Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Ratgeber

DP+
Mit einer neuen Verordnung soll beim Aufruf von Websites eine anwenderfreundliche Alternative zu der Vielzahl der heutigen, teils irreführenden oder verwirrenden Cookie-Banner entstehen.
Bild: iStock.com/aoldman
Die neue Einwilligungsverwaltungsverordnung

Keine Frage, sie nerven: Cookie-Banner. Kaum eine Website kommt ohne die Abfrage von Einwilligungen aus. Von undurchsichtigen Schiebereglern über freundliches Nudging bis hin zur fehlenden Möglichkeit einer Ablehnung ist alles vertreten. Damit soll bald Schluss sein.

DP+
Ein Laptop mit geöffnetem E-Mail-Programm: Outlook mit Exchange Online
Bild: juststock / iStock / Getty Images Plus
Das neue Outlook, Teil 3

Das neue Outlook findet immer mehr Verbreitung. Der Einsatz in Unternehmen findet v.a. zusammen mit Exchange Online statt. Dieser Beitrag zeigt, worauf es dabei bezüglich des Datenschutzes ankommt.

Glas: Transparenz oder Schutzverletzung?

Glas ist aus der modernen Architektur kaum wegzudenken. Es steht für Transparenz, Offenheit und Helligkeit und prägt die Arbeitswelt in Büros, Produktionsstätten sowie mobilen Arbeitsumgebungen. Doch Vorsicht ist geboten.

DP+
Die KI-Leitfäden der Bayerischen Staatsregierung raten beim Einsatz generativer KI davon ab, im Internet frei verfügbare KI-Services zu nutzen. Die Nutzung im eigenen Mandanten sei aus Datenschutzsicht zu bevorzugen.
Bild: iStock.com/Tippapatt
Hilfestellung der Bayerischen Staatsregierung

Je einen KI-Leitfaden für das Management und für Beschäftigte hat die bayerische Staatsregierung bereitgestellt. Die Leitfäden wenden sich an alle Dienststellen des Freistaats Bayern mit ihren insgesamt über 350.000 Beschäftigten. Viele Regelungsbausteine eignen sich auch für Unternehmen.

DP+
Der Arbeitnehmerdatenschutz ist beim Einsatz von KI mitzudenken - hier symbolisiert durch schützende Hände eines Business-Mannes über Würfeln mit der Abbildung von Mitarbeitern
Bild: iStock.com/Andrii Yalanskyi
Künstliche Intelligenz im Unternehmen

Der Einsatz von KI-Systemen ist auf dem Vormarsch. Auch Arbeitnehmerdaten sind Gegenstand KI-gestützter Verarbeitung. Sie befinden sich damit im Anforderungsfeld zwischen Fürsorgepflicht, Mitbestimmung und Datenschutz.

Microsoft-Produkte

Seit dem 30. September 2023 hat Microsoft einen neuen Servicevertrag, der für Produkte wie Windows und Office sowie Cloud-Dienste wie OneDrive und Teams gilt. Die Vertragsinhalte werfen viele datenschutzrechtliche Fragen auf: ein Überblick.

DP+
Büroflächenverkleinerungen scheinen zunächst simpel, bieten aber hinsichtlich des Datenschutzes eine Vielzahl von Fallstricken. Vorteilhaft sind hier ein Zeitplan, eine Checkliste und eine sorgfältige Dokumentation der ergriffenen Maßnahmen.
Bild: iStock.com/onurdongel
Aufgabe von Büroflächen

Telearbeit, gelegentliches Arbeiten im Homeoffice und mobiles Arbeiten kommen seit der Pandemie verstärkt vor und ermöglichen es, die Büroflächen zu verkleinern. Dabei gibt es jedoch zahlreiche Datenschutzfallen.

DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks
Externe Dienstleistungen für Krankenhäuser

Eine gesetzliche Neuregelung in Bayern lenkt den Blick darauf, welche Besonderheiten die Auftragsverarbeitung von Patientendaten aus Krankenhäusern aufweist. Aus Anlass der Neuregelung ist eine Arbeitshilfe für technische und organisatorische Maßnahmen entstanden, die auf Besonderheiten bei der Verarbeitung von Patientendaten eingeht.

DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov
Beschäftigtendatenschutz

Es ist in Unternehmen sehr wichtig, Aufgaben zu organisieren wie auch Projekte intern sinnvoll zu steuern. Cloudbasierte (Kanban-)Boards bieten hier viel Potenzial, weisen aber auch datenschutzrechtliche Risken auf. Deshalb ist an dieser Stelle ein Datenschutzkonzept gefragt.

DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink
Datenschutz und Cybersicherheit, Teil 9

Künstliche Intelligenz (KI) kann dabei unterstützen, Cyberangriffe zu erkennen und abzuwehren. Doch KI kann auch selbst zum Datenrisiko werden. Datenschutzbeauftragte sind hier mehrfach gefordert, nicht nur personenbezogene Daten zu schützen, sondern auch Manipulation und Missbrauch zu verhindern.

DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography
Künstliche Intelligenz

Mit Inkrafttreten der KI-VO wird sich der Compliance-Aufwand v.a. für Unternehmen, die Hochrisiko-KI-Systeme anbieten oder betreiben, um ein weiteres Risikomodul erhöhen. Für die Praxis bietet es sich an, das KI-Thema in das Datenschutzmanagement-System zu integrieren.

DP+
Vermieter müssen die DSGVO einhalten: Schwierigkeiten bereitet Verantwortlichen häufig, in welcher Phase eines Mietverhältnisses sie welche personenbezogenen Daten ihrer Mieter verarbeiten dürfen.
Bild: iStock.com/blackCAT
Mietverhältnisse datenschutzkonform verwalten

Vermieter von Wohnraum sind als Verantwortliche verpflichtet, die Regeln der DSGVO einzuhalten. Für private Vermieter mit nur einer oder zwei Wohnungen ist das oft überraschend – doch auch großen Vermietungsgesellschaften gelingt die Einhaltung nicht immer.

DP+
Wer ein Hinweisgebersystem nach Hinweisgeberschutzgesetz einrichten und betreiben möchte, dem stellt sich die Frage nach der datenschutzrechtlichen Verantwortlichkeit
Bild: iStock.com/Nanzeeba Ibnat
Datenschutz-Compliance

Das Hinweisgeberschutzgesetz (HinSchG) sieht die Einrichtung und den Betrieb eines internen Hinweisgebersystems vor, was auch unter Beteiligung externer Dritter oder als gemeinsame interne Meldestelle möglich ist. Wer ist hier datenschutzrechtlich verantwortlich?

DP+
Aktivitäten von Cyberkriminellen: Die EU-Agentur für Cybersicherheit ENISA warnt vor schwerwiegenden Folgen für Patienten
Bild: iStock.com/Tippapatt
Datenschutz und Cybersicherheit, Teil 10

Die digitale Gesundheitsversorgung bietet große Chancen, Patientendaten immer dann und dort, wo jemand sie benötigt, bereitzustellen. Leider könnten auch Cyberkriminelle den besseren Zugang zu den sensiblen Daten nutzen.

Schritt für Schritt zum Berechtigungskonzept
Bild: KrulUA / iStock / Thinkstock
Schlüssel zum Datenschutz

Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr. Trends wie KI, Cloud, Mobility, Big Data und IoT machen es nicht leichter, ein solches Konzept auf die Beine zu stellen. Wir zeigen, worauf es ankommt.

DP+
In der Praxis erfolgt ein Großteil der Kommunikation zwischen Mieter und Vermieter über Messengerdienste wie WhatsApp. Das ist aufgrund der bekannten datenschutzrechtlichen Probleme nicht datenschutzkonform möglich.
Bild: iStock.com/filmfoto
Mietverhältnisse datenschutzkonform verwalten

Die Regeln der ­DSGVO gelten für Vermieter von Wohnraum als Verantwortliche auch im laufenden Miet­verhältnis und bei dessen Beendigung. Für die Weitergabe an Dritte müssen sich Verantwortliche teilweise mit Verträgen zur Auftragsverarbeitung absichern.

Die Stellung von Datenschutzbeauftragten

Oft finden sich DSB in einer passiven Rolle, weil der Arbeitsalltag kaum anderes zulässt. Ihre Aufgaben bieten aber großes Potenzial, aktiv für mehr Datenschutz-Compliance und sichtbareren Datenschutz zu ­sorgen. Die folgenden Bausteine helfen dabei.

Keine Cybersicherheit ohne Datenschutz, Teil 4

Cloud-Apps spielen eine immer größere Rolle. Doch ihre Risiken sind leicht zu übersehen. Security-Lösungen wie Cloud Access Security ­Broker (CASB) sollen den Zugriff auf riskante Cloud-Anwendungen ­verhindern. Das könnte aber zulasten des Datenschutzes gehen.

DP+
Das neue Outlook bringt Einschränkungen beim Datenschutz mit sich.
Bild: Cristina Ionescu/iStock Editorial/Getty Images Plus
Das neue Outlook, Teil 2

Das neue Outlook stellt eine Alternative zum Outlook aus Microsoft Office und den Microsoft-365-Apps dar. Dieser Beitrag durchleuchtet die Einstellungen für den Datenschutz und die Möglichkeiten für Admins, die Software bereitzustellen.

DP+
KI-Modelle und KI-Systeme: Eine Definition symbolisiert durch eine gezeichnete Frau, die auf einem Computer-Chip mit der Aufschrift AI sitzt
Bild: Khafizh Amrullah/iStock/Getty Images Plus
KI-Basics, Teil 1

Datenschutzbeauftragte und Unternehmen stehen mit der Verabschiedung der KI-Verordnung (KI-VO) im August 2024 vor einer neuen regulatorischen Herausforderung. Diese Artikelreihe vermittelt fundiertes Basiswissen und bietet lösungsorientierte Ansätze zur Umsetzung der KI-VO in Unternehmen.

DP+
Die KI-Verordnung (KI-VO) sieht verschiedene Rollen und damit einhergehend verschiedene Verantwortlichkeiten für den Datenschutz vor.
Bild: iStock.com/Atomic62 Studio
KI-Einsatz wirft datenschutzrechtliche Fragen auf

Immer öfter und in immer mehr Bereichen kommt künstliche Intelligenz (KI) zum Einsatz. Doch wer ist eigentlich für die KI-Systeme verantwortlich? Die Frage stellt sich nicht nur aus haftungsrechtlicher Sicht, sondern insbesondere mit Blick auf den Datenschutz.

DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov
Datenschutz im Gesundheitssektor

Als Alternative zur klassischen Terminvereinbarung per Telefon bieten viele Arztpraxen mittlerweile Online-Tools an. Diese haben allerdings die Anforderungen aus der ­DSGVO zu erfüllen.

Datenschutz-Grenzen für Künstliche Intelligenz

Richtlinien für Training und Nutzung generativer KI geben oft vor, auf welche Datenquellen die KI unter welchen Bedingungen zugreifen darf. Doch die Regelung allein kann nicht sicherstellen, dass eine KI nicht doch die Grenzen überschreitet. Es gibt aber bereits technische Lösungen, um solche KI-Vorgaben durchzusetzen. Wir geben einen Überblick.

Grundsätze der Datenverarbeitung, Teil 4

Entgegen einem häufigen Missverständnis geht es bei diesem Grundsatz nicht um das Löschen um jeden Preis, sondern darum, die Anforderungen korrekt zu erfassen und die Konsequenzen in die Praxis umzusetzen.

Nutzen Sie bewährte Prozesse

Künstliche Intelligenz soll die wirtschaftliche und gesellschaftliche Transformation in Deutschland bewirken. Dazu passend hat die EU die KI-Verordnung beschlossen, die KI in Europa regulieren soll. Mögliche Synergien zwischen ­KI-Verordnung und ­DSGVO sind einen Blick wert.

DP+
Nutzer erleben beim Einsatz von Cloud-Diensten meist ein Mehr an Komfort und Flexibilität. Für den DSB bedeutet er zunächst: Jede Menge To-dos.
Bild: iStock.com/TU IS
Datenschutzrechtliche Herausforderungen meistern

Daten schnell, ortsunabhängig, geräteübergreifend und kostengünstig allzeit abrufen zu können, beflügelt die IT, das Management und die Mitarbeitenden. Datenschützer sind daher gut beraten, sich mit Cloud-Modellen und den Datenschutzanforderungen auseinanderzusetzen.

DP+
Sicher eines der alltäglichsten Dateiformate ist das PDF. Inzwischen gibt es je nach Sicherheitsbedürfnis verschiedene Verfahren, PDF vor Komprimittierung zu schützen. Die Kunst ist, das richtige Verfahren für eine digitale Signatur zu wählen.
Bild: iStock.com/Shutthiphong Chandaeng
Dateien rechtssicher austauschen

Das Dateiformat PDF kommt für viele Belange des täglichen Lebens zum Einsatz – beruflich und privat. Doch Angreifer finden immer wieder Möglichkeiten, PDFs zu manipulieren und Identitäten zu stehlen. Dieser Artikel stellt Schutzmaßnahmen vor.

Keine Cybersicherheit ohne Datenschutz, Teil 1

Aufgrund hoher Schäden durch Cyberattacken investieren Unternehmen stark in Cybersicherheit. Mit neuen Konzepten wie Zero-Trust-­Sicherheit wollen sie steigende Risiken in den Griff bekommen. Dabei dürfen sie aber die Grenzen des Datenschutzes nicht überschreiten.

DSGVO-konform im Praxisalltag

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine ­wichtige Grundlage, um die DSGVO umzusetzen. Dies gilt insbesondere für Ärztinnen und Ärzte, da sie häufig Gesundheitsdaten verarbeiten. Der Beitrag vermittelt Tipps, wie man in der Arztpraxis ein VVT erstellt.

DP+
Vertraulichkeit nach dem Hinweisgeberschutzgesetz und Informationspflichten nach DSGVO erzeugen ein Spannungsfeld. Wie Sie die zwei Pole im Tagesgeschäft ins Gleichgewicht bringen, erläutert Dr. Lang aus seiner praktischen Erfahrung.
Bild: iStock.com/Prostock-Studio
Datenschutz-Compliance

Das Vertraulichkeitsgebot schützt die Identität von Hinweisgebern und weiteren Personen. Dieser Schutz ist aber nicht absolut. Dieser Leitfaden gibt einen Überblick über die Regelungen sowie zum Zusammenspiel mit den datenschutzgesetzlichen Informations- und Auskunftsrechten.

Awareness-Training

Zu den wesentlichen datenschutzrechtlichen Pflichten gehört die Schulung von Beschäftigten. Zum Nachweis der ordnungsgemäßen Umsetzung bietet sich ein Schulungskonzept an.

Zahlreiche EU-Rechtsakte parallel zur DSGVO

Das Datenwirtschaftsrecht der EU befasst sich wenig überraschend mit der Verarbeitung von Daten. Es ist jedoch in seinen Zielen nicht deckungsgleich mit dem Datenschutzrecht. Datenschutzbeauftragten kommt bei der Umsetzung dennoch eine Schlüsselrolle zu.

Viele Schnittstellen zum Datenschutz

Die EU-Verordnung DORA (Digital Operational Resilience Act) soll die digitale Resilienz im EU-Finanzsektor stärken und die Vorgaben harmonisieren. DORA legt zahlreiche Sicherheits- und Berichtspflichten fest, damit Finanzunternehmen widerstandsfähiger gegen Cyberangriffe und andere Risiken der IKT-Nutzung – etwa Outsourcing-Risiken – werden.

Unternehmen müssen laut DSGVO die Belastbarkeit ihrer IT-Systeme sicherstellen.
Bild: solarseven / iStock / Thinkstock
Tools für die DSGVO

Eine Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

DP+
Die IT-Sicherheitslage erfordert es heute, Netzwerkaktivitäten umfassend zu überwachen (XDR). Dies birgt Risiken für den Datenschutz der Belegschaft.
Bild: iStock.com/gorodenkoff
Keine Cybersicherheit ohne Datenschutz, Teil 3

Die Cybersicherheit erfordert Transparenz in der kompletten genutzten IT. Die Angriffserkennung und Abwehr erweitert sich deshalb von den Endgeräten (EDR) auf die ganze IT-Infrastruktur (XDR). Das kann aber Folgen für den Datenschutz nach sich ziehen.

DP+
NIS
Bild: iStock.com/posteriori
Umsetzungsfrist läuft ab!

Die EU-Richtlinie NIS 2 ist ein allgegenwärtiges Thema. Die Umsetzung muss jetzt angegangen werden, aber zur Umsetzung kursieren auch Mythen. Die zeitlichen Abläufe zu kennen, ist dafür ebenso wichtig, wie die Vorgaben umzusetzen.

DP+
Künstliche Intelligenz
Bild: iStock.com/Chayada Jeeratheepatanont
Im Spannungsfeld unterschiedlicher Interessen

Mit neuer Technik können neue Konflikte entstehen. Ein Beispiel sind KI-Anwendungen und die Benennung von KI-Beauftragten. Lesen Sie, welche praxisrelevanten Interessenkonflikte bei DSB generell möglich sind und wie es speziell mit der Rolle von KI-Beauftragten aussieht.

Was die Änderungen für den Datenschutz bedeuten

Gerade hatten Sie sich an das Telekommunikation-Telemedien-Datenschutzgesetz gewöhnt, schon heißt es Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Und das Digitale-Dienste-Gesetz ersetzt das Telemediengesetz. Aber was ändert sich außer den Namen?

Keine Cybersicherheit ohne Datenschutz, Teil 2

In Zeiten dezentraler Arbeit in Homeoffices und unterwegs sollen Konzepte wie Secure Access Service Edge (SASE) einen verbesserten, sicheren und nahtlosen Zugriff auf Cloud-Dienste und Netzwerkressourcen ermöglichen. Das könnte den Datenschutz aushöhlen.

Grundsätze der Datenverarbeitung, Teil 5

Eine zentrale Vorschrift der Datenschutz-Grundverordnung (DSGVO) ist der Grundsatz der Zweckbindung gemäß Art. 5 Abs. 1 Buchst. b. Doch wie lässt sie sich Zweckbindung in der Praxis umsetzen?

Konflikt zwischen Schutz und Offenlegung

Wie gehen Verantwortliche mit Auskunftsansprüchen über pseudonyme Daten nach der DSGVO um? Der Artikel zeigt Stolpersteine auf und liefert praktische Empfehlungen, insbesondere für Fälle, in denen die Verantwortlichen nicht den Pseudonymisierungsschlüssel besitzen.

Das neue Outlook, Teil 1

Seit August stellt Microsoft mit Windows 11 24H2 das neue Outlook zur Verfügung, das gleich mehrere Anwendungen ersetzen soll. Dabei ergeben sich datenschutzrechtliche Fragen, auf die dieser Artikel – der erste einer Serie – im Folgenden näher eingeht.

Auskunftsanspruch der DSGVO

Der Auskunftsanspruch ist einer der wichtigsten Ansprüche von betroffenen Personen. Diese nutzen ihn immer häufiger – manchmal einfach nur, um zu sehen, ob Unternehmen ihre Datenschutzprozesse im Griff haben. Ein Grund mehr, sich diesem Thema zu widmen.

Resilient – oder ein erfolgreicher Cyberangriff?

Trainings mit simulierten Angriffen helfen, IT-gestützte Betrugsversuche (Phishing) zu erkennen. Doch eine Phishing-Simulation erfordert sorgfältige logistische Planung und interne Kommunikation. Einige Punkte sind zu berücksichtigen, um solche Simulationen erfolgreich durchzuführen.

Das Recht auf Vergessenwerden ermöglicht es, von Unternehmen die Löschung gespeicherter Daten zu verlangen. Hier symbolisiert durch einen Besen, der Binärcode wegbürstet.
Bild: wildpixel / iStock / Thinkstock
Serie: Tools für die DSGVO

Die Pflicht, personenbezogene Daten rechtzeitig zu löschen, sowie das Recht auf Vergessenwerden bereitet Unternehmen seit Langem Kopfzerbrechen. Doch gibt es Tools, die bei der Umsetzung helfen.

Mitarbeiter schulen

Allein durch Folienpräsentationen lassen sich die Mitarbeitenden kaum mehr für den Datenschutz sensibilisieren. Hier sind zusätzlich aktive Schulungsmaßnahmen gefragt. Eine gute Methode sind Selbst-Checks. Sie helfen bei der Selbsterkenntnis.

Ein Netz, dass Mobilfunk symbolisiert, spannt sich über eine Stadt, durch die ein Fluss fließt
Bild: zhanghaitao / iStock / Thinkstock
Ortung für Smartphones / Handys

Die Ortung von Handys bzw. Smartphones kann Unfallopfern das Leben retten, sie erleichtert die Disposition im Außendienst und spürt verlorene Geräte auf. Doch ein Ortungsdienst kann den Datenschutz gefährden, erfolgt die Ortung heimlich und zu unerlaubten Zwecken. Prüfen Sie deshalb die Verwendung solcher Dienste im Unternehmen.

Warum bei Umfragen im Internet Vorsicht geboten ist
Bild: AndreyPopov / iStock / Thinkstock
Datenschutz bei Online-Umfragen

Viele Unternehmen nutzen Online-Umfragen, um Kunden und Interessenten nach ihrer Meinung zu fragen. Doch solche Umfragen können zum Datenrisiko werden.

Orientierungshilfe der Datenschutzkonferenz

Viele Unternehmen nutzen bereits KI-Anwendungen. Dabei treten Fragen des datenschutzkonformen Einsatzes oft in den Hintergrund. Die Orientierungshilfe der Datenschutzkonferenz will dem entgegenwirken.

IP-Adressen: So prüfen Sie die Speicherpraxis
Bild: popba / iStock / Thinkstock
Datenschutz für IP-Adressen

Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

Verarbeitungstätigkeiten prüfen

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und sind ein Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten. Sie brauchen daher Schutz innerhalb und außerhalb des internen Netzwerks.

Auswahlkriterien für VPN-Dienste

Ein VPN zu nutzen, gehört regelmäßig zu den Sicherheits-Empfehlungen, für das Homeoffice genauso wie für die mobile Arbeit. Doch damit Virtual Private Networks den erwarteten Schutz bieten, müssen die jeweiligen VPN-Lösungen eine Reihe von Kriterien erfüllen.

Im Home-Office müssen vielfach die Nutzer selbst die Anti-Spam-Funktionen einstellen. Helfen Sie hierbei mit einer Unterweisung.
Bild: OneO2 / iStock / Getty Images Plus
Tipps für die Datenschutzunterweisung

Die Spam-Filterung erfolgt teils lokal auf den Endgeräten. Bei Remote Work und Homeoffice sind oftmals die Nutzer gefragt, wenn es um das Training der Spam-Filter geht. Erklären Sie deshalb in einer Unterweisung, wie man die unerwünschten und oftmals gefährlichen E-Mails am besten behandelt.

Informationspflichten - ein kurzer Überblick

Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Recht auf Vergessenwerden

Die Datenschutz-Grundverordnung (DSGVO) kennt das Recht auf Vergessenwerden. Das macht leider weder den Selbstdatenschutz noch die Datenlöschung überflüssig. Was können Sie tun, um unerwünschte persönliche Daten im Internet zu löschen – oder besser: um solche Informationen gar nicht erst entstehen zu lassen?

Sicherheit der Verarbeitung

Die DSGVO nennt Verschlüsselung als eine Maßnahme, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Müssen Datenschutzbeauftragte daher den Verantwortlichen raten, alle E-Mails zu verschlüsseln? Das kommt darauf an - auf die E-Mails und die Art der Verschlüsselung.

Standortdaten: So lässt sich ungewollte Ortung umgehen
Bild: Prasit Rodphan / iStock/ Thinkstock
Standortdaten schützen

Standortdaten machen Personen leichter identifizierbar und Nutzerprofile zu Bewegungsprofilen. Entsprechend begehrt sind sie bei Werbetreibenden, entsprechend hoch muss ihr Schutz sein. Doch die unerwünschte Ortung hat viele Gesichter. Welche Gegenmaßnahmen wirken wirklich?

WhatsApp und Datenschutz? Ein Finger klickt auf dem Smartphone auf das WhatsApp-Icon
Bild: HStocks / iStock Editorial / Getty Images Plus
Messengerdienste

Soll ich von WhatsApp zu einem anderen Messenger-Dienst wechseln? Das fragen sich viele Nutzer der weltweit beliebtesten Messenger-App. Denn Datenschützer und Verbraucherschützer üben regelmäßig Kritik an dem Messenger-Dienst, der genau wie Facebook zum Meta-Konzern gehört.

Anonymisierung und Pseudonymisierung von Kundendaten
Bild: alla_snesar / iStock / Thinkstock
Datenschutz-Grundverordnung (DSGVO)

Wer Pseudonyme einsetzt, kann die Sicherheit der Verarbeitung personenbezogener Daten verbessern. Und Anonymisierung kann den Datenschutz für den betreffenden Fall überflüssig machen, sofern sie richtig ausgeführt wird. Es lohnt sich also, Anonymisierung und Pseudonymisierung näher zu betrachten und im Unternehmen zu empfehlen.

Grundsätze der Datenverarbeitung, Teil 4

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“ So heißt es in Art. 5 Abs. 2 DSGVO lapidar. Damit ist alles gesagt, oder? Wir werden für die Praxis dann doch etwas konkreter.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist eine Risikoanalyse, die für einige Verarbeitungsvorgänge vorgeschrieben ist. Dieser Beitrag skizziert die Anforderungen an die DSFA, bestimmt ihre Anwendungsfälle genauer und stellt unterstützende Maßnahmen für die praktische Umsetzung vor.

Angemessenheitsbeschluss für die USA

Eine der größten Erleichterungen 2023 war, dass wieder rechtlich korrekte Datenübermittlungen in die USA möglich sind. Was manche übersehen: Die Beachtung bestimmter Voraussetzungen führt zu teils erheblichen Prüfpflichten seitens der Datenübermittler.

Datenschutz und Cybersicherheit, Teil 8

Betreiber kritischer Infrastrukturen (KRITIS) müssen zukünftig noch höhere IT-Sicherheitsanforderungen erfüllen. Dies betrifft auch den Datenschutz aller Unternehmen und Behörden in der EU, denn KRITIS-Vorfälle lösen oftmals Datenschutzverletzungen aus.

Cloud-Lösungen

Immer mehr Unternehmen setzen auf die deutsche Cloud-Lösung ­Nextcloud. Sie bietet viele Funktionen, die auch Microsoft 365 hat. Die Installation erfolgt im eigenen Rechenzentrum, erfordert aber ­einige Anpassungen bezüglich des Datenschutzes. Der Beitrag zeigt, was wichtig ist.

Rechtzeitig Umsetzung vorbereiten

Auf die Betreiber Kritischer Infrastrukturen kommen bald neue umfangreiche Vorgaben zu. Verantwortliche und DSB sollten diese bereits jetzt genau analysieren, um ausreichend Zeit zu haben, die erforderlichen Maßnahmen im eigenen Unternehmen zu implementieren.

Grundsätze der DSGVO

Die Maßnahmen im Datenschutz müssen laut DSGVO verhältnismäßig sein. Dabei ist es wichtig zu wissen, wie sich die Verhältnismäßigkeit bewerten lässt.

DP+
Wie der Fachkräftemangel Cyberattacken beflügelt
Bild: iStock.com/http://www.fotogestoeber.de
Datenschutz und Cybersicherheit, Teil 7

Ohne Fachkräfte in der Cybersicherheit fehlt die Expertise, um Cyberangriffe besser abwehren zu können. Das steigert das Risiko für Datenschutzverletzungen. Zudem sorgt der Fachkräftemangel für eine veränderte Suche nach Beschäftigten – mit massiven Konsequenzen.

Datenschutz-Compliance

Während „Privacy by Design“ als Schlagwort weitgehend bekannt ist, führt die gesetzliche Verpflichtung, konkrete Maßnahmen durch (Technik-)Gestaltung zu ergreifen, eher ein Schattendasein. Erfahren Sie mehr über wichtige Anforderungen und auf welche Aspekte Sie achten sollten.

Kundendaten & Unternehmensgrenzen

Die ­DSGVO hat die Möglichkeiten, personenbezogene Daten z.B. in Konzernstrukturen zu nutzen, stark eingeschränkt. Zudem ist bei der werblichen Verwendung das Wettbewerbsrecht zu beachten. Lösungen für dieses Problem sind rar, doch es gibt sie.

Ideen, Pläne, erste Entwürfe

„Kein Gesetzgebungsvorschlag kommt so aus dem Gesetzgebungsverfahren heraus, wie er hineingegangen ist.“ Diese Erfahrung bewahrheitet sich immer wieder. Dennoch sollten DSB grob orientiert sein, welche Neuregelungen im Datenschutz die Bundesregierung ins Auge fasst.

Daten sicher löschen: Das müssen Sie beachten
Bild: Anatoliy Babiy / iStock / Thinkstock
Recht auf Löschen und Vergessenwerden

Personenbezogene Daten sicher zu löschen, ist Teil der Datensicherheit und der Betroffenenrechte nach der Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig. Verantwortliche und Datenschutzbeauftragte müssen dabei die Verpflichtung, Daten zu löschen, genauso betrachten wie die gesetzlichen Aufbewahrungspflichten.

DP+
Sicherheitsrisiko smarte Geräte
Bild: iStock.com/hakule
DATENSCHUTZ UND CYBERSICHERHEIT, TEIL 5

Datenschützer warnen schon lange vor den tiefen Einblicken in die Privatsphäre, die Fitness-Tracker, Smartwatches oder Smart-Home-Geräte erhalten. Die EU-Agentur für Cybersicherheit ENISA sieht darin sogar eine zentrale Wissensbasis für Internetkriminelle. Sensibilisieren Sie daher Mitarbeitende für die Risiken, die damit verbunden sind.

Datenschutz und Cybersicherheit, Teil 6

Bei Cyberangriffen denkt jeder zuerst an Attacken aus dem Internet. Doch Internetkriminelle sind nicht an Online-Verbindungen gebunden und kombinieren viele Angriffswege, um an die Daten ihrer Opfer zu gelangen. Teile der Attacken können z.B. direkt vor Ort stattfinden.

Datenschutzschulung

Beim Social Engineering erschleichen Angreifende das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen und verfügbares Wissen über die Opfer ausnutzen. Die Opfer geben im guten Glauben vertrauliche Daten oder den Zugang zu den Daten weiter. Rein technische Datenschutz-Maßnahmen reichen als Gegenreaktion nicht aus. Die psychologischen Tricks der Angreifenden zu kennen, muss hinzukommen.

Datenschutz-Begriffe und Bewertung von Technologien

RFID und NFC sind etwa beim kontaktlosen Bezahlen von zentraler Bedeutung. RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.

So entwickeln Sie ein Datensicherheitskonzept
Bild: Sergey Nivens / iStock/ Thinkstock
Standard-Datenschutzmodell

Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt. Oft finden sich nur allgemeine Aussagen zum Datenschutz. Das Standard-Datenschutzmodell (SDM 3.0) hilft dabei, die Schutzmaßnahmen zu konkretisieren.

Einstellungsuntersuchung: Das ist erlaubt!
Bild: ipopba / iStock / Thinkstock
Gesundheitsdaten

Blutabnahme, Urintests und andere Einstellungsuntersuchungen haben in der Vergangenheit einige Großkonzerne, Rundfunkanstalten und öffentliche Verwaltungen in die Schlagzeilen gebracht. Ihr Vorgehen stieß bei Datenschützern, Gewerkschaften und Arbeitsrechtlern auf harsche Kritik. Trotzdem hat eine Einstellungsuntersuchung im gewissen Umfang ihre Berechtigung. In manchen Fällen ist sie sogar Pflicht.

Datensicherheit

Angreifer nutzen Schwachstellen in IT-Systemen aus, um personenbezogene Daten auszuspähen und zu missbrauchen. Zur Sicherheit der Verarbeitung nach Datenschutz-Grundverordnung (DSGVO / GDPR) gehört deshalb ein Patch-Management, um Sicherheitslücken zu beheben. Erfahren Sie, worauf es beim Patch-Management ankommt.

Auftragsverarbeitung oder nicht?

Sind Headhunter eigenständig Verantwortliche, wenn sie für ein Unternehmen Bewerber suchen, oder ist ein Vertrag zur Auftragsverarbeitung erforderlich? Lesen Sie, was sich in dieser Konstellation empfiehlt.

Online-Datenschutz

Seit Inkrafttreten des TTDSG hat sich die Onlinewelt leise, aber stetig von den omnipräsenten Cookies verabschiedet. Nun sind die meisten Tools cookielos. Das macht es Verantwortlichen und DSB immer schwieriger, zu erkennen, welche Daten bei Webseitenaufrufen verarbeitet werden.

Datenschutz und Cybersicherheit, Teil 4

Die Fehler, die wir Menschen bei neuen Technologien begehen, ist aktuell eine der größten Cyberbedrohungen. Bei der Schwachstelle Mensch hilft aber kein herkömmliches Patching. DSB sollten deshalb die Bedeutung der Schulung von Beschäftigten stärker bewusst machen.

DP+
Der Angemessenheitsbeschluss der EU-Kommission kam am 10. Juli 2023
Bild: iStock.com / bakhtiar_zein
EU-U.S. Data Privacy Framework

Die EU-Kommission hat erneut in einem Angemessen­heitsbeschluss festgestellt, dass in den USA ein angemessenes Datenschutzniveau besteht. Mit Inkrafttreten des „EU-U.S. Data Privacy Framework“ (DPF) lassen sich personenbezogene Daten unter erleichterten Bedingungen in die USA übermitteln. Doch Datenexporteure müssen trotz DPF einiges beachten.

Onboarding-Prozesse

Bewerbungs- und Einstellungsprozesse sind ohne personenbezogene Daten undenkbar. Doch Verantwortliche müssen darauf achten, wirklich nur mit solchen Informationen zu arbeiten, die unbedingt erforderlich sind.

Wann muss ich einen Datenschutzbeauftragten benennen?
Bild: iStock.com / #Urban-Photographer
Datenschutz organisieren

Wer muss nach DSGVO einen Datenschutzbeauftragen (DSB) benennen, wer nicht? Selbst wenn keine Pflicht zur Benennung besteht: Kann es trotzdem sinnvoll sein, einen DSB zu bestellen?

Ein Weg zur besseren Übersicht?

Wer personenbezogene Daten verarbeitet, muss die betroffenen Personen darüber informieren. Das mündet oft in lange Texte, die wenig lesefreundlich sind. Bietet die Verwendung von Datenschutz-Icons eine Alternative?

Biometrische Zutrittskontrollen müssen wirklich erforderlich sein, sonst sind sie unzulässig
Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock
Biometrische Daten

Biometrische Daten werden für die Zugangs- und Zutrittskontrolle neben der Multi-Faktor-Authentifizierung (MFA) als Sicherheitsfaktor immer wichtiger. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

Nachbericht Internet Security Days (ISD) 2023

Die Gefahr von Cyberangriffen wächst. Die Angreifenden sind zunehmend professionell organisiert und in der Lage, Sicherheitslücken schnell zu nutzen, so die LDI NRW. Erfolgreiche Cyberattacken bedeuten meist auch eine Datenschutzverletzung. Datenschutzbeauftragte sollten die Entwicklungen der Cybersecurity deshalb genau verfolgen.

Was wie herausgeben?

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

Organisations- und Dokumentationspflichten

Die Verletzung des Schutzes personenbezogener Daten sowie die Melde- und Benachrichtigungspflichten sind ein wiederkehrendes Thema in der Praxis. Der EDSA hat dazu aktualisierte „Guidelines“ veröffentlicht. Auch wenn nicht alles neu ist, sind einzelne Aspekte hervorzuheben.

DP+
DSB sollten nur unter bestimmten Voraussetzungen an einer internen Meldestelle mitwirken
Bild: iStock.com / Cristian Storto Fotografia
Hinweisgeberschutzgesetz (HinSchG)

Viele Unternehmen und Behörden sind nach HinSchG verpflichtet, eine interne Meldestelle einzurichten. In der Praxis stellt sich dann oft die Frage, ob ein DSB diese Aufgabe zusätzlich übernehmen kann bzw. sollte.

Pflichten des Verantwortlichen, Rechte des Betroffenen

Damit Betroffene ihre Rechte nach der DSGVO wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten vor.

DP+
Mit autarken KI-Systemen behalten Unternehmen die Kontrolle über die Datenflüsse
Bild: vom Autor auf einem eigenen KI-System generiert
Das können DSB empfehlen

Zahlreiche Aufgaben im Unternehmen wie etwa die Suche nach Infor­mationen lassen sich mithilfe von eigenen KI-Systemen gut oder sehr gut lösen. Wer die Systeme datenschutz- bzw. datenfreundlich aufbaut, sorgt dafür, dass sensible Daten keinen unnötigen Risiken ausgesetzt sind.

DP+
Desinformation gehört neben den Angriffen auf die IT-Lieferketten zu den größten Cybersicherheitsbedrohungen
Bild: iStock.com / asiandelight
Datenschutz und Cybersicherheit, Teil 2

Die EU-Agentur für Cybersicherheit ENISA stuft Desinformation als eine der größten Cyberbedrohungen ein. Falsche, manipulative Informationen können auch den Datenschutz verletzen. Wir zeigen, wie sich Unternehmen besser gegen Desinformation schützen.

IT-Grundschutz: Praxis-Leitlinien für Datensicherheit
Bild: NicoElNino / iStock / Thinkstock
Datenschutz und Datensicherheit

Gerade bei der Datensicherheit sowie bei der der Erkennung und Abwehr von Cyberattacken suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.

Meldepflichten von Datenschutzverstößen

Einen Prozess zu haben, um Datenpannen nach der Datenschutz-Grundverordnung (DSGVO) zu melden, ist ein „Must have“. Wann aber ist ein Vorfall meldepflichtig? Und wie muss die Meldung genau ausgestaltet sein?

HinSchG

Das Hinweisgeberschutzgesetz (HinSchG) ist ohne Zweifel datenschutzrelevant. Welche datenschutzrechtlichen Aspekte bei der Einrichtung und dem Betrieb eines Hinweisgebersystems nach HinSchG zu beachten sind, erfahren Sie in diesem Beitrag.

Beschäftigtendatenschutz

Bereits vor der Corona-Pandemie haben zahlreiche Unternehmen neue Arbeitsweisen für sich entdeckt. DSB müssen nun immer wieder prüfen, ob diese Konzepte im Einklang mit dem Datenschutz stehen. Eine Checkliste hilft hier weiter.

Datensicherheit

Cryptshare ist ein Tool, das den sicheren Austausch von Dateien und Informationen über das Internet ermöglicht. Es nutzt eine Kombination aus Verschlüsselung und sicheren Übertragungsmethoden, um den Schutz von Daten zu gewährleisten.

Datenschutz und Cybersicherheit, Teil 1

IT-Sicherheitsbehörden warnen vor Schwachstellen in der Software- und Hardware-Lieferkette. Aktuelle Vorfälle belegen diese Gefahren, die sich auch auf den Datenschutz auswirken. Datenschutzkonzepte sollten deshalb die Sicherheit der IT-Lieferkette berücksichtigen.

DP+
Datenschutz in Besprechungsräumen
Bild: Rawpixel Ltd / iStock / Thinkstock
Datenschutzkontrolle

Operationslisten, Bewerbungsmappen, Passwörter, … – das und vieles mehr können Sie bei einer Vor-Ort-Kontrolle in Besprechungsräumen finden. Worauf müssen Sie achten?

Die Löschung von Daten müssen Verantwortliche auch nachweisen können
Bild: iStock.com / Invincible_Bulldog
Technisch-organisatorische Maßnahmen

Was müssen Verantwortliche zur Löschung personenbezogener Daten und zu den dazugehörigen Nachweispflichten wissen? Welche Pflichten gibt die DSGVO vor und welche Dokumentationsmaßnahmen sind sinnvoll?

Passwort-Sicherheit

Um Kennwörter oder PINs zu schützen, sind Passwort-Manager eine sinnvolle Möglichkeit. Welche Lösungen sind aus Datenschutzsicht empfehlenswert, welche nicht?

Mit dem Datenschutz vereinbar?

Dass Beschäftigte von Unternehmen in Deutschland ganz oder teilweise aus dem Homeoffice in einem Drittstaat arbeiten, kommt seit der Corona-Pandemie deutlich häufiger vor als früher. Aus der Sicht des Datenschutzes ist dabei einiges zu beachten.

Sorgfältige Auswahl ist Pflicht

Setzen Verantwortliche Auftragsverarbeiter ein, deren Mutterkonzern in einem Drittstaat seinen Sitz hat, kann sich das auf die Zuverlässigkeit dieses Auftragsverarbeiters auswirken. Lesen Sie, in welchen Fällen das so ist und was die Datenschutzkonferenz (DSK) empfiehlt.

Beschäftigtendatenschutz

Die Digitalisierung der Wirtschaft und öffentlichen Stellen macht auch vor der Suche nach neuen Mitarbeiterinnen und Mitarbeitern nicht halt. Bewerberdaten kommen zunehmend über E-Recruiting-Plattformen in die Personalabteilung. Was heißt das für den Datenschutz?

Vorlageverfahren beim EuGH sind enorm wichtig
Bild: Gerichtshof der Europäischen Union
Kein „Buch mit sieben Siegeln“!

Wer sich zum ersten Mal an einem EuGH-Urteil versucht, ist oft der Verzweiflung nahe. Alles wirkt noch schwieriger und unübersichtlicher als bei den Urteilen deutscher Gerichte. Lesen Sie anhand eines Beispiels, wie Sie mit dieser Herausforderung zurechtkommen.

Zum Datenschutz unterweisen

Homeoffice und Remote Work haben die Zahl der Online-Videokonferenzen steigen lassen. Die Webcam abzusichern, wird daher immer wichtiger. Abdeckungen für Webcams sind nur eine der Maßnahmen, die Sie in der Datenschutzschulung empfehlen können.

Arztpraxen im Kampf mit der Datenflut

Eine Radiologie-Praxis beauftragt einen externen Dienstleister, alle anfallenden Daten für den Abruf durch die Patienten in einer Cloud bereitzuhalten. Eine CD mit seinen Daten bekommt jeder Patient trotzdem nach wie vor. Geht das auch ohne Einwilligung? Die hessische Datenschutzaufsicht stieg tief in die Thematik ein.

Die Zugangskontrolle verwehrt Unberechtigten den Zugriff auf die IT-Systeme
Bild: lekkyjustdoit / iStock / Thinkstock
Datenschutz-Kontrolle

Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?

Rechenschaftspflicht erfüllen

Aus Unternehmenssicht kommt es darauf an, nicht nur einzelne Datenschutzinstrumente im Unternehmen auf die DSGVO auszurichten. Sondern die Summe aller Einzelteile, also das komplette Datenschutzmanagementsystem (DMS).

Online-Formulare und Kunden-Datenbanken

Das „dritte Geschlecht“ ist auch für Datenschutzbeauftragte (m/w/d/keine Angabe) von Bedeutung. Denn die korrekte Unterscheidung der Geschlechter muss sich in Online-Formularen und Kundendatenbanken widerspiegeln.

Aktuelle Cybervorfälle

Nicht nur Privatpersonen sind in Gefahr, beim Online-Shopping Opfer von Cyberattacken zu werden. Auch die Einkaufsabteilung in Unternehmen beschafft zunehmend digital. Sicherheitslücken in Webshops können so zu einem betrieblichen Datenrisiko werden. Das können Datenschutzbeauftragte dagegen tun.

Beschäftigtendatenschutz

Ein Arbeitgeber wollte stets exakt nachprüfen können, wann sich die Fahrzeuge des Unternehmens in den letzten sechs Monaten wo befunden hatten. Die Datenschutzaufsicht verhängte deswegen allerdings eine recht saftige Geldbuße.

„Letzte Ausfahrt Einwilligung“

Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten.

Zugangsdaten gestohlen - und was jetzt?

Hand aufs Herz: Könnten Sie – jetzt, sofort und gleich – das Passwort für Ihr E-Mail-Postfach ändern? Das wäre die wichtigste Schutzmaßnahme, die Sie bei einem Identitätsdiebstahl ergreifen müssten! Lesen Sie, was Sie sonst noch beherrschen müssen, um gewappnet zu sein.

Wie bekannte IT-Schwachstellen zu Datenpannen führen können
Bild: Arkadiusz Warguła / iStock / Getty Images Plus
Aktuelle Cybervorfälle

Bei einem weltweit breit gestreuten Angriff wurden laut Medienberichten tausende Server, auf denen VMwares Virtualisierungslösung ESXi zum Einsatz kommt, mit Ransomware infiziert und verschlüsselt. Dieser Vorfall zeigt, wie bekannte Sicherheitslücken zu Datenschutzverletzungen beitragen.

Informationspflichten

Wer kennt sie nicht: seitenlange Datenschutzhinweise, die Nutzerinnen und Nutzer bereits auf den ersten Blick erschlagen. Icons bieten eine Möglichkeit, die Informationen übersichtlicher zu gestalten.

Unterschätztes Risiko

Nach Ansicht mancher Spötter sind papierlose Büros so selten wie weiße Elefanten. Wie auch immer: Schon wegen diverser Aufbewahrungspflichten gibt es in vielen Unternehmen noch große Aktenberge. Wehe, sie kommen mit Wasser in Berührung und werden unbrauchbar. Dann tauchen erhebliche Datenschutzfragen auf.

Beschäftigtendatenschutz

KI soll die Analyse von Bewerberinnen und Bewerbern optimieren und die Auswahl der richtigen Talente erleichtern. Die Erwartungen sind hoch, die Risiken für den Datenschutz allerdings auch. Informieren Sie als DSB über die Stolperfallen und beraten Sie bei der DSFA.

Kundendatenschutz

Bieten Unternehmen eine Newsletter-Registrierung per Double-Opt-in-Verfahren an, stellt sich die Frage, was mit der angegebenen E-Mail-­Adresse passiert, wenn die Anmeldung nicht zeitnah bestätigt wird.

Fotos dienen der Außendarstellung eines Vereins. Unter Datenschutz-Gesichtspunkten müssen DSB aber einiges beachten.
Bild: iStock.com / monkeybusinessimages
Rechtsgrundlagen & Co.

Nach Veranstaltungen oder Wettkämpfen ist es üblich, auf der Internetseite des Vereins oder in der örtlichen Presse Fotos und Ergebnisse zu veröffentlichen. Hierbei müssen Vereine die DSGVO einhalten. Doch was geht und wo ist besondere Aufmerksamkeit erforderlich?

Technische & organisatorische Maßnahmen

Welche Gefahren gehen von ausscheidenden Mitarbeitern aus? Wie begegnet man ihnen am besten? Lesen Sie, welche Schritte erforderlich sind, um den Risiken gezielt vorzubeugen.

DP+
OKR lassen sich datenschutzkonform einsetzen- wenn Sie einige Punkte beachten
Bild: iStock.com / PlargueDoctor
Beschäftigtendatenschutz

In Teil 1 lernten Sie das Konzept der Objectives and Key Results (OKR) kennen. Sie erhielten Antworten auf einzelne Datenschutzfragen sowie zur Zweckbestimmung. Teil 2 behandelt die weiteren Datenschutzgrund­sätze und beantwortet, wie OKR datenschutzkonform umsetzbar sind.

Analyse-Tools

Das Auswerten von Website-Besuchern hilft bei der Beurteilung, welche Inhalte besonders beliebt und welche weniger relevant sind. Viele denken hierbei an Google Analytics. Dabei gibt es zahlreiche datenschutzkonforme Alternativen. Neben der Rechtssicherheit bieten sie den Vorteil, keine Einwilligung zu benötigen.

Beschäftigtendatenschutz

Unternehmen und Konzerne setzen zunehmend auf Offboarding-Prozesse und informieren intern über den Weggang bestimmter Mitarbeiterinnen und Mitarbeiter. Gleichwohl muss eine solche Bekanntgabe im Einklang mit dem Datenschutzrecht stehen.

DP+
Objectives and Key Results (OKR) als Zielerreichungssystem sind nur unter den richtigen Bedingungen datenschutzkonform
Bild: iStock.com / PlargueDoctor
Beschäftigtendatenschutz

Objectives and Key Results (OKR) als Zielerreichungssystem verbreiten sich in den letzten Monaten in vielen Organisationen. Vielen DSB dürften OKR noch unbekannt sein. Lesen Sie in zwei Teilen, was DSB und Organisationen dazu im Hinblick auf den Datenschutz wissen sollten.

Ransomware-Schutz

Ransomware-Attacken können personenbezogene Daten gegen den Willen der Opfer verschlüsseln. Ohne Backup sind die Daten nicht mehr verfügbar, der Datenschutz ist verletzt. Damit die schnelle Wiederherstellung funktioniert, reicht eine einfache Datensicherung nicht. Lesen Sie, was DSB dazu wissen müssen.

E-Mail-Werbung ist neben der Werbung per Brief oder Telefon die häufigste Form der Direktwerbung
Bild: iStock.com / Ranjitsinh-Rathod
Wichtige Orientierungshilfe der Datenschutzkonferenz

Bei „Direktwerbung“ wird eine Person unmittelbar persönlich angesprochen, etwa per Brief, Telefon oder E-Mail. Das geht nicht, ohne Daten dieser Person zu verarbeiten. Ein ausführliches Papier der Datenschutzkonferenz (DSK) stellt dar, was dabei zu beachten ist.

Die Prüfungsphase

Im besten Fall sind Datenschutzbeauftragte (DSB) im Vorfeld beteiligt, wenn ein Verantwortlicher einen Messenger auswählt und einführt. Doch auch wenn Sie bereits einen Dienst vorfinden, gilt es, die folgenden Aspekte aus Datenschutzsicht zu prüfen.

DP+
CRM-Systeme datenschutzkonform einsetzen
Bild: iStock.com / metamorworks
Kundendaten im B2B-Bereich

Wie managen wir Daten von B2B-Kunden? Das ist oft ein Streitpunkt zwischen Vertrieb und Datenschutz. Erfahren Sie, wie eine Balance zwischen vertrieblichen Interessen und den Vorgaben der DSGVO gelingt.

Auftragsverarbeitung

Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Service­provider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.

Datenschutzorganisation und -konzept

Der dritte Teil der Reihe „Betriebsrat & DSGVO“ beschäftigt sich damit, welche Anforderungen das Bundesarbeitsgericht an die Datenschutzorganisation des Betriebsrats stellt und was ein „BR-Datenschutzkonzept“ ist.

Digitalisierung

Die eAU soll die Datenweitergabe im Zusammenhang mit der Arbeitsunfähigkeit verbessern. Dafür stellen Krankenkassen den Arbeitgebern die Daten elektronisch zur Verfügung. Was heißt das für den Datenschutz, wo sind Anpassungen nötig?

Kritiker behaupten, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Ist der Verantwortliche anderer Meinung, so muss er den rechtskonformen Einsatz per Datenschutz-Folgenabschätzung nachweisen. Doch ist eine DSFA bei Microsoft 365 in jedem Fall verpflichtend?

Es geht auf Websites auch ohne Google Fonts - und damit ohne Schadensersatz-Risiko
Bild: iStock.com / Mykyta-Dolmatov
Online-Datenschutz

Viele Websites binden Schriftarten von Google-Servern ein, um Texte darzustellen. Aus dieser Nutzungsart der Schriften entstehen Datenschutzprobleme, die sogar zum Schadenersatz für Website-Besucher führen können. Glücklicherweise lassen sie sich vermeiden.

Personenbezogene Daten im Fokus der Cyberattacken
Bild: solarseven / iStock / Getty Images Plus
Datenschutz und Cybersicherheit

Datenschutz und IT-Sicherheit stellen Unternehmen angesichts wachsender Cyberbedrohungen vor große Herausforderungen. Gerade digitale Identitäten und damit personenbezogene Daten sind gefährdet. Security-Konferenzen wie die ISD 22 unterstreichen den Handlungsbedarf bei Datenschutzkonzepten.

Die vergessene Schwachstelle in Büro und Homeoffice
Bild: jittawit.21 / iStock / Getty Images Plus
Angriffsziel Drucker

Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.

Datenschutzprüfung

Sollen personenbezogene oder unternehmenskritische Daten in der Cloud verarbeitet werden, müssen Sie als DSB prüfen, ob der Cloud-Anbieter die Anforderungen der DSGVO erfüllen kann.

Transparenz als oberstes Gebot

Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?

DP+
Kritiker sind der Meinung, dass Verbände bei Datenschutzverletzungen nicht auf Unterlassung klagen können sollten, sondern nur die betroffene Person, um massive Klagewellen zu verhindern. Doch der EuGH hat klargestellt, dass die Aufsichtsbehörden nicht die alleinigen „Hüter der DSGVO“ sind.
Bild: iStock.com / Aleksei-Naumov
Droht neues Unheil?

Dürfen Verbände bei Datenschutzverstößen gegen Unternehmen auf Unterlassung klagen? Der EuGH meint: Ja. Grund genug, zu klären, was Unterlassungsklagen sind und wie sich Unternehmen dagegen wappnen.

Online-Datenschutz

Das TTDSG regelt, welche Maßstäbe für Cookies gelten, die Website-Betreiber ohne Einwilligung durch den Nutzer verwenden dürfen. Der Beitrag zeigt einerseits, welche Cookies konkret einwilligungsfrei sind, und andererseits, woraus sich eine Einwilligungspflicht ableiten lässt.

DP+
So schnell sich ein Gewinnspiel auch erstellen lässt: Es erfordert im Vorfeld eine datenschutzrechtliche Prüfung und Bewertung. Die personenbezogenen Daten der Teilnehmenden dürfen nur zu diesem Zweck verarbeitet und müssen anschließend gelöscht werden. Wichtig sind zudem korrekte Datenschutzhinweise.
Bild: iStock.com / cirquedesprit
Werbung und Marketing

Gewinnspiele als Marketing-Maßnahme von Unternehmen haben sich – vor allem auf Social-Media-Plattformen – längst etabliert. Doch worauf müssen Veranstalter aus Sicht des Datenschutzes achten?

Lösegeld: zahlen oder nicht?

Das erpresserische Geschäftsmodell von Ransomware stellt Unternehmen vor die Wahl: Lösegeld zahlen oder nicht? Der Beitrag skizziert einen souveränen Umgang mit Cyberangriffen und positioniert sich zu dem Dilemma.

Neue Erkenntnisse für die Security Awareness

Nicht nur die Datenrisiken und die digitalen Technologien wandeln sich, auch das menschliche Verhalten im Umgang mit Daten und IT. Lesen Sie, wie Sie diesen Trend bei den Inhalten Ihrer Datenschutzschulungen berücksichtigen.

Datenschutz und Funktionalität sind kein Widerspruch

Gerade bei mobilen Apps gehen Nutzerinnen und Nutzer auf einen scheinbaren Kompromiss ein: Sie verwenden eine App, deren Datenschutz mindestens fraglich ist, die aber über viel Funktionalität und Komfort verfügt. Doch mit Privacy Friendly Apps muss niemand auf Datenschutz verzichten, der eine gute App haben will.

Löschkonzept

Ein vollumfängliches Datenschutz-Löschkonzept muss auch E-Mails inklusive etwaiger Anhänge berücksichtigen. Denn sie enthalten ebenfalls personenbezogene Daten und sind somit aus Datenschutzsicht zum gegebenen Zeitpunkt zu löschen.

Videoüberwachung

Wer eine Dashcam nutzt, muss auf viele Fallstricke achten – im schlimmsten Fall liefert man nicht nur selbst die Beweise für einen verschuldeten Unfall, sondern erhält zusätzlich noch einen Bußgeldbescheid wegen eines damit verbundenen Datenschutzverstoßes.

DP+
Gerade beim Werbewiderspruch machen manche Verantwortliche es den betroffenen Personen (zu) schwer, wenn es nach der DSGVO geht
Bild: iStock.com / anyaberkut
In der DSGVO häufig übersehen

Art. 12 Abs. 2 Satz 1 DSGVO regelt die Pflicht des Verantwortlichen, den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern. Die Praxis verkennt diese Pflicht speziell mit Blick auf das Recht auf Werbewiderspruch häufig. Doch Untätigkeit kann eine Pflichtverletzung sein.

Informationspflichten

Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.

Verarbeitungszwecke festlegen

Wer nicht weiß, warum er eigentlich bestimmte personenbezogene Daten verarbeitet, hat ein massives Problem. Und das nicht nur mit der Datenschutzaufsicht, sondern oft auch mit den eigenen Prozessen. Also gilt es, sich im Vorfeld einer Verarbeitung den Zweck bewusst zu machen.

DSGVO und Datenschutz-Kontrollen

Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordnung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der DSGVO zu gewährleisten.

Risiko-Beurteilung nach DSGVO in der Praxis
Bild: iStock.com / PeopleImages
Es kommt auf den Betroffenen an

Einer der Grundgedanken, der die Datenschutz-Grundverordnung durchzieht, ist der risikobasierte Ansatz. In der Theorie ist das leicht erklärt. Aber wie sieht die Umsetzung in der Praxis konkret aus?

Einwilligung

Eine Einwilligung auf einer Webseite abzufragen, geschieht meist über Cookie-Banner. Für solche Abfragen gibt es Tools ver­schiedener Anbieter. Was ist bei ihrem Einsatz zu beachten?

Datenschutzmanagement

Datenschutzverletzungen kommen täglich in Unternehmen und öffentlichen Stellen vor, egal ob es sich um kommunale Verwaltungen, kleine und mittlere Unternehmen oder Konzerne handelt. Ganz vermeiden lassen sie sich sicher nicht. Doch arbeiten Sie mit Ihren Empfehlungen daran, die gröbsten Schnitzer zu umschiffen.

Gesundheitsdaten

Um die Krankenquote langfristig zu senken, nutzen Unternehmen oft sogenannte „Krankenrückkehrgespräche“. Doch ist diese Bezeichnung überhaupt korrekt, welche Rahmenbedingung sind zu beachten und welche datenschutzrechtlichen Fallstricke drohen?

Mitarbeiter schulen & sensibilisieren

Wer Social Media im Unternehmen oder in der Behörde nutzen möchte, braucht verbindliche Regelungen. Geeignet sind beispielsweise Social-Media-Leitfäden für die Mitarbeitenden. Denn allzu schnell geraten sonst Datenschutz und Informationssicherheit ins Hintertreffen.

So pflegen Sie das Datenschutzkonzept
Bild: KrulUA / iStock / Thinkstock
Datenschutz organisieren

Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten. Lesen Sie, was dabei wichtig ist.

DSGVO & KUG

Auch wenn Präsenzveranstaltungen und Firmenevents derzeit kaum stattfinden können: Das Fotografieren oder Filmen bei Events und ­Veranstaltungen bleibt ein datenschutzrechtlicher Dauerbrenner. Was geht auf welcher Rechtsgrundlage, was geht nicht?

Hybrid Work regeln und kontrollieren

Das neue Arbeiten zwischen Homeoffice und Büro stellt Unternehmen vor vielerlei Herausforderungen. Für Datenschutzbeauftragte ist es umso wichtiger, bei Veränderungen, die die Arbeitssituation der Beschäftigten betreffen, kompetent zu beraten.

Bewerberdatenschutz

Wer Bewerbungsunterlagen per E-Mail entgegennimmt, während er gleichzeitig alle E-Mails revisionssicher archiviert, um seinen Aufbewahrungspflichten nachzukommen, handelt im Widerspruch zu den Löschpflichten aus der DSGVO. Wie lässt sich das Dilemma lösen?

DP+
Große Energieversorger und Krankenhäuser, aber auch die Müllabfuhr gehören zum Kreis der KRITIS-Einrichtungen, die das BSIG zu beachten haben
Bild: iStock.com / xijian
Kritische Infrastrukturen

Besonders wichtig für Datenschutzbeauftragte (DSB) in KRITIS-Unternehmen ist das BSIG. Betroffenen Einrichtungen legt es viele Verpflichtungen auf, die sich auch auf personenbezogene Daten beziehen.

Schritt für Schritt zum Löschkonzept
Bild: Andranik Hakobyan / iStock / Getty Images
Datenschutzkonzept nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO / GDPR) und das Bundesdatenschutzgesetz (BDSG-neu) machen Vorgaben zur Löschung personenbezogener Daten. Daher empfiehlt es sich, ein Löschkonzept zur Umsetzung zu entwickeln. Hier unterstützt die Norm DIN 66398.

Hybrid Work

Arbeiten die Beschäftigten teils im Büro und teils im Homeoffice, steigt die Gefahr, dass sie vertrauliche Unterlagen mit nach Hause nehmen. Bei aller Digitalisierung ist es daher notwendig, zu regeln, wie die Kolleginnen und Kollegen Papierdokumente richtig behandeln.

Pflicht seit Mai 2018

Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?

Risiken aus dem Wettbewerbsrecht

Neben den Geldbußen und Schadenersatzklagen ergeben sich bei Datenschutzverstößen Risiken aus dem Wettbewerbsrecht. Dazu gehören die Abmahnung und ihre Folgekosten. Wie ist hier der aktuelle Stand?

Datenübermittlung in Drittländer

Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?

Sicherheit der Verarbeitung

Angesichts der wachsenden Bedrohung müssen Unternehmen nachhaltige Cyber-Resilienz, also Widerstandsfähigkeit, anstreben, um Angriffe zu verhindern und bei Sicherheitsvorfällen schnell zu reagieren. Dazu eignen sich Sicherheitsaudits, sogenannte Penetrationstests, besonders gut.

DP+
Die Transparenzpflichten der DSGVO
Bild: iStock.com / exdez
Betroffenenrechte und Informationspflichten

Die Datenschutz-Grundverordnung (DSGVO) verlangt eine faire und transparente Verarbeitung von personenbezogenen Daten. Welche Pflichten kommen damit auf mein Unternehmen als verantwortlichen Verarbeiter zu?

Wer Outsourcing plant, muss an zahlreiche Faktoren denken - nicht zuletzt an den Datenschutz
Bild: iStock.com / gilaxia
Datenschutz-Begriffe

Unter Outsourcing versteht man die Nutzung von Ressourcen anderer Anbieter. Verbreitet ist vor allem das Outsourcing von IT-Dienstleistungen oder von Teilen der IT.

Praktische Fallbeispiele

Verantwortliche müssen Datenpannen nicht nur erkennen und ggf. rechtzeitig melden. Sie sind auch angehalten, Fehler zu analysieren, die überhaupt erst zu dem Vorfall führen konnten. Ziel ist es, zukünftig Datenpannen zu vermeiden. Unterstützung bieten auch hier die Leitlinien des EDSA.

Mehr Daten erhalten als erwünscht?

Will ein Unternehmen personenbezogene Daten erheben, erhält es oft Informationen, die über die abgefragten Daten hinausgehen. Denkbar ist auch, dass Kunden oder Mitarbeiter ungefragt personenbezogene Daten übermitteln. Was tun mit solchen Daten?

Haftungsrisiken

Jeden Monat gibt es derzeit neue Urteile deutscher Gerichte zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus. Wie verteidigen sich Verantwortliche gegen Schadenersatzansprüche, welche Fallstricke gilt es zu vermeiden?

Beispiel Firefox Lockwise

Niemand kann sich zig Passwörter merken. Daher ist es sinnvoll, Passwörter in einem Passwort-Manager oder -Safe zu speichern. Doch wie lernen die Nutzerinnen und Nutzer, damit richtig umzugehen?

IT-Sicherheitskonzepte

Um die Datenschutz-Grundverordnung (DSGVO/GDPR) umzusetzen, gilt es, die IT-Sicherheitsmaßnahmen und die Organisation der Sicherheit zu dokumentieren. Unternehmen sollten deshalb ihre IT-Sicherheits-Rahmenrichtlinie sowie das IT-Sicherheitskonzept auf die DSGVO anpassen. Das verankert den Datenschutz in der IT-Sicherheit.

„Kann ich Ihnen helfen?“

Sie begegnen einem immer öfter beim Surfen auf Webseiten oder bei Bestellvorgängen im E-Commerce: sogenannte Chatbots. Was müssen Verantwortliche datenschutzrechtlich beachten, wenn sie solche Dialogsysteme mit „sprachlichen Fähigkeiten“ einsetzen?

Schutz vor Online-Tracking

Das einfache Cookie-Management im Webbrowser reicht nicht, um raffinierte Verfahren zu unterbinden, die Nutzer-Aktivitäten nachverfolgen. Doch Webbrowser haben Funktionen, um auch moderne Tracking-Verfahren zu erkennen und zu blockieren. Selbst die sogenannten Super-Cookies lassen sich damit besser abwehren.

Virtuelle Begehung

Wie überwacht der DSB den Datenschutz im Homeoffice? Denn grundsätzlich ist ja bei einer Begehung z.B. das Grundrecht der Unverletzlichkeit der Wohnung zu beachten oder Hygienevorschriften. Wie so oft derzeit gilt auch hier: besser virtuell als gar nicht.

Muster

Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.

DP+
Kleines FAQ zum Verzeichnis von Verarbeitungstätigkeiten
Bild: NicoElNino / iStock / Thinkstock
Antworten auf zentrale Fragen

Brauchen kleine Einheiten mit weniger als 250 Beschäftigten keine Verarbeitungsübersicht? Was ist eigentlich ein Verfahren bzw. eine Verarbeitungstätigkeit? Was sind typische Verarbeitungstätigkeiten?

Tipps für die Datenschutz-Schulung

In den letzten Monaten warnten Sicherheitsbehörden vor Phishing-Wellen im Zusammenhang mit der Covid-19-Pandemie. Schon zuvor war Phishing eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten. Grund genug, eine spezielle Schulung anzubieten. Wer dabei Phishing-Simulationen nutzt, sollte das genau vorbereiten.

Beschäftigtendatenschutz

Ausfall- und Fehlzeiten von Beschäftigten zu erfassen und zu analysieren, ist ein komplexer Vorgang. Wie lässt sich das am besten im Verzeichnis von Verarbeitungstätigkeiten abbilden?

DP+
Was sollten DSB für sich selbst dokumentieren?
Bild: iStock.com / Olga Kurbatova
Keine Dokumentations-Pflicht, aber empfehlenswert

DSB unterrichten, beraten, prüfen, überwachen und kontrollieren. Daneben sind sie Anlaufstelle für die Aufsichtsbehörden. Sinnvoll ist es, all diese Tätigkeiten zu dokumentieren – auch aus Haftungsgründen. Fraglich ist, wie umfangreich diese Dokumentation sein muss.

Nicht nur für Homeoffice wichtig

Im Datenschutzalltag taucht im Zusammenhang mit Unternehmensnetzwerken häufig der Begriff „VPN“ auf. Was ist das eigentlich genau? Und worauf müssen Verantwortliche achten?

Sicherheit der Verarbeitung

Verschlüsselung gilt als wichtiges Mittel im Kampf gegen Hacker und Datenspione. Der Beitrag stellt die beiden Methoden Transport- und Inhaltsverschlüsselung gegenüber und gibt Ihnen Überlegungen zu einer risikobasierten Auswahl an die Hand.

Ausscheidende Mitarbeiter: Das müssen Sie prüfen
Bild: vadimguzhva / iStock / Thinkstock
Datenschutzkontrolle & Verarbeitungstätigkeiten

Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kolleginnen und Kollegen, die aus dem Unternehmen ausscheiden, kann hier gegensteuern. Prüfen Sie deshalb diese Verarbeitungstätigkeit Ihres Unternehmens oder Ihrer Behörde.

Auskunftspflicht oder nicht?

Die DSGVO regelt die Pflichten, die mit Anfragen der Aufsichtsbehörden verbunden sind, an verschiedenen Stellen. Und die Grundverordnung hat sie stark unterschiedlich ausgestaltet. Als DSB müssen Sie die Regelungen und ihre Inhalte kennen, um Stolperfallen zu vermeiden.

DP+
Passwörter sicher auswählen und verwenden
Bild: iStock.com / MicroStockHub
BSI ändert Empfehlungen

Das BSI hat seine Empfehlung, Passwörter regelmäßig zu wechseln, geändert. Ein Wechsel ist jetzt nur noch in Ausnahmefällen nötig. Welche Fälle sind das? Und was ist überhaupt ein sicheres Passwort?

DSGVO: Tools zur Kontrolle der Verfügbarkeit
Bild: f9photos / iStock / Thinkstock
Methoden für die Überwachung des Datenschutzes

Personenbezogene Daten müssen nach der Datenschutz-Grundverordnung (DSGVO) gegen Zerstörung und Verlust geschützt sein, Stichwort: Verfügbarkeit. Doch wie erkennen Sie, ob das gewährleistet ist? Monitoring-Tools helfen zum Beispiel dabei, die Backups zu überwachen.

So schützen Sie den Zutritt zum Serverraum
Bild: Ralwel / iStock / Thinkstock
Datenschutzkontrolle

Der Trend hin zu Cloud Computing darf nicht darüber hinwegtäuschen, dass es weiterhin Serverräume gibt, die eine umfassende Zutrittskontrolle benötigen. Aber mit Brandmeldeanlage, USV und Klimatisierung ist es nicht getan. In manchen Unternehmen befinden sich die Maßnahmen zur Kontrolle der Zutritte leider noch auf dem Stand einer besseren Bürotür.

Mit Richtlinien arbeiten

Die Corona-Krise hat dafür gesorgt, dass mehr Beschäftigte im Homeoffice arbeiten als jemals zuvor. In der ersten Not war der Datenschutz oft kein Thema. Das sollte sich nun ändern.

Telefon- und Videokonferenzen

Wer Meetings zu organisieren hat, geht mit personenbezogenen Daten um. Der Beitrag greift die wichtigsten Punkte auf. Dabei behandelt er klassische Besprechungen, aber auch Telefon- und Videokonferenzen.

Ein Dilemma für jeden Datenschutzbeauftragten

Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

DP+
DSGVO: Auftragskontrolle in der Praxis
Bild: iStock.com / AndreyPopov
Auftragsverarbeitung

Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

Tools für die Datenschutz-Folgenabschätzung
Bild: olm26250 / iStock / Thinkstock
Serie: Tools für die DSGVO

Software-Lösungen allein können die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht sicherstellen. Aber Tools können zumindest dabei helfen. In unserer Serie stellen wir verschiedene Werkzeuge vor. Den Anfang machen Tools und Verfahren, die helfen, ein Risiko zu bewerten.

Datenschutzverletzung

Sind erneut Mail-Adressen und Passwörter in unbefugte Hände geraten und im Internet veröffentlicht worden, ist die Sorge nicht nur in Unternehmen und Behörden groß, selbst betroffen zu sein. Doch wie stellen Sie fest, ob Sie zu den Opfern zählen?

Betroffenenrechte

Das Auskunftsrecht hatte zu einem großen Aufschrei geführt: Wie soll eine öffentliche Stelle – insbesondere eine Kommunalverwaltung – dem nachkommen, ohne sich bei der Recherche nach diesen Daten komplett zu verzetteln? Ein Muster auf Basis des VVT schafft Abhilfe.

Mobile Spyware

Smartphones sind mittlerweile tägliche Begleiter. Deshalb sind Spionage-Tools auf mobilen Geräten besonders gefährlich. Das ist allerdings noch nicht jedem Nutzer bewusst. Sorgen Sie als Datenschutzbeauftragte(r) für Aufklärung und geben Sie Tipps.

DP+
Neues vom Standard-Datenschutzmodell
Bild: Veröffentlichung der DSK zum SDM, S. 54
Methode zur Datenschutzberatung und -prüfung

Die halbjährliche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) verabschiedete Anfang November 2019 eine neue Version des Standard-Datenschutzmodells (SDM-V2). Damit ist die knapp dreijährige Auswertungsphase des Modells beendet. Wir stellen das Ergebnis vor.

Kooperation mit den Fachbereichen

Ohne die Zusammenarbeit mit der IT-Administration wird kaum ein Datenschutzbeauftragter (DSB) auskommen. Doch die Kooperation darf nicht zu eng werden. Vor allem darf es nicht zu einer Doppelfunktion DSB und Administrator kommen, um der Datenschutzkontrolle gerecht zu werden.

DP+
Datenschutzkonforme Zeiterfassung — aber wie?
Bild: iStock.com / Ralf Geithe
Beschäftigtendatenschutz

Spätestens seit dem Urteil des EuGH vom Mai 2019 ist die Zeiterfassung in den Betrieben ein aktuelles Thema. Doch wie lässt sie sich datenschutzkonform gestalten? Denn es geht um personenbezogene Daten.

Die Datenträgerentsorgung gehört unbedingt ins Löschkonzept
Bild: iStock.com / lolostock
Daten löschen

Kein Server, keine Workstation, kein Smartphone ist denkbar ohne Datenträger. Und die Speicherkapazitäten werden immer größer. Damit steigt das Risiko, dass über gelöschte, aber wiederhergestellte Datenträger sensible Informationen in fremde Hände fallen. Eine sichere Entsorgung ist daher unverzichtbar.

Datenschutz-Management nach DSGVO: Wo beginnen?
Bild: Duncan_Andison / iStock / Thinkstock
Datenschutz-Grundverordnung umsetzen

Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, ist ein Datenschutz-Management nötig. Wie bauen Verantwortliche ein solches Management auf? Was können Datenschutzbeauftragte (DSB) raten?

Verzeichnis von Verarbeitungstätigkeiten

Um kontrollieren zu können, ob eine Verarbeitungstätigkeit die datenschutzrechtlichen Anforderungen erfüllt, reicht meist der eher kurze Überblick im Verzeichnis der Verarbeitungstätigkeiten nicht aus. Daher heißt es, die Prozesse einer näheren Beschreibung zu unterziehen und sie detaillierter zu prüfen.

So haben Sie die Datenlöschung sicher im Griff
Bild: wildpixel / iStock / Thinkstock
Aufbewahrungs- und Löschfristen

Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Eine ganz zentrale Forderung bei den Betroffenenrechten: Daten sind unter bestimmten Voraussetzungen auch wieder zu löschen!
Bild: Spectral-Design / iStock / Thinkstock
Datenschutzorganisation

Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die schon früher unter dem altem Bundesdatenschutzgesetz geltenden Rechte auf und entwickelt sie weiter. Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.

Stellung des DSB

Wenn es darum geht, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen und der Aufsicht zu melden, ist mitnichten alles klar. Wir beantworten einige offene Fragen.

Datenschutz im Marketing

Der Widerruf einer Einwilligung löst Pflichten für den Werbeversender aus. Allerdings zeigt die Praxis, dass die betroffenen Personen manchmal die Umsetzung dieser Pflichten erschweren oder gar vereiteln. Mit dieser Spannungslage muss der Verantwortliche umgehen (können).

Das Auskunftsrecht nach Art. 15 DSGVO

Zum Auskunftsrecht nach DSGVO gibt es bereits drei interessante Entscheidungen. Was können Sie Ihren Kolleginnen und Kollegen in Ihrer Datenschutzunterweisung derzeit zu diesem Thema mitgeben?

Eine Frage der Rechtsgrundlage

Die DSGVO hat für viel Verunsicherung gerade bei Fotos gesorgt. Dieser Beitrag gibt daher den Mitarbeitern Anhaltspunkte an die Hand, die ihnen helfen, selbst die Zulässigkeit von Fotoaufnahmen zu bewerten.

Datenschutz-Kontrolle

Kontrollieren Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter vor Ort die Arbeitsplätze, gilt es, eine Menge Details unter die Lupe zu nehmen. Darunter findet sich Vieles, an das Sie vielleicht nicht auf den ersten Blick denken.

Geldbußen & andere Sanktionen

Die deutschen Datenschutzbehörden haben mittlerweile erste Geldbußen verhängt. Für viele Unternehmen stellt sich nun die Frage unmittelbar, ob auch die Mitarbeiter für Datenschutzverstöße haften.

DSGVO: So gewährleisten Sie die Wiederherstellbarkeit von Daten
Bild: AnuchaCheechang / iStock / Getty Images
Tools für die Sicherheit der Verarbeitung

Zur Sicherheit der Verarbeitung personenbezogener Daten nach DSGVO gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert mehr als regelmäßige Backups.

DP+
Neu als DSB – Input, Input, Input
Bild: iStock.com / pikepicture
Verzeichnis der Verarbeitungstätigkeiten

Der Auftakt hat geklappt. Das Kick-off-Meeting ist erfolgreich über die Bühne gegangen. Als DSB benötigen Sie jetzt umfangreiche Informationen: Kennen müssen Sie v.a. die Prozessabläufe und welche personenbezogenen Daten dabei für welche Zwecke auf welcher Rechtsgrundlage verarbeitet werden.

DP+
Der Datenschutz-Jahresbericht
Bild: iStock.com / z_wei
Soll und Haben in der Praxis

Der Jahresbericht ist ein gutes Instrument, um eine regelmäßige Bestandsaufnahme zu machen. Was ist gut gelaufen, was nicht? Wo besteht Handlungsbedarf? Ein absolutes Muss ist ein solcher Bericht jedoch nicht für den Datenschutzbeauftragten.

DP+
Das Löschkonzept – ein Beispiel
Bild: iStock.com / Good_Stock
Recht auf Löschung

Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.

DP+
Neu als DSB –  Auftakt und erste Schritte
Bild: iStock.com / PonyWang
Ihr Fahrplan für die ersten Wochen

„Herzlichen Glückwunsch! Sie sind der/die neue Datenschutzbeauftragte der abc-GmbH! Wann können Sie loslegen, und womit beginnen wir?“ Hören Sie das, haben Sie den interessantesten Job der Welt angetreten ...

Der Prozess ZAWAS

Verantwortliche müssen ein systematisches Vorgehen und ein umfassendes Konzept entwickeln, um ihre Verarbeitungstätigkeiten datenschutzkonform zu gestalten. Hierbei unterstützt sie der neue Prozess zur Auswahl angemessener Sicherungsmaßnahmen, abgekürzt ZAWAS.

False Positives: Wenn sich die IT-Sicherheit irrt
Bild: LeshkaSmok / iStock / Thinkstock
Vorsicht, falscher Alarm

Nicht nur Brandmelder können einen Fehlalarm auslösen. Auch die IT-Sicherheit macht Fehler. Reagieren die Mitarbeiter darauf falsch, ist der Datenschutz in Gefahr. Machen Sie False Positives, also falsche Alarme, deshalb zum Thema in Ihrer Datenschutz-Unterweisung.

DP+
So verhindern Sie den Fehlversand von E-Mails
Bild: iStock.com / GoodLifeStudio
Datenpannen vermeiden

Viele Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Besonders fehleranfällig sind dabei E-Mails.

Datenschutz auf dem Firmenparkplatz
Bild: Chesky_W / iStock / Thinkstock
Kennzeichenerfassung, Videoüberwachung, Beschilderung

Wer wünscht sich nicht mehr Sicherheit und Komfort? Immer neue technische Lösungen eröffnen uns hierbei Möglichkeiten, die vor wenigen Jahren undenkbar waren. Doch das Plus an Bequemlichkeit hat meist einen Haken: Der Datenschutz bleibt angesichts der vielfältigen (technischen) Möglichkeiten schnell auf der Strecke – so etwa auf dem Firmenparkplatz. Was können Sie dagegen tun?

Marketing

Direktwerbung dient nicht nur dazu, Bestandskunden zu bewerben, sondern sie will auch Neukunden gewinnen. Dafür sind oft Fremdadressen nötig. Was ist hierbei zulässig, was nicht?

Was gehört in eine IT-Sicherheitsrichtlinie?
Bild: KrulUA / iStock / Thinkstock
Dokumentation und Regeln im Datenschutz

Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.

Betroffenenrechte

Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor.

Datenschutzkontrolle durch Wirtschaftsprüfer

Das Institut der Wirtschaftsprüfer (IDW) hat ein Dokument vorgelegt, das Vorgaben für die Datenschutz-Kontrolle durch Wirtschaftsprüfer macht. Worum geht es genau, und wie ist dieser Hinweis einzuordnen?

Datenschutzschulung

Die meisten Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Zweifellos also ein wichtiges Thema für Schulungen, aber auch für die Geschäftsprozesse, die dahinterstecken.

DP+
So schließen Sie die Schwachstelle „Bildschirme“
Bild: iStock.com / monkeybusinessimages
Ein Schulungsklassiker

Sind Monitore für Unbefugte einsehbar, müssen Beschäftigte sie vor unliebsamen Blicken schützen. Bildschirmsperren und Blickschutzfolien sind dabei immer noch die wichtigsten Helfer.

Fakten-Check zur DSGVO

Derzeit stehen AV-Verträge hoch im Kurs. Es lohnt jedoch ein Check, ob es sich tatsächlich um Auftragsverarbeitung handelt. In vielen Fällen kommt man nämlich auch mit geringerem Aufwand zu einem sauberen Ergebnis.

DP+
„Möge die Datenverarbeitung beginnen!“
Bild: iStock.com / mbortolino
Prozesse verbessern

Nun läuft der Echtbetrieb, die Mitarbeiter müssen in der täglichen Arbeit die DSGVO anwenden. Dieser Artikel leistet Hilfestellung, um lebbare, praxisnahe Prozesse zu entwickeln und umzusetzen.

DP+
So funktioniert Mandantentrennung in der Cloud
Bild: iStock.com / ALotOfPeople
Datenisolierung in der Cloud

Setzen Verantwortliche Public-Cloud-Dienste ein oder nutzen sie Cloud-Services Dritter mit, müssen sie ihre Daten besonders schützen. Ein wichtiger Baustein von mehreren ist dabei die Datenisolierung.

Software-Freigabe

Ohne IT-Unterstützung geht heute nichts mehr. Sobald personenbezogene Daten ins Spiel kommen, greift die DSGVO – und zwar sowohl für neue als auch für bestehende Software-Lösungen. Was müssen Sie sich anschauen, um zu beurteilen, ob eine Software DSGVO-konform ist?

DP+
Methoden der Datenschutz-Folgenabschätzung
Bild: iStock.com / 4X-image
DSFA in der Praxis

Die DSGVO hat die DSFA eingeführt, um bei Hochrisikoverarbeitungen die Grundrechte der Bürger besser zu schützen. Während die Listen von Verarbeitungen, die eine Folgenabschätzung nötig machen, zunehmend vorhanden sind, fragt sich weiterhin, wie sich eine DSFA konkret durchführen lässt.

Fakten-Check zur Datenschutz-Grundverordnung

Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.

Tools zur Datenschutz-Grundverordnung

Sie suchen ein Werkzeug, mit dem Sie eine Datenschutz-Folgen- bzw. Risikoabschätzung als Dokument erstellen und in ein Datenschutz-Management-System einbinden können? Dann sehen Sie sich das im Folgenden vorgestellte Tool einmal näher an.

Was ist genau zu tun?

Mit der DSGVO müssen mehr Unternehmen einen DSB benennen, der u.a. die Datenverarbeitungsprozesse überwacht. Doch mit der bloßen Benennung im „Verborgenen“ ist es nicht ganz getan.

DP+
Das datenschutzkonforme Löschkonzept
Bild: badmanproduction / iStock / Thinkstock
Betroffenenrechte umsetzen

Die Datenlöschung ist ein wesentlicher Bestandteil der Betroffenenrechte, die die DSGVO zukünftig noch stärker betont. Ein durchdachtes Löschkonzept ist also wichtiger denn je. Was gehört alles dazu?

Datenschutz-Schulung: Selbstaudit der Mitarbeiter
Bild: NiroDesign / iStock / Thinkstock
Prüfung des Datenschutzgedankens

Die Verbesserung des Datenschutzes in einem Unternehmen erfordert vielfältige Regelungen und Umsetzungsmaßnahmen. Doch Sie wissen, „Papier ist geduldig“ – und wie wollen Sie kontrollieren, ob die angestrebten Schutzmaßnahmen bei den Mitarbeitern auch angekommen sind? Prüfen Sie doch einmal, inwiefern der Datenschutzgedanke präsent ist!

DP+
Hard- und Software datenschutzkonform nutzen und warten
Bild: NiroDesign / iStock / Thinkstock
Datenschutz-Kontrolle

Sind die Hardware-Komponenten und alle Software-Systeme inventarisiert, beginnt für Datenschutzbeauftragte erst die eigentliche Arbeit: Es gilt, alle datenschutzrechtlichen Fragen zu klären, die im Zusammenhang mit Software oder Hardware entstehen, etwa bei der Wartung.

Serie: Tools für die DSGVO

Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert Verfahren, die die Sicherheits-Maßnahmen im Unternehmen regelmäßig auf ihre Wirksamkeit überprüfen, bewerten und evaluieren. Dabei helfen verschiedene Security-Werkzeuge.

In 20 Schritten zum Software-Inventar
Bild: NicoElNino / iStock / Thinkstock
Datenschutzorganisation

Provokante Frage für Datenschutzbeauftragte: Glauben Sie, dass Sie eine realistische Chance haben, jemals einen vollständigen Überblick über alle im Unternehmen vorhandenen und zum Einsatz kommenden Programme zu haben?

Datenschutz-Management

Kaum ein Unternehmen verfügt über eine aktuelle und v.a. vollständige Liste der gesamten Hardware. Zu oft können DSBs so ihren Prüfungspflichten – gleich ob nach BDSG oder DSGVO – nur schwer nachkommen. Ändern Sie diesen Zustand.

Ausweiskopien

Welche Regeln gelten für Ausweiskopien? Wer darf eine Ausweiskopie anfertigen und was gilt für die Verarbeitung von personenbezogenen Daten einer Kopie des Personalausweises oder Reisepasses? Seit dem 15. Juli 2017 gelten die unten aufgeführten Regelungen.

Marketing in Zeiten der DSGVO
Bild: iStock.com / supparsorn
Schöne neue Welt?

Werbliche Ansprache von potenziellen Kunden, Adressgenerierung, Potenzialanalysen oder cloudbasierte CRM-Systeme, in denen weltweit Kundendaten abrufbar sind – was lässt die DSGVO alles zu?

DSGVO umsetzen

Viele Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind für Verantwortliche noch recht nebulös. Schauen wir uns daher einmal die andere Seite an: Was sollten Sie ganz klar NICHT tun?

Datenschutz-Grundverordnung

Eine der großen Herausforderungen der Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung (DSFA). Wir stellen eine Lösung vor, die den rechtlichen Regelungen, aber auch den praktischen Anforderungen der Unternehmen gerecht wird.

Die Bestellung zum Datenschutzbeauftragten
Bild: SvetaZi / iStock / Thinkstock
Fallstricke der Vertragsgestaltung

Wie hat zukünftig nach DSGVO eine Benennung zum DSB formal korrekt abzulaufen, und was ist inhaltlich zu beachten? Der Beitrag zeigt dies am Beispiel eines DSB, der als Arbeitnehmer beschäftigt ist und neben der Tätigkeit als DSB andere Arbeiten zu verrichten hat.

Arbeitnehmerdatenschutz: Tipps zum Monitoring
Bild: Poike / iStock / Thinkstock
Grenzen für Überwachungs-Tools

Monitoring im Netzwerk und auf Endgeräten gehört zu den zentralen IT-Sicherheits-Maßnahmen. Unternehmen dürfen es aber nicht übertreiben: Der Datenschutz verlangt eine klare Beschränkung und eine Information der Betroffenen, damit das Monitoring nicht zur Spionage wird.

Technische und organisatorische Maßnahmen

Die Datenschutz-Grundverordnung (DSGVO) stärkt den technischen Datenschutz. Sie bleibt aber vage, was konkrete Maßnahmen angeht. Wir stellen Möglichkeiten vor, diese Lücke zu füllen.

Datenschutz-Kontrolle

Ein Datenschutzbeauftragter steht immer wieder vor der Aufgabe, ein Rechenzentrum zu prüfen. Sehr häufig geht es um eine Kontrolle bei einem externen Auftragsverarbeiter. Wie gehen Sie die Prüfung am besten an?

Von der subjektiven zur objektiven Bewertung

Der Begriff des Risikos ist ein zentraler Baustein in der Datenschutz-Grundverordnung (DSGVO). Doch wie lässt sich eigentlich das Risiko konkret bestimmen? Eine Möglichkeit: Nutzen Sie eine Risikomatrix.

DSGVO: Praxistipps für Start-ups
Bild: Lightcome / iStock / Thinkstock
Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 gilt, ist derzeit heiß diskutiert, nicht nur bei großen Unternehmen. Auch für junge Unternehmen wie Start-ups stellt sich die Frage, wie sie mit der Verordnung umgehen. Der Beitrag zeigt, wie sich speziell kleine Unternehmen auf die DSGVO vorbereiten sollten.

Prüfmodell für Aufsicht, Organisationsmodell für Unternehmen

Das Standard-Datenschutzmodell soll zum einen die Prüfungen der Aufsichtsbehörden vereinheitlichen. Zum anderen möchte es Unternehmen und anderen Organisationen helfen, eine lückenlose Nachweisbarkeit – zukünftig zentral im Zusammenhang mit der DSGVO – herzustellen. Lesen Sie, wie das Modell arbeitet. Das SDM macht dabei eigentlich nichts Neues, sondern bietet eine Systematisierung mit 7 Schutzzielen, 3 Schutzbedarfsabstufungen und 3 Verfahrenskomponenten.

DP+
Datenschutz bei Veranstaltungen
Bild: Rawpixel / iStock / Thinkstock
Teilnehmerlisten und -urkunden

Der Volksmund sagt: „Die Schuster tragen die schlechtesten Schuhe.“ Auch wenn wir als Datenschutzbeauftragte das nicht gern hören: Manchmal machen selbst Datenschutzbeauftragte schnell Daten zugänglich, die verborgen bleiben sollten. Denken Sie beispielsweise an Teilnehmerlisten und Urkunden bei Schulungen. Wie gehen Sie in der Praxis damit um?

Datenschutz-Grundverordnung

Um die Anforderungen aus der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, muss der Verantwortliche im Unternehmen einen bunten Blumenstrauß an Maßnahmen (risikobasiert) definieren, umsetzen, dokumentieren und kontrollieren – um dann festzustellen, dass die eigentliche Arbeit jetzt erst anfängt. Denn die DSGVO baut im Ergebnis auf einem kontinuierlichen Verbesserungsprozess auf. Um dem gerecht zu werden, zeigen wir Ihnen, wie sich die Aufgaben in einem P(lan)-D(o)-C(heck)-A(ct)-Zyklus organisieren lassen.

DP+
Datenschutzfallen im Büro
Bild: cherezoff / iStock / Thinkstock
Clean Desk ist gut – Clean Office ist besser

Wo gehobelt wird, da fallen Späne – und wo ein Büro ist, da fallen Daten an. Bei der täglichen Arbeit im Büro gibt es viele kleine und große Datenschutzfallen. Das Gemeine dabei ist, dass sie den dort tagtäglich Arbeitenden kaum auffallen. Besuchern dagegen schon. Beschäftigen Sie sich als Datenschutzbeauftragter also auch mit den kleinen Datenschutzfallen im Büro.

1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.