Lektion 8


Ihr Business - so gehen Sie intern korrekt mit Daten um

Ihr Fortschritt: 70%

Die Umsetzung der DSGVO ist vor allem ein Dokumentationsaufwand. Neben der Datenschutzerklärung und der Auftragsverarbeitung müssen Sie noch weitere Dokumente vorhalten. Nachfolgend finden Sie die wichtigsten Dokumente:

  • Datenschutzerklärung (Lektion 3)
  • Auftragsverarbeitungen mit allen Drittanbietern (Lektion 4)
  • check-square
    Einwilligungserklärungen Ihrer Kunden (Lektion 5)
  • Datenschutzgerechtes Verfahrensverzeichnis
  • check-square
    Verschwiegenheitserklärungen Ihrer Mitarbeiter

Wie erstellt man ein DSGVO-konformes Verfahrensverzeichnis?

Dieses Verzeichnis dient zur Transparenz, wie personenbezogene Daten verarbeitet werden. Allerdings dient es Ihnen auch als rechtliche Absicherung. In diesem halten Sie fest, wie Sie die Daten speichern, erheben und auch wie und wann Sie diese löschen.


Die wesentlichen Bestandteile dieses Verzeichnisses sind gemäß der DSGVO folgende:

Nennung des Verantwortlichen

Benennung des Zwecks der Verarbeitung

Betroffene Personengruppe und Kategorien der personenbezogenen Daten

Empfänger, die planmäßig Daten erhalten

Fristen für die Löschung der Daten

Drittstaaten, die Daten erhalten

UNbedingt Beachten

Erarbeiten Sie mit Ihrem Anwalt oder Datenschutzbeauftragten Ihr Verarbeitungsverzeichnis. Eine Vorlage, die Sie vorab bereits ausfüllen können, finden Sie weiter unten.

Wie können Erklärungen zur Verschwiegenheit korrekt umgesetzt werden?

Die Verschwiegenheitserklärungen Ihrer Mitarbeiter sind Teil der technischen und organisatorischen Maßnahmen. Daher sollten diese eine Verschwiegenheitserklärung unterzeichnen. Sie sollten zudem Ihre Mitarbeiter auch zur Befolgung von Privacy by Design und Privacy by Default anhalten und diese darin schulen (lassen). Wichtig ist nicht zuletzt, Ihre Mitarbeiter darauf zu sensibilisieren, alle relevanten datenschutzrechtlichen Vorgänge zu dokumentieren.

Was bedeuten “Privacy by Design” und “Privacy by Default”?

Privacy by Design bedeutet, dass bereits in der Konzeption eines Produktes oder eines Datenverarbeitungsvorgangs der Datenschutz nach dem neuesten Stand der Technik berücksichtigt und integriert wird. Dies wird Insbesondere umgesetzt durch:

  • Datenminimierung (nur die notwendigsten Daten)
  • Löschung der Daten, wenn sie nicht mehr unbedingt notwendig sind
  • Maßnahmen für Korrektheit und Vollständigkeit der Daten
  • Transparente und verständliche Informationen gegenüber den Betroffenen
  • Proaktive Konzepte zur IT Sicherheit und organisatorischen Maßnahmen

Privacy by Default bedeutet, dass bereits die Voreinstellungen (Werkseinstellungen) bei Geräten oder auch Online-Plattformen die höchste Datenschutzstufe als Standard haben. So sollen etwa wenig technikaffine Nutzer geschützt werden.

Tipp 1: Je nach Größe Ihres Teams macht es Sinn, eine Schulung zu diesem Thema zu halten und die Teilnahme an der Schulung von den Mitarbeitern unterschreiben zu lassen. So wissen Sie genau, dass all Ihre Mitarbeiter darauf hingewiesen wurden.


Tipp 2: Ab dem 25. Mai kann die Verschwiegenheitserklärung auch elektronisch geschlossen werden, da ab diesem Zeitpunkt keine eigenhändige Unterschrift mehr benötigt wird.

Technische und organisatorische Maßnahmen

Die DSGVO verpflichtet Verarbeiter von personenbezogenen Daten in Artikel 32 dazu, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Eine weitere Konkretisierung erfolgt nicht, die DSGVO führt stattdessen einige Schutzziele auf:

  • personenbezogene Daten müssen pseudonymisiert und verschlüsselt werden.
  • die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die die Daten verarbeiten, müssen auf Dauer sichergestellt sein.
  • die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen bei einem physischen oder technischen Zwischenfall muss schnell wiederhergestellt werden können.
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Um all das zu gewährleisten, müssen Sie einerseits die Datenträger und Computer, auf denen personenbezogene Daten gespeichert und verarbeitet werden, besonders schützen und andererseits auch in Ihrem Unternehmen Prozesse dahingehend so verändern, dass sie den Vorgaben der DSGVO gerecht werden.


Wir bei Digistore24 haben beispielsweise unsere Kundendaten ausschließlich in streng bewachten und abgesicherten Serverräumen gespeichert. Darüber hinaus sind die Rechner unserer Mitarbeiter verschlüsselt und die verwendeten Passwörter genügen strengen Sicherheitsstandards. Zur weiteren Absicherung unterschreibt jeder Mitarbeiter eine umfassende Verschwiegenheitserklärung.


Hier möchte ich Ihnen 2 hilfreiche Links geben, mit deren Hilfe Sie eine Orientierung für die Maßnahmen in Ihrem Unternehmen haben können.


https://www.activemind.de/wp-content/uploads/ADV-Vorlage-Anforderungen-an-technische-und-organisatorische-Massnahmen.pdf


https://www.bdsg-externer-datenschutzbeauftragter.de/download/formulare/ask-Datenschutz-TOM-Zusammenfassung-Technische-und-organisatorische-Massnahmen-Vorlage-V3_0-GVO-unbranded.doc


Hinweis: Wie Ihre TOMs aussehen werden, hängt sehr individuell davon ab, was genau in Ihrem Unternehmen passiert. Im Regelfall bei Digistore24 Vendoren und Affiliates ist es nicht notwendig, dass auf den Endgeräten, die bei Ihnen oder Ihren Mitarbeitern in Gebrauch sind, auch personenbezogene Daten gespeichert sind. Wenn Sie solche Daten verarbeiten oder speichern, sollten Sie diese auf einem sicheren Cloudservice verschlüsselt speichern und nicht auf Ihren Endgeräten.

download

Downloads / Lernmaterialien

Komplette Vorlage Verarbeitungsverzeichnis

Muster Verschwiegenheitserklärung 

Wir möchten ausdrücklich darauf hinweisen, dass dieser Online-Kurs keinesfalls eine Rechtsberatung durch einen Fachanwalt ersetzt und auch keinen Anspruch auf Richtigkeit oder Vollständigkeit hat.


www.digistore24.com | Impressum | Datenschutzerklärung