Umgang mit personenbezogenen Daten in Unternehmen und Zusammenarbeit mit externen Dienstleistern
Kundeninformation zur DSGVO (Teil 2 von 2)
Die EU weite IT-Richtline, allgemein bekannt unter DSGVO, wird nach einer zweijährigen Übergangsfrist zum 25. Mai diesen Jahres in eine bindende EU Vorschrift für alle EU Länder umgesetzt.
In dieser zweiteiligen Reihe möchten wir unseren Kunden zum Thema IT Grundschutz und DSGVO informieren und was sie beachten sollten.
Hinweis: DigiPhant übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen. Links und Informationen sind allgemeiner Art und stellen keine Rechtsberatung dar. In konkreten Rechtsfällen empfehlen wir die Beratung eines Datenschutzbeauftragten oder eines Rechtsanwalts.
In unserem ersten Teil ging es um grundsätzliches der DSGVO und um die Themen Datenschutz und Datensicherheit.
In diesem Artikel behandeln wir das Thema schutzwürdige, personenbezogene Daten in Unternehmen und was Sie bei der Zusammenarbeit mit externen Dienstleistern beachten sollten.
Umgang mit schutzwürdigen, personenbezogenen Daten in Ihrem Unternehmen
Ab 25. Mai 2018 gelten u.a. für die Betreiber von Webshops neue Vorschriften im Umgang mit personenbezogenen Daten.
Beispiele auf die Betreiber von Webshops oder Versender von Mailinglisten/Newsletter achten müssen sind:
- Adressen für Newsletter oder Mailinglisten dürfen nur im “Double-Opt-in”-Verfahren verwendet werden, d.h. nachdem man sich in einen Verteiler eingetragen hat, erhält man anschließend eine Bestätigung-E-Mail um die Anmeldung endgültig zu bestätigen
- ein einfaches austragen aus diesen Listen muss gegeben sein, “Opt-out” Verfahren
- es dürfen in Webformularen nur benötigte Daten abgefragt werden
- die Webseite muss, wenn ein Kontaktformular verwendet wird, mit einer Verschlüsselung ausgestattet sein (SSL Zertifikat, https://)
- Recht auf „vergessen werden“, d.h. nach Abschluss des Geschäftsvorfalles und Ablauf der Aufbewahrungsfrist müssen Vorfälle automatisch gelöscht werden
- besonderer Schutz für Kontakt und Adresssammlungen: Diese müssen in Datenbanken anonymisiert/verschlüsselt/getrennt abgespeichert werden, damit Unbefugte keine persönlichen Daten in einer Datei entwenden können.
- Es müssen aktive Maßnahmen zur Verhinderung von Datenklau/Datenabfluss/Datensabotage etabliert werden.
Diese Beispiele und eine adäquate Dokumentation für das eigene Unternehmen sind im bereits erwähnten Grundschutz-Kompendium aufgeführt und können durch die tatsächlichen Gegebenheiten im Unternehmen ergänzt werden.
Link zum Downloadbereich des IT Grundschutz Kompendiums: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzDownloads/itgrundschutzDownloads_node.html
Zuletzt müssen formal interne Prozesse definiert und dokumentiert werden, die z.B. bei einem Datenverlust den Mitarbeitern einen Leitfaden an die Hand geben. Diese Prozesse müssen in regelmässige Abständen geprüft und ggf. angepasst werden, in jedem Falle jedoch alles in einem zentralen Dokument festgehalten werden
Was Sie bei der Zusammenarbeit mit externen Dienstleistern beachten sollten
Durch die Einführung der DSGVO zum 25.5.2018 ändert sich auch die Anfoderung des eigenen Unternehmens zu Dienstleistern.
Diese benötigen alle einen eigenen Auftragsdatenverarbeitungs-Vertrag (ADV).
Viele Hersteller bieten den ADV schon für Ihre Kunden auf dem jeweiligen Portal zum herunterladen an.
Beispielsweise für Microsoft Office 365 Kunden findet sich der ADV hier unter https://www.microsoft.com/de-de/Licensing/product-licensing/products.aspx#OST (Online Services Terms)
Da wir für viele unserer Kunden ähnliche IT-Dienstleistungen erbringen, erlauben wir uns Ihnen einen Mustervertrag für die verschiedenen, durch DigiPhant erbrachten Dienstleistungen, vorzuschlagen. Es wird auch geregelt ob und welche personenbezogenen Daten wir verarbeiten müssen.
Unseren ADV lassen wir für unsere Kunden gerne auf Anfrage zukommen. Es wird ein automatisierter Prozess gestartet, in dem der Kunde den jeweiligen ADV selbst anpassen kann. Der Ablauf ist erst dann erfolgreich abgeschlossen, wenn der Vertrag unsere digitale Unterschrift enthält.
Der Auftragsdatenverarbeitungs-Vertrag ist aber nur ein Baustein für die komplette Verfahrensdokumentation. Die komplette DS-GVO Verfahrensdokumentation muss durch den Kunden selbst erstellt werden. Ein Leitfaden für die Dokumentation findet sich auch bei der IHK unter diesem Link.
Ein schneller Start in das Thema kann auch das vom Bayerischen Landesamt für Datenschutzaufsicht herausgegebene DS-GVO Büchlein Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket sein.
DigiPhant kann hier im Bereich des Datenschutzes zuarbeiten und Informationen liefern, die in die eigentliche Dokumentation aufgenommen werden kann. Z.B. wie wird eine Datensicherung ausgeführt, wie oft, auf welches Gerät? Der Prozess, wer die Datensicherung auch letztendlich ausführt, ist vom Kunden zu dokumentieren.
Allgemeine Informationen zum Thema IT Grundschutz, als auch die speziellen Dokumente für das Schichtenmodell finden sich wieder beim BSI unter folgendem Link: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html
Allgemeine Informationen zum Thema Datenschutz findet sich auch beim lokalen Landesbeauftragen für Datenschutz und auf dessen Webseite:
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) https://www.datenschutz-bayern.de/
