Tipps

Verzeichnis von Verarbeitungstätigkeiten (VVT) sinnvoll und praktisch erstellen und einsetzen

von Sascha Kuhrau
17. Juni 20197. Juli 2021

Das Verzeichnis von Verarbeitungstätigkeiten

Wer sich mit dem Thema Datenschutz beschäftigt, stößt ziemlich schnell auf Art. 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” (externer Link). In Abs. 1 heißt es:

“Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.”

Diese Formulierung lässt wenig Spielraum dafür, ob die eigene Organisation von dieser Verpflichtung betroffen ist oder nicht. Gerne schielt der eine oder andere auf Art. 30 Abs. 5 DSGVO, steht doch da etwas von Ausnahmen ab 250 Mitarbeitern. Doch mit der Freude ist’s schnell vorbei. Denn sowohl § 70 BDSG (externer Link) als auch die diversen Landesgesetze setzen diese Ausnahme umgehend wieder aus. Wobei schon die weitere Formulierung des Art. 30 Abs. 5 DSGVO schnell klar macht, das Schlupfloch ist gar keins.

“Alles kein Problem, das Verzeichnis der Verarbeitungstätigkeiten erstellt schließlich der Datenschutzbeauftragte”

Leider knapp daneben, denn genau das zählt NICHT zu den Aufgaben des oder der Datenschutzbeauftragten. Die Aufgaben sind in Art. 39 DSGVO (externer Link) recht konkret beschrieben und das Führen der Verzeichnisses der Verarbeitungstätigkeiten ist nicht enthalten. Durchaus sinnvoll ist jedoch, die Pflege des Verzeichnisses der Verarbeitungstätigkeiten dem Datenschutzbeauftragten zu übertragen. Als zentraler Ansprechpartner und als Kontrollinstanz benötigt er diese Übersicht für die tägliche Arbeit. Das setzt jedoch voraus, dass die Verantwortlichen in den Fachbereichen den Datenschutzbeauftragten frühzeitig in neue Verarbeitungstätigkeiten einbinden, über Änderungen an bestehenden Verarbeitungen informieren oder auch mal Signal geben, wenn eine Verarbeitungstätigkeit entfällt. Damit sind wir schnell im Prozess- und Änderungsmanagement für Ihre Organisation. Doch das ist eine andere Aufgabe.

Für was ist das Verzeichnis von Verarbeitungstätigkeiten denn überhaupt gut?

Gute Frage 🙂 Art. 30 DSGVO lässt sich dazu nicht weiter aus. Auch die nationalen Datenschutzgesetze bringen kein Licht ins Dunkel. In Art. 30 steht zumindest noch der Hinweis, dass dieses Verzeichnis der jeweiligen Aufsichtsbehörde (und auch nur der) auf Verlangen vorzulegen ist. Lassen Sie sich nicht beirren, sollte mal jemand anderes das Verzeichnis sehen wollen (Auftraggeber beispielsweise). Für diese ist dieses Verzeichnis nicht gedacht und dort auch nicht vorzulegen. Wirklich nicht. Für den Fall gibt es das sog. Verzeichnis von Verarbeitungen für Auftragsverarbeiter. Weniger umfangreich und ziemlich easy in Erstellung und Pflege.

Erwägungsgrund 82 DSGVO (externer Link) hat etwas mehr Input zum Zweck des Verzeichnisses von Verarbeitungstätigkeiten:

Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.

Seien wir mal ehrlich: Wir erstellen also so ein Verzeichnis und dann haben wir den Nachweis, die DSGVO einzuhalten? Nicht wirklich. “Doch”, mag der eine oder andere jetzt einwerfen, der schon mal Kontakt zu verschiedenen Datenschutzaufsichten hatte. Zumindest stellt sich das gelegentlich schon mal in Stellungnahmen und Aussagen der Aufsichtsbehörden so dar. Ohne dieses Verzeichnis gibt es keinen Datenschutz in der Organisation 😉 Doch kann Formalismus Datenschutz, vielleicht noch im weiteren Sinne einer “Sicherheitskultur” erzeugen? Indirekt sicherlich, als Mittel zum Zweck. Aber ein reines Verzeichnis von Verarbeitungstätigkeiten im Sinne des Art. 30 DSGVO ist kein Datenschutz und erzeugt keinen Datenschutz. Das wird auch schnell klar, wenn man sich die seitens des Gesetzgebers geforderten Inhalte anschaut.

Welche Angaben sind in einem Verzeichnis von Verarbeitungstätigkeiten aufzuführen?

Art. 30 Abs. 1 DSGVO führt dazu weiter aus:

Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Viel Content, jedoch kein gelebter Datenschutz. Für einen ersten Überblick, wo und wie welche personenbezogenen Daten in einer Organisation verarbeitet werden, recht hilfreich. Doch dann ist die Luft schnell raus. Das merken auch die verantwortlichen Fachbereichsleiter, wenn man diese mit den Standardmustern aus dem Fundus der verschiedenen Aufsichtsbehörden konfrontiert. Diese Muster fragen nämlich genau diese Punkte ab. Nur diese Punkte. Und jetzt? Für was?

Also wie kann man aus dem Verzeichnis von Verarbeitungstätigkeiten einen praktischen Nutzen ziehen?

Ein guter DSB oder auch Datenschutzberater wird Sie auf die Zusammenhänge innerhalb der DSGVO hinweisen. Und hier finden sich weiter vorne in der DSGVO zwei Artikel, die direkt mit dem Verzeichnis von Verarbeitungstätigkeiten verzahnt werden können und die sich wunderbar ergänzen. Die Rede ist von Art. 13, 14 DSGVO Informationspflichten (externer Link). Darin sind Angaben benötigt, die dem Betroffenen gegenüber dargestellt werden müssen. So z.B. in Art. 13 Absatz 1 DSGVO

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

und ergänzend in Art. 13 Abs. 2 DSGVO noch folgende Angaben:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Einige wichtige Bestandteile dieser Angaben sollten sich im Verzeichnis von Verarbeitungstätigkeiten finden lassen. Doch was ist mit den anderen Angaben. Diese jetzt separat bei den Fachbereichen — möglicherweise noch in einem zeitlich versetzten Projekt — anfordern? Na, die werden sich freuen 🙂

Sinnvollerweise sollte man die Angaben für Art. 30 DSGVO sowie die Art. 13, 14 DSGVO in einem Rutsch bei den Fachbereichen erheben und zusammentragen. Dafür wäre eine Erweiterung der aktuellen Mustervorlagen der Aufsichtsbehörden notwendig. Übrigens dürfen Sie an diese ruhig Hand anlegen (also an die Vorlagen, nicht an die Vertreter der Aufsichtsbehörden 😉 ), denn was Sie dort als Vorlagen finden, sind Empfehlungen und nicht in Stein gemeißelt.

Verzeichnis von Verarbeitungstätigkeiten als Arbeitsdokument und nicht als reine Datensammlung verstehen

Noch wäre eine solche ausgefüllte Vorlage jedoch nicht mehr als eine erweiterte Datensammlung. Um sich einen Überblick über die Verarbeitung personenbezogener Daten zu verschaffen, sicherlich besser geeignet als die reine Anforderung aus Art. 30 DSGVO. Doch da geht noch was, oder? Genau. Ergänzen Sie doch diese Übersicht gleich um weitere Angaben wie Rechtsgrundlage bzw. Erlaubnistatbestand (Art. 6 DSGVO), involvierte externe Dienstleister (Art. 28 DSGVO Auftragsverarbeitung), Angaben zur Durchführung und den Ergebnissen einer DSFA (Art. 35 DSGVO) sowie für die Audit- und Kontrollaufgaben des DSB mit Überprüfungen z.B. der Berechtigungs- bzw. Löschkonzepte.

Warum das Verzeichnis von Verarbeitungstätigkeiten um diese Punkte ergänzen?

Sie ersetzen den reinen Übersichtscharakter (der ja alleine keinen Datenschutz in Ihrer Organisation schafft) durch einen Arbeitscharakter des Dokuments. Oder salopp gesagt, das Verzeichnis lebt und unterstützt Ihre Organisation bei der Umsetzung des Datenschutzes in der Organisation aktiv. Weiterhin haben Sie an zentraler Stelle nun definitiv einen Nachweis, dass Ihre Organisation das Thema Datenschutz ernst nimmt und lebt. Gleichzeitig können Sie anhand eines so aufgeppten Dokuments nun auch Aktivitäten und Wiedervorlagen sicherstellen.

Rechtsgrundlage: Stützt sich die Verarbeitung auf die korrekte Rechtsgrundlage? Besteht ein Vertragsverhältnis, ist womöglich die genutzte Einverständniserklärung obsolet und könnte entfallen. Sind Rechtsvorschriften der Auslöser, ergeben sich möglicherweise aus deren Kontext auch gleich die Angaben zu Aufbewahrungs- bzw. Löschfristen.

Externe Dienstleister bzw. Auftragsverarbeitung: Liegt die notwendige Vereinbarung zur Auftragsverarbeitung vor? Sind die TOM des Dienstleisters (interner Link) geprüft? Wurden diese bei längerer Zusammenarbeit schon mal auf Aktualität geprüft?

Datenschutzfolgenabschätzung: Wurde die DSFA durchgeführt? Wann und durch wen? Wie war das Ergebnis? Bei negativem Ergebnis, wurde die Verarbeitung dennoch in Betrieb genommen? Wer hat das entschieden? Wurde die DSFA regelmäßig aktualisiert und nachgeprüft im Hinblick auf Veränderungen bei Risiken und Schutzmaßnahmen?

Welche Kontrollen und Überprüfungen hat der DSB zu den einzelnen Verarbeitungen durchgeführt? Wann wäre welche Überprüfung als nächstes geplant?

Sie sehen, damit kann man jetzt arbeiten und etwas sinnvolles anfangen, oder?

Wo bekomme ich ein erweitertes Muster für ein solches Verzeichnis von Verarbeitungstätigkeiten her?

Eine schon mal um einige Punkte angepasste Vorlage für ein “aktives” Verzeichnis von Verarbeitungstätigkeiten können Sie am Ende des Beitrags herunterladen. Konstruktives Feedback, Ideen und Anregungen sowie Ergänzungen gerne willkommen.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Jetzt herunterladen!

1057 Downloads

Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen

von Sascha Kuhrau
17. Juni 201924. November 2022
20 Kommentare

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM — technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto “Weniger ist oftmals mehr” haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt “Gemeinsam sind wir stark”, wollen wir da nicht hintenanstehen.

Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.

Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.

Anregungen und Ideen zu Ergänzungen sind gerne willkommen.

Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.

Hier finden Sie noch einige Fragen und Antworten zu dieser Checkliste, die uns im Laufe der Zeit erreicht haben.

Bitte nutzen Sie die aktuelle Version 3.1:

Vorlage TOM Checkliste Technische und Organisatorische Maßnahmen DSGVO

Jetzt herunterladen!

7944 Downloads

Sichere und komfortable Passwort-Verwaltung mit Keepass

von Sascha Kuhrau
30. Mai 20197. Juli 2021
4 Kommentare

Passwörter — zu viele, zu komplex, kaum zu merken

Es gibt zahlreiche Mythen rund um die Themen Passwort und Sicherheit, die sich hartnäckig halten. Und das obwohl allen Akteuren eigentlich klar sein sollte, dass die Ideen dahinter aus dem Bereich Fantasy entstammen, jedoch nicht zur Passwort-Sicherheit beitragen. Anhänger der Theorien “Passwörter müssen immer Sonderzeichen und Zahlen enthalten” und “Passwörter muss man regelmäßig wechseln” lassen sich davon eh nicht abbringen. Die Vernünftigen der Zunft haben die Zeichen der Zeit erkannt und drangsalieren die Nutzer nicht mehr mit diesem Ballast, der konkret beleuchtet eher Unsicherheit statt Sicherheit bringt. Doch hier sollen keine Glaubenskriege ausgefochten werden. Wen es interessiert, hier haben wir weitere Details dazu zusammengetragen:

Fakt ist, unterschiedliche Logins / Accounts sollten auch unterschiedliche Passwörter nutzen. Damit ist sichergestellt, dass ein einzelner kompromittierter Zugang nicht zum Öffnen aller anderen Zugänge genutzt werden kann. Unabhängig von Passwortlänge und Komplexität kommen hier für einen Anwender im Laufe der digitalen Nutzung zig Login-Daten zusammen (PC Anmeldung, Programm Anmeldung, Cloud-Speicher Anmeldung, diverse Accounts bei Online-Shops, PINs und und und). Und alle Zugänge haben ein unterschiedliches Passwort. Wer soll sich das alles merken? Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass.

Keepass — oder das letzte Passwort, dass Sie sich merken müssen

Wenn Sie die Suchmaschine Ihrer Wahl bemühen, werden Sie mit den Suchbegriffen “Passwort Tresor” unzählige Treffer finden. Über die Sinnhaftigkeit vieler Angebote lässt sich trefflich streiten. Es bleibt immer zu hinterfragen, ob Sie Ihre Zugangsdaten einem fremden Dienst / Anbieter anvertrauen (möglicherweise noch aus den USA oder Russland) oder nicht doch lieber Herr über Ihre eigenen Passwörter bleiben wollen. Ein Tool hierzu ist Keepass. Keepass steht für eigentlich alle gängigen Plattformen wie Windows, Linux, MacOS, iOS, Android und andere zur Verfügung. Somit ist sichergestellt, den eigenen Passwort-Tresor auch plattformübergreifend nutzen zu können. Ein Tresor an einer zentralen Stelle erleichtert den Aktualisierungsaufwand enorm. Wir haben unsere Passwort-Tresore beispielsweise in einem Cloud-Speicher abgelegt. Bevor jetzt jemand den Kopf schüttelt, dieser Speicherplatz ist zusätzlich noch mal mit einem separaten und plattformunabhängigen Tool verschlüsselt 🙂

In einem mit einem guten Masterpasswort verschlüsselten Passwort-Tresor mit Keepass haben Sie ab sofort eine zentrale Zugriffsmöglichkeit auf alle Ihre schützenswerten Informationen beginnend mit Login-Informationen (Benutzernamen und Passwörter), aber auch für PIN oder Lizenzschlüssel für gekaufte Software. Die Einsatzzwecke eines solchen Tresors mit Keepass sind sehr umfangreich. Was und wie erfahren Sie in in unserer PDF Anleitung.

Doch jetzt genug geschrieben. Am Ende dieses Beitrags finden Sie eine konkrete Anleitung zur Installation und Nutzung von Keepass sowohl für den geschäftlichen / dienstlichen als auch privaten Einsatz. Gerne dürfen Sie das Dokument intern und extern weitergeben. Wir würden uns freuen, wenn Sie die Hinweise auf unsere Urheberschaft nicht entfernen. Verhindern können und wollen wir das nicht. Was wir aber ungern sehen würden, wäre dieses Dokument im Rahmen von Bezahlangeboten online oder Print wiederzufinden. Fair play!

Kritische Stimme zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schatten. Auch Passwort-Tresore haben Schwächen. Einen sehr empfehlenswerten Beitrag gibt es von Ralph Dombach hier zu lesen:

https://www.security-insider.de/password-manager-nein-danke-a-689795/

Doch hier der Download “Anleitung und Einsatzmöglichenkeiten Keepass”

Sichere Passwortverwaltung mit Keepass

Jetzt herunterladen!

1882 Downloads

Kostenlose Checkliste Multifunktionsgeräte Datenschutz und Informationssicherheit

von Sascha Kuhrau
2. Mai 20197. Juli 2021

Risiko auf dem Flur — Multifunktionsgeräte

Multifunktionsgeräte – eierlegende Wollmichsau und nicht unerhebliches Sicherheitsrisiko. Heutzutage sind diese Geräte aus fast keinem Büro mehr wegzudenken. Egal ob kleinere Geräte direkt am Arbeitsplatz oder wuchtige Standgeräte an zentralen Stellen im Haus. Es wird fleißig gedruckt, gescannt, gefaxt und kopiert. Doch bei all dem Komfort sollten die Sicherheitsaspekte nicht außer Acht gelassen werden. Große Druckaufträge, die noch eine Weile bis zum Abholen im Druckausgang verbleiben; Fehlausdrucke, die im Papierkorb neben dem Gerät entsorgt werden; Faxe, zentral eingegangen und durch verschiedene Hände gegangen, bevor sie den eigentlichen Empfänger erreichen. Das sind nur einige Probleme und Risiken, denen aus Sicht des Datenschutzes und der Informationssicherheit mit geeigneten technischen und organisatorischen Mitteln begegnet werden muss.

Kostenlose Checkliste Datenschutz und Informationssicherheit

Unsere Checkliste soll helfen, vorhandene Schwachstellen zu identifizieren und möglichst zeitnah zu schließen. Auch wenn hier hauptsächlich von Multifunktionsgeräten die Rede ist, so können die Schwachstellen auch bei Einzelfunktionsgeräten vorhanden sein. Prüfen Sie bitte penibel.

Grundlage der Checkliste: BSI IT-Grundschutz 200–2 Baustein SYS 4.1 sowie Orientierungshilfe Fotokopierer der Landesdatenschutzbehörde Freie Hansestadt Bremen.

Wir empfehlen, die Checkliste von dem Fachbereich (oder den Fachbereichen) ausfüllen zu lassen, der oder die für Beschaffung, Konfiguration, Inbetriebnahme und Betreuung während des Betriebs sowie die Außerbetriebnahme zuständig ist bzw. sind. Im Anschluss sollten die Ergebnisse vom Datenschutzbeauftragten (DSB) und / oder Informationssicherheitsbeauftragten (ISB) aufgegriffen werden, um durch Nachjustierung oder Ergänzung geeigneter technischer und organisatorischer Maßnahmen das Risiko für Datenpannen zu mindern bzw. deren Konsequenzen zu begrenzen.

Überprüfung Wirksamkeit technischer und organisatorischer Maßnahmen (TOM)

Je nach Ernsthaftigkeit der Bearbeitung dieser Checkliste kann diese durchaus als ein Nachweis (von vielen) über Prüfung der Wirksamkeit von technischen und organisatorischen Maßnahmen in Ihrer Organisation dienen.

Viel Erfolg bei der Umsetzung wünscht das
Team von a.s.k. Datenschutz

Checkliste Sicherheit Datenschutz Multifunktionsgeräte 2019 V1_0_quer Webversion

Jetzt herunterladen!

956 Downloads

Die DSGVO Schonfrist ist vorbei — Aufsichtsbehörden machen ernst

von Sascha Kuhrau
27. November 2018

Seit Mai 2018 ist die EU Datenschutz-Grundverordnung (DSGVO) wirksam, nachdem sie bereits Mai 2016 in Kraft getreten ist. Zeit bestand ausreichend, sich auf die Neuerungen vorzubereiten. Die eine oder andere Organisation hat die Gelegenheit genutzt, bestehende Lücken in der eigenen Datenschutz-Organisation zu schließen. In den letzten Monaten haben wir öfter mal den Satz gehört „Woher soll ich wissen, was da im Datenschutz zu tun ist?“. Hier gilt eine Holschuld durch die Organisationsleitung getreu dem Motto „Unwissenheit schützt vor Strafe nicht“. Für die Einhaltung gesetzlicher Vorschriften ist die Leitung zuständig und verantwortlich. Für Geschäftsführer gilt hier § 130 Gesetz über Ordnungswidrigkeiten (OWiG) mit der treffenden Bezeichnung “Verletzung der Aufsichtspflicht in Betrieben und Unternehmen“. Ähnliche Verpflichtungen für Behörden trifft sogar unser Grundgesetz.

Die DSGVO-Schonzeit ist vorbei

Die meisten Landesdatenschutzbehörden haben jedoch in den letzten Monaten ein Auge zugedrückt und eine im Gesetz nicht vorgesehene freiwillige Karenzzeit eingeschoben. In diesem Zeitraum sollten Organisationen die Gelegenheit letztmalig nutzen, die rechtlichen Verpflichtungen aus der DSGVO in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG) für Unternehmen und den Landesdatenschutzgesetzen für Landesbehörden und kommunale Einrichtungen umzusetzen. Diese Schonzeit ist nun vorbei!

Es wird ernst — aber Bußgelder sind nicht das eigentliche Problem

Ende Oktober wurde ein erstes Bußgeld gegen ein portugiesisches Krankenhaus verhängt. 400.000 Euro für den laxen Umgang mit Patientendaten. Das ist erst mal ein Brocken. Weitere Bußgelder und verstärkt Sanktionen in Form von Auflagen haben jetzt auch die deutschen Landesdatenschutzbehörden angekündigt. In den nächsten Wochen wird in der Presse davon zu lesen und zu hören sein. Glücklicherweise gilt es für die Aufsichtsbehörden nach wie vor, bei der Bemessung von Bußgeldern Angemessenheit und Verhältnismäßigkeit zu wahren. Die in der Presse oder auch in Beratungsangeboten gerne zitierten 10 bis 20 Millionen Euro (bzw. 2–4% des weltweiteren Konzernumsatzes im Vorjahr) sind natürlich im Gesetz so vorgesehen. In der unreflektierten Kommunikation sind diese Zahlen jedoch reine Panikmache. Kleine und mittelständische Betriebe werden sich mit solchen Summen sicher nicht konfrontiert sehen. Das heißt aber nicht, sich weiter zurücklehnen und das Thema aussitzen zu können.

Denn abgesehen von Bußgeldern und Sanktionen, geht schnell mit Datenschutzverstößen auch ein Imageschaden einher. Auch Schadenersatz ist im Datenschutz möglich. Grund genug, zumindest ein paar „Basics“ in der eigenen Organisation umzusetzen.

Hier ein paar Tipps und Hinweise zur Umsetzung der DSGVO Anforderungen:

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Ihre Organisation wird im Zweifel mit einer Vielfalt und Vielzahl an personenbezogenen Daten von Mitarbeitern, Kunden, Bürgern, Interessenten, Geschäftspartnern etc. umgehen. Aus diesem Grund trifft eigentlich (fast) jede Organisation die Pflicht, ein sog. Verzeichnis der Verarbeitungstätigkeiten zu führen. Dabei handelt es sich um detaillierte Übersichten, wo und wie und in welchen sog. „Verfahren“ (nicht immer identisch mit Programmen) Ihre Organisation personenbezogene Daten verarbeitet. Das VVT ist Grundlage für weitere Datenschutz-Tätigkeiten und elementarer Bestandteil Ihrer Rechenschaftspflicht, die rechtlichen Datenschutz-Anforderungen in Ihrer Organisation umgesetzt zu haben

2. Rechte der Kundschaft sicherstellen

Im Rahmen der DSGVO haben sich die Rechte der sog. Betroffenen weiter verbessert. So kann jede Person von Unternehmen und Behörden sehr umfänglich Auskunft über die gespeicherten und verarbeiteten Daten verlangen. Neben der reinen Auskunft ist eine sog. „Datenkopie“, sowohl von vorhandenen analogen als auch digitalen Daten in geeigneter Form mitzuliefern. Wenn Sie keine Übersicht haben, wo und wie welche personenbezogenen Daten in Ihrer Organisation gespeichert sind, wird es schwerfallen, diesem ausführlichen Anspruch ohne Fehler und / oder Beanstandung gerecht zu werden.
Weiterhin sind personenbezogene Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist umgehend zu löschen. Peinlich, wenn Sie im Rahmen der Auskunft Informationen herausgeben, die schon längt hätten gelöscht sein müssen.

3. Informationspflichten

Jede Organisation muss Betroffene bei direkter und indirekter Erhebung über die Verarbeitung der personenbezogenen Daten aufklären (Art. 13+14 DSGVO). Diese Pflichtangaben sind recht umfangreich und müssen leicht zugänglich sein. Hier gilt es, diese Pflichtangaben für die Verarbeitungen in der Organisation zusammenzustellen und dann z.B. über Webseite, Aushänge, Hinweise auf die Angaben auf der Webseite an die Betroffenen zu kommunizieren. Bitte verwechseln Sie das nicht mit der Datenschutzerklärung auf Ihrer Webseite. Das ist ein ganz anderes Thema.
Da das Vorhandensein und Durchführen der Informationspflichten mit einem Blick auf die Webseite oder einem einfachen Anruf bei Ihnen sofort festgestellt werden kann, sind fehlende Umsetzungen schnell festzustellen.

4. Einwilligungen

Wenn Sie personenbezogene Daten zur Durchführung eines Vertrages oder aufgrund einer Rechtsvorschrift erheben, benötigen Sie keine Einwilligung (das wird auch nicht wahrer, wenn viele Medien das Gegenteil behaupten). In vielen anderen Fällen (Email-Werbung, Telefon-Werbung etc.) ist eine Einwilligung unerläßlich. Einwilligungen müssen aktiv, freiwillig, transparent und ausführlich sowie mit Hinweis auf die Widerrufsmöglichkeit erteilt werden. Prüfen Sie Ihre Einwilligungen, ob diese den Anforderungen entsprechen.

5. Werbung

Briefwerbung (also wirklich klassische Post) ist nach der DSGVO im Einklang mit dem UWG (Gesetz gegen den unlauteren Wettbewerb) ohne Einwilligung möglich. Für Email-Werbung gilt dies nur für Bestandskunden. Dabei darf aber der vorgeschriebene Hinweis auf die jederzeitige Widerrufsmöglichkeit nicht vergessen werden. Alle anderen Daten dürfen nur mit gültiger Einwilligung (siehe 4) für Werbezwecke genutzt werden.

6. Sicherheit der Datenverarbeitung

Ungeschützte Datenspeicherung, unverschlüsselte Datenübertragung, Endgeräte (PC, Laptops, Tablet und Smartphone) ohne Passwortschutz, unzureichende oder nicht dem Stand der Technik entsprechende Datensicherungen sind Geschichte. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicherheit einen heftigen Riegel vor. Zukünftig muss nicht der Betroffene im Schadenfall nachweisen, dass Ihre Organisation keine ausreichenden Schutzmaßnahmen für dessen personenbezogene Daten ergriffen hat. Stattdessen ist Ihre Organisation beweispflichtig, das alles Mach- und Zumutbare an Sicherheitsmaßnahmen eingeführt und regelmäßig auf Funktionsfähigkeit geprüft wurde.

7. Meldepflicht von Datenpannen

Verbummelte Papierunterlagen, verlorene technischen Geräte, fehlerhafter Versand (Post / Email), mit Schadcode befallene IT-Systeme und viele Anlässe mehr führen schnell zu einer meldepflichtigen Datenpanne, wenn personenbezogene Daten im Spiel sind. Diese Datenpannen sind allesamt intern zu dokumentieren und auf Risiko für den Betroffenen zu bewerten. Liegt ein Risiko für Betroffene vor, gilt es die Datenpanne innerhalb von 72h an die zuständige Aufsichtsbehörde online zu melden. Bei besonders hohem Risiko müssen zusätzlich die Betroffenen durch Sie informiert werden. Schauen Sie auf die Webseite Ihrer Landesdatenschutzbehörde mit dem dazugehörigen Meldeformular. Sie werden staunen, wie schnell und umfangreich eine solche Meldung getätigt werden muss. Ohne interne Prozesse zur Erkennung, Bewertung und Meldung sind die Anforderungen nicht zu erfüllen. Damit ist nicht zu spaßen. Und nach der Datenpanne nicht die Nachbearbeitung vergessen: Was ist zu tun, damit sich diese Art der Datenpanne möglichst nicht wiederholt.

8. Datenschutzbeauftragter / DSB

Sobald mehr als 9 Mitarbeiter regelmäßig personenbezogene Daten von Kunden und / oder Mitarbeitern verarbeiten, muss Ihre Organisation einen Datenschutzbeauftragten bestellen. Öffentliche Stellen unterliegen einer generellen Bestellpflicht, ganz unabhängig von der Mitarbeiteranzahl. Die Ausführung dieser Bestellpflicht kann die Aufsichtsbehörde seit Mai 2018 ganz einfach überprüfen. Denn Ihre Organisation muss den Datenschutzbeauftragten offiziell bei der Aufsichtsbehörde mit Name und Kontaktdaten melden. Ein Abgleich bringt schnell zutage, welche Einrichtung wohl der Bestellpflicht unterliegt, aber keine Meldung vorgenommen hat. Zusätzlich müssen Sie Ihren Datenschutzbeauftragten offiziell im Rahmen der Datenschutzerklärung auf Ihrer Webseite mit Kontaktdaten benennen. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit. Dieser hilft Ihnen übrigens auch sofort bei der Umsetzung der 7 anderen Punkte aus dieser Liste — und bei vielen weiteren Datenschutz-Themen, die Ihre Organisation umgesetzt haben muss.

Viel Erfolg!

PS: Die Punkte 1–8 sind einer Informationsbroschüre des Bayerischen Landesamts für Datenschutzaufsicht entnommen. Unser Artikel stellt keine Rechtsberatung dar.

WordPress und die DSGVO — Zusammenstellung für Umzug und Konfiguration

Panikmache mit der DSGVO

Leider häufen sich die letzten Monate wieder die Panikmacher nach dem Motto “Die DSGVO kostet Sie Ihre Existenz, außer Sie kaufen unsere Dienstleistungen, Vorlagen, Bücher .….”. Webseitenbetreiber (egal ob mit WordPress oder anderen CMS erstellt) sind extrem verunsichert, was die DSGVO für sie bereithält.

Das ist in weiten Teilen absoluter Quatsch und in unseren Augen unseriöse Geschäftemacherei. Sicherlich bringt die Datenschutzgrundverordnung (DSGVO) einiges an Veränderungen und Neuerungen mit sich. Aber die Grundzüge des Datenschutzrechts sind gleich geblieben. Wer also bisher schon im Anwendungsraum des BDSG oder der Landesdatenschutzgesetze rechtskonform gearbeitet hat, nimmt noch einige Anpassungen und Ergänzungen an seinem Webauftritt vor und das war es. Das mag unbequem sein, aber welches Recht ist das nicht. Wen das Datenschutzrecht bisher nicht gekümmert hat, ok, der hat jetzt einiges an Arbeit vor der Brust.

Das DSGVO-Blog-Sterben

In zahlreichen Medien werden Schließungen von Blogs angekündigt. Teilweise privat betriebene Blogs, teilweise solche mit kommerzieller Nutzung. Schuld daran, sei die DSGVO. Schaut man genauer hin, sind es jedoch oft Blog-Funktionen, die bereits im alten Datenschutzrecht nicht korrekt umgesetzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Problemen führen.

Doch der Aufwand, einen privaten Blog oder mittels des Blogs dargestellte gewerbliche Webseiten im Sinne der DSGVO sauber aufzusetzen und zu betreiben, ist überschaubar. Erst recht kein Grund, jahrelang gepflegte Diskussion und Information online einzustellen und zu beenden. Die teilweise privat und mit viel Liebe geführten Blogs sind Bestandteil unserer Medien- und Diskussionskultur und gehören daher bewahrt.

Wir wollten nun keinen neuen Beitrag schreiben, wie man z.B. mit WordPress betriebene Webseiten DSGVO-konform macht. Dazu gibt es diverse Beiträge zu Einzelaspekten im Web zuhauf. Aber wir haben uns mal hingesetzt (obwohl auch uns und unsere Kunden der DSGVO Schuh noch etwas drückt bis zum 25.05.18) und die uns als Anleitung geeignet erscheinenden Tipps und Anleitungen hier zusammengestellt. Da zahlreiche unserer Kunden WordPress einsetzen, können diese mittels dieser Tipps auch gleich weiter am rechtskonformen Webauftritt arbeiten.

Wir wissen auch, dieser Beitrag wird den Technikversierten zu oberflächlich sein, den weniger Technikaffinen vielleicht schon zu speziell. Sehen Sie es als Hilfestellung und Anregung. Mehr nicht.

DSGVO-konformes Hosting von WordPress

Das Angebot ist bequem, Registrierung, 2 Mausklicks und schon steht die erste eigene WordPress-Webseite im Netz, zumeist direkt bei wordpress.com. Um den Datenzugriff des Anbieters zu unterbinden oder zumindest einzuschränken, sollte man jedoch die WordPress-Installation selbst hosten und betreiben.

Die meisten Anbieter haben sehr gute Domain-Pakete mit Ein-Klick-Installationen. Wirklich gute Anbieter haben dann neben einem schnellen und professionellem Service bereits eine auf die DSGVO angepasste Vorlage für die Vereinbarung der Auftragsverarbeitung und die Prüfung der technischen und organisatorischen Maßnahmen (kurz TOM) parat und man muss erst gar nicht groß nachfragen oder sich durch Hotlines quälen. Wir für unsere beiden Blogs (und zahlreiche unserer kleineren Kunden) nutzen seit Jahren die Neue Medien Münnich als Hoster, kurz und knapp als ALL-INKL bekannt.

Im Rahmen der Domain-Pakete kann mit wenigen Klicks ein eigenes WordPress auf Ihrem Webspace installiert und eingerichtet werden. SSL-Zertifikat von Let’s Encrypt kostenlos mit dabei zwecks verschlüsselter Kommunikation auf und mit Ihrer Webseite (ist ja nicht erst mit der DSGVO Pflicht!)

Wenn Sie schon über eine WordPress-Webseite verfügen und nun umziehen wollen, gibt es hier eine tolle Anleitung, wie das funktioniert:

Von WordPress.com auf eigenen Webspace umziehen

Nicht datenschutzkonforme Plugins vermeiden

In einer sauberen Neu-Installation (und / oder dem importierten Webauftritt aus dem Punkt zuvor) gilt es nun, geschwätzige (und damit meist nicht DSGVO-konforme) Plugins zu vermeiden oder vorhandene zu identifizieren und auszutauschen.

Eine gute Übersicht über DSGVO-konforme Plugins oder Alternativen zu vorhandenen, weniger geeigneten Plugins hat BLOGMOJO in einem tollen Beitrag zusammengestellt:

120+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

Webtracking? Weg damit!

Wenn Sie Webtracking-Funktionen auf Ihrer Webseite eingebunden haben, diese aber nicht regelmäßig auswerten und für Überarbeitungen Ihrer Seite nutzen, dann ist das Webtracking entbehrlich. Gerade wenn Sie Ihre Webseite privat und mit Kommentarfunktion betreiben, dann sehen Sie auch an anderer Stelle, was bei den Besuchern ankommt und was nicht. Die aktuelle Diskussion um Webtracking im Rahmen der DSGVO hat teilweise schon paranoide Züge angenommen. Der einfachste Weg ist daher, diese Tools erst gar nicht einzusetzen, wenn Sie diese nicht aktiv nutzen oder zur Steigerung Ihrer Besucherzahlen im kommerziellen Umfeld benötigen. Wenn Sie einen sinnvollen Nutzen aus dem Webtracking ziehen, empfiehlt sich der folgende Beitrag:

Darstellung der Tracking-Problematik im Kontext der DSGVO von datenschutzbeauftragter-info.de

Webtracking geht mehr oder weniger datenschutzfreundlich. Eine Empfehlung ist auf jeden Fall ein Tool wie Matomo (ehemals Piwik). Dies können Sie direkt selbst auf Ihrem Webspace installieren und haben nicht die Problematik, dass IP-Adressen (und somit personenbezogene Daten) an einen Dritten übertragen werden. Matomo können Sie bei den Paketen guter Provider übrigens auch direkt im Backend mit einem Klick auf Ihrem Webspace installieren lassen. Wie dann die Konfiguration und Einbindung auf der Webseite aussehen kann (inklusive Hinweis in der Datenschutzerklärung) lesen Sie beispielsweise hier

Handlungsanleitung: Matomo (ehemals Piwik) nach DSGVO richtig einbinden

Und jetzt das Sperrigste: Die Datenschutzerklärung

Wenn Sie Ihre Webseite neu aufgesetzt haben, dann kennen Sie bereits die Funktionen auf Ihrer Webseite, mit denen darauf personenbezogene Daten verarbeitet werden. Alte Bekannte sind Kontaktformulare, Newsletter, Login-/Registrierungsbereiche, Webtracking, Stellenangebote und viele mehr. Diese Verarbeitungen gilt es jetzt, im Rahmen der Datenschutzerklärung (auch nix Neues!) den Besuchern transparent zu machen. Die Anforderungen an eine Datenschutzerklärung sind recht umfassend und würden einen eigenen Beitrag nötig machen. Doch es gibt Hilfe im Netz:

Einen pragmatischen Ansatz hat dazu datenschutzbeauftragter-info.de in diesem Beitrag vorgestellt — Datenschutzerklärungen nach der DSGVO – Tipps zur Umsetzung.

Als Grundlage für eine solide Datenschutzerklärung kann das Muster des itm der Universität Münster genutzt werden. Wenn Sie dieses konzentriert überarbeiten und anpassen, dann ist schon viel gewonnen.

Und ist WordPress generell DSGVO-konform?

Selbst wenn Sie WordPress auf Ihrem eigenen Webspace hosten, ist Worpress im Moment noch nicht ganz konform mit der Datenschutzgrundverordnung. Einige interne Funktionen müssen aktuell noch mit Plugins angepasst werden, um Datenschutz-Konformität zu erreichen (das galt allerdings auch schon vor der DSGVO).

WordPress selbst hat reagiert und eine Version 4.9.6 für den 15.05.2018 angekündigt, in der Teile dieser Anforderungen dann direkt in WordPress integriert werden.

WordPress 4.9.6 bringt Erweiterungen für die DSGVO

Den sicheren Betrieb der Webseite garantieren

Eine der Anforderungen aus dem Datenschutzrecht ist, nicht nur zu Beginn, sondern auch im laufenden Betrieb die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Das bedeutet, mit der reinen Installation und erstmaligen Anpassung von WordPress ist es nicht getan. Das kostet Zeit und Mühe im laufenden Betrieb. Hier hilft es jedoch nicht, auf die ach so böse DSGVO zu schimpfen. Denn diese Anforderung gab es zuvor auch schon im Rahmen der sog. technischen und organisatorischen Maßnahmen.

Von daher sollte es selbstverständlich sein, eine Installation von WordPress und der genutzten Plugins aktuell zu halten. Dazu loggt man sich regelmäßig in das Backend von WordPress ein und öffnet das Untermenü “Aktualisierungen” unter dem Punkt “Dashboard”. Meist wird dort schon mit einer roten Zahl signalisiert, wieviele Aktualisierungen für WordPress, genutzte Plugins und Themes zu installieren sind. Vorher aber bitte ein Backup anlegen 🙂 Das geht ganz gut mittels des Plugins BackWpUp https://de.wordpress.org/plugins/backwpup/, es gibt aber auch andere Tools für die weniger technikaffinen Betreiber einer Webseite mit WordPress.

Updates lassen sich auch automatisieren für alles oder auf bestimmte Elemente eingrenzen. Solche Funktionen sind jedoch mit Vorsicht zu genießen. Dabei kann es auch durchaus zu Problemen kommen, gerade wenn fehlerbehaftete Updates von Plugins oder Themes eingespielt werden. Von daher vielleicht nur auf die reinen WordPress-CMS-Updates beschränken.

Updates sind das eine, Sicherheitslücken das andere Problem. Lücken können innerhalb von WordPress selbst, durch Plugins, aber auch durch den Webserver darunter entstehen. Eine gute Möglichkeit, den eigenen Webauftritt regelmäßig auch Schwachstellen zu prüfen (bzw. prüfen zu lassen), ist die Initiative SIWECOS. Nach Registrierung eines Nutzers und der zu prüfenden Webseite erhält man zeitnah einen Sicherheitsbericht über den eigenen Webauftritt. Die darin beschriebenen Probleme lassen sich jedoch selten selbst lösen, wenn man kein Spezialist dafür ist. Hier sollten Sie professionelle Hilfe zu Rate ziehen. Bei Problemen, die auf Seiten des Webservers angezeigt werden, hilft es, den Provider Ihres Webspaces mit den Ergebnissen zu konfrontieren. Für Ihre eigene WordPress-Installation holen Sie sich bitte geeigneten qualifizierten Rat.

Für gewerbliche Webseiten ist der Aufwand in all den dargestellten Punkten natürlich deutlich höher. Je größer und funktionsumfangreicher Ihr Webauftritt ist, umso mehr müssen Sie auch die Nutzung spezialisierter Hoster oder gleich die Vergabe der ganzen Webseite an einen kompetenten Fachmann in Betracht ziehen. Da springen die hier genannten und zusammengefassten Maßnahmen zu kurz. Nichtsdestotrotz sind wir der Meinung, der Hype um die ach so böse DSGVO in Verbindung mit Webseiten wird hier künstlich gepusht. Die Anforderungen waren auch zuvor schon recht hoch. Und zu meistern sind die auf jeden Fall, im Zweifel mit externer Unterstützung.

Weitere Ratgeber zum Thema WordPress und DSGVO im Netz

“Wordpress und die DSGVO” von WP Ninjas

Guide von Sandra Messer “DSGVO — mach Deine WordPress Webseite rechtssicher”

Ausführliche Beschreibung inklusive der weiteren Anforderungen aus der DSGVO von Johannes Kübler

Aktualisierung dieses Beitrags

Wer Anregungen oder Tipps für weitere Links hat, bitte immer her damit. Wäre doch gelacht, wenn wir einige Verzagte nicht dabei unterstützen können, ihren Blog oder ihre Webseite weiter zu betreiben.

Kleiner Hinweis zum Schluss: Dieser Beitrag stellt keine Rechtsberatung dar. Im Zweifel holen Sie sich Rat zum zugelassenen Fachmann, sprich einem Anwalt. Gerade in der Überprüfung der Datenschutzerklärung eine gute Investition.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld — Augen auf beim Direktmarketing

von Sascha Kuhrau
21. August 2017
2 Kommentare

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor‑, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

Die Auftragsverarbeitung — Besonderheiten des Datenschutzrechts beim Outsourcing

von Sascha Kuhrau
3. März 20168. Dezember 2020

Um was geht es bei Auftragsverarbeitung (früher Auftragsdatenverarbeitung)?

Ein sperriger Begriff für einen einfachen Sachverhalt. Auftragsverarbeitung meint das klassische Outsourcing an einen externen Dienstleister. Nur sind in diesem speziellen Fall personenbezogene Daten betroffen. Für diesen Fall hat die DSGVO den Artikel 28 BDSG “Auftragsverarbeiter” vorgesehen.

Um ein möglichst hohes Schutzniveau zu gewährleisten und das Risiko von Datenpannen bei der Auslagerung auf Subunternehmer zu minimieren, sieht Artikel 28 DSGVO einige Auflagen vor. Um die Bedeutung und Ernsthaftigkeit des Themas zu unterstreichen, stehen auf eine fehlende oder fehlerhafte Umsetzung empfindliche Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am einfachsten läßt sich das an konkreten Beispielen erklären. Von einer Auftragsverarbeitung spricht man im Falle

der Nutzung einer Mailingagentur oder eines Lettershops zum Erstellen und Versand von Anschreiben, die an natürliche Personen gerichtet sind oder
der Durchführung der monatlichen Gehaltsabrechnung durch eine externe Lohn- und Gehaltsabrechnungstelle (nicht Steuerberater) oder
des Einsatzes einer extern gehosteten Software zur Verwaltung und zum Versand von Newslettern oder
der Beauftragung eines externen Callcenter oder Office-Services oder
dem teilweisen oder vollständigen Auslagern des Rechenzentrums oder
Software as a Service / Cloud-Lösungen oder
in vielen ähnlichen vergleichbaren Fällen — fragen Sie Ihren Datenschutzbeauftragten oder gleich uns.

Darunter fallen aber auch Leistungen wie Wartung / Konfiguration / Installation von Hard- und Software ebenfalls unter die Anwendung von Art. 28 DSGVO und sind entsprechend zu regeln. Dabei ist es unerheblich, ob Ihr Dienstleister das auch so sieht. Sie als Auftraggeber sind verantwortlich und zahlen am Ende auch das Bußgeld.

Was ist bei einer Auftragsverarbeitung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusammenarbeit muss ein Dienstleister auf sein Schutzniveau hin geprüft und mit der passenden Vereinbarung zur Auftragsdatenverarbeitung schriftlich vereinbart sein. Sollten Sie mit dem Dienstleister bereits zusammenarbeiten, dann ist schnelles Handeln angebracht.

Schritt 2: Prüfen

Sind alle externen Dienstleister, die unter Art. 28 DGSVO fallen, identifiziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vorhandene Schutzniveau des Dienstleisters zu prüfen. Die sogenannten technischen und organisatorischen Maßnahmen müssen aktuell und dem notwendigen Schutzbedarf für die betroffenen Daten entsprechen. Bei Lücken sind diese durch den Dienstleister zu schließen oder bei Bedarf ein alternativer Dienstleister auszuwählen. Die Prüfung sowie dessen Ergebnis sind zu dokumentieren, damit diese später belegt werden können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betroffenen Dienstleister sollten nun bekannt sein. Das Schutzniveau ist geprüft und ausreichend vorhanden. Nun kommt Schritt 3 der Auftragsverarbeitung: die schriftliche Vereinbarung.Hier kann viel falsch gemacht werden. Übersehen Sie einen Regelungspunkt, den die DSGVO vorsieht, spricht man von einer fehlerhaften Auftragsverarbeitung. Diese ist mit einem Bußgeld risikobehaftet. Auch die Nutzung der zahlreichen im Internet auffindbaren Vorlagen zur Auftragsverarbeitung können davor nicht bewahren. Viele dieser Vorlagen sind leider immer noch veraltet, unvollständig oder mit Vorschriften versehen, die gegen andere Rechte / Gesetze verstoßen.

Schritt 4: Nachprüfen

Identifikation der Dienstleister vollständig. Prüfen des Schutzniveaus erfolgt und dokumentiert. Notwendige Vereinbarung schriftlich mit dem Dienstleister geschlossen.

Falsch liegt, wer meint, der Vorgang sei nun abgeschlossen. In regelmäßigen Abständen müssen Sie sich jetzt von dem Erhalt oder der Verbesserung des Schutzniveaus Ihres Dienstleisters überzeugen. Die Prüfung muss ebenfalls wieder nachvollziehbar und belegbar dokumentiert werden.

Schritt 5: Überlegen, ob Sie sich das wirklich alles selbst antun wollen

Wenn Sie sich weder mit den Risiken noch dem Zeitaufwand für das Thema Auftragsverarbeitung auseinandersetzen wollen, dann lassen Sie uns das übernehmen. Wie das geht? Ganz einfach — sprechen Sie uns an und wir informieren Sie unverbindlich über unsere Dienstleistungen rund um die Auftragsverarbeitung.

Neuer a.s.k. Webauftritt zu Informationssicherheit, ISMS und IT-Sicherheit online

von Sascha Kuhrau
11. Februar 2016

Unsere Leser haben in der Vergangenheit häufiger bemängelt, wir würden die Themen Datenschutz und Informationssicherheit auf diesem Fachblog zu sehr miteinander vermischen. Wir haben dies zum Anlass genommen, unseren Webauftritt auf den Prüfstand zu stellen. Zukünftig werden wir die Themen Informationssicherheit, Information Security Management Systems (Managament-Systeme für Informationssicherheit, kurz ISMS), BSI IT-Grundschutz, ISIS12, IT-Notfallmanagement sowie Berichte zur aktuellen Bedrohungslage auf einer weiteren Webseite von a.s.k. Datenschutz samt News-Blog präsentieren. Dadurch können wir Ihnen unsere Dienstleistungen aus den Bereichen Datenschutz und Informationssicherheit deutlich besser themenbezogen präsentieren und darstellen. Die Trennung zu den reinen Datenschutz-Themen sollte dadurch auch für Sie als Leser einfacher werden.

Auf diesem Fachblog Datenschutz werden wir uns weiterhin mit dem Thema Datenschutz und den kommenden Auswirkungen der EU Datenschutz-Grundverordnung beschäftigen. Selbstverständlich erhalten Sie hier auch weiterhin Tipps und Tricks aus dem Alltag oder auch Veranstaltungshinweise. Und über akute Bedrohungslagen werden wir Sie auch zukünftig hier auf diesem Blog informieren, mit Verweis auf den Hauptartikel unserer zweiten Themenseite.

Sie erreichen diese über den Link https://www.informationssicherheit-aktuell.de oder wie gewohnt über https://www.ask-datenschutz.de.

Safe Harbor 2.0 — Wunsch oder Wirklichkeit

von Sascha Kuhrau
8. Januar 2016

Was ist mit Safe Harbor 1.0 passiert?

Am 06.10.2015 hat für einige der größte Durchbruch der letzten Jahrzehnte im Datenschutz stattgefunden und für andere endlich die langjährige bewußte Selbsttäuschung ein Ende gefunden. Die Rede ist vom sogenannten Safe Harbor Urteil des Europäischen Gerichtshofs. Vollkommen zu Recht hat der EuGH dieses Zulässigkeitsverfahren für Datenübermittlungen in die USA in Frage gestellt und am Ende für nichtig erklärt. Wer sich mit den Hintergründen befasst hat, ist davon wenig überrascht.
Was jedoch in der Praxis in den ersten Wochen der Unsicherheit nach diesem Urteil nun stattfand, war teilweise purer marktschreierischer Aktionismus gepaart mit einer gehörigen Portion Weltfremdheit.

06.10.2015 Das Safe Harbor Urteil des Europäischen Gerichtshofs

Jede Datenübermittlung benötigt eine rechtliche Grundlage zur Zulässigkeit. Dies schreiben unsere deutschen und europäischen Datenschutzgesetze so vor. Zur vereinfachten Legitimation von Übermittlungen personenbezogener Daten in die USA durch europäische Unternehmen wurde vor 15 Jahren (also auch lange vor dem NSA Skandal) Safe Harbor ins Leben gerufen. Der “sichere Hafen” definierte Richtlinien zum Datenschutz und zur Datensicherheit, unter denen die Übermittlung personenbezogene Daten in die USA als zulässig eingestuft wurde. Amerikanische Anbieter konnten sich diesen Richtlinien unterwerfen und an zentraler Stelle dies dokumentieren lassen. Eine Überprüfung, ob die geforderten Standards wirklich in die Tat umgesetzt waren, fand nicht statt. Alleine schon deswegen stand dieses Verfahren von Anfang an unter Beschuss seitens Vertretern des Datenschutzes.

Zusätzlich bot Safe Harbor keinen Schutz vor US-geheimdienstlichen Zugriffen auf Daten deutscher / europäischer Bürger, selbst wenn deren Daten in europäischen Rechenzentren dieser amerikanischen Unternehmen gespeichert waren.

Diesem Umstand trug der EuGH in seinem Urteil vom 06.10.2015 Rechnung und hat Safe Harbor für unzulässig erklärt. In der Urteilsbegründung wurde weiterhin die Autonomie der Datenschutzbehörden der Mitgliedsländer in dieser Sache bekräftigt. Und ab hier wird es bunt …

Die Bundesbeauftragte für Datenschutz und Informationssicherheit spricht von einem “Meilenstein für den Datenschutz”.

Das ULD postulierte “Das ULD wird prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.”

Recht blauäugig reagiert hingegen die EU Kommission, die für das bisherige Safe Harbor Verfahren verantwortlich zeichnet. Das Urteil wird als “Weiter so” betrachtet, in Form von Neuverhandlungen zu Safe Harbor. Bis diese nicht abgeschlossen sind, wäre kein Grund zum Handeln laut der Kommission.

Doch es gibt auch Erfreuliches zu berichten

Die Artikel 29 Gruppe (der Zusammenschluss der EU Datenschutzbeauftragten) zeigt hier etwas mehr Augenmaß. Sie sieht die Notwendigkeit einer gemeinsamem Linie in der weiteren Vorgehensweise. Bis dahin sollen zumindest die EU standard clauses für Rechtssicherheit bei den Unternehmen auf beiden Seiten des Atlantiks sorgen. Diese wurden vom EuGH nicht für unzulässig erklärt, obwohl sich die Kritik an Safe Harbor auch auf die clauses anwenden lässt.

Vera Jourova, EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, äußerte sich vor kurzem in einer österreichischen Tageszeitung zuversichtlich, ein neues Safe Harbor Abkommen mit den USA schon bald abschließen zu können. Bei dem Nachfolger von Safe Harbor dürfte es sich tatsächlich um ein Abkommen handeln, nicht um eine einseitige Entscheidung der Kommission (mit einer der Kritikpunkte an der früheren Regelung).

„Idealerweise sollten wir uns über alle Streitfragen bis Mitte Jänner 2016 einigen“, so Vera Jourava im Interview. Das mag optimistisch klingen, aber der Druck auf beiden Seiten des Atlantiks ist enorm. Unternehmen in den USA und ihre Vertragspartner auf Seiten der EU müssen sich plötzlich mit den EU-Standardvertragsklauseln beschäftigen. Und auch diese stellen schlimmstenfalls nur eine Interimslösung dar.

Bis hierüber Klarheit herrscht, sollten bisherige Vereinbarungen zur Datenübermittlung, die sich ausschließlich auf Safe Harbor beziehen, auf die EU-Standardvertragsklauseln umgestellt werden. Die Erfahrungen der letzten Wochen zeigen, dass amerikanische Anbieter hier konstruktiv mitarbeiten und die Umstellung unterstützen. Ende Januar 2016 wird man sehen, was die Zukunft bringt. Die Zeit sollte man jedoch nicht ungenutzt verstreichen lassen. Denn rechtlich sind unsere deutschen Landesdatenschutzbehörden durchaus in der Lage, den “Stecker zu ziehen”.

Microsoft führt zur Zeit einen Musterprozess in den USA (2nd U.S. Circuit Court of Appeals, No. 14–2985). Das Unternehmen will die Herausgabe von personenbezogenen Daten an US-Behörden verhindern, die auf europäischen Servern gespeichert sind. Geht dieses Urteil zugunsten von Microsoft aus, wäre das ein wirklicher Paukenschlag. Im anderen Fall wird eine ganze Branche mit Giganten wie Microsoft, Apple, Google, Facebook & Co. schwer zu kämpfen haben. Das Wall Street Journal berichtet noch am Tag des Urteils über die Bemühungen amerikanischer Unternehmen, die personenbezogenen Daten europäischer und deutscher Bürger dem Zugriff der US-Behörden zu entziehen.

Was können Sie tun?

Trotz der Panikmache seitens der deutschen Landesdatenschutzbehörden hilft purer Aktionismus nicht weiter. Auch wenn sich deutsche und europäische Anbieter nun die Hände reiben, sie müssen sich an Leistung und Preis der transatlantischen Konkurrenz messen lassen. Und selbst den Datenschutzbehörden sollte klar sein, dass die Migration eines langjährig genutzten CRM Systems oder anderer elementarer Bausteine nicht auf Knopfdruck erfolgen kann, selbst wenn ein alternativer Anbieter gefunden wurde.

Umschauen schadet nicht: Ob und wie eine Ersatzregelung für Safe Harbor gefunden werden kann, steht zur Zeit in den Sternen. Wer also personenbezogene Daten zu US-amerikanischen Anbietern überträgt und / oder deren Services nutzt, sollte zumindest den europäischen und deutschen Markt nach geeigneten möglichen Alternativen sondieren.
Ausweichen auf die EU standard clauses: Noch sind diese nicht per Urteil außer Kraft gesetzt und können daher bis auf weiteres aus Sicht der Art.29-Gruppe als Legitimationsersatz dienen. Gerade Nutzer der Microsoft Cloudservices haben es hier relativ einfach, hat das Unternehmen doch mit seinen Regelungen den Segen der Art.29-Gruppe erhalten. Die Dokumente für die Microsoft Services finden Sie hier.
Einwilligung der Betroffenen statt vertraglicher Regelungen mit den US-Unternehmen: Hier scheiden sich die Geister. Während beispielsweise der ehemalige Bundesdatenschutzbeauftragte Peter Schaar als einer von vielen eine sauber für diesen Zweck formulierte und eingeholte Einwilligung samt ausführlicher Information über die Risiken der Datenübermittlung in die USA oder an US-Unternehmen für zulässig hält, sehen das einige Landesdatenschutzbeauftragte anders. In deren Augen kann die Einwilligung — als eigentlich stärkstes Zulässigkeitsinstrument — dies nicht leisten.
Kühlen Kopf bewahren: Bei aller Panikmache seitens der Schutzbehörden sollte das Thema nun ruhig und konzentriert angegangen werden. Beide Seiten des Atlantiks sind hier aufeinander angewiesen, gerade auch wirtschaftlich. Ganze Branchen können hier nicht wechselseitig aufeinander verzichten. Von daher steht zu erwarten, dass auf beiden Seiten Bewegung in die Sache kommen. Eine Garantie gibt es hierfür jedoch keine. Daher gilt wieder Punkt 1 “Umschauen schadet nicht” 🙂

« Zurück
1
2
3
4
…
11
Weiter »

Tipps

Das Ver­zeich­nis von Verarbeitungstätigkeiten

“Alles kein Pro­blem, das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erstellt schließ­lich der Datenschutzbeauftragte”

Für was ist das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten denn über­haupt gut?

Wel­che Anga­ben sind in einem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten aufzuführen?

Also wie kann man aus dem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten einen prak­ti­schen Nut­zen ziehen?

Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten als Arbeits­do­ku­ment und nicht als rei­ne Daten­samm­lung verstehen

War­um das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten um die­se Punk­te ergänzen?

Wo bekom­me ich ein erwei­ter­tes Mus­ter für ein sol­ches Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten her?

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Ein­fa­che Doku­men­ta­ti­on und Prü­fung der TOM (Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen)

Pass­wör­ter — zu vie­le, zu kom­plex, kaum zu merken

Kee­pass — oder das letz­te Pass­wort, dass Sie sich mer­ken müssen

Risi­ko auf dem Flur — Multifunktionsgeräte

Kos­ten­lo­se Check­lis­te Daten­schutz und Informationssicherheit

Über­prü­fung Wirk­sam­keit tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men (TOM)

Die DSGVO-Schon­zeit ist vorbei

Hier ein paar Tipps und Hin­wei­se zur Umset­zung der DSGVO Anforderungen:

1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

2. Rech­te der Kund­schaft sicherstellen

3. Infor­ma­ti­ons­pflich­ten

4. Ein­wil­li­gun­gen

5. Wer­bung

6. Sicher­heit der Datenverarbeitung

7. Mel­de­pflicht von Datenpannen

8. Daten­schutz­be­auf­trag­ter /​ DSB

Panik­ma­che mit der DSGVO

Das DSGVO-Blog-Ster­ben

DSGVO-kon­for­mes Hos­ting von WordPress

Nicht daten­schutz­kon­for­me Plug­ins vermeiden

Web­track­ing? Weg damit!

Und jetzt das Sper­rigs­te: Die Datenschutzerklärung

Und ist Word­Press gene­rell DSGVO-konform?

Wei­te­re Rat­ge­ber zum The­ma Word­Press und DSGVO im Netz

Aktua­li­sie­rung die­ses Beitrags

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Was fällt alles unter den Begriff Auftragsverarbeitung?

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Das Verzeichnis von Verarbeitungstätigkeiten

“Alles kein Problem, das Verzeichnis der Verarbeitungstätigkeiten erstellt schließlich der Datenschutzbeauftragte”

Für was ist das Verzeichnis von Verarbeitungstätigkeiten denn überhaupt gut?

Welche Angaben sind in einem Verzeichnis von Verarbeitungstätigkeiten aufzuführen?

Also wie kann man aus dem Verzeichnis von Verarbeitungstätigkeiten einen praktischen Nutzen ziehen?

Verzeichnis von Verarbeitungstätigkeiten als Arbeitsdokument und nicht als reine Datensammlung verstehen

Warum das Verzeichnis von Verarbeitungstätigkeiten um diese Punkte ergänzen?

Wo bekomme ich ein erweitertes Muster für ein solches Verzeichnis von Verarbeitungstätigkeiten her?

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Passwörter — zu viele, zu komplex, kaum zu merken

Keepass — oder das letzte Passwort, dass Sie sich merken müssen

Risiko auf dem Flur — Multifunktionsgeräte

Kostenlose Checkliste Datenschutz und Informationssicherheit

Überprüfung Wirksamkeit technischer und organisatorischer Maßnahmen (TOM)

Die DSGVO-Schonzeit ist vorbei

Hier ein paar Tipps und Hinweise zur Umsetzung der DSGVO Anforderungen:

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

2. Rechte der Kundschaft sicherstellen

3. Informationspflichten

4. Einwilligungen

5. Werbung

6. Sicherheit der Datenverarbeitung

7. Meldepflicht von Datenpannen

8. Datenschutzbeauftragter / DSB

Panikmache mit der DSGVO

Das DSGVO-Blog-Sterben

DSGVO-konformes Hosting von WordPress

Nicht datenschutzkonforme Plugins vermeiden

Webtracking? Weg damit!

Und jetzt das Sperrigste: Die Datenschutzerklärung

Und ist WordPress generell DSGVO-konform?

Weitere Ratgeber zum Thema WordPress und DSGVO im Netz

Aktualisierung dieses Beitrags

Schon jedem Mal passiert — Newsletter oder Email an viele Empfänger verschickt

Offene Newsletter-Verteiler kommen nicht immer gut an

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

Aufklärung ist Pflicht — Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Fragen Sie doch Ihren Datenschutzbeauftragten

Um was geht es bei Auftragsverarbeitung (früher Auftragsdatenverarbeitung)?

Was ist bei einer Auftragsverarbeitung zu tun?