Lektion 8

Ihr Business - so gehen Sie intern korrekt mit Daten um

Die Umsetzung der DSGVO ist vor allem ein Dokumentationsaufwand. Neben der Datenschutzerklärung und der Auftragsverarbeitung müssen Sie noch weitere Dokumente vorhalten. Nachfolgend finden Sie die wichtigsten Dokumente:

Datenschutzerklärung (Lektion 3)
Auftragsverarbeitungen mit allen Drittanbietern (Lektion 4)
Einwilligungserklärungen Ihrer Kunden (Lektion 5)
Datenschutzgerechtes Verfahrensverzeichnis
Verschwiegenheitserklärungen Ihrer Mitarbeiter

Wie erstellt man ein DSGVO-konformes Verfahrensverzeichnis?

Dieses Verzeichnis dient zur Transparenz, wie personenbezogene Daten verarbeitet werden. Allerdings dient es Ihnen auch als rechtliche Absicherung. In diesem halten Sie fest, wie Sie die Daten speichern, erheben und auch wie und wann Sie diese löschen.

Die wesentlichen Bestandteile dieses Verzeichnisses sind gemäß der DSGVO folgende:

Nennung des Verantwortlichen

Dies ist Ihr Unternehmen und seine Vertreter. Sollten Sie weitere Verantwortliche, einen Stellvertreter oder auch einen Datenschutzbeauftragten haben, sind diese hier auch aufzuführen - und zwar mit Namen und Kontaktdaten.

Benennung des Zwecks der Verarbeitung

Laut DSGVO ist jedwede Datenverarbeitung zweckgebunden. Wenn Sie Einwilligungen rechtskonform einholen, haben Sie diesen Zweck (Produkt-Newsletter, Analyse von Besucherdaten, etc.) vorab kommuniziert und müssen ihn hier nun angeben.

Betroffene Personengruppe und Kategorien der personenbezogenen Daten

Beispielsweise die Gruppen “Mitarbeiter” oder auch “Kunden” - je nachdem für wen das entsprechende Verfahren gilt.

Empfänger, die planmäßig Daten erhalten

Egal ob intern oder extern. Aufgeführt werden hier auch die externen Dienstleister mit denen eine Auftragsverarbeitung abgeschlossen wurde.

Fristen für die Löschung der Daten

Je nach konkretem Zweck gibt es unterschiedliche Fristen zur Löschung der Daten. Geben Sie diese hier an. Weiterführende Informationen zu allen Fristen finden Sie in unseren weiterführenden Lernmaterialien.

Drittstaaten, die Daten erhalten

Bei einer Übermittlung der Daten an Drittstaaten, sind die Namen dieser Staaten zu nennen. Als Drittstaaten gelten Nicht-EU-Länder, die Daten aus der EU erhalten.

UNBEDINGT BEACHTEN

Erarbeiten Sie mit Ihrem Anwalt oder Datenschutzbeauftragten Ihr Verarbeitungsverzeichnis. Eine Vorlage, die Sie vorab bereits ausfüllen können, finden Sie weiter unten.

Wie können Erklärungen zur Verschwiegenheit korrekt umgesetzt werden?

Die Verschwiegenheitserklärungen Ihrer Mitarbeiter sind Teil der technischen und organisatorischen Maßnahmen. Daher sollten diese eine Verschwiegenheitserklärung unterzeichnen. Sie sollten zudem Ihre Mitarbeiter auch zur Befolgung von Privacy by Design und Privacy by Default anhalten und diese darin schulen (lassen). Wichtig ist nicht zuletzt, Ihre Mitarbeiter darauf zu sensibilisieren, alle relevanten datenschutzrechtlichen Vorgänge zu dokumentieren.

Was bedeuten “Privacy by Design” und “Privacy by Default”?

Privacy by Design bedeutet, dass bereits in der Konzeption eines Produktes oder eines Datenverarbeitungsvorgangs der Datenschutz nach dem neuesten Stand der Technik berücksichtigt und integriert wird. Dies wird Insbesondere umgesetzt durch:

- Datenminimierung (nur die notwendigsten Daten)
- Löschung der Daten, wenn sie nicht mehr unbedingt notwendig sind
- Maßnahmen für Korrektheit und Vollständigkeit der Daten
- Transparente und verständliche Informationen gegenüber den Betroffenen
- Proaktive Konzepte zur IT Sicherheit und organisatorischen Maßnahmen

Privacy by Default bedeutet, dass bereits die Voreinstellungen (Werkseinstellungen) bei Geräten oder auch Online-Plattformen die höchste Datenschutzstufe als Standard haben. So sollen etwa wenig technikaffine Nutzer geschützt werden.

Tipp 1: Je nach Größe Ihres Teams macht es Sinn, eine Schulung zu diesem Thema zu halten und die Teilnahme an der Schulung von den Mitarbeitern unterschreiben zu lassen. So wissen Sie genau, dass all Ihre Mitarbeiter darauf hingewiesen wurden.

Tipp 2: Seit dem 25. Mai kann die Verschwiegenheitserklärung auch elektronisch geschlossen werden, da ab diesem Zeitpunkt keine eigenhändige Unterschrift mehr benötigt wird.

Technische und organisatorische Maßnahmen

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Artikel 32 dazu, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

personenbezogene Daten müssen pseudonymisiert und verschlüsselt werden.
die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die die Daten verarbeiten, müssen auf Dauer sichergestellt sein.
die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen bei einem physischen oder technischen Zwischenfall muss schnell wiederhergestellt werden können.
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Um all das zu gewährleisten, müssen Sie einerseits die Datenträger und Computer, auf denen personenbezogene Daten gespeichert und verarbeitet werden, besonders schützen und andererseits auch in Ihrem Unternehmen Prozesse dahingehend so verändern, dass sie den Vorgaben der DSGVO gerecht werden.

Wir bei Digistore24 haben beispielsweise unsere Kundendaten ausschließlich in streng bewachten und abgesicherten Serverräumen gespeichert. Darüber hinaus sind die Rechner unserer Mitarbeiter verschlüsselt und die verwendeten Passwörter genügen strengen Sicherheitsstandards. Zur weiteren Absicherung unterschreibt jeder Mitarbeiter eine umfassende Verschwiegenheitserklärung.

Hier möchte ich Ihnen 2 hilfreiche Links geben, mit deren Hilfe Sie eine Orientierung für die Maßnahmen in Ihrem Unternehmen haben können.

https://www.activemind.de/wp-content/uploads/ADV-Vorlage-Anforderungen-an-technische-und-organisatorische-Massnahmen.pdf

https://www.bdsg-externer-datenschutzbeauftragter.de/download/formulare/ask-Datenschutz-TOM-Zusammenfassung-Technische-und-organisatorische-Massnahmen-Vorlage-V3_0-GVO-unbranded.doc

Hinweis: Wie Ihre TOMs aussehen werden, hängt sehr individuell davon ab, was genau in Ihrem Unternehmen passiert. Im Regelfall bei Digistore24 Vendoren und Affiliates ist es nicht notwendig, dass auf den Endgeräten, die bei Ihnen oder Ihren Mitarbeitern in Gebrauch sind, auch personenbezogene Daten gespeichert sind. Wenn Sie solche Daten verarbeiten oder speichern, sollten Sie diese auf einem sicheren Cloudservice verschlüsselt speichern und nicht auf Ihren Endgeräten.

Downloads / Lernmaterialien

Komplette Vorlage Verarbeitungsverzeichnis

DOWNLOAD

Muster Verschwiegenheitserklärung

LINK

← Zurück zu Lektion 7

Zu Lektion 9 →

Übersicht Lektionen

Wechseln Sie schnell und bequem zu allen Lektionen des Kurses

Kursübersicht

Lektion 1 DSGVO Basics, Begriffsbestimmungen

Lektion 2 Datenschutz: Ihr Business - Ihre Verantwortung

Lektion 3 Die Datenschutzerklärung

Lektion 4 Auftragsverarbeiter - was müssen Sie beachten?

Lektion 5 E-Mail-Marketing: was sich ändert

Lektion 6 Lead-Magneten und das Kopplungsverbot

Lektion 7 DSGVO-konformes Tracking

Lektion 9 Auskunftsbegehren

Lektion 10 Die DSGVO und Digistore24

Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.

www.digistore24.com | Impressum | Datenschutzerklärung

English | German