Konzepte
Personenbezogene Daten
Eines der zentralen Konzepte der GDPR ist das Konzept der “personenbezogenen Daten”. Dieses Konzept bestimmt, ob die GDPR für die Verarbeitung von Daten gilt oder nicht. Nur wenn personenbezogene Daten betroffen sind, muss die Verarbeitung in Übereinstimmung mit der GDPR erfolgen. Daher ist es wichtig, dieses Konzept korrekt auszufüllen.
Die GDPR definiert personenbezogene Daten als “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen”. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.”
Diese Definition wurde bewusst so weit wie möglich
gefasst. Infolgedessen fallen viele Verarbeitungen unter die GDPR, da schnell entschieden werden kann, dass es sich um personenbezogene Daten handelt. Jede Form von Informationen, die zu einer natürlichen Person führen können, sind personenbezogene Daten. Es ist daher unvermeidlich, dass Ihre Organisation personenbezogene Daten verarbeitet, und daher müssen Sie mit der GDPR konform sein.
Es gibt zwei verschiedene Kategorien von personenbezogenen Daten, “gewöhnliche” personenbezogene Daten und “sensible” personenbezogene Daten. Sensible personenbezogene Daten sind personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen hervorgehen. Aber auch die Verarbeitung von genetischen und biometrischen Daten sowie von Daten, aus denen sich das Sexualverhalten einer Person ableiten lässt, sind davon erfasst. Die Verarbeitung dieser Daten ist prinzipiell verboten. Die GDPR sieht nur wenige strenge Zulässigkeitsbedingungen vor, wie z. B. die ausdrückliche Einwilligung der betroffenen Person, die notwendige Verarbeitung im Rahmen des Arbeits- und Sozialversicherungsrechts, der Schutz lebenswichtiger Interessen der betroffenen Person…
Wenn Sie Zweifel haben, ob die Verarbeitung, die Ihre Organisation durchführen möchte, eine Verarbeitung personenbezogener Daten ist, sollten Sie prüfen, ob Sie die Daten zu einer natürlichen Person zurückverfolgen können. Wenn sie zurückverfolgt werden kann, ist die Verarbeitung eine Verarbeitung personenbezogener Daten und Sie müssen die Regeln der GDPR befolgen.
Gründe für die Verarbeitung
Nach der GDPR ist eine Verarbeitung nur dann rechtmäßig, wenn es dafür einen Verarbeitungsgrund gibt. Sie bietet sechs Gründe:
1. die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;
2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung von Maßnahmen auf Antrag der betroffenen Person vor Abschluss eines Vertrags erforderlich
3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt
4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
5. die Verarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; 6. die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt
6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.
Lässt sich die Verarbeitung personenbezogener Daten nicht auf einen der vorgenannten Gründe stützen, so ist die Verarbeitung unrechtmäßig. Falls erforderlich, dürfen die personenbezogenen
Daten nicht verarbeitet werden.
Wenn Sie Ihre Verarbeitung ausschließlich auf eine Einwilligung stützen, sind Sie als Verarbeiter den Launen der betroffenen Person ausgeliefert. Wir raten Ihnen daher, die Verarbeitung auf einen der anderen Gründe für die Verarbeitung zu stützen (möglicherweise zusätzlich zur Einwilligung). In den meisten Fällen wird ein berechtigtes Interesse oder die Erfüllung einer Vereinbarung das beste Argument sein. Es ist am besten, die Verarbeitung nur dann auf die Einwilligung der betroffenen Person zu stützen, wenn kein anderer Grund für die Verarbeitung vorliegt.
Zustimmung
Der Begriff “Einwilligung” wird weit ausgelegt, da die GDPR von dem Grundsatz ausgeht, dass die betroffene Person auf so transparente und einfache Weise informiert werden muss, dass sie sich freiwillig für die Verarbeitung ihrer personenbezogenen Daten entscheidet. Zu diesem Zweck muss die Einwilligung nicht nur (i) frei, (ii) spezifisch und (iii) informiert sein, sondern auch (iv) eindeutig und (v) durch eine Erklärung oder eine eindeutige aktive Handlung erteilt werden.
1. Damit eine Einwilligung rechtsgültig ist, muss die Person eine echte Wahlmöglichkeit haben, und es darf keine Täuschung, Einschüchterung oder Nötigung vorliegen, und die Person darf nicht Gefahr laufen, erhebliche negative Folgen zu tragen, wenn sie nicht einwilligt. Wenn die Folgen der Einwilligung die Entscheidungsfreiheit des Einzelnen einschränken, kann von einer “freien” Einwilligung keine Rede sein.
2. Als nächstes muss die Zustimmung spezifisch sein. Eine allgemeine Einwilligung ohne klare Angabe des genauen Zwecks der Verarbeitung ist nach dem Geist der GDPR nicht akzeptabel. Die Erteilung einer Einwilligung für einen bestimmten Zweck umfasst alle mit diesem bestimmten Zweck verbundenen Verarbeitungstätigkeiten, so dass nicht für jede Verarbeitungstätigkeit eine gesonderte Einwilligung erforderlich ist. Mit anderen Worten: Wenn die Einwilligung für verschiedene Zwecke eingeholt wird, muss der für die Datenverarbeitung Verantwortliche die Möglichkeit bieten, für jeden dieser Zwecke separat einzuwilligen.
3. Bevor die Einwilligung der betroffenen Person eingeholt wird, sollte die betroffene Person über die Verarbeitung informiert werden. Das bedeutet auch, dass die betroffene Person darüber informiert werden muss, dass sie ihre Einwilligung jederzeit ohne
nachteilige Folgen widerrufen oder verweigern kann. Damit die Einwilligung in voller Kenntnis der Sachlage erteilt werden kann, sollte die betroffene Person zumindest mit der Identität des für die Verarbeitung Verantwortlichen und den Zwecken der Verarbeitung personenbezogener Daten vertraut sein. Es besteht also ein klarer Zusammenhang zwischen den Transparenzpflichten als Grundprinzip und der Einwilligung.
4. Das vierte Element betrifft den eindeutigen Charakter der Zustimmung. Der Ausdruck der Einwilligung, mit dem die betroffene Person ihre Zustimmung zur Verarbeitung personenbezogener Daten erteilt, muss eindeutig sein. Besteht hieran ein begründeter Zweifel, liegt eine Mehrdeutigkeit vor.
5. Schließlich verlangt die GDPR, dass die Einwilligung in Form einer Erklärung oder einer aktiven Handlung erfolgen muss. Aus der Untätigkeit/dem Schweigen der Person kann niemals auf eine Zustimmung geschlossen werden. Dies bedeutet nicht, dass die Zustimmung auch schriftlich erfolgen muss. Grundsätzlich genügt auch eine mündliche Erklärung oder eine Handlung, aus der ohne Zweifel auf eine Einwilligung geschlossen werden kann. Da die Beweislast jedoch bei der für die Verarbeitung verantwortlichen Partei liegt, wird dringend empfohlen, die Zustimmung schriftlich zu erteilen.
Zusammenfassend lässt sich sagen, dass die Einwilligung als der klarste und einfachste Grund für die Verarbeitung angesehen werden kann. Die Kehrseite der Medaille ist, dass sie auch der schwächste Grund für die Verarbeitung ist, da die Einwilligung jederzeit von der betroffenen Person widerrufen werden kann.
Controller & Prozessor
Aus datenschutzrechtlicher Sicht ist die Frage nach der Identität des Datenverantwortlichen wesentlich. Denn sie legt fest, welche Stelle für die Einhaltung der datenschutzrechtlichen Pflichten und für die Sicherstellung der Ausübung der Rechte der Betroffenen verantwortlich ist. Ein für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Ihre Organisation kann als ein gemeinsamer Datenverantwortlicher handeln. Dies ist dann der Fall, wenn sie zusammen mit einer oder mehreren Organisationen gemeinsame Antworten auf die Fragen gibt, warum und
wie personenbezogene Daten verarbeitet werden sollen. Sie sollten eine Vereinbarung treffen, die ihre jeweiligen Verantwortlichkeiten für die Einhaltung der GDPR festlegt.
Die GDPR bezeichnet einen Auftragsverarbeiter als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In der Regel wird ein Auftragsverarbeiter eine dritte Partei außerhalb des Unternehmens sein, aber es gibt auch Situationen, in denen ein Verantwortlicher und ein Auftragsverarbeiter durch dieselbe Organisation identifiziert werden. Die spezifischen Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen werden in einem Auftragsverarbeitungsvertrag festgelegt.
Verarbeitungsregister
Wenn Ihre Organisation personenbezogene Daten verarbeitet, muss ein Register über diese Verarbeitungstätigkeiten erstellt werden. Um jedoch die besondere Situation von kleinen, mittleren und Kleinstunternehmen zu berücksichtigen, enthält die GDPR eine Ausnahmeregelung für Organisationen mit weniger als 250 Mitarbeitern hinsichtlich der Aufbewahrung von Aufzeichnungen. Im Prinzip müssen sie kein Register
erstellen, es sei denn:
1. die Verarbeitung, die sie durchführen, wahrscheinlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt;
2. die Verarbeitung nicht nebensächlich ist
3. die Verarbeitung besondere Kategorien von Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten betrifft.
Dieses Register enthält obligatorische Daten, die von der GDPR auferlegt werden. Welche Daten hier genau aufgenommen werden sollten, hängt von der Rolle Ihrer Organisation ab, nämlich Datenverantwortlicher oder Datenverarbeiter.
Für den Fall, dass Ihre Organisation der Datenverantwortliche ist, müssen die folgenden Informationen enthalten sein:
1. den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen und etwaiger gemeinsam für die Datenverarbeitung Verantwortlicher sowie gegebenenfalls des Vertreters des für die Datenverarbeitung Verantwortlichen und des
Datenschutzbeauftragten;
2. die Zwecke der Verarbeitung;
3. eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten
4. die Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, einschließlich Empfängern in Drittländern oder internationalen Organisationen
5. gegebenenfalls die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Identifizierung dieses Drittlandes oder dieser internationalen Organisation und, falls nach der GDPR erforderlich, der Dokumentation angemessener Garantien
6. wenn möglich, die vorgesehenen Fristen, innerhalb derer die verschiedenen Datenkategorien gelöscht werden sollen
7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Wenn Ihre Organisation als Verarbeiter fungiert, müssen die folgenden Informationen in das Register aufgenommen werden:
1. den Namen und die Kontaktdaten der Auftragsverarbeiter und jedes für die Verarbeitung Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt, sowie gegebenenfalls des Vertreters und des Datenschutzbeauftragten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters;
2. die Kategorien von Verarbeitungen, die im Auftrag des jeweiligen Verantwortlichen durchgeführt werden;
3. gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation unter Angabe dieses Drittlandes oder dieser internationalen Organisation und, falls nach der GDPR erforderlich, der Dokumentation der entsprechenden Garantien;
4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Diese Aufzeichnungen sollten in Ihrer Organisation immer einsehbar sein. Auf diese Weise kann die zuständige
Datenschutzbehörde sie bei einem Audit anfordern. Es ist daher wichtig, dass Sie diese erstellen und aufbewahren. Die Mitwirkung des für die Datenverarbeitung Verantwortlichen oder des Auftragsverarbeiters ist obligatorisch. Es ist erlaubt, dies elektronisch zu tun, aber bedenken Sie die Möglichkeit, dass Sie nicht mehr auf diese Aufzeichnungen zugreifen können, wenn es ein Problem mit dem elektronischen Medium gibt. Daher kann es sinnvoll sein, diese Dokumente auf unterschiedliche Weise aufzubewahren, z. B. auf Festplatte, Cloud-Server, Papier, …
Wenn Sie Hilfe beim Einrichten dieser Register benötigen, können Sie sich jederzeit an uns wenden.
Verarbeiter-Vereinbarung
In den meisten Fällen wird Ihre Organisation im Rahmen ihrer Aktivitäten die Dienste anderer Unternehmen in Anspruch nehmen. Denken Sie an Lohnbuchhaltung, Website-Verwaltung, Buchhaltung, … Bei der Ausführung dieser Aufgaben ist es möglich, dass diese Unternehmen personenbezogene Daten in Ihrem Auftrag verarbeiten. Dies bedeutet, dass Ihr Unternehmen als Datenverantwortlicher und das andere Unternehmen als Auftragsverarbeiter angesehen wird.
In Übereinstimmung mit der GDPR muss diese Beziehung in einer Vereinbarung festgehalten werden, diese wird auch als Verarbeitungsvertrag bezeichnet. Sie können sich für eine individuelle Vereinbarung oder Standardvertragsklauseln entscheiden, die entweder direkt von der Kommission oder von einer Aufsichtsbehörde im Rahmen des Kohärenzverfahrens und anschließend von der Kommission angenommen werden. Diese Vereinbarung wird dem Hauptvertrag oft als Nachtrag beigefügt, kann aber auch Teil des Hauptvertrags sein. Diese Vereinbarung sollte die folgenden Elemente enthalten:
Darüber hinaus sieht die GDPR vor, dass die Vereinbarung vorsehen muss, dass der Auftragsverarbeiter:
1. die personenbezogenen Daten nur auf der Grundlage schriftlicher
Weisungen des für die Verarbeitung Verantwortlichen zu verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, eine für den Auftragsverarbeiter geltende Bestimmung des Unionsrechts oder des Rechts der Mitgliedstaaten verpflichtet ihn zur Verarbeitung. In einem solchen Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese Rechtsvorschrift, es sei denn, diese Rechtsvorschrift verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses;
2. sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder durch eine entsprechende gesetzliche Verpflichtung zur Vertraulichkeit gebunden sind
3. alle erforderlichen technischen und organisatorischen Maßnahmen trifft;
4. kann einen anderen Prozessor verwenden oder nicht
5. Unterstützung bei der Erfüllung der Pflicht des für die Verarbeitung Verantwortlichen, auf Anfragen bezüglich der Ausübung der
Rechte der betroffenen Person zu antworten; 6. Unterstützung, um sicherzustellen, dass die Rechte der betroffenen Person eingehalten werden
6. bietet Unterstützung in Bezug auf die technischen und organisatorischen Maßnahmen des Verantwortlichen und DPIA
7. löscht die personenbezogenen Daten oder gibt sie bei Beendigung des Vertrages an den Verantwortlichen zurück
8. dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung stellt, die für den Nachweis der Einhaltung der vorstehenden Verpflichtungen erforderlich sind, und Prüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen von diesem beauftragten Prüfer zulässt und dazu beiträgt.
Wenn Ihre Organisation neue Verträge abschließt, ist es wichtig, dass diese Punkte in die Vereinbarung aufgenommen werden. Bei bereits bestehenden Verträgen ist es am besten, sich für einen Nachtrag zum bestehenden Vertrag zu entscheiden, um Ihre Organisation in Einklang mit der GDPR zu bringen. Datenschutzbeauftragter (DSB)
Die GDPR verlangt in einer Reihe von Fällen die Ernennung eines Datenschutzbeauftragten, der als “DSB” bezeichnet wird. Ein DSB ist ein Datenschutzbeauftragter, der ein Unternehmen beaufsichtigt, das personenbezogene Daten in großem Umfang verarbeitet. Er spielt eine wichtige Rolle bei der Vereinfachung der komplizierten und manchmal vagen Vorschriften. Er informiert und berät den Datenverantwortlichen und seine Mitarbeiter über die Verpflichtungen, die sich aus der GDPR ergeben. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte in alle Angelegenheiten, die den Schutz personenbezogener Daten betreffen, ordnungsgemäß und rechtzeitig einbezogen wird. Darüber hinaus wird er die Einhaltung der gesetzlichen Bestimmungen sowie der Richtlinien zur Umsetzung der GDPR überwachen. Der DSB ist in Bezug auf die Erfüllung seiner Aufgaben zur Geheimhaltung bzw. Vertraulichkeit verpflichtet.
Das Vorhandensein eines DSB ist sicherlich nicht für jeden zwingend erforderlich. Die GDPR verlangt dies nur für drei Kategorien:
Beispiele für die systematische Verarbeitung in großem Umfang sind die Verarbeitung von Patientendaten durch Krankenhäuser, die Erfassung von Reisedaten von Bürgern in Bussen, die Verarbeitung von Kundendaten durch Versicherungen oder Banken, die Verarbeitung von Daten durch Telekommunikationsnetze und die Verfolgung von Standortdaten. Dabei werden die Anzahl der betroffenen Personen, das Datenvolumen, die Dauer der Datenverarbeitung und das geografische Gebiet der Verarbeitung betrachtet.
Die GDPR schreibt keine spezifischen Zertifizierungen für einen DSB vor, verlangt aber, dass er über die notwendigen Datenschutzkenntnisse und -erfahrungen verfügt. Der DSB muss nachweisen können, dass er über die für die Art der verarbeiteten Daten erforderlichen Schutzmaßnahmen gut informiert ist und ein hohes Maß an Professionalität an den Tag legt. Aus diesem Grund wird dringend empfohlen, dass der DSB eine entsprechende Schulung absolviert, wenn man sich dafür entscheidet, jemanden innerhalb des Unternehmens zu benennen oder einen extern geschulten DSB zu bestellen.
Darüber hinaus fungiert der DSB als erste Anlaufstelle für die Datenschutzbehörde und es wird erwartet, dass er mit der Behörde zusammenarbeitet. Betroffene Personen können sich jederzeit an den Datenschutzbeauftragten wenden, wenn es um die Verarbeitung ihrer Daten und die Ausübung ihrer Rechte geht.
Die Bestellung eines DSB ist zwar nicht in allen Fällen verpflichtend, aber für größere Unternehmen (> 50 Mitarbeiter) ist es dennoch ratsam, einen Datenschutzbeauftragten einzusetzen. Die Komplexität der Gesetzgebung und deren
Umsetzung im Unternehmen nimmt viel Zeit und Energie in Anspruch. Daher ist es für viele Unternehmen beruhigender, in dieser Hinsicht unterstützt zu werden. Schließlich sind die Bußgelder für die Nichteinhaltung der GDPR nicht gerade gering. Unternehmen, die die GDPR nicht einhalten, riskieren eine Geldstrafe von bis zu 4 % des weltweiten Umsatzes, maximal 20 Millionen Euro.
Wenn Sie es wünschen, können wir Sie dabei unterstützen. Wir haben zertifizierte Datenschutzbeauftragte, die Ihre Organisation jederzeit in Bezug auf die GDPR beraten und unterstützen können.
Datenschutz-Folgenabschätzung.
Eine Datenschutz-Folgenabschätzung (DPIA), oder Datenschutz-Folgenabschätzung, wird von der GDPR in einigen Fällen verlangt. Die Verpflichtung gilt, wenn es sich um eine risikoreiche Datenverarbeitung handelt, bei der neue Technologien eingesetzt werden.
Die GDPR selbst nennt drei Fälle, in denen diese Bedingungen erfüllt sind:
1. es sich um eine systematische und umfassende Bewertung
personenbezogener Aspekte natürlicher Personen handelt, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf deren Grundlage Entscheidungen getroffen werden, die für die natürliche Person rechtliche Folgen nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen;
2. eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten vorliegt
3. eine systematische und großflächige Überwachung der öffentlich zugänglichen Bereiche stattfindet.
Diese Bedingungen werden nur in einer sehr begrenzten Anzahl von Situationen erfüllt sein, was bedeutet, dass eine Datenschutzfolgenabschätzung für die meisten Verarbeitungsvorgänge nicht zwingend erforderlich ist.
Das bedeutet jedoch nicht, dass es keine gute Idee ist, eine DPIA durchzuführen. Wann immer Ihre Organisation personenbezogene Daten verarbeitet oder zu verarbeiten beabsichtigt, ist es interessant, einen guten Überblick über die Verarbeitung zu haben. Ihre Organisation sollte immer
verantwortungsvoll mit den verarbeiteten personenbezogenen Daten umgehen.
Einige der Dinge, die Sie wissen müssen, um verantwortungsvoll mit persönlichen Daten umzugehen, sind:
1. der Ort, an dem die Daten gespeichert sind;
2. was mit den Daten geschieht;
3. auf welcher Rechtsgrundlage die Daten verarbeitet werden;
4. und die technischen und organisatorischen Maßnahmen, die Ihre Organisation zum Schutz der Daten treffen wird (muss).
Dies sind die Elemente, die in einer DPIA untersucht werden.
Wenn Ihre Organisation verantwortungsvoll mit personenbezogenen Daten umgehen will, müssen Sie eine Art Folgenabschätzung für die Verarbeitung durchführen. Wenn Sie die von der GDPR festgelegten Bedingungen erfüllen, handelt es sich um eine formalisierte DPIA. Wenn Sie die Bedingungen nicht erfüllen, wird diese Bewertung einer DPIA sehr ähnlich
sein, wenn auch weniger formalisiert.
Datenschutz
Da Transparenz eines der Grundprinzipien der GDPR ist, ist es wichtig, die betroffenen Personen zu informieren. Diese Informationen sollten in einer klaren, verständlichen und leicht zugänglichen Weise gegeben werden. Das Einfachste, was Sie tun können, ist, eine so genannte “Privacy Policy” auf Ihrer Website zu veröffentlichen und sie auch in Ihrem Büro zur Verfügung zu stellen, so dass die betroffenen Personen immer die Möglichkeit haben, diese Policy einzusehen.
Die Datenschutzrichtlinie muss die möglichen Fragen einer betroffenen Person beantworten. Diese Fragen beinhalten:
1. Wer verarbeitet die personenbezogenen Daten?
2. Warum werden sie bearbeitet?
3. Was ist der Grund für die Verarbeitung?
4. Welche persönlichen Daten werden gespeichert?
5. Wie lange werden sie aufbewahrt?
6. Welche Sicherheitsmaßnahmen werden getroffen?
7. Wer kann bei Fragen/Beschwerden kontaktiert werden?
Es reicht nicht aus, dass Sie eine Antwort auf diese Fragen anbieten, es ist erforderlich, dass diese Antworten auch für die beteiligten Personen verständlich sind. Vermeiden Sie daher Jargon, komplizierte Begriffe und eine allzu technische Sprache. Wenn diese Begriffe unvermeidlich sind, versuchen Sie, sie so zu erklären, dass die betreffende Person sie verstehen kann.
Es ist auch wichtig zu wissen, für wen Ihre Datenschutzrichtlinie gedacht ist. Wenn Sie Dienstleistungen für Ärzte anbieten, können Sie Begriffe verwenden, die Ärzten geläufig sind, da dies Begriffe sind, die sie verstehen können. Wenn Sie jedoch Dienste für Minderjährige anbieten, sollte Ihre Datenschutzrichtlinie sehr einfach sein. Ihre Datenschutzrichtlinie sollte daher so leicht verständlich wie möglich sein und die Zielgruppe berücksichtigen, für die sie erstellt wurde.
Haben Sie Schwierigkeiten, eine Datenschutzrichtlinie zu verfassen? Sind Sie nicht sicher, ob Ihre Datenschutzrichtlinie mit der GDPR übereinstimmt? Mit unserem fundierten Wissen
über Datenschutzgesetze sind wir sicher, dass wir Ihnen eine maßgeschneiderte Datenschutzerklärung anbieten können. Kontaktieren Sie uns und wir schauen uns gemeinsam die Möglichkeiten für eine GDPR-konforme Datenschutzrichtlinie an.
Penetrationstest
Die GDPR verlangt, dass die personenbezogenen Daten, die eine Organisation verarbeitet, angemessen gesichert sind. Diese Sicherheit ist extrem wichtig. Um zu prüfen, ob Ihre Systeme (noch) ausreichend sicher sind, sollten Sie regelmäßig Penetrationstests durchführen lassen.
Penetrationstests sind im Wesentlichen eine kontrollierte Form des Hackings, bei der ein professioneller Tester im Auftrag einer Organisation die gleichen Techniken wie ein krimineller Hacker anwendet, um nach Schwachstellen in den Netzwerken oder Anwendungen des Unternehmens zu suchen. Penetrationstests können entweder an einem fertigen System oder in einer der Phasen der Entwicklung eines neuen Systems durchgeführt werden.
Die Durchführung solcher Tests wird es Ihnen erleichtern,
die von der GDPR geforderten technischen Maßnahmen zum Schutz der verarbeiteten Daten zu ergreifen. Vielmehr finden Sie heraus, wo die Schwachstellen Ihrer Infrastruktur liegen, so dass Sie gezielt gegen diese Schwachstellen vorgehen können. Diese Tests können sich später als sehr wichtig erweisen. Im Falle eines Datenlecks prüft zum Beispiel die Datenschutzbehörde (DPA), ob Sie ausreichende Maßnahmen ergriffen haben, um dieses Leck zu verhindern. Bei dieser Beurteilung kann unter anderem eine Rolle spielen, ob Penetrationstests durchgeführt wurden oder nicht. Penetrationstests sind daher ein fester Bestandteil einer Organisation, die in Übereinstimmung mit der GDPR handeln möchte.
Wenn Sie Ihre Organisation einem solchen Penetrationstest unterziehen möchten, können Sie unsere Dienste in Anspruch nehmen. Wir bieten Tests auf Netzwerk-, Server- und Anwendungsebene an. Für weitere Informationen zu solchen Tests und ein kostenloses Angebot, zögern Sie bitte nicht, uns zu kontaktieren.
