Privatsphäre schützen - DSGVO
Datenschutz Grundverordnung EU

 

EU-DSGVO

Europäische Datenschutz Grundverordnung

Wir schützen Sie und helfen Ihnen.

DSGVO konform zu arbeiten

Den Zugriff auf personenbezogene Daten zu schützen

Verträge zur Auftragsverarbeitung zu erstellen

Datenschutzverordnung DSGVO

DSGVO konform arbeiten.

Wir bieten:

  • Schutz personenbezogener Daten
  • Verträge zur Auftragsverarbeitung
  • Checkliste für die Personalverwaltung
  • Überprüfung Zutritt und Zugriff entsprechend der Sicherheitsanforderung
  • Datentrennung Lohn- und Gehalt
  • Einsicht in die Arbeit am PC, Arbeitsabläufe, welche Programme, Sicherheitseinstellungen,
  • Datenspeicherung
  • Einsicht in Personalakten
  • europäischen DSGVO Checkliste
  • Musterformulare
  • Datenschutz durch Technikgestaltung

Beispiel:

Ihre Anfrage nach Auskunft und Einsicht über die Speicherung personenbezogener Daten bei Firma (verantwortliche Stelle)

Sehr geehrte/r Herr/Frau ...,
aufgrund Ihrer Anfrage nach Einsicht oder Auskunft nach Art. 15 DSGVO erhalten Sie anbei eine Aufstellung in Form einer [PDF-Datei] oder als [Ausdruck] unserer über Sie gespeicherten Daten...

Sie haben Fragen zur Datenschutz Grundverordnung?

dsgvo

datenschutz

Geldbuße

bis zu 20 Millionen Euro

Ein Verstoß gegen die Europäische Datenschutzverordnung kann den betroffenen Unternehmer bis zu 20 Millionen Euro Geldbuße kosten – oder bis zu 4 % dessen weltweiter Jahresumsätze (je nachdem, welcher Wert höher ausfällt).

  • Compliance (Richtlinien, Arbeitsanweisungen Betriebsvereinbarungen, Checklisten und Outsourcing Vertragsdokumente), sind zu überarbeiten.
  • Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sowie einer Datenschutz-Folgenabschätzung (data protection impact assessment) erfordern neue angepasste technische und organisatorische Maßnahmen.

Datenschutz Assessing nach EU-DSGVO

Datenschutz Assessment Betreuung

In Ihrem Haus führen wir mit Ihnen zusammen eine Bestandsaufnahme Ihrer Daten durch. Unsere Hilfe zur Datenschutzverordnung beinhaltet unter anderem:

  • Identifizierung von Verarbeitungstätigkeiten mit Bezug zur europäischen Datenschutz-Grundverordnung
  • Ersteinschätzung der Datenschutz-Folgenabschätzung (DSFA) Pflichten
  • Aufwandsermittlung zur Herstellung firmenweiter europäischen DSGVO Konformität
  • Sichtung und Bewertung Altdatenbestände Dokumentation Datenschutz BDSG
  • Erstellung Masterplan
  • Erstellung CamData Formularpaket europäischen Datenschutz-Grundverordnung

Fragen zur IT-Sicherheit?

dsgvo

datenschutz

Datenschutzmanagementsystem (DSMS)

Nutzen Sie IT Systemen zum Zwecke der Verarbeitung

Wir empfehlen:

  • Das CamData Datenschutz-Managementsystem (DSMS)
  • Risiko Management und Technischen Lifecycle automatisiert verwalten

Mit dem CamData DSMS - Datenschutzmanagementsystem - haben sie die Datenschutzverordnung sicher im Griff! DSMS - ist ein Garant für erfolgreiches und effizientes Risiko Management in der IT und im Datenschutz.

Die neue EU-Datenschutz-Grundverordnung EU-DSGVO ist seit dem 25. Mai 2018 Gesetz. Diese stärkt die Betroffenen-Rechte unter anderem durch die Pflicht, personenbezogene Daten sperren und löschen zu müssen.

Unbekannte Schwachstellen in Ihrer IT Landschaft gefährden den Betrieb. Durchleuchten Sie die Risiken Ihrer IT.


Datenschutzbeauftragter ab 82,50 € monatlich

Betreuung der EU Datenschutz Grundverordnung durch unseren Datenschutzbeauftragten 

Betreuung als Datenschutzbeauftragten DSB gemäß EU-DSGVO:

Wir bieten unter anderem:

  • Bestellung des Datenschutzbeauftragten (DSB) gemäß §4 EU-DSGVO
  • Meldung bei Aufsichtsbehörde
  • Personal Schulung EU-Datenschutzverordnung
  • Ansprechpartner für interne und externe Datenschutzanfragen
  • Erstellung komplexer Dokumente
  • Prüfung komplexer Sachverhalte, Vertragsgestaltung
  • EU-DSGVO Assessment

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) kommen auf Sie als Unternehmer wichtige Veränderungen zu. Wir helfen Ihnen diese Veränderungen konform umzusetzen.

dsgvo

datenschutz

Vorgangsbearbeitung

Sachbearbeitung

Unsere Leistungen:

  • Sachbearbeitung im Umgriff der Projektabwicklung EU-DSGVO
  • Vorgangs- und Dokumentenbearbeitung
  • Schriftwechsel mit externen Dienststellen
  • Begutachtung und Compliance Prüfung
  • Eskalationsmanagement
  • Erstellung forensischer Berichte
  • Schulungen, Einweisungen, Einzelschulungen
  • Beratung firmeneigener Datenschutzbeauftragten (DSB)
  • Prüfung EU-DSGVO Sachverständigkeit

Sachkundeschulung mit Zertifikat

Das Seminar vermittelt Ihnen die wichtigsten Änderungen und gibt Ihnen praxisbezogene Handlungsempfehlungen, um sich und Ihr Unternehmen oder Ihre Behörde bestmöglich auf die neue Rechtslage vorzubereiten.


Was ist ein Datenschutzmanagement (DSMS)?

Zu einem Datenschutz-Managementsystem gehören u. a.

  • Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  • ein Vertragsmanagement
  • Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten
  • die Schulung von Mitarbeitern
  • die Verpflichtung zur Verschwiegenheit der Mitarbeiter
  • ein Datensicherheitskonzept.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Ein solches Verzeichnis ist eine Zusammenfassung von einzelnen Verarbeitungsvorgängen, bei denen personenbezogene Daten entweder automatisiert (=elektronisch) oder zunächst nicht automatisiert (=analog) verarbeitet werden, aber später in ein Dateisystem gespeichert werden sollen. Der Inhalt eines solchen Verzeichnisses ist gesetzlich geregelt. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten. Die Zwecke der Verarbeitung, die Beschreibung der betroffenen Datenkategorien und Personen sind aufzulisten. Eine bestimmte Form ist für das Verzeichnis nicht vorgesehen.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten anlegen?

Alle Unternehmen, die personenbezogene Daten automatisiert oder nicht automatisiert verarbeiten und sie in einem Dateisystem speichern oder speichern wollen, müssen ein Verzeichnis über die Verarbeitungen führen. Das Gesetz sieht eine Ausnahme vor: Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht ein Verarbeitungsverzeichnis zu führen befreit. Aber auch nur dann, wenn die Verarbeitung selbst nicht ein Risiko birgt - das ist z. B. immer der Fall bei Scoring und Überwachungsmaßnahmen, die Verarbeitung nur gelegentlich erfolgt, und keine besonderen sensiblen Datenkategorien, wie z. B. Religions-, Gesundheitsdaten usw. betroffen sind. Die meisten Unternehmen verarbeiten regelmäßig Daten ihrer Mitarbeiter und Kunden, sodass die Ausnahmevorschrift in den meisten Fällen nicht greift und das Verarbeitungsverzeichnis geführt werden muss.

Muss ich neben dem Datenschutz auch noch Datensicherheit beachten?

Ja, die DSGVO verknüpft Datenschutz und Datensicherheit. Die personenbezogenen Daten, die in dem Unternehmen verarbeitet werden, müssen auch technisch geschützt werden, indem sog. technisch-organisatorische Maßnahmen getroffen sind. Sie hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab. Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, sodass – verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten.
Das Niveau der Datensicherheit ist abhängig vom Umfang der Datenverarbeitung, der Schutzwürdigkeit der Daten, ob sie online oder offline verarbeitet werden und den Zugriffsmöglichkeiten auf die Daten.

Was sind die wichtigsten Sofortmaßnahmen zur Umsetzung der Europäischen DSGVO?


Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (Auskunft über gespeicherte Daten, Berichtigung oder Löschen von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen nachweisen, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.

  • Es muss ein Verarbeitungsverzeichnis mit folgenden Informationen erstellt werden: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.
  • Die Datenschutzerklärung muss überarbeitet und um die Informationspflichten aus Artikel 13, 14 DSGVO ergänzt werden. Überwiegend handelt es sich um Informationen, die eine vollständige und ausführliche Datenschutzerklärung bisher auch enthalten hat. Neu ist anzugeben: die Rechtsgrundlagen der Datenverarbeitung und Hinweise zur vorgesehenen Speicherdauer.
  • Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletterversand über Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.
  • Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet und entspricht diese Einwilligung den Anforderungen der DSGVO, das heißt, ist der oder sind die Zweck(e) zur Datenverarbeitung beschrieben und ist ein Hinweis auf die Freiwilligkeit und jederzeitige Widerrufbarkeit vorhanden? Andernfalls müssen die Einwilligungen neu eingeholt werden.
  • Eine IT-Sicherheit ist aufzubauen (je nach Größe des Unternehmens im Umfang unterschiedlich).
  • Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen (künftig sind Datenschutzverletzungen binnen 72 Stunden zu melden)
  • Ein Prozess zur Beantwortung von Betroffenenrechten ist einrichten (das sind die Rechte auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten.
  • Betriebsvereinbarungen (sofern vorhanden) sind anzupassen.
  • Risikobewertung der Verfahren
  • Sensibilisierung der MitarbeiterInnen.

Wann müssen personenbezogene Daten gelöscht werden?

Personenbezogene Daten

Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, der Zweck, für den sie erhoben worden sind, also erfüllt ist. Die Löschung darf nicht vor Ablauf gesetzlicher Aufbewahrungsfristen erfolgen, z. B. weil es Handelsbriefe (6 Jahre) sind oder steuerrechtliche Gründe (10 Jahre) eine Aufbewahrung vorschreiben. Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sog. „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen.

  • Interne Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)
  • Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser
  • Anlaufstelle für betroffene Personen

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese ist immer dann durchzuführen, wenn besonders sensible, personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Die DSGVO bestimmt vier Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:

  • Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten einzuholen, sofern die gesetzliche Pflicht besteht, ihn zu ernennen.

Was bedeutet Auftragsverarbeitung (AV)?

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung auch dann verantwortlich, wenn er dazu einen externen Dienstleister beauftragt. Das gilt insbesondere für die IT. Ob eine Webseite mit Kontaktformular oder die Betreuung der Kundendatenbank – andere Unternehmen sind dafür eingebunden. Sie haben Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt. In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Denn das erhöhte Gefahrenpotenzial für die Daten wegen des Zugriffs eines Dritten soll vertraglich geregelt werden. Aber Vorsicht! Von AV kann nur dann die Rede sein, wenn der Dienstleister streng nach einem zuvor definierten Verfahren vorgeht, keinen eigenen Gestaltungs- und Ermessenspielraum hat und gegenüber dem Auftraggeber im Hinblick auf die Ausführung der vereinbarten Tätigkeit weisungsgebunden ist. Kurzum: Wenn man den Dienstleister sinnbildlich als „verlängerte Werkbank“ des Auftraggebers betrachten kann. Darunter fallen auch z. B. sog. Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz z. B. in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von social Plug-Ins auf den Webseiten, also die Einbindung sozialer Medien.

Liegt eine AV vor, so ist eine vorherige Einwilligung der Kunden, deren Daten verarbeitet werden, nicht erforderlich. Anders kann es hingegen sein, wenn keine AV vorliegt!

Keine Auftragsverarbeitung liegt vor, wenn die Daten an einen Dritten zur Durchführung einer Dienstleistung weitergegeben werden, z.B. an einen Steuerberater zur Abwicklung der gesamten Lohnbuchhaltung. Hier liegt es im berechtigten Interesse des Unternehmens, die dafür erforderlichen personenbezogenen Daten an den Dienstleister zu übermitteln.
Weitere Informationen finden Sie im Kurzpapier der Datenschutzkonferenz (DSK); Muster dazu finden Sie z.B. als PDF auf der Website des Bayerischen Landesamtes für Datenschutzaufsicht.

Was ist datenschutzrechtlich bei der Beauftragung eines Dienstleisters zu beachten?

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Den Auftraggeber trifft hier eine Prüfpflicht. Nur solche Auftragsverarbeiter dürfen eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.

Wir bieten Ihnen unsere Hilfe an.

Sie haben Fragen bezüglich der Datenschutzverordnung, wünschen einen Rückruf?

Nutzen Sie unser Formular. Oder rufen Sie uns an: +49 (0)2161 1858580

Ihre Fragen bezüglich EU-DSGVO

Call Center

CamData – Ihr persönlicher IT-Dienstleister

Gerne beraten wir Sie persönlich.

Jetzt anrufen: +49 (0) 2161 18 58 580

info@camdata.de

Oder, senden Sie uns eine kurze Email und hinterlassen Sie einfach Ihre Kontaktdaten für ein unverbindliches und kostenloses Beratungsgespräch.

Unsere Experten helfen Ihnen gerne weiter.