05.07.2023

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1.    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

• die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
• die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
• die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
• die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
• die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

• Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
  Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.        
  
• Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2.    Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

• der Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
• wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3.    Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
• die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

1. Bewertung oder Scoring;
2. automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
3. systematische Überwachung;
4. sensible Daten oder höchstpersönliche Daten;
5. Datenverarbeitung in großem Umfang;
6. Abgleich oder Zusammenführen von Datensätzen;
7. Daten über schutzbedürftige Personen;
8. innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
9. wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

• die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
• die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
• mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

• die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
• die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
• die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

• eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
• die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
• die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

• die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
• den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
• die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
• die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
• die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

• Beschreibung der vorgesehenen Verarbeitung
• Beurteilung von Notwendigkeit und Verhältnismäßigkeit
• Bereits vorgesehene Maßnahmen
• Einschätzung des Risikos für Einzelpersonen
• Maßnahmen zur Bewältigung des identifizierten Restrisikos
• Überwachen und überprüfen

4.    Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

• dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
• dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
• wie personenbezogene Daten pseudonymisiert werden können;
• dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
• dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
• dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
• dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
• dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
• dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5.    Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

• Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
• selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
• ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
• den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
• die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In letzter Zeit ist zu beobachten, dass die Aufsichtsbehörden neben der Prüfung von Webseiten auch einen Fokus auf die Videoüberwachung von Unternehmen gesetzt haben. Aber warum gerade auf die Videoüberwachung?

Wie bei einer Webseite kann auch bei einer Videoüberwachung schnell von außen ohne große Umstände ein erster Eindruck eingeholt werden, ob sich das Unternehmen mit dem Thema Datenschutz auseinandergesetzt hat. Was bei der Webseite der Blick auf die Datenschutzerklärung oder den Cookie-Banner ist, ist bei der Videoüberwachung zunächst die Sichtung der Kamera an sich sowie ein kurzer Blick auf das Hinweisschild zur Videoüberwachung.

Ein Piktogramm reicht nicht aus

Wer bei der Videoüberwachung der Ansicht ist, dass ein einfaches Hinweisschild mit einem Kamera-Piktogramm und der Aufschrift „Videoüberwachung“ ausreicht, hat hier die Rechnung nicht mit dem Datenschutz gemacht. Denn die Datenschutz-Grundverordnung (DSGVO) sieht bereits in Ihren Grundsätzen der Datenverarbeitung vor, dass jede Verarbeitung personenbezogener Daten rechtmäßig und für die betroffenen Personen transparent sein muss. Um eine Transparenz herzustellen, sind den betroffenen Personen bereits vor Datenerhebung bestimmte Informationen zur Datenverarbeitung zugänglich zu machen. Im Falle der Videoüberwachung bedeutet dies, dass Personen bereits vor Betreten des Erfassungsbereichs der Kamera unter anderen darüber informiert werden, wer für die Videoüberwachung verantwortlich ist und zu welchen Zwecken und auf welcher Rechtsgrundlage diese erfolgt. Die niedersächsische Aufsichtsbehörde hat ein Muster-Hinweisschild veröffentlicht. Dieses und weitere Dokumente zur Videoüberwachung finden Sie hier.

Ist die Aufsichtsbehörde einmal auf die Videoüberwachung in einem Unternehmen aufmerksam geworden, wird sie es höchstwahrscheinlich nicht bei der Sichtung des Hinweisschildes belassen. Sicherlich wird in diesen Fällen dann auch geprüft werden, ob die Videoüberwachung überhaupt zulässig ist und ob diesbezüglich die erforderlichen Vorüberlegungen (wie die Risikobewertung und die Implementierung geeigneter technischer und organisatorischer Maßnahmen) getroffen wurden.

Sollten Sie Unterstützung bei der Implementierung einer Videoüberwachungsanlage benötigen, melden Sie sich gerne bei unserem ds²-Team.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien. 

Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.

Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.

Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.

Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.

Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.

Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.

So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.

Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.

Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.

„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks“, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.

ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Technik der Videoüberwachung ist heute eine weit verbreitete Möglichkeit, um in den betroffenen Bereichen sowohl Eigentum, als auch Mitarbeiter und Kunden zu schützen.

Doch die Installation dieser Anlagen erfordert eine durchgehende und detaillierte Prüfung, um die Rechte der betroffenen Personen zu schützen. Durch die Erstellung eines Datenschutzkonzeptes im Rahmen der gesetzlichen Vorgaben kann die Videoüberwachung zu einem beliebten und gesetzeskonformen Überwachungstool werden, welches Unternehmen vor Diebstahl und Sachbeschädigung schützen kann. Doch die Einhaltung der Datenschutz-Bestimmungen muss sorgfältig betrachtet und überprüft werden. Denn gerade weil das Thema Videoüberwachung in den Medien so präsent ist, gerät diese Technik immer wieder in den Fokus der zuständigen Aufsichtsbehörden. Der Betrieb erfordert eine Risikoabwägung und gegebenenfalls auch eine Datenschutz-Folgenabschätzung und in Einzelfällen sogar die Hinzuziehung der zuständigen Aufsichtsbehörde. Welche Anlagen evtl. gegen die Vorschriften verstoßen und welche Vorschriften für die individuellen Fälle gelten, sollte genau von Experten untersucht werden, um das System den einschlägigen Regelungen anzupassen.

Nutzen Sie unsere Erfahrung aus zahlreichen Projekten in den unterschiedlichsten Branchen.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)?

Ein interner DSB kennt die Unternehmensprozesse und die entsprechenden Ansprechpartner. Damit hat er einen entscheidenden Vorteil. Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln. Schon in diesem Auswahlprozess können wir Sie aufgrund unserer langjährigen Erfahrung unterstützen. Neben diversen Anforderungen an die Zuverlässigkeit und Fachkunde darf der DSB auch keinem Interessenskonflikt unterliegen. Gerade hier kommt es immer wieder zu Abberufungen durch die Aufsichtsbehörden.

Welche Qualifikation benötigt ein interner DSB?

Ausbildungen zum Datenschutz gibt es heute wie Sand am Meer. Gute Ausbildungen allerdings nur wenige. Wir können Ihnen bei der Auswahl der richtigen Ausbildung helfen oder Ihren Datenschutzbeauftragten direkt bezogen auf die Anforderungen in Ihrem Unternehmen ausbilden und coachen. Das Coaching und damit die stufenweise Ausbildung von internen Datenschutzbeauftragten hat sich in vielen Fällen bewährt, da der interne Datenschutzbeauftragte eine genau auf ihn skalierte Unterstützung erfährt und dabei direkt anhand der Anforderungen für die Verarbeitungsprozesse Ihres Unternehmens ausgebildet wird. Der ds²-Berater ist dabei stets als Sparringspartner für den fachlichen Austausch und die Lösung komplexer Aufgaben verfügbar. Darüber hinaus kann er bei Abwesenheiten des internen DSB als Stellvertreter fungieren.

Welche Phasen durchläuft das Coaching?

Neben der initialen Ausbildung Ihres DSB stellt das individuelle Coaching eine hervorragende Möglichkeit dar, einen internen DSB schnell und sicher in die Lage zu versetzen, die komplexen Aufgaben wahrzunehmen.

Dieses Verfahren läuft üblicherweise in 4 Schritten ab:

1. Aufgaben ermitteln (auch phasenweise) und den jeweiligen Zeitrahmen festlegen
2. Analyse der Rahmenbedingungen und Bearbeitung von Lösungsansätzen
3. Lösungen ausarbeiten und umsetzen
4. Erfolgskontrolle

Jede Phase wird durch den ds²-Berater (Coach) begleitet und unterstützt. Da diese Phasen auf immer komplexere Aufgaben angewandt werden, erwirbt der interne DSB die erforderliche Kompetenz an konkreten Beispielen und schafft gleichzeitig die gewünschte Rechtssicherheit für das Unternehmen.

Möchten Sie weitere detaillierte Informationen zu diesem Thema erhalten, rufen Sie uns gerne an unter +49 5421 308950.

Wo steht Ihr Unternehmen beim Datenschutz?

Der Einstieg in den integrierten Datenschutz by ds² ist die Bestandsaufnahme. Sie dient der Ermittlung der datenschutzrechtlichen Situation im Unternehmen. Durch ihre Skalierbarkeit ist die Bestandsaufnahme für jede Art und Größe einer Organisation wirtschaftlich und effizient darstellbar. Mit der ds²-Datenschutz-Bestandsaufnahme erhalten Sie so schnell einen Überblick und eine erste Einschätzung des Handlungsbedarfes.

Wie läuft die Bestandsaufnahme ab?

Die ds²-Datenschutz-Bestandsaufnahme wird von ausgebildeten und zertifizierten ds²-Beratern durchgeführt. Sie erhalten – nach Abschluss einer Vertraulichkeitsvereinbarung – vorab einen Fragenkatalog, der uns zur Vorbereitung der Bestandsaufnahme dient. Bei Ihnen vor Ort werden unsere Berater die entsprechenden Prozesse und Datenverarbeitungen prüfen. Dies erfolgt durch Interviews und Prozess-Stichproben. Die Berater werden die Erkenntnisse vor Ort erfassen und anschließend in unseren Büros dokumentieren und zusammenfassen.

Ziel ist es, einen Überblick über die Unternehmensprozesse und die dazu gehörigen Anforderungen an den Datenschutz zu erhalten und damit einen ersten Ansatzpunkt zur Erstellung eines Maßnahmenplans zu erhalten. Im Zentrum stehen dabei die wesentlichen Risiken im Bereich Datenschutz und möglicher Schwachstellen bei der Sicherheit der Daten.

Was bringt die Bestandsaufnahme?

Im Rahmen eines Abschlusstermins werden unsere Berater Ihnen die Ergebnisse vorstellen. Je nach Skalierungsstufe gehören dazu

• eine Präsentation der wesentlichen Ergebnisse
• der Bericht
• der Maßnahmenplan

Diese Dokumente ermöglichen es Ihnen, den Aufwand für die Optimierung des Datenschutzes im Unternehmen besser einzuschätzen. Auf der Basis dieser Ergebnisse können die Aufgaben priorisiert und ggf. budgetiert werden. Notwendigkeit und Umfang einer Projektphase für die dringendsten Aufgaben können hierdurch ebenfalls definiert werden.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.

Erschienen am 27. August 2020

Datenschutz leidet unter einem schlechten Ruf. Den Befürwortern gehen die Gesetze meist nicht weit genug, den Gegnern viel zu weit. Als Geschäftsführer der ds² Unternehmensberatung für Integrierten Datenschutz und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. weiß ich: Wir haben in den letzten 50 Jahren viel geschafft. Nur eines nicht – die Menschen für den Datenschutz zu begeistern.

Datenschutz ist in Deutschland ein Grundrecht jedes Menschen. Datenschutz ist damit so wichtig und so wertvoll wie die Menschenwürde, das Recht auf Leben, das Recht auf Gleichberechtigung, das Recht auf Religions- oder Meinungsfreiheit, um nur wenige zu nennen. Dennoch geht für Datenschutz kaum jemand auf die Straße. Im Gegenteil. Viele gehen mit ihren Daten viel zu lässig um, wundern sich dann aber, wenn sie darüber an der einen oder anderen Stelle stolpern.

Neue Technologien, wie sie das Internet tagtäglich hervorbringt, werden fast ausnahmslos begrüßt, jedoch nur wenig hinterfragt. Laien können sich zudem kaum mehr vorstellen, dass ein funktionierender Schutz vor Datenmissbrauch möglich ist.

Diese Denke hemmt die Arbeit an der Verbesserung von Schutzsystemen. Hierdurch bremsen sich Unternehmen oft selbst aus, statt die Vorteile aus verbesserten Schutzsystemen zu heben. Datenschutz ist in der Praxis von Unternehmen nur eine Herausforderung mehr. Wir von ds² stellen aber immer wieder fest, dass der Datenschutz auch eine Chance ist, bestehende Technologien und Praktiken nachhaltig zu verbessern.

Wir gehen davon aus, dass das Thema die Vorteilsdiskussion der Zukunft bestimmen wird: Wer in der Lage ist, Datenschutz für seine Kunden zu garantieren, ist dem Wettbewerb mehr als eine Nasenlänge voraus.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Grundsätzlich ist eine erteilte Einwilligung so lange gültig, bis die betroffene Person diese widerruft. Die Parteien können in der Einwilligung jedoch auch festlegen, dass diese nur für einen bestimmten Zeitraum gelten soll. In diesem Fall endet die Gültigkeit der Einwilligung dann automatisch zum festgelegten Zeitpunkt. Der Widerruf einer datenschutzrechtlichen Einwilligung darf jederzeit erfolgen. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.