Wir unterstützen Sie bei der Erfüllung der Anforderungen der Datenschutzgrundverordnung DS-GVO und des neuen Bundesdatenschutzgesetzes BDSG (neu).

Wenn Sie bei einem der folgenden Punkte Hilfe brauchen ...
... sind wir gerne für Sie da.

Sie benötigen Hilfe bei der Erfüllung der Anforderungen der Datenschutzgrundverordnung DS-GVO und des neuen Bundesdatenschutzgesetzes BDSG (neu)?

Sie verarbeiten mit mindestens 10 Personen regelmäßig personenbezogene Daten und sind auf der Suche nach einem externen Datenschutzbeauftragten?

Sie benötigen Unterstützung bei der Sicherung des Datenschutzrechts durch Technik oder beim Aufbau eines eines IT-Sicherheitskonzepts?

Sie wünschen Schulungen für die mit der Verarbeitung personenbezogener Daten tätigen Mitarbeiter?

Sie benötigen Verzeichnisse der Verarbeitungstätigkeiten nach DS-GVO?

Sie wünschen sich einen Ansprechpartner für alle Fragen Ihrer Mitarbeiter rund um das Thema "Datenschutz"?

Sie möchten gerne, dass all Ihre Aktivitäten zum Thema Datenschutz ordentlich dokumentiert sind?

Folgende Punkte müssen Sie unbedingt erfüllen ...
... wir unterstützen Sie dabei gerne z. B. durch Muster und Vorlagen.

Homepage: Sie benötigen eine leicht erreichbare und verständliche Datenschutzerklärung, die dem Besucher Ihrer Homepage genau erklärt, welche Techniken eingesetzt werden und welche personenbezogenen Daten dabei über seinen Besuch gespeichert und verarbeitet werden. Außerdem hat der Besucher Ihrer Webseite einen Anspruch darauf, dass er über alle seine Rechte in punkto Datenschutz informiert und aufgeklärt wird.

Berufung eines Datenschutzbeauftragten: Wenn in Ihrem Unternehmen mehr als 10 Personen regelmäßig personenbezogene Daten verarbeiten oder die personenbezogenen Daten besonders schützenswert sind (dann unabhängig von der Anzahl der Personen) müssen Sie einen Datenschutzbeauftragten berufen. Dieser muss notwendiges Fachwissen besitzen, weisungsfrei und ohne Interessenkonflikte arbeiten können.

Einwilligungsmanagement: Grundsätzlich sollten alle personenbezogenen Daten, die nicht auf Grund einer besonderen Rechtsgrundlage erhoben werden, nur mit der Einwilligung des Betroffenen erhoben, gespeichert und verarbeitet werden. Dabei sollten unter anderem die Kategorien der erfassten Daten, Weitergabe der Daten an Dritte, Zweck der Verarbeitung oder auch der Termin der geplanten Löschung angegeben werden. Außerdem ist der Betroffene wiederum über seine Rechte im Detail zu informieren.

Verzeichnis der Verarbeitungstätigkeiten: Für jeden Geschäftsprozess, der personenbezogene Daten erhebt, speichert oder verarbeitet, ist eine eigene Dokumentation zu diesem Prozess anzufertigen. Die Dokumentation muss mindestens folgende Angaben enthalten: Verantwortlicher Fachbereich mit Kontaktdaten des Verantwortlichen, Zweck der Erhebung / Verarbeitung personenbezogener Daten, die Rechtsgrundlage, Kategorien betroffener Personen, Kategorien von Empfängern, Aussagen zur Datenübermittlung in Drittländer, Fristen für die Löschung der gespeicherten Daten, Angaben zur Art der eingesetzten DV-Anlagen und Software sowie eine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen.

Risikobewertung: Für jeden der obigen Geschäftsprozesse ist anschließend eine Risikobeurteilung vorzunehmen. Die Risiken sind zu bewerten und entsprechend der Schadenshöhe und Eintrittswahrscheinlichkeit in Klassen einzuteilen. Je nach Risikoklasse werden dann abgestuft geeignete technische und organisatorische Maßnahmen zur Risikominimierung festgelegt. Bleiben danach tatsächlich gravierende Restrisiken für den Betroffenen bestehen, ist eine formale Datenschutzfolgeabschätzung notwendig.

Definition und Dokumentation verschiedener Prozesse: Bezüglich der Rechte der Betroffenen und gesetzlicher Meldepflichten sollte jedes Unternehmen allgemeine Prozessabläufe zu diesen Anforderungen definieren und dokumentieren. Beispiele für solche Prozesse wären das Recht des Betroffenen auf Auskunft, die Möglichkeit zur Mitnahme der gespeicherten Daten zu einem anderen Dienstleister (Portabilität), das Recht auf Löschung und Vergessenwerden oder die Meldepflicht von Datenpannen binnen 72 Stunden.

Auftragsdatenverarbeitung: Wenn Dritte / Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeiten, handelt es sich dabei um sogenannte Auftragsdatenverarbeitung. Diese muss vertraglich geregelt werden und den datenschutzrechtlichen Anforderungen entsprechen.

Compliance Handbücher: Viele der von Ihnen erstellten Unterlagen haben allgemeinen Charakter und gelten für zahlreiche Geschäftsprozesse in gleicher Weise. Daher bietet es sich an, diese Unterlagen in eigenen Dokumenten, beispielsweise einer "Datenschutzrichtlinie" oder einem "IT-Sicherheitskonzept", zusammenzufassen.

Kontroll-Konzept: Nach dem neuen Datenschutzrecht gilt eine Beweislastumkehr. Jetzt muss nicht mehr der Betroffene beweisen, dass es einen Verstoß gegen die Datenschutzgesetze gegeben hat, sondern die Organisation muss belegen können, dass durch geeignete Maßnahmen ein Organisationsverschulden auszuschließen ist. Daher genügt es nicht mehr, dass es eine schriftliche Anweisung gibt, wie mit diesem oder jenem Thema umgegangen werden soll, sondern es müssen zusätzlich auch Kontrollen dokumentiert werden, die belegen, dass der Umgang tatsächlich wie in der Arbeitsanweisung beschrieben stattgefunden hat.

Mitarbeiter: Last but not least ist ebenfalls ein Konzept zum Mitarbeiterdatenschutz zu etablieren. Dies umfasst neben den notwenigen Einverständnissen der Mitarbeiter und der Aufklärung zu ihren Rechten aus dem Datenschutzrecht auch die Verpflichtung der Mitarbeiter auf den Datenschutz und die Verschwiegenheit. Außerdem sind alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, regelmäßig zu schulen und zu datenschutzkonformem Verhalten zu sensibilisieren.

Technische und organisatorische Maßnahmen ...
... damit die Anforderungen auch eingehalten werden können.

Notwendig sind technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Nachfolgend ein Auszug wesentlicher Aspekte:

Zugangskontrolle: Es soll verhindert werden, dass Unbefugte Zugang zu Dokumenten oder Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird. Beispiele für Maßnahmen wären hier:

Datenträgerkontrolle: Es soll verhindert werden, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können. Beispiele für Maßnahmen wären hier:

Speicherkontrolle: Es soll verhindert werden, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können. Beispiele für Maßnahmen wären hier:

Benutzerkontrolle: Es soll verhindert werden, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können. Beispiele für Maßnahmen wären hier:

Zugriffskontrolle: Es soll gewährleistet werden, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Beispiele für Maßnahmen wären hier:

Übertragungskontrolle: Es soll gewährleistet werden, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Beispiele für Maßnahmen wären hier:

Transportkontrolle: Es soll gewährleistet werden, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Beispiele für Maßnahmen wären hier:

Wiederherstellbarkeit: Es soll gewährleistet werden, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Beispiele für Maßnahmen wären hier:

Zuverlässigkeit: Es soll gewährleistet werden, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Beispiele für Maßnahmen wären hier:

Datenintegrität: Es soll gewährleistet werden, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Beispiele für Maßnahmen wären hier:

Verfügbarkeitskontrolle: Es soll gewährleistet werden, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Beispiele für Maßnahmen wären hier:

Eingabekontrolle: Es soll gewährleistet werden, dass auch nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Beispiele für Maßnahmen wären hier:

Auftragskontrolle: Es soll gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Beispiele für Maßnahmen wären hier:

Trennungskontrolle: Es soll gewährleistet werden, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden. Beispiele für Maßnahmen wären hier:

Und das war nur ein Auszug wichtiger Aspekte. Wenn Sie Fragen haben oder Unterstützung benötigen, sprechen Sie uns gerne an.

zurück