Datenschutzberatung

 

Die Verarbeitung von personenbezogenen Daten  muss in jedem Unternehmen so organisiert sein, dass sie den Anforderungen des Datenschutzrechts entspricht.


Zur Umsetzung der Anforderungen sind die Datenschutz-Grundsätze verbindlich!
Die Nichtbeachtung dieser Grundsätze ist gem. Art. 83 DSGVO mit Bußgeld bedroht.

 

 

 Karte DS Grundstze  Karte Anforderungen der DSGVO
>> weitere Infos zu den Datenschutzgrundsätzen << >> weitere Infos zu den Anforderungen <<

 

Seit Wirksamkeit der DSGVO gilt als zusätzliche Anforderung die „Rechenschaftspflicht“. Es genügt nicht mehr, den Datenschutz so zu betreiben, dass keine Verstöße erfolgen. Stattdessen muss jetzt nachweisbar sein, dass ein geregelter und erfolgreicher Datenschutzprozess betrieben wird. Somit kommen Unternehmen - unabhängig ihrer Branche und Größe - nicht mehr drumherum, ein sogenanntes Datenschutzmanagementsystem aufzubauen und zu betreiben. 

 fragen oder beratung

 

 

 Datenschutzgrundsätze

1.a.

Rechtmäßigkeit

Rechtsgrundlage oder Einwilligung

 

Verarbeitung nach Treu und Glauben

Betroffene Personen müssen in der Lage sein, über eine Verarbeitung

ihrer personenbezogenen Daten zu erfahren, und müssen ordnungsgemäß und

umfassend über die Bedingungen der Erhebung informiert werden.

 

Transparenz

Die Informationen über die Datenerhebung für den Betroffenen müssen in präziser, verständlicher und leicht zugänglicher Form sein.

1.b.

Zweckbindung

Eine Datenerhebung für eindeutig festgelegte Zwecke dürfen nicht für andere Zwecke weiterverarbeitet werden.

1.c.

Datenminimierung

Art und Umfang der Daten müssen auf das notwendige Maß begrenzt sein.

1.d.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem

neuesten Stand sein (sonst berichtigen oder unverzüglich löschen).

1.e.

Speicherbegrenzung

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die

Zwecke, für die sie erhoben worden sind, erforderlich ist.

hilfreich: Löschkonzepte (enthält u. A. Löschfristen)

1.f.

Integrität und Vertraulichkeit

Gewährleistung eines angemessenen Schutzes vor:

- unbefugter oder unrechtmäßiger Verarbeitung

- unbeabsichtigtem Verlust, Zerstörung und Schädigung

Umsetzung durch: geeignete Technische und Organisatorische

Maßnahmen (TOMs) Pflicht!

2.

Rechenschaftspflicht

Nachweisbarkeit der Einhaltung der o. g. Datenschutzgrundsätze

(Dokumentationspflicht!) z. B. durch ein Datenschutzmanagementsystem

 

 

Anforderungen der DSGVO

(an kleine und mittlere Unternehmen, Vereinen, etc.)

 

Eine kleine Checkliste zur Selbstüberprüfung

Thema
 

Datenschutzbeauftragter

 Muss ein DSB benannt werden?
Verzeichnis von Verarbeitungstätigkeiten  Ist ein solches Verzeichnis erforderlich?

Sicherheit

(setzt eine Erfassung der IT-Infrastruktur voraus)

 Müssen die Daten besonders gesichert werden oder reichen etablierte Standartmaßnahmen aus?
Auftragsverarbeitung  Ist ein Vertrag zur Auftragsverarbeitung notwendig?
Informations- und Auskunftspflicht  Bestehen irgendwelche Informationspflichten?
Speicherung und Löschung von Daten  Gibt es besondere Anforderung zur Datenlöschung?
Melde- und Benachrichtigungspflicht  Müssen bestimmte Vorfälle gemeldet werden?
Risikoanalyse / -bewertung / Folgenabschätzung  Muss eine DSFA durchgeführt werden?
Homeoffice / Telearbeitsplätze  Gibt es Mitarbeiter die im Homeoffice arbeiten?
Regelungen zum Umgang mit mobilen Endgeräten  Sind Nutzungsvereinbarungen vorhanden?
Videoüberwachung (VÜ)  Praktizieren Sie in Ihrem Unternehmen Videoüberwachungen?

Einwilligungspflicht

(z.B. für Bilder / Videos,

Weitergabe von personenbezogenen Daten über die eigene Website)

 Sind Einwilligungen notwendig?
Website und Social-Media  Sind Websites und Social-Media-Kanäle vorhanden?
Sicherer E-Mail-Versand  Ist der sichere Versand mit personenbezogenen Daten geregelt?
Datenschutz-Verpflichtung von Beschäftigten  Ist eine solche Verpflichtung durchzuführen?

Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

(von der Bewerbung bis zum Austritt des Beschäftigten)

 Gibt es Regelungen im Umgang mit Bewerber- und Mitarbeiterdaten?

Sonstiges:

Es gibt evtl. noch viele weitere Themen zu berücksichtigen.

Jedes Unternehmen sollte daher ganz individuell geprüft und beraten werden.

 

z.B. Datenschutz in der Werbung, IT-Sicherheitskonzept

 

 >> als PDF zum Download <<

 

 

 

Erläuterungen zu den Anforderungen

 

1. Datenschutzbeauftragter (DSB)

In aller Regel ist nur dann ein DSB zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

„Ständig beschäftigt“ ist, wer z. B. permanent Kunden- oder Personalverwaltung macht. „Nicht“ dagegen, wer z. B. als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht.

Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

 

 

2. Verzeichnis von Verarbeitungstätigkeiten (VV)

Kleine Unternehmen gehen regelmäßig mit Kunden- und Mitarbeiterdaten um und müssen ein – vom Umfang her überschaubares – Verzeichnis ihrer Verarbeitungstätigkeiten führen.

(Dem Verzeichnis von Verarbeitungstätigkeiten sind die Technischen und Organisatorischen Maßnahmen beizufügen.)

 

3. Sicherheit

Um die personenbezogenen Daten bei der Verarbeitung zu schützen, sind Standardmaßnahmen im Regelfall ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Soweit private PCs genutzt werden, ist sicherzustellen, dass nur berechtigte Personen auf die Daten zugreifen können.

Hinweis: Eine gute Sicherheit setzt eine Erfassung der IT-Infrastruktur voraus und ist ebenfalls der Grundstein für die Technischen und Organisatorischen Maßnahmen.

 

4. Auftragsverarbeitung

Sobald Verantwortliche Dienstleistungen in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, ist ein schriftlicher Vertrag zur Auftragsverarbeitung erforderlich.

(z. B. externes Lohnbüro, ext. IT-Support, ext. Rechenzentren, evtl. Hosting-Anbieter)

Hinweis: Erstellen Sie eine Liste externer Dienstleister und eingesetzter Software (auch Apps).

 

5. Informations- und Auskunftspflichten (Transparenzpflicht des Unternehmens)

Jedes Unternehmen hat die betroffenen Personen (d.h. insbesondere Kunden und Mitarbeiter) schon bei der ersten Datenerhebung über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.

 

Benachrichtigungspflicht des Unternehmens:

Wenn Daten über die betroffenen Personen von Dritten oder aus öffentlichen Quellen erhoben worden sind, ist die betroffene Person auf den gleichen Informationsstand zu bringen, als wenn Daten bei ihr erhoben worden sind.

(Zu beachten ist die hier auch die Erhebung von p. b. Daten über Websites, Apps usw.)

 

6. Speicherung und Löschen von Daten

Sobald keine gesetzliche Grundlage (z.B. steuerliche oder handelsrechtliche Aufbewahrungspflicht) für die Speicherung von personenbezogenen Daten mehr besteht, sind diese zu löschen. Dies ist z.B. der Fall, wenn ein Kunde mehrere Jahre lang keine neuen Aufträge mehr erteilt hat. Hinweis: Erstellung eines Löschkonzeptes!

 

7. Melde und Benachrichtigungspflicht (Datenschutzverletzungen)

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z. B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Vereinsdaten), so bestehen gesetzliche Meldepflichten: Die Aufsichtsbehörde ist im Regelfall - innerhalb von 72 Stunden - darüber in Kenntnis zu setzen, betroffene Personen dagegen nur bei hohem Risiko.

 

8. Datenschutz-Folgeabschätzung (DSFA)

Hat eine Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen, so muss das spezielle Instrument der Datenschutz-Folgenabschätzung durchgeführt werden. Ein solch hohes Risiko ist jedoch der Ausnahmefall und nicht die Regel.

 

9. Homeoffice / Telearbeit

Auch im Homeoffice oder bei der Telearbeit muss ein hinreichender Schutz von personenbezogenen Daten gewährleistet sein, sofern der Mitarbeiter mit diesen im Rahmen seiner Tätigkeit zu tun hat.

Hinweis: Es gelten die gleichen Datenschutzregelungen wie im Unternehmen selbst.

 

10. Regelung zum Umgang mit mobilen Endgeräten

Erstellen Sie eine Nutzungs- /oder Dienstanweisung, in der der Umgang mit den mobilen Endgeräten Ihres Unternehmens geregelt ist ( Notebooks, Tablets, Smartphones).

Hinweis: Nutzungsanweisungen sind sehr hilfreich, um meldepflichtige Datenschutzvorfälle zu vermeiden!

 

11. Videoüberwachung

Führt ein Verantwortlicher eine Videoüberwachung durch, ist im Normalfall eine entsprechende Hinweisbeschilderung erforderlich, um die betroffenen Personen über die Videoaufnahmen zu informieren.

Hinweis! Zu beachten sind die Regelungen des Art. 6 Abs. 1 lit. f DSGVO zum berechtigten Interesse des Verantwortlichen in Abwägung gegen die Rechte und Freiheiten der betroffenen Personen.

 

12. Einwilligungspflicht

Personenbezogene Daten dürfen nur unter dem Vorbehalt einer Rechtsgrundlage oder einer Einwilligung verarbeitet werden.

Das heißt: Das Vorliegen einer Rechtsgrundlage prüfen! Wenn keine Rechtsgrundlage vorliegt, muss eine Einwilligung des Betroffenen eingeholt werden.

 

13. Website, Social Media (z.B. Facebook, Twitter usw.) sowie Mail-Versand

 Sobald Verantwortliche eine Website oder Social-Media-Kanäle betreiben, ist der Datenschutz zu berücksichtigen.

 

14. Mail-Versand

 Personenbezogene Daten (insbesondere besonders schützenswerte Daten) niemals unverschlüsselt versenden!

 

15. Datenschutz-Verpflichtung von Beschäftigten

Bei der Aufnahme der Tätigkeit sind Beschäftigte, die mit personenbezogenen Daten umgehen, zu informieren und dahingehend zu verpflichten, dass die Verarbeitung der personenbezogenen Daten auch durch sie nach den Grundsätzen der DSGVO erfolgt.

 Hinweise:

  • Vertraulichkeitsverpflichtung für Mitarbeiter
  • regelmäßige Schulungen der Mitarbeiter

 

16. Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

Zu berücksichtigen sind unter anderem:

  • Erhebung und Speicherung von Bewerberdaten
  • Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten (Personaldaten – z.B. Personalfragebogen)
  • Die Grundsätze zum Führen der Personalakte (Vertraulichkeit, Richtigkeit und Vollständigkeit, Zulässigkeit und Zweckbindung, Transparenz, BEM)
  • Beendigung des Beschäftigungsverhältnisses
  • Datenschutz und Betriebsrat
  • u. s. w.

Achtung: Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist ein sehr umfangreicher Prozess.

Die hier aufgeführten Punkte geben nur ein paar wenige Einblicke, worauf unbedingt zu achten ist!

 

 

 

pro.DAT-Leistungen

button leistungen transp
 

  

DSGVO Grundschutz
  • Ernennung zu Ihrem externen Datenschutzbeauftragten
  • Prüfung Ihrer Kernprozesse und Handlungsempfehlung zur Umsetzung der DSGVO
  • Prüfung der IT-Sicherheit
  • Durchführung von Datenschutz-Folgenabschätzungen (Risikoanalyse)
  • Websiteprüfung und Erstellung individueller Datenschutzerklärungen


Erstellung und Aktualisierung von Datenschutz-Dokumenten

  • Datenschutzkonzept (nach Gebot der Organisationskontrolle)
  • Verzeichnis von Verarbeitungstätigkeiten
  • Technische und organisatorische Maßnahmen
  • Meldung von Datenschutzverstößen
  • Einverständniserklärungen
  • Vertraulichkeitsverpflichtungen für Mitarbeiter
  • Aufbau eines Datenschutzmanagement-Systems (Datenschutz-Police, Datenschutzmanagement-Handbuch, Richtlinien und Arbeitsanweisungen)


Beratung / Prüfung

  • Bearbeitung der Anfragen von Behörden und Betroffenen
  • Beratung im Zusammenhang mit Datenschutz-Folgenabschätzungen
  • Prüfung von Dokumenten für Mitarbeiter und Kunden
  • Prüfung der DSGVO-Konformität von Software und Hardware


Auftragsverarbeitungsverträge (AV)

  • Beratung bei der Erstellung von AV-Verträgen
  • Prüfung der AV-Verträge Ihrer Kunden


Schulungen

  • Sensibilisierung und Schulung der Mitarbeiter
  • individuelle Schulungen (z. B. für Geschäftsführungen und Abteilungen)


Datenschutz-Audit

  • regelmäßige Datenschutzaudits in Ihrem Unternehmen (mindestens 1 Mal im Jahr)
  • evtl. Auditierung der Auftragsverarbeiter


Zertifizierung

  • Vorbereitung und Begleitung von Zertifizierungen gemäß Artikel 42 / 43 DSGVO

 

 

button kirche

 

 

 

Artikel 91 DSGVO räumt Kirchen, religiösen Vereinigungen und Gemeinden eigene Datenschutzregelungen ein, sofern diese zum Zeitpunkt des Inkrafttretens der DSGVO bereits angewendet wurden und im Einklang mit der DSGVO gebracht werden.
Daraus resultieren in der Evangelischen Kirche in Deutschland das DSG-EKD und in der Katholischen Kirche die Anordnung über den kirchlichen Datenschutz (KDO) mit jeweils eigenständigen Aufsichtsbehörden.

 

 

IT-Sicherheitsverordnung der Evangelischen Kirche (ITSVO-EKD)


Gemäß IT-Sicherheitsverordnung - ITSVO-EKD vom 29. Mai 2015 haben die Evangelische Kirche in Deutschland, ihre Gliedkirchen und ihre gliedkirchlichen Zusammenschlüsse sowie die ihnen zugeordneten kirchlichen und diakonischen Werke und Einrichtungen sicherzustellen, dass ein IT-Sicherheitskonzept erstellt und kontinuierlich fortgeschrieben wird. Der für die Umsetzung des IT-Sicherheitskonzeptes erforderliche Sicherheitsstandard soll sich an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Informationssicherheit und zum IT-Grundschutz orientieren.