Externer Datenschutzbeauftragter: Jetzt Maßnahmen einführen

17.03.2018  |  Datenschutzbeauftragter
Externer Datenschutzbeauftragter: Jetzt Maßnahmen einführen
Wir sind dein externer Datenschutzbeauftragter in Recklinghausen, Herten, Marl und Umgebung! Mit den Karley Datenschutzpaketen entscheidest du dich für eine einfache, schnelle und unkomplizierte Bestellung eines TÜV geprüften  und kompetenten Experten, der als externer Datenschutzbeauftragter für dein Unternehmen tätig wird. Als kompetenter externer Datenschutzbeauftragter in Recklinghausen und Umgebung steht dir bei der Karley Deutschland GmbH unser Herr Thomas Böttcher zur Verfügung und wird auf karley.eu immer wieder mal etwas Neues berichten. Ab dem 25.5.2018 gilt europaweit ein neues Datenschutz-Gesetz, das für Unternehmen neue rechtliche Verpflichtungen schafft. Eigentlich ist das schon lange bekannt, aber wie immer sind viele Firmen schlecht vorbereitet. Wir erklären dir, was auf Geschäftsführung und evtl. auch Admins zukommt. Wer den Verpflichtungen nach dem 25. Mai nicht nachkommt, riskiert hohe Bußgelder.  Viele Mitbewerber zitieren an dieser Stelle häufig die Maximalstrafen von bis zu 20 Millionen €, bei Wiederholung auch 4% des Umsatzes, jedoch werden vermutlich diese hohen Strafen eher die Ausnahmen bleiben. Trotzdem sollte man das Gesetz nicht auf die leichte Schulter nehmen, denn häufen sich die Verfahren und Beschwerden beim Landesdatenschutzbeauftragten gegen deine Firma häufen, wird auch die Strafe steigen, und das belastet nicht nur das Portemonnaie, sondern auch die Arbeitsabläufe.

Doppelter Nutzen

Bei Karley versuchen wir mit unserem geprüften Datenschutzbeauftragten nicht nur dir dabei zu helfen, die Datenschutzrichtlinien einzuhalten, bei Antworten an die Behörden zu helfen, sondern auch deine EDV-Prozesse mit deinem Administrator oder Dienstleister zu optimieren. Wir sind dabei keine Spione und möchten auch nicht deinen bisherigen Dienstleister aus dem Rennen werfen, sondern wissen aus eigener Erfahrung, dass der Blick eines Dritten häufig helfen kann, Fehler oder auch unnötige Abläufe zu optimieren. Eine Datenschutz-Folgenabschätzung, genauso wie das Erstellen des Verzeichnisses von Verarbeitungstätigkeiten, ist aber nicht nur als Last für Unternehmen zu sehen: Sie eröffnet dir auch Chancen, ungewollte Datenschutzrisiken frühzeitig zu erkennen und dadurch im Idealfall Ressourcen zu sparen. Eine Übersicht führt häufig dazu, Redundanzen zu erkennen und Synergieeffekte nutzen zu können. als Chance für Innovation und Verbesserungen

Schritt 1: Wissen was wichtig ist

Die DSGVO regelt, wie Unternehmen mit personenbezogenen Daten umgehen müssen, und dazu muss man verstehen, was alles "personenbezogene Daten" sind:
  • E-Mail-Adresse
  • Postanschrift
  • Personalausweisnummer
  • Kreditkartennummer
  • Werbe-IDs der Browser im Internet
  • Cookie-IDs auf Webseiten
  • Gesundheitsdaten z.B. auf einer Krankenkassenkarte (sobald eingeführt)
  • Mitgliedsnummern bei Vereinen
  • und vieles mehr, das es ermöglicht eine Person aus einer Gruppe zu identifizieren.
Auch wenn du z.B. im Web die Daten anonymisierst, genügst du den neuen Anforderungen nur, wenn so weit anonymisiert wurde, dass man eine einzelne Person in keinem Fall mehr identifizieren kann. Technische Vorgaben dazu, wie eine rechtssichere Anonymisierung oder Pseudonymisierung gelingen kann, enthält die DSGVO nicht. Hierfür muss man selber sorgen und sollte diese Verfahren auch auf jeden Fall dokumentieren. Hierbei kann die Karley beratend tätig sein.

Keine Datenverarbeitung ohne Zustimmung oder Rechtsgrundlage

Das Sammeln von Daten soll auch erschwert werden. Ohne Zustimmung des Kunden oder Besuchers einer Webseite dürfen keine Daten mehr gesammelt werden. Diese Zustimmung benötigst du auf jeden Fall, und sie muss auch protokolliert werden. So etwas betrifft z.B. natürlich auch wieder mal das Thema des Newsletter-Versands. Opt In - reicht nicht und ja t.w. schon in der Kritik. Hat ein User dem Newsletter zugestimmt, so musst du das auch protokollieren.

Jede Verarbeitung personenbezogener Daten ist verboten, es sei denn ein Gesetz erlaubt sie explizit

So verpflichten dich als Unternehmen das Umsatzsteuergesetz, die Abgabenordnung und ähnliches beispielsweise Aufzeichnungen zu Kundendaten und Bestellungen (Rechnungen) vorzunehmen. Das ist also eine Ausnahme, in der du gemäß eines anderen Gesetzes handeln musst. Welche Rechtsgrundlage sich für welchen Anwendungszweck am besten eignet, wird erst die zukünftige Rechtsprechung bezüglich der DSGVO klären, vieles ist aber natürlich heute schon eindeutig. Auch ist es empfohlen, ein Verzeichnis für Verfahren zu erstellen. Wir arbeiten hier mit einer kleinen kostenlosen Intranet Software, sodass auch jeder in deiner Firma immer nachsehen kann, was zu tun ist. Zu jedem Datenverarbeitungsvorgang sollte festgehalten werden, auf welcher Rechtsgrundlage er durchgeführt wird, welche Art personenbezogener Daten zu welchem Zweck verarbeitet werden, auf welche Art und Weise sie gesammelt wurden und wie lange sie aufbewahrt werden. Die deutschen Landesdatenschutzbehörden stellen dazu ein Musterverzeichnis über Verarbeitungstätigkeiten gemäß DSGVO zum Download zur Verfügung: https://www.lfd.niedersachsen.de/themen/wirtschaft/verfahrensverzeicnis_und_verfahrensregister_nach_bdsg/verfahrensregister-und-verfahrensbeschreibung-fuer-den-nicht-oeffentlichen-bereich-56247.html Werden personenbezogene Daten an Dritte zur Verarbeitung weitergegeben, dann nennt man das Auftragsverarbeitung. In diesem Fall benötigst du einen Vertrag, den sogenannten Auftragsverarbeitungsvertrag. Dieser regelt die Rechte und Pflichten des Auftragsverarbeiters und bestätigt, dass dieser ebenfalls DSGVO-konform arbeitet und sollte auch Verfahrensanweisungen zur Verfügung stellen können. Beispiele für eine Auftragsverarbeitung sind:
  • Webshop z.B. bei einem Provider gehostet
  • Webshop wird durch eine Programmierer Firma gewartet die vollen Zugriff hat
  • Kundenadressen in einem CRM das extern gehostet wird
  • ein externer Dienstleister wartet deine EDV
  • Kundendaten werden in einer CRM Cloud, Amazon S3 etc. gehostet
  • ...
Link zu DSGVO-konforme Auftragsverarbeitungsvertrag

Kontinuierliche Auskunftspflicht

Du musst auf Anfrage einer Person nicht nur jederzeit Auskunft darüber geben, ob sie personenbezogene Daten über diese Person verarbeiten oder nicht, sondern sind außerdem dazu verpflichtet, auf Anfrage eine Kopie solcher personenbezogenen Daten zur Verfügung zu stellen. Auch an dieser Stelle hilft natürlich eine Verfahrensanweisung, weil du so schnell herausfindest, wo und wie die Daten abgespeichert sind. Üblicherweise macht man sich darüber ja kaum Gedanken.

Datenschutzerklärung

Vielleicht hast du auf deiner Webseite schon eine Datenschutzerklärung? Diese sollte unbedingt überprüft werden und muss ggf. angepasst werden. Alle Informationen müssen gemäß DSGVO nämlich verständlich und in einfacher Sprache verfasst sein. Informationen über das Recht auf Auskunft, Berichtigung und Widerspruch müssen enthalten sein.

Was tun?

Wie du siehst, kommt da eine Menge Arbeit auf uns Firmen zu, aber Angst musst du nicht haben. Als Firma mit langjähriger Erfahrung rund um EDV, Programmierung und auch Sicherheitssystemen für Computernetzwerke haben wir mit Herrn Böttcher einen TÜV ausgebildeten und erfolgreich geprüften Auditor für Datenschutz, der auch dir die Sorgen nehmen kann.
  1. Kontaktiere Herrn Böttcher
  2. Wir machen einen Termin und schauen uns die IST Situation kostenlos an!
  3. Du erhältst ein Angebot für die Einführung der Datenschutzverfahren sowie die permanente Betreuung. Dabei ist das Angebot auf deinen wirklichen Bedarf abgestimmt, und alles, was du selbst machen kannst und willst, sollst du auch gerne machen. Denn natürlich kennst du dein Unternehmen am besten, und natürlich können kleinere Unternehmen keine tausende EUR zahlen. Das ist uns alles bewusst und deswegen arbeiten wir auch nicht mit bodenlosen Pauschalen.
  4. Nach Annahme des Angebots, werden wir schnell tätig und bearbeiten entweder in Zusammenarbeit mit dir und deinem EDV-Systemhaus oder deinen Mitarbeitern die Problemfälle, machen Vorschläge und haben selbstverständlich auch Vorlagen für Verträge etc., sodass du zu einer schnellen Lösung kommst
  5. In der Folgezeit ist unser Herr Böttcher weiterhin dein Ansprechpartner für den Datenschutz, hilft bei der Kommunikation mit Kunden und Behörden und kann auch ein jährliches Audit abhalten.
Wenn du interessiert bist - dann kontaktiere uns schnell - denn natürlich sind aktuell fast alle Datenschutzbeauftragten gut ausgelastet, aber Karley möchte dir immer schnell und unkompliziert helfen! Schnell anfragen!