Corona Krise: Homeoffice effizient, Krisenmanagement! Informieren Sie sich heute noch!

Data Protection


Data Protection



Die europäische Datenschutz – Grundverordnung (EU-DSGVO) ist seit dem 25. Mai 2018 in Kraft und viele Unternehmen sind noch damit beschäftigt, sie umzusetzen. Welche Pflichten haben Unternehmen? Was genau muss ich tun, um gesetzeskonform zu sein? Was muss ich tun, um Strafen zu vermeiden?

Die Datenschutzbehörden haben ihr Personal signifikant aufgestockt, Prüfungen sind im Gange und es gibt bereits einige Urteile des europäischen Gerichtshofs (EUGH) und verschiedener Landesbehörden. Auch empfindliche Bußgelder sind bereits verhängt worden. Die gesetzlich vorgesehenen Strafen erreichen eine Höhe, die kein Unternehmen aus der Portokasse zahlen kann. Das Bundesdatenschutzgesetz (BDSG) sieht sogar in schweren Fällen Haftstrafen für Verantwortliche vor.

Wir unterstützen sie konkret und pragmatisch dabei die Richtlinien umzusetzen. Dabei stimmen wir das Vorgehen auf ihre spezielle Ausgangssituation ab und definieren gemeinsam den besten Weg für ihr Unternehmen.

Grundsätze der DSGVO

Artikel 5 der EU-DSGVO definiert Grundsätze für die Verarbeitung personenbezogener Daten. Damit bilden diese Regeln die Grundlage für den Datenschutz.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: personenbezogene Daten müssen also auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden
  • Datenminimierung: die erhobenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein
  • Richtigkeit: personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden
  • Speicherbegrenzung: die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist
  • Integrität und Vertraulichkeit: als Verantwortlicher müssen Sie geeignete technische und organisatorische Maßnahmen ergreifen, die Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung bieten. Denn erhobenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet
  • Rechenschaftspflicht: Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss die Einhaltung nachweisen können

Betroffenenrechte

Kapitel 3 der EU-DSGVO beschreibt die Rechte, die ein Betroffener im Hinblick auf die Erhebung und Verarbeitung seiner personenbezogenen Daten hat. Diese Rechte bilden auf der anderen Seite die Grundlage für die Pflichten eines Unternehmens, da es sie gewährleisten muss.

  • Informationspflicht (Art. 13 & 14): Hier wird definiert welche Informationen der betroffenen Person wann zur Verfügung gestellt werden müssen
  • Auskunftsrecht (Art. 15): Eine betroffene Persona hat das Recht vom Verantwortlichen eine Auskunft über ihre personenbezogenen Daten und zusätzliche Informationen zu erhalten
  • Recht auf Berichtigung (Art. 16): Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen
  • Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17): Eine betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen. Dies gilt zum Beispiel, wenn personenbezogene Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind
  • Recht auf Einschränkung der Verarbeitung (Art. 18): eine betroffene Person hat unter bestimmten Voraussetzungen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen
  • Recht auf Datenübertragbarkeit (Art. 20): die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln
  • Widerspruchsrecht (Art. 21): eine betroffene Person hat das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen

Kostenloses PDF zum Thema Löschkonzepte

Kostenloser Download

Download Link senden an:

Wichtige Dokumentation in der DSGVO

Unternehmen müssen ihre Aktivitäten im Zuge des Datenschutzes dokumentieren, um Konformität mit der DSGVO herzustellen. Vor allem das Verzeichnis der Verarbeitungstätigkeiten (VVT) steht hier im Vordergrund. Aber auch andere Dokumente sind notwendig.

  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30): Ein VVT basiert auf den Geschäftsprozessen und beschreibt in welcher Art hier personenbezogene Daten verarbeitet werden (Verarbeitungstätigkeiten). Jeder Verantwortliche und auch jeder Auftragsverarbeiter muss ein solches Verzeichnis führen. Es muss unter anderem die Zwecke der Verarbeitung und eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten enthalten.
  • Auftragsverarbeitung (AV) (Art. 28): Wenn Sie personenbezogene Daten im Auftrag verarbeiten lassen, müssen Sie sicherstellen, dass diese gemäß DSGVO verarbeitet werden. Besonders wichtig ist hier, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen so durchführt, dass der Schutz der Rechte der betroffenen Person gewährleistet ist. Als Grundlage der Auftragsverarbeitung wird ein AV Vertrag geschlossen, der die Pflichten und Rechte beider Parteien regelt.
  • Technische und organisatorische Maßnahmen (TOMs) (Art. 32 DSGVO & Art. 64 BDSG): Der Verantwortliche und der Auftragsverarbeiter haben die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ziel dieser Maßnamen ist die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und damit den Zugang zu personenbezogenen Daten sicherzustellen.
  • Datenschutzfolgenabschätzung (DSFA) (Art. 35): Der Verantwortliche muss eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist der Fall, wenn ein vorgesehener Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutzfolgenabschätzung muss durchgeführt werden bevor eine Verarbeitung eingeführt wird.

Sichtbarkeit der DSGVO nach außen

Als Unternehmen ist es auch wichtig nach außen zu zeigen, dass Sie das Thema Datenschutz und Data Protection ernst nehmen. Deshalb empfehlen wir Ihnen auch folgende Maßnahmen durchzuführen.

  • Datenschutzbeauftragter: Ein Unternehmen muss nicht in allen Fällen einen Datenschutzbeauftragten ernennen. Es dient allerdings immer als Zeichen dafür, dass Datenschutz ein wichtiges Thema ist und die notwendige Aufmerksamkeit erhält. Sie können auch einen externen Datenschutzbeauftragten benennen.
  • Datenschutzerklärung: Sobald Sie eine Webseite betreiben, brauchen Sie auch eine Datenschutzerklärung. Sie beschreibt für alle Webseitenbesucher wie Sie als Unternehmen und wie Ihre Webseite technisch Datenschutz umsetzt. Bestimmte Angaben wie der Verantwortliche, Verarbeitungszweck und Weitergabe von Daten sollten aber auf jeden Fall enthalten sein.
  • Cookie Banner / Consent Banner: Die meisten Webseiten verwenden Cookies. Nach dem Urteil des EuGH vom 01.10.2019 sind klare Vorgaben vorhanden, wie ein Cookie Banner aussehen muss und welche Informationen Sie Ihren Nutzern zur Verfügung stellen müssen.
  • Verpflichtung auf Datenschutz: Stellen Sie sicher, dass auch Ihre Mitarbeiter den Datenschutz befolgen. Insbesondere wenn Ihre Mitarbeiter regelmäßig personenbezogene Daten verarbeiten, sollten Sie eine schriftliche Verpflichtung als Teil des Arbeitsvertrags einführen.
  • Mitarbeiterschulung: Nur wenn Ihre Mitarbeiter über das entsprechende und notwendige Wissen verfügen, können Sie den Datenschutz befolgen und dadurch der Konformität Ihres Unternehmens helfen. Sorgen Sie durch interne oder externe Schulungen dafür.

Kostenloses PDF zum Thema ISMS

Kostenloser Download

Download Link senden an:

Bei Data Protection und speziell der Umsetzung der DSGVO unterstützen wir Sie gerne u.a. in folgenden Themen:

  • Betroffenenrechte
  • Löschkonzepte
  • ePrivacy
  • Datenschutzerklärungen und Vorgaben für ihre Webseite
  • Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Auftragsverarbeitung (AV)
  • technische und organisatorische Maßnahmen (TOMs)
  • Mitarbeiterschulungen
  • Datenschutzprozesse

Erfahren sie mehr zu Löschkonzepten.

Erfahren sie mehr zu ePrivacy.

Beschreibung der Leistungen

bimoso unterstützt Sie bei Data Protection und der Umsetzung der Gesetzesanforderungen der europäischen Datenschutzgrundverordnung. Dabei bieten wir Ihnen verschiedene Möglichkeiten an:

  • Ein komplettes, auf Ihre Unternehmenssituation angepasstes Projekt (Analyse Ihrer spezifischen Ausgangssituation, Ableitung von Maßnahmen und deren Umsetzung)
  • Unterstützung in der Einführung bestimmter Einzelmaßnahmen (z.B. Datenschutzdokumentation, IT-Sicherheitskonzept, Löschkonzept)
  • Beratung hinsichtlich Datenschutz und IT Sicherheit
  • Auditierung bereits getroffener Maßnahmen und Gesetzteskonformität
Security

Warum bimoso?

Wir haben jahrelange Erfahrung:

  • Wir kennen die Gesetze und Vorgaben und haben zertifizierte Datenschutz- und IT-Sicherheitsbeauftragte
  • Das Thema Datenschutz liegt in unserer DNA – bimoso beschäftigt sich seit 2011 mit Daten und ihrer Bedeutung für Unternehmen
  • Wir haben schon viele Kunden zum Datenschutz beraten und erfolgreich DSGVO Projekte durchgeführt

Im Spannungsfeld von der Projektidee durch Gesetzesvorgabe zu einer erfolgreichen Umsetzung stehen wir an der Seite unserer Kunden und erleichtern Ihnen das Treffen der richtigen Entscheidungen.

Radikal einfach

Wir haben den dazugehörigen Background. Zu unseren Qualifikationen gehören:

  • Zertifizierung als Datenschutzbeauftragte
  • Zertifizierung als Sicherheitsbeauftragte
  • Unternehmensberatung
  • Mitgliedschaft in relevanten Vereinigungen wie GDD
  • Projekt Management
  • Prozess Design
  • Change Management

Isa Latta

Head of Consulting

+49 40 33 44 2409

Frau Latta ist zertifizierte Datenschutzbeauftragte und hat in den letzten Jahren zahlreiche Unternehmen zum Thema Data Protection/Datenschutz und Security/Informationssicherheit beraten und auditiert.

Name*

E-Mail*

Betreff*

Ihre Nachricht an uns*

* Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Aie in der Datenschutzerklärung. Eine Kopie Ihrer Nachricht wird an Ihre E-Mail-Adresse geschickt.

Dieses Formular wird nicht vom Internet Explorer unterstütz, bitte benutzen Sie für die Anmeldung einen anderen Browser.



Data Protection

Zusätzliche Sicherheit von Microsoft 365

Microsoft 365 bietet Kunden mehr Schutz als nur Windows 10 und Office365. Es erkennt Hackerangriffe automatisch und wehrt sie ab, da es über einen erweiterten Bedrohungsschutz verfügt. Hintergrund Eine von Bitkom durchgeführte Studie zeigt, dass die Cyber-Angriffe auf deutsche Unternehmen...

Erfahren Sie Mehr

0 / Lilith Khurshudyan / Jan 28, 2020
Security

Smarthome-Geräte hören mit

IT-Sicherheitsexperten warnen immer wieder vor den Gefahren von Smarthomes, wie zum Beispiel Amazon Echo oder Google Home. Personen, die diese Geräte nutzen, laufen Gefahr, ihre privaten Daten und vertraulichen Informationen zu verlieren. Ein von Forschern des SRLabs durchgeführtes Experiment, zeigt...

Erfahren Sie Mehr

0 / Isa Latta / Nov 08, 2019