⯈ Dieses Projekt steht zum Verkauf!

www.datenschutzbetreuer.de steht zum Verkauf! Mit diesem Projekt können Sie SOFORT als Datenschutzbeauftragter starten. Details:

  • Das Portal besteht aus 26 redaktionellen Texten (geschrieben von einem Datenschutzexperten/Juristen – Gesamt Wortanzahl ~ 22000 Wörter
    Ausführlicher theoretischer Bereich: https://www.datenschutzbetreuer.de/wie-funktioniert-datenschutz/
    Ausführlicher praktischer Bereich: https://www.datenschutzbetreuer.de/wie-datenschutz-umsetzen/
    Branchenspezifisch: https://www.datenschutzbetreuer.de/branchenspezifisch/
    Ratgeber ePrivacy- Webseiten Check: https://www.datenschutzbetreuer.de/dsgvo-eprivacy-webseiten-check/ (inkl. Infografik: https://www.datenschutzbetreuer.de/wp-content/uploads/dsgvo-webseite-infografik.png)
  • Das Portal besteht aus ca. 1800 Unterseiten (Städtebezogene Landingpages). Wurden erstellt um via Adwords zu werben. Beispiel: https://www.datenschutzbetreuer.de/nordrhein-westfalen/krefeld/. Die Inhalte der StädteLandingpages können einfach (Massen)bearbeitet werden. So ist es beispielsweise möglich branchenspezifisch & regional (zb. Datenschutzbeauftragter für Physiotherapeuten in Krefeld) zu werben.
  • Mitgliederbereich (digimember derzeit kostenlos)  https://www.datenschutzbetreuer.de/registrierung/ (derzeit 50 registrierte Nutzer).
    Im Mitgliederbereich befinden sich:
    Vorlage/Muster Auftragsdatenverarbeitungsvertrag
    Vorlage/Muster DSGVO Einwilligungserklärung
    Vorlage/Muster Information über die Erhebung von Kundendaten
    Vorlage/Muster Einverständniserklärung Verwendung Fotos & Videos
    Vorlage/Muster DSGVO Checkliste
    Vorlage/Muster Datenschutzvorfall melden 16 Punkte DSGVO-Checkliste Tool um die Webseite auf ePrivacy Cookies zu checken: https://cookiecheck.datenschutzbetreuer.de/de/
  • Projektinhalte:
    Webprojekt
    Domain
    Logo
    Texte

Pro Monat besuchen das Projekt rund 400 Besucher. Ein Projekt um als Datenschutzbeauftragter SOFORT zu starten. Bei Interesse und weiteren Infos kontaktieren Sie uns bitte per Kontaktformular.

DSGVO Checkliste

Neue Datenschutzregeln: worauf müssen Sie jetzt achten?

Seit dem 25. Mai 2018 ist die DS-GVO, die neue Datenschutz-Grundverordnung, in Kraft getreten. Diese Regelung soll Unternehmen zu effektiveren Schutzmaßnahmen der persönlichen Daten von Mitarbeitern und Kunden veranlassen. Das neue Gesetz umfasst insgesamt 99 Artikel, mit denen sich viele Unternehmen nunmehr auseinandersetzen müssen. Wer sich nicht an die neuen Regelungen hält, muss mit hohen Strafen rechnen. Die nachfolgende Checkliste soll betroffenen Unternehmen als Orientierung dienen, um die Regeln der DS-GVO umzusetzen.

1. Überprüfung, ob ein Datenschutzbeauftragter bestellt werden muss

Unter bestimmten Bedingungen müssen Unternehmen einen Datenschutzbeauftragten benennen. Erfolgt die Verarbeitung personenbezogener Daten in einer Firma via EDV automatisiert, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Als personenbezogene Informationen werden insbesondere Mitarbeiter- sowie Kundendaten eingestuft.

Eine Ausnahme dieser Verpflichtung gilt für kleine Unternehmen. Befassen sich regelmäßig neun oder weniger Mitarbeiter mit der Verarbeitung der personenbezogenen Informationen, muss der Betrieb keinen Datenschutzbeauftragten bestellen. In diesem Fall sind die Geschäftsführer selbst zur Übernahme des Datenschutzes berechtigt. Allerdings müssen auch die Mitarbeiter in die Neun-Personen-Regelung einbezogen werden, die sich nur gelegentlich an der Datenverarbeitung beteiligen. Als maßgeblicher Faktor gilt die Anzahl der Personen – unabhängig davon, ob es sich um Praktikanten, Auszubildende, feste bzw. freie Mitarbeiter, Teil- oder Vollzeitkräfte handelt.

Diese Ausnahme betrifft nicht die Unternehmen, bei denen die Datenverarbeitung für eine Datenschutz-Folgenabschätzung notwendig ist. Dieser Fall bezieht sich auf die Daten, bei denen erhöhte Risiken für Betroffene bestehen, die sich beispielsweise auf deren Gesundheitsstatus, politische oder sexuelle Orientierung beziehen. Ein klassisches Beispiel ist eine kleine Praxis für Psychotherapie, die aufgrund derartiger in der Akte gespeicherten Informationen keinen Datenschutzbeauftragten benötigt.

Der ausgewählte Datenschutzbeauftragte muss bestimmte Kompetenzen erfüllen, die durch Fortbildungen z.b. bei der IHK erlangt werden.

2. Anlage eines Verzeichnisses der Verarbeitungstätigkeiten

Jedes Unternehmen ist zur Anlage eines sogenannten “Verzeichnisses der Verarbeitungstätigkeiten” verpflichtet. Gemäß Artikel 30 DS-GVO müssen Unternehmer dieses Verzeichnis in Form einer Tabelle erstellen, das Informationen zur Datenerhebung enthält. Diese Tabelle listet auf, wie, warum und wann die Firma die Daten erhoben hat.

Bei der Anlage des Verzeichnisses müssen Unternehmen darauf achten, auch interne Daten aufzuschlüsseln, die verarbeitet werden. Diese Informationen schließen beispielsweise Angaben wie Lohnbuchhaltungs-Daten oder Personalinfos ein. Experten bestätigen, dass eine tabellenförmig aufgelistete Tabelle den Datenschutzbehörden völlig ausreicht. Bei größeren Unternehmen ist es sinnvoll, einen Projektverantwortlichen zu ernennen. Im Aufgabenbereich dieses Mitarbeiters steht es dann, all die Mitarbeiter zu befragen, die sich mit der Datenverarbeitung (einschließlich Lieferanten und Partnern) auseinandersetzen. Diese Abfrage berücksichtigt nachfolgende Informationen:

  • Welche Angaben erhalten Betroffene wie Kunden über eine Speicherung und Erhebung von personenbezogenen Daten?
  • Wie erfolgt die Erteilung dieser Angaben? Werden die Informationen in den AGB, in Texten neben Checkboxen auf Webseiten oder mündlich erteilt?
  • Welche Informationen werden abgefragt? Welchen Zweck verfolgt die Datenerhebung? Wie werden die Informationen weiterverarbeitet? Aus diesen Angaben leitet sich wiederum ab, inwiefern eine gesetzliche Erlaubnis für eine Datenverarbeitung besteht. Möglicherweise weisen diese Informationen ebenfalls darauf hin, dass Betroffene zuerst ihr Einverständnis für die Datenverarbeitung geben müssen.
  • Werden die Daten anonym oder mit Pseudonymen behandelt?
  • Über welchen Zeitraum erstreckt sich die Abspeicherung der Informationen?
  • Falls eine Weitergabe der Daten erfolgt: wenn ja, an wen? Ist diese Person ebenfalls für den Datenschutz verantwortlich?
  • Besteht ein ausreichender Schutz der Daten durch organisatorische und technische Hilfsmittel?
  • Wo erfolgt die Datenspeicherung? Werden die Informationen auch außerhalb der EU gespeichert? Falls ja: liegen alle wichtigen Voraussetzungen zur Übermittlung in Drittstaaten vor?

Aus diesen Informationen wird ein Verarbeitungsverzeichnis konzipiert. Dieses Verzeichnis könnte im Falle eines Friseurbetriebs folgendermaßen gestaltet werden:

Stammdaten der Kunden

  • Verantwortlichkeit: Salonbetreiber …, Anschrift, Telefonnummer
  • Zweck: Absprache von Terminen, Realisierung der Friseur-Serviceleistung
  • Betroffene: alle Kunden des Friseursalons
  • Wer hat Zugriff auf die Daten?: alle Mitarbeiter des Salons
  • Datenkategorien: Frisur (zum Beispiel Haarfarbe, Haarschnitt); Stammdaten der Klientel (zum Beispiel Name, Telefonnummer, E-Mail-Anschrift)
  • Übermittlung an Drittstaaten: erfolgt nicht
  • Löschfrist: bei Widerruf durch Betroffene
  • rechtliche Grundlage: Artikel 6 Absatz 1b DS-GVO
  • Einwilligung durch Betroffenen: Jeder Kunde erhält einen mündlichen Verweis auf die Datenerhebung durch Mitarbeiter. In diesem Zusammenhang wird die Kundschaft darauf aufmerksam gemacht, dass die Daten jederzeit einsehbar sind und gelöscht werden können.

Bewerberdaten

  • Verantwortlichkeit: Geschäftsführer/in …, Anschrift, Telefonummer
  • Zweck: Bewerbungsmanagement
  • Betroffene: Bewerber/innen
  • Wer hat Zugriff auf die Informationen?: Geschäftsführer/in …, andere Mitarbeiter
  • Datenkategorie: Bewerbungsdokumente, Lebensläufe, Kontaktdaten (Name, Anschrift, Telefonnummer, E-Mail-Adresse)
  • Übermittlung an Drittstaaten: erfolgt nicht
  • Löschfrist: sechs Monate nach Abschluss der Bewerbungsphase
  • rechtliche Grundlage: Artikel 13 Absatz 1 und 2 DS-GVO
  • Einwilligung durch Betroffene: die Informationen an Bewerber erfolgen per automatischer E-Mail über den Zeitraum der Datenaufbewahrung sowie die Intention der Datenerhebung

Zusätzlich sind Unternehmen verpflichtet, die Stationen der Daten nachvollziehbar zu gestalten. Dieser Prozess inkludiert beispielsweise die Erhebung, Speicherung sowie Nutzung der Informationen. Übrigens galt die Erstellung eines derartigen Verzeichnisses schon nach dem alten Bundesdatenschutzgesetz als Pflicht. Allerdings sind nur die wenigsten Firmen dieser Verpflichtung nachgekommen.

3. Festlegung von Prozessen und Führung eines Prozesshandbuchs

Unternehmer sind gut beraten, eine Dokumentation und Optimierung mit der Datenverarbeitung im Zusammenhang stehenden Prozessen zu erzielen. Ein kurzes Beispiel im Überblick:

  • Auf welchem Wege wird die Klientel über die Datenverarbeitung informiert?
  • Wie sollen Mitarbeiter reagieren, wenn sich Kunden nach der Speicherung ihrer Daten erkundigen?
  • Wie ist die übliche Verfahrensweise, wenn ein Kunde auf die Löschung seiner Daten besteht? Wer ist in diesem Fall verantwortlich?
  • Wie verläuft die Prozedur, wenn ein Datenleck entsteht und die personenbezogenen Informationen unbefugt an die falsche Adresse geraten? Diesbezüglich gilt es zu beachten: Werden ein Verlust oder eine Weitergabe der Daten durch Vorfälle wie einen Hackerangriff erlitten, müssen betroffene Firmen binnen 72 Stunden die zuständige Landesschutzbehörde darüber in Kenntnis setzen.
  • Ist das mit der Datenabspeicherung verbundene Vorhaben erzielt, erfolgt die Löschung der Daten. Wie wird der Löschprozess gestaltet?
  • Benötigen die Mitarbeiter spezielle Schulungen, um mit diesen Prozessen vertraut zu sein und diese umsetzen zu können?

4. (Bei Notwendigkeit) Durchführung einer Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung ist insbesondere für die Unternehmen notwendig, die mit besonders sensiblen Kundeninformationen arbeiten. Versicherungsgesellschaften oder Arztpraxen sind einige der Unternehmen, über die eine Kategorisierung oder Identifizierung der Personen hinsichtlich Themen wie politischen Einstellungen, der ethnischen oder rassischen Herkunft, Sexualität, Finanzen oder Krankheiten erfolgt. In diesen Fällen gehen Betroffene bei Datenmissbrauch ein besonders hohes Risiko ein.

Eigentlich wäre es sinnvoll, wenn Datenschutzbehörden eine Auflistung über Datenverarbeitungsvorgänge veröffentlichen, für die zwingend eine Datenschutz-Folgeabschätzung erforderlich ist. Da eine derartige Liste allerdings noch nicht existiert, sind Einzelfall-Entscheidungen nötig. Hohe Risiken basieren auf dem Zweck der Datenverarbeitung, der Art sowie dem Umfang an Daten.

Der Zweck einer Datenschutz-Folgenabschätzung besteht darin, etwaige Risiken für Persönlichkeitsrechte Betroffener aufzuschlüsseln. Durch diese Auflistung können sinnvolle Schutzmaßnahmen eingeleitet werden. Aus folgenden Aspekten setzt sich eine Datenschutz-Folgenabschätzung zusammen:

  • detaillierte Erläuterung der Datenverarbeitungsvorgänge
  • Erläuterung des Nutzens der Datenverarbeitung und Begründung des berechtigten Interesses einer Firma (Datenverarbeitung und Zweck müssen in einem angemessenen Verhältnis zueinander stehen)
  • Erklärung etwaiger Risiken für Betroffene
  • exakte Dokumentation zu folgenden Fragen: Welche organisatorischen und technischen Maßnahmen werden getroffen, um eine Sicherung der Daten gegen unberechtigte Zugriffe oder Weitergabe zu erzielen? Wie ist die Verfahrensweise im Falle eines sogenannten Leaks? Welche Kontrollmechanismen werden zum Datenschutz eingesetzt?

Ein wichtiger Tipp für Unternehmen: Zu diesem Thema stehen Landesschutzbehörden beratend zur Seite.

In folgenden Fällen ist beispielsweise eine Datenschutz-Folgenabschätzung erforderlich

  • Sicherheitskontrollen
  • (biometrische) Zugangssysteme
  • Maßnahmen der Videoüberwachung, beispielsweise bei vernetzten oder intelligenten Systemen
  • Persönlichkeitstests oder Scorewertberechnungen
  • CRM-Software einschließlich Profiling-Funktionen
  • Monitoring-Systeme (zum Beispiel, um Mitarbeiter bei einer Internetnutzung zu kontrollieren)

Ist die Durchführung einer Datenschutz-Folgenabschätzung notwendig, ist die Bestellung eines Datenschutzbeauftragten unumgänglich.

5. Dokumentation aller durchgeführten Schritte

Unternehmer sind gut beraten, alle Schritte ihrer Aktivitäten zum Datenschutz schriftlich festzuhalten. Folgende Maßnahmen sollten erwähnt werden:

  • von dem Datenschutzbeauftragten belegte Seminare
  • Zeitpunkt der Installation einer Firewall
  • Abschluss von Verträgen mit Dienstleistern

Eine gute und ausführliche Dokumentation erhöht bei Auftreten eines Datenlecks oder Verstößen gegen die DS-GVO die Chancen, trotz begangener Fehler kein Bußgeld zu bezahlen. Allerdings ist es dann notwendig, dass die Dokumente auf Anfrage vorgelegt werden können.

Zudem sind Unternehmer aufgefordert, ihre Mitarbeiter regelmäßig für das Thema zu sensibilisieren. Diese Maßnahme betrifft alle intern oder extern in das Unternehmen involvierte Personen, die mit den personenbezogenen Daten in Kontakt kommen. Schulungspläne für Mitarbeiter sind ein wichtiger Schritt zur Umsetzung der DS-GVO. Diese Schritte können durch den Einsatz von Verpflichtungserklärungen oder interne Datenschutz-Richtlinien ergänzt werden.

6. Durchführung erweiterter Informationspflichten

Wie bereits erwähnt, sind Unternehmen verpflichtet, von der Datenverarbeitung betroffene Personen umfassend über die Erhebung zu informieren. Diesbezüglich ist es ratsam, Formulare wie Einwilligungserklärungen einzuführen. Eine ähnliche Informationspflicht besteht gemäß Artikel 13 und 14 DS-GVO hinsichtlich der Verwendung einer Videoüberwachung, beispielsweise durch sogenannte Piktogramme. Bitte sorgen Sie als Unternehmen dafür, dass die Information über die Datenverarbeitung so verständlich wie möglich erfolgt. Ein strukturierter Aufbau sowie die Verwendung einer klaren einfachen Sprache sind hierbei sehr hilfreich.

Mit dieser Maßnahme sind Methoden zur Sicherstellung der Betroffenenrechte verbunden. Eine Sicherstellung der Betroffenenrechte – unter anderem dem Recht auf Löschung oder Auskunft der Daten – ist eine der wichtigsten Pflichten der Unternehmen. Damit verbundene Prozesse müssen nicht nur gewährleistet, sondern auch dokumentiert werden. Diese Maßnahme schließt beispielsweise Verfahren für eine schnellstmögliche Bearbeitung von Kundenanfragen ein. Zuordnungen der Daten zu betroffenen Personen sind ebenso notwendig wie fristgemäße Löschungen der Informationen. Diese und weitere Schritte sollten nach Möglichkeit über eine strukturierte Datenhaltung durch Programme wie CRM oder mobile Devices erfolgen.

7. Gewährleistung der Sicherheit der Datenverarbeitung

Ein effizienter Schutz der personenbezogenen Daten setzt eine Sicherheitsstellung, risikoorientierte Kontrolle sowie regelmäßige Evaluation voraus. Generell gilt: je risikobehafteter die Datenverarbeitung in einem Betrieb ist, umso mehr Schutzmaßnahmen sind nötig. Deshalb ist zum Beispiel eine Verarbeitung von Gesundheitsdaten generell aufwändiger als die Datenverwaltung eines Handwerkerbetriebs.

8. Anpassung öffentlichkeitswirksamer Maßnahmen

Obwohl die Datenschutz-Grundverordnung mittlerweile vor einigen Monaten eingeführt wurde, ist die neue Regelung für viele Unternehmen noch immer eine große Herausforderung. Für zahlreiche Firmen ist es wichtig Prioriäten zu setzen. Ein besonderer Fokus liegt auf der Außenwirkung, die auf den ersten Blick sichtbar sein sollte. Diese Handlungsweise inkludiert beispielsweise Bearbeitungen der Webseiten (einschließlich Kontaktformularen), auf Homepages präsentierten Datenschutzerklärungen, das Webtracking oder eine Überarbeitung von Einwilligungserklärungen.

Zusätzlich wird Unternehmen angeraten, die angekündigte E-Privacy-Verordnung nicht aus den Augen zu verlieren. Diese Verordnung wird im Sektor der elektronischen Kommunikation die DS-GVO komplettieren und vermutlich auch präzisieren. Schon heute ist abzusehen, dass die Einführung der E-Privacy-Verordnung einer erneuten Anpassung unternehmerischer Prozesse bedarf. Zudem sollten öffentliche Stellen wie Behörden die Entwicklung angepasster Landesdatenschutzgesetze verfolgen.