Wir unterstützen Sie bei der Erfüllung der Anforderungen der Datenschutzgrundverordnung DS-GVO und des neuen Bundesdatenschutzgesetzes BDSG (neu).

Sie benötigen Hilfe bei der Erfüllung der Anforderungen der Datenschutzgrundverordnung DS-GVO und des neuen Bundesdatenschutzgesetzes BDSG (neu)?

Sie verarbeiten mit mindestens 10 Personen regelmäßig personenbezogene Daten und sind auf der Suche nach einem externen Datenschutzbeauftragten?

Sie benötigen Unterstützung bei der Sicherung des Datenschutzrechts durch Technik oder beim Aufbau eines eines IT-Sicherheitskonzepts?

Sie wünschen Schulungen für die mit der Verarbeitung personenbezogener Daten tätigen Mitarbeiter?

Sie benötigen Verzeichnisse der Verarbeitungstätigkeiten nach DS-GVO?

Sie wünschen sich einen Ansprechpartner für alle Fragen Ihrer Mitarbeiter rund um das Thema "Datenschutz"?

Sie möchten gerne, dass all Ihre Aktivitäten zum Thema Datenschutz ordentlich dokumentiert sind?

Homepage: Sie benötigen eine leicht erreichbare und verständliche Datenschutzerklärung, die dem Besucher Ihrer Homepage genau erklärt, welche Techniken eingesetzt werden und welche personenbezogenen Daten dabei über seinen Besuch gespeichert und verarbeitet werden. Außerdem hat der Besucher Ihrer Webseite einen Anspruch darauf, dass er über alle seine Rechte in punkto Datenschutz informiert und aufgeklärt wird.

Berufung eines Datenschutzbeauftragten: Wenn in Ihrem Unternehmen mehr als 10 Personen regelmäßig personenbezogene Daten verarbeiten oder die personenbezogenen Daten besonders schützenswert sind (dann unabhängig von der Anzahl der Personen) müssen Sie einen Datenschutzbeauftragten berufen. Dieser muss notwendiges Fachwissen besitzen, weisungsfrei und ohne Interessenkonflikte arbeiten können.

Einwilligungsmanagement: Grundsätzlich sollten alle personenbezogenen Daten, die nicht auf Grund einer besonderen Rechtsgrundlage erhoben werden, nur mit der Einwilligung des Betroffenen erhoben, gespeichert und verarbeitet werden. Dabei sollten unter anderem die Kategorien der erfassten Daten, Weitergabe der Daten an Dritte, Zweck der Verarbeitung oder auch der Termin der geplanten Löschung angegeben werden. Außerdem ist der Betroffene wiederum über seine Rechte im Detail zu informieren.

Verzeichnis der Verarbeitungstätigkeiten: Für jeden Geschäftsprozess, der personenbezogene Daten erhebt, speichert oder verarbeitet, ist eine eigene Dokumentation zu diesem Prozess anzufertigen. Die Dokumentation muss mindestens folgende Angaben enthalten: Verantwortlicher Fachbereich mit Kontaktdaten des Verantwortlichen, Zweck der Erhebung / Verarbeitung personenbezogener Daten, die Rechtsgrundlage, Kategorien betroffener Personen, Kategorien von Empfängern, Aussagen zur Datenübermittlung in Drittländer, Fristen für die Löschung der gespeicherten Daten, Angaben zur Art der eingesetzten DV-Anlagen und Software sowie eine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen.

Risikobewertung: Für jeden der obigen Geschäftsprozesse ist anschließend eine Risikobeurteilung vorzunehmen. Die Risiken sind zu bewerten und entsprechend der Schadenshöhe und Eintrittswahrscheinlichkeit in Klassen einzuteilen. Je nach Risikoklasse werden dann abgestuft geeignete technische und organisatorische Maßnahmen zur Risikominimierung festgelegt. Bleiben danach tatsächlich gravierende Restrisiken für den Betroffenen bestehen, ist eine formale Datenschutzfolgeabschätzung notwendig.

Definition und Dokumentation verschiedener Prozesse: Bezüglich der Rechte der Betroffenen und gesetzlicher Meldepflichten sollte jedes Unternehmen allgemeine Prozessabläufe zu diesen Anforderungen definieren und dokumentieren. Beispiele für solche Prozesse wären das Recht des Betroffenen auf Auskunft, die Möglichkeit zur Mitnahme der gespeicherten Daten zu einem anderen Dienstleister (Portabilität), das Recht auf Löschung und Vergessenwerden oder die Meldepflicht von Datenpannen binnen 72 Stunden.

Auftragsdatenverarbeitung: Wenn Dritte / Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeiten, handelt es sich dabei um sogenannte Auftragsdatenverarbeitung. Diese muss vertraglich geregelt werden und den datenschutzrechtlichen Anforderungen entsprechen.

Compliance Handbücher: Viele der von Ihnen erstellten Unterlagen haben allgemeinen Charakter und gelten für zahlreiche Geschäftsprozesse in gleicher Weise. Daher bietet es sich an, diese Unterlagen in eigenen Dokumenten, beispielsweise einer "Datenschutzrichtlinie" oder einem "IT-Sicherheitskonzept", zusammenzufassen.

Kontroll-Konzept: Nach dem neuen Datenschutzrecht gilt eine Beweislastumkehr. Jetzt muss nicht mehr der Betroffene beweisen, dass es einen Verstoß gegen die Datenschutzgesetze gegeben hat, sondern die Organisation muss belegen können, dass durch geeignete Maßnahmen ein Organisationsverschulden auszuschließen ist. Daher genügt es nicht mehr, dass es eine schriftliche Anweisung gibt, wie mit diesem oder jenem Thema umgegangen werden soll, sondern es müssen zusätzlich auch Kontrollen dokumentiert werden, die belegen, dass der Umgang tatsächlich wie in der Arbeitsanweisung beschrieben stattgefunden hat.

Mitarbeiter: Last but not least ist ebenfalls ein Konzept zum Mitarbeiterdatenschutz zu etablieren. Dies umfasst neben den notwenigen Einverständnissen der Mitarbeiter und der Aufklärung zu ihren Rechten aus dem Datenschutzrecht auch die Verpflichtung der Mitarbeiter auf den Datenschutz und die Verschwiegenheit. Außerdem sind alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, regelmäßig zu schulen und zu datenschutzkonformem Verhalten zu sensibilisieren.

Notwendig sind technische und organisatorische Maßnahmen zur Gewährleistung des Datenschutzes, deren Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Nachfolgend ein Auszug wesentlicher Aspekte:

Zugangskontrolle: Es soll verhindert werden, dass Unbefugte Zugang zu Dokumenten oder Verarbeitungsanlagen erhalten, mit denen die Verarbeitung durchgeführt wird. Beispiele für Maßnahmen wären hier:

  • Zutritt zu Datenverarbeitungsanlagen
  • Absicherung der Räume und Zugänge
  • Trennung von Bearbeitungs- und Publikumszonen
  • Reinigungs- und Wartungsarbeiten
  • Anwesenheitskontrollen
  • Sicherheit bei Heimarbeit / Telearbeit

Datenträgerkontrolle: Es soll verhindert werden, dass Unbefugte Datenträger lesen, kopieren, verändern oder löschen können. Beispiele für Maßnahmen wären hier:

  • Sichere Aufbewahrung von Datenträgern
  • Standleitung oder VPN-Tunnel
  • Weitergabe von Daten in anonymisierter Form
  • Verschlüsselung von (mobilen) Datenträgern
  • Ordnungsgemäße Vernichtung von Datenträgern
  • Einsatz von Aktenschreddern beziehungsweise externen Aktenvernichtern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Protokollierung der Vernichtung

Speicherkontrolle: Es soll verhindert werden, dass Unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können. Beispiele für Maßnahmen wären hier:

  • Festlegung von Berechtigungen in den IT-Systemen
  • Differenzierte Berechtigungen für Lesen, Löschen und Ändern
  • Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
  • Verwaltung der Rechte durch Systemadministratoren
  • Reduzierung der Anzahl der Administratoren auf das „Notwendigste“
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen

Benutzerkontrolle: Es soll verhindert werden, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können. Beispiele für Maßnahmen wären hier:

  • Festlegung zugangsberechtigter Mitarbeiter
  • Erstellen von Benutzerprofilen
  • Vergabe sicherer Passwörter
  • Authentifikation mit Benutzername und Passwort
  • Regelmäßige Kontrolle von Berechtigungen
  • Sperrung von Berechtigungen ausscheidender Mitarbeiter
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Einsatz von Verschlüsselungstechnologie
  • Einsatz von Anti-Viren-Software

Zugriffskontrolle: Es soll gewährleistet werden, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Beispiele für Maßnahmen wären hier:

  • Einsatz eines Berechtigungskonzepts, Zugriffsrechte für Anwender wie Administratoren
  • Schutz gegen unberechtigte interne und externe Zugriffe, Verschlüsselung, Firewall
  • Überwachung und Protokollierung der Zugriffe
  • Datenträger und deren Lagerung (abschließbare Schränke, Schlüsselregelung)
  • Passwortrichtlinie

Übertragungskontrolle: Es soll gewährleistet werden, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Beispiele für Maßnahmen wären hier:

  • Standleitung oder VPN-Tunnel
  • Verschlüsselungstechnologien
  • Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
  • Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung beziehungsweise vereinbarter Löschfristen

Transportkontrolle: Es soll gewährleistet werden, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Beispiele für Maßnahmen wären hier:

  • Standleitung oder VPN-Tunnel
  • Verschlüsselungstechnologien
  • Sichere Transportbehälter
  • Sorgfalt beim Personal

Wiederherstellbarkeit: Es soll gewährleistet werden, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Beispiele für Maßnahmen wären hier:

  • Erstellen eines Backup- und Recovery-Konzepts
  • Festplattenspiegelung nach Vereinbarung mit dem Auftraggeber
  • Testen von Datenwiederherstellung
  • Erstellen eines Notfallplans

Zuverlässigkeit: Es soll gewährleistet werden, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Beispiele für Maßnahmen wären hier:

  • Unabhängig voneinander funktionierende Systeme
  • Automatisierte Meldung von Fehlfunktionen
  • Anti-Viren-Schutz

Datenintegrität: Es soll gewährleistet werden, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können. Beispiele für Maßnahmen wären hier:

  • Erstellen eines Backup- und Recovery-Konzepts
  • Kontrolle des Sicherungsvorgangs

Verfügbarkeitskontrolle: Es soll gewährleistet werden, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Beispiele für Maßnahmen wären hier:

  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Brandschutzeinrichtungen (Feuerlöscher, Rauch- oder Brandmelder), Rauchverbot, Wasserschutzeinrichtungen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • Spiegeln von Festplatten
  • Virenschutz / Firewall
  • Erstellen eines Notfallplans

Eingabekontrolle: Es soll gewährleistet werden, dass auch nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Beispiele für Maßnahmen wären hier:

  • Protokollierungs- und Protokollauswertungssysteme
  • Dokumentation der Eingabeverfahren

Auftragskontrolle: Es soll gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Beispiele für Maßnahmen wären hier:

  • Sorgfältige Auswahl des Auftragnehmers
  • Eindeutige Vertragsgestaltung
  • Abgrenzung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer
  • Festlegung der durchzuführenden Kontrollmaßnahmen
  • Kontrolle der bei dem Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen

Trennungskontrolle: Es soll gewährleistet werden, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden. Beispiele für Maßnahmen wären hier:

  • Regelungen / Maßnahmen zur Sicherstellung der getrennten Speicherung, z. B. getrennte DV-Systeme für unterschiedliche Verarbeitungszwecke
  • Interne Mandantenfähigkeit / Zweckbindung
  • Funktionstrennung (Produktion und Test)

Und das war nur ein Auszug wichtiger Aspekte. Wenn Sie Fragen haben oder Unterstützung benötigen, sprechen Sie uns gerne an.

zurück