Datenschutz

Datenschutz schützt nicht die Daten, sondern die Person, der die Daten gehören!

Schwerpunkte

Datenschutz schützt die Privatsphäre, verhindert missbräuchliche Datenverarbeitung und sichert das Recht zur informellen Selbstbestimmung. Hinter diesem einfachen Satz verbergen sich eine Unmenge an Gesetzen und Verordnungen, an technischen Herausforderungen und organisatorischen Umsetzungen. Und nicht jede Zeile eines Gesetzes trifft auf ein Unternehmen oder eine ganze Branche zu. Manche Verordnungen und Vorschriften scheinen sich auch gegenseitig zu widersprechen. Gerade in einem so sensiblen Umfeld wie dem Datenschutz, ist es meistens besser, eine zweite Meinung einzuholen, als in Gefahr zu laufen, etwas zu Übersehen. Dank ihrer umfangreichen Projekterfahrung in den unterschiedlichsten Branchen, finden unsere Berater schnell die passende Lösung für ihr Unternehmen.



Die seit dem 25. Mai 2018 rechtsgültige Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht geregelt werden. Dadurch soll zum einen der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, zum anderen auch der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Verbot mit Erlaubnisvorbehalt

Die DSGVO ist nach dem Regel-Ausnahme-Prinzip definiert. Demnach sind jedwedes Erheben und Verarbeiten von personenbezogenen Daten grundsätzlich verboten (Regel). Es sei denn, ein Gesetzt oder die Einwilligung der betroffenen Person rechtfertigen (Ausnahme) die Erhebung und Verarbeitung.

Grundanforderung „Rechenschaftspflicht“

Die DSGVO verschärft die Rechenschaftspflicht des Verantwortlichen dafür, dass die Regelungen der Verordnung im Unternehmen eingehalten werden. D.h. das Unternehmen muss den Nachweis erbringen, dass es die Anforderungen umgesetzt hat. Dazu zählt auch der Nachweis der hierfür angewendeten Maßnahmen. Somit wird der Datenschutz zu einer kontinuierlichen Verpflichtung zur Überwachung und Verbesserung von Maßnahmen zur Einhaltung der Grundsätze.

Grundsätze des Datenschutzes

Die Grundsätze nach Art. 5 Abs 1 DSGVO stellen die Grundregeln für die Verarbeitung von personenbezogenen Daten dar.

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Der erste Grundsatz vereint gleich drei Gebote, die sich gegenseitig bedingen. Zum einen das Gebot der Rechtmäßigkeit. Demnach darf eine Verarbeitung von personenbezogenen Daten nur auf Gesetzesgrundlage oder Einwilligung der betroffenen Person erfolgen. Der Begriff „Treu und Glaube“ (in der englischen Fassung „Fairness“) steht für eine faire Erhebung und Verarbeitung der Daten. Damit ist gemeint, dass Daten primär direkt beim Betroffenen erhoben (Direkterhebung) werden sollen und dass bei der anschließenden Verarbeitung Rücksicht auf die Rechte und Interessen der jeweiligen Person genommen wird. Die Transparenzpflicht komplettiert den ersten Grundsatz. Hält man sich an die beiden ersten Gebote, dann erfolgt eine Verarbeitung stets transparent und nachvollziehbar für den Betroffenen.
  • Zweckbindung
    Nur wenn ein eindeutiger und legitimer Zweck im Vorfeld festgelegt wurde, dürfen hierfür personenbezogenen Daten erhoben und verarbeitet werden. Dieser Zweck muss klar und vor allem explizit formuliert sein, um die Verarbeitung für alle außenstehenden Personen nachvollziehbar zu machen (Transparenz). Zudem dient er als Prüfmaßstab für Betroffene und Behörden, sowie für das Unternehmen selbst.
  • Datenminimierung
    Der Grundgedanke bei Datenminimierung oder auch Datensparsamkeit besteht darin, dass nur so viele personenbezogene Daten verarbeitet werden wie für den Zweck der Erhebung und Verarbeitung angemessen und relevant sind. Es gilt: „So wenig wie möglich, so viel wie nötig!“
  • Richtigkeit der Daten
    Personenbezogene Daten können sich mit der Zeit ändern. Nicht nur aus Sicht des Betroffenen ist eine Verarbeitung korrekter und aktueller Daten von großer Bedeutung. Mit dem Grundsatz der Richtigkeit hat der Verantwortliche selbst dafür Sorge zu tragen, dass die personenbezogenen Daten, die er verarbeitet, sachlich richtig und vollständig sind. Das betrifft nicht nur die klassischen Adress- oder Mitarbeiterdaten, sondern auch Daten wie z.B. Zutritts- und Zugangsberechtigungen von Personen. Gerade hier muss regelmäßig geprüft und entsprechend korrigiert werden.
  • Speicherbegrenzung
    Der Grundsatz der Speicherbegrenzung wurde in der DSGVO gleich an mehreren Stellen verankert. Zum einen ist er wie die Datenminimierung an den Grundsatz der Zweckbindung gekoppelt. Das bedeutet, dass personenbezogenen Daten nur so lange gespeichert werden dürfen, wie es der im Vorfeld festgelegte Zweck zulässt. Entfällt der Zweck, dürfen die Daten nicht länger gespeichert werden. Des Weiteren findet sich die Pflicht der Speicherbegrenzung auch im Rahmen der Informationspflichten oder des Auskunftsanspruchs des Betroffenen wieder. Hier muss der Verantwortliche Auskunft über die Dauer der Datenspeicherung oder zumindest über die Kriterien für die Festlegung der Speicherdauer geben.
  • Integrität und Vertraulichkeit
    Der Grundsatz von Integrität und Vertraulichkeit ist sehr weitgreifenden und komplex. Er verlangt eine Kombination aus Datenschutz und Informationssicherheit. Im ersten Schritt geht es um das richtige Einschätzen von Risiken der Datenverarbeitung. Es muss gewährleistet sein, dass die personenbezogenen Daten vor unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung (Integrität) bewahrt werden. Um das geforderte angemessene Schutzniveaus für die jeweiligen Daten zu erreichen, geht es im zweiten Schritt darum geeignete technischen und organisatorischen Maßnahmen (TOMs) nach Stand der Technik zu implementieren.

Grundsätze sind da, um eingehalten zu werden!

Damit die oben genannten Grundsätze von den Verantwortlichen nicht auf die leichte Schulter genommen werden, hat die EU-Kommission das Bußgeld bei Datenschutzverstößen drastisch erhöht. Demnach können Verstöße gegen die Grundsätze mit bis zu 20 Mio. Euro bzw. 4% des globalen Jahresumsatzes geahndet werden.

Keine Lust auf Sanktionen?

Unsere Berater helfen Ihnen gerne die Grundsätze des Datenschutzes in Ihrem Unternehmen richtig umzusetzen und den Datenschutz ganzheitlich in Ihre Geschäftsprozesse zu implementieren.

Wir sind für Sie da!

Jetzt anfragen

Grundlage für den gelebten Datenschutz ist der Aufbau eines Datenschutzmanagementsystems. Dadurch wird sichergestellt, dass die Vorgaben und Gesetze eingehalten und umgesetzt werden. Die technischen und organisatorischen Maßnahmen werden in einem solchen System kontinuierlich überwacht und für die Behörden überprüfbar dokumentiert. Das System ist aber nur ein Baustein im Gesamtbauwerk. Die Prozesse und Verfahren müssen in Ihrer Infrastruktur implementiert und verankert werden. Bei der Umsetzung der Verfahren geht es meist nicht um die Einführung ganz neuer Systeme und Technologien. Oft reicht ein Abgleich und etwas „fine-tuning“.

Datenschutzziele

Der Grundstein der Datenschutzorganisation wird durch das Festlegen von Datenschutzzielen und der Zuweisung der entsprechenden Verantwortlichkeiten gesetzt. Die Ziele orientieren sich dabei am Sinngehalt der Datenschutzgesetze und sollten neben anderen Bereichszielen ein Teil der Unternehmensziele darstellen. Nur so besteht die Möglichkeit Datenschutz im Unternehmen zu verankern und zu leben. Sie dienen zudem als Grundlage für die Datenschutzleitlinie und die daraus abgeleiteten Datenschutzprozesse.

Datenschutzleitlinie

Mit der Datenschutzleitlinie geht das Unternehmen eine Selbstverpflichtung zur Umsetzung des Datenschutzes ein. So bekräftigt die Geschäftsführung ihr Bekenntnis (Commitment) zum Datenschutz, sowohl gegenüber Behörden (Rechenschaftspflicht) als auch gegenüber ihren Mitarbeitern. Sie gibt den strategischen Rahmen vor, anhand derer sich auf das Unternehmen abgestimmte Datenschutzprozesse und -verfahren entwickelt lassen.

Datenschutzprozesse

Ein Prozess wird stets durch ein definiertes Ereignis ausgelöst. In Hinblick auf den Datenschutz gibt es eine Vielzahl an Ereignissen, die einen Datenschutzprozess auslösen können. Trotz der vielen Ereignismöglichkeiten lassen sich die dadurch angestoßenen Prozesse leicht auf 3 Kernprozesse reduzieren:

  • Datenschutzkonforme Datenverarbeitung
  • Sicherstellung der Betroffenenrechte
  • Handhabung von Datenschutzverletzungen

Die Prozesse wiederum beinhalten die jeweiligen Verfahren, zugeschnitten auf das definierte Ereignis.
Datenschutzkernprozesse

Der Datenschutz läuft noch nicht ganz rund?

Gerne helfen wir Ihnen gemeinsam Ihre Datenschutzziele zu definieren und durch Prozessbeschreibungen und Verfahrensanweisungen den Datenschutz in Ihrem Unternehmen zu integrieren und zu leben. Unsere Berater gehen dabei zielorientiert vor und haben Ihre wirtschaftlichen Interessen stets im Blick.

Wir sind für Sie da!

Jetzt anfragen

Durch die Datenschutzgrundverordnung und die daraus abgeleiteten Gesetze steht der Mensch nicht nur durch seine Daten im Mittelpunkt. Das Wissen der einzelnen Mitarbeiter um den Datenschutz ist weiter in den Fokus gerückt. Viele Datenschutzverletzungen sind auf mangelndes Problembewusstsein der verarbeitenden Person im Unternehmen zurückzuführen. Regelmäßige Schulungen und Sensibilisierungsmaßnahmen sind somit die einfachste und sinnvollste Maßnahme zur Reduzierung von Datenschutzrisiken. Es ergibt sich von selbst, dass der Mitarbeiter im Reisebüro oder der Heizungsmonteur nicht den gleichen Weiterbildungsstand haben muss, wie der Konzern-Vollzeitjurist. Daher ist es wichtig den richtigen Personen entsprechend ihrer Rolle ein angemessenes Datenschutzbewusstsein zu vermitteln.

Datenschutzbewusstsein

Die Schaffung eines Datenschutzbewusstseins innerhalb des Unternehmens ist leider nichts was von heute auf morgen entsteht, sondern ein andauernder und wiederkehrender Prozess. Es ist nicht immer ganz einfach alle Mitarbeiter von der Wichtigkeit der Thematik zu überzeugen. Besonders Mitarbeitern, die nicht direkt mit der Verarbeitung von personenbezogenen Daten zu tun haben, fällt es meist schwer, die eigene Rolle und Verantwortlichkeit im Datenschutz zu erkennen. Sind sowohl Sinn und Zweck des Datenschutzes als auch mögliche Folgen und Konsequenzen bei Nichteinhaltung bekannt, lassen sich Datenschutzvorschriften wesentlich einfacher umsetzen und einhalten.
Datenschutz leben

Sensibilisierung mit Konzept

Um den Anforderungen der DSGVO gerecht zu werden, müssen Schulungs- und Sensibilisierungsmaßnahmen ordentlich geplant und vor allem dokumentiert werden. Es empfiehlt sich daher vorab ein Datenschutzschulungskonzept zu entwickeln, in dem die Schulungsinhalte und Methoden festgelegt werden. Je nach Teilnehmerkreis können diese variieren, ebenso wie der Schulungsrhythmus.
Verbesserung des Datenschutzbewusstseins

Darfs noch etwas mehr sein?

Spezielle, auf Ihr Unternehmen und Ihre Mitarbeiter angepasste, ‚Erinnerungen an den Datenschutz‘ helfen, um ein Bewusstsein zu schaffen und datenschutzkonformes Verhalten zu fördern. Ob es regelmäßige Awareness-mails oder Workshops ‚on-the-job‘ sind, wir unterstützen Sie auch hier das richtige Konzept zu finden und erfolgreich umzusetzen. Und manchmal reicht eine kleine Nachricht im Team-Mailfach aus: „Hallo, ich bin gerade nicht am Platz und habe vergessen, meinen Rechner zu sperren. Der Kuchen im nächsten Teammeeting geht auf mich.“

Wir sind für Sie da!

Jetzt anfragen

Die Datenschutz-Folgeabschätzung (DSFA) untersucht vorab welches Risiko mit einem Verarbeitungsprozess einhergeht. Denn auch wenn die Verarbeitung personenbezogener Daten rechtmäßig ist entstehen Risiken für die Betroffenen. Mit der DSGVO sind die Unternehmen dazu verpflichtet zunächst selbst eine Untersuchung, Abschätzung, Bewertung und Analyse vorzunehmen, welche Risiken für die Freiheit der Person aus der eigenen Verarbeitung der personenbezogenen Daten resultieren. Wenn die Verarbeitung voraussichtlich mit einem hohen Risiko verbunden ist, wird eine Datenschutzfolgenabschätzung gefordert. Grundsätzlich sollte der Prüfprozess vor der Einführung eines neuen Datenverarbeitungsvorganges und bei größeren Änderungen bestehender Prozesse unter Einbezug des Datenschutzbeauftragen (sofern ein solcher benannt wurde) erfolgen.

Durchführung einer DSFA

Die Durchführung einer DSFA erfolgt in 4 Schritten.

  1. Systematische Beschreibung des geplanten Verarbeitungsvorganges und des dazugehörigen Verarbeitungszweckes
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeit in Bezug auf den Zweck
  3. Bewertung der möglichen Risiken für die betroffene Person
  4. Beschreibung der geplanten Abhilfemaßnahmen, durch die der Schutz der personenbezogenen Daten sichergestellt werden sollen und somit die Risiken der Rechte und Freiheiten der betroffenen Person bewältigen.

In jedem Fall ist die Durchführung schriftlich zu dokumentiert. Sie dient als Nachweis für die Behörden und ist Teil der Rechenschaftspflicht. Sollte bei der Bewertung festgestellt werden, dass der Verarbeitungsvorgang kein hohes Risiko mit sich bringt, dann ist eine DSFA nicht zwingend erforderlich. Und auch diese Entscheidung über die Nichtdurchführung muss schriftlich dokumentiert werden.

Meldepflicht

Hat sich bei der Durchführung der DSFA herausgestellt, dass die Datenverarbeitung mit einem hohen Datenschutzrisiko verbunden ist, dann gilt nach DSGVO die Meldepflicht. Denn Datenschutzrechtlich riskante Verarbeitungsverfahren müssen, noch bevor sie in Betrieb genommen werden, vorab bei der zuständigen Aufsichtsbehörde gemeldet werden.

Vier Augen sehen besser!

Gerne helfen wir gemeinsam mit Ihnen Ihre Verarbeitungsprozesse zu durchleuchten um mögliche resultierende Risiken zu identifizieren und richtig zu bewerten. Sollten Sie bereits Datenschutz-Folgenabschätzungen durchgeführt haben, sind sich aber noch unsicher, dann gehen wir diese gerne noch einmal mit Ihnen durch.

Wir sind für Sie da!

Jetzt anfragen

Mit der EU-DSGVO und dem BDSGneu kamen zahlreiche Neuerungen auf uns zu und führen bis heute sowohl auf Seiten der datenverarbeitenden Unternehmen als auch auf Seiten der von der Datenverarbeitung betroffenen Person zu Unsicherheit. Um sicherzustellen, dass der eigene Umgang mit personenbezogenen Daten den neuen gesetzlichen Standards entspricht, bietet es sich für Unternehmen an, sich einem Datenschutzaudit zu unterziehen. Das kann für einen bestimmten Prozess, ein Verfahren, für ein bestimmtes Produkt oder System durchgeführt werden. Bei Bedarf können die Ergebnisse für alle Betroffenen veröffentlicht werden, um dadurch Transparenz und Vertrauen für Mitarbeiter, Kunden und Geschäftspartnern zu schaffen.

Was ist ein Datenschutzaudit?

Ein Datenschutzaudit ist eine systematische, unabhängige und dokumentiere Beurteilung des bestehenden Datenschutzniveaus eines Unternehmens. Dabei geht es in erster Linie um die Überprüfung der Angemessenheit und Wirksamkeit der technischen und organisatorischen Maßnahmen.

Audits lassen sich in zwei Kategorien aufteilen:

  1. Internes Audit
    Das Audit dient in erster Linie der Überprüfung des IST-Zustandes und ist Bestandteil des Unternehmensalltags. In den meisten Fällen wird es von den eigenen Mitarbeitern durchgeführt. Es besteht aber auch die Möglichkeit externe Berater für diese Aufgabe mit einzubeziehen. Sei es auf Grund von fehlendem bereichsspezifischem Fachwissen im jeweiligen Prüfszenario oder einfach zur Unterstützung des Auditteams.
  2. Externes Audit
    Im Gegensatz zu einem Internen Audit wird das Externe Audit im Auftrag des Managements an Personen außerhalb der Organisation vergeben. Diese Art von Audits finden meist innerhalb einer Kunden-Lieferanten-Beziehung oder zur Zertifizierung durch eine Behörde statt.

Wie wird ein Datenschutzaudit durchgeführt?

Das Datenschutzaudit wird in 3 Schritten durchgeführt:

  1. Vorbereitung
    Bevor ein Audit durchgeführt werden kann, müssen die Rahmenbedingungen des Audits festgesteckt werden. Sobald der zu prüfende Bereich, die Auditziele und der Zeitumfang definiert wurden, können die speziell auf das Prüfszenario abgestimmten Audit-Checklisten erstellt und die Audit-Agenda festgelegt werden. Es erfolgen die ersten Einführungsgespräche mit den beteiligten Personen.
  2. Durchführung
    Die Durchführung des Audits findet anhand verschiedener Audit-Methoden statt. Das können Interviews mit Mitarbeiter sein, vor-Ort-Besichtigungen oder das Sichten von Verträgen und Dokumenten. Es werden Auditnachweise gesammelt und in der Auditcheckliste erfasst.
  3. Nachbereitung
    Nach der Auditierung werden die gesammelten Nachweise analysiert und bewertet. Es gilt zu prüfen ob ein Auditkriterium vollständig, teilweise oder gar nicht erfüllt worden ist. Bei eine ersten Abschlussgespräch werden die vorläufigen Einschätzungen sowie die wesentlichen Feststellungen und Schlussfolgerungen besprochen. Abschließend werden alle Informationen in einem Auditbericht dokumentiert und festgehalten.

Was ist das Ergebnis?

Mit dem Datenschutzaudit wurde geprüft und nachgewiesen, ob die in der Datenschutzleitlinie bekundeten Schutzziele auch tatsächlich erreicht wurden. Je nach Auditziel gilt es jetzt die im Auditbericht dokumentierten Feststellungen und Schlussfolgerungen in entsprechenden geeigneten Maßnahmen umzusetzen. Dabei kann es sich um Vorbeuge- oder Korrekturmaßnahmen handeln, um die zuvor ermittelten Datenschutzlücken zu schließen.

Sie sind unsicher, ob und zu welchem Grad sie die datenschutzrechtlichen Anforderungen erfüllen? Oder streben Sie gar ein Datenschutzaudit an?

Gerne prüfen unsere Datenschutzauditoren anhand ihrer umfangreichen Audit-Checklisten und ihrem Fachwissen gemeinsam mit Ihnen das Datenschutzniveau in Ihrem Unternehmen. Verschaffen Sie sich Sicherheit und optimieren Sie Ihre Datenschutzprozesse gemeinsam mit unseren Beratern.

Wir sind für Sie da!

Jetzt anfragen

Aus- und Weiterbildungen u.a

Datenschutzbeauftragter nach § 37 DSGVO

Datenschutzauditor DSA-TÜV

Information Security Officer (ISO / IEC 27001)

Tätigkeitsfeld

Datenschutzkoordination

Datenschutzbezogene Beratung

  • bei Neuprojekten
  • im Tagesgeschäft

Dokumentation und Konzeptionierung

Datenschutzfolgeabschätzung

Workshops

Interne Audits

Projektauszüge

Unterstützung in der DSGVO-konformen Projektkonzeptionierung im HR Bereich

Aufbau Datenschutzmanagementsystem

Analyse bestehenden Webseiten- und Webapplikationslandschaft

Erarbeitung von Umsetzungsstrategien und Prozessen bei kritischen Anwendungen

Umsetzung und Qualitätsscherung von datenschutzrechtlichen Dokumentationen

Durchführung Datenschutzfolgeabschätzungen

Anlaufstelle für datenschutzrechtliche Fragen

Workshop EU DSGVO



Erfolgsgeschichten

GDD_mitglied