Aktuelle Informationen, Fragen und Antworten rund um #Datenschutz, #Digitalisierung, #IT-Sicherheit und #Servicequalität:
Aktuelles
#Datenschutz #Depesche #News Ausgabe 03/2023
20.04.2023
Neues in unserer Datenschutz-Depesche Nr. 03/2023 zu Cookie-Banner, Outlook, Aufbewahren, Archivieren und Löschen, über Digitalisierung und künstliche Intelligenz wie ChatGPT
#Datenschutz #Depesche #News Ausgabe 02/2023
24.03.2023
Der Lagebericht 2022 des Bundesamtes für Sicherheit zeigt auf: Es wird rauher an der IT-Sicherheitsfront. File Sharing, Smart Phones, Verträge mit Drittländern wie der USA und Passwörter, immer wieder Passwörter ...
#Datenschutz #Depesche #News Ausgabe Nr. 01/2023
24.01.2023
Beste Wünsche zum Start in ein gelingendes und fröhliches Neues Jahr 2023! Auf Grund zwei aktueller Fälle von Continental und T-Mobile, der US-Tocher der Deutschen Telekom AG, die Ziele von Hackerangriffen wurden, erfahren Sie hier in der ersten Ausgabe unserer Datenschutz-Depesche im neuen Jahr Neuigkeiten zu Datenschutz, Datensicherheit und entsprechende Maßnahmen, denn ...
#Auftragsverarbeitungsvertrag #Bitkom #DSGVO #News
23.01.2023
Der Bitkom hat einen neue Version seines Auftragsverarbeitungsvertrages (AVV) gemäß Artikel 28 der Datenschutz-Grundverordnung vorgestellt. Bitkom ist der Branchenverband für die Informations- und Telekommunikationsbranche (ITK) mit über 2000 Mitgliedern in Deutschland.
#Datenschutz #Depesche #Neues zum #Newsletterservice #Weihnachten 2023
15.12.2022
Änderungen zum bisherigen Newletterservice - statt bis zu sechs Ausgaben planen wir zukünftig zirka zehn Ausgaben der Datenschutz-Depesche als Service für unsere Kunden zu veröffentlichen. Hiermit ergänzen wir unsere Beratungsmandate als externe Datenschutzbeauftragte und sorgen so für regelmäßige Sensibilisierung. Die Informationen in dieser aktuellen Ausgabe Nr. 05/2022 handelt wieder mehr um IT-Sicherheit und die wichtigsten "Aktionspunkte", die dieses Jahr noch anstehen. Und wir wünschen frohe Weihnachten!
#Alltagstipps #Datenschutz #Cookie-Banner #Internet #Praxis: Browser-Cookies löschen - und ein paar Informationen rund um Cookies
23.05.2022
Finden Sie hier interessante Informationen, was Cookies sind, ein paar Hintergründe zum Verständnis des Internets und wie Sie in Ihrem Browser die gesetzten Cookies ganz einfach und schnell löschen können. Dies ist sehr nützlich, um z.B. auf einer besuchten Seite die Cookies zu löschen bzw. zu verändern, wenn der Website-Betreiber kein "Einstellungsmenü" bietet. Wir haben diese Sammlung nach den zum Veröffentlichungszeitpunkt stehende Daten zu den aktuellen Marktanteilen gem. Statista (siehe: https://de.statista.com/statistik/daten/studie/157944/umfrage/marktanteile-der-browser-bei-der-internetnutzung-weltweit-seit-2009/) in absteigender Reihenfolge notiert.
#Datenschutz #Digitalisierung und der #Osterhase - was haben #Karotten mit den digitalen Services zu tun?
14.04.2022
Die #Osterfeiertage sind in #Deutschland fest mit dem #Osterhasen verbunden und der #Osterhase (m/w) nagt, wie viel Feld-, Wald, und Wiesenhasen, gerne an #Karotten. Das ist bekannt. Und was hat das mit der #Digitalisierung zu tun? Nun in der Initiative des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. arbeiten wir als ehrenamtliche Dozenten in diesem #BvD-Projekt mit Namen "Datenschutz geht zur Schule" (#DSgzS) mit und präsentieren typischerweise vor Schüler*innen der 5. bis 10.Klassen (Sekundärstufe I und II) sowie deren Eltern was Datenschutzspekte für die Bürger*innen bedeutet und sensibilisieren, was #Datenschutz für die Schulbetrieb bedeuten kann. Auf der nachfolgenden Seite haben wir beschrieben, was das unserer Meinung nach auch mit #Ostern zu tun hat? 😉
#Corina und #Datenschutz Auslauf der Maßnahmen und Gesetzesänderungen sowie neue Corona-Arbeitsschutzregeln - und jetzt?
07.04.2022
Was ist zu tun? Worauf müssen Sie achten? Jetzt, nach dem Auslaufen der Coronamaßnahmen aus dem Infektionsschutzgesetz zum 20.März 2022 und der Veröffentlichung der bayrischen Infektionsschutz-maßnahmenverordnung zum 01.April 2022 tritt die SARS-CoV-Arbeitsschutzverordnung (Corona-ArbSchV) in Kraft. Diese ist vorerst bis zum 25.05.2022 befristet. Die nachfolgenden Maßnahmen sind jetzt zu beachten.
#Bußgeld #Datenschutz #Einwilligungen und elektronische #Werbung: Hohe Bußgelder für falsche Akquisestrategien zur Neukundengewinnung per E-Mail
30.03.2022
Häufig werden wir gefragt, was im Datenschutz bei der elektronischen Direktwerbung z.B. mit E-Mail zu beachten ist? Einige Unternehmen sind der Auffassung, dass durch die Recherche der E-Mail-Adressen im Internet man diese zur Akquise einfach so verwenden dürfe, da diese ja "offiziell" veröffentlicht seien. Dies sieht die tschechische Aufsicht bei einem #Online-Händler von Computertechnik ganz anders und hat einen Bußgeldbescheid mit 36.000 CZK ausgestellt. Lesen Sie hier die für Sie recherchierten Informationen, die auch darüber hinausgehende Ergebnisse aufzeigt, die bei einer Weiterleitung von Adressen ohne Einwilligung bzw. ohne Information an Kooperationspartner nach sich ziehen kann.
#FAQ, #Datenschutz, #Einwilligungen von (angeblich) nicht benötigten technisch-organisatorischen Maßnahmen:
01.02.2022
Immer wieder kommt die Frage von Mitarbeitern und Teilnehmern bei Datenschutz-Präsentationen auf unseren Seminaren, Schulungen und Workshops auf, ob man Kunden oder Patienten, Informationen - teils mit sensiblen, personenbezogenen Daten - mit „nicht ausreichenden“ Sicherheitsmaßnahmen auf ausdrücklichem Wunsch übermitteln kann?
#Datenschutz: Neue Standarddatenschutzvertragsklauseln
07.06.2021: Der Durchführungsbeschluss der EU-Kommission vom 04. Juni 2021 zu den neuen Standardvertragsklauseln wurde im Amtsblatt der Europäischen Union L199 veröffentlicht. Damit wurden neue Standardverträge vorgestellt, die zum Einen zwischen Auftragsverarbeiter und Verantwortliche gem. Artikel 28 Abs. 7 DSGVO innerhalb der EU eingesetzt werden können oder zum Anderen den internationalen Datentransfer zwischen der EU und Drittländer gem. Art. 46 Abs. 2 Buchstabe c DSGVO regeln.
Hier finden Sie die Standardvertragsklauseln gem. Art. 28 DSGVO zum EInsatz zwischen Auftragsverarbeiter und Verantwortliche: Download und hier finden Sie die Standardvertragsklauseln zum Einsatz bei der internationalen Übermittlung von personenbezogenen Daten: Download Neu ist, dass durch unterschiedliche Module der unterschiedlichen Übermittlungsart Rechnung getragen wurde:
- Verantwortlichen an Verantwortliche
- Verantwortlichen an Auftragsverarbeiter
- Auftragsverarbeitern an Auftragsverarbeiter
Für alle Fragen diesbezüglich stehen wir gerne zur Verfügung.
#Corona-App: Kontaktverfolgungs-App's wie die Luca-App sind ein probates Mittel zur Pandemiebekämpfung
21.04.2021: Stellungnahme durch LfDI Baden-Württemberg ist erfolgt. Diese finden Sie hier zum Download. DSK - die Datenschutzkonferenz der Länder hat ebenfalls eine Stellungnahme zur Kontaktverfolgung geschrieben. Diese finden Sie hier zum Download. Nutzen Sie unseren Newsletter und melden Sie sich hier an, wenn Sie immer Top-Aktuell informiert werden möchten: Datenschutz-Depesche
#IT-Sicherheit: Exchange-Angriffe - diese Maßnahmen sind wichtig, auch aus Sicht des #Datenschutz
19.03.2021: Gerade sind 10 Tage seit unserem letzten Artikel zur #IT-Sicherheit vergangen und seit Anfang März sind Angriffe und deren Folgen auf die Exchange-Server besonders beim Mittelstand zu beklagen. Wir, bei B .i N BusinessCoaching+Consulting haben unsere Kunden bestmöglichst in allen Fragen dazu und besonders zu eventuell anstehenden Datenpannenmeldung gemäß Artt. 33 und 34 DSGVO unterstützt. In dem folgenden Whitepaper des bayerischen Landesamtes für Datenschutz-Aufsicht (BayLDA) finden Sie aktuellste Informationen und empfohlene Maßnahmen ergänzend zu unseren erfolgten Eilmitteilungen über unsere Kundeninformation Datenschutz-Depesche aus unserer Sicht hervorragend zusammengefasst. Deshalb klicken Sie hier für einen Download.
#IT-Sicherheit: Wie Cyber-Attacken 30 Mio. EUR Umsatz gefährden und einen Kurseinbruch um mehr als 20% kosten?
09.03.2021: Hier erfahren Sie an einem aktuellen Beispiel, worauf IT-Sicherheitsbeauftragte immer wieder hinweisen. Und, wie es schon im Sprichwort "aus Schaden wird man klug" heißt, hat der potenzielle DAX-Kandidat Symrise AG im Jahr 2020 bedingt durch einen Cyberangriff 20% seines Marktwertes und 1% des Umsatzes von 3,52" Mrd. EUR eingebüßt. Darüber hinaus ist sicherlich auch das Image angekratzt worden, weil der Aromen- und Dufthersteller im letzten Kalender-Vierteljahr nur bedingt liefern konnte. Deshalb empfehlen wir niemals "locker zu lassen" - Mitarbeiter müssen laufend sensibilisert werden, die IT-Sicherheit regelmäßig (über-)prüft und verbessert werden. Wir empfehlen einen kontinuierlichen Verbesserungsprozess der fortlaufend Risiken erkennt, Risiken vermeidet, reduziert, abwälzt und Risiken bewusst trägt. Weitere Informationen finden Sie z.B. bei Börse Online.
#Corona: Neue Öffnungsschritte für den Handel datenschutzkonform umsetzen.
04.03.2021: Nachdem Click & Collect schon eine Zeit lang bekannt ist, kommt nun Click & Meet, welches Click & Collect um die persönliche Beratung der Einzelhändler und der Warenauswahl durch den Kunden erweitert. Wir zeigen Ihnen im Folgenden auf, wie im 3.Öffnungsschritt ab 08.03.2021 es für den Einzelhandel, Museen und Gedenkstätten wieder möglich ist, Kunden und Gäste zu empfangen:
- Es ist (für Einzelhändler) festzulegen wie viele Kunden maximal gleichzeitig sich im Gebäude / Laden aufhalten dürfen (eine Person pro 40m2).
- Es ist vom Kunden ein Termin per Email, Telefon oder über die Website zu vereinbaren. Die Länge ist abhängig vom „typischen“ Kauf- bzw. Beratungsprozess und wird üblicherweise mit 30-45 Minuten angegeben. Dabei ist die maximale Kundenkapazität s. o. zu beachten.
- Es sind zur Nachverfolgung die Kontaktdaten (Name, Vorname, Tel. / Email) zu erfassen (z.B. zur Terminbuchung, bei der Rechnungstellung) zu hinterlegen. Die Löschung der Daten sollte nach frühestens 4 Wochen und spätestens drei Monaten erfolgen, sofern nicht andere Gründe (Gesetze / Vorschriften wie AO, HGB, etc.) dagegen stehen.
- Beim Einlass muss sich der Kunde ausweisen und eine medizinische Maske (FFP2) tragen. Der Kunde darf in Begleitung anderer Personen eintreten, wenn diese aus dem gleichen Hausstand stammen. Die Umkleidekabinen dürfen momentan nicht benutzt werden. Die eigenen Mitarbeiter müssen bei der Beratung ebenfalls medizinische Masken tragen, sofern sie nicht durch eine transparente Schutzscheibe geschützt werden (z.B. im Kassenbereich).
- Ein Hygienekonzept (Desinfektion der Hände), Abstandshinweise, etc. und regelmäßige Desinfektion der Verkaufsflächen ist vorzusehen. Deshalb ist zwischen den Terminen auch eine 15 Minuten Pause zum Lüften einzulegen.
Weitergehende Informationen finden Sie im Beschluss der bayrischen Kabinetts oder zur schrittweisen Öffnung bei der IHK Nürnberg.
#IT-Sicherheit: Bedrohung der Cyber-Sicherheit durch Emotet
10.02.2021: Am 26.01.2021 wurde das Emotet-Botnetz durch internationale Strafverfolgungsbehörden zerschlagen. Weitere Informationen hierzu finden Sie in der Pressemitteilung des Bundeskriminalamts (BKA). In diesem Zusammenhang wurde eine Datenbank mit mehreren Millionen Zugangsdaten zu Online-Diensten sichergestellt, die zuvor von Emotet auf infizierten Systemen ausgespäht wurden. Das ist auch einer der Kerngefahren von Emotet: Das Ausspähen von Zugangsdaten und Beziehungen zu Kontakten in Ihrem unmittelbaren Umfeld. Aktuell erhalten viele Unternehmen von Ihren IT-Dienstleistern Informationen dazu und die Frage die sich EDV-/IT-Verantwortliche stellen ist: "Was sollen wir nun tun?" Mindestensmaßnhamen sind unserer Meinung nach diese drei Punkte:
- Zugangsdaten zu sämtlichen Online-Portalen und Systemen ändern.
- Prüfung von Aktualität sämtlicher Software-Patches der IT-Systeme und Durchführung von Scans mit aktuellster AntiVirus- oder Internetsicherheitssoftware
- Sensibilisierungs-Schulung der Mitarbeiter und Führungs- bzw. Leadership - Aufgaben im Hinblick der IT-Sicherheit umsetzen, z.B. mit Hilfe des Leitfaden Cyber-Sicherheits-Check des BSI. Diesen finden Sie hier!
Eine weitere sehr informative Seite ist von der Verbraucherzentrale mit diesem Link zu finden. Sollten Sie Fragen haben, stehen wir jederzeit gerne zur Verfügung.
#Datenschutz: Jahresbericht in der Datenschutz-Depesche 2020 Nummer 2
22.12.2020: NEU - eine Übersicht über das Jahr 2020 aus Sicht des Datenschutzes und unseres Unternehmens finden Sie HIER
#Datenschutz und #Corona - (COVID-19) Pandemie: Auf was muss ich als Arbeitgeber achten?
03.12.2020 Hier finden Sie eine Einschätzung von B. i N BusinessCoaching+Consulting zur aktuellen Lage der #Corona - Pandemie. Was hat CoViD-19 mit Datenschutz zu tun? Welche Unterstützung können Sie von uns erhalten? Und eine ergänzende Information zu einer typischen Frage betreffend des innerbetrieblichen Umgangs finden Sie: HIER
#Datenschutz im Home-Office: Worauf muss man als Verantwortlicher und Mitarbeiter/-in achten?
13.11.2020 Das bayerische Landesamt für Datenschutzaufsicht hat eine weitere hilfreiche Checkliste empfohlen, die Ihnen im Sinne einer Hilfe zur Selbsthilfe für die auf Grund der aktuellen #Corona bzw. #CoViD-19 Pandemie Unterstützung bietet. Diese können Verantwortliche und Mitarbeiter/-innen selbst durchgehen, um Arbeitsplatzsicherheit und IT-Sicherheit als auch typische Situationen bei Videokonferenzen zu bewältigen. Die Checkliste finden Sie: HIER
#Datenschutz: Wie kann man (über-)prüfen, ob die technisch-organisatorischen Maßnahmen ausreichen?
05.10.2020 Das bayerische Landesamt für Datenschutzaufsicht hat eine hilfreiche Checkliste aus der "guten" Praxis veröffentlicht, die insbesondere dazu dient, KMU-Betrieben eine Auswahl an sogenannten technisch-organisatorische Maßnahmen (TOMs) an die Hand zu geben, die im kleinen und mittleren Betrieb verwendet werden können. Alle in der Praxis relevanten Themen wurden implementiert, wie bauliche Schutzmaßnahmen, mobile Endgeräte (Notebooks, Smartphones)und beinhaltet auch die Sensibilisierung der Mitarbeiter. Weitere, spezialisierte Anwendungen wie zu Cloudservices oder IOT-Infrastrukturen, etc. fragen Sie bitte bei uns an. Die Checkliste finden Sie: HIER
#Datenschutz: Worauf muss man achten, wenn man internationale Anbieter als Auftragsverarbeiter z.B. für Cloud-Dienste, Newsletter oder soziale Medien nutzen möchte? Was gibt es Neues nach dem EuGH-Urteil vom 17.07.2020?
03.08.2020 Nach dem EuGH-Urteil bezüglich des EU-PrivacyShields finden Sie hier im Rahmen unseres Newsletters Datenschutz-Depesche unsere Stellungsnahme und eine Checkliste für die Zusammenarbeit mit internationalen Anbietern wie Facebook, Google oder Microsoft: HIER
#Datenschutz: Wie kann man sich auf eine Datenschutzprüfung vorbereiten?
31.12.2019 In diesem Jahr wurden wir immer wieder gefragt, wie denn ein Audit abläuft? Welche Fragen bei der (Über-)Prüfung eines Datenschutzsystems gestellt werden? Nachdem wir sehr mit Umsetzungsarbeiten ausgelastet waren, erfolgt hier eine Antwort zusammen mit einer Aktualisierung: Schon 2017 hat des Deutsche Institut für Interne Revision die nachfolgende Checkliste zur Verfügung stellt: DIIR-Checkliste. Zwischenzeitlich hat auch die Aufsichtsbehörde in Niedersachsen einen Kriterienkatalog für die Überprüfung erstellt. Wir empfehlen allen Kunden aus dem KMU-Umfeld zuerst diesen, nachfolgenden zu verwenden und danach bzw. den Kunden mit mehr als 100 Mitarbeitern den DIIR-Check zu machen, um weitere Verbesserungen zu implementieren. Sie finden für den ersten Schritt, den Kriterienkatalog von Niedersachsen HIER
#Datenschutz und die Einwilligung als Rechtsgrundlage
01.10.2019: Der europäische Gerichtshof hat bei der Verarbeitung personenbezogener Daten und zum Schutz der Privatsphäre in der elektronischen Kommunikation – im sogenannten Cookies-Urteil – zwischen der Verbraucherzentrale Bundesverband und Planet49 eine wichtige Entscheidung gefällt. Hier finden Sie das Urteil.
#Datenschutz: Kann man soziale Medien als verantwortungsbewusster Unternehmer überhaupt noch nutzen?
13.07.2018 Schritt für Schritt wird Klarheit geschaffen: Der BGH (Bundesgerichtshof) hat gestern entschieden, dass grundsätzlich Daten die Nutzer bei sozialen Netzwerken eingeben genauso zur Erbmasse gehören wie dingliche oder vertragliche Komponenten. D.h. das bisherige Verhalten von Facebook und Co. Konten zu sperren, wenn der Vertragspartner verstorben ist und den Zugriff auf die Inhalte zu verweigern, ist nicht länger rechtens.
03.07.2018 Zur Nutzung von Social-Media-Plattformen gibt es neue Informationen und eine Ergänzung für die Datenschutzerklärung, die Sie hier finden
05.06.2018: Nach dem Urteil des EuGH, in dem eine gemeinsame Verantwortung des Fanpage-Betreibers mit Facebook gesehen wird, fragen sich viele KMU-Firmen, ob man überhaupt noch Facebook nutzen kann? Und auch die Entscheidung und deren Veröffentlichung am 11.06.2018 des Zulieferers Continental AG seinen über 200tsd Beschäftigten zu verbieten, WhatsApp zu nutzen, wirft diese Frage auf. Darüber hinaus zeigt aber auch die Panne bei Facebook, dass private Nachrichten (Posts) plötzlich öffentlich sichtbar wurden, dass es immer wichtiger wird, auch seinen Vertriebs- oder Werbekanal "social media" zu kontrollieren und steuern zu können. Doch gerade dies vergessen viele Geschäftsführer und -inhaber und stattdessen wird über die Ungerechtigkeiten gerade gegenüber den Konzernen "geklagt". Doch man konnte auch am 14.06.2018 lesen, dass das Bundestjustizministerium und dem Verein "Deutschland sicher im Netz" eine Steigerung des Unsicherheitsgefühls von Verbrauchern beim Surfen im Internet wahrgenommen wurde. Verbraucher sind auch B2B-Kunden und was tun verunsicherte Menschen? M.E. nichts - sie warten.
Summa summarum ist also diese Unsicherheit eine schlechte Grundlage, um Entscheidungen zu treffen. Auch wenn es von einigen Rechtsanwälten im Internet Lösungen diskutiert werden, empfehlen wir mommentan die "werblichen oder vertrieblichen Finger" von diesen "Vertriebskanälen" zu lassen - solange, bis diese gerade für viele KMU's wichtigen Werbepartner ihre Pflichten im Sinne der DSGVO erledigt haben.
Dazu gehören rechtskonforme und transparente Vereinbarungen gemäß Art. 26 oder Art. 28 der DS-GVO anzubieten und auch technische Unterstützung (Tools/Werkzeuge) zu implementieren, die es den Webseiten-Betreibern ermöglichen ihre Rechte und Pflichten aus den Datenschutzgesetzen umzusetzen.
Was können Sie tun? Add- oder PlugIn's sollten Sie vermeiden. Einfache Links zu den Profilen und Webseiten genügen. Facebook-Anzeigen können Sie schalten.
FAQ zum Datenschutz
Die wichtigsten Fragen zum #Datenschutz bzw. zur europäischen #Datenschutz-Grundverordnung (DS-GVO)
(wenn Sie auf die Frage klicken, sehen Sie die Antworten) Fehlt Ihnen eine Frage oder eine Antwort? Nehmen Sie einfach Kontakt auf!)
- Wann muss man einen Datenschutzbeauftragten bestellen?
- Es ist zu klären, ob die Datenschutzgesetze für Sie gelten: Wenn Sie ein Unternehmen sind und Geschäfte mit Produkten und Dienstleistungen in Deutschland und der EU machen wollen und dazu gehört auch das Angebot von Arbeitsstellen, MItgliedschaften (--> Vereine!), etc. - dann redet das Gesetz über sogenannte Verarbeiter, da Sie Daten erfassen, ordnen und nutzen - egal ob dies elektronisch oder per Papier erfolgt. Sie verarbeiten systematisch Daten und es gilt für Ihre Einrichtung, Organisation oder Unternehmen die Datenschutz-Grundverordnung - abgekürzt und im Nachfolgenden als DS-GVO oder DSGVO bezeichnet. Auch wenn Sie als Organisation für andere Unternehmen (sogenannte Dritte) in deren Auftrag personenbezogene Daten verarbeiten (z.B. CallCenter). Dann sind Sie sogenannter Auftragsverarbeiter und auch für diese Firmen gilt die DS-GVO.
- Wann gilt die DSGVO für Sie nicht? Wenn Sie für rein private Zwecke, familiäre Daten und Freunde und dergleichen, also als Privatperson private Daten verarbeiten, wie z.B. in einem Adressverzeichnis, egal ob ein einm Büchlein oder in Outlook. D.h. aber andererseits auch, dass die DSGVO für private Vermieter wiederum anwendbar ist, weil hier (Miet-)Geschäfte mit (Wohn-)Dienstleistungen erfolgen.
- Nun wissen Sie, die Datenschutzgesetze der EU gelten für Sie als Auftragsverarbeiter oder Verarbeiter, weil Sie Dienstleistungen, Produkte oder Waren in der EU anbieten.
- Aber, ab wann müssen Sie nun einen Datenschutzbeauftragten bestellen? Wenn Sie mehr als 20 Mitarbeiter beschäftigen (gezählt werden alle Köpfe), müssen Sie einen Datenschutzschutzbeauftragten bestellen. Die Grundlage hierfür ist im deutschen Datenschutzrecht §38 BDSG (Bundesdatenschutzgesetz) zu finden. Weitere Informationen, ob dies ein externer oder interner Datenschutzbeauftragter sein soll(te) erfahren Sie in einem anderen FAQ-Punkt.
- Organisationen, die unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten (DSB) bestellen müssen, sind z.B. Behörden, Firmen, Institute, Labore, Praxen, Unternehmen oder Vereine, die eine Datenschutzfolgeabschätzung (DSFA nach Art. 35 DS-GVO) durchführen müssen, weil sie Gesundheitsdaten, Daten aus denen ethnische oder rassistische Herkunft, politische Meinungen, weltanschaulichen Überzeugung, Gewerkschaftszugehörigkeit, sexueller Orientierung bzw. zum Sexualleben oder auf Grund biometrische oder genetische Daten verarbeiten, die zur Identifizierung dienen (Auftragsverarbeiter oder Verarbeiter sogenannter besonderer Kategorie von personenbezogenen Daten) oder deren Kerntätigkeiten die geschäftsmäßige Datenverarbeitung zur Übermittlung oder zum Zwecke der Markt- und Meinungsforschung sind. D.h. also m.E. auch medizinische Abrechnungsstellen, Adressverlage-/händler oder Stellen, die Menschen regelmäßig und systematisch überwachen, wie z.B. Detekteien.
- Wer darf zum Datenschutzbeauftragten bestellt werden?
In Art. 37 Abs. 5 heißt es dazu: "Der Datenschutzbeauftragte (DSB) wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgabe. Diese sind u.a.:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragverarbeiters und der Beschäftigten, die Verarbeitungen durchführen
- Überwachung der EInhaltung vom BDSG / DSGVO inklusive Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligter Mitarbeiter
- Berartung im Hinblick der Datenschutzfolgeabschätzung (DSFA)
- Zusammenarbeit und Tätigkeit als Anlaufstelle zu bzw. mit den Aufsichtsbehörden
- Weitere Beratung uns sonstige Klärungen in o.a. Zusammenhang
D.h. also das bayerische Fabelwesen, der "Wolpteringer" ist wieder gefragt. Vielleicht kann man sich dem auch so nähern: Wer darf nicht Datenschutzbeauftragter sein? Führungskräfte und Mitarbeiter aus
- Administration / IT- und Rechenzentrumsleitung
- Personal-/Vertriebsleitung
- Unternehmens- / Geschäftsführung
Hier ist eine gemäß Art. 38 Abs. 3+6 geforderte "Freiheit von Interessenskonflikten" und "(Anweisungs-)Unabhängigkeit" nicht gewährleistet.
Gewünschte Fähigkeiten sind m.E. die gemäß BvD und GDD-Ausbildungen auch im Lehrprogramm enthaltenen Inhalte, wie:
- Betriebswirtschaft
- EDV- und IT-(Sicherheits-)Kompetenzen
- Prozess- und Vorgehenssystematik in der jeweiligen Branche/Organisation bzw. Fähigkeit sich hier einzuarbeiten
- Rechtliches Know How bezogen auf Datenschutz (BDSG, DSGVO) und damit verbundene Rechtsgebiete (BGB, HGB, SGB, UWG, ...)
- Vertriebs-/Marketingpraxis bzw. Führungs- und Organisationsfähigkeit genauso wie es von Vorteil ist, eine entsprechende Erfahrung im Beratungs- / Schulungsumfeld vorweisen zu können.
Alle Freiberufler und 1-Mann Unternehmen können dies natürlich selbst übernehmen. Gerade für solche Unternehmen lohnt es sich die Seiten der regionalen Aufsichtsbehörde zu besuchen und wenn Sie einzelne Fragen haben können Sie sich gerne per E-Mail an uns wenden.
- Was sind die Unterschiede zwischen einem internen und externen Datenschutz-Beauftragten?
Grundsätzlich können Sie einen internen Mitarbeiter zum Datenschutzbeauftragten bestellen, als auch einen externen Dienstleister auf Vertragsbasis. Doch was sind die Vor- oder Nachteile?
Die Vorteile des internen Mitarbeiters als Datenschutzbeauftragter liegen auf der Hand:
Er oder sie kennen sich in Ihrem Unternehmen gut aus. Wissen, wie der "Hase läuft". Allerdings müssen Sie diese meistens im Hinblick des Datenschutzes erst ausbilden, damit die Aufgabe gem. Art . 39 DS-GVO erfüllt werden können. Durch die Stellung des Datenschutzbeauftragten, die im Art. 38 DS-GVO beschrieben ist. wird klar, dass diese auch weisungsfrei und interessenslos arbeiten und Zugang zu den erforderlichen Ressourcen haben müssen. Ist das in Ihrem Haus für die Mitarbeiter gewährleistet? Wollen Sie das? Auch die Kosten der Weiterbildung trägt im Normalfall der Arbeitgeber und ein erweiterter Kündigungsschutz bis zu einem Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter ist auch nicht jedermanns Sache. Ganz zu schweigen von der Haftung, die für die Aufgaben ebenfalls bei Ihnen im Unternehmen verbleiben. In der Praxis werden häufig Administratoren als Datenschutzbeauftragte berufen, die neben Ihrer Tätigkeit diese Aufgabe übernehmen sollen. Doch ist eine gesetzlich geforderte Interessenslosigkeit so wirklich sichergestellt? Besser ist es hier an die Buchhaltung oder Personalabteilung zu denken. Ein anderes Mal ist es geplant, dass der Partner des Geschäftsführers / Inhabers dies übernehmen soll - sicherlich - die Ressourcenfrage ist hier besser zu klären, doch die Fragen nach der Interessensunabhängigkeit (Neutralität) bleiben gleich. Und was ist, wenn eigene Mitarbeiter eine diffizilere, persönliche Frage haben? Wird der interne Mitarbeiter auch für Compliancefragen von allen akzeptiert?
Was sind die Vorteile des externen Datenschutzbeauftragten?
Er oder sie sind bereits ausgebildet. Es bestehen laufende Weiterbildungen und die es bestehen berufliche Erfahrungen. Ein externer Datenschutzbeauftragter verfügt meist über ein Netzwerk zu anderen Datenschützern. D.h. das Thema Ausbildung können Sie meistens als gegeben abhaken und durch Mitgliedschaften in einem der führenden Berufsverbänden (BvD oder GDD) werden auch aktuelle Informationen und somit auch die Weiterbildung gewährleistet, die spätestens nötig wird, wenn es gesetzlich Veränderungen gibt oder neue Verordnungen, wie die im Herbst 2018 / Frühjahr 2019 erwartete ePrivacy-Verordnung. Vertragliche Kündigungsfristen und eine bestehende Berufshaftpflicht sind weitere Vorteile, wie auch die neutrale und objektive Sicht auf Ihr Kunden. Wo können Sie schon erwarten, neutrale Rückmeldungen (Feedback) zu erhalten. Und durch unterschiedlichste Projekt- und Branchenbeauftragungen ist auch eine Lösungskompetenz, die weit über den "eigenen Horizont" geht, aller Wahrscheinlichkeit nach gegeben. Dadurch ist auch der Teil der täglichen Arbeit schneller gewährleistet als beim internen Datenschutzbeauftragten, der Leit- oder Richtlinien bzw. Datenschutz- oder Vertraulichkeitserklärungen, Verträge oder ähnliches umsetzen soll. Einen Nachteil sollte man aber nicht verschweigen: Sie kennen nicht Ihre Organisation und die entsprechenden Vorgänge (Prozesse) in Ihrem Unternehmen. Hier empfiehlt es sich durch einen internen Mitarbeiter als Koordinator die internen mit den externen Vorteilen zu kombinieren.
Die Nachteile liegen auch auf der Hand: Ein externer Datenschutzbeauftragter kostet zusätzlich Geld.
Weiteres erfahren Sie auch in dem Kurzpapier der Datenschutz-Konferenz (DSK) Nr. 12, welches Sie hier downloaden können.
- Was sind personenbezogene Daten, was sind Betroffene und was heißt in diesem Zusammenhang Datenschutz?
Betroffene sind Menschen, deren Daten verarbeitet werden. Typischerweise also Kunden (sowohl Geschäfts- als auch Privatkunden), Lieferanten, Kooperations- oder Geschäftspartner und Mitarbeiter bzw. Beschäftigte (Personal).
Personenbezogene Daten sind Informationen, durch die man auf diese Betroffenen, also die Personen, direkt oder indirekt schließen kann. Dazu gehören: Name, Vorname, Email, Adresse, Telefon-, Konto- oder Sozialversicherungsnummern, aber auch die TCP/IP-Adresse. Daneben gibt es noch die besondere Kategorien von Daten, die Gesundheits-/Krankheitsdaten, gewerkschaftliche oder ethnische Zugehörigkeit sowie weitere Daten beinhaltet. Weitere Informationen erfahren Sie hier (siehe auch die Frage: Wann muss ich einen Datenschutzbeauftragten bestellen?
Wichtig ist es den Begriff des Datenschutz nicht den sicheren Daten, sondern dem Schutz der Personen zuzuordnen. Dem gegeüber meint die Daten- oder IT-Sicherheit die technische Sicherheit, zu der auch die Marken-, Patentente, Produkt-, Zeichnungs- oder Artikeldaten dazu gehören. Hier spricht man über den Schutz des Assets. "Zuständig" ist hier nicht das Datenschutzgesetz, welches vom "Stand der Technik" spricht und damit eine technische Sicherheit meint, die grundlegend sicherstellt, dass die personenbezogenen Daten wie auch die anderen Assets eines Unternehmens gut aufgehoben und geschützt werden. Daten- oder Informationssicherheit werden auch in Standards, wie der ISO27001 oder dem BSI-Grundschutz beschrieben und sind zertifizierbar. Der Datenschutz wurde in der Datenschutz-Grundverordnung für alle Mitgleidsstaaten verbindlich "verordnet" und in Deutschland durch das Bundesdatenschutz-Gesetz (BDSG) ergänzend geregelt.
- Was muss man beachten, damit die Organisation die europäische Datenschutz-Grundverordnung erfüllt?
Platt gesagt die europäischen (DS-GVO), die nationalen (BDSG) und die speziellen (z.B. EKD, LDSG, UWG, etc.) Datenschutzgesetze einhalten. Doch wie und in welchen Schritten empfiehlt es sich vorzugehen?
- Von Außen nach Innen:
- Organisation des Unternehmens bezüglich Datenschutz
- Datenschutzerklärung und Impressum auf der Website prüfen
- Information der Kunden über entsprechende Änderungen und das Widerspruchsrecht (Transparenzpflichten)
- Rechtsgrundlagen für die Verarbeitung einholen, z.B. im Falle Newsletterversand oder andere Werbezusendungen
- Verträge checken und Ergänzungen im Falle von Auftragsverarbeitungen abschließen
- Und innen - im Unternehmen?
- Datenschutzrichtlinien etablieren
- Datenschutzverpflichtungen der Mitarbeiter, Freiberufler und Dienstleister
- Schulungen / Sensibilisierungen durchführen
- Verzeichnis von Verarbeitungstätigkeiten und technisch-organisatorische Maßnahmen (Status aufnehmen) und kontinuierliche Verbesserungen einführen
- Auskunfts- und Meldepflichten umsetzen
Weitere Informationen können Sie auch über dieses Kurzpapier downloaden.
- Wann sind Sie Auftragsverarbeiter, wann sind Sie Verantwortlicher, wer muss einen Auftragsverarbeitungsvertrag abschließen?
Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Während unter Verantwortlicher die DSGVO gemäß Art. 4 der DSGVO eine Stelle versteht, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. D.h. anders ausgedrückt: Wenn Sie als Unternehmen eigenständige, von anderen bei der Verarbeitung von personenbezogene Daten unabhängige Dienstleistungen oder Produkte anbieten (wie Ärzte, Handelsunternehmen, Handwerker, Hersteller/Produzenten, etc.) sind Sie Anbieter von Fachleistungen und gelten nach der DSGVO als Verantwortlicher. Meistens lagern solche Organisationen Teile von elektronischer oder manueller Verarbeitung von personenbezogenen Daten an Dritte aus. Die Kennzeichen solcher Verarbeitungen sind Verträge mit konkreten (An-)Weisungen, wie die Umsetzung zu erfolgen hat. D.h. Auftragsverarbeiter verarbeiten auf Vertragsbasis nach diesen Anweisungen personenbezogene Daten und hierzu gehören nach aktueller Meinung (Stand 16.01.2018) der Datenschutzkonferenz (DSK) typischerweise:
- Auslagern von E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
- Auslagerung von Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
- Entsorgung von Datenträger und Papierunterlagen durch Dienstleister,
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
- Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
- Wartung, Installation, Prüfung von ITK-Anlagen (z. B. durch Fernwartung, externer Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
- Werbeadressenverarbeitung durch eine Werbe- oder Marketingagentur oder einem Lettershop,
- Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt)
Dazu gehören nicht(!), da es sich hierbei um die Inanspruchnahme von ganz normalen (Fach-)Dienstleistungen handelt:
- Bankinstitute für den Geldtransfer,
- Berufsgeheimnisträger (Datenschutzbeauftragte, Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
- Inkassobüros mit Forderungsübertragung,
- Postdienste für den Brieftransport, Logistik- und Speditionsdienstleister,
- Weiteres: Keine Auftragsverarbeitung liegt auch nicht, wenn eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO gegeben ist, d.h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden.
Hierunter können je nach Gestaltung eine Reihe von Verarbeitungen fallen: - Klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
- gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen.
Zu beachten ist, dass die Datenverarbeitung im Auftrag keine (!) Erlaubnis darstellt, Daten dem Auftragsverarbeiter zu offenbaren, die wegen gesetzlicher Geheimhaltungspflichten (z.B. Berufs- oder anderen Amtsgeheimnissen) vertraulich zu behandeln sind (siehe §1 Abs.2 S.3 BDSG).
Wo findet man dazu mehr? Hier!
- Wo bekomme ich eine kostengünstige, "erste Hilfe" zur Umsetzung der Anforderungen des Datenschutzes?
Auf diesen Internetseiten ;-) und neben den angebotenen Dienstleistungen in diesem empfehlenswerten Werk:
- Wie lange muss man in Deutschland seine Daten speichern -welche Aufbewahrungsfristen gibt es?
In der DSGVO gibt es den Grundsatz der Datenminimierung. D.h. einerseits darf man nur so viel Daten erfassen, wie sie für eine Verarbeitung nötig sind und andererseits muss man sie wieder löschen, wenn sie nicht mehr benötigt werden und zwar spätestens nach den gesetzlich vorgeschriebenen Fristen. Hier kommt es in der Praxis immer wieder zu der Frage: Wann kann ich denn meine Daten löschen? Hier können Sie sich zwei PDF-Dateien laden, die einmal von der IHK München im Dezember 2017 veröffentlicht wurde und eine Sammlung von Fristen durch einen Dienstleister, dess Geschäft die Vernichtung von Daten ist.
- Was ist "Stand der Technik"?
Eine immer wieder aktuelle Frage die besonders bei der Erstellung oder Prüfung von technisch-organisatorischen Maßnahmen (TOM's) relevant ist und somit auch für die abzuschließenden Auftragsvereinbarungsverträge (AVV's) sehr wichtig ist. Als Hilfestellung ist dieses mit dem nachfolgenden Link auswählbare Dokument von TeleTrust sehr unterstützend.
Weitere interessante Links
25.05.2018: Interessanter Videobeitrag zum europäischen Datenschutz aus Sicht der Schweiz (Quelle SRF, Ziel des Links ist das SRG SSR der Schweiz): https://tp.srgssr.ch/p/portal?urn=urn:srf:video:8ead78fc-b48f-4029-8970-9ce50752cbbd&autoplay=true&legacy=true&width=640&height=360&playerType=
05.04.2018: Link zu den FAQs zur Datenschutz-Grundverordnung aus Sicht des Bundesinnenministerium (Quelle + Ziel des Links ist das BMI): https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html
23.03.2018: DSGVO und Drittländer: Schweiz ist Drittland und es gibt einen Angemessenheitsbeschluß der EU Kommission nach Art. 45 Abs.3. USA ist Drittland und es gibt einen Privacy Shield. Hier findet man Antworten zu damit zusammenhängenden Fragen:
- Grundsatzpapier zum Austausch und Schutz von Daten in einer globalen Welt (Interessant zum Lesen, wenn man nicht gerade etwas drigend sucht ;-) http://ec.europa.eu/transparency/regdoc/rep/1/2017/DE/COM-2017-7-F1-DE-MAIN-PART-1.PDF
- Welche Vorschriften gelten, wenn das Unternehmen Daten außerhalb der EU übermittelt: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_de
- Okay, doch in welchen Schritten bringt es Sinn pragmatisch vorzugehen?
- Ist-Analyse: Es gehen Daten ins Ausland
- Klärung 1: Was ist die Basis? Diese kann man u.a. in der DSGVO in den Artt. 44 - 50 nachlesen
- Klärung 2: Gibt es für das Land einen Angemessenheitsbeschlusses? (Art. 45 Abs. 3 - siehe Link unter Punkt 7.)
- Klärung 3: Gibt es eine Einwilligung der betroffenen Person nach Art. 49 Abs.1 lit.a DSGVO?
- Klärung 4: Findet die Datenübermittlung mit geeigneten Garantien statt? Diese sind nach Art. 46 Abs.2 zu prüfen:
- lit.b - verbindliche interne Datenschutzvorschirften gemäß Art. 47, sogenannte Binding Cooperate Rules (BCR) siehe Link unter Punkt 6.)
- lit.c - Vertrag mit Standarddatenschutzklauseln, die von der EU-Kommission gemäß einem Prüfverfahren erlassen werden (siehe Link unter Punkt 4.)
- lit.d - Vertrag mit Standarddatenschutzklauseln, die von einer Aufsichtsbehörde bereits angenommen wurden
- lit.e - genehmigte Verhaltensregeln, wie - genau - jetzt sind wir bei dem EU-USA Privacy Shield, siehe Link unter Punkt 5.
- lit.f - einem genehmigten Zertifizierungsmechanismus (aktuell noch n.a. = "not available")
- Art. 46 Abs.3 einem individuellen Vertrag, der von den Aufsichtsbehörden genehmigt wurde
- Hier findet man etwas zu den Standard-Datenschutzklauseln? https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
- Hier findet man etwas zu den Vereinbarungen mit der USA auf Basis des Privacy Shield? https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en
- Was sind Cooperate Binding Rules? https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en
- Und nun der wichtigste Link zu den Dritt-Ländern mit Angemessenheitsbeschluß: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_de