Die neuen GSGVO Regeln werden uns noch lange beschäftigen

Berlin, 24.05 2018

Presseinformation

Start DS-GVO am 25. Mai 2018: „Die neuen Regeln werden uns noch lange beschäftigen.“ 

BvD-Experten begleiten Unternehmen und Behörden bei der Umsetzung

Mit dem Start der Datenschutz-Grundverordnung am Freitag beginnt in Europa eine neue Zeitrechnung für den Datenschutz. Doch in einigen Punkten fehlt Unternehmen, Selbständigen und auch den Aufsichtsbehörden noch Rechtssicherheit. „Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, sagte BvD-Vorstand Thomas Spaeing am Donnerstag in Berlin.

Rechtsunklarheit besteht laut Spaeing unter anderem beim Beschäftigtendatenschutz und in der Abstimmung mit der ePrivacy-Verordnung, die aller Voraussicht erst Ende 2019 an die DS-GVO angepasst wird. Ein vielfach diskutiertes Thema ist auch der Medienbruch bei den Informationspflichten, z. B. bei der Videoüberwachung oder auch der einfachen Kontaktaufnahme im Geschäftsleben.

Auch deshalb hofft der BvD, dass die Aufsichtsbehörden mit dem Start der DS-GVO zunächst „mit Augenmaß“ Unternehmen bei der Umsetzung der Richtlinien begleiten werden. „Auch die Aufsichtsbehörden wissen um die vielen Fragen, die noch ungeklärt sind“, sagte Spaeing. „Deshalb sollten Unternehmen sie nicht als Gegner, sondern als Partner verstehen“. Wichtig sei allerdings, dass die Unternehmen auch die Bereitschaft zeigten, das neue Regelwerk umzusetzen.

Der BvD stellt für Behörden und Unternehmen, die noch fachkompetente Datenschutz-Experten suchen, eine Übersicht der Mitglieder zur Verfügung. „Nach dem Ansturm der letzten Monate erhalten wir von unseren Mitgliedern Hinweise, dass sie wieder Kapazitäten haben“, sagte Spaeing.

Zudem stellt der BvD auf seiner Internetseite www.bvdnet.de aktuelle Informationen zur DS-GVO bereit.

Ihr BvD-Ansprechpartner:

Vorstandsvorsitzender Thomas Spaeing, Budapester Straße 31, 10787 Berlin

Tel: 030 . 26 36 77 60, E-Mail: bvd-gs@bvdnet.de

Dateien für den E-Mailversand mit Passwort schützen

E-Mails mit personenbezogenen Daten müssen geschützt sein

Dies gilt natürlich nicht nur für Inhalte mit personenbezogenen Daten sondern auch für betriebsinterne Informationen! Es ist leichter als Sie denken E-Mail Verkehr abzufangen. 

Für alle Windows Benutzer gibt es eine gute Nachricht. Wer Office verwendet kann ganz einfach Office Dateien wie Word oder Excel mit einem Passwort versehen:

Navigieren Sie im geöffneten Dokument auf "Datei". Bei Windows 10 sieht das dann so aus: (Wenn Sie eine ältere Windows Version benutzen bitte über die Hilfefunktion suchen)

Wenn Sie "Dokument schützen" anklicken bekommen Sie eine Auswahl von Möglichkeiten aus der Sie "Mit Kennwort verschlüsseln" wählen.

WICHTIG: Merken Sie sich das Passwort und schreiben Sie es auf.
Auch hier gilt mindestens 8 Zeichen mit Zahlen, Buchstaben und Sonderzeichen.

Nun kann das ausgewählte Dokument nur noch mit diesem Passwort geöffnet werden. 

Die Übermittlung des Passwortes zum E-Mailempfänger kann dann vorab entweder telefonisch oder per SMS erfolgen. 

BITTE NICHT ÜBER WHATS-APP VERSCHICKEN!!

Sollten Sie häufiger Passwortgeschützte Dateien verschicken, sollte man auch hier in regelmäßigen Abständen das Passwort ändern. Es muss ja nicht wöchentlich sein aber alle 3 Monate ist eine Empfehlung.

By-The-Way:
Hat Ihr Handy eine Virus Software? Die meisten PC´s und Laptops haben so etwas. Beim Handy sind wir deutlich nachlässiger obwohl wir dort viele sensible Daten bevorraten, verschicken und empfangen.

Meldung des Datenschutzbeauftragten in Hessen

Datenschutzbeauftragter in Hessen melden

"Aufgrund der Datenschutz-Grundverordnung sind hessische Verantwortliche und Auftragsverarbeiter ab dem 25. Mai 2018 gem. Art. 37 Abs. 7 DS-GVO verpflichtet, die Kontaktdaten ihrer Datenschutz-beauftragten zu veröffentlichen und diese dem Hessischen Datenschutzbeauftragten mitzuteilen. Um einen reibungslosen Ablauf für die Vielzahl der erwarteten Meldungen zu gewährleisten, wird ein automatisiertes Meldeverfahren auf der Homepage des Hessischen Datenschutzbeauftragten bereitgestellt werden.  Das automatisierte Meldeverfahren ist bereits nutzbar. Der Hessische Datenschutzbeauftragte geht davon aus, dass Verantwortliche und Auftragsverarbeiter ihrer Mitteilungspflicht innerhalb von 3 Monaten nachkommen." Link zum Meldeformular: 

Hier den externen Datenschutzbeauftragten anmelden

 

externer Datenschutzbeauftragter Kosten

externer Datenschutzbeauftragter Kosten

Mit welchen Kosten Sie für einen externen Datenschutzbeauftragten rechnen müssen

Wenn Sie für Ihre Firma einen Datenschutzbeauftragten benennen müssen, steht die Entscheidung an, entweder einen internen oder einen externen Datenschutzbeauftragten zu benennen. Ohne der folgenden Kostenaufstellung zuweit vorgreifen zu wollen, so wird die Auswahl des externen Datenschutzbeauftragten unter dem Strich die günstigere Lösung sein.

Genaue Angaben über die Kosten für einen externen Datenschutzbeauftragten sind nur möglich, wenn man alle Sachverhalte in Ihrer Firma betrachtet. Der Gesamtpreis ist extrem abhängig davon verschiedenen Faktoren:

Kostenfaktoren 

  • Anzahl der Mitarbeiter
  • Anzahl der Abteilungen und Verantwortlichen
  • Anzahl der datenverarbeitender Tätigkeiten
  • Anzahl der technischen und organisatorischen Maßnahmen
  • Anzahl der IT Einheiten in Ihrer Firma
  • Anzahl der eingesetzten Softwareprogramme
  • Anzahl der Verträge zur Auftragsdatenverarbeitung
  • Anzahl der Datenschutzfolgeabschätzungen

Alle diese Punkte sind mit gewissen Analysen und Protokollen verbunden und können sich im Laufe eines Jahres auch ändern oder ergänzen, was auch Aufwand bedeutet.

Zusätzlich hat der externe Datenschutzbeauftragte auch noch weitere Aufgaben:

Sonstige Kostenfaktoren

  • Schulung und Sensibilisierung der Mitarbeiter
  • Ansprechpartner für Datenschutz Themen
  • Ansprechpartner für Betroffene
  • Ansprechpartner für Aufsichtsbehörden
  • Ansprechpartner bei Initialisierung neuer Prozesse
  • Kümmerer bei den Auftragsdatenverarbeitungsverträgen
  • Regelmäßige interne und externe Prüfung und Überwachung der oben genannten Punkte
  • Erstellen eines Quartals- und Jahresberichtes

Kosten Datenschutzmanagemantsystem

Um alle diese Punkte schnell und unkompliziert zu erledigen, nutzt der externe Datenschutzbeauftragte in der Regel ein softwaregestütztes Datenschutzmanagementsystem (DSMS) sowie eine online Schulungssystem für die Sensibilisierung der Mitarbeiter.

Die monatlichen Preise für das DSM System liegen je nach Anbieter zwischen €25 und €150 Euro. Bei dem online Schulugssystem ist die Preisspanne deutlich größer. Hier liegen die Preise Preise zwischen €8 und €15  pro Mitarbeiter und Monat. Es gibt aber auch DMS Systeme, die das Schulungssystem schon beinhalten.

Kosten für den externen Datenschutzbeauftragten 

Zur Feststellung des IST-Zustand und für das Setup des Datenschutzmanagementsystem werden in der Regel Audits zu Tagessätzen veranschlagt. 

Die Tagessätze von externen Datenschutzbeauftragten liegen je nach Ausbildung und Qualifikation des Datenschutzbeauftragten
zwischen € 580 und € 1.200.

Zusätzlich zu den Audits wird eine Monatspauschale mit einer Vertragslaufzeit von mindestens 1 Jahr vereinbart. In einige Bundesländer ist eine Vertragslaufzeit von mindestens 2 oder 3 Jahren vorgeschrieben. In dieser Monatspauschale ist auch die Nutzung des oben genannten Datenschutzmanagemensystems enthalten.

Beispiele für Kosten des externen Datenschutzbeauftragten

Um Ihnen bei der Masse der bisherigen Informationen eine Konkrete Vorstellung zu geben, hier nun ein paar Beispiele aus meinem eigenen Kundenkreis:

  • Beispiel: Software & Beratungsfirma
    3 Tage Audit à € 780 plus € 300 monatliche Pauschale für
    45 Mitarbeiter
    88 Verarbeitende Tätigkeiten
    20 TOMS
    10 ADV´s

    2 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Firma für Bürobedarf
    2 Tage Audit à € 780 plus € 210 monatliche Pauschale für
    21 Mitarbeiter
    60 Verarbeitende Tätigkeiten
    20 TOMS
    5 ADV´s

    1 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Pharma Hersteller
    4 Tage Audit à € 780 plus € 480 monatliche Pauschale für
    300 Mitarbeiter
    120 Verarbeitende Tätigkeiten
    60 TOMS
    20 ADV´s

    5 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Pharma Hersteller
    4 Tage Audit à € 780 plus € 480 monatliche Pauschale für
    300 Mitarbeiter
    120 Verarbeitende Tätigkeiten
    60 TOMS
    20 ADV´s

    5 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

  • Beispiel:  Garten & Landschaftsbaubetrieb
    1 Tag Audit à € 780 plus € 180 monatliche Pauschale für
    12 Mitarbeiter
    25 Verarbeitende Tätigkeiten
    10 TOMS
    3 ADV´s

    1 Datenschutzfolgeabschätzungen
    1 Datenschutzmanagementsystem (online)
    1 Datenschutzschulungsplattform

Sicherlich wollen Sie wissen mit welchen Kosten für den externen Datenschutzbeauftragten Sie für Ihre Firma rechnen müssen. Für ein unverbindliches Angebot nutzen Sie bitte das folgenden Formular.

Angebot anfordern

Sicheres Passwort, kryptisches Passwort

sicheres Passwort

Leider werden immer noch viel zu häufig Passwörter benutzt, die Hacker in wenigen Sekunden knacken können. Häufig ist es einfach zu lästig oder man ist zu bequem ein langes sicheres Passwort zu benutzen. Abhilfe schafft der Kryptonizer den ich vom BVD e.V. zugeschickt bekommen habe.

Man bleibt einfach bei seinem „Passwort“ (, verschlüsselt dies aber mit dem Kryptonizer. Zum einen lernt man so das sichere Passwort einfacher auswendig, zum anderen hat man immer die Möglichkeit mit dem Kryptonizer  vom eigentlichen alten und einfachen Passwort auf das verschlüsselte Passwort zu kommen.  Wichtig dabei ist natürlich, dass man den Kryptonizer nicht zusammen mit dem Passwort aufbewahrt!

Der Kryptonizer ist eine Übersicht in der für 3 Zeichen des Alphabetes ein Verschlüsselungszeichen steht (Siehe Bild) . Wer es noch sichere haben möchte, kann es natürlich noch granularer anlegen. Bei 3 Zeichen passt es praktisch auf einen kleinen Zettel.

Erstellung eines sicheren Passwort

Erstellen Sie sich einen eigenen Kryptonizer oder nutzen Sie die Vorlagen vom BVD e.V. wie hier abgebildet.

Die zusätzlichen Startzeichen stellen die Zeichenvielfalt sicher und sind immer fix gesetzt.

Nun denken Sie sich einen einfaches Passwort für Ihr zu schützendes Login aus, z.B.    zalando

sicheres Passwort

Mit dem Kryptonizer wird daraus: n-10G6N6sqs

Damit haben Sie nun ein 11 stelliges Passwort, was Sie mit dem Kryptonizer schell bei der Hand haben.

DSGVO Online Schulungssystem

dsgvo online schulungssystem

Der Verantwortliche, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, muss die Verarbeitung gemäß DSGVO sicherstellen. Dies geschieht in der Regel unter anderem durch Schulungen  sowie durch die Verschwiegenheitserklärungen der Mitarbeiter. Ist die Firma verpflichtet einen Datenschutzbeauftragten zu benennen, ist dieser gemäß Art. 39 der DSGVO sich um die Sensibilisierung und Schulung der Mitarbeiter zu kümmern. Die Schulung selber kann, muss aber nicht vom Datenschutzbeauftragten durchgeführt werden. Letztlich ist der Verantwortliche hierfür zuständig.

Die Sensibilisierung und Schulung von Mitarbeitern ist oft ein kostspieliges Unterfangen, insbesondere wenn die Mitarbeiter über mehrere Städte verteilt sind.

Hierfür haben wir ein DSGVO Online Schulungssystem entwickelt, mit dem Sie ganz einfach Ihre Mitarbeiter online Schulen können. Die Mitarbeiter können sich zu jeder Zeit online auf dem DSGVO Schulungssystem anmelden und die nötigen Schulungen online erledigen. Am Ende gibt es einen kleinen Test, der beliebig oft wiederholt werden kann. Damit erbringen Sie als Firma den Nachweis, dass Sie Ihre Mitarbeiter sensibilisiert und geschult haben. Die Schulungen sollten 1 Mal pro Jahr wiederholt werden und neue Mitarbeiter sollten zu Beginn Ihrer Tätigkeit mit dem DSGVO Online Schulungssystem geschult werden. Dies kann man praktischer Weise mit dem generellen Onbording geschehen.

Unser DSGVO Online Schulungssystem können Sie auch nutzen, wenn Sie uns nicht als externer Datenschutzbeauftragter benannten haben.

DS-GVO, was Firmen unternehmen sollten

DSGVO - was muss man als Firma tun?

Die DS-GVO richtet sich eindeutig an die Leitung der Verantwortlichen Stelle. Diese ist Adressat der Regelungen, Pflichten und der Haftung aus der DS-GVO. Für viele Unternehmen werden die Anpassungen mit dem 25.05.2018 nicht abgeschlossen sein, es sollten aber die wichtigsten Maßnahmen eingeleitet und weitere geplant sein.

  1. Prüfen ob ein Datenschutzbeauftragter benannt werden muss (Wann brauche ich einen Datenschutzbeauftragten)
  2. Datenschutzgrundsätze der DS-GVO in das interne Regelwerk integrieren. Richtlinien und Prozesse definieren, Schulungsmaßnahmen dazu durchführen.
  3. Dokumentation überprüfen / anpassen – aus dem Verfahrensverzeichnis wird die Verarbeitungsübersicht, die zukünftig im Mittelpunkt des Datenschutzmanagements steht. Rechtsgrundlagen für die Verarbeitungen definieren.
  4. Verträge mit Dienstleistern überprüfen und anpassen. Keine Aufragsverarbeitung ohne den entsprechenden Vertrag.
  5. Betroffenen-Rechte und Informationspflichten gewährleisten und entsprechende Prozesse installieren.
  6. Meldepflichten im Unternehmen installieren und Prozesse einrichten, die die jeweilige Meldung fristgerecht ermöglichen.

Eine Gesamtliste der nötigen Tätigkeiten finden Sie hier: DSGVO Checkliste (Link folgt, bitte vorerst per E-Mail anfordern)

Wann brauche ich einen Datenschutzbeauftragten?

wann brauche ich einen datenschutzbeauftragten

Diese Fragen stellen sich viele Firmen. Leider ist die Beantwortung auch bei hinzuziehen der Gesetzestexte nicht 100% klar, zu mindestens nicht bei kleineren Betrieben. Ich beziehe mich hier ausschließlich auf die Regelungen ab dem 25.5. sowie die nicht öffentlichen Stellen.

Generell ist die Benennung zum Datenschutzbeauftragten Pflicht für Firmen, die mehr als 9 Personen beschäftigen (Aushilfen eingeschlossen) welche sich mit der automatisierten (Computer) Verarbeitung mit personenbezogenen Daten beschäftigen. Nehmen die Verantwortlichen oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgeabschätzung unterliegen, oder verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben Sie unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten zu bennen.  Bei nicht automatisierter Verarbeitung gibt die Benennungspflicht ab 20 Mitarbeiter (BDSG § 38, DSGVO Art. 37)

Wenn Sie Definitionen zu den Begriffen automatisierte Verarbeitung, personenbezogene Daten oder Datenschutz-Folgeabschätzung haben, lesen Sie bitte über die jeweiligen Links mehr darüber.

Was heißt das nun konkret? Da in Firmen fast überall personenbezogene Daten verarbeitet werden und in den meisten Firmen alle Mitarbeiter Zugang zu Computern haben, sollte jede Firma mit mehr als 9 Mitarbeitern einen Datenschutzbeauftragten benennen. Bei Handwerksbetrieben zum Beispiel, sollte auf jeden Fall ab 20 Mitarbeitern ein Datenschutzbeauftragten benannt werden. In der Regel  haben auch bei kleineren Handwerksbetrieben die Mitarbeiter Zugriff auf personenbezogene Daten. Auch der Arbeitszettel mit Kundendaten wie Name, Anschrift, Telefonnummer sowie detaillierten Angaben über Handwerksprojekte, stellen personenbezogene Daten dar.

Aber was ist nun mit Betrieben mit 2,3 oder 4 Mitarbeitern? Die Antwort liegt in der Frage ob in der Firma vorbereitende Arbeiten zur Lohnbuchhaltung durchführt werden. Damit liegen besondere personenbezogene Daten von den Mitarbeitern vor, die in der Regel an den Steuerberater oder an das Lohnbüro übertragen werden. Hier wäre auf jeden Fall eine Datenschutz-Folgeabschätzung fällig und somit auch die Benennung eines Datenschutzbeauftragten.

Viele kleinere Betriebe werden wahrscheinlich abwarten bis die ersten Bußgelder fällig werden. Experten vermuten, das die fehlende Bestellung des Datenschutzbeauftragten der Hauptgrund für Bußgelder sein wird.

Wenn Sie sich nicht sicher sind ob Sie für Ihre Firma einen Datenschutzbeauftragten benennen müssen, nehmen Sie einfach Kontakt mit mir auf oder nutzen Sie meinen DSGVO-Check.

 

 

 

 

Für wen gilt die DSGVO?

für wen gilt die dsgvo

Die DSGVO wurde zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr personenbezogener Daten verordnet (DSGVO Art. 1,2 und 3). Was exakt unter personenbezogener Daten zu verstehen ist lesen Sie bitte hier nach: „personenbezogene Daten“

Die Verarbeitung selber ist in Artikel 2 (1) geregelt: „Ganz und teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten , die in einem Dateisystem gespeichert sind oder in einem Dateisystem gespeichert werden sollen“.

Dies lässt nun Vermuten, dass die klassischen Akten (gedrucktes Papier) davon ausgeschlossen sind. Das ist leider nicht so. Dazu komme ich an anderer Stelle (wie betrifft die DSGVO den guten alten Akten)

Damit wäre grundlegend geklärt worum es geht aber wen betrifft das nun genau? Einfacher ist vielleicht zu beschreiben, für wen es nicht gilt:

  • Tätigkeiten die nicht in den Rahmen der Union fallen
  • Tätigkeiten natürlicher Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
  • Behörden zum Zwecke der Verhütung , Ermittlung, Aufdeckung, oder Verfolgung von Straftaten oder der Vollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

Das heißt konkret, die strenge Einhaltung der DSGVO betrifft Firmen, Organisationen, gewerbetreibende Einzelpersonen, Ärzte, sowie Vereine.

Besonders streng sind die Regelungen bei Daten nach Artikel 9: Personenbezogene Daten aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischer oder biometrischer Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung).

Als Arbeitgeber mit Angestellten, wenn auch nur lohnpauschaliert, fallen einige dieser Datenkatgorien an.

Nach meiner Meinung sollte jede Firma, die Lohndaten oder ähnliches führt und bearbeitet einfach das tun was sie auf die „sichere Seite“ bringt: Beauftragen eines externen Datenschutzbeauftragten um die Anforderungen (inklusive Artikel 9) zu prüfen und umzusetzen. Bei kleinen Firmen muss das nicht wirklich teuer sein.

Für eine konkrete Anfrage nutzen Sie bitte das Formular für den ersten DSGVO Check