+49 (0)89 1891 7360
email@iitr.de
Veröffentlichungen
AVV oder nicht? In diesen 5 Fällen ist KEINE Auftragsverarbeitungsvereinbarung nötig
Die Arbeit mit sensiblen, personenbezogenen Daten bedarf einer gewissen Feinfühligkeit. Dank der DSGVO sind die Verantwortungsbereiche im Hinblick auf die technisch-organisatorischen Fragen mehr oder weniger klar abgegrenzt.
DSGVO-Schulungen: So bringen Sie Ihren Mitarbeitern Datenschutz effizient und rechtssicher bei
Zur datenschutzkonformen Praxis gehören in jedem Unternehmen die obligatorischen Mitarbeiterschulungen – auch in Ihrem. Je nach Unternehmensgröße und -struktur kann die Umsetzung der Schulungen zu einer logistischen und wirtschaftlichen Herausforderung werden. Tipps zur effizienten Mitarbeiterschulung finden Sie in unserem Ratgeberbeitrag.
Datenschutz-Dokumentation: Warum ein DSGVO-konformes Verhalten allein nicht vor Strafe schützt
Datenschutzkonformes Verhalten in Ihrem Unternehmen ist wichtig. Der Gesetzgeber verlangt aber darüber hinaus von Ihnen, diese Praxis auf eine bestimmte Art und Weise zu dokumentieren. Wir geben Ihnen Tipps, wie das rechtssicher und zeitsparend gelingt.
Datenschutz für Unternehmen einfach erklärt
Schaffung einer Datenschutzrichtlinie oder eines Datenschutzhandbuches
Datenschutz für Unternehmen einfach erklärt DEV
Die EU Datenschutz Grundverordnung verpflichtet Unternehmen, sorgsam mit den anvertrauten personenbezogenen Daten umzugehen. Der folgende Beitrag gibt Ihnen einen Überblick, welche Themen besonders im Focus der Unternehmen stehen sollten.
Verzeichnis der Verarbeitungstätigkeiten
Unternehmen sind ferner verpflichtet, ihre Verarbeitungstätigkeiten in einem schriftlichen Verzeichnis zu dokumentieren. In anderen Worten: ein mit ihren Verarbeitungstätigkeiten nicht im Detail vertrauter Mitarbeiter einer Aufsichtsbehörde sollte nach Durchsicht des Verzeichnisses der Verarbeitungstätigkeiten einen groben Überblick erhalten, wer im Unternehmen wie und welche Daten verarbeitet, wann diese gelöscht werden und wie sie technisch gesichert sind. Gesetzliche Grundlage hierfür bildet Artikel 30 EU-Datenschutz-Grundverordnung.
Sowohl Datenschutz-Kit als auch Compliance-Kit 2.0 beinhalten daher Vorlagen zur Dokumentation Ihres Verzeichnisses der Verarbeitungstätigkeiten. Wir geben den Unternehmen zudem eine Empfehlung an die Hand, welche Verzeichnisse zu Beginn in jedem Fall dokumentiert werden sollten. Bei Bedarf stellen wir auch vorausgefüllte Dokumente zur Vervollständigung an die Hand. Die ausgefüllten Dokumente können dann im Anschluss im Datenschutz-Kit oder im Compliance-Kit 2.0 hochgeladen werden. Dadurch werden diese automatisch versioniert und mit einem Zeitstempel versehen. So erfüllen Sie automatisch die gestiegenen Anforderungen an die Nachweisfähigkeit im Datenschutz für Ihr Unternehmen.
Verträge mit Dritt-Dienstleistern
Unternehmen sind verpflichtet, bei der Auslagerung von Datenverarbeitungstätigkeiten einen Datenschutz-Vertrag mit dem Dienstleister abzuschließen (so genannte Auftragsverarbeitungs-Vereinbarung). Regelmäßig sind dies nach Auffassung der Behörden folgende Fälle:
- die datenverarbeitungs-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
- die Werbeadressenverarbeitung,
- die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs,
- die Auslagerung der E-Mail-Verwaltung oder von Datendiensten zu Web-Sites,
- die Datenerfassung, Mikroverfilmung oder Datenkonvertierung,
- die Backup-Sicherheitsspeicherung,
- die Datenträgerentsorgung.
Eine detaillierte Schilderung seitens der Behörden findet sich auch in folgendem Dokument. Die gesetzliche Verankerung ergibt sich aus Art. 28 EU-Datenschutz-Grundverordnung.
Auch hier können Datenschutz-Kit bzw. Compliance-Kit 2.0 genutzt werden, um zum einen Vertragsvorlagen zu erhalten und zum anderen die abgeschlossenen Verträge hochzuladen und so die eigene Datenschutzkonformität entsprechend der gesetzlichen Vorgaben zu dokumentieren.
Struktur
EU-Datenschutzgrundverordnung
Das Datenschutz-Handbuch regelt den Umgang mit personenbezogenen Daten und dient als Nachweis der Einhaltung rechtlicher Vorgaben. Es wird regelmäßig aktualisiert, um den neuen Anforderungen gerecht zu werden.
Das Verzeichnis der Verarbeitungstätigkeiten erfasst Prozesse mit personenbezogenen Daten, schafft Transparenz und unterstützt die Einhaltung gesetzlicher Vorgaben.
Bei ausgelagerter Datenverarbeitung bleibt der Auftraggeber verantwortlich. Der Auftragnehmer darf Daten nur weisungsgemäß verarbeiten. Eine Auftragsverarbeitungs-Vereinbarung regelt die Pflichten beider Seiten.
IT-Sicherheit schützt personenbezogene Daten durch technische und organisatorische Maßnahmen vor unberechtigtem Zugriff, Verlust und Manipulation. Ohne sie ist die Einhaltung datenschutzrechtlicher Vorgaben unmöglich.
Unternehmen müssen Beschäftigte im Datenschutz schulen. Sensibilisierung verhindert missbräuchliche Nutzung personenbezogener Daten, schützt vor Verstößen und bewahrt vor Bußgeldern sowie Vertrauensverlust.
Informationssicherheit und Datenschutz
Die EU Datenschutz Grundverordnung verstärkt durch eine Erhöhung der Bußgelder die Anforderung für die Unternehmen, die eigenen IT-Systeme branchenüblich gesichert zu führen (gesetzlich geregelt in Artikel 32 EU-Datenschutz-Grundverordnung). Mit anderen Worten: die Unternehmen müssen ausreichende Mittel zur Verfügung stellen, um ihre IT auf dem Stand der Technik zu halten, soweit dieser branchenüblich und bezahlbar ist. Man merkt an der Formulierung: wo genau diese Anforderung im Detail verläuft, ändert sich laufend und kann nicht statisch festgezogen werden.
Fest steht aber: wenn IT-Systeme so deutlich unter dem Mindest-Standard zurückbleiben, dürfen diese nicht zur Verarbeitung personenbezogener Daten eingesetzt werden. Die Datenschutz Aufsichtsbehörden werden daher sukzessive die Einhaltung gewisser Mindeststandards forcieren. Dazu gehört beispielsweise die Verschlüsselung von Notebooks, die serverseitige Verschlüsselung von E-Mails oder das Abschalten nicht mehr aktualisierungsfähiger Betriebssysteme.
Ferner werden die Vorgaben im Bereich Informationssicherheit durch die Aufsichtsbehörden in der Regel in der Form interpretiert, dass Unternehmen ihre IT-Anforderungen laufend überprüfen sollten – analog beispielsweise zu den Anforderungen einer Zertifizierung im Bereich Informations-Sicherheits-Management nach ISO27001.
Im Datenschutz-Kit wie im Compliance-Kit 2.0 sind Vorlagen für die Dokumentation der eigenen IT-Maßnahmen sowie ein Datenschutzkonzept beinhaltet. Wir halten ferner eine Liste mit IT-Mindeststandards vor, welche nach unserer Auffassung nicht unterschritten werden sollten und anhand derer Unternehmen die eigene IT einem Schnell-Check unterziehen können
Webseiten-Datenschutzerklärung und Betroffeneninformation
Die EU Datenschutz Grundverordnung konstituiert die Anforderung, Betroffene über Datenverarbeitungs-Vorgänge zu informieren (ersichtlich aus Artikel 13 bzw. 14 EU-Datenschutz-Grundverordnung). Mit anderen Worten: wenn ein Unternehmen personenbezogene Daten eines Betroffenen erhebt und verarbeitet, muss dies durch eine Information flankiert werden, was mit diesen Daten im Detail geschieht.
Dies gilt auch für die Erhebung der Daten durch eine Webseite. Wir empfehlen daher üblicherweise, die Betroffen-Information und die Webseiten-Datenschutzerklärung zu kombinieren und so den Informationsverpflichtungen zu entsprechen.
Auch hier finden sich im Datenschutz-Kit bzw. im Compliance-Kit 2.0 entsprechende Vorlagen.
Sensibilisierung und Schulung von Mitarbeitern
Die EU Datenschutz Grundverordnung wird dahingehend ausgelegt, dass die Beschäftigten durch das Unternehmen bzw. den Datenschutzbeauftragten geschult werden müssen (abgeleitet aus der so genannten „Rechenschaftspflicht“ in Artikel 5 Absatz 2 EU-Datenschutz-Grundverordnung). Der Schulungsumfang richtet sich dabei nach Branche und Größe des Unternehmens und kann je nach Abteilung variieren. Aufgrund der gestiegenen Anforderungen an die Nachweisbarkeit der eigenen Datenschutzkonformität sind Unternehmen gehalten, die Durchführung von Schulungsmaßnahmen zu dokumentieren.
Ferner sind die Beschäftigten bei Beginn ihrer Tätigkeit auf die datenschutzrechtlichen Vorgaben zu verpflichten. Entsprechende Vorlagen halten wir im Datenschutz-Kit wie im Compliance-Kit 2.0 zur Verfügung.
Im Datenschutz-Kit wie im Compliance-Kit 2.0 ist die Nutzung unserer webbasierten eLearning-Plattform beinhaltet. Mit dieser können Sie Ihre Beschäftigten per E-Mail im Datenschutz schulen. Die erfolgreiche Schulungsteilnahme wird revisionssicher archiviert. Das Datenschutz-Kit beinhaltet dabei die Basis-Schulungs-Module. Im Compliance-Kit 2.0 finden Sie die volle Auswahl an verfügbaren Schulungs-Modulen. Sämtliche Schulungseinheiten sind zweisprachig in deutscher und englischer Fassung verfügbar. Unser webbasiertes eLearning-System kann bei Bedarf auch ohne Datenschutz-Kit oder Compliance-Kit 2.0 erworben werden.
Bestellung Datenschutzbeauftragter und Meldung bei der Aufsichtsbehörde Datenschutz
Unternehmen sind zudem verpflichtet, einen Datenschutzbeauftragten zu bestellen. Details zu den Voraussetzungen finden Sie hier. Die Anforderung ergibt sich aus Artikel 37 EU-Datenschutz-Grundverordnung (ggfs. in Verbindung mit § 38 BDSG). Der Datenschutzbeauftragte ist bei der Aufsichtsbehörde zu melden. Die meisten Datenschutz Aufsichtsbehörden haben hierfür in der Zwischenzeit eigene Melde-Portale auf ihren Webseiten zur Verfügung gestellt.
Im Datenschutz-Kit ist die Bestellung eines Datenschutzbeauftragten für kleine Unternehmen beinhaltet. Das Compliance-Kit 2.0 kann von internen oder externen Datenschutzbeauftragten als Werkzeug genutzt werden.
Datenschutz-Folgenabschätzung
Systeme mit besonderer Verarbeitungsintensität müssen einer detaillierten datenschutzrechtlichen Prüfung unterzogen werden (so genannte Datenschutz-Folgenabschätzung nach Artikel 35 EU-Datenschutz-Grundverordnung). Unter diesem Link finden sie eine beispielhafte Übersicht der Systeme, bei denen nach Ansicht der Aufsichtsbehörden eine solche Prüfung durchzuführen ist.
Auch hier halten wir im Datenschutz-Kit wie im Compliance-Kit 2.0 entsprechende Vorlagen bereit, die nach Bearbeitung zur gesetzlich vorgeschriebenen Dokumentation entsprechend bei uns im System archiviert werden können.
Meldepflichten im Datenverlustfall
Für Unternehmen besonders kritisch ist die unter der EU Datenschutz Grundverordnung gestiegene Anforderung, im Datenverlustfall die Aufsichtsbehörde bzw. ergänzend auch die Betroffenen informieren zu müssen. Details finden sich in Artikel 33 EU-Datenschutz-Grundverordnung.
Wir halten im Datenschutz-Kit wie im Compliance-Kit 2.0 entsprechende Prozess-Vorlagen mit begleitenden Vorlagen zur Verfügung, anhand derer ein Datenverlustfall behandelt werden kann.
Wahrnehmung von Betroffenenrechten
Betroffenen habe unter der EU Datenschutz Grundverordnung das Recht, bestimmte Rechte (z.B. auf Auskunft, Löschung, Berichtigung, Sperrung, Herausgabe etc.) gegenüber den Unternehmen geltend zu machen. Ziel ist es den Betroffenen die Möglichkeit zu geben, entsprechend ihrer grundrechtlich geschützten Rechtsposition bei der Verwendung von Daten zur eigenen Position mit entscheiden zu können.
Auch hier sind im Datenschutz-Kit und im Compliance-Kit 2.0 Ablauf-Diagramme und begleitende Vorlagen beinhaltet, anhand derer die Geltendmachung von Betroffenenrechten datenschutzkonform adressiert werden kann.
Datenschutz für Unternehmen einfach erklärt
Die EU Datenschutz Grundverordnung verpflichtet Unternehmen, sorgsam mit den anvertrauten personenbezogenen Daten umzugehen. Der folgende Beitrag gibt Ihnen einen Überblick, welche Themen besonders im Focus der Unternehmen stehen sollten.
- Datenschutz: Einsatz webbasierter Bewerbermanagement-Software
- Datenschutz im Autohaus: Datenschutzbeauftragter zur Vermeidung von Haftung
- Datenschutz: Gesetzlicher Rahmen der Körperschaft öffentlichen Rechts
- Datenschutz-Aufsichtsbehörde: Google Analytics datenschutzkonform einsetzen
- Datenschutz in der Türkei: Datenaustausch zwischen Deutschland und der Türkei
- Datenschutz in Dubai: das DIFC Data Protection Law
- Datenschutz: Das Infomationsfreiheitsgesetz – scharfe Waffe oder Papiertiger?
- Datenschutz und Voice-over-IP (VoIP): Besondere datenschutzrechtliche Anforderungen
- Datenschutz: Wer kann die Position des Datenschutzbeauftragten bekleiden?
- Beschäftigten-Datenschutz: Private Arbeitnehmer-E-Mails und die Reichweite des Fernmeldegeheimnisses