Datenschutz

Datenschutz – Pflicht oder Kür?

Mit der Entwicklung zu immer moderneren Informationstechnologien erkannten die Gesetzgeber die Notwendigkeit, die Verarbeitung von personenbezogenen Daten rechtlich zu regeln. Als Antwort auf die Risiken der Informations- und Kommunikationstechnologien für das Persönlichkeitsrecht wurden in Deutschland das Bundesdatenschutzgesetz (BDSG) und weitere bereichsspezifische Regelungen geschaffen. Im Mai 2018 wird das BDSG durch die EU-Datenschutz-Grundverordnung (EU-DSGVO) abgelöst. Die Persönlichkeitsrechte werden dann mit den europaweit geltenden Regelungen noch mehr gestärkt, auf die Unternehmen kommen neue Anforderungen zu. Eine Missachtung der Regelungen kann hohe Strafen und einen Imageverlust nach sich ziehen.

Seit mehr als 10 Jahren beraten wir Unternehmen in den unterschiedlichsten Branchen rechtsübergreifend und praxisorientiert zum Thema Datenschutz. Wir coachen interne Datenschutzbeauftragte oder betreuen Unternehmen als externe Datenschutzbeauftragte. Als Datenschutzauditor überprüfen wir den Stand der Umsetzungsmaßnahmen innerhalb der Datenschutzorganisation und geben Handlungsempfehlungen.

Wir unterstützen Sie gern beim Aufbau und der Organisation eines effektiven Datenschutz Management Systems.

Wussten Sie schon?

Wir sind als Berater beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) registriert.

Nutzen Sie die Möglichkeit, Beratungsleistungen wie die Analyse zur Unternehmenssituation sowie der Schwachstellen, Verbesserungsvorschläge, konkrete Handlungsempfehlungen und detaillierte Anleitungen zur Umsetzung durch die Mitteln des Bundes und des Europäischen Sozialfonds (ESF) zu fördern. Gefördert werden 50 bis 75 Prozent der Kosten mit einem Maximalbetrag von 1.500 €.

Datenschutzberatung

Eine gute Datenschutzberatung geht weit über das Datenschutzgesetz hinaus. Unternehmen und Vereinen unterliegen heute einer Vielzahl von Gesetzen, wie z.B. dem Sozialgesetzbuch (SGB), dem Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) und dem Gesetz gegen den unlauteren Wettbewerb (UWG). Jede Branche hat zudem noch spezifische Gesetze und Regelungen zu beachten, z.B. im Gesundheitswesen, im Bildungssektor, in der Hotellerie oder bei Online-Dienstleistungen im In- und Ausland. Insbesondere für kleine und mittelständische Unternehmen ist es schwierig, diese komplexen Anforderungen zu durchschauen und in ihren Arbeitsprozessen zu berücksichtigen.

Als zertifizierte Datenschutzbeauftragte beraten wir individuell und praxisorientiert.  Unsere Kunden profitieren aus der Erfahrung aus mehr als 10 Jahren in der Datenschutzberatung in unterschiedlichen Branchen.

UNSERES LEISTUNGEN IM ÜBERBLICK

  • Datenschutzanalyse – Aufnahme des Istzustandes
  • Erstellung eines Umsetzungskonzeptes
  • Aufbau und Pflege eines Datenschutz-Handbuches
  • Erstellung von relevanten Richtlinien und Vereinbarungen
  • Vertretung bei Kontrollen durch die Datenschutzaufsichtsbehörde
  • Bereitstellung eines Online-Schulungstools für die Grundschulung Datenschutz
  • Schulung der Mitarbeiter vor Ort
  • Führen des öffentlichen und internen Verfahrensverzeichnisses
  • Vertragsgestaltung/-ergänzung mit Dienstleistertern im Rahmen der Auftragsdatenverarbeitung
  • Durchführung der Vorabkontrolle
  • Durchführung von internen Datenschutzaudits
  • Beratung zu einschlägigen und relevanten Rechtsvorschriften (keine Rechtsberatung im juristischen Sinne)
  • Beratung über technische und organisatorische Maßnahmen
  • Prüfung der Benachrichtigungspflichten Betroffener
  • Bearbeitung Datenschutzbeschwerden
  • Coaching interner Datenschutzbeauftragter

Durchführung von Datenschutzaudits

Der Umgang mit Kunden- und Mitarbeiterdaten ist für jedes Unternehmen, ob klein oder groß, ein heikles Thema. Welche Daten dürfen erfasst und wie lange dürfen diese gespeichert werden? Wie müssen sie vor Unbefugten geschützt werden? Es gibt viele Punkte zu beachten, die der Gesetzgeber vorgibt.

Um Ihnen hier Sicherheit geben zu können, was Sie bereits alles im Unternehmen zum Thema Datenschutz umgesetzt haben und wo vielleicht noch Schwachstellen sind, bietet die DataSolution Thurmann Ihnen ein Datenschutzaudit in Ihrem Hause oder bei Ihren Dienstleistern im Rahmen der Kontrollpflichten nach § 11 BDSG an.

Sie können von uns für Ihr gesamtes Unternehmen oder für Ihre Dienstleister, für Verfahren oder Produkte den Datenschutzstatus ermitteln lassen. Mit dem unvoreingenommenen Blick von außen erkennen wir möglichen Handlungsbedarf. Nach erfolgter Prüfung erhalten Sie einen Bericht, den Sie als Nachweis verwenden können. Im Zuge eines kontinuierlichen Verbesserungsprozesses kann Ihr Datenschutzbeauftragter oder Ihre IT-Abteilung Maßnahmen ergreifen, die den Umgang mit den Ihnen anvertrauten Daten verbessert.

Die Vorbereitung eines Datenschutzaudits lässt sich – ohne Anspruch auf Vollständigkeit – mit Hilfe von vier Leitfragen vereinfachen:

  • In welchen Verfahren werden welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet oder genutzt?
  • Wer ist gegenüber den Betroffenen sowie innerhalb der Organisation für die Datenverarbeitung und seine Datenschutzkonformität verantwortlich?
  • Entspricht das Verfahren seiner Dokumentation? Ist das Datenschutz- und Sicherheitskonzept nachvollziehbar und implementierbar?
  • Auf welcher Rechtsgrundlage erfolgt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten und werden die entsprechenden Anforderungen erfüllt?

Durch eine zielorientierte Umsetzung reduzieren Sie das Risiko, sensible Daten zu verlieren, einen Imageverlust zu erleiden oder gar verklagt zu werden.

Datenschutzschulung

Mitarbeiter, die mit der Erhebung, Verarbeitung oder Nutzung personenbezogenen Daten beschäftigt werden, müssen vom Unternehmen auf die Einhaltung des Datengeheimnisses verpflichtet werden.

Darüber hinaus hat der Datenschutzbeauftragte den Mitarbeitern durch geeignete Maßnahmen mit den Vorschriften des Datenschutzes vertraut zu machen. Mitarbeiterschulungen sind ein wichtiger Bestandteil zur Sensibilisierung für den Datenschutz im Unternehmen. Nur mit informierten Mitarbeitern kann eine effiziente Datenschutzorganisation aufgebaut werden. Wir bieten sowohl Präsentveranstaltungen als auch eine Online-Schulung an.

Schulungen für Unternehmen

Die Online-Schulung Datenschutz vermittelt die Grundlagen des Datenschutzes und sensibilisiert Ihre Mitarbeiter. Sie bildet somit eine solide Basis im Umgang mit personenbezogenen Daten. Oft reicht dies aber nicht aus, da Fachabteilungen oder unterschiedliche Branchen speziellen Anforderungen unterliegen.

Gern kommen wir mit einer maßgeschneiderten Schulung in Ihr Unternehmen und bilden Mitarbeiter speziell nach Ihren Zielvorgaben und Bedürfnissen fort. Wir schulen insbesondere in den Fachbereichen Personal und Marketing ebenso wie branchenspezifisch in der Hotellerie, im Bildungssektor sowie im Gesundheitswesen.

Wir bieten unter anderem themenspezifische Schulungen an, wie:

  • Grundlagen des Datenschutzes (mehr)
  • Datenschutz und Informationssicherheit
  • Datenschutz im Personalwesen
  • Datenschutz im Gesundheitswesen
  • Datenschutz in Vereinen
  • Kommunikation und Privatsphäre
  • Digitale Selbstverteidigung
  • Google & Co.

Schulungen im Rahmen von Veranstaltungen/Seminare

Am Ende des Seminars erhalten Sie ein Skript mit allen wichtigen Informationen zum Thema. Gern stellen wir auch Teilnahmebescheinigungen aus.

Neben den allgemeinen Datenschutzthemen hat der Datenschutzbeauftragte die Möglichkeit, firmen- oder branchenspezifische Schulungsthemen und Prüfungsfragen hinzuzufügen. Wichtige Dokumente, mit denen sich Mitarbeiter vertraut machen müssen, können durch den Datenschutzbeauftragten auf der Onlineplattform bereitgestellt werden.

Neben den themenspezifischen Schulungen bieten wir noch Ganztageslehrgänge an. Zusammen mit unseren Partnern bieten wir ein Seminar an für:

  • Datenschutz in der Hotellerie

Online-Schulung Datenschutz

Nicht immer ist es möglich, einzelne Mitarbeiter persönlich zu schulen. So müssen neu eingestellte Mitarbeiter bereits mit der Aufnahme ihrer Tätigkeit verpflichtet und geschult werden. Der Datenschutzbeauftragte kann aber nicht in jeden Einstellungsprozess integriert werden. Vertriebs- und Außendienstmitarbeiter sind aufgrund ihres beruflichen Profils heute hier, morgen dort und nur schwer als Gruppe für eine Schulung zu erreichen.

Mithilfe der Onlineschulung im Datenschutz können Mitarbeiter effizient mit den Grundanforderungen des Datenschutzes vertraut gemacht werden. Die Mitarbeiter können die Schulung selbst am eigenen PC-Arbeitsplatz durchführen. Wenn der Mitarbeiter die Datenschutz-Schulung durchgearbeitet und die Prüfungsfragen erfolgreich beantwortet hat, wird automatisch eine Teilnahmebescheinigung erzeugt, die als Nachweis für die durchgeführte Schulung dienen kann.

Neben den allgemeinen Datenschutzthemen hat der Datenschutzbeauftragte die Möglichkeit, firmen- oder branchenspezifische Schulungsthemen und Prüfungsfragen hinzuzufügen. Wichtige Dokumente, mit denen sich Mitarbeiter vertraut machen müssen, können durch den Datenschutzbeauftragten auf der Onlineplattform bereitgestellt werden.

MERKMALE

  • individuelle Zugangsdaten (Benutzer/Passwort)
  • allgemeine Datenschutzthemen (vorkonfiguriert) | deutsch/englisch
  • firmenspezifische Themen (frei konfigurierbar nach Themen und Abschnitten)
  • Prüfungsfragen (Multiple Choice) | deutsch/englisch – 20 Fragen nach Zufallsprinzip
  • Teilnahmebescheinigung als Nachweis
  • Bereitstellung von firmenspezifischen Unterlagen zum Download
  • Statistik nach durchgeführte Prüfungen

HINWEIS

Die Schulungsplattform ist kein Ersatz für datenschutzspezifische Themen, wie sie in Arbeitsgruppen oder Meetings in den Bereichen besprochen werden sollten. Sie erfüllt aber alle Anforderungen an eine Grundschulung, wie sie regelmäßig durchzuführen ist.

Wenn Sie weitere Informationen wünschen, können Sie gern Kontakt zu uns aufnehmen. Wir richten Ihnen auch gern einen Testzugang ein.

PREISE

Für die Nutzung des Online-Schulungstool wird eine jährliche Gebühr von 180,00 Euro zzgl. MwSt. berechnet.

Wichtige Themen

Auswirkungen des EuGH-Urteil für den Datenschutz

Mit dem Urteil des Europäischen Gerichtshofs vom 06. Oktober 2015 zum Safe Harbor-Abkommen wurde lediglich der Grundstein für eine neue Diskussion zum Datenaustausch mit personenbezogenen Daten in unsichere Drittstaaten gelegt. Wir müssen uns leider eingestehen, dass es faktisch keinen Schutz gegen den Zugriff auf die in den USA gespeicherten Daten durch die Geheimdienste gibt. Der USA Freedom Act (bis 01.06.2015 der USA Patriot Act) gestattet es den US-Geheimdiensten einseitig auf die Daten zuzugreifen, die sie beschaffen wollen. Hier geht es nicht nur um personenbezogene Daten und Kommunikationsdaten, auch Wirtschaftsdaten liegen im Fokus der Behörden. Dabei spielt es kaum noch eine Rolle, ob sich die Daten nun in den USA oder in Europa befinden. Der Unterschied zu anderen Geheimdiensten ist allerdings, dass die US-Regierung den Geheimdiensten gestattet, massenhaft Daten bei in den USA ansässigen Unternehmen abzurufen.

Neue Regelungen zum Datenschutz in der EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten, allerdings erst ab dem 25. Mai 2018. Den Mitgliedstaaten ist es grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln.*

In einer Neufassung des bestehenden Bundesdatenschutzgesetzes (BDSG), dem Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG), kurz BDSGneu sollen die deutschlandspezifischen Änderungen, ermöglicht durch die Öffnungsklauseln in der EU-DSGVO, umgesetzt werden. Diesem Gesetz hat am 12.05.2017 der Bundesrat zugestimmt, nachdem es bereits im April vom Bundestag verabschiedet wurde.

Auf die Unternehmen kommen neben den bereits bekannten Anforderungen eine Reihe neuer Regelungen zu. Insbesondere in den Bereichen von Internetanwendungen und des eCommerce gibt es viele Neuerungen. Aber auch alle anderen Unternehmen, die personenbezogene Daten erheben, speichern und verarbeiten sollten sich rechtzeitig mit dem Thema auseinandersetzen.

Weitere Informationen können Sie der Informationsbroschüre der Bundesbeauftragten für Datenschutz und Informationssicherheit entnehmen.

* Quelle: Wikipedia

Datenschutzfreundliche Voreinstellungen

Privacy by Design und Privacy by Default

Das Prinzip der datenschutzgerechten Technikgestaltung ist ein wichtiger Grundsatz im Datenschutz. Daher sind diese beiden Themen im Datenschutz nichts Neues, wurden allerdings in der neuen DSGVO explizit erwähnt und genauer spezifiziert.

Privacy by Design                       

Bereits bei der Entwicklung und Implementierung von digitalen Angeboten wie z.B. Apps sollen die datenschutzrechtlichen Vorgaben beachtet werden. Das bedeutet, dass Entwickler bereits in der Entstehungs- und Entwicklungsphase der Produkte die Vorgaben, die sich aus den Datenschutzgesetzen wie z.B. der DSGVO oder der neuen noch nicht verabschiedeten E-Privacy Verordnung ergeben, berücksichtigen müssen.

Daher sollten in jedem Entstehungsprozess von digitalen Produkten folgende Punkte betrachtet werden. Diese Auflistung ist dabei nur beispielhaft und allgemein gehalten und muss bei jedem Produkt entsprechend spezifiziert und ergänzt werden:

  1. Prüfung der Rechtsgrundlage der Datenerhebung und Verarbeitung
  2. Zweckbindung – Definition und Beschreibung des Zweckes der Datenverarbeitung
  3. Datensparsamkeit – Prüfung der Möglichkeit zur Pseudonymisierung oder Anonymisierung
  4. Transparenz und Information
  5. Rechte der Betroffenen
  6. Löschkonzept
  7. Informationssicherheit – Umsetzung technische und organisatorische Maßnahmen

Privacy by default

Dieser Bereich bezeichnet die datenschutzfreundlichen Voreinstellungen von Anwendungen. Diese sollten von vornherein so eingestellt sein, dass möglichst wenig Daten der Nutzer z.B. veröffentlicht werden (voreingestellte Privatsphäreeinstellungen). Der Nutzer soll selbst entscheiden dürfen, welche Daten er wem preisgibt und dies aktiv umsetzen. Die Anwendung sollte also so voreingestellt sein, dass sich die Datenverarbeitung auf das zur Erfüllung des Vertragszwecks erforderliche Maß beschränkt. Weiterhin sollten alle Hinweise zur Datenverarbeitung, opt-out Möglichkeiten usw. für den Nutzer einfach zu finden und verständlich sein (z.B. Hinterlegung der Datenschutzerklärung an einem gut erreichbaren Ort in der App oder auf der Webseite). Bzgl. der Hinterlegung von Cookies gibt es momentan noch Änderungen, so dass hier erst noch abzuwarten ist, inwieweit eine Einwilligung weiter notwendig ist.

Eine Checkliste kann helfen, die Anforderungen in Bezug auf Privacy by Design und Privacy by Default umzusetzen. Prüfen Sie Ihre Anwendungen auf die Einhaltung der genannten Punkte und nehmen Sie ggf. Anpassungen vor.

EU-US Privacy Shield (auch EU-US-Datenschutzschild)

Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist ein Abkommen auf dem Gebiet des Datenschutzrechts, das zwischen der EU und den USA ausgehandelt wurde. Die Europäische Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen; damit kann das Abkommen angewendet werden.

Im Ergebnis haben sich die Europäische Kommission und das U.S.-Handelsministerium auf einen Kompromiss geeinigt, zu deren Einhaltung sich U.S.-Unternehmen verpflichten müssen, wenn sie auf Grundlage des Privacy Shields personenbezogene Daten aus der EU empfangen und verarbeiten wollen. Die bereichsspezifischen U.S.-Regelungen (z.B. für die Kreditwirtschaft, für Telekommunikationsunternehmen etc.) bleiben daneben vollständig anwendbar. Es handelt sich bei Privacy Shield um eine Selbstverpflichtung der U.S.-Unternehmen, die datenschutzrechtlichen Verpflichtungen einzuhalten. U.S.-Unternehmen, die die Datenschutzgrundsätze anerkennen und die Umsetzung zusichern, können sich in die Privacy Shield Liste eintragen lassen.

KRITIK

Kritisiert wird an dem Privacy Shield vor allem, dass das Abkommen rechtlich nicht verbindlich sei, weil es sich dabei um keinen Vertrag, sondern lediglich um eine Sammlung von Briefen handele. Auch blieben Massenüberwachungsmaßnahmen durch die amerikanische Regierung weiterhin zulässig.

Leider überprüfen die US-Behörden vor Aufnahme eines U.S.-Unternehmens auf die Liste nicht, welche Maßnahmen getroffen werden, um die Daten vor Verlust, Missbrauch und unbefugtem Zugriff“ zu schützen. Die Unternehmen füllen selbstverantwortlich einen Fragenkatalog aus.

Verbandsklagerecht

In Verbindung mit dem Gesetz für „verbraucherschützende Vorschriften des Datenschutzrechts“, auch Verbandsklagerecht genannt, welches am 17.12.2015 durch den Bundestag, beschlossen wurde, stellen die neuen Regelungen für viele Unternehmen ein existenzbedrohendes Risiko dar, wenn die für Europa geltenden Vorschriften nicht umgesetzt werden. So sollen zukünftig neben den Aufsichtsbehörden für Datenschutz auch Verbraucherverbände und Wirtschafts- sowie Wettbewerbskammern das Recht erhalten, gegen Datenschutzverstöße von Firmen zu klagen oder diese abzumahnen. Um eine Abzocke mit Anwaltsschreiben zu verhindern müssen allerdings die Verbraucherschutzverbände ihre Abmahnpraxis beim Bundesamt für Justiz anzeigen.