• Datenschutz für kleine Unternehmen und Vereine

    „Und die Größe spielt doch keine Rolle…!“

    An die Vorgaben aus der neuen EU-Datenschutzgrundverordnung (DS-GVO) und dem neuen Bundesdatenschutzgesetzt müssen sich alle Unternehmen und Vereine halten.
    Der Gesetzgeber spricht von Verantwortlichen bzw. verantwortlichen Stellen. Damit sind alle Selbstständigen, Unternehmen und Vereine gemeint, die personenbezogene Daten verarbeiten.

    Personenbezogene Daten sind alle Informationen, die eine natürliche Person direkt oder indirekt identifizieren. Dazu gehören z.B.: Name, Adresse, Kontaktdaten, Personal-Nr., Mitglieds-Nr., Bankverbindung.

    Besondere Kategorien personenbezogene Daten sind Angaben zu:
    rassische / ethnische Herkunft
    | politische Meinung | Gewerkschaftszugehörigkeit | genetische Daten | biometrische Daten | Gesundheitsdaten | Sexualleben oder sexuelle Orientierung | religiöse oder weltanschauliche Überzeugung

    Wenn Sie in Ihrem Unternehmen oder Verein weniger als zehn Personen mit der Verarbeitung von personenbezogenen Daten beschäftigen, dann können Sie sich an den folgenden Informationen orientieren.

    Sie können auch die notwendigen Unterlagen für Ihr Unternehmen oder Ihren Verein von uns kostenpflichtig beziehen. Nutzen Sie hierfür unser Dokumentenformular.

    Wichtiger Hinweis:

    Wir sind eine Datenschutzberatung, keine Rechtsanwälte. Wir erteilen daher keine Rechtsberatung, sondern informieren nur fachlich. Die folgenden Ausführungen stellen eine Einführung in die Thematik dar und können eine individuelle Beratung nicht ersetzen. Bei bestimmten Punkten verweisen wir darauf, dass Sie sich den Rat eines Rechtsanwalts einholen sollten bzw. empfehlen eine individuelle Beratung.

  • Wie kann man als Unternehmen/Verein einen Mehrwert aus Datenschutz erzielen?

    Datenschutz bietet Ihnen Leitplanken mit denen Sie Ihre Daten schützen und Ihr Unternehmen zukunftsfähig machen.

     Zutrittskontrolle: Schutz vor unerlaubten Zutritt zu der Datenverarbeitung.

    Bedeutung für Ihren Alltag:

    Sind Ihre Daten auf einem Rechner/Laptop gespeichert, der einfach offen herum steht, oder sind die Daten in einem Rechenzentrum oder auf einem Server gespeichert?

     Zugangskontrolle: Login-Daten und Passwortregelung

    Bedeutung für Ihren Alltag:

    Wer kennt Ihre Login-Daten? Wie sind Ihre Passwörter aufgebaut?

    Ihre Login-Daten, also Nutzername zu Ihrem Computer/Laptop / Smartphone, aber auch Software, Online-Plattformen und Sicherungsbändern sollte nur Ihnen bekannt sein.

    Für die Organisation von Login-Daten und Passwörtern eignet sich ein Passwort-Safe, wie z.B.: Keepass.

    Um Passwörter zu überprüfen empfehlen wir www.passwortcheck.ch.

     Zugriffskontrolle: Wer hat welche Berechtigungen und kommt wie an Daten

    Bedeutung für Ihren Alltag:

    Spätestens, wenn man den ersten Mitarbeiter beschäftigt, muss man sich Gedanken machen, welche Informationen sind für wen, wann und wie lesbar, veränderbar und nutzbar.

    Viele kleine Unternehmen stehen auf dem Standpunkt, dass alle Mitarbeiter alle Informationen benötigen und dass dies für das Unternehmen förderlich sei. Bei allen erfolgreichen Unternehmen, angefangen bei Jakob Fugger hin bis zu Google war und ist dies anders!

    Wohin entsorgen Sie Ihre Papierunterlagen? Die Papiertonnen kann jeder öffnen!

    Wir empfehlen den Einsatz von Aktenvernichtungstonnen, die Sie über Dienstleiter beziehen können. Einfacherer und sicherer geht Aktenvernichtung nicht.

     Trennungsgebot: Daten, die zu unterschiedlichen Zwecken verarbeitet werden, müssen voneinander getrennt werden.

    Bedeutung für Ihren Alltag:

    Die größte Schwachstelle bei kleinen Unternehmen und Vereinen ist die Vermischung von geschäftlichen und privaten Daten. Trennen Sie die Daten entsprechend der Zweckbindung. Kundendaten sind keine Freundesliste und Mitgliederdaten nicht die Einladungsliste für die Geburtstagsparty.

     Weitergabekontrolle: Wer bekommt wie welche Informationen

    Bedeutung für Ihren Alltag:

    Eine normale Email, hat den Sicherheitsstandart einer Postkarte, die mit Bleistift geschrieben wurde – also keinen. Es gibt sehr unterschiedliche Verschlüsselungssysteme und Sie sollten sich das System auswählen, dass zu dem Schutzbedarf Ihrer Daten passt. In diesem Fall empfehlen wir eine individuelle Beratung durch Fachleute.

     Eingabekontrolle: Wer erfasst, verändert oder löscht Daten

    Bedeutung für Ihren Alltag:

    In vielen Programmen arbeitet man heute mit Logs, so dass Veränderungen an den Daten immer nachvollziehbar sind.

    Entsprechend des Schutzbedarfs Ihrer Daten sollten Veränderungen immer, auch bei Papierakten, nachvollziehbar sein.

    Wenn Sie an dieser Stelle ausreichend Informationen erfassen, haben Sie auch im Falle eines Auskunftsersuchens weniger Probleme mit dem Nachweis aus welcher Quelle die Daten stammen und was damit gemacht wurde.

     Verfügbarkeit & Wiederherstellbarkeit: Wie schützen Sie Ihre Daten gegen Zerstörung und Verlust

    Bedeutung für Ihren Alltag:

    Haben Sie sich schon einmal Gedanken dazu gemacht, wie lange Sie auf Ihre Daten, Software und Systeme verzichten können, ohne dass es ernsthafte Auswirklungen auf Ihr Unternehmen oder Verein hat.

    Je nach Anwendung und Daten kann die Ausfallzeit mal eine Woche betragen, bei den wichtigen Systemen werden Sie schon mit einer Ausfallzeit von einem Tag Probleme haben.

    Entsprechende Backup-Systeme, unterbrechungsfreie Stromversorgung, Brandschutz und IT-Sicherheitsmaßnahmen wie Verschlüsselung von Festplatten, Virenschutz und Firewall sollten bei jedem Unternehmen umgesetzt werden.

    Auch hier empfehlen wir die Hinzuziehung von Fachleuten.

  • Diese Punkte sollten Sie auf jeden Fall beachten

    Allgemein

     Vorgabe für den Umgang mit E-Mails implementieren

    E-Mails stellen eine erhebliche Gefahr für die Sicherheit von Unternehmen und Vereinen da. Es ist deshalb wichtig, dass Jeder über den Umgang mit E-Mails ausreichend informiert ist.

    Ausgehende E-Mail:

    1.    Ist der Empfänger richtig ausgewählt?

    2.    Ist der Inhalt E-Mail tauglich? Nicht verschlüsselte E-Mails sind vergleichbar mit Postkarten – Jeder kann sie lesen und verändern. Sensible Informationen, hierzu gehören z.B. Kundenlisten sollten daher nur verschlüsselt übertragen werden.

    Eingehende E-Mails:

    1.    Immer nur im Vorschaufenster anschauen, nicht gleich öffnen!

    2.    Absender genau prüfen!

    3.    Test auf Inhalt und Sinn prüfen!

    4.    Anlage prüfen!

     Verschlüsselte Datenübertragung nutzen

    Vertrauliche Daten und personenbezogene Daten müssen entsprechend ihrer Schutzwürdigkeit verschlüsselt übertragen werden.

    Wenn Sie keine verschlüsselte E-Mail versenden oder empfangen können, dann nutzen sie entsprechende Portale wie z.B. TeamDrive.

     Verfahrensübersicht mit Risikobewertung erstellen und pflegen

    Entsprechend Artikel 30 DS-GVO muss ein Verzeichnis von Verarbeitungstätigkeiten erstellt und geführt werden.

    Wir haben für Sie bei den Dokumenten eine entsprechende Vorlage (Dokument1) vorbereitet.

     Den Umgang mit Datenpannen definieren

    Entsprechend Artikel 33 DS-GVO spricht man von Datenpannen dann, wenn der Schutz von personenbezogenen Daten verletzt wurde. Wichtig ist, dass es mit der DS-GVO eine Meldepflicht von Datenpannen gibt. Diese Meldung ist innerhalb von 72 Stunden nach Bekanntwerden vorzunehmen. Es sei denn, dass die Schutzverletzung voraussichtlich kein Risiko für die Rechte und Freiheit der Betroffenen darstellt.

    Wir empfehlen in dem Fall einer Datenpanne die Beratung durch  Fachleute (Rechtsanwälte bzw. Datenschutzberater) einzuholen.

     

    Mitarbeiter

     Verpflichtung auf Beachtung der datenschutzrechtlichen Anforderungen

    Die Aufsichtsbehörden empfehlen, dass alle Mitarbeiter auf die Beachtung der datenschutzrechtlichen Anforderungen schriftlich verpflichtet werden.

    Wir haben für Sie bei den Dokumenten eine entsprechende Vorlage (Dokument2) vorbereitet.

     Regelmäßige Sensibilisierung / Schulung

    Datenschutz und der richtige Umgang mit Daten ist wichtig für die Entwicklung und den Bestand Ihres Unternehmens/Verein. Damit Ihre Mitarbeiter auch wissen, was sie dürfen, sollen und müssen ist die regelmäßige Schulung wichtig. Wie Sie das machen, ist Ihnen überlassen. Gerne unterstützen wir Sie dabei, einfach eine Anfrage an dirk.janthur[et]unternehmensfreiheit.de senden.

     

    Kunden / Mitglieder

     Zustimmung zur Datenverarbeitung / Vertrag

    Für jede Datenverarbeitung benötigen Sie eine Rechtsgrundlage!

    Eine Zustimmungserklärung ist hier der beste und meist einfachste Weg.

    Wir haben für Sie bei den Dokumenten eine entsprechende Vorlage (Dokument3) vorbereitet.

     Beachtung der Informationspflicht

    Wenn Sie personenbezogene Daten verarbeiten haben Sie entsprechend Artikel 13 und 14 DS-GVO Informationspflichten. Hierzu gehört zum einen, dass der Betroffene auch ein Exemplar der Zustimmungserklärung erhält bzw. deren Inhalt nachlesen kann.

    Zum anderen gehört aus unserer Sicht auch eine Verarbeitungsübersicht entsprechend Artikel 30 (2) Ds-GVO.

    Sie können hierfür die Vorlage zum Verarrbeitungsverzeichnis (Dokument1) nutzen.

     Beachtung der Rechte der Betroffenen

    1. Auskunftsrecht (Artikel 15 DS-GVO)

    2. Recht auf Berichtigung (Artikel 16 DS-GVO)

    3. Recht auf Löschung "Recht auf Vergessenwerden" (Artikel 17 DS-GVO)

    4. Recht auf Einschränkung der Verarbeitung (Artikel 18 DS-GVO - Artikel 19 DS-GVO beachten.)

    5. Recht auf Datenübertragbarkeit (Artikel 20 DS-GVO)

    6. Widerspruchsrecht (Artikel 21 DS-GVO)

    Wenn ein Betroffener eines dieser Rechte bei Ihnen wahrnimmt bzw. einen entsprechenden Antrag stellt, empfehlen wir diesen Vorgang mit Fachleuten zu sprechen und zu bearbeiten.

     

    Dienstleister (Auftragsverarbeiter)

     Übersicht erstellen und pflegen

    Als Verantwortlicher müssen Sie wissen, welche Dienstleister verarbeiten in Ihrem Namen welche Daten und wie. Auftragsverarbeitung findet oft statt, z.B. beim Hosting von Webseiten, bei IT-Dienstleistern, Supporttätigkeiten etc.

    Erstellen Sie für sich eine entsprechende Übersicht und pflegen Sie diese Übersicht ständig.

     Kontrolle der Dienstleister

    Als verantwortliche Stelle müssen Sie Ihre Auftragsverarbeiter sorgfältig auswählen. Der Artikel 28 DS-GVO gibt hierzu die Vorgaben.

     Vertrag über die Auftragsverarbeitung abschließen

    Artikel 28 DS-GVO regelt auch, dass ein entsprechender Vertrag über die Auftragsverarbeitung abgeschlossen werden muss. Manche Dienstleiter nutzen eigene Vertragsentwürfe, so dass sie mit allen Kunden den gleichlautenden Auftragsverarbeitungsvertrag abschließen. Wie bei allen Verträgen ist auch hier eine Prüfung sinnvoll.

    Wenn Sie einen eignen Vertrag nutzen wollen, haben wir für Sie bei den Dokumenten eine entsprechende Vorlage vorbereitet.

     

    Webseite

     Impressum korrekt erstellen

    Die Impressumspflicht ist fast so alt, wie das Internet und trotzdem sind mangelhafte Impressumangaben immer noch eine ergiebiges Einkommensquelle für Abmahnanwälte.

    Wir haben für Sie bei den Dokumenten eine entsprechende Vorlage vorbereitet, so dass Sie kein Opfer von Abmahnanwälten werden.

     Datenschutzerklärung passend zur eigenen Webseite

    Die Datenschutzerklärung der Webseite ist die Informationsquelle für alle Betroffenen (Nutzer) über die Datenverarbeitung. Es ist deshalb wichtig, dass die Datenschutzerklärung verständlich und vollständig ist.

    Wir haben für sie bei den Dokumenten eine entsprechende Vorlage vorbereitet. Diese Vorlage umfasst die heute üblichen Bereiche.

    Wenn Sie weitere Punkte auf Ihrer Webseite nutzen, können wir die Datenschutzerklärung gerne für Sie individuell anpassen. Bitte eine E-Mail an dirk.janthur[et]unternehmensfreiheit.de senden.

     Einbindung von Apps/Plug-Ins genau prüfen

    Es ist öfters üblich Apps oder Plug-Ins in Webseiten einzubinden. Gerade bei Social-Plug-Ins wie Facebook, Twitter & Co muss man jedoch sehr vorsichtig sein. Die einfache Einbindung verstößt in den meisten Fällen gegen die Datenschutzvorgaben. Wenn dann als sogenannte Shariff-Lösung einbinden. Entsprechende Informationen finden Sie unter www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

     Privacy by Design beachten

    Privacy by Design bedeutet, dass der Nutzer die Möglichkeit des Einflusses auf die Datenverarbeitung bei Anwendungen, wie Webseite oder Apps haben muss. Wenn sie intensiv Daten mit Webseiten und Apps verarbeiten, empfehlen wir die Hinzuziehung von Fachleuten. Eine Beratung kann hier viel Ärger und Geld sparen.

     Verschlüsselung vornehmen

    Jede Webseite erhebt personenbezogene Daten, z.B. IP-Adresse und muss deshalb verschlüsselt sein. Ein SSL-Zertifikat lässt sich einfach implementieren und verbessert auch die Sucheigenschaften auf Google und anderen Suchmaschinen.

     Login-Bereich besonders schützen und Regelungen beachten bzw. erstellen

    Wenn Sie einen Login-Bereich z.B. für die Newsletter-Anmeldung oder den Mitgliederbereich nutzen, denken Sie an Doppel-Opt-In und die ausreichende Verschlüsselung.

     

  • Weitere Informationen

     Newsletter

    Auf www.unternehmensfreiheit.de können Sie sich für unseren Newsletter anmelden und erhalten dann regelmäßig Informationen rund um den Datenschutz.

     Landesdatenschutzbeauftragte

    Zusätzliche Informationen und sogenannte Kurzpapiere finden Sie auf den Webseiten der Landesdatenschutzbeauftragten – einfach googlen J.

     Fragen stellen

    „Wieso, weshalb, warum, Wer nicht fragt, bleibt dumm!“

    Mit diesem Spruch sind viele von uns aufgewachsen und er ist auch heute noch gültig. Wir freuen uns auf Ihre Fragen zum Datenschutz per Email an dirk.janthur[at]janthur.net.

    Sollte eine Antwort den Umfang einer individuellen Beratung annehmen, informieren wir Sie vorab über unsere Honorarsätze.