Dienstleistungen - Suzana Ulbrich
Was können wir für Sie tun ?

Unsere Transparenz - DS-GVO (FAQ´s)


Über welche Personengruppe(n) erheben/verarbeiten/speichern wir personenbezogene Daten ?

  • Kunden
  • Mitarbeiter von Geschäftspartnern

Wer als Organisation personenbezogene Daten verarbeitet, muss dabei immer die aktuellen Datenschutzvorschriften beachten. Bislang haben weltweit tätige Unternehmen mit 28 unterschiedlichen Datenschutzgesetzen der Mitgliedsstaaten in der EU zu kämpfen, die in den Grundsätzen auf der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates von Oktober 1995 basieren. Sie umfasst Regelungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr. Mit der neuen EU-Datenschutzgrund-Verordnung wird das Datenschutzrecht europaweit vereinheitlicht und muss in jedem Mitgliedsstaat künftig weitestgehend eins-zu-eins angewendet werden (ausgenommen nationale Spiel- und Handlungsräume, z.B. Beschäftigtenschutz).

Verarbeiten wir besondere Kategorien personenbezogener Daten (z.B. biometrische Daten, Gesundheitsdaten usw.) ?

  • Nein

Das vereinfacht zwar unsere Tätigkeit, dennoch ist zu empfehlen eine erneute Prüfung vorzunehmen, ob man wirklich keine besonderen Kategorien personenbezogener Daten (wie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, gesundheitsbezogene Daten usw.) verarbeiten. Ist dies doch der Fall, muß eine Folgenabschätzung vorgenommen werden und geklärt werden, wie sich die Verarbeitungsprozesse auf den Schutz dieser Daten auswirken (Art. 9).

Auf welcher rechtlichen Grundlage beruht die Speicherung und Verarbeitung personenbezogener Daten ?

  • Wir verarbeiten personenbezogene Daten auf Grundlage von Verträgen, die wir mit den betroffenen Personen abgeschlossen haben.

Unter Berücksichtigung der DSGVO sollten man prüfen, in welcher Weise man personenbezogene Daten verarbeiten und die rechtlichen Grundlagen identifizieren, die für die Umsetzung und Dokumentation dieser Prozesse erforderlich sind. Je nach Rechtsgrundlage, die bei der Verarbeitung der personenbezogenen Daten gilt, werden sich durch die DSGVO einige Rechte von betroffenen Personen ändern. So haben Nutzer neuerdings beispielsweise ein stärkeres Recht auf Löschung ihrer Daten, wenn Einwilligung die rechtliche Grundlage bildet (Art. 17).

Speichern wir ausschließlich personenbezogene Daten, die erforderlich sind, um den Zweck zu erfüllen, für den sie gesammelt wurden ?

  • Ja, wir besitzen lediglich relevante personenbezogene Daten und speichern sie nur für die erforderliche Mindestdauer.

Wir achten auch in Zukunft darauf, dass wir die Auflagen der DSGVO bei der Verarbeitung personenbezogener Daten erfüllen (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Speicherbegrenzung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit). Der gesamte Verarbeitungsprozess - von der Sammlung personenbezogener Daten bis hin zu ihrer Vernichtung - unterliegt diesen Grundsätzen (Art. 5).

Gibt es eine Dokumentation über die gesammelten personenbezogenen Daten, ihre Quelle und mit wem sie geteilt werden ?

  • Ja, wir dokumentieren die Sammlung und Verarbeitung personenbezogener Daten und nehmen regelmäßige Prüfungen vor.

Wir achten weiterhin auf die Anforderungen der DSGVO in puncto Dokumentation von Verarbeitungsaktivitäten. Darunter zählen die Zwecke der Verarbeitung, eine Beschreibung der Kategorie von personenbezogenen Daten oder eine Beschreibung der angewendeten technischen und organisatorischen Sicherheitsmaßnahmen. Die Dokumentationspflicht von Verarbeitungesprozessen gilt sowohl für die Verantwortlichen als auch die Verarbeiter.

Welche technischen Maßnahmen haben wir ergriffen, um unautorisierte Zugriffe auf personenbezogene Daten zu verhindern ?

  • Antiviren-Software, die vor Malware schützt: Ja
  • Antiviren-Software mit vielschichtigen Schutzmechanismen wie E-Mail- und Browser-Schutz: Ja
  • Unser Unternehmensnetzwerk wird durch eine Firewall geschützt: Ja
  • Unsere Nutzer-/Admin-Logins sind durch einen zweiten Faktor geschützt (2FA): Ja
  • Zum Schutz personenbezogener Daten setzen wir auf eine validierte Verschlüsselungslösung: Ja
  • Remote Zugang zum Unternehmensnetzwerk ist nur über ein VPN (Virtual Private Network) möglich: Ja
  • Privilegierte Konten werden nicht für tägliche Aufgaben verwendet. Die Anmeldung ist nur von bestimmten Geräten aus und ausschließlich für autorisierte Personen möglich: Ja
  • Der Zugriff auf sensible/personenbezogene Daten ist reguliert und auf Personen beschränkt, die Zugriff benötigen: Ja
  • Es wird eine Data Leakage Prevention Software zum aktiven Schutz vor "Datenabfluss" genutzt: Ja
  • Verfahren zur Überwachung, Erkennung, Analyse und Meldung von Sicherheitsvorfällen wurden entwickelt und im Unternehmen kommuniziert: Ja

Je nach Art, Umfang, Umstand und Verarbeitungszwecke sowie Eintrittswahrscheinlichkeit und Risikopotenzial für die Rechte und Freiheiten natürlicher Personen müssen angemessene technische und organisatorische Maßnahmen implementiert werden, um eine rechtmäßige Verarbeitung der Daten zu gewährleisten und nachzuweisen (Art. 25). Diese Maßnahmen sollten regelmäßig geprüft und gegebenenfalls aktualisiert werden. Der hier genannte Maßnahmenkatalog ist nur ein Auszug der verfügbaren Maßnahmen. Bei der Auswahl empfiehlt sich für jedes Unternehmen eine Einzelfallbetrachtung.

Verschlüsselung ist eine wichtige Sicherheitsmaßnahme. Welche der folgenden Verschlüsselungsmöglichkeiten nutzen wir zum Schutz Ihrer personenbezogener Daten ?

  • Dateiverschlüsselung für sensible/personenbezogene Daten: Ja
  • Festplattenverschlüsselung für PCs/Laptops: Ja
  • Verschlüsselung der E-Mail-Kommunikation: Ja
  • Verschlüsselung von Wechselmedien: Ja
  • Verschlüsselung von Netzwerk-/Cloud-Ordnern: Ja

In der DSGVO wird sie ausdrücklich als geeignete technische Maßnahme genannt, um Datensicherheit und -schutz zu gewährleisten (Art. 32). Wir stellen sicher, dass wir sowohl bei der Übertragung (über ein Netzwerk) als auch der Speicherung (auf unterschiedlichen Arten von Medien) von Daten eine zertifizierte Verschlüsselungslösung einsetzen.

Gibt es technische und organisatorische Maßnahmen zur Gewährleistung der folgenden Rechte von betroffenen Personen ?

  • Das Recht, auf ihre verarbeiteten personenbezogenen Daten zuzugreifen: Ja
  • Das Recht, dass Fehler bei personenbezogenen Daten korrigiert werden: Ja
  • Das Recht auf Löschung personenbezogener Daten – das "Recht auf Vergessenwerden": Ja
  • Das Recht auf Widerspruch bei Direktwerbung: Ja
  • Das Recht, nicht einer ausschließlich automatisierten Entscheidung – einschließlich Profiling – unterworfen zu werden: Ja
  • Das Recht auf Datenübertragbarkeit: Ja

Dass Betroffene von ihren Rechten Gebrauch machen können, ist entscheidend für die Verarbeitung personenbezogener Daten. Können Sie der Anfrage eines Betroffenen nicht nachkommen, müssen Sie ihn umgehend über die Gründe und die Möglichkeiten informieren, zum Beispiel bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen (Art. 12).

Sind sich die zentralen Personen und Entscheider Ihres Unternehmens der Regeländerungen unter der DSGVO bewusst ?

  • Ja, wir sind uns der kommenden Änderungen durchaus bewusst.

Es ist entscheidend, alle Anforderungen der DSGVO zu ermitteln und sich stets auf dem Laufenden zu halten. Nur so schaffen Sie es, datenschutzkonform zu arbeiten. Angesichts der umfassenden Pflichten und enormen Strafen bei Regelverstößen ist bei der Umsetzung das Management auf Geschäftsführungsebene gefordert (Art. 83).

Sind Mitarbeiter, die personenbezogene Daten verarbeiten, in Sachen Rechte und Pflichten beim Datenschutz geschult ?

  • Ja

Mit der DSGVO werden Schulungen für alle Mitarbeiter Pflicht, die an den Verarbeitungsvorgängen personenbezogener Daten beteiligt sind. Bitte stellen Sie sicher, dass die Schulungen alle Aspekte der Verarbeitung personenbezogener Daten umfassen (Erhebung, Speicherung, Verarbeitung, Weitergabe, Archivierung, Löschung usw.) und der Zugriff auf entsprechende Verzeichnisse von Verarbeitungstätigkeiten für zuständige Mitarbeiter gewährleistet ist.

Sind sich Ihre Datenverarbeiter der kommenden DSGVO-Änderungen bewusst ? Haben sie einen Plan für die Umsetzung ?

  • Ja, wir haben sie dahingehend geprüft.

Wir überprüfen alle Verträge mit Auftragsverarbeitern, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. In der Verordnung wird explizit darauf hingewiesen, dass Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten sollen, die hinreichend Garantien zum Schutz der Rechte Betroffener bieten (Art. 28).

Existiert eine generelle Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen als Teil Ihrer Dokumentation über Verarbeitungstätigkeiten ?

  • Ja, wir verfügen über eine solche Dokumentation und aktualisieren sie regelmäßig.

Die DSGVO fordert eine generelle Beschreibung der angewendeten technischen und organisatorischen Sicherheitsmaßnahmen als Teil Ihres Verzeichnisses von Verarbeitungstätigkeiten (Art. 30).

Gibt es festgelegte Prozesse und Verfahren im Falle eines Datenverlustes (einschließlich der Meldung an die zuständige Aufsichtbehörde) ?

  • Ja

Laut DSGVO müssen Sie sich für den Fall eines Datenabflusses/Sicherheitslecks umfangreich vorbereiten. Er ist definiert als eine "Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden". Sie müssen eindeutige Richtlinien und Verfahren haben, um auf eine Verletzung reagieren und sie notfalls melden zu können.

Haben wir Maßnahmen im Sinne von "Datenschutz durch Technikgestaltung" (Privacy by Design) für neue Prozesse oder Produkte implementiert, die sich in der Entwicklung befinden ?

  • Ja, "Datenschutz durch Technikgestaltung" ist in unserer Organisation umfassend implementiert.

Laut DSGVO müssen Sie interne Strategien festlegen und Maßnahmen implementieren, die den Prinzipien "Datenschutz durch Technikgestaltung" (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) erfüllen. Darunter zählt zum Beispiel, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden oder der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen (ErwG. 78).

Haben wir einen Plan für die Umsetzung der DSGVO ?

  • Ja, wir haben einen Plan und bereiten uns aktiv auf die DSGVO vor.

Für eine vollständige Umsetzung der DSGVO sollten Organisationen angemessene Schritte zum Schutz vor Risiken durch Cyberangriffe einleiten, die auf personenbezogene Daten abzielen. Sie sollten potenzielle Schwachstellen in Ihrem Unternehmen sowie Ihrer Infrastruktur ermitteln und angemessene Richtlinien, Standards, Verfahren und Mitarbeiterschulungen aufsetzen. Darüber hinaus sollten geschäftliche Vereinbarungen, Verträge und Versicherungen geprüft werden. Wir denken immer daran, dass unser Plan zur Umsetzung der DSGVO zu komplex sein könnte, um ihn ausschließlich mit intern verfügbaren Ressourcen durchzusetzen.

Ihre Suzana Ulbrich