Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Ratgeber

DP+
Fotos dienen der Außendarstellung eines Vereins. Unter Datenschutz-Gesichtspunkten müssen DSB aber einiges beachten.
Bild: iStock.com / monkeybusinessimages
Rechtsgrundlagen & Co.

Nach Veranstaltungen oder Wettkämpfen ist es üblich, auf der Internetseite des Vereins oder in der örtlichen Presse Fotos und Ergebnisse zu veröffentlichen. Hierbei müssen Vereine die DSGVO einhalten. Doch was geht und wo ist besondere Aufmerksamkeit erforderlich?

Kritiker behaupten, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Ist der Verantwortliche anderer Meinung, so muss er den rechtskonformen Einsatz per Datenschutz-Folgenabschätzung nachweisen. Doch ist eine DSFA bei Microsoft 365 in jedem Fall verpflichtend?

Es geht auf Websites auch ohne Google Fonts - und damit ohne Schadensersatz-Risiko
Bild: iStock.com / Mykyta-Dolmatov
Online-Datenschutz

Viele Websites binden Schriftarten von Google-Servern ein, um Texte darzustellen. Aus dieser Nutzungsart der Schriften entstehen Datenschutzprobleme, die sogar zum Schadenersatz für Website-Besucher führen können. Glücklicherweise lassen sie sich vermeiden.

Personenbezogene Daten im Fokus der Cyberattacken
Bild: solarseven / iStock / Getty Images Plus
Datenschutz und Cybersicherheit

Datenschutz und IT-Sicherheit stellen Unternehmen angesichts wachsender Cyberbedrohungen vor große Herausforderungen. Gerade digitale Identitäten und damit personenbezogene Daten sind gefährdet. Security-Konferenzen wie die ISD 22 unterstreichen den Handlungsbedarf bei Datenschutzkonzepten.

Die vergessene Schwachstelle in Büro und Homeoffice
Bild: jittawit.21 / iStock / Getty Images Plus
Angriffsziel Drucker

Trotz aller Digitalisierung bleiben Drucker wichtige Ausgabegeräte in Büros und Homeoffices. Während viele Unternehmen ihre Drucker nicht auf ihrer Liste der möglichen Schwachstellen haben, stehen die Drucker bei den Angreifern zunehmend im Fokus.

Datenschutzprüfung

Sollen personenbezogene oder unternehmenskritische Daten in der Cloud verarbeitet werden, müssen Sie als DSB prüfen, ob der Cloud-Anbieter die Anforderungen der DSGVO erfüllen kann.

Transparenz als oberstes Gebot

Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?

DP+
Kritiker sind der Meinung, dass Verbände bei Datenschutzverletzungen nicht auf Unterlassung klagen können sollten, sondern nur die betroffene Person, um massive Klagewellen zu verhindern. Doch der EuGH hat klargestellt, dass die Aufsichtsbehörden nicht die alleinigen „Hüter der DSGVO“ sind.
Bild: iStock.com / Aleksei-Naumov
Droht neues Unheil?

Dürfen Verbände bei Datenschutzverstößen gegen Unternehmen auf Unterlassung klagen? Der EuGH meint: Ja. Grund genug, zu klären, was Unterlassungsklagen sind und wie sich Unternehmen dagegen wappnen.

Online-Datenschutz

Das TTDSG regelt, welche Maßstäbe für Cookies gelten, die Website-Betreiber ohne Einwilligung durch den Nutzer verwenden dürfen. Der Beitrag zeigt einerseits, welche Cookies konkret einwilligungsfrei sind, und andererseits, woraus sich eine Einwilligungspflicht ableiten lässt.

DP+
So schnell sich ein Gewinnspiel auch erstellen lässt: Es erfordert im Vorfeld eine datenschutzrechtliche Prüfung und Bewertung. Die personenbezogenen Daten der Teilnehmenden dürfen nur zu diesem Zweck verarbeitet und müssen anschließend gelöscht werden. Wichtig sind zudem korrekte Datenschutzhinweise.
Bild: iStock.com / cirquedesprit
Werbung und Marketing

Gewinnspiele als Marketing-Maßnahme von Unternehmen haben sich – vor allem auf Social-Media-Plattformen – längst etabliert. Doch worauf müssen Veranstalter aus Sicht des Datenschutzes achten?

Lösegeld: zahlen oder nicht?

Das erpresserische Geschäftsmodell von Ransomware stellt Unternehmen vor die Wahl: Lösegeld zahlen oder nicht? Der Beitrag skizziert einen souveränen Umgang mit Cyberangriffen und positioniert sich zu dem Dilemma.

Neue Erkenntnisse für die Security Awareness

Nicht nur die Datenrisiken und die digitalen Technologien wandeln sich, auch das menschliche Verhalten im Umgang mit Daten und IT. Lesen Sie, wie Sie diesen Trend bei den Inhalten Ihrer Datenschutzschulungen berücksichtigen.

Datenschutz und Funktionalität sind kein Widerspruch

Gerade bei mobilen Apps gehen Nutzerinnen und Nutzer auf einen scheinbaren Kompromiss ein: Sie verwenden eine App, deren Datenschutz mindestens fraglich ist, die aber über viel Funktionalität und Komfort verfügt. Doch mit Privacy Friendly Apps muss niemand auf Datenschutz verzichten, der eine gute App haben will.

Videoüberwachung

Wer eine Dashcam nutzt, muss auf viele Fallstricke achten – im schlimmsten Fall liefert man nicht nur selbst die Beweise für einen verschuldeten Unfall, sondern erhält zusätzlich noch einen Bußgeldbescheid wegen eines damit verbundenen Datenschutzverstoßes.

DMS: Datenschutzgerechtes Dokumentenmanagement
Bild: RawpixelLtd / iStock / Thinkstock
Verarbeitungstätigkeiten prüfen

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und sind ein Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten. Sie brauchen daher Schutz innerhalb und außerhalb des internen Netzwerks.

Grundsätze der DSGVO

Die Maßnahmen im Datenschutz müssen laut DSGVO verhältnismäßig sein. Dabei ist es wichtig zu wissen, wie sich die Verhältnismäßigkeit bewerten lässt.

DP+
Gerade beim Werbewiderspruch machen manche Verantwortliche es den betroffenen Personen (zu) schwer, wenn es nach der DSGVO geht
Bild: iStock.com / anyaberkut
In der DSGVO häufig übersehen

Art. 12 Abs. 2 Satz 1 DSGVO regelt die Pflicht des Verantwortlichen, den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern. Die Praxis verkennt diese Pflicht speziell mit Blick auf das Recht auf Werbewiderspruch häufig. Doch Untätigkeit kann eine Pflichtverletzung sein.

Informationspflichten

Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.

Verarbeitungszwecke festlegen

Wer nicht weiß, warum er eigentlich bestimmte personenbezogene Daten verarbeitet, hat ein massives Problem. Und das nicht nur mit der Datenschutzaufsicht, sondern oft auch mit den eigenen Prozessen. Also gilt es, sich im Vorfeld einer Verarbeitung den Zweck bewusst zu machen.

Zugangskontrolle: So setzen Sie sie nach DSGVO um
Bild: lekkyjustdoit / iStock / Thinkstock
Datenschutz-Kontrolle

Die DSGVO und das BDSG legen bei der Sicherheit der Verarbeitung großen Wert auf die Zugangskontrolle. Was heißt Zugangskontrolle genau? Was müssen Datenschutzbeauftragte hier prüfen?

DSGVO und Datenschutz-Kontrollen

Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordnung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der DSGVO zu gewährleisten.

Einwilligung

Eine Einwilligung auf einer Webseite abzufragen, geschieht meist über Cookie-Banner. Für solche Abfragen gibt es Tools ver­schiedener Anbieter. Was ist bei ihrem Einsatz zu beachten?

Die private Seite der Schatten-IT

Selbst wenn Unternehmen im Homeoffice PC oder Notebook stellen, kann private IT ins Spiel kommen. Gerade beim Zubehör greifen viele Nutzerinnen und Nutzer zu eigenen Geräten. Informieren Sie als Datenschutzbeauftragte/r über die möglichen Risiken dieser Schatten-IT.

Kundendatenschutz

Bieten Unternehmen eine Newsletter-Registrierung per Double-Opt-in-Verfahren an, stellt sich die Frage, was mit der angegebenen E-Mail-­Adresse passiert, wenn die Anmeldung nicht zeitnah bestätigt wird.

Rechtskonforme Einwilligungen nach DSGVO

Viele Nutzerinnen und Nutzer ärgern sich über Cookie-Banner auf Webseiten. Auch Datenschützer ärgern sich – aber über die vielen Fehler, die Website-Betreiber bei den Cookie-Bannern machen. Die Datenschutzkonferenz gibt einen Überblick, was alles unzulässig ist.

Berufsgeheimnisträger

DSB kennen sich in der Regel sehr gut mit der Auftragsverarbeitung aus. Sie wissen, welche Verarbeitungen darunterfallen und wie sie diese ­datenschutzkonform regeln. Was ist jedoch zu beachten, wenn Daten, die einer besonderen Schweigepflicht unterliegen, betroffen sind?

Datenschutzmanagement

Datenschutzverletzungen kommen täglich in Unternehmen und öffentlichen Stellen vor, egal ob es sich um kommunale Verwaltungen, kleine und mittlere Unternehmen oder Konzerne handelt. Ganz vermeiden lassen sie sich sicher nicht. Doch arbeiten Sie mit Ihren Empfehlungen daran, die gröbsten Schnitzer zu umschiffen.

Gesundheitsdaten

Um die Krankenquote langfristig zu senken, nutzen Unternehmen oft sogenannte „Krankenrückkehrgespräche“. Doch ist diese Bezeichnung überhaupt korrekt, welche Rahmenbedingung sind zu beachten und welche datenschutzrechtlichen Fallstricke drohen?

Mitarbeiter schulen & sensibilisieren

Wer Social Media im Unternehmen oder in der Behörde nutzen möchte, braucht verbindliche Regelungen. Geeignet sind beispielsweise Social-Media-Leitfäden für die Mitarbeitenden. Denn allzu schnell geraten sonst Datenschutz und Informationssicherheit ins Hintertreffen.

Super-Apps vereinen zahlreiche Funktionen in einer Anwendung
Bild: istock.com / Vladimir Vladimirov
Datenschutz bei mobilen Apps

Super-Apps gelten als Zukunftstrend auf Smartphones und Tablets. Statt vieler Einzelapps installiert ein Nutzer dann nur eine Super-App. Datenschützer warnen vor dieser Entwicklung. Erklären Sie in Ihrer Unterweisung, warum drei Apps besser sein können als eine.

DSGVO & KUG

Auch wenn Präsenzveranstaltungen und Firmenevents derzeit kaum stattfinden können: Das Fotografieren oder Filmen bei Events und ­Veranstaltungen bleibt ein datenschutzrechtlicher Dauerbrenner. Was geht auf welcher Rechtsgrundlage, was geht nicht?

Die Prüfungsphase

Im besten Fall sind Datenschutzbeauftragte (DSB) im Vorfeld beteiligt, wenn ein Verantwortlicher einen Messenger auswählt und einführt. Doch auch wenn Sie bereits einen Dienst vorfinden, gilt es, die folgenden Aspekte aus Datenschutzsicht zu prüfen.

Was müssen Verantwortliche und Datenschutzbeauftragte beachten?

Das Betriebsrätemodernisierungsgesetz klärt die Frage, ob der Betriebsrat ein eigener Verantwortlicher ist oder nicht. Außerdem erlaubt es virtuelle Betriebsratssitzungen und regelt die Mitbestimmung beim Einsatz von Künstlicher Intelligenz und bei mobiler Arbeit.

DP+
Einige Datenschutz-Aufsichtsbehörden geben Hilfestellungen zu den Datenschutzfragen, die sich aus der 3G-Regelung am Arbeitsplatz ergeben
Bild: iStock.com / Christian Horz
Beschäftigtendatenschutz

Waren sich früher die Datenschützer einig, dass es nicht zulässig ist, den Impfstatus der Beschäftigten abzufragen, besteht nunmehr sogar die gesetzliche Verpflichtung dazu. Wie setzen Arbeitgeberinnen und Arbeitgeber die Anforderungen aus Datenschutzsicht am besten um?

Technische Maßnahmen

Um den Datenschutz in Windows selbst und bei der Arbeit mit dem System zu verbessern, stehen verschiedene kostenlose Tools zur Verfügung. Mit diesen Werkzeugen lassen sich z.B. Daten einfach verschlüsseln.

„Letzte Ausfahrt Einwilligung“

Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten, wie es die DSGVO scheinbar nahelegt.

„Kronjuwelen“ schützen

Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss diese Informationen mit geeigneten technischen und organisatorischen Maßnahmen schützen. Die Daten systematisch zu klassifizieren, kann diesen Prozess strukturieren und vereinfachen.

Hybrid Work regeln und kontrollieren

Das neue Arbeiten zwischen Homeoffice und Büro stellt Unternehmen vor vielerlei Herausforderungen. Für Datenschutzbeauftragte ist es umso wichtiger, bei Veränderungen, die die Arbeitssituation der Beschäftigten betreffen, kompetent zu beraten.

Bewerberdatenschutz

Wer Bewerbungsunterlagen per E-Mail entgegennimmt, während er gleichzeitig alle E-Mails revisionssicher archiviert, um seinen Aufbewahrungspflichten nachzukommen, handelt im Widerspruch zu den Löschpflichten aus der DSGVO. Wie lässt sich das Dilemma lösen?

Was wie herausgeben?

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

DP+
Große Energieversorger und Krankenhäuser, aber auch die Müllabfuhr gehören zum Kreis der KRITIS-Einrichtungen, die das BSIG zu beachten haben
Bild: iStock.com / xijian
Kritische Infrastrukturen

Besonders wichtig für Datenschutzbeauftragte (DSB) in KRITIS-Unternehmen ist das BSIG. Betroffenen Einrichtungen legt es viele Verpflichtungen auf, die sich auch auf personenbezogene Daten beziehen.

Smart Home als betriebliches Datenrisiko

Sicherheitslücken in Smart-Home-Lösungen betreffen nicht nur Privathaushalte. Durch die Entwicklung hin zu Homeoffice und Hybrid Work sind unsichere Geräte und Anwendungen auch zum Risiko für den betrieblichen Datenschutz geworden. Machen Sie Smart-Home-Sicherheit daher zum Thema in Ihrer Datenschutzunterweisung.

Schritt für Schritt zum Löschkonzept
Bild: Andranik Hakobyan / iStock / Getty Images
Datenschutzkonzept nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO / GDPR) und das Bundesdatenschutzgesetz (BDSG-neu) machen Vorgaben zur Löschung personenbezogener Daten. Daher empfiehlt es sich, ein Löschkonzept zur Umsetzung zu entwickeln. Hier unterstützt die Norm DIN 66398.

IT-Grundschutz: Praxis-Leitlinien für Datensicherheit
Bild: NicoElNino / iStock / Thinkstock
Datenschutz und Datensicherheit

Gerade bei der Datensicherheit suchen viele Unternehmen Orientierung und Unterstützung. Hier hilft der IT-Grundschutz des BSI. Lesen Sie, was der Grundschutz ist und wie Sie damit arbeiten.

Auswahlkriterien für VPN-Dienste

Ein VPN zu nutzen, gehört regelmäßig zu den Sicherheits-Empfehlungen, für das Homeoffice genauso wie für die mobile Arbeit. Doch damit Virtual Private Networks den erwarteten Schutz bieten, müssen die jeweiligen VPN-Lösungen eine Reihe von Kriterien erfüllen.

Wann muss ich einen Datenschutzbeauftragten benennen?
Bild: iStock.com / #Urban-Photographer
Datenschutz organisieren

Mit den neuesten Gesetzesanpassungen haben sich die Vorgaben an die Mitarbeiterzahl geändert, ab wann ein Datenschutzbeauftragter (DSB) zu benennen ist. Doch die Zahl der Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist nicht das einzige Kriterium.

Hybrid Work

Arbeiten die Beschäftigten teils im Büro und teils im Homeoffice, steigt die Gefahr, dass sie vertrauliche Unterlagen mit nach Hause nehmen. Bei aller Digitalisierung ist es daher notwendig, zu regeln, wie die Kolleginnen und Kollegen Papierdokumente richtig behandeln.

Pflicht seit Mai 2018

Die Datenschutz-Grundverordnung (DSGVO / GDPR) nimmt auch Auftragsverarbeiter in die Pflicht: Bei einer Auftragsverarbeitung ist nicht mehr nur der Verantwortliche gefordert. Was muss der Auftragsverarbeiter tun?

Datenschutz-Unterweisung Hybrid Work

Kehren die Mitarbeiterinnen und Mitarbeiter aus dem Homeoffice (zeitweise) in das frühere Büro zurück, bedeutet das auch geänderte Datenschutzkonzepte. Die neue Form des Arbeitens wird eine Mischform, „Hybrid Work“ sein, mit Folgen für den Datenschutz. Machen Sie deshalb Hybrid Work zum Gegenstand einer Datenschutzunterweisung

Risiken aus dem Wettbewerbsrecht

Neben den Geldbußen und Schadenersatzklagen ergeben sich bei Datenschutzverstößen Risiken aus dem Wettbewerbsrecht. Dazu gehören die Abmahnung und ihre Folgekosten. Wie ist hier der aktuelle Stand?

Datenschutz-Software

Datenschutz-Software kann wesentlich dazu beitragen, die DSGVO umzusetzen. Was die jeweiligen Tools jedoch genau leisten und was die Beschäftigten weiterhin manuell tun müssen, sollte genau bekannt sein.

Datenübermittlung in Drittländer

Ausgangspunkt und zentraler Mechanismus, um die „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer zu bestimmen und umzusetzen, ist eine Einzelfallbewertung oder Neudeutsch ein „Transfer Impact Assessment“ (kurz TIA). Was steckt genau hinter diesem Prozess?

Betriebliche Forschung

Die DSGVO privilegiert die Datenverarbeitung für Forschungszwecke. Sie erleichtert die Zweckänderung und schränkt die Betroffenenrechte ein. Doch betriebliche Forschungsvorhaben müssen bestimmte Voraussetzungen erfüllen, um diese Vorteile nutzen zu können.

Datenschutzunterweisung für Beschäftigte im Homeoffice

Bei aller Digitalisierung hat der Drucker seine Bedeutung nicht verloren. Doch viele Unternehmen haben ihre Beschäftigten im Homeoffice nicht mit einem Drucker ausgestattet. Der private Drucker hat jedoch oft nicht die erforderlichen Sicherheitsfunktionen. Machen Sie daher in Ihrer Datenschutzschulung den Drucker zum Thema.

Sicherheit der Verarbeitung

Angesichts der wachsenden Bedrohung müssen Unternehmen nachhaltige Cyber-Resilienz, also Widerstandsfähigkeit, anstreben, um Angriffe zu verhindern und bei Sicherheitsvorfällen schnell zu reagieren. Dazu eignen sich Sicherheitsaudits, sogenannte Penetrationstests, besonders gut.

Homeoffice und Remote Work

Die Verbindung in das Firmen- oder Behördennetzwerk muss geschützt sein, wenn Beschäftigte unterwegs oder im Homeoffice darauf zugreifen wollen. Dafür empfiehlt sich, ein VPN (Virtual Private Network) einzusetzen. Informieren Sie die Mitarbeiterinnen und Mitarbeiter in Ihrer Datenschutzschulung, wie sie VPN einrichten und aktivieren.

Wenn Datenverwalter die Pseudonyme liefern

Mit der Pseudonymisierung tun sich viele Unternehmen immer noch schwer. Eine Trusted Third Party als Datenverwalter könnte hier Abhilfe schaffen, setzt aber eine genaue Prüfung durch den Verantwortlichen voraus. Die EU-Agentur für Cybersicherheit ENISA gibt Hinweise dazu.

Im Home-Office müssen vielfach die Nutzer selbst die Anti-Spam-Funktionen einstellen. Helfen Sie hierbei mit einer Unterweisung.
Bild: OneO2 / iStock / Getty Images Plus
Tipps für die Datenschutzunterweisung

Die Spam-Filterung erfolgt teils lokal auf den Endgeräten. In Zeiten von Remote Work und Home-Office sind dann oftmals die Nutzer gefragt, wenn es um das Training der Spam-Filter geht. Erklären Sie deshalb in einer Unterweisung, wie man die unerwünschten E-Mails am besten behandelt. Zeigen Sie dabei beispielhaft die Einstellungen in einem E-Mail-Client.

Rückkehr an den Arbeitsplatz

Unter welchen Bedingungen können beschäftigte Personen in einen einigermaßen normalen Büroalltag zurückkehren? Was müssen Arbeitgeber und Arbeitnehmer dazu aus Datenschutzsicht wissen? Und wie können Datenschutzbeauftragte dabei beratend unterstützen?

Wer im Homeoffice arbeitet, nutzt meist seinen Heim-Router für den Zugang ins Firmennetzwerk. Behandeln Sie als Datenschutzbeauftragte(r) in Ihren Unterweisungen zum Datenschutz im Homeoffice deshalb die Datensicherheit bei Internet-Routern.

Wer Outsourcing plant, muss an zahlreiche Faktoren denken - nicht zuletzt an den Datenschutz
Bild: iStock.com / gilaxia
Datenschutz-Begriffe

Unter Outsourcing versteht man die Nutzung von Ressourcen anderer Anbieter. Verbreitet ist vor allem das Outsourcing von IT-Dienstleistungen oder von Teilen der IT.

Praktische Fallbeispiele

Verantwortliche müssen Datenpannen nicht nur erkennen und ggf. rechtzeitig melden. Sie sind auch angehalten, Fehler zu analysieren, die überhaupt erst zu dem Vorfall führen konnten. Ziel ist es, zukünftig Datenpannen zu vermeiden. Unterstützung bieten auch hier die Leitlinien des EDSA.

Mehr Daten erhalten als erwünscht?

Will ein Unternehmen personenbezogene Daten erheben, erhält es oft Informationen, die über die abgefragten Daten hinausgehen. Denkbar ist auch, dass Kunden oder Mitarbeiter ungefragt personenbezogene Daten übermitteln. Was tun mit solchen Daten?

Haftungsrisiken

Jeden Monat gibt es derzeit neue Urteile deutscher Gerichte zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus. Wie verteidigen sich Verantwortliche gegen Schadenersatzansprüche, welche Fallstricke gilt es zu vermeiden?

Zum Datenschutz unterweisen

Homeoffice und Remote Work haben die Zahl der Online-Videokonferenzen steigen lassen. Die Webcam abzusichern, wird daher immer wichtiger. Abdeckungen für Webcams sind nur eine der Maßnahmen, die Sie in der Datenschutzschulung empfehlen können.

Beispiel Firefox Lockwise

Niemand kann sich zig Passwörter merken. Daher ist es sinnvoll, Passwörter in einem Passwort-Manager oder -Safe zu speichern. Doch wie lernen die Nutzerinnen und Nutzer, damit richtig umzugehen?

Gastbeitrag

Arbeitgeber sind seit dem 21.4. dazu verpflichtet, ihren Angestellten mindestens einmal wöchentlich Corona-Tests anzubieten, wenn sie nicht im Homeoffice arbeiten. Wie lässt sich das datenschutzkonform umsetzen?

Datenschutzschulung

Die TeamViewer-Alternative AnyDesk wird ebenfalls in Deutschland entwickelt. Mit ihr kann ein Beschäftigter remote auf seinen PC im Büro oder die IT zu Fernwartungszwecken zugreifen. In diesem Beitrag durchleuchten wir die Sicherheitseinstellungen und den Datenschutz.

Datensicherheit

Angreifer nutzen Schwachstellen in IT-Systemen aus, um personenbezogene Daten auszuspähen und zu missbrauchen. Zur Sicherheit der Verarbeitung nach Datenschutz-Grundverordnung (DSGVO / GDPR) gehört deshalb ein Patch-Management, um Sicherheitslücken zu beheben. Erfahren Sie, worauf es beim Patch-Management ankommt.

„Kann ich Ihnen helfen?“

Sie begegnen einem immer öfter beim Surfen auf Webseiten oder bei Bestellvorgängen im E-Commerce: sogenannte Chatbots. Was müssen Verantwortliche datenschutzrechtlich beachten, wenn sie solche Dialogsysteme mit „sprachlichen Fähigkeiten“ einsetzen?

Schutz vor Online-Tracking

Das einfache Cookie-Management im Webbrowser reicht nicht, um raffinierte Verfahren zu unterbinden, die Nutzer-Aktivitäten nachverfolgen. Doch Webbrowser haben Funktionen, um auch moderne Tracking-Verfahren zu erkennen und zu blockieren. Selbst die sogenannten Super-Cookies lassen sich damit besser abwehren.

Virtuelle Begehung

Wie überwacht der DSB den Datenschutz im Homeoffice? Denn grundsätzlich ist ja bei einer Begehung z.B. das Grundrecht der Unverletzlichkeit der Wohnung zu beachten oder Hygienevorschriften. Wie so oft derzeit gilt auch hier: besser virtuell als gar nicht.

Zugang zu Daten besser schützen

Online-Kriminelle können auch einen verstärkten Zugriffsschutz umgehen. Es kommt deshalb darauf an, die Mehr-Faktor-Authentifizierung (MFA) richtig umzusetzen. Ein Fall für die Beratung durch Datenschutzbeauftragte.

Muster

Rein rechtlich gesehen fiel das Datengeheimnis mit Anwendbarkeit der DSGVO weg. Doch ist es sinnvoll, die Verpflichtung auf das Datengeheimnis aufgrund der Rechenschaftspflicht in angepasster Form beizubehalten. Wir schlagen ein Muster vor.

Privacy by Design

Die Forderung der DSGVO nach Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verhallt oft, weil es in der Software-Entwicklung zu wenig Ressourcen gibt. Die Idee, über Low-Code-Plattformen die Softwareentwicklung zu vereinfachen, kann deshalb auch dem Datenschutz dienen.

DP+
Kleines FAQ zum Verzeichnis von Verarbeitungstätigkeiten
Bild: NicoElNino / iStock / Thinkstock
Antworten auf zentrale Fragen

Brauchen kleine Einheiten mit weniger als 250 Beschäftigten keine Verarbeitungsübersicht? Was ist eigentlich ein Verfahren bzw. eine Verarbeitungstätigkeit? Was sind typische Verarbeitungstätigkeiten?

Tipps für die Datenschutz-Schulung

In den letzten Monaten warnten Sicherheitsbehörden vor Phishing-Wellen im Zusammenhang mit der Covid-19-Pandemie. Schon zuvor war Phishing eine ernstzunehmende Gefahr für den Schutz personenbezogener Daten. Grund genug, eine spezielle Schulung anzubieten. Wer dabei Phishing-Simulationen nutzt, sollte das genau vorbereiten.

Konzepte für Remote Work bewerten

Die Markt für Homeoffice-Lösungen ist stark angewachsen. Verschiedene Sicherheitskonzepte konkurrieren darum, Remote Work zu schützen. Datenschutzbeauftragte sollten bei der Auswahl unterstützen und beraten. Lesen Sie daher, worauf es ankommt.

DP+
Mobiles Arbeiten: Bring your own Device revisited
Bild: iStock.com / asiandelight
Muster-Betriebsvereinbarung

Viele Beschäftigte arbeiten immer noch im Homeoffice, ein Teil davon mit privaten Geräten – und das oft völlig ungeregelt. Das hier vorgestellte Muster einer Betriebsvereinbarung ist eine gute Ausgangsbasis, mit der Unternehmen für klare und sichere Verhältnisse sorgen.

Beschäftigtendatenschutz

Ausfall- und Fehlzeiten von Beschäftigten zu erfassen und zu analysieren, ist ein komplexer Vorgang. Wie lässt sich das am besten im Verzeichnis von Verarbeitungstätigkeiten abbilden?

DP+
So lässt sich der Datenschutz bei Zoom verbessern
Bild: iStock.com / Andrei Stanescu
Videokonferenz-Tools

Webdienste für Videokonferenzen und Teamarbeit sind besonders anfällig für mehr oder weniger große Lücken bei Datenschutz und Datensicherheit. Lesen Sie Tipps, wie sich der Datenschutz bei Zoom optimieren lässt, und geben Sie sie in Schulungen weiter.

Datenschutz-Schulung

Warum fordert der Datenschutz bestimmte Maßnahmen? Um Beschäftigte dafür zu sensibilisieren, helfen konkrete Beispiele, die jeder kennt. Die Kritik der Datenschützer, wie etwa Gaststätten mit den Kontaktdaten umgehen, die sie im Zuge der Corona-Verordnungen erheben müssen, eignet sich daher sehr gut für Ihre Datenschutz-Schulung.

DP+
Was sollten DSB für sich selbst dokumentieren?
Bild: iStock.com / Olga Kurbatova
Keine Dokumentations-Pflicht, aber empfehlenswert

DSB unterrichten, beraten, prüfen, überwachen und kontrollieren. Daneben sind sie Anlaufstelle für die Aufsichtsbehörden. Sinnvoll ist es, all diese Tätigkeiten zu dokumentieren – auch aus Haftungsgründen. Fraglich ist, wie umfangreich diese Dokumentation sein muss.

Onboarding-Prozesse

Bewerbungs- und Einstellungsprozesse sind ohne personenbezogene Daten undenkbar. Doch Verantwortliche müssen darauf achten, wirklich nur mit solchen Informationen zu arbeiten, die unbedingt erforderlich sind.

Beschäftigtendatenschutz

Welche Arten von Fehlzeiten gibt es überhaupt? Und wie lassen sie sich aus Datenschutz-Sicht rechtlich einordnen? Lesen Sie, welche Vorgehensweise sich in der Praxis bewährt hat.

DP+
Was nach den Third-Party-Cookies kommt
Bild: iStock.com / MarioGuti
Alternative Cookies

Verschiedene Webbrowser werden in Zukunft Drittanbieter-Cookies nicht nur blockieren, sondern die Unterstützung komplett einstellen. Die Werbeindustrie sucht nun Alternativen. Für den Datenschutz ist es wichtig, dass alternative Cookies ihn nicht unterwandern.

Wer ist wann wie zu informieren?

Eine Umfrage des Senders NDR unter den Datenschutz-Aufsichtsbehörden zeigt: Sensible Patientendaten landen in großer Zahl bei falschen Empfängern. Wer richtig mit solchen Datenpannen umgeht und dafür sorgt, sie zukünftig zu vermeiden, minimiert das Risiko von Bußgeldern.

Nicht nur für Homeoffice wichtig

Im Datenschutzalltag taucht im Zusammenhang mit Unternehmensnetzwerken häufig der Begriff „VPN“ auf. Was ist das eigentlich genau? Und worauf müssen Verantwortliche achten?

Sicherheit der Verarbeitung

Verschlüsselung gilt als wichtiges Mittel im Kampf gegen Hacker und Datenspione. Der Beitrag stellt die beiden Methoden Transport- und Inhaltsverschlüsselung gegenüber und gibt Ihnen Überlegungen zu einer risikobasierten Auswahl an die Hand.

Richtig mit Online-Werbung umgehen
Bild: Zoonar RF / Zoonar / Thinkstock
Datenschutzschulung: Werbung im Internet

Internet-Werbung ist nicht automatisch störend. Sie kann auch nützlich sein. Entscheidend ist dabei das Interesse des Nutzers. Können Lösungen wie die Acceptable Ads Initiative Nutzern helfen, störende Werbung zu vermeiden? Welche anderen Schritte sind noch erforderlich?

Ausscheidende Mitarbeiter: Das müssen Sie prüfen
Bild: vadimguzhva / iStock / Thinkstock
Datenschutzkontrolle & Verarbeitungstätigkeiten

Ehemalige Beschäftigte können gewollt oder ungewollt zu einem großen Datenrisiko werden. Nur ein durchdachtes Verfahren für Kolleginnen und Kollegen, die aus dem Unternehmen ausscheiden, kann hier gegensteuern. Prüfen Sie deshalb diese Verarbeitungstätigkeit Ihres Unternehmens oder Ihrer Behörde.

Auskunftspflicht oder nicht?

Die DSGVO regelt die Pflichten, die mit Anfragen der Aufsichtsbehörden verbunden sind, an verschiedenen Stellen. Und die Grundverordnung hat sie stark unterschiedlich ausgestaltet. Als DSB müssen Sie die Regelungen und ihre Inhalte kennen, um Stolperfallen zu vermeiden.

Trojaner, Teil 2

Auch wenn Beschäftigte gut geschult sind: Verantwortliche können sich nicht darauf verlassen, dass niemand mehr auf gefährliche Links klickt. Technische Maßnahmen müssen daher die Sensibilisierung flankieren.

DP+
Passwörter sicher auswählen und verwenden
Bild: iStock.com / MicroStockHub
BSI ändert Empfehlungen

Das BSI hat seine Empfehlung, Passwörter regelmäßig zu wechseln, geändert. Ein Wechsel ist jetzt nur noch in Ausnahmefällen nötig. Welche Fälle sind das? Und was ist überhaupt ein sicheres Passwort?

DSGVO: Tools zur Kontrolle der Verfügbarkeit
Bild: f9photos / iStock / Thinkstock
Methoden für die Überwachung des Datenschutzes

Personenbezogene Daten müssen nach der Datenschutz-Grundverordnung (DSGVO) gegen Zerstörung und Verlust geschützt sein, Stichwort: Verfügbarkeit. Doch wie erkennen Sie, ob das gewährleistet ist? Monitoring-Tools helfen zum Beispiel dabei, die Backups zu überwachen.

So schützen Sie den Zutritt zum Serverraum
Bild: Ralwel / iStock / Thinkstock
Datenschutzkontrolle

Der Trend hin zu Cloud Computing darf nicht darüber hinwegtäuschen, dass es weiterhin Serverräume gibt, die eine umfassende Zutrittskontrolle benötigen. Aber mit Brandmeldeanlage, USV und Klimatisierung ist es nicht getan. In manchen Unternehmen befinden sich die Maßnahmen zur Kontrolle der Zutritte leider noch auf dem Stand einer besseren Bürotür.

IP-Adressen: So prüfen Sie die Speicherpraxis
Bild: popba / iStock / Thinkstock
Datenschutz für IP-Adressen

Dynamische IP-Adressen sind personenbezogene Daten. Für Unternehmen und öffentliche Stellen wie Behörden heißt das, zu überprüfen, wie sie diese IP-Adressen verarbeiten, um nicht gegen den Datenschutz zu verstoßen. Worauf müssen Sie achten?

Überblick zu Dokumenten der Datenschutz-Aufsichtsbehörden

Wie wichtig Datenschutz auch und gerade in Krisenzeiten ist, zeigt die Fülle an Veröffentlichungen und Empfehlungen der deutschen Aufsichtsbehörden für den Datenschutz zur Corona-Krise. Verschaffen Sie sich hier einen Überblick.

DP+
So arbeitet ein Trojaner (Teil 1)
Bild: iStock.com / Rawf8
Corona als Köder

Trojaner der neuesten Generation sind eine möglicherweise existenzbedrohende Gefährdung für Unternehmen. Sensibilisierte Mitarbeiter sind das A & O, um solchen Angriffen keine Chance zu geben.

Mit Richtlinien arbeiten

Die Corona-Krise hat dafür gesorgt, dass mehr Beschäftigte im Homeoffice arbeiten als jemals zuvor. In der ersten Not war der Datenschutz oft kein Thema. Das sollte sich nun ändern.

Recht auf Vergessenwerden

Die Datenschutz-Grundverordnung (DSGVO) kennt das Recht auf Vergessenwerden. Das macht leider weder den Selbstdatenschutz noch die Datenlöschung überflüssig. Was können Sie tun, um unerwünschte persönliche Daten im Internet zu löschen – oder besser: um solche Informationen gar nicht erst entstehen zu lassen?

Telefon- und Videokonferenzen

Wer Meetings zu organisieren hat, geht mit personenbezogenen Daten um. Der Beitrag greift die wichtigsten Punkte auf. Dabei behandelt er klassische Besprechungen, aber auch Telefon- und Videokonferenzen.

Ein Dilemma für jeden Datenschutzbeauftragten

Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

DP+
DSGVO: Auftragskontrolle in der Praxis
Bild: iStock.com / AndreyPopov
Auftragsverarbeitung

Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

So erstellen Sie Ihre Datenschutz-Planung
Bild: koo_mikko / iStock / Thinkstock
Jahresbericht und Planung

Was steht eigentlich im Abschnitt „Ausblick“, wenn man Ihren aktuellen Datenschutz-Bericht aufschlägt? Weitere Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR)? Etwas konkreter darf es schon werden. Machen Sie sich an dieser Stelle Gedanken zu Ihrer Datenschutz-Planung.

Datenschutz-Begriffe und Bewertung von Technologien

Gerade jetzt sind RFID und NFC etwa beim kontaktlosen Bezahlen ein großes Thema. RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.

Tools für die Datenschutz-Folgenabschätzung
Bild: olm26250 / iStock / Thinkstock
Serie: Tools für die DSGVO

Software-Lösungen allein können die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht sicherstellen. Aber Tools können zumindest dabei helfen. In unserer Serie stellen wir verschiedene Werkzeuge vor. Den Anfang machen Tools und Verfahren, die helfen, ein Risiko zu bewerten.

Datenschutzverletzung

Sind erneut Mail-Adressen und Passwörter in unbefugte Hände geraten und im Internet veröffentlicht worden, ist die Sorge nicht nur in Unternehmen und Behörden groß, selbst betroffen zu sein. Doch wie stellen Sie fest, ob Sie zu den Opfern zählen?

Betroffenenrechte

Das Auskunftsrecht hatte zu einem großen Aufschrei geführt: Wie soll eine öffentliche Stelle – insbesondere eine Kommunalverwaltung – dem nachkommen, ohne sich bei der Recherche nach diesen Daten komplett zu verzetteln? Ein Muster auf Basis des VVT schafft Abhilfe.

Motivationstechniken: Datenschutz fängt im Kopf an
Bild: Choreograph / iStock / Thinkstock.
Datenschutz-Schulung

Um die Datenschutz-Grundverordnung (DSGVO) einhalten zu können, muss die Motivation der Mitarbeiter stimmen. Ohne Antrieb ist weder Datenschutz noch Unternehmenserfolg möglich. Welche Motivationstechniken bieten sich deshalb für Ihre Datenschutz-Schulung an?

So entwickeln Sie ein Datensicherheitskonzept
Bild: Sergey Nivens / iStock/ Thinkstock
Standard-Datenschutzmodell

Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt. Oft finden sich nur allgemeine Aussagen zum Datenschutz. Das neue Standard-Datenschutzmodell (SDM 2.0) hilft dabei, die Schutzmaßnahmen zu konkretisieren.

Mobile Spyware

Smartphones sind mittlerweile tägliche Begleiter. Deshalb sind Spionage-Tools auf mobilen Geräten besonders gefährlich. Das ist allerdings noch nicht jedem Nutzer bewusst. Sorgen Sie als Datenschutzbeauftragte(r) für Aufklärung und geben Sie Tipps.

So pflegen Sie das Datenschutzkonzept
Bild: KrulUA / iStock / Thinkstock
Datenschutz organisieren

Die Datenschutz-Grundverordnung (DSGVO) fordert ein Verfahren, das die Wirksamkeit der Maßnahmen zu Datenschutz und Datensicherheit regelmäßig überprüft, bewertet und evaluiert. Das heißt für Unternehmen und Datenschutzbeauftragte: Sie müssen das Datenschutzkonzept immer wieder überarbeiten. Lesen Sie, was dabei wichtig ist.

DP+
Neues vom Standard-Datenschutzmodell
Bild: Veröffentlichung der DSK zum SDM, S. 54
Methode zur Datenschutzberatung und -prüfung

Die halbjährliche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) verabschiedete Anfang November 2019 eine neue Version des Standard-Datenschutzmodells (SDM-V2). Damit ist die knapp dreijährige Auswertungsphase des Modells beendet. Wir stellen das Ergebnis vor.

Kooperation mit den Fachbereichen

Ohne die Zusammenarbeit mit der IT-Administration wird kaum ein Datenschutzbeauftragter (DSB) auskommen. Doch die Kooperation darf nicht zu eng werden. Vor allem darf es nicht zu einer Doppelfunktion DSB und Administrator kommen, um der Datenschutzkontrolle gerecht zu werden.

DP+
Datenschutzkonforme Zeiterfassung — aber wie?
Bild: iStock.com / Ralf Geithe
Beschäftigtendatenschutz

Spätestens seit dem Urteil des EuGH vom Mai 2019 ist die Zeiterfassung in den Betrieben ein aktuelles Thema. Doch wie lässt sie sich datenschutzkonform gestalten? Denn es geht um personenbezogene Daten.

Interne Suchmaschinen: So geht's datenschutzkonform
Bild: Rawpixel / iStock / Thinkstock
Enterprise Search

Um personenbezogene Daten in Big-Data-Projekten zu schützen, benötigen Unternehmen Transparenz in ihren Datenbergen. Interne Suchmaschinen helfen dabei. Damit diese Suchspezialisten aber nicht mehr finden als sie dürfen, pochen Sie auf ein Datenschutzkonzept.

DP+
CRM-Systeme datenschutzkonform einsetzen
Bild: iStock.com / metamorworks
Kundendaten im B2B-Bereich

Wie managen wir Daten von B2B-Kunden? Das ist oft ein Streitpunkt zwischen Vertrieb und Datenschutz. Erfahren Sie, wie eine Balance zwischen vertrieblichen Interessen und den Vorgaben der DSGVO gelingt.

Ratsinformationssysteme

Viele Städte, Gemeinden und Landkreise setzen Ratsinformationssysteme (RiS) ein. Sie bündeln die Informationen, die für die Ratsarbeit wichtig sind, und dienen der Vor- und Nachbereitung der Ratsarbeit. RiS bieten allerdings auch die Möglichkeit, personenbezogene Daten zielgerichtet auszuwerten und zu verarbeiten.

Die Datenträgerentsorgung gehört unbedingt ins Löschkonzept
Bild: iStock.com / lolostock
Daten löschen

Kein Server, keine Workstation, kein Smartphone ist denkbar ohne Datenträger. Und die Speicherkapazitäten werden immer größer. Damit steigt das Risiko, dass über gelöschte, aber wiederhergestellte Datenträger sensible Informationen in fremde Hände fallen. Eine sichere Entsorgung ist daher unverzichtbar.

Datenschutz-Management nach DSGVO: Wo beginnen?
Bild: Duncan_Andison / iStock / Thinkstock
Datenschutz-Grundverordnung umsetzen

Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, ist ein Datenschutz-Management nötig. Wie bauen Verantwortliche ein solches Management auf? Was können Datenschutzbeauftragte (DSB) raten?

Proaktiv statt reaktiv

Aus Unternehmenssicht kommt es darauf an, nicht nur einzelne Datenschutzinstrumente im Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) auszurichten. Sondern die Summe aller Einzelteile, also das komplette betriebliche Datenschutz-Management-System (DSMS).

Sicherheit der Verarbeitung nach DSGVO

Schadprogramme, auch Malware genannt, bedrohen gleich mehrfach die Sicherheit von personenbezogenen Daten. Sie spionieren Daten aus, sie zerstören Daten, manipulieren sie und lassen Systeme ausfallen, die die Daten verarbeiten sollen. Um das zu verhindern, gilt es, mehr als eine Anti-Malware-Lösung zu verwenden.

Künstliche Intelligenz und Datenschutz

Die Belastbarkeit der Systeme und Dienste gehört ebenso wie die Verfügbarkeit der personenbezogenen Daten zu den Forderungen der DSGVO an die Sicherheit der Verarbeitung. Die Internet Security Days (ISD) 2019 haben gezeigt, wie Künstliche Intelligenz (KI) dem Datenschutz hierbei helfen kann.

Verzeichnis von Verarbeitungstätigkeiten

Um kontrollieren zu können, ob eine Verarbeitungstätigkeit die datenschutzrechtlichen Anforderungen erfüllt, reicht meist der eher kurze Überblick im Verzeichnis der Verarbeitungstätigkeiten nicht aus. Daher heißt es, die Prozesse einer näheren Beschreibung zu unterziehen und sie detaillierter zu prüfen.

So haben Sie die Datenlöschung sicher im Griff
Bild: wildpixel / iStock / Thinkstock
Aufbewahrungs- und Löschfristen

Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Eine ganz zentrale Forderung bei den Betroffenenrechten: Daten sind unter bestimmten Voraussetzungen auch wieder zu löschen!
Bild: Spectral-Design / iStock / Thinkstock
Datenschutzorganisation

Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die schon früher unter dem altem Bundesdatenschutzgesetz geltenden Rechte auf und entwickelt sie weiter. Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.

Stellung des DSB

Wenn es darum geht, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen und der Aufsicht zu melden, ist mitnichten alles klar. Wir beantworten einige offene Fragen.

Datenschutz im Marketing

Der Widerruf einer Einwilligung löst Pflichten für den Werbeversender aus. Allerdings zeigt die Praxis, dass die betroffenen Personen manchmal die Umsetzung dieser Pflichten erschweren oder gar vereiteln. Mit dieser Spannungslage muss der Verantwortliche umgehen (können).

Das Auskunftsrecht nach Art. 15 DSGVO

Zum Auskunftsrecht nach DSGVO gibt es bereits drei interessante Entscheidungen. Was können Sie Ihren Kolleginnen und Kollegen in Ihrer Datenschutzunterweisung derzeit zu diesem Thema mitgeben?

Eine Frage der Rechtsgrundlage

Die DSGVO hat für viel Verunsicherung gerade bei Fotos gesorgt. Dieser Beitrag gibt daher den Mitarbeitern Anhaltspunkte an die Hand, die ihnen helfen, selbst die Zulässigkeit von Fotoaufnahmen zu bewerten.

DSGVO umsetzen

Bevor sich Unternehmen für eine Cloud-Lösung entscheiden, wollen sie diese meist testen. Dabei nutzen sie häufig reale personenbezogene Daten als Testdaten. Für diese Daten gilt allerdings dann die Datenschutz-Grundverordnung (DSGVO). Hier helfen Tools zur Verschlüsselung und Tokenisierung in der Cloud.

Datenschutz-Kontrolle

Kontrollieren Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter vor Ort die Arbeitsplätze, gilt es, eine Menge Details unter die Lupe zu nehmen. Darunter findet sich Vieles, an das Sie vielleicht nicht auf den ersten Blick denken.

Geldbußen & andere Sanktionen

Die deutschen Datenschutzbehörden haben mittlerweile erste Geldbußen verhängt. Für viele Unternehmen stellt sich nun die Frage unmittelbar, ob auch die Mitarbeiter für Datenschutzverstöße haften.

Meldepflichten von Datenschutzverstößen

Einen Prozess zu haben, um Datenpannen nach der Datenschutz-Grundverordnung (DSGVO) zu melden, ist ein „Must have“. Wann aber ist ein Vorfall nun meldepflichtig? Und wie muss die Meldung genau ausgestaltet sein?

Alles, was Recht ist

Ein Auszubildender in der Buchhaltung hätte die Bilanz löschen können, und der Personaler hat plötzlich Zugriff auf Vorgänge des Personalrats. Bekannt? So kann es gehen, wenn die Rechteverwaltung nicht passt!

Mitarbeiter schulen

Allein durch Folienpräsentationen lassen sich Mitarbeiter kaum mehr für den Datenschutz sensibilisieren. Hier sind zusätzlich aktive Schulungsmaßnahmen gefragt. Eine gute Methode sind Selbst-Checks. Denn sie helfen bei der Selbsterkenntnis.

DSGVO: So gewährleisten Sie die Wiederherstellbarkeit von Daten
Bild: AnuchaCheechang / iStock / Getty Images
Tools für die Sicherheit der Verarbeitung

Zur Sicherheit der Verarbeitung personenbezogener Daten nach DSGVO gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert mehr als regelmäßige Backups.

Löschkonzept

Ein vollumfängliches Datenschutz-Löschkonzept muss auch E-Mails inklusive etwaiger Anhänge berücksichtigen. Denn sie enthalten ebenfalls personenbezogene Daten und sind somit aus Datenschutzsicht zum gegebenen Zeitpunkt zu löschen.

DP+
Neu als DSB – Input, Input, Input
Bild: iStock.com / pikepicture
Verzeichnis der Verarbeitungstätigkeiten

Der Auftakt hat geklappt. Das Kick-off-Meeting ist erfolgreich über die Bühne gegangen. Als DSB benötigen Sie jetzt umfangreiche Informationen: Kennen müssen Sie v.a. die Prozessabläufe und welche personenbezogenen Daten dabei für welche Zwecke auf welcher Rechtsgrundlage verarbeitet werden.

Standortdaten: So lässt sich ungewollte Ortung umgehen
Bild: Prasit Rodphan / iStock/ Thinkstock
Standortdaten schützen

Standortdaten machen Personen identifizierbar und Nutzerprofile zu Bewegungsprofilen. Entsprechend begehrt sind sie bei Werbetreibenden, entsprechend hoch muss ihr Schutz sein. Doch die unerwünschte Ortung hat viele Gesichter. Welche Gegenmaßnahmen wirken wirklich?

DP+
Die datenschutzkonforme Due-Diligence-Prüfung
Bild: iStock.com / designer491
Mergers & Acquisitions (M&A)

Bei Unternehmenstransaktionen wie Fusionen, Unternehmenskäufen oder Betriebsübergängen steht die sogenannte Due-Diligence-Prüfung am Anfang. Diese Prüfung geht mit dem Austausch zahlreicher Daten einher. Welche Datenschutz-Vorgaben sind hierbei zu beachten?

Informationspflichten

Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

DP+
Der Datenschutz-Jahresbericht
Bild: iStock.com / z_wei
Soll und Haben in der Praxis

Der Jahresbericht ist ein gutes Instrument, um eine regelmäßige Bestandsaufnahme zu machen. Was ist gut gelaufen, was nicht? Wo besteht Handlungsbedarf? Ein absolutes Muss ist ein solcher Bericht jedoch nicht für den Datenschutzbeauftragten.

DP+
Das Löschkonzept – ein Beispiel
Bild: iStock.com / Good_Stock
Recht auf Löschung

Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.

DP+
Datenschutzfolgen identifizieren und bewerten
Bild: iStock.com / artisteer
Tools für die Datenschutz-Folgenabschätzung

Risikoanalysen gelten als große Herausforderung, nicht erst seitdem die DSGVO das Instrument der Datenschutz-Folgenabschätzung etabliert hat. Verschiedene Werkzeuge können dabei helfen, die möglichen Risiken einer geplanten Datenverarbeitung zu bestimmen.

DP+
Neu als DSB –  Auftakt und erste Schritte
Bild: iStock.com / PonyWang
Ihr Fahrplan für die ersten Wochen

„Herzlichen Glückwunsch! Sie sind der/die neue Datenschutzbeauftragte der abc-GmbH! Wann können Sie loslegen, und womit beginnen wir?“ Hören Sie das, haben Sie den interessantesten Job der Welt angetreten ...

Schwellwertanalyse: Musterformular
Bild: iStock.com / AndreyPopov
Datenschutz-Folgenabschätzung

Unternehmen haben ihre Verarbeitungen personenbezogener Daten daraufhin zu prüfen, ob eine Datenschutz-Folgenabschätzung nötig ist. Wie lässt sich diese Prüfung durchführen und dokumentieren?

So prüfen Sie die Belastbarkeit von IT-Systemen
Bild: solarseven / iStock / Thinkstock
Tools für die DSGVO

Eine neue Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

Der Prozess ZAWAS

Verantwortliche müssen ein systematisches Vorgehen und ein umfassendes Konzept entwickeln, um ihre Verarbeitungstätigkeiten datenschutzkonform zu gestalten. Hierbei unterstützt sie der neue Prozess zur Auswahl angemessener Sicherungsmaßnahmen, abgekürzt ZAWAS.

False Positives: Wenn sich die IT-Sicherheit irrt
Bild: LeshkaSmok / iStock / Thinkstock
Vorsicht, falscher Alarm

Nicht nur Brandmelder können einen Fehlalarm auslösen. Auch die IT-Sicherheit macht Fehler. Reagieren die Mitarbeiter darauf falsch, ist der Datenschutz in Gefahr. Machen Sie False Positives, also falsche Alarme, deshalb zum Thema in Ihrer Datenschutz-Unterweisung.

DP+
So verhindern Sie den Fehlversand von E-Mails
Bild: iStock.com / GoodLifeStudio
Datenpannen vermeiden

Viele Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Besonders fehleranfällig sind dabei E-Mails.

Ortungsdienste: So wird das Smartphone nicht zum Spion
Bild: zhanghaitao / iStock / Thinkstock
Ortung für Smartphones / Handys

Die Ortung von Handys bzw. Smartphones kann Unfallopfern das Leben retten, sie erleichtert die Disposition im Außendienst und spürt verlorene Geräte auf. Doch ein Ortungsdienst kann den Datenschutz gefährden, erfolgt die Ortung heimlich und zu unerlaubten Zwecken. Prüfen Sie deshalb die Verwendung solcher Dienste im Unternehmen.

Schritt für Schritt zum Berechtigungskonzept
Bild: KrulUA / iStock / Thinkstock
Schlüssel zum Datenschutz

Das Berechtigungskonzept muss abbilden, welche Zugriffe im Datenschutz jeweils erlaubt sind und welche nicht. Ist das Berechtigungskonzept zu strikt, hemmt es die Produktivität. Ist es zu lasch, sind die Daten in Gefahr. Trends wie Cloud, Mobility, Big Data und IoT machen es nicht leichter, ein solches Konzept auf die Beine zu stellen. Wir zeigen, worauf es ankommt.

Marketing

Direktwerbung dient nicht nur dazu, Bestandskunden zu bewerben, sondern sie will auch Neukunden gewinnen. Dafür sind oft Fremdadressen nötig. Was ist hierbei zulässig, was nicht?

So sieht eine IT-Sicherheitsrichtlinie aus
Bild: KrulUA / iStock / Thinkstock
Dokumentation und Regeln im Datenschutz

Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.

Betroffenenrechte

Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor.

Datenschutzschulung

Beim Social Engineering erschleichen Angreifer das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen. Die Opfer geben im guten Glauben vertrauliche Daten oder den Zugang zu den Daten weiter. Rein technische Datenschutz-Maßnahmen reichen als Gegenreaktion nicht aus. Die psychologischen Tricks der Angreifer zu kennen, muss hinzukommen.

Vorlageverfahren beim EuGH sind enorm wichtig
Bild: Gerichtshof der Europäischen Union
Kein „Buch mit sieben Siegeln“!

Wer sich zum ersten Mal an einem EuGH-Urteil versucht, ist oft der Verzweiflung nahe. Alles wirkt noch schwieriger und unübersichtlicher als bei den Urteilen deutscher Gerichte. Lesen Sie anhand eines Beispiels, wie Sie mit dieser Herausforderung zurechtkommen.

Datenschutzkontrolle durch Wirtschaftsprüfer

Das Institut der Wirtschaftsprüfer (IDW) hat ein Dokument vorgelegt, das Vorgaben für die Datenschutz-Kontrolle durch Wirtschaftsprüfer macht. Worum geht es genau, und wie ist dieser Hinweis einzuordnen?

DP+
5G: Mehr Bandbreite, mehr Datenrisiken?
Bild: iStock.com / sarayut
Neuer Mobilfunkstandard 5G

Die neue 5G-Technologie überträgt Daten um ein Vielfaches schneller und bietet deutlich kürzere Reaktionszeiten als bisherige Mobilfunkstandards. Die Anwendungsfelder reichen von Industrie 4.0 bis zum automatisierten Fahren. Bei aller Euphorie über ein schnelleres Internet dürfen Datenschutz und Datensicherheit nicht vergessen werden.

Datenschutzschulung

Die meisten Datenpannen, die Verantwortliche derzeit an die Aufsichtsbehörden melden, sind Fehlversendungen von Unterlagen mit personenbezogenen Daten. Zweifellos also ein wichtiges Thema für Schulungen, aber auch für die Geschäftsprozesse, die dahinterstecken.

Mitarbeitersuche 2.0

Die Digitalisierung der Wirtschaft und öffentlichen Stellen macht auch vor der Suche nach neuen Mitarbeiterinnen und Mitarbeitern nicht halt. Bewerberdaten kommen zunehmend über E-Recruiting-Plattformen in die Personalabteilung. Was heißt das für den Datenschutz?

DP+
So schließen Sie die Schwachstelle „Bildschirme“
Bild: iStock.com / monkeybusinessimages
Ein Schulungsklassiker

Sind Monitore für Unbefugte einsehbar, müssen Beschäftigte sie vor unliebsamen Blicken schützen. Bildschirmsperren und Blickschutzfolien sind dabei immer noch die wichtigsten Helfer.

Tools zur Umsetzung der DSGVO

Zu den zentralen Elementen der Datenschutz-Grundverordnung (DSGVO / GDPR) gehören die Betroffenenrechte, darunter das Auskunftsrecht für betroffene Personen. Eine Reihe von Tools verspricht, die Auskunft nahezu auf Knopfdruck erteilen zu können. Wie sieht die Praxis aus, und wie helfen solche Tools konkret?

Automatisierten Datenmissbrauch abwehren

Werden Zugangsdaten gestohlen und missbraucht, müssen keine menschlichen Angreifer aktiv sein: Bots können automatisiert Nutzerdaten abgreifen und zweckentfremden. Schutzmaßnahmen gegen solche Bots sollten berechtigte Nutzer und bösartige Bots unterscheiden können. Hierfür gibt es intelligente Lösungen, sogenannte Bot-Manager.

Fakten-Check zur DSGVO

Derzeit stehen AV-Verträge hoch im Kurs. Es lohnt jedoch ein Check, ob es sich tatsächlich um Auftragsverarbeitung handelt. In vielen Fällen kommt man nämlich auch mit geringerem Aufwand zu einem sauberen Ergebnis.

DP+
„Möge die Datenverarbeitung beginnen!“
Bild: iStock.com / mbortolino
Prozesse verbessern

Nun läuft der Echtbetrieb, die Mitarbeiter müssen in der täglichen Arbeit die DSGVO anwenden. Dieser Artikel leistet Hilfestellung, um lebbare, praxisnahe Prozesse zu entwickeln und umzusetzen.

DP+
So funktioniert Mandantentrennung in der Cloud
Bild: iStock.com / ALotOfPeople
Datenisolierung in der Cloud

Setzen Verantwortliche Public-Cloud-Dienste ein oder nutzen sie Cloud-Services Dritter mit, müssen sie ihre Daten besonders schützen. Ein wichtiger Baustein von mehreren ist dabei die Datenisolierung.

Sicherheit der Verarbeitung

Die Datenschutz-Grundverordnung (DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden? Es kommt darauf an – auf die E-Mails und die Art der Verschlüsselung.

Software-Freigabe

Ohne IT-Unterstützung geht heute nichts mehr. Sobald personenbezogene Daten ins Spiel kommen, greift die DSGVO – und zwar sowohl für neue als auch für bestehende Software-Lösungen. Was müssen Sie sich anschauen, um zu beurteilen, ob eine Software DSGVO-konform ist?

DP+
Methoden der Datenschutz-Folgenabschätzung
Bild: iStock.com / 4X-image
DSFA in der Praxis

Die DSGVO hat die DSFA eingeführt, um bei Hochrisikoverarbeitungen die Grundrechte der Bürger besser zu schützen. Während die Listen von Verarbeitungen, die eine Folgenabschätzung nötig machen, zunehmend vorhanden sind, fragt sich weiterhin, wie sich eine DSFA konkret durchführen lässt.

Serie: Tools für die DSGVO

Das Recht auf Datenübertragbarkeit stellt Unternehmen vor neue Aufgaben. Eine davon: ausreichend schnelle, sichere Übertragungswege. Spezial-Lösungen setzen häufig darauf, besondere Datenträger zu transportieren, und nicht etwa auf verschlüsselte Online-Verbindungen.

Fakten-Check zur Datenschutz-Grundverordnung

Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.

So lassen sich IT-Sicherheitsmaßnahmen automatisieren
Bild: NiroDesign / iStock / Getty Images
Tools zur Datenschutz-Grundverordnung

IT-Lösungen ersetzen zwar keinen Datenschutz-Experten. Aber sie unterstützen Unternehmen, die Datenschutz-Grundverordnung (DSGVO / GDPR) langfristig einzuhalten. Was ist möglich?

DP+
Die Transparenzpflichten der DSGVO
Bild: iStock.com / exdez
Betroffenenrechte und Informationspflichten

Die Datenschutz-Grundverordnung (DSGVO) verlangt eine faire und transparente Verarbeitung von personenbezogenen Daten. Welche Pflichten kommen damit auf mein Unternehmen als verantwortlichen Verarbeiter zu?

DP+
Google Analytics datenschutzkonform einsetzen
Bild: iStock.com / courtneyk
Webtracking

Das Besucherverhalten mit Tracking-Tools auszuwerten, gehört für viele Webseitenbetreiber zum Standard. Worauf müssen Sie zukünftig achten, um datenschutzrechtlich das geringste Risiko einzugehen?

Datenschutzkonform protokollieren

Um rechtskonform zu überwachen, wie Beschäftigte das Internet nutzen, sollten Arbeitgeber den dienstlichen und privaten Einsatz von Web und E-Mail strikt trennen. Wichtig dabei: die Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR) und des neuen Bundesdatenschutzgesetzes (BDSG) zu beachten.

Anonymisierung und Pseudonymisierung von Kundendaten
Bild: alla_snesar / iStock / Thinkstock
Datenschutz-Grundverordnung (DSGVO)

Wer Pseudonyme einsetzt, kann die Sicherheit der Verarbeitung personenbezogener Daten verbessern. Und Anonymisierung kann den Datenschutz für den betreffenden Fall überflüssig machen, sofern sie richtig ausgeführt wird. Es lohnt sich also, Anonymisierung und Pseudonymisierung näher zu betrachten und im Unternehmen zu empfehlen.

DP+
Arbeitshilfen für die Datenschutzpraxis
Bild: Varijanta / iStock / Thinkstock
Muster Verarbeitungsverzeichnis & Informationspflichten

Öffentliche wie nichtöffentliche Stellen suchen händeringend nach Vorlagen, die ihnen die Umsetzung der DSGVO erleichtern. Das Bayerische Innenministerium bietet nun einige Arbeitshilfen an.

Tools zur Datenschutz-Grundverordnung

Sie suchen ein Werkzeug, mit dem Sie eine Datenschutz-Folgen- bzw. Risikoabschätzung als Dokument erstellen und in ein Datenschutz-Management-System einbinden können? Dann sehen Sie sich das im Folgenden vorgestellte Tool einmal näher an.

Was ist genau zu tun?

Mit der DSGVO müssen mehr Unternehmen einen DSB benennen, der u.a. die Datenverarbeitungsprozesse überwacht. Doch mit der bloßen Benennung im „Verborgenen“ ist es nicht ganz getan.

Mehr Datenschutz-Bewusstsein im Betrieb
Bild: monsitj / iStock / Thinkstock
Datenschutzschulung

Einen rein technischen Schutz gegen immer neue Datenrisiken kann es nicht geben. Laut Psychologen verlassen sich IT-Nutzer zunehmend auf die technische Absicherung und werden deshalb unvorsichtig. Unternehmen sollten deshalb für mehr Datenschutz-Bewusstsein im Betrieb sorgen.

DSGVO und BDSG-neu

Auf den ersten Blick unterscheiden sich die zukünftigen Regeln zum Beschäftigtendatenschutz kaum von den bisher gültigen. Doch ist das wirklich so? Wo gibt es Unterschiede im Detail?

DSGVO / GDPR: Löschen mobiler Daten

Beim Recht auf Vergessenwerden, also den erweiterten Löschpflichten aus der Datenschutz-Grundverordnung, denken viele zuerst an das Internet. Doch auch die Endgeräte sind von den Löschpflichten betroffen, darunter Smartphones und Tablets. Worauf müssen Sie achten?

Prüfung nach DSGVO

Zum täglichen Geschäft vieler Unternehmen gehört die Übermittlung personenbezogener Daten etwa an Abrechnungs- oder Clouddienstleister, die im Ausland ansässig sind. Welche Rechtsgrundlagen kommen dafür nach DSGVO infrage?

Risiko-Beurteilung nach DSGVO in der Praxis
Bild: iStock.com / PeopleImages
Es kommt auf den Betroffenen an

Einer der Grundgedanken, der die Datenschutz-Grundverordnung durchzieht, ist der risikobasierte Ansatz. In der Theorie ist das leicht erklärt. Aber wie sieht die Umsetzung in der Praxis konkret aus?

IT-Sicherheitskonzepte

Um die Datenschutz-Grundverordnung (DSGVO/GDPR) umzusetzen, gilt es, die IT-Sicherheitsmaßnahmen und die Organisation der Sicherheit zu dokumentieren. Unternehmen sollten deshalb ihre IT-Sicherheits-Rahmenrichtlinie sowie das IT-Sicherheitskonzept auf die DSGVO anpassen. Das verankert den Datenschutz in der IT-Sicherheit.

DP+
Einwilligungen – wann und wie sinnvoll einsetzen?
Bild: anyaberkut / iStock / Thinkstock
Rechtmäßigkeit der Datenverarbeitung

Wer bisher dafür gesorgt hat, dass eingeholte Einwilligungen rechtskonform sind, ist auch für die DSGVO schon auf einem guten Weg. Im Idealfall suchen sich Verantwortliche aber eine andere Rechtsgrundlage.

DP+
Regeln Sie Ihren digitalen Nachlass!
Bild: Tuned_In / iStock / Thinkstock
Eine gute Idee – aber wie geht das?

Nur 20 % aller Internetnutzer haben irgendwie geregelt, was nach ihrem Tod mit den Accounts bei Facebook, WhatsApp, Threema und ähnlichen Diensten geschehen soll. Manchmal geht dieses nachlässige Verhalten gut, immer öfter jedoch nicht mehr. Sorgen Sie daher vor.

Der Fall Facebook und Cambridge Analytica

Der aktuelle Fall um Cambridge Analytica und Facebook zeigt deutlich: Viele Nutzer wissen nicht genug über die Apps und Datenströme bei Facebook. Der Fall zeigt aber auch: Der Datenschutz bei Apps gehört generell auf den Prüfstand, nicht nur bei Smartphones!

Auftragsverarbeitung

Die IT-Risiken werden immer komplexer, qualifiziertes Personal ist Mangelware – das lässt nicht nur kleine und mittlere Unternehmen daran denken, die IT-Sicherheit auszulagern. Doch wer sogenannte Managed Security Services nutzt, überträgt nur Aufgaben, nicht die komplette Verantwortlichkeit. Lesen Sie, worauf Sie als Datenschutzbeauftragter achten sollten, wenn Ihr Unternehmen plant, die IT-Sicherheit in die Hände Dritter zu geben.

Mangelnde Qualität als Datenrisiko

Die Datenqualität ist nicht nur ein Thema für den Qualitätsbeauftragten, sie sollte auch jeden Datenschutzbeauftragten interessieren. Denn die besten Sicherheitsmaßnahmen scheitern, wenn das Datenmanagement nicht stimmt.

DP+
Führungs-Know-how für Datenschutzbeauftragte
Bild: phototechno / iStock / Thinkstock
Neue Rolle der DSBs

Die Datenschutz-Grundverordnung verändert die Rolle der DSBs in Unternehmen und Behörden: Sie agieren stärker auf Augenhöhe mit der Leitungsebene und den Fachabteilungen. Das erfordert ausgeprägte Führungsqualitäten und einen besonderen Führungsstil: fachliche Führung ohne disziplinarische Zuständigkeit.

Datenschutz-Grundverordnung: Stand der Technik

Die Maßnahmen für die Sicherheit der Verarbeitung sollen sich unter anderem am Stand der Technik orientieren, so die DSGVO. Während heute ein Zugangsschutz über Passwörter für einen bestimmten Schutzbedarf noch ausreichen kann, zeigen aktuelle Studien, dass sich dies ändern wird. Die Biometrie ist auf dem Vormarsch.

DP+
Das datenschutzkonforme Löschkonzept
Bild: badmanproduction / iStock / Thinkstock
Betroffenenrechte umsetzen

Die Datenlöschung ist ein wesentlicher Bestandteil der Betroffenenrechte, die die DSGVO zukünftig noch stärker betont. Ein durchdachtes Löschkonzept ist also wichtiger denn je. Was gehört alles dazu?

Datenschutz-Schulung: Selbstaudit der Mitarbeiter
Bild: NiroDesign / iStock / Thinkstock
Prüfung des Datenschutzgedankens

Die Verbesserung des Datenschutzes in einem Unternehmen erfordert vielfältige Regelungen und Umsetzungsmaßnahmen. Doch Sie wissen, „Papier ist geduldig“ – und wie wollen Sie kontrollieren, ob die angestrebten Schutzmaßnahmen bei den Mitarbeitern auch angekommen sind? Prüfen Sie doch einmal, inwiefern der Datenschutzgedanke präsent ist!

DP+
So kommen Sie heimlichen Datenpools auf die Schliche
Bild: iStock.com / bombuscreative
Bewusst oder unbewusst angelegte Datensammlungen

Mitarbeiter sind erfinderisch. Genauso kreativ müssen Sie als DSB bei der Suche nach personenbezogenen Daten sein. Lesen Sie, wo Sie genau hinschauen müssen und was Sie den Kollegen empfehlen können.

DP+
Hard- und Software datenschutzkonform nutzen und warten
Bild: NiroDesign / iStock / Thinkstock
Datenschutz-Kontrolle

Sind die Hardware-Komponenten und alle Software-Systeme inventarisiert, beginnt für Datenschutzbeauftragte erst die eigentliche Arbeit: Es gilt, alle datenschutzrechtlichen Fragen zu klären, die im Zusammenhang mit Software oder Hardware entstehen, etwa bei der Wartung.

Serie: Tools für die DSGVO

Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert Verfahren, die die Sicherheits-Maßnahmen im Unternehmen regelmäßig auf ihre Wirksamkeit überprüfen, bewerten und evaluieren. Dabei helfen verschiedene Security-Werkzeuge.

Serie: Tools für die DSGVO

Die verschärften Vorgaben für die Meldepflicht bei Datenschutz-Verletzung bereiten vielen Unternehmen Kopfzerbrechen. Neben internen Workflows helfen Software-Tools, die Meldepflichten der DSGVO besser umzusetzen.

DSGVO: Verschlüsselung ist Trumpf
Bild: iStock.com / mattjeacock
Sponsored Article

Die Datenschutz-Grundverordnung (DSGVO) verschärft die Anforderungen an Unternehmen erheblich. Eine Kernforderung ist die Verschlüsselung. Sie schützt Daten und erspart hohe Bußgelder.

In 20 Schritten zum Software-Inventar
Bild: NicoElNino / iStock / Thinkstock
Datenschutzorganisation

Provokante Frage für Datenschutzbeauftragte: Glauben Sie, dass Sie eine realistische Chance haben, jemals einen vollständigen Überblick über alle im Unternehmen vorhandenen und zum Einsatz kommenden Programme zu haben?

Einstellungsuntersuchung: Das ist erlaubt!
Bild: ipopba / iStock / Thinkstock
Gesundheitsdaten

Blutabnahme, Urintests und andere Einstellungsuntersuchungen haben einige Großkonzerne, Rundfunkanstalten und öffentliche Verwaltungen in die Schlagzeilen gebracht. Ihr Vorgehen stieß bei Datenschützern, Gewerkschaften und Arbeitsrechtlern auf harsche Kritik. Trotzdem hat eine Einstellungsuntersuchung im gewissen Umfang ihre Berechtigung. In manchen Fällen ist sie sogar Pflicht.

Serie: Tools für die DSGVO

Die Pflicht, personenbezogene Daten rechtzeitig zu löschen, bereitet Unternehmen seit Langem Kopfzerbrechen. Mit dem Recht auf Vergessenwerden kommen weitere Hürden bei der Löschung von Daten hinzu. Doch gibt es Tools, die bei der Umsetzung helfen.

Datenschutz-Management

Kaum ein Unternehmen verfügt über eine aktuelle und v.a. vollständige Liste der gesamten Hardware. Zu oft können DSBs so ihren Prüfungspflichten – gleich ob nach BDSG oder DSGVO – nur schwer nachkommen. Ändern Sie diesen Zustand.

Ausweiskopien

Welche Regeln gelten für Ausweiskopien? Wer darf eine Ausweiskopie anfertigen und was gilt für die Verarbeitung von personenbezogenen Daten einer Kopie des Personalausweises oder Reisepasses? Seit dem 15. Juli 2017 gelten die unten aufgeführten Regelungen.

DP+
Office 365 und Microsoft Azure
Bild: bluebay2014 / iStock / Thinkstock
Das müssen DSBs wissen

Cloud-Lösungen wie Office 365 und Azure arbeiten zusammen und bieten praktische Funktionen. Doch Vorsicht: Oft sind die Daten in außereuropäischen Rechenzentren gespeichert und entziehen sich dem Einfluss des Datenschutzbeauftragten. Aber mittlerweile gibt es Alternativen.

Marketing in Zeiten der DSGVO
Bild: iStock.com / supparsorn
Schöne neue Welt?

Werbliche Ansprache von potenziellen Kunden, Adressgenerierung, Potenzialanalysen oder cloudbasierte CRM-Systeme, in denen weltweit Kundendaten abrufbar sind – was lässt die DSGVO alles zu?

Siwecos: Datenpannen bei Webseiten vermeiden
Bild: scyther5 / iStock / Thinkstock
Online-Datenschutz: sichere Webseiten

Unsichere Webseiten gehören zu den Hauptursachen für Datenpannen im Internet. Das neue Projekt Siwecos bietet einen kostenlosen Scanner, um Sicherheitslücken bei Websites aufzuspüren. Was bringt der Scanner speziell für kleine und mittlere Unternehmen?

DSGVO umsetzen

Viele Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind für Verantwortliche noch recht nebulös. Schauen wir uns daher einmal die andere Seite an: Was sollten Sie ganz klar NICHT tun?

DP+
Datenschutz in der Arztpraxis
Bild: monkeybusinessimages / iStock / Thinkstock
Tipps zur Mitarbeiterinformation

An der Anmeldung können Sie die Gesundheitsprobleme anderer Patienten mithören, und der Kieferorthopäde behandelt mehrere Kinder in einem Raum – sensibilisieren Sie Ihre Kollegen und ermutigen Sie sie zum Nachhaken, wenn es in einer Praxis nicht optimal läuft.

DP+
DSGVO: So holen Sie alle ins Boot
Bild: iStock.com / Clerkenwell
Argumentationshilfen für den DSB

Noch immer verschließen viele Unternehmen ihre Augen vor der Grundverordnung. Ihr Arbeitgeber oder Ihre Mandanten gehören auch dazu? Dieser Beitrag liefert Ihnen Argumente, wie Sie das Management und andere Abteilungen davon überzeugen, endlich loszulegen.

Datenschutz-Grundverordnung

Eine der großen Herausforderungen der Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung (DSFA). Wir stellen eine Lösung vor, die den rechtlichen Regelungen, aber auch den praktischen Anforderungen der Unternehmen gerecht wird.

Die Bestellung zum Datenschutzbeauftragten
Bild: SvetaZi / iStock / Thinkstock
Fallstricke der Vertragsgestaltung

Wie hat zukünftig nach DSGVO eine Benennung zum DSB formal korrekt abzulaufen, und was ist inhaltlich zu beachten? Der Beitrag zeigt dies am Beispiel eines DSB, der als Arbeitnehmer beschäftigt ist und neben der Tätigkeit als DSB andere Arbeiten zu verrichten hat.

Arbeitnehmerdatenschutz: Tipps zum Monitoring
Bild: Poike / iStock / Thinkstock
Grenzen für Überwachungs-Tools

Monitoring im Netzwerk und auf Endgeräten gehört zu den zentralen IT-Sicherheits-Maßnahmen. Unternehmen dürfen es aber nicht übertreiben: Der Datenschutz verlangt eine klare Beschränkung und eine Information der Betroffenen, damit das Monitoring nicht zur Spionage wird.

Löschkonzept

Die Datenschutz-Grundverordnung (DSGVO) betont die Löschung von personenbezogenen Daten stärker als das Bundesdatenschutzgesetz (BDSG). Gleichzeitig zeigt sie beim Thema Löschung strukturelle Unterschiede zum BDSG. Was heißt das für das Löschkonzept?

DP+
Tools zur Umsetzung der DSGVO
Bild: demaerre / iStock / Thinkstock
Sicherheit der Verarbeitung, Betroffenenrechte

Es bleibt nicht mehr viel Zeit, um die Vorbereitungen auf die Datenschutz-Grundverordnung (DSGVO) abzuschließen. Spezielle Tools können allerdings dabei helfen, die bestehenden Lücken in der Umsetzung zu schließen. Wir nennen Beispiele.

DarkHotel-Angriffe: Tipps gegen WLAN-Datenklau
Bild: ymgerman / iStock / Thinkstock
Risiko WLAN

Auf Geschäftsreisen und im Urlaub sind die WLAN-HotSpots in Hotels beliebt. Aber Achtung: DarkHotel-Attacken und andere Angriffe auf WLAN-Nutzer gefährden Datenschutz und Datensicherheit. Was können Sie tun, um sich zu schützen?

Technische und organisatorische Maßnahmen

Die Datenschutz-Grundverordnung (DSGVO) stärkt den technischen Datenschutz. Sie bleibt aber vage, was konkrete Maßnahmen angeht. Wir stellen Möglichkeiten vor, diese Lücke zu füllen.

DP+
Datenschutz in Besprechungsräumen
Bild: Rawpixel Ltd / iStock / Thinkstock
Datenschutzkontrolle

Operationslisten, Bewerbungsmappen, Passwörter, … – das und vieles mehr können Sie bei einer Vor-Ort-Kontrolle in Besprechungsräumen finden. Worauf müssen Sie achten?

Datenschutz-Kontrolle

Ein Datenschutzbeauftragter steht immer wieder vor der Aufgabe, ein Rechenzentrum zu prüfen. Sehr häufig geht es um eine Kontrolle bei einem externen Auftragsverarbeiter. Wie gehen Sie die Prüfung am besten an?

DP+
Datenübertragbarkeit praktisch umsetzen
Bild: iStock.com / Warchi
Working Paper der Art.-29-Gruppe

Das Recht auf Datenübertragbarkeit ist gewissermaßen eine Mogelpackung: Außen steht zwar Datenschutz drauf, aber innen verbirgt sich eine verbraucher- und wettbewerbsrechtliche Regelung.

IPv6: So verhindern Sie Schattennetze
Bild: koo_mikko / iStock / Thinkstock
Netzwerksicherheit

Datenrisiken durch eine fehlerhafte Umstellung auf das neue Internet-Protokoll IPv6 sind immer noch nicht Geschichte. Auch 2017 drohen die sogenannten Schattennetze, wie aktuelle Warnungen der NATO zeigen. Was können Sie dagegen tun?

Von der subjektiven zur objektiven Bewertung

Der Begriff des Risikos ist ein zentraler Baustein in der Datenschutz-Grundverordnung (DSGVO). Doch wie lässt sich eigentlich das Risiko konkret bestimmen? Eine Möglichkeit: Nutzen Sie eine Risikomatrix.

DP+
Gesundheitsdaten im  Personalbereich (1)
Bild: apbalboa / iStock / Thinkstock
Gesundheitsdaten? Niemals!

Fragt man im Personalbereich nach Gesundheitsdaten, heißt es in der Regel: „Bei uns gibt es keine!“ Auf den Arbeitsunfähigkeits-Bescheinigungen stehen ja keine Diagnosen. Die Daten aus der arbeitsmedizinischen Betreuung hat nur der Arbeitsmediziner, und sonst – so glauben viele Beschäftigte – gibt es keine Gesundheitsdaten. Das kann ein fataler Trugschluss sein. Lesen Sie, auf welche Gesundheitsdaten Sie stoßen könnten und wie Sie sich einen Überblick verschaffen.

DP+
Praxisfragen rund um die  Videoüberwachung
Bild: Gerichtshof der Europäischen Union
Datenschutzkontrolle

Die Mai-Ausgabe hat sich mit einem Teilbereich der Videoüberwachung beschäftigt: der Kennzeichnung. Nun geht es um das große Ganze. Auf welche Punkte müssen Sie ein Auge haben? Und zwar am besten höchstpersönlich vor Ort. Denn Papier ist bekanntlich geduldig.

DSGVO: Praxistipps für Start-ups
Bild: Lightcome / iStock / Thinkstock
Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO), die ab 25. Mai 2018 gilt, ist derzeit heiß diskutiert, nicht nur bei großen Unternehmen. Auch für junge Unternehmen wie Start-ups stellt sich die Frage, wie sie mit der Verordnung umgehen. Der Beitrag zeigt, wie sich speziell kleine Unternehmen auf die DSGVO vorbereiten sollten.

Verfügbarkeit und Aufbewahrungspflichten

In Zeiten von Cloud, Big Data, Social Networks, mobilen Endgeräten und Datenschutz-Grundverordnung stellt sich die Frage, ob ein Datenarchiv wirklich zukunftssicher ist, neu. Lesen Sie, worauf ein Datenschutzbeauftragter nun achten muss.

Datenschutz-Grundverordnung

Datenschutz gelingt in der Praxis nur dann, wenn technisch-organisatorische Maßnahmen (TOMs) personenbezogene Daten gegen unbefugten Zugriff, Manipulation und Verlust schützen. Das galt für das Bundesdatenschutzgesetz (BDSG) und gilt zukünftig für die Datenschutz-Grundverordnung (DSGVO). Die DSGVO verankert die TOMs indessen noch tiefer im Unternehmen, v.a. durch die Rechenschaftspflicht. Lesen Sie, wie sich die DSGVO-Vorgaben an die „Sicherheit der Verarbeitung“ in einem P(lan)-D(o)-C(heck)-A(ct)-Zyklus organisieren lassen.

Biometrische Zutrittskontrollen: Tipps zum Datenschutz
Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock
Einführung von Kontrollen

Biometrische Kontrollen werden als Sicherheitsfaktor immer wichtiger. Neben der biometrischen Zugangskontrolle bei Smartphones und Tablets nimmt auch die biometrische Zutrittskontrolle bei Gebäuden und Räumen zu. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

Prüfmodell für Aufsicht, Organisationsmodell für Unternehmen

Das Standard-Datenschutzmodell soll zum einen die Prüfungen der Aufsichtsbehörden vereinheitlichen. Zum anderen möchte es Unternehmen und anderen Organisationen helfen, eine lückenlose Nachweisbarkeit – zukünftig zentral im Zusammenhang mit der DSGVO – herzustellen. Lesen Sie, wie das Modell arbeitet. Das SDM macht dabei eigentlich nichts Neues, sondern bietet eine Systematisierung mit 7 Schutzzielen, 3 Schutzbedarfsabstufungen und 3 Verfahrenskomponenten.

DP+
Datenschutz bei Veranstaltungen
Bild: Rawpixel / iStock / Thinkstock
Teilnehmerlisten und -urkunden

Der Volksmund sagt: „Die Schuster tragen die schlechtesten Schuhe.“ Auch wenn wir als Datenschutzbeauftragte das nicht gern hören: Manchmal machen selbst Datenschutzbeauftragte schnell Daten zugänglich, die verborgen bleiben sollten. Denken Sie beispielsweise an Teilnehmerlisten und Urkunden bei Schulungen. Wie gehen Sie in der Praxis damit um?

Datenschutz auf dem Firmenparkplatz
Bild: Chesky_W / iStock / Thinkstock
Kennzeichenerfassung, Videoüberwachung, Beschilderung

Wer wünscht sich nicht mehr Sicherheit und Komfort? Immer neue technische Lösungen eröffnen uns hierbei Möglichkeiten, die vor wenigen Jahren undenkbar waren. Doch das Plus an Bequemlichkeit hat meist einen Haken: Der Datenschutz bleibt angesichts der vielfältigen (technischen) Möglichkeiten schnell auf der Strecke – so etwa auf dem Firmenparkplatz. Was können Sie dagegen tun?

Datenschutz-Grundverordnung

Um die Anforderungen aus der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, muss der Verantwortliche im Unternehmen einen bunten Blumenstrauß an Maßnahmen (risikobasiert) definieren, umsetzen, dokumentieren und kontrollieren – um dann festzustellen, dass die eigentliche Arbeit jetzt erst anfängt. Denn die DSGVO baut im Ergebnis auf einem kontinuierlichen Verbesserungsprozess auf. Um dem gerecht zu werden, zeigen wir Ihnen, wie sich die Aufgaben in einem P(lan)-D(o)-C(heck)-A(ct)-Zyklus organisieren lassen.

DP+
Datenschutzfallen im Büro
Bild: cherezoff / iStock / Thinkstock
Clean Desk ist gut – Clean Office ist besser

Wo gehobelt wird, da fallen Späne – und wo ein Büro ist, da fallen Daten an. Bei der täglichen Arbeit im Büro gibt es viele kleine und große Datenschutzfallen. Das Gemeine dabei ist, dass sie den dort tagtäglich Arbeitenden kaum auffallen. Besuchern dagegen schon. Beschäftigen Sie sich als Datenschutzbeauftragter also auch mit den kleinen Datenschutzfallen im Büro.

1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.