Der Datenschutzhinweis wurde auf der Webseite veröffentlicht, die Cookie Einwilligung wurde aktiviert und der Hinweis zur Einwilligung ist auch unter jedem Formular sichtbar platziert. Super, DSGVO umgesetzt, Datenschutz ist gewährleistet.

So oder so ähnlich sieht es bei vielen kleinen, mittelständischen und auch bei vielen großen Unternehmungen aus. Die Datenschutzpflicht wurde getan, vergessen wir die Datenschutz Kür. Aber eben auf diese kommt es an und genau diese Datenschutzkür bereitet vielen Unternehmen enorme Schwierigkeiten und gemäß dem Motto wo kein Kläger, dort kein Richter hofft man das Beste und mogelt sich so durch.

DSGVO KÜR ODER DOCH NUR EINFACH DIE PFLICHT

Bleiben wir beim Datenschutzhinweis denn ja jeder irgendwie auf der eigenen Webseite publiziert hat. Auch hier gibt es Unterschiede. Der eine kopiert den Datenschutz von einer Mitbewerber Webseite und der andere nutzt einen Datenschutz Konfigurator. Die wenigsten beherrschen auch hier die Kür, die Erstellung der Datenschutzerklärung anhand einer Ist/Soll und ist machbar Analyse. Würde jeder die Kür schon hier ausführen, dann würde man mit der Ist/Soll und machbar Analyse schnell an seine Grenzen stoßen.

Aber fangen wir einfach mal an, mir der Datenschutz Erklärung und dem machbaren. Der Wesentliche Punkt der Datenschutzerklärung liegt in den Betroffenenrechten begründet. Jeder hat diese in der korrekten oder halbwegs korrekten Ausführung auf der eigenen Webseite in der Datenschutzerklärung beschrieben. Aber was meine ich schon wieder mit halbwegs. Man mag es nicht glauben aber die DSGVO ist keine einmalige Angelegenheit. Auch diese Verordnung üasst sich den Gegebenheiten an und so kann es passieren dass die Betroffenrechte um den einen oder anderen Punkt erweitert wurden aber nur die wenigsten Resonanz von den Änderungen nehmen.

Die Betroffenenrechte der DSGVO kurz erklärt

Die Betroffenenrechte finden sich im Kapitel 3 der DSGVO.Schauen wir uns nun den hierzu untergeordneten Artikel 20 DSGVO an.

Artikel 20 DSGVO bedeutet

Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Finden Sie dieses Recht in Ihrem Datenschutzhinweis? Wenn ja, alles richtig gemacht, wenn nein dann könnte man dieses Recht durchaus noch erwähnen.

Ob nun die Umsetzung der DSGVO als Pflicht oder Kür Veranstaltung betrachtet werden darf, kann man dann sehr schnell erkennen, wenn man sich den Artikel 15 DSGVO anschaut, Hier geht es um das Recht auf Auskunft,
Artikel 15 DSGVO bedeutet

Artikel 15 besagt, dass jede betroffene Person das Recht auf eine Bestätigung hat, ob Daten gespeichert und verarbeitet werden. Wenn dies bejaht wird, steht der Person das Recht auf detaillierte Informationen zu.

Fassen wir zusammen. Jede Person hat in der DSGVO Rechte eingeräumt bekommen und jeder Verantwortliche hat die Pflicht diesen Rechten zu entsprechen.

Machen wir es mal beispielhaft. Sie haben eine Webseite und eine betroffene Person wollte von Ihnen Preisinformationen einholen. Um immer aktuell zu bleiben hat diese Person auch noch die Einwilligung zum Newsletter Versand erteilt.
Nach einigen Monaten macht die Person Gebrauch von Artikel 15 DSGVO und erbittet das Recht zur Auskunft mit dem folgenden Schreiben:

Beispiel einer Berechtigten-Anfrage

Sehr geehrte Frau X, Sehr geehrter Herr Y,

ich schreibe Ihnen in Ihrer Eigenschaft als Datenschutzbeauftragte / Datenschutzverantwortliche für Ihr Unternehmen. Als Kunde von Ihnen bitte ich um Zugang zu meinen personenbezogenen Daten gemäß Art. 15 der Datenschutz-Grundverordnung.

Ich möchte, dass Sie von vornherein wissen, dass ich, gemäß Art. 12 der DSGVO, eine Beantwortung meiner Anfrage innerhalb eines Monats erwarte, andernfalls werde ich diese Anfrage mit einer Beschwerde an weiterleiten.

Bitte informieren Sie mich über folgende Punkte:

1. Bitte bestätigen Sie mir, ob meine persönlichen Daten verarbeitet werden oder nicht. Wenn dies der Fall ist, teilen Sie mir bitte die Kategorien der persönlichen Daten mit, die Sie über mich in Ihren Dateien und Datenbanken haben.

a) Bitte sagen Sie mir insbesondere, was genau Sie in Ihren Informationssystemen über mich wissen, ob diese Daten sich in Datenbanken befinden oder nicht — einschließlich E-Mails, Dokumenten, Audio-Dateien oder in Medien-Formaten, die Sie verwenden.

b) Bitte teilen Sie mir außerdem mit, in welchen Ländern meine persönlichen Daten gespeichert sind oder von wo aus Sie darauf zugreifen können. Wenn Sie Cloud-Dienste zum Speichern oder Verarbeiten meiner Daten nutzen, geben Sie bitte die Länder an, in denen sich die Server befinden und wo meine Daten gespeichert sind oder waren (in den letzten 12 Monaten).

c) Bitte stellen Sie mir eine Kopie von oder Zugang zu meinen persönlichen Daten zur Verfügung, die Sie haben oder bearbeiten.

2. Bitte geben Sie mir einen detaillierten Bericht über die spezifischen Verwendungen, die Sie mit meinen persönlichen Daten gemacht haben, machen oder machen werden.

3. Bitte geben Sie eine Liste aller Dritten an, mit denen Sie meine persönlichen Daten teilen, geteilt haben oder geteilt haben könnten.

a) Wenn Sie die spezifischen Dritten, denen Sie meine persönlichen Daten mitgeteilt haben, nicht mit Sicherheit identifizieren können, geben Sie bitte eine Liste von Dritten an, denen Sie möglicherweise meine persönlichen Daten mitgeteilt haben.

b) Bitte geben Sie auch an, aufgrund welcher Rechtsgrundlage, wie oben in 1b) beschrieben, diese dritten Parteien, mit denen Sie meine persönlichen Daten geteilt oder geteilt haben könnten, auf meine persönlichen Daten zugreifen oder diese speichern konnten. Bitte geben Sie auch einen Einblick in die rechtliche Grundlage für die Übermittlung meiner persönlichen Daten an diese Rechtsordnungen. Bitte informieren Sie mich, ob Sie dies auf der Grundlage geeigneter Sicherheitsvorkehrungen getan haben oder tun, und legen Sie bitte eine Kopie dieser bei.

c) Darüber hinaus würde ich gerne wissen, welche Sicherheitsvorkehrungen in Bezug auf diese Dritten getroffen wurden, die Sie in Bezug auf die Übermittlung meiner persönlichen Daten identifiziert haben.

4. Bitte geben Sie an, wie lange Sie meine persönlichen Daten speichern. Wenn die Speicherung auf der Kategorie personenbezogener Daten basiert, geben Sie bitte an, wie lange die einzelnen Kategorien aufbewahrt werden.

5. Wenn Sie zusätzlich personenbezogene Daten über mich von einer anderen Quelle als mir erheben, stellen Sie mir bitte alle Informationen über diese Quelle gemäß Art. 14 der DSGVO zur Verfügung.

6. Wenn Sie automatisierte Entscheidungen über mich treffen, einschließlich Profilerstellung, ob auf der Grundlage von Art. 22 der Datenschutz-Grundverordnung oder nicht, geben Sie mir bitte Informationen über die Grundlagen für die Logik solcher automatisierter Entscheidungen und die Bedeutung und Konsequenzen von solcher Verarbeitung.

7. Ich würde gerne wissen, ob meine persönlichen Daten in der Vergangenheit versehentlich von Ihrem Unternehmen oder aufgrund einer Sicherheits- oder Datenschutzverletzung offengelegt wurden.

a) Wenn ja, bitte informieren Sie mich über die folgenden Details jedes einzelnen Verstoßes:

i. eine allgemeine Beschreibung dessen, was passiert ist;

ii. Datum und Uhrzeit des Verstoßes (oder die bestmögliche Schätzung);

iii. das Datum und die Uhrzeit, zu der der Verstoß entdeckt wurde;

iv. die Quelle des Verstoßes (entweder Ihre eigene Organisation oder ein Dritter, dem Sie meine persönlichen Daten übermittelt haben);

v. Details meiner persönlichen Daten, die veröffentlicht wurden;

vi. die Einschätzung Ihres Unternehmens bezüglich des Risikos eines Schadens für mich als Folge des Verstoßes;

vii. eine Beschreibung der getroffenen oder geplanten Maßnahmen, um weiteren unbefugten Zugriff auf meine persönlichen Daten zu verhindern;

viii. Kontaktinformationen, damit ich mehr Informationen und Unterstützung in Bezug auf einen solchen Verstoß erhalten kann, und

ix. Informationen und Ratschläge darüber, was ich tun kann, um mich vor Schäden zu schützen, einschließlich Identitätsdiebstahl und Betrug.

b) Wenn Sie nicht mit Sicherheit sagen können, ob ein solcher Verstoß stattgefunden hat, geben Sie bitte an, welche mildernden Maßnahmen Sie unter Verwendung geeigneter Technologien ergriffen haben, wie z.B.

i. Verschlüsselung meiner persönlichen Daten;

ii. Datenminimierungs-Strategien;

iii. Anonymisierung oder Pseudonymisierung;

iv. irgendwelche anderen Mittel

8. Ich würde gerne Ihre Informationspolitik und -standards kennen, die Sie in Bezug auf den Schutz meiner persönlichen Daten befolgen, z.B. ob Sie ISO27001 zur Informationssicherheit einhalten, und insbesondere Ihre Praktiken in Bezug auf Folgendes:

a) Bitte teilen Sie mir mit, ob Sie meine persönlichen Daten auf Band, Diskette oder anderen Medien gesichert haben und wo sie gespeichert sind und wie sie gesichert sind, einschließlich der Schritte, die Sie unternommen haben, um meine persönlichen Daten vor Verlust oder Diebstahl zu schützen, und ob diese Schritte Verschlüsselung mit einschließen.

b) Bitte geben Sie auch an, ob Sie über eine Technologie verfügen, mit der Sie mit hinreichender Sicherheit wissen können, ob meine persönlichen Daten offengelegt wurden, einschließlich, aber nicht beschränkt auf:

i. Einbruchs-Erkennungssystem;

ii. Firewall-Technologien;

iii. Zugangs- und Identitätsmanagement-Technologien;

iv. Datenbankprüfungs- und / oder Sicherheitstools;

v. Verhaltensanalyse-Tools, Log-Analyse-Tools oder Audit-Tools;

9. In Bezug auf Mitarbeiter und Auftragnehmer, informieren Sie mich bitte über Folgendes:

a) Mit welchen Technologien oder Prozessen Sie sicherstellen, dass Personen innerhalb Ihrer Organisation überwacht werden, um sicherzustellen, dass sie nicht absichtlich oder unabsichtlich personenbezogene Daten außerhalb Ihres Unternehmens per E-Mail, Webmail, Instant Messaging oder auf andere Weise weitergeben.

b) Hatten Sie in den letzten zwölf Monaten Situationen, in denen Mitarbeiter oder Auftragnehmer entlassen wurden und / oder strafrechtlich belangt wurden, weil Sie auf meine persönlichen Daten oder, wenn Sie dies nicht genau feststellen können, auf Kundendaten unangemessen zugegriffen haben.

c) Bitte geben Sie an, welche Schulungs- und Sensibilisierungs-Maßnahmen Sie ergriffen haben, um sicherzustellen, dass Mitarbeiter und Auftragnehmer in Übereinstimmung mit der Datenschutz-Grundverordnung auf meine persönlichen Daten zugreifen und diese verarbeiten.

Datenschutz Management Starter

Der große Helfer für kleine Unternehmungen und StartUps. Die komplette Datenschutz Umsetzung perfekt organisiert und dokumentiert, inklusive vieler Vorlagen

Nur € 2, 99 inkl. MwSt. pro Monat

Datenschutz Management Plus

Alles was der Datenschutz in einem mittelständischen Unternehmen erfordert. Übernehmen Sie Ihren Datenschutz und profitieren Sie von zahlreichen Mustervorlagen

Nur € 25, 00 inkl. MwSt. pro Monat

Wow, diese Anfrage hat es wirklich in sich und jetzt liegt es an Ihnen diese lückenlos zu beantworten. Wer die Kür vorgelegt hat, wird sich damit nicht sonderlich schwer tun, wer aber nur die Pflicht als Schwerpunkt seiner DSGVO Umsetzungen betrachtet hat, der wird nun vor einem riesengroßen Problem stehen. Er wird 90% der gestellten Fragen nicht beantworten können und mit viel Glück als Beschwerde bei seiner zuständigen Aufsichtsbehörde enden.

Wie setze ich die Kür in der DSGVO nun um?

Ganz einfach, denn es bieten sich hier viele Möglichkeiten an.

    • Man setzt sich mit seinem Datenschutz intern wie online auseinander und sieht das DSGVO Gesetz als notwendige Unternehmenslektüre
    • Man beauftragt einen externen Datenschutzbeauftragten mit der Umsetzung
    • oder man lässt alles so wie es ist und hofft darauf von einem DSGVO Bussgeld verschont zu werden.

Die erste Möglichkeit kostet Zeit bringt aber auch tolles Gefühl und einen perfekten Mehrwert. Die zweite Möglichkeit kostet Geld aber man hat Zeit für andere Dinge. Die dritte Möglichkeit generiert nur Ärger, Frust, schadet dem Ruf und wird mit Sicherheit auch wieder Geld kosten. Angenommen Sie haben sich für Möglichkeit 1 entschieden und möchten die DSGVO in eigener Regie umsetzen. Dann sollten Sie hierzu folgendes beachten und beherzigen:

1. Das Verzeichnis der technischen und organisatorischen Maßnahmen

Als Basis für den online und offline basierenden Datenschutz in Ihrer Unternehmung darf das Verzeichnis der technischen und organisatorischen Maßnahmen (kurz TOM genannt) betrachtet werden. In den TOM wird alles berücksichtigt, was den Umgang mit den Ihnen anvertrauten persönlichen Daten sicher macht. Was genau damit gemeint ist, das kann im Artikel 32 DSGVO – Sicherheit der Verarbeitung – nachgelesen werden.

Kür Umsetzung 1: Erstellen der Dokumentation der technischen und organisatorischen Maßnahmen

2. Verarbeitungsverzeichnisse zu den entsprechenden Anwendungen

Jedes Unternehmen setzt ein Vielzahl von Anwendungen und Tools ein um den täglichen Geschäftsbetrieb aufrecht erhalten zu können. Die von uns erlangten und zur Verarbeitung stehenden personenbezogenen Daten werden in zahlreichen Anwendungen verarbeitet. Somit kann die Anzahl der zu verfassenden Verarbeitungsverzeichnisse durchaus sehr umfangreich werden.

Hier einige Beispiele für Verarbeitungsverzeichnisse

  • Verarbeitungsverzeichnis für die Webseite
  • Verarbeitungsverzeichnis für das Bewerbermanagement
  • Verarbeitungsverzeichnis für Online Marketing
  • Verarbeitungsverzeichnis für Newsletter
  • Verarbeitungsverzeichnis für Cloud Dienste
  • Verarbeitungsverzeichnis für Post / Marketing
  • Verarbeitungsverzeichnis für Finanzbuchhaltung
  • Verarbeitungsverzeichnis für Arbeitszeiterfassung
  • Verarbeitungsverzeichnis für Bonität und Scoring Verfahren
  • Verarbeitungsverzeichnis für Video und Schulungsplattformen

und viele weitere Möglichkeiten

Kür Umsetzung 2: Erstellen der notwendigen Verarbeitungsverzeichnisse

3. Vertragsmanagement : Vertrag zur Auftragsdatenverarbeitung

Sehr häufig ist es so, dass externe Dritte mit den von Ihnen verarbeiteten Daten in Berührung kommen. Schon bei der Auswahl Ihres Webproviders haben wir es mit einem Auftragsdatenverarbeiter zu tun. Setzten Sie für Ihr Bewerbermanagement eine Lösung eines externen Dienstleisters ein, ist auch hier ein ADV Vertrag notwendig. Kurzum: Alle Anwendungen die von Dritten administriert, betreut oder verwaltet werden, haben einen ADV Vertrag bereit zustellen.

Ebenso wird das ADV Prozedere notwendig wenn Sie z.B. als Handwerksbetrieb einen Sub-Unternehmer beauftragen ein Kundenprojekt für Sie auszuführen, oder ein externer IT Dienstleister Ihre Server und PC betreut. Immer wenn Dritte Zugriff und Zugang zu Ihren Daten haben muss ein ADV Vertrag vorhanden sein. Selbst ich als externer Datenschutzbeauftragter stelle meinen Kunden logischerweise einen ADV Vertrag zur Verfügung. Alles zum Thema Auftragsdatenvereinbarung kann im DSGVO Gesetz nachgelesen werden.

Kür Umsetzung 3: Auftragsdatenverarbeitung

4. Vertragsmanagement : Vertrag zur gemeinsamen Verantwortlichkeit

Kennen die wenigsten und ist auch relativ unbekannt obwohl jede Unternehmung mindestens einen Vertrag zur gemeinsamen Verantwortlichkeit vorliegen haben müsste. Und zwar dann, wenn die Unternehmung eine eigene Facebook Unternehmensseite betreibt. Ist dieses der Fall, dann liegt eine gemeinsame Verantwortlichkeit vor, die wie folgt erklärt werden kann:
Der User XY ist Facebook Nutzer. Die Daten liegen aktuell in der Verantwortung von Facebook. Nun besucht der User XY Ihre Unternehmensseite und hinterlässt dort ein “Gefällt mir”. Nun ist der User nicht nur Facebook bekannt, sondern auch Ihnen und somit liegt nun eine gemeinsame Verantwortlichkeit vor. Andere Beispiele wären dann u.a. auch Portale wie myHammer, Linkedin und so weiter. Was genau damit gemeint ist verrät uns natürlich auch die DSGVO und zwar nachzulesen unter Artikel 26 – Gemeinsame Verantwortliche,

Kür: Umsetzung 4 Gemeinsame Verantwortliche

5. Lösch – und Berechtigungskonzept

Jetzt wird es richtig heikel! Viele Unternehmen mit denen ich in Sachen Datenschutz zusammenarbeiten konnte und durfte, hatten weder ein Berechtigungs -noch ein Löschkonzept vorliegen. Diese zwei Konzepte sind eigentlich recht einfach schon von Ihrer Bezeichnung her einzuordnen.
a. Das Löschkonzept
Das Löschkonzept kann für einen Unternehmensbereich z.B. Personalabteilung individuell erstellt werden oder alle Unternehmensbereiche in einem Konzept berücksichtigen. Wie auch bei der Thematik Verarbeitungsverzeichnis kann ein Löschkonzept sehr umfangreich sein und viele Unternehmensbereiche beinhalten. Mittels Löschkonzept wird genau definiert wann, welche Daten von wem und wie gelöscht, anonymisiert oder pseudonymisiert werden.
Was genau die Thematik der Löschung von Daten betrifft, kann im Artikel 17 DSGVO nachgelesen werden.
Hinweis: In meinem Online Download Shop stehen einige Löschkonzepte für interessierte Kunden bereit.

b. Das Berechtigungskonzept
Mittels einem Berechtigungskonzept wird dokumentiert, wer, wann, zu welchen Daten Zugang und Zutritt erhält. Nur in diesem Dokument gelistete Mitarbeiter sind demnach zur Verarbeitung der Daten berechtigt. Wie auch das Löschkonzept kann je nach Unternehmensgröße ein sehr umfangreiches Dokument entstehen, welches natürlich aber auch auf bestimmte Unternehmensbereiche einzeln verfasst werden kann.
Hinweis: In meinem Online Download Shop steht ein Berechtigungskonzept für interessierte Kunden bereit.
Kür: Umsetzung 5 Lösch – und Berechtigungskonzept

An dieser Stelle endet der Blogbeitrag vorläufig, wobei wir aber noch lange nicht am Ende sind. Noch viele weitere Punkte machen den Unterschied zwischen DSGVO Kür und DSGVO Pflicht aus. Aber jetzt mal ehrlich, was meinen Sie? Gehört Ihr Datenschutz in die Kategorie Kür oder in die Pflichtveranstaltung?

Wie kann man die DSGVO nun doch für die Kür fit machen?

Es ist bekanntlich noch kein Meister vom Himmel gefallen. Ich für meinen Teil empfehle für die Arbeit mit der DSGVO eine entsprechende Datenschutz Management Software Lösung einzusetzen. Dort sind schon viele wesentliche Bausteine modular vorbereitet und die Organisation der kompletten DSGVO Struktur wird sichergestellt. Weiterhin müssen Sie bei der korrekten Umsetzung keine Angst vor Betroffenenanfragen mehr haben, denn die Software erstellt Ihre
Antwort völlig automatisiert auf Knopfdruck. Als besonderes Highlight stehen zahlreiche Konzepte und Mustervorlagen kostenlos zur Verfügung.

DSGVO Management Software für nur 2,99 pro Monat

Wenn Sie nun mit der Kür überzeugen wollen dann schauen Sie sich einfach mal die Funktionen meiner DSGVO Management Software an und wenn Sie Lust auf mehr DSGVO haben, dann lassen Sie es mich wissen.

Datenschutz Management Starter

Der große Helfer für kleine Unternehmungen und StartUps. Die komplette Datenschutz Umsetzung perfekt organisiert und dokumentiert, inklusive vieler Vorlagen

Nur € 2, 99 inkl. MwSt. pro Monat

Datenschutz Pflicht oder Kür?

Welche Disziplin beherrscht Ihr interner Datenschutz. Sind Sie eher Pflicht orientiert oder beherrschen Sie die Datenschutz Kür?

Mit unserer innovativen Datenschutz Management Software gehören Sie schnell und sehr gekonnt zu den Datenschutz Kür Spezialisten, denn mit meiner DMS Applikation haben Sie Ihren Datenschutz komplett im Griff.

Datenschutz Management Plus

Alles was der Datenschutz in einem mittelständischen Unternehmen erfordert. Übernehmen Sie Ihren Datenschutz und profitieren Sie von zahlreichen Mustervorlagen

Nur € 25, 00 inkl. MwSt. pro Monat

Konzepte aus meinem DSGVO Download Shop

No products found which match your selection.

Wie kann ich Ihnen helfen?

Datenschutz, Compliance, Digitalisierung, das sind die Themen die mich umtreiben. Und was beschäftigt Sie? Welches Bedürfnisse an Unternehmenssicherheit beschäftigen aktuell Sie? Unabhängig was dieses auch sein mag, ich stehe Ihnen jederzeit gerne mit Rat und Tat zur Seite und das mit sehr viel Leidenschaft.

Scheuen Sie nicht Kontakt mit mir aufzunehmen und lassen Sie uns unverbindlich über Ihre Vorhaben und Vorstellungen sprechen.