create a web page

xDSB München

Pragmatische Datenschutz-Beratung für Ihr Unternehmen.
Externer geprüfter Datenschutzbeauftragter.

Datenschutz im Unternehmen

Überblick über Datenschutzthemen
bei mittelständischen Unternehmen.

Bei der ganzheitlichen Datenschutzberatung werden IT-Sicherheitsrisiken und Abmahnrisiken gleichermaßen berücksichtigt.
Die eingehende externe Untersuchung startet zunächst mit der Außenwirkung,
bevor der Check sich nach innen richtet, zu den internen Abläufen.
Der Schwerpunkt der Betrachtung liegt natürlich auf der DSGVO bzw. GDPR.

  • Auftragsverarbeitungsverträge (AVV) – Gemeinsames Erstellen von sogenannten AVV, also Auftragsverarbeitungsverträgen zum kontrollierten und vertraglich geregelten Austausch von personenbezogenen Daten mit Ihren Dienstleistern und Kunden. Prüfen von bestehenden AVV.
  • Technisch-organisatorische Maßnahmen (TOM) – IT-Sicherheit und gute Kenntnisse im Internetbereich bringen uns gemeinsam schnell zu einem pragmatischen Ergebnis, wie Ihr Unternehmen technisch und organisatorisch aufgestellt sein muss, um der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz gerecht zu werden.
  • Verfahren & Verfahrensverzeichnis (VVZ) – Erfahrung in den Abläufen von mittelständischen Unternehmen und in der Analyse von Prozessen im Unternehmen führen uns schnell ans Ziel, die Verfahren im Unternehmen DSGVO-konform zu beschreiben.
  • Richtlinien, Mitarbeitervereinbarungen, Arbeitsanweisungen, Datenschutzerklärung der Website – Um Um rechtlich und unternehmerisch vor Fehlentscheidungen abgesichert zu sein, sollten Sie einen Überblick über die Standards der Vertragswerke für Mitarbeiter, IT-Richtlinien und die Datenschutzerklärung der Internetseite, sowie der wichtigsten Abläufe bei Kundenanfragen bezüglich Auskunftsrecht haben.
  • Technische Lösungen und Begrifflichkeiten, die Ihnen den Alltag erleichtern, sollten keine Fremdbegriffe mehr für Sie sein – wie z.B. Cookie Consent, BYOD, WhatsApp-Verbot, DOI,...

Dienstleistungen für Sie

Gemeinsam erstellen

Die wichtigsten Dokumente für die Erfüllung der Anforderungen der DSGVO müssen Sie nicht alleine erstellen. Mit guten Mustern und viel Erfahrung kommen wir schnell gemeinsam zu einem guten Ergebnis. Die eigenen TOM, AV-Verträge und Verfahren, sowie notwenige Mitarbeiterverpflichtungen sind für Sie dann keine Hürde mehr...

Unterlagen prüfen

Verschiedene Dokumente sind vielleicht schon vorhanden – hier bringen wir schnell und effizient Licht ins Dunkel. Wir prüfen gemeinsam AV-Verträge mit Dienstleistern und vervollständigen, was noch fehlt, um Sie rechtlich abzusichern und auf den Stand der DSGVO von 2019 zu holen...

Digitale Welten prüfen

Website- bzw. Digital-Check:
Website mit Datenschutzerklärung, Newsletter mit Double-Opt-In, Kontaktformulare, Cookie-Warnung bzw. Cookie-Consent-Tools, SSL-Verschlüsselung, signierte und verschlüsselte Mails (S/MIME). Bring Your Own Device BYOD-Lösungen, Berechtigungs-, Lösch-, Freigabe-Konzepte. Backup und Wiederherstellungskonzepte für die Sicherheit und Integrität Ihrer IT-Infrastruktur. Was ist Stand der Technik und was müssen Sie als Geschäftsführer wissen?

Mitarbeiter schulen

Ein Unternehmen besteht nicht aus Regeln und Dokumenten, sondern in erster Linie aus Menschen. Diese Mitarbeiter müssen mit einer Awareness-Schulung auf Datenschutz im täglichen Alltag sensibilisiert werden, um so selbst in ihrer Arbeitswelt die richtigen Entscheidungen zu treffen...

FAQs zur DSGVO

Fragen und Antworten zur DSGVO im Unternehmen. Mehr aktuelle Themen und ausführliche Antworten, finden Sie in meinem Datenschutz-Erstehilfe-Blog unter: www.datenschutz-erstehilfe.de.

Was genau sind personenbezogene Daten?

Allgemeine Personendaten: Name, Geburtsdatum, Geburtsort, Postanschrift, E-Mail-Adresse, Rufnummern, usw.
Kennnummern: Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenkasse, Personalausweisnummer, etc.
Bankdaten: Kontostände, Kontonummern, Kreditinformationen, etc.
Körperliche Merkmale: Geschlecht, Haut-, Haar- und Augenfarbe, Statur usw.
Vermögen und Besitz: Immobilien, Fahrzeuge, Grundbucheintragungen, Kfz-Kennzeichen, usw.
Werturteile: Schul-, Hochschul- und Arbeitszeugnisse, ...
Kundendaten: Bestellungen, Adressdaten, Kontodaten, ...
Internet-Daten: IP-Adresse, Mac-Adresse, Standortdaten, ...

Neben dieser personenbezogenen Daten, gibt es noch die Verarbeitung besonderer Kategorien personenbezogener Daten (nach Art. 9) – also die "besonders schützenswerten" personenbezogenen Daten:

- Angaben über rassische sowie ethnische Herkunft
- Politische Ansichten
- Religiöse und philosophische Überzeugung
- Gewerkschaftszugehörigkeit
- Angaben zur Gesundheit
- Angaben zur Sexualität

Was ist ein AV-Vertrag?

AV-Vertrag steht für Auftragsverarbeitungsvertrag (früher Auftragsdatenverarbeitungs-vertrag). Zur Auftragsverarbeitung gehören alle Tätigkeiten, bei denen Ihr Unternehmen personenbezogene Daten für andere Unternehmen oder Personen verarbeitet und das auf Weisung des Auftraggebers. Um diese Verarbeitung von Daten klar einzugrenzen und in einen klaren Auftrag zu setzen, wird ein sogenannter AV-Vertrag abgeschlossen.
Wenn ein anderes Unternehmen für Sie bzw. Ihr Unternehmen personenbezogene Daten verarbeitet, bedarf es ebenso eines AV-Vertrages, wobei Sie dann der Auftraggeber für die Verarbeitung sind und der Auftragnehmer die sichere Verarbeitung der Daten rechtfertigen muss.
Siehe in der Skizze und Beschreibung oben auf dieser Seite >> AVV

Wann ist es sinnvoll einen DSB zu bestellen?

Prinzipiell ist es immer sinnvoll, einen DSB (Datenschutzbeauftragten) zu bestellen, wenn Sie auftragsbezogen personenbezogene Daten verarbeiten. Der Gesetzgeber hat die Schwelle für die Verpflichtung zu einem eigenen DSB auf 20 Mitarbeiter (lesen Sie hierzu beim BvD), die ständig mit der Verarbeitung von personenbezogenen Daten zu tun haben, angesetzt. Das bedeutet jedoch nicht, dass kleinere Unternehmen keinen Datenschutz machen müssen, sondern nur, dass sie nicht zwingend einen DSB haben müssen. Für diese Unternehmen gilt dann im weiteren, dass der Geschäftsführer für Datenschutzvergehen oder Pannen haftet. Wenn Sie das vermeiden wollen, wäre die Empfehlung, sich wenigstens entsprechend von Datenschutzexperten schulen zu lassen.
Übrigens: der DSB muss auch bei der Aufsichtsbehörde (z.B. BayLDA) gemeldet sein. 

Wann darf ich personenbezogene Daten verarbeiten?

Jede Verarbeitung personenbezogener Daten ist zunächst einmal verboten. Es sei denn, es liegt eine Einwilligung des Betroffenen vor, Sie haben einen Vertrag mit der betroffenen Person, der eine Verarbeitung rechtfertigt (hier darf die Datenspeicherung aber nur so erfolgen, wie es für die Vertragserfüllung notwendig ist) oder Sie haben nach einem Gesetz die Pflicht, die Daten zu erheben und zu speichern. Eine weitere Möglichkeit stellt das berechtigte Interesse dar, welches gut belegt und sorgfältig geprüft sein sollte. Siehe hierzu auch Art. 6 DSGVO

Wer ist bei Verstößen gegen die DSGVO verantwortlich?

Prinzipiell ist der Geschäftsführer eines Unternehmens immer verantwortlich, wenn er sich nicht rechtlich absichert und hierfür seine Mitarbeiter schult und einen Datenschutzbeauftragten an Bord holt. Generell gilt allerdings, dass der Geschäftsführer und nicht der Mitarbeiter für Datenpannen, Datenmissbrauch oder andere Verstöße gegen die DSGVO haftet.

Cookie Banner – ja oder nein?

Auf allen Internetseiten sieht man sie, die Cookie Banner. Sie fragen nach einem "Okay" oder man kann sie einfach mit einem X wegklicken, aber braucht man so einen für viele Nutzer als "sinnlos" erachteten Informationsbanner zur Verwendung von Cookies? Die EU-Cookie-Richtlinie hatte diese Informationspflicht einmal vorgesehen, bis die ePrivacy-Verordnung eine Regelung für alle Internetpräsenzen vorgibt.
Der Stand der Dinge im Herbst 2019 ist, dass es noch dauern wird, bis die ePrivacyVO fertig ist und hier klare Regelungen vorgibt. Allerdings haben die Gerichte im Sommer 2019 klar entschieden, dass der Besucher einer Website nicht nur über Cookies informiert werden soll, sondern die Möglichkeit bekommen soll, wenn diese Cookies personenbezogene Daten (z.B. IP-Adresse) an Dritte überträgt, beispielweise für ein Tracking (z.B. Google Analytics), eine explizite Einwilligung zu geben. An dieser Stelle sollte jedem klar werden, dass das auch bedeutet, dass der Besucher auch "Nein" sagen darf und dann diese Cookies technisch unterdrückt werden müssen – man spricht hier von Cookie Consent Tools. Siehe hierzu Website-Check