Datenschutz von Anfang an richtig umsetzen

Der Datenschutzhinweis wurde auf der Webseite veröffentlicht, die Cookie Einwilligung wurde aktiviert und der Hinweis zur Einwilligung ist auch unter jedem Formular sichtbar platziert. Super, DSGVO umgesetzt, Datenschutz ist gewährleistet.

So oder so ähnlich sieht es bei vielen kleinen, mittelständischen und auch bei vielen großen Unternehmungen aus. Die Datenschutzpflicht wurde getan, vergessen wir die Datenschutz Kür. Aber eben auf diese kommt es an und genau diese Datenschutzkür bereitet vielen Unternehmen enorme Schwierigkeiten und gemäß dem Motto wo kein Kläger, dort kein Richter hofft man das Beste und mogelt sich so durch.

DSGVO KÜR ODER DOCH NUR EINFACH DIE PFLICHT

Bleiben wir beim Datenschutzhinweis denn ja jeder irgendwie auf der eigenen Webseite publiziert hat. Auch hier gibt es Unterschiede. Der eine kopiert den Datenschutz von einer Mitbewerber Webseite und der andere nutzt einen Datenschutz Konfigurator. Die wenigsten beherrschen auch hier die Kür, die Erstellung der Datenschutzerklärung anhand einer Ist/Soll und ist machbar Analyse. Würde jeder die Kür schon hier ausführen, dann würde man mit der Ist/Soll und machbar Analyse schnell an seine Grenzen stoßen.

Aber fangen wir einfach mal an, mir der Datenschutz Erklärung und dem machbaren. Der Wesentliche Punkt der Datenschutzerklärung liegt in den Betroffenenrechten begründet. Jeder hat diese in der korrekten oder halbwegs korrekten Ausführung auf der eigenen Webseite in der Datenschutzerklärung beschrieben. Aber was meine ich schon wieder mit halbwegs. Man mag es nicht glauben aber die DSGVO ist keine einmalige Angelegenheit. Auch diese Verordnung üasst sich den Gegebenheiten an und so kann es passieren dass die Betroffenrechte um den einen oder anderen Punkt erweitert wurden aber nur die wenigsten Resonanz von den Änderungen nehmen.

Die Betroffenenrechte der DSGVO kurz erklärt

Die Betroffenenrechte finden sich im Kapitel 3 der DSGVO.Schauen wir uns nun den hierzu untergeordneten Artikel 20 DSGVO an.

Artikel 20 DSGVO bedeutet

Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Finden Sie dieses Recht in Ihrem Datenschutzhinweis? Wenn ja, alles richtig gemacht, wenn nein dann könnte man dieses Recht durchaus noch erwähnen.

Ob nun die Umsetzung der DSGVO als Pflicht oder Kür Veranstaltung betrachtet werden darf, kann man dann sehr schnell erkennen, wenn man sich den Artikel 15 DSGVO anschaut, Hier geht es um das Recht auf Auskunft,
Artikel 15 DSGVO bedeutet

Artikel 15 besagt, dass jede betroffene Person das Recht auf eine Bestätigung hat, ob Daten gespeichert und verarbeitet werden. Wenn dies bejaht wird, steht der Person das Recht auf detaillierte Informationen zu.

Fassen wir zusammen. Jede Person hat in der DSGVO Rechte eingeräumt bekommen und jeder Verantwortliche hat die Pflicht diesen Rechten zu entsprechen.

Machen wir es mal beispielhaft. Sie haben eine Webseite und eine betroffene Person wollte von Ihnen Preisinformationen einholen. Um immer aktuell zu bleiben hat diese Person auch noch die Einwilligung zum Newsletter Versand erteilt.
Nach einigen Monaten macht die Person Gebrauch von Artikel 15 DSGVO und erbittet das Recht zur Auskunft mit dem folgenden Schreiben:

Beispiel Berechtigten Anfrage DSGVO

Sehr geehrte Frau X, Sehr geehrter Herr Y,

ich schreibe Ihnen in Ihrer Eigenschaft als Datenschutzbeauftragte / Datenschutzverantwortliche für Ihr Unternehmen. Als Kunde von Ihnen bitte ich um Zugang zu meinen personenbezogenen Daten gemäß Art. 15 der Datenschutz-Grundverordnung.

Ich möchte, dass Sie von vornherein wissen, dass ich, gemäß Art. 12 der DSGVO, eine Beantwortung meiner Anfrage innerhalb eines Monats erwarte, andernfalls werde ich diese Anfrage mit einer Beschwerde an weiterleiten.

Bitte informieren Sie mich über folgende Punkte:

1. Bitte bestätigen Sie mir, ob meine persönlichen Daten verarbeitet werden oder nicht. Wenn dies der Fall ist, teilen Sie mir bitte die Kategorien der persönlichen Daten mit, die Sie über mich in Ihren Dateien und Datenbanken haben.

a) Bitte sagen Sie mir insbesondere, was genau Sie in Ihren Informationssystemen über mich wissen, ob diese Daten sich in Datenbanken befinden oder nicht — einschließlich E-Mails, Dokumenten, Audio-Dateien oder in Medien-Formaten, die Sie verwenden.

b) Bitte teilen Sie mir außerdem mit, in welchen Ländern meine persönlichen Daten gespeichert sind oder von wo aus Sie darauf zugreifen können. Wenn Sie Cloud-Dienste zum Speichern oder Verarbeiten meiner Daten nutzen, geben Sie bitte die Länder an, in denen sich die Server befinden und wo meine Daten gespeichert sind oder waren (in den letzten 12 Monaten).

c) Bitte stellen Sie mir eine Kopie von oder Zugang zu meinen persönlichen Daten zur Verfügung, die Sie haben oder bearbeiten.

2. Bitte geben Sie mir einen detaillierten Bericht über die spezifischen Verwendungen, die Sie mit meinen persönlichen Daten gemacht haben, machen oder machen werden.

3. Bitte geben Sie eine Liste aller Dritten an, mit denen Sie meine persönlichen Daten teilen, geteilt haben oder geteilt haben könnten.

a) Wenn Sie die spezifischen Dritten, denen Sie meine persönlichen Daten mitgeteilt haben, nicht mit Sicherheit identifizieren können, geben Sie bitte eine Liste von Dritten an, denen Sie möglicherweise meine persönlichen Daten mitgeteilt haben.

b) Bitte geben Sie auch an, aufgrund welcher Rechtsgrundlage, wie oben in 1b) beschrieben, diese dritten Parteien, mit denen Sie meine persönlichen Daten geteilt oder geteilt haben könnten, auf meine persönlichen Daten zugreifen oder diese speichern konnten. Bitte geben Sie auch einen Einblick in die rechtliche Grundlage für die Übermittlung meiner persönlichen Daten an diese Rechtsordnungen. Bitte informieren Sie mich, ob Sie dies auf der Grundlage geeigneter Sicherheitsvorkehrungen getan haben oder tun, und legen Sie bitte eine Kopie dieser bei.

c) Darüber hinaus würde ich gerne wissen, welche Sicherheitsvorkehrungen in Bezug auf diese Dritten getroffen wurden, die Sie in Bezug auf die Übermittlung meiner persönlichen Daten identifiziert haben.

4. Bitte geben Sie an, wie lange Sie meine persönlichen Daten speichern. Wenn die Speicherung auf der Kategorie personenbezogener Daten basiert, geben Sie bitte an, wie lange die einzelnen Kategorien aufbewahrt werden.

5. Wenn Sie zusätzlich personenbezogene Daten über mich von einer anderen Quelle als mir erheben, stellen Sie mir bitte alle Informationen über diese Quelle gemäß Art. 14 der DSGVO zur Verfügung.

6. Wenn Sie automatisierte Entscheidungen über mich treffen, einschließlich Profilerstellung, ob auf der Grundlage von Art. 22 der Datenschutz-Grundverordnung oder nicht, geben Sie mir bitte Informationen über die Grundlagen für die Logik solcher automatisierter Entscheidungen und die Bedeutung und Konsequenzen von solcher Verarbeitung.

7. Ich würde gerne wissen, ob meine persönlichen Daten in der Vergangenheit versehentlich von Ihrem Unternehmen oder aufgrund einer Sicherheits- oder Datenschutzverletzung offengelegt wurden.

a) Wenn ja, bitte informieren Sie mich über die folgenden Details jedes einzelnen Verstoßes:

i. eine allgemeine Beschreibung dessen, was passiert ist;

ii. Datum und Uhrzeit des Verstoßes (oder die bestmögliche Schätzung);

iii. das Datum und die Uhrzeit, zu der der Verstoß entdeckt wurde;

iv. die Quelle des Verstoßes (entweder Ihre eigene Organisation oder ein Dritter, dem Sie meine persönlichen Daten übermittelt haben);

v. Details meiner persönlichen Daten, die veröffentlicht wurden;

vi. die Einschätzung Ihres Unternehmens bezüglich des Risikos eines Schadens für mich als Folge des Verstoßes;

vii. eine Beschreibung der getroffenen oder geplanten Maßnahmen, um weiteren unbefugten Zugriff auf meine persönlichen Daten zu verhindern;

viii. Kontaktinformationen, damit ich mehr Informationen und Unterstützung in Bezug auf einen solchen Verstoß erhalten kann, und

ix. Informationen und Ratschläge darüber, was ich tun kann, um mich vor Schäden zu schützen, einschließlich Identitätsdiebstahl und Betrug.

b) Wenn Sie nicht mit Sicherheit sagen können, ob ein solcher Verstoß stattgefunden hat, geben Sie bitte an, welche mildernden Maßnahmen Sie unter Verwendung geeigneter Technologien ergriffen haben, wie z.B.

i. Verschlüsselung meiner persönlichen Daten;

ii. Datenminimierungs-Strategien;

iii. Anonymisierung oder Pseudonymisierung;

iv. irgendwelche anderen Mittel

8. Ich würde gerne Ihre Informationspolitik und -standards kennen, die Sie in Bezug auf den Schutz meiner persönlichen Daten befolgen, z.B. ob Sie ISO27001 zur Informationssicherheit einhalten, und insbesondere Ihre Praktiken in Bezug auf Folgendes:

a) Bitte teilen Sie mir mit, ob Sie meine persönlichen Daten auf Band, Diskette oder anderen Medien gesichert haben und wo sie gespeichert sind und wie sie gesichert sind, einschließlich der Schritte, die Sie unternommen haben, um meine persönlichen Daten vor Verlust oder Diebstahl zu schützen, und ob diese Schritte Verschlüsselung mit einschließen.

b) Bitte geben Sie auch an, ob Sie über eine Technologie verfügen, mit der Sie mit hinreichender Sicherheit wissen können, ob meine persönlichen Daten offengelegt wurden, einschließlich, aber nicht beschränkt auf:

i. Einbruchs-Erkennungssystem;

ii. Firewall-Technologien;

iii. Zugangs- und Identitätsmanagement-Technologien;

iv. Datenbankprüfungs- und / oder Sicherheitstools;

v. Verhaltensanalyse-Tools, Log-Analyse-Tools oder Audit-Tools;

9. In Bezug auf Mitarbeiter und Auftragnehmer, informieren Sie mich bitte über Folgendes:

a) Mit welchen Technologien oder Prozessen Sie sicherstellen, dass Personen innerhalb Ihrer Organisation überwacht werden, um sicherzustellen, dass sie nicht absichtlich oder unabsichtlich personenbezogene Daten außerhalb Ihres Unternehmens per E-Mail, Webmail, Instant Messaging oder auf andere Weise weitergeben.

b) Hatten Sie in den letzten zwölf Monaten Situationen, in denen Mitarbeiter oder Auftragnehmer entlassen wurden und / oder strafrechtlich belangt wurden, weil Sie auf meine persönlichen Daten oder, wenn Sie dies nicht genau feststellen können, auf Kundendaten unangemessen zugegriffen haben.

c) Bitte geben Sie an, welche Schulungs- und Sensibilisierungs-Maßnahmen Sie ergriffen haben, um sicherzustellen, dass Mitarbeiter und Auftragnehmer in Übereinstimmung mit der Datenschutz-Grundverordnung auf meine persönlichen Daten zugreifen und diese verarbeiten.