch einige Vorgaben, wie mit den Daten der Bewerber umzugehen ist.

Informieren
ist Pflicht

Zunächst
gilt eine Informationspflicht nach Art. 13 DSGVO. Das heißt, der Bewerber muss über
die Verarbeitung seiner Daten informiert werden – und zwar sobald die Daten
verarbeitet werden. Das ist kein Problem, wenn die Stelle auf der eigenen
Webseite oder in einem Jobportal ausgeschrieben ist. Hier lassen sich die
Informationen bereits in die Ausschreibung verlinken.

Doch was ist
bei Initiativbewerbungen? Hier müsste der Arbeitgeber informieren, sobald er
die Bewerbung erhält. Denn selbst wenn er diese sofort löscht, ist bereits die
Löschung eine Verarbeitung. Gerade bei großen Unternehmen, die sehr viele
Initiativbewerbungen erhalten, kann das zu einem erheblichen Verwaltungsaufwand
führen. Daher wird das in der Praxis so behandelt, dass die Informationen bei
der ersten Antwort-Mail mitgeschickt werden, auch wenn es sich dabei um eine
Absage handelt.

Vom
Bewerber zum Mitarbeiter

Sollte der Bewerber die Stelle erhalten, dürfen die Daten aus der Bewerbung für den personalbogen übernommen werden. Das ist nicht so selbstverständlich wie es klingt. Strenggenommen handelt es sich dabei um eine Zweckänderung. Denn ist das Bewerbungsverfahren beendet, entfällt der Zweck der Verarbeitung. Hier greift jetzt aber §26 BDSG, nach dem Daten von Beschäftigten verarbeitet werden dürfen.

Aufbewahrungsfristen
beachten

Daten von
Bewerbern, die die Stelle nicht erhalten haben, müssen gelöscht werden. Denn
der Zweck der Datenerhebung – die Bewerbung – ist ja entfallen. Ein abgelehnter
Bewerber hat nach dem Arbeitnehmer-Gleichstellungsgesetzt (AGG) die
Möglichkeit, gegen die Ablehnung zu klagen. Hierzu hat er zwei Monate nach der
Ablehnung Zeit. Um auf solche Klagen reagieren zu können, dürfen die
Bewerberdaten maximal sechs Monate gespeichert werden.

Ein Problem
in der beruflichen Praxis sind Bewerber, die sich immer wieder auf Stellen
bewerben und jedes Mal aufs Neue geprüft und abgelehnt werden. Das Bayerische
Landesamt für Datenschutzaufsicht hat dazu festgestellt, dass einige Daten, die
zur Identifizierung des Bewerbers notwendig sind, auch über die Halbjahresfrist
hinaus gespeichert werden dürfen. Dazu gehören Name, Adresse, Datum der
Bewerbung, Position, Tatsache der Absage und Datum der Absage. Die übrigen
Daten der Bewerbung müssen nach wie vor gelöscht werden.


Business-Trip und Datenschutz: Darauf müssen Sie achten

Ein Notebook und eine stabile WLAN-Verbindung, mehr ist in
vielen Fällen nicht nötig, um auch unterwegs genauso produktiv arbeiten zu
können wie im Büro. Doch Vorsicht: Mit Ihnen gehen auch vertrauliche
personenbezogen Daten auf Reisen, die unterwegs besonders gefährdet sind. Daher
sollten Sie einige Vorsichtsmaßnahmen treffen, damit es auf Geschäftsreisen
nicht zu Datenschutzverletzungen kommt.

Notebooks & Smartphones

Passwort verwenden:

Alle Geräte sollten mit einem Passwort gesichert sein. Ein sicheres Passwort besteht aus mindestens 12 Zeichen, enthält Groß und Kleinschreibung sowie Sonderzeichen und Zahlen. Wechseln Sie das Passwort nur, wenn Ihr Konto angegriffen wurde. Zu häufige Passwortwechsel führen in der Regel zu schwachen Passwörtern, daher raten IT-Sicherheitsspezialisten davon eher ab. Ob Ihr Konto Ziel eines Angriffs war, können Sie über diverse Webseiten wie https://haveibeenpwned.com/ prüfen.

Geräte verschlüsseln:

Die Festplatten von Notebooks sollten verschlüsselt sein. Selbst wenn das Gerät abhanden kommt, sind so die dort gespeicherten Daten sicher. Bei Windows 10 Pro ist mit Bitlocker bereits eine Verschlüsselung integriert, sie muss nur aktiviert werden. Mac-Nutzer können das integrierte FileVault nutzen, um Ordner und Festplatten zu schützen. Bei anderen Betriebssystemen lässt sich diese Funktion durch Drittanbieter leicht nachrüsten.

Schutzfolien verwenden:

Sowohl im Zug wie auch im Flugzeug ist meistens nicht viel Privatsphäre, der Sitznachbar kann leicht auf Ihren Bildschirm sehen. Um das zu verhindern, verwenden Sie Sichtschutzfolien. Die lassen ein Blick nur zu, wenn Sie frontal hineinschauen. Bei einem seitlichen Blickwinkel bleibt der Bildschirm schwarz.

USB-Sticks

Generell sollten Sie keine vertraulichen Geschäftsunterlagen
oder personenbezogene Daten auf einem USB-Stick speichern. Die kleinen
Speichersticks sind zwar praktisch, aber auch sehr leicht zu verlieren. Sollten
Sie dennoch nicht auf diese Speichermedien verzichten wollen, sollten Sie sie
unbedingt verschlüsseln. Entsprechende Software gibt es von verschiedenen
Herstellern. Alternativ gibt es USB-Sticks, die bereits eine
Hardware-Verschlüsselung mitbringen oder mit Fingerabdruck-Sensoren gesichert
sind.  

Telefongespräche

Jeder hat das schon erlebt: Jemand telefoniert im im Zug
oder Restaurant mit voller Lautstärke und diskutiert geschäftliche Themen.
Vermeiden Sie das! Wenn Sie sich in der Öffentlichkeit befinden, diskutieren
Sie keine Geschäftsgeheimnisse oder Personalangelegenheiten. Vereinbaren Sie
einen Rückruf und telefonieren Sie, wenn Sie sich wieder in Ihrem Hotelzimmer
oder einem abgeschiedenen Meetingraum befinden.

Vorsicht vor Diebstahl

Notebooks, Smartphones oder Aktentaschen sind gern gesehene
leichte Beute für Diebe. Lassen Sie Ihre Geräte daher nicht aus den Augen!
Falls doch etwas abhandenkommt, informieren Sie unverzüglich Ihren
Datenschutzbeauftragten oder IT-Verantwortlichen. Sollten durch den Diebstahl
personenbezogene Daten betroffen sein, handelt es sich möglicherweise um einen
meldepflichtigen Datenschutzverstoß. Hier gilt eine gesetzliche Frist bis zur
Meldung bei der zuständigen Behörde von 72 Stunden.


Themenvortrag: Automatisches VVV/VVT durch Enterprise Architecture Management

Wir heißen Sie herzlich willkommen zum Themenvortrag der TU München. Es geht um die automatisierte Erstellung von Verzeichnissen von Verarbeitungstätigkeiten mithilfe von Enterprise Architecture Management.

Die Teilnahme ist kostenlos. Bringen Sie gerne Kollegen und Freunde mit. Eine Anmeldung Ihrer Teilnahme über Meetup.com ermöglicht, dass wir die Raumgröße passend wählen können. Im Anschluss gehen wir gemeinsam in eine nahegelegene Gaststätte zum lockeren Austausch.

Das Thema wird vorgestellt von Ahmet Tanakol und Dominik Huth. Sie stellen ihre Forschungsergebnisse im Expertenkreis vor, um besonders Praxiserfahrungen in der Diskussion mit einzubeziehen.

Der Vortrag findet auf Englisch statt. Die Vortragsbeschreibung lautet:
"Creating a record of processing activities to fulfil Art. 30 of the GDPR is a highly manual process and requires a large amount of time. In the course of his Master’s thesis, Ahmet Tanakol developed an approach to support this creation.

We shortly introduce the area of Enterprise Architecture Management, a holistic way to align business and IT. We developed an approach that uses Enterprise Architecture models as the primary source of information and could help in automating steps of the RPA creation. We would like to discuss this approach in the expert group and identify automation potentials in RPA creation."

Ahmet Tanakol is currently completing his Master’s thesis in Informatics at TU Munich and will present his approach at RPA creation. Dominik Huth (http://go.tum.de/414798) is a PhD student at TU Munich. His research focuses on privacy aspects in Information Systems.

Link zur Veranstaltung: https://www.meetup.com/de-DE/Muenchen-Datenschutz/events/259323317/


Datenschutzdokumentation in KMU: Vortrag bei der IHK München

Am 27.05.2019 spricht Hauke Holtkamp, Geschäftsführer der ECOMPLY GmbH, bei der IHK als Gastredner zum Thema "Digitalisierung des Datenschutzes".

Titel des Vortrags

27.05.2019 16:00-16:30 Uhr

Zur Veranstaltung

Inhalt des Vortrags ist die Umsetzungsempfehlung für Datenschutz in kleinen und mittelständischen Unternehmen anhand einer Musterfirma. Insbesondere wird auf folgende Themen eingegangen:

  • Öffentliche Angaben (Informationspflichten)
  • Sensibilierung im eigenen Unternehmen
  • Digitale Datenschutzdokumentation

Teil der Veranstaltung sind Staatsekretär Roland Weigert (Bayerisches Staatsministerium für Wirtschaft, Landesentwicklung und Energie)
und IHK-Hauptgeschäftsführer Dr. Manfred Gößl.

Wir freuen uns auf Ihren Besuch.


Eine Anleitung für die Datenschutz-Folgenabschätzung

Unternehmen können aufgrund der rasanten technologischen Entwicklung neue und innovative Geschäftsmodelle entwickeln.

Allerdings ändern Unternehmen ihre Arbeitsweise oft in einer Art und Weise, welche eine Verarbeitung großer Datenmengen erfordert. In diesem Fall müssen diese dann eine Datenschutz-Folgenabschätzung durchführen. Diese hilft Ihnen dabei, die Vorschriften besser zu verstehen und umzusetzen, was wiederum hilft, DSGVO Bußgelder zu vermeiden.

Jedes Mal, wenn Sie etwas ändern, müssen Sie gemäß der Datenschutz Grundverordnung (DSGVO) eine Folgenabschätzung durchführen. Die von Ihnen eingeleitete Änderung kann sowohl technologisch als auch strukturell sein. Unabhängig von der Art der Änderung müssen Sie eine Folgenabschätzung durchführen.

Wenn Sie keine Datenschutz-Folgenabschätzung durchführen, kann dies zu Geldbußen über 20 Millionen Euro oder 4% Ihres Jahresumsatzes führen, je nachdem welcher Betrag höher ist.

In diesem Artikel möchten wir Unternehmen ein grundlegendes Verständnis zum Thema Datenschutz-Folgenabschätzung vermitteln. Wir geben Ihnen auch Tipps, wie Sie eine solche durchführen können um DSGVO Bußgelder zu vermeiden.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

In unseren Recherchen das Thema betreffend haben wir noch keine endgültige Antwort auf diese Frage gefunden.

DSGVO Experten können sich nicht ausreichend dazu äußern.

Durch unsere Arbeit mit dem Thema konnten wir aber einige Anhaltspunkte finden, die zu verstehen helfen, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht. Nachfolgend finden Sie die wichtigsten Punkte. Wenn einer oder mehrere dieser auf sie zutrifft, ist eine Datenschutz-Folgenabschätzung empfehlenswert, um DSGVO-Geldbußen zu vermeiden:

  • Wenn Ihr Unternehmen Daten zu speziellen Kategorien verarbeitet (siehe Definition von Datenkategorien, die in der DSGVO erwähnt sind, um mehr zu erfahren).
  • Unternehmen/Organisationen, die Daten in großem Umfang verarbeiten (siehe Abschnitt Definition von großen Datenmengen).
  • Wenn Ihre Organisation/Firma von Individuen Profile erstellt.
  • Wenn Ihr Unternehmen/Organisation seine Dienstleistungen/Produkte direkt an Kinder richtet.

Artikel 35 DSGVO erlaubt es den Datenschutzbehörden auch, schwarze Listen der Verarbeitungs-Tätigkeiten zu erstellen. Diese Listen enthalten alle Aktivitäten, für die Sie eine Datenschutz-Folgenabschätzung durchführen müssen, um DSGVO-Bußen zu vermeiden.

Sie können diese auch Ihrer Datenschutz-Folgenabschätzung-Vorlage hinzufügen, um später darauf zurückzukommen. Hier ist eine Liste, die sich die deutschen Behörden ausgedacht haben.

Im Folgenden finden Sie die Antwort von Daniela Duda (einer renommierten Spezialistin in Deutschland) auf diese Frage.

Was ist eine Datenschutz-Folgenabschätzung?

Die Europäische Union (EU) hat die Datenschutz-Folgenabschätzung als Instrument im Rahmen der Datenschutz Grundverordnung (DSGVO) eingeführt. Die DSGVO empfiehlt sie, um die Risiken, die Verarbeitungstätigkeiten in einem Unternehmen mit sich bringen, besser einschätzen zu können.

Wenn Sie eine neue Technologie in Ihrem Unternehmen einführen, die Verarbeitungstätigkeiten automatisiert, müssen Sie eine Bewertung durchführen. Sie hilft, die Risiken der Verarbeitung zu bewerten und letztendlich zu reduzieren. Wenn Sie zu dem Schluss kommen, dass eine Verarbeitungstätigkeit zu einem erheblichen Schaden für die betroffenen Personen führen kann, konsultieren Sie bitte auch Ihre Datenverarbeitungsvereinbarung.

Die Datenschutz-Folgenabschätzung hilft Ihnen bei der Organisation Ihrer Projekte und gleichzeitig, die Geldbußen der DSGVO zu umgehen.

Was sagt die DSGVO über die Datenschutz-Folgenabschätzung?

Gemäß Artikel 35 sind Sie als Controller für die Durchführung einer Abschätzung verantwortlich:

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) ….

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Artikel 35 Absatz 3 DSGVO (siehe oben) legt die Regeln fest, wann genau eine Bewertung durchgeführt werden muss. Kurz gesagt, es heißt, dass Sie für jede Art von Verarbeitung eine Folgenabschätzung durchführen müssen.

Besonders wichtig wird es, wenn Sie neue Technologien einführen und analysieren, wie Daten mit diesen Technologien verarbeitet werden.

Darüber hinaus müssen Sie Art, Umfang, Kontext und Zweck der Verarbeitung selbst berücksichtigen. Wenn Sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen erkennen, dann müssen sie das Projekt neu planen, um diese Risiken zu minimieren. Sie müssen vor Projektbeginn eine Datenschutz-Folgenabschätzung integrieren. Als Verantwortlicher müssen Sie sich zudem bei hohen Risiken mit der zuständigen Datenschutzbehörde abstimmen.

Wenn Sie die Datenschutz-Folgenabschätzung erstellen oder für die Verwendung durch Ihr Unternehmen anpassen, fügen Sie den Artikel der DSGVO hinzu. Diese kann dann als Orientierungsgrundlage herangezogen werden und man kann sich jederzeit darauf berufen.

Definition von Art, Umfang und Kontext

Damit das leichter zu verstehen ist, hier ein Beispiel:

Ein Krankenhaus erfasst und verarbeitet die Gesundheitsdaten seiner Patienten.

Die Art der Daten ist dabei der Datentypen der verarbeitet wird.

Zum Beispiel, ein Arzt nimmt eine Blutprobe und auf der Basis dieser Blutprobe verschreibt er eine Behandlung oder ein Medikament, damit sich die Person erholen kann.

Diese Daten werden nach der DSGVO als PII kategorisiert. Der Umfang der Verarbeitung ist durch die Reichweite der Verarbeitungstätigkeit definiert - im Wesentlichen also wer Zugriff auf die Daten hat und wie viele Daten verarbeitet werden.

In unserem Beispiel untersucht ein Arzt 30 Patienten und erfasst ihre Informationen. Diese Daten können dann von 15 Ärzten, die Zugriff auf sie haben, verarbeitet werden, aber nicht von z.B. Pflegekräfte ohne diese Zugangsberechtigung.

Auch die Verarbeitung ist nicht automatisiert. Ein Arzt kann sich die gespeicherten Daten ansehen, aber es gibt keinen Algorithmus, der sie analysiert und eine Diagnose vorschlägt. In Zukunft können diese 15 Ärzte diese Daten auch zur Diagnose der Patienten nutzen, wie lang in die Zukunft muss jedoch auch in den Aufzeichnungen der Datenverarbeitungsvorgänge festgelegt sein, z.B. 5 Jahre. In diesem Beispiel wäre daher der Umfang der Verarbeitungstätigkeiten 30 Untersuchungsunterlagen, die von 15 Zugriffsberechtigten für 5 Jahre, nicht automatisiert verarbeitet werden können.

Der Kontext ist definiert als die Situation, in der die Daten erfasst und verarbeitet werden.

In diesem Fall ist es das Krankenhaus und die Rechtsgrundlage ist die Zustimmung. Wenn also ein Patient im Krankenhaus aufgenommen wird, muss dieser ausdrücklich seine Zustimmung zur Datenverarbeitung erteilen. Wenn dieser Patient, zu einem späteren Zeitpunkt wieder im Krankenhaus ist und die gleiche Art der Daten auf die gleiche Art verarbeitet werden, ist keine erneute Zustimmung notwendig. Wenn sich der Verarbeitungsprozess jedoch ändert ist in jedem Fall eine Zustimmung notwendig.

All diese Dinge, Art, Umfang und Dauer der Verarbeitungstätigkeit, müssen in der Datenschutz-Folgenabschätzung erwähnt und beschrieben werden.

Definition von Datenkategorien im Rahmen der DSGVO

Wenn Sie diese Kategorien verstehen, können Sie oder ihre Projektleiter problemlos Datenkategorien unterscheiden und eine Datenschutz-Folgenabschätzung durchführen.

Die Allgemeine Datenschutzverordnung definiert personenbezogene Daten als alle Informationen aufgrund derer eine natürliche Person identifiziert werden kann.

Diese Daten können berufliche Daten oder privater Natur sein. Dazu gehören auch Daten, durch die eine indirekte Identifikation mit Hilfe von Querverweisen möglich ist.

Ein Beispiel ist eine Matrikelnummer, die Ihnen an der Universität zugewiesen wurde, oder Ihre IP-Adresse.

Art 9 DSGVO legt fest in welcher Art und Weise besonders sensible Daten verarbeitet werden können. Dabei ist zu beachten, dass die DSGVO sensible Daten als solche Informationen definiert, welche Hinweise auf die rassische und ethnische Herkunft oder politische bzw. religiöse Ansichten einer Person geben könnten. Darunter fallen auch alle Daten, die die Gewerkschaftszugehörigkeit, Gesundheitsdaten oder andere biometrische Daten offenlegen.

Wenn Sie sensible oder personenbezogene Daten verarbeiten, müssen Sie dies, gem. DSGVO, in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Diese Protokollführung ist für die gesamte Datenverarbeitung erforderlich.

Weitere Datenkategorien

Hier sind einige weitere Definitionen, gem. Pegasystems, die Sie vielleicht nützlich finden könnten:

Daten über Gesundheit werden der DSGVO als personenbezogene Daten definiert, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Dazu gehört auch die Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand eines Patienten preisgeben können.

Genetische Daten werden laut DSGVO als personenbezogene Daten definiert, die sich auf vererbte oder erworbene genetische Merkmale einer Person beziehen. So auch Daten, die einzigartige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern. Es sind alle Daten, die Sie aus einer Analyse einer biologischen Probe von der betreffenden natürlichen Person erhalten.

Biometrische Daten sind personenbezogene Daten aus spezifischen technischen Verarbeitungsprozessen, die sich auf die physikalischen, physiologischen oder verhaltensmäßigen Eigenschaften einer Person beziehen. Es sind alle Daten, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen. Beispiele sind Gesichtsbilder oder daktyloskopische Daten.

(Pegasystems, 2018)

Definition von Datenverarbeitung im großen Umfang

Die Verarbeitung von Daten im "großen Stil" ist schwer zu definieren, und es wird viel über die genaue juristische Bedeutung des Begriffes diskutiert.

Wenn Sie nun jedoch Daten in großem Umfang verarbeiten, müssen Sie eine Datenschutz-Folgenabschätzung durchführen, um keine DSGVO-Bußen zu erhalten. Also wann genau ist das notwendig?

Nach EC Europa:

"Die DSGVO definiert nicht, was ein Großprojekt ist.

Die WP29 empfiehlt, bei der Entscheidung, ob eine Verarbeitung in großem Umfang erfolgt, insbesondere die folgenden Faktoren zu berücksichtigen:

  • Die Anzahl der betroffenen Personen - entweder als eine bestimmte Anzahl oder als Anteil an der relevanten Bevölkerung.
  • Datenvolumen und/oder die Bandbreite der verschiedenen zu verarbeitenden Datenelemente
  • geplanten Verlauf und die bisheriger Dauer der Datenverarbeitungstätigkeit
  • Geografischer Umfang der Verarbeitungstätigkeit”

Was wir sicher wissen:

  • Wenn Sie Daten der Sonderkategorie verarbeiten, müssen sie, selbst wenn sie nur einen Datensatz haben, eine Datenschutz-Folgenabschätzung durchführen.
  • Als Freiberufler benötigen Sie bei einer überdurchschnittlich großen Anzahl von Datensätzen, eine Folgenabschätzung. Beispiele für Freelancer sind Ärzte, Anwälte oder andere Berufe, die mit Kunden zu tun haben. Eine beliebige Anzahl von Personen, die in Ihrem Fachgebiet über dem Durchschnitt liegt, gilt als großer Umfang.
  • Ebenso benötigen Sie als Unternehmen, in dem die Datenverarbeitung ein integraler Bestandteil Ihres Unternehmens ist, eine Datenschutz-Folgenabschätzung. Wenn es sich um eine regelmäßige Tätigkeit handelt, können Sie anhand der folgenden Faktoren begründen, warum Sie oder warum Sie keine Daten in großem Umfang verarbeiten: Anzahl der betroffenen Personen, Umfang der personenbezogenen Daten und geografische Standorte.

Hier sind einige Beispiele, die Sie in Ihre Datenschutz-Folgenabschätzung Vorlage integrieren können:

"...Verarbeitung von Patientendaten im regulären Geschäftsbetrieb durch ein Krankenhaus, Verarbeitung von Reisedaten von Einzelpersonen mit Hilfe des öffentlichen Personennahverkehrs einer Stadt (z.B. Tracking über Fahrkarten), Verarbeitung von Echtzeit-Geo-Standortdaten von Kunden einer internationalen Fast-Food-Kette zu statistischen Zwecken durch einen auf diese Tätigkeiten spezialisierten Prozessor, Verarbeitung von Kundendaten im regulären Geschäftsbetrieb durch eine Versicherungsgesellschaft oder eine Bank Verarbeitung von personenbezogenen Daten für verhaltensorientierte Werbung durch eine Suchmaschine, Verarbeitung von Daten (Inhalt, Verkehr, Standort) durch Telefon- oder Internetanbieter. [All diese stellen groß angelegte Verarbeitung dar]

Beispiele, die keine groß angelegte Verarbeitung darstellen, sind:

die Verarbeitung von Patientendaten durch einen einzelnen Arzt Bzw. Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt"

(EC Europa, 2018)

Als Leitfaden für Ihre Datenschutz-Folgenabschätzung, der Ihnen effektiv hilft, Bußgelder zu vermeiden, können Sie diese Beispiele in Ihre Datenschutz-Folgenabschätzungs-Vorlage aufnehmen, um diese als Werkzeug zum Verständnis des Prozesses zu nutzen. Verschiedene Projektmanager können sich dann auf das gleiche Dokument beziehen.

Wann ist es notwendig, eine Datenschutz-Folgenabschätzung durchzuführen?

Sie müssen eine Datenschutz-Folgenabschätzung, wenn Sie systematisch und umfassend Daten erfassen. Sie müssen sie auch durchführen, wenn Sie wichtige Entscheidungen über Menschen treffen. Vor allem, wenn dies durch automatisierte Prozesse oder Algorithmen geschieht. Wenn Sie neue Technologien zur groß angelegten Datenverarbeitung einsetzen, müssen Sie eine Folgenabschätzung durchführen.

Wenn Sie eine Technologie verwenden, die Daten einer besonderen Kategorie oder Daten zu Straftaten verarbeitet, muss eine Bewertung durchgeführt werden. Jede Technologie, mit der Sie personenbezogene Daten und Daten zu Straftaten verarbeiten, benötigt eine entsprechende Datenschutz-Folgenabschätzung.

Wenn Sie Profiling verwenden, führen automatisierte Entscheidungsfindung und Verarbeitung von Daten spezieller Kategorien dazu, dass eine Folgenabschätzung notwendig wird. Besonders wenn Sie diese Prozesse nutzen, um Entscheidungen über Opportunities zu treffen und den Zugang zu diesen Opportunities, Dienstleistungen oder Unterstützungsleistungen zu erhalten. Zum Beispiel, um einen Telefon- oder Netzvertrag von einem Träger oder ein Darlehen von einer Bank zu erhalten.

Regelmäßige und systematische Verarbeitung

Wenn Ihre Organisation eine regelmäßige und systematische Überwachung durchführt, ist eine Datenschutz-Folgenabschätzung erforderlich.

EC Europa fasst den Begriff der systematischen Überwachung zusammen:

"Der Begriff der regelmäßigen und systematischen Überwachung von betroffenen Personen ist in der DSGVO nicht definiert. Aber sie umfasst eindeutig alle Formen der Ortung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung. Der Begriff der Überwachung ist jedoch nicht auf die Online-Umgebung beschränkt."

Wenn Sie Daten aus mehreren Quellen kombinieren und darauf zugreifen, um sie zu vergleichen oder abzugleichen, wird auch die Erstellung einer Datenschutz-Folgenabschätzung empfohlen. Zum Beispiel die Erstellung von Käufer-Profilen aus Daten, die Sie aus öffentlichen Profilen in den sozialen Medien oder dem Online-Shopping-Verhalten erhalten. Wenn Sie den Online- oder Offline-Standort verfolgen und Daten durch ihn generieren, ist eine Datenschutz-Folgenabschätzung auch unerlässlich.

Wenn Ihr Unternehmen personenbezogene Daten von Kindern verarbeitet, müssen Sie eine Bewertung durchführen. Selbst wenn Sie dies durch automatisierte Entscheidungsfindung oder für das Marketing tun, erfordert dies eine Folgenabschätzung. Die werden sich auch von der zuständigen Datenschutzbehörde beraten lassen müssen, wenn die Dienstleistung oder das Produkt direkt an Minderjährige vermarktet wird.

Wenn Sie feststellen, dass die Verarbeitung personenbezogener Daten zu einem Risiko von Körperverletzungen führen kann, ist eine Bewertung erforderlich. Körperliche Schäden im Rahmen der DSGVO gelten als sehr schwerwiegend.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

Unternehmen müssen vor Projektbeginn, insbesondere jedoch vor Beginn der Datenverarbeitung, eine Datenschutz-Folgenabschätzung durchführen.

Schritt 1: Beschreibung der Verarbeitung

Sie müssen Art, Umfang, Kontext und Zweck der Verarbeitung detailliert beschreiben. Stellen Sie sicher, dass Sie Ihre Datenverarbeiter bitten, mit Ihnen zu kooperieren, um die von Ihnen durchgeführten Verarbeitungstätigkeiten vollständig zu verstehen, zu dokumentieren und alle damit verbundenen Risiken zu identifizieren.

Wenn Sie beispielsweise das Einkaufsverhalten verfolgen, würden Sie den Umfang des Trackings definieren. Was genau verfolgen Sie? Verfolgen Sie, was die Verbraucher kaufen, welche Produkte sie betrachten, wie lange sie sich ein Produkt ansehen? Das muss klar und deutlich zum Ausdruck gebracht werden.

Sie müssen auch angeben, warum genau Sie das Tracking durchführen: um nützliche, personalisierte Empfehlungen abzugeben. Beantworten Sie die Frage, wie Sie die Daten schützen, wo sich die Server befinden, was ist die Notwendigkeit der Verarbeitungstätigkeit und grundsätzlich alle Fragen, die Sie sich stellen würden, wenn Sie Ihre Aufzeichnungen der Verarbeitungstätigkeit erstellen. All diese Informationen müssen für jede Verarbeitungstätigkeitt dokumentiert werden.

Schritt 2: Identifizieren Sie die Risiken der Verarbeitungstätigkeit

Arbeiten Sie mit Ihrem Team zusammen, um alle Risiken zu identifizieren, die diese Aktivität für die Rechte und Freiheiten der Personen, von denen Sie die Daten erfassen, mit sich bringen könnte. Prüfen Sie, ob die Verarbeitung für Ihre Zwecke notwendig und verhältnismäßig ist und beschreiben Sie, wie Sie die Einhaltung der Datenschutzvorschriften sicherstellen. Die Bewertung der Schwere der Risiken für die Rechte und Interessen eines Individuums muss so objektiv wie möglich erfolgen.

Schritt 3: Dokumentieren Sie alles!

All dies müssen Sie für Ihre Datenschutz-Folgenabschätzung dokumentieren, einschließlich aller Unstimmigkeiten, die Sie mit Ihrem Datenschutzbeauftragten (DSB) haben. Nach der Dokumentation können Sie die Maßnahmen, in Sie in Ihre Projektplanung integriert haben, umsetzen.

Hauke Holtkamp rät Unternehmen, "...Statistiken zu verfolgen, anstatt Profile zu erstellen." Er arbeitet am Beispiel von ECOMPLY.io:

"Wir wollen verstehen, wie unsere Nutzer jeden Schritt durchlaufen, um die Anforderungen der DSGVO zu erfüllen und um zu sehen, wie viel Zeit unsere Nutzer für jeden Schritt aufwenden, damit wir die App besser machen können, indem wir die Schritte weiter analysieren, bei denen die meisten User Probleme haben. Das kann leicht anonym nachvollzogen werden, indem wir keine Profile unserer Benutzer erstellen. Wir sehen uns  einfach nur Statistiken über jeden Schritt an. Auf diese Weise integrieren wir die Prinzipien des Datenschutzes in unsere App."

Indem man diesem Ratschlag folgt, kann man verhindern, dass eine Datenschutz-Folgenabschätzung überhaupt notwendig wird.

Herausforderungen bei der Durchführung  der Datenschutz-Folgenabschätzung

Wenn Unternehmen externe Parteien mit der Durchführung einer Datenschutz-Folgenabschätzung beauftragen, besteht die Herausforderung darin, dass Kunden die Folgenabschätzung nicht durchführen wollen, da sie sich nicht bewusst sind, was sie darstellt und welche Folgen sie haben könnte. Daher besteht in der Regel die Befürchtung, dass die Durchführung einer solchen Maßnahme zu eingeschränkten Geschäftspraktiken und -optionen führen könnte.

Ein weiteres Problem ist der Mangel an Informationen, die notwendig sind, eine Folgenabschätzung vollständig durchzuführen. Dies hat zwei Gründe: Zum einen ist die DSGVO relativ neu und es bestehen viele Unklarheiten und zum Anderen ist nur ein kleiner Prozentsatz aller Unternehmen mit der Verordnung konform. Das bedeutet, dass sie sich ihrer Datenpfade und -verläufe nicht vollständig bewusst sind, was die Dokumentation im DPIA etwas schwierig macht.

Die Datenschutz-Folgenabschätzung hat auch die negative Konnotation, dass sie äußerst mühsam und zeitaufwändig ist. Dies entmutigt die Unternehmen, eine Einschätzung vorzunehmen oder Zeit und finanzielle Mittel in sie zu investieren, selbst wenn sie mit hohen Geldbußen rechnen müssen.

Hauke Holtkamp, Mitbegründer von ECOMPLY.io, sagt nach einem Kundengespräch:

"Die größte Herausforderung für unsere Kunden ist es, herauszufinden, wo sie anfangen sollen, da es im Moment nicht viel Referenzmaterial gibt. Außerdem hängen viele Geschäftsmodelle von einigen nicht konformen Prozessen ab. Eine Folgenabschätzung ist jedoch ein nützliches Instrument, um zu erkennen, wo in Ihrem Unternehmen regelwidrige Prozesse stattfinden."

Vorteile einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutz-Folgenabschätzung vor Projektbeginn ermöglicht es Ihnen, den Informationsfluss innerhalb des Projekts von Anfang an zu verfolgen.

  • Es wird Ihre Kommunikation zum Thema Datenschutz mit verschiedenen Interessengruppen verbessern.
  • Sie können bei Ihren Benutzern und Kunden das Vertrauen gewinnen, dass Sie ihre Daten verantwortungsbewusst verarbeiten.
  • Ihr Unternehmen kann sicherstellen, dass Ihre Nutzer nicht gefährdet sind, und die Kosten, für den Fall, dass ein Sicherheitsverstoß auftritt, reduzieren.
  • Es hilft Ihnen auch, die Betriebskosten zu senken, indem es den Informationsfluss optimiert.
  • Sie vermeiden DSGVO-Geldbußen, indem Sie die Einhaltung der Vorschriften sicherstellen.

Fazit

Die DSGVO ist noch eine relativ neue Gesetzgebung und Datenschutz-Folgenabschätzungen wurde zu diesem Zeitpunkt noch nicht von vielen Unternehmen durchgeführt. Es ist zunächst äußerst wichtig, den gesamten Datenfluss Ihres Unternehmens abzubilden, um zu verstehen, wie Daten durch Ihr Unternehmen fließen und verarbeitet werden.

Ihr Unternehmen sollte auch Mitarbeiter schulen, um festzustellen, wann Datenschutz-Folgenabschätzungen benötigt werden. Sie sollten dies als integralen Bestandteil der Compliance betrachten. Im Allgemeinen sollten Sie eine Datenschutz-Folgenabschätzunge für alle neuen Prozesse oder Organisationsmaßnahmen durchführen, die Sie ändern.

Laut Hauke Holtkamp:

“Eine Datenschutz-Folgenabschätzung zur Vermeidung von DSGVO-Strafzahlungen ist als Unternehmen unglaublich schwer durchführbar. Das erste, was Sie tun sollten, ist die Struktur Ihrer Prozesse zu strukturieren. Erstellen sie eine geordnete Liste der Prozesse und gehen Sie diese wie eine Checkliste, die angibt, welches Verfahren "schädlich" und welches "harmlos" ist, durch. Dies erleichtert die Strukturierung der Folgenabschätzung.

Stellen Sie am Ende hohe Risiken für bestimmte Prozesse fest, stellen Sie sicher, dass Sie Maßnahmen ergreifen, um diese Risiken zu reduzieren.”


10 der größten DSGVO-Mythen entlarven

10 der größten DSGVO-Mythen entlarven

Lassen Sie uns 10 der größten DSGVO-Mythen entlarven, die heute weit verbreitet sind!

Nur noch 2 Wochen bis zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) und die Panik schlägt um! Und davon angetrieben herrscht Paranoia um das, was getan werden muss. Gerüchte. Behauptungen. Und verrückte Ideen. In diesem Blog werden wir alle lächerlichen DSGVO-Mythen entlarven, die wir bisher gehört haben.

Mythos 1: Die DSGVO ist ein Gesetz der Europäischen Union (EU) und gilt nur für europäische Unternehmen.

Dieser spezifische Mythos stellt die Rahmenbedingungen für die Anwendung der DSGVO in Frage. Sie gilt mit Sicherheit nicht nur für europäische Unternehmen. Sie gilt für ALLE Unternehmen, die in irgendeiner Weise Daten von Personen mit Wohnsitz in der EU erheben, empfangen und verarbeiten. Darüber hinaus muss jedes Unternehmen, das betroffenen Personen innerhalb der EU Waren oder Dienstleistungen anbietet oder deren Verhalten in irgendeiner Weise überwacht, die Vorschriften einhalten, unabhängig vom Standort des Unternehmens. Tatsächlich ist es möglich, dass ein europäisches Unternehmen nur Daten von in Amerika ansässigen Personen verarbeitet. In diesem Fall gilt die DSGVO nicht für das Unternehmen. Grundsätzlich spielt es keine Rolle, wo das Unternehmen seinen Sitz oder seine Wurzeln hat, die Frage, nach der beurteilt werden sollte, ob die DSGVO gilt oder nicht, ist: "Wessen Daten werden angefasst?"

Mythos 2: Die DSGVO wurde geschaffen, um Unternehmen mit Geldbußen zu bestrafen.

Die Grundsätze, auf denen die DSGVO beruht, sind nicht die Bestrafung von Unternehmen, sondern vielmehr die Ermächtigung der Menschen zu mehr Kontrolle über ihre Daten und die Gewährleistung einer verantwortungsvollen Datenerhebung und -verarbeitung. Die möglichen Bußgelder, die verhängt werden könnten, wurden lediglich immer wieder genannt, um die Bedeutung der Compliance für Unternehmen zu untermauern. Zum jetzigen Zeitpunkt kann jedoch niemand vorhersagen, wie streng die Behörden diese Geldbußen verhängen werden, wenn überhaupt. Höchstwahrscheinlich werden sie den Unternehmen Aufschub gewähren und reichlich Spielraum lassen, wenn sie sehen, dass Anstrengungen unternommen werden, um die Anforderungen zu erfüllen. Nicht für jeden kleinen Verstoß werden Geldbußen verhängt. Das liegt daran, dass das Wesen der DSGVO im Kern eher ermächtigend als strafend ist.

Mythos 3: Die DSGVO ist nur für IT-Abteilungen und das obere Management bestimmt.

Die meisten Menschen, die an Datenschutz denken, kommen sofort zu dem Schluss, dass das etwas für die IT-Abteilung ist. Im Falle der DSGVO ist dies jedoch überhaupt nicht der Fall. Die DSGVO soll den Umgang mit Daten in Unternehmen reformieren, weshalb sie für jede Abteilung und jede Person innerhalb eines Unternehmens gilt und Verantwortlichkeiten für alle mit sich bringt. Prozesse müssen geschaffen werden, aber auch die Mitarbeiter müssen über die DSGVO aufgeklärt werden. So werden beispielsweise bei der Erfassung aller Verarbeitungstätigkeiten Vertreter aller Abteilungen eines Unternehmens einbezogen.

Mythos 4: Alle Verstöße, egal wie geringfügig, müssen den Datenschutzbehörden gemeldet werden.

Verstöße müssen den zuständigen Behörden gemeldet werden, dies gilt jedoch nur für solche Verstöße, bei denen eine Gefahr für die Rechte und Freiheiten der Menschen besteht. Es muss also nicht jeder Verstoß gemeldet werden.

Mythos 5: Alle Angaben müssen in dem Moment gemacht werden, in dem ein Verstoß innerhalb eines Unternehmens auftritt.

Wenn es einen Verstoß innerhalb eines Unternehmens gibt, sind Details dazu manchmal nicht sofort verfügbar. Unternehmen müssen selbst nachforschen, bevor sie alle notwendigen Informationen sammeln können. Die DSGVO berücksichtigt dies und räumt einen Zeitraum von 72 Stunden ein, um solche Fälle zu melden, sofern möglich. Einmal gemeldete Daten können bei Bedarf auch nach den vorgesehenen 72 Stunden zur Verfügung gestellt werden.

Mythos 6: Für jede Aktivität muss eine Einwilligung eingeholt werden.

Die allgemeine Auffassung von Unternehmen ist, dass die Einwilligung von Usern im Mittelpunkt der DSGVO steht. Ohne Zustimmung kann keine Datenverarbeitung durchgeführt werden. Diese Auffassung ist äußerst irreführend. Die DSGVO lässt verschiedene Möglichkeiten zu, eine Verarbeitungstätigkeit zu rechtfertigen, von denen die Einwilligung der betroffenen Person nur eine ist. Einige andere sind unten in der ECOMPLY-Anwendung zu sehen, in der Sie einfach eine Möglichkeit auswählen können, um die rechtliche Grundlage für eine Aktivität zu ermitteln.

Mythos 7: Im Rahmen der DSGVO müssen Sie erneut die Zustimmung aller Betroffenen einholen!

Nachdem wir also den ersten der DSGVO-Mythen über die Einwilligung im Rahmen der DSGVO zunichte gemacht haben, geht es im zweiten Fall speziell um die Aufforderung zur Einwilligung im Rahmen der DSGVO. Die meisten Unternehmen sind der Meinung, dass dies von Grund aufgetan werden muss, um DSGVO-konform zu sein. Einwilligungen, die nach der Datenschutzrichtlinie eingeholt wurden, genügen den DSGVO-Standards jedoch. Überprüfen Sie lediglich die Einwilligungen und den Standard, den die DSGVO dafür setzt.

Mythos 8: Die neuen Regeln zur Datenübertragbarkeit gelten für alle Unternehmen.

Datenübertragbarkeitsanforderungen sind nur dann gegeben, wenn die Rechtsgrundlage einer Verarbeitungstätigkeit auf Einwilligung oder vertraglicher Notwendigkeit beruht.  Wenn die Rechtsgrundlage ein berechtigtes Interesse, ein öffentliches Interesse oder eine andere laut DSGVO zulässige Bestimmung ist, gelten die Anforderungen nicht.

Mythos 9: Das Rechenzentrum muss in der EU sein!

Dies ist eine weitere häufige Fehlannahme. Das Rechenzentrum eines Unternehmens muss nicht in der EU liegen. Es kann sich auch in einem der Drittländer befinden, die die DSGVO zulässt. Grundsätzlich darf es nicht in einem Land liegen, in dem es keine Datenschutzbestimmungen gibt. Hier sehen Sie, was wir zu diesem Thema hilfreich fanden.

Mythos 10: Biometrische Daten sind sensible Daten.

Dies ist der verständlichste Irrtum, der sich bezüglich der DSGVO entwickelt hat. Biometrische Daten, die ein Unternehmen sammelt, sind wie alle anderen Daten nur dann sensibel, wenn sie aktiv zu Identifikationszwecken verwendet werden. Sie werden tatsächlich überwiegend zu Identifikationszwecken erhoben, aber wenn das nicht der Fall ist, müssen biometrische Daten nicht als sensible Daten behandelt werden.


Warum benutzt combyne ECOMPLY.io für Datenschutz?

Combyne, die mobile App, die die Lösung für das Problem des “perfekten Outfits für den perfekten Anlass” parat hat.

Erstelle dein ganz persönliches Outfit mit all deinen Lieblingsstücken und Teilen deiner liebsten Marken. Du kannst auch einfach ein Foto von irgendeinem deiner Outfits machen und sie zu deinem Outfit hinzufügen.

Spare deine Energie für die wirklich wichtigen Dinge, kein endloses An- und Ausziehen, kleide dich auf deinem Smartphone-Bildschirm ein und entscheide dich für die beste Kombination.

Wir haben uns mit Christian Dienst, dem leitenden Geschäftsführer von combyne, zusammengesetzt, um zu erfahren, was ihn an ECOMPLY.io überzeugt hat.

Was bedeutet die DSGVO für Sie?

Christian: Ich bin davon überzeugt, dass sie Unternehmen und Organisationen die Möglichkeit gibt, ihre internen Datenstrukturen darzustellen und ihre Systeme entsprechend zu verbessern. Letztendlich ist es ein internationaler Standard, den Unternehmen brauchen um die Daten und die Privatsphäre ihrer Kunden und Mitarbeiter zu schützen.

Warum müssen Sie compliant werden?

Christian: Ab dem ersten Tag auf dem Weg zur EU-Datenschutz-Grundverordnung, wurde für uns der Datenschutz unserer Nutzer und Angestellten groß geschrieben. Auch wenn wir nicht in riesige Prozesse involviert sind, gibt uns die DS-GVO die Möglichkeit der Strukturierung und der Verbesserung des Datenmanagements. Durch die Etablierung einer datenbewussten Umwelt kann unsere Nutzer-Community und unsere Partner noch besser von unseren Produkten profitieren.

Warum haben Sie ECOMPLY.io gewählt?

Christian: Nachdem sich eine Strategie zum Umgang mit unseren Datenprozessen herauskristallisierte, wurde uns bewusst, wie das von ECOMPLY.io integrierte Format uns unterstützen könnte. Da wir noch immer ein kleines Unternehmen sind (per Definition der DS-GVO-Richtlinien), ist uns eine einfach nutzbare und erreichbare Plattform, die leicht zu handhaben ist, sehr wichtig.

Wer arbeitet mit ECOMPLY.io und wie passt es in Ihre eigenen Prozesse?

Christian: In der Entwurfsphase wurde nur ein kleines Team involviert. Zunächst mussten wir verstehen, welche Prozesse und Implementierungen am geeignetsten sind, woraufhin später das ganze Team einbezogen werden konnte. Der dadurch entstandene Ideen-Pool ist ein unbezahlbarer Mehrwert für unser Unternehmen.

Was hat ECOMPLY.io zu Ihren Vorbereitungen auf die DSGVO Compliance beigetragen?

Christian: ECOMPLY.io war für uns eine tolle Unterstützung. Der Überblick über Prozesse, Anforderungen und Erklärungen hat uns eine Menge Zeit und Energie gespart. Mit der Wahl des passenden Prozesses war der Grundstein gelegt und unsere internen Aktivitäten konnten ganz einfach eingefügt werden. Die dadurch entstandene Prozess-Datenbank ist nun unsere Basis, das ECOMPLY Team stand uns dabei immer mit Rat und Tat zur Seite.

Was waren die Alternativen?

Christian: Mögliche Alternativen wären die Organisation der einzelnen Informationen gewesen, das Erstellen von Vorlagen und allen notwendigen Dokumenten. Dies hätte uns natürlich viel extra Zeit gekostet, um ein gut nutzbares Format zu erstellen und unsere eigenen Inhalte einzufügen. Das hätte unseren Weg zur DS-GVO-Compliance natürlich deutlich verlängert.

Abschließende Worte?

Christian: ECOMPLY bietet uns eine anwenderfreundliche Schritt-für-Schritt-Anleitung zu einem attraktiven Preis und mit tollem Live-Support.

Inspiriert durch combyne’s Reise zur compliance? Holen Sie sich JETZT eine kostenlose probierien!