{"id":6775,"date":"2024-01-24T14:33:14","date_gmt":"2024-01-24T12:33:14","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6775"},"modified":"2024-02-08T14:52:56","modified_gmt":"2024-02-08T12:52:56","slug":"how-to-start-datenschutz-im-unternehmen-teil-1","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/how-to-start-datenschutz-im-unternehmen-teil-1\/","title":{"rendered":"How to start \u2013 Datenschutz im Unternehmen Teil 1"},"content":{"rendered":"<p><strong>Hey there!<\/strong><\/p>\n<p>Es ist Zeit, \u00fcber <strong>Datenschutz im Unternehmen<\/strong> zu reden. Schlie\u00dflich befinden wir uns im digitalen Zeitalter, in dem Daten f\u00fcr Unternehmen von unsch\u00e4tzbarem Wert sind. Deshalb ist es <strong>besonders wichtig<\/strong>, dass wir unsere Daten und die unserer Kunden <strong>sch\u00fctzen<\/strong>.<\/p>\n<p>Aber hey, <strong>keine Sorge<\/strong>, wir sind hier, um Euch zu helfen! Also schnallt Euch an, w\u00e4hrend wir gemeinsam erkunden, wie Ihr den <strong>Datenschutz in Eurem Unternehmen einf\u00fchren <\/strong>k\u00f6nnt.<\/p>\n<p>Da 10 Punkte zuviel f\u00fcr einen einzelnen Beitrag w\u00e4ren, gibts jetzt f\u00fcr Euch Teil 1. Teil 2 folgt in K\u00fcrze.<\/p>\n<p>&nbsp;<\/p>\n<h2>1. Website \u2013 So macht Ihr Eure Website fit f\u00fcr die DSGVO<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6785 aligncenter\" src=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-300x200.jpeg\" alt=\"\" width=\"642\" height=\"428\" srcset=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-300x200.jpeg 300w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-1024x683.jpeg 1024w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-768x512.jpeg 768w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-1536x1024.jpeg 1536w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-2048x1365.jpeg 2048w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_79879691-405x270.jpeg 405w\" sizes=\"auto, (max-width: 642px) 100vw, 642px\" \/><\/p>\n<h4><\/h4>\n<h4><strong>1.1 Website datenschutzkonform gestalten: <\/strong><\/h4>\n<p><strong>Verschl\u00fcsselung ist der Schl\u00fcssel!<\/strong> F\u00fcr eine sichere Verbindung zwischen Webbrowser und Server ben\u00f6tigt Ihr ein <strong>SSL-Zertifikat<\/strong>. Ihr erkennt eine verschl\u00fcsselte Website daran, dass die Webadresse mit <strong>&#8222;https&#8220;<\/strong> anstatt <strong>&#8222;http&#8220;<\/strong> beginnt. Achtet auch auf das <strong>Schlosssymbol<\/strong> in der Browserleiste. Eine SSL-Verschl\u00fcsselung bietet nicht nur <strong>bessere Google-Rankings<\/strong>, sondern sorgt auch daf\u00fcr, dass Besucher <strong>sicher auf Eurer Website surfen<\/strong> k\u00f6nnen. Besonders wichtig ist dies bei Websites mit Kreditkartentransaktionen, Logins oder Datentransfers. Die Aktivierung eines SSL-Zertifikats ist einfach und kann vom Websitehost durchgef\u00fchrt werden. Falls Ihr ein SSL-Zertifikat ben\u00f6tigt, schaut doch mal auf der Website unseres Mutterunternehmens, der <a href=\"https:\/\/www.psw-group.de\/\"><strong>PSW GROUP<\/strong><\/a>, vorbei \ud83d\udc47<\/p>\n<h3 style=\"text-align: center;\"><strong><a href=\"https:\/\/www.psw-group.de\/\">\u27a1\ufe0f\u00a0https:\/\/www.psw-group.de\/<\/a><\/strong><\/h3>\n<h4>1.2 Cookie-Banner aktivieren:<\/h4>\n<p>Ihr kennt sie wahrscheinlich schon &#8211; die <strong>Cookie-Banner<\/strong> auf Websites. Cookies sind <strong>kleine Informationshappen<\/strong>, die beim Besuch einer Website gespeichert werden. Sie erleichtern die Eingabe von Login-Daten auf Websites, die immer wieder aufgerufen werden! Laut Datenschutzgrundverordnung (DSGVO) ben\u00f6tigt jeder Webseitenbetreiber die <strong>Zustimmung des Nutzers<\/strong>, Cookies zu speichern. Daher wird die Einwilligung h\u00e4ufig <strong>zu Beginn des Besuchs<\/strong> in Bannern abgefragt.<\/p>\n<p>Ein effektiver Cookie-Banner ist <strong>benutzerfreundlich<\/strong>, <strong>leicht verst\u00e4ndlich<\/strong> und <strong>leicht auffindbar<\/strong>.<\/p>\n<p>Er enth\u00e4lt<\/p>\n<ul>\n<li><strong>klare Informationen<\/strong> \u00fcber die Verwendung von Cookies<\/li>\n<li>bietet <strong>einfache Optionen<\/strong> zur Zustimmung oder Ablehnung<\/li>\n<li>die <strong>Verbindung zu Drittanbietern wird unterbunden<\/strong>, bis die Zustimmung erteilt wird.<\/li>\n<\/ul>\n<p>Selbst wenn der Nutzer ablehnt, sollte er weiterhin auf der Website surfen k\u00f6nnen.<\/p>\n<h4>1.3 Achtet auf Social Media Plugins und eingebettete Videos:<\/h4>\n<p>Viele Webseiten nutzen <strong>Plugins<\/strong> und <strong>Videos sozialer Medien<\/strong>. F\u00fcr personalisierte Werbung werden oft <strong>unbemerkt<\/strong> pers\u00f6nliche Daten gesammelt!\u00a0W\u00e4hrend Facebook Pixel verboten ist, sind Social Media Plugins erlaubt.<\/p>\n<p>Die magische L\u00f6sung zur rechtssicheren Einbindung von Social Media Plugins: <strong>Die Zwei-Klick-L\u00f6sung!<\/strong> Klingt schon vielversprechend, oder? Ziel ist es, dem Nutzer die <strong>Kontrolle \u00fcber seine Daten<\/strong> zu geben, so dass der Nutzer in der Lage ist, seine Daten selbst zu verwalten und die Kontrolle dar\u00fcber zu haben.<\/p>\n<p>Bei der Zwei-Klick-L\u00f6sung sind die Social Media Buttons <strong>zun\u00e4chst deaktiviert<\/strong>, also grau und unscheinbar. Erst wenn der Nutzer <strong>bewusst<\/strong> darauf klickt, werden sie aktiviert und erstrahlen in bunten Farben. Das Aktivieren der Buttons erm\u00f6glicht dann das <strong>Laden von externen Inhalten<\/strong> und die <strong>Daten\u00fcbermittlung<\/strong> an die Plattformbetreiber.<\/p>\n<p><strong>Nun der spannende Teil!<\/strong><\/p>\n<p>Die Daten\u00fcbermittlung erfolgt erst, wenn der Nutzer <strong>ein zweites Mal<\/strong> auf den Button klickt. Zum Beispiel, um ein <strong>&#8218;Gef\u00e4llt mir&#8216;<\/strong> zu hinterlassen. Der Nutzer hat somit die <strong>volle Kontrolle<\/strong> und entscheidet selbst, ob er seine pers\u00f6nlichen Daten weitergeben m\u00f6chte oder nicht. Auf diese Weise wird sichergestellt, dass k<strong>eine Daten ohne Zustimmung<\/strong> des Nutzers an die sozialen Netzwerke \u00fcbertragen werden.<\/p>\n<p>Beachtet jedoch, dass in der <strong>Datenschutzerkl\u00e4rung<\/strong> auf die Weitergabe von Nutzerdaten an Dritte durch die Plugins <strong>hingewiesen<\/strong> wird.<\/p>\n<h4>1.4 Kontrolliert Eure Kontaktformulare:<\/h4>\n<p>Kontaktformulare sind heute auf vielen Websites zu finden. Dabei ist es wichtig, dass die Nutzer der <strong>Datenschutzerkl\u00e4rung zustimmen<\/strong>, bevor sie personenbezogene Daten angeben. Eine <strong>kleine Box zum Ankreuzen<\/strong> ist ideal, aber vergesst nicht, sie leer zu lassen. Fragt nur nach den <strong>erforderlichen Daten<\/strong> <em>(das kann in der Regel nur die E-Mail-Adresse und ggf. der Name sein)<\/em> und markiert diese als Pflichtfelder. Kombiniert mit einem <strong>SSL-Zertifikat<\/strong> k\u00f6nnen pers\u00f6nliche Daten sicher \u00fcbertragen werden. Achtet auch darauf, dass das Kontaktformular im <strong>Verzeichnis der Verarbeitungst\u00e4tigkeiten<\/strong> <em>(mehr dazu unter Punkt 6) <\/em>aufgef\u00fchrt ist.<\/p>\n<h4>1.5 Aktualisiert Eure Datenschutzerkl\u00e4rung:<\/h4>\n<p>Eine Datenschutzerkl\u00e4rung muss auf jeder Website vorhanden sein, die personenbezogene Daten verarbeitet. Sie sollte von jeder Unterseite aus zug\u00e4nglich sein, beispielsweise \u00fcber die Fu\u00dfzeile.<\/p>\n<p>Die Datenschutzerkl\u00e4rung sollte <strong>klar, verst\u00e4ndlich und leicht zug\u00e4nglich<\/strong> sein.<\/p>\n<p>Sie sollte Informationen zu folgenden Punkten enthalten:<\/p>\n<ul>\n<li><strong>Art<\/strong> der gesammelten Daten<\/li>\n<li><strong>Zwecke<\/strong> der Datenverarbeitung<\/li>\n<li><strong>Rechtsgrundlage<\/strong> f\u00fcr die Verarbeitung<\/li>\n<li><strong>Daten\u00fcbertragung<\/strong> an Dritte<\/li>\n<li><strong>Speicherdauer<\/strong> der Daten<\/li>\n<\/ul>\n<p>Es empfiehlt sich, die Datenschutzerkl\u00e4rung <strong>regelm\u00e4\u00dfig zu \u00fcberpr\u00fcfen<\/strong> und zu aktualisieren. Auf diese Weise wird sichergestellt, dass sie den <strong>aktuellen rechtlichen und technischen Anforderungen<\/strong> entspricht.<\/p>\n<h4>1.6 \u00dcberpr\u00fcft Euren Newsletter:<\/h4>\n<p>Wenn Ihr auf Eurer Website einen Newsletter anbietet, schlie\u00dft einen <strong>Auftragsverarbeitungsvertrag<\/strong> \u00a0mit dem Anbieter (wenn dies extern geschieht) \u00a0ab. Beschreibt im Anmeldeformular den <strong>Zweck des Newsletters<\/strong> und verlinkt eure Datenschutzerkl\u00e4rung. Verwendet das <strong>Double-Opt-In-Verfahren<\/strong>, bei dem Nutzer ihre E-Mail-Adresse durch einen Best\u00e4tigungslink verifizieren m\u00fcssen.<\/p>\n<h4>1.7 Checkt Google Analytics und andere Statistik-Tools:<\/h4>\n<p>Wenn Ihr ein Statistik-Tool wie Google Analytics verwendet: Achtet darauf, dass dies in der Datenschutzerkl\u00e4rung erw\u00e4hnt wird. Gebt den Nutzern die M\u00f6glichkeit, sich vom Tracking auszuschlie\u00dfen. Achtet darauf, dass <strong>IP-Adressen anonymisiert<\/strong> werden. Schlie\u00dft auch einen <strong>Zusatz zur Datenverarbeitung<\/strong> mit Google ab. Die beste L\u00f6sung w\u00e4re jedoch, ein datenschutzfreundlicheres Tool zu verwenden, wie zum Beispiel <strong>Matomo<\/strong>.<\/p>\n<p>Bindet au\u00dferdem <strong>Google Fonds<\/strong> <em>(Schriftarten von Google)<\/em> lokal ein. So vermeidet Ihr <strong>Abmahnungen<\/strong>!<\/p>\n<p>Wenn Ihr checken wollt, ob Eure <strong>Website datenschutzkonform<\/strong> ist, dann schaut doch mal in unseren anderen <strong>Blogbeitrag<\/strong> rein. Wir stellen Euch ein paar <strong>kostenlose Tools<\/strong> vor, mit denen Ihr Eure Website <strong>selbst testen<\/strong> k\u00f6nnt \ud83d\ude09 \ud83d\udc47<\/p>\n<p><a href=\"https:\/\/www.psw-consulting.de\/blog\/2023\/04\/20\/how-to-check-your-website-kostenlose-tools-zum-website-check\/\">https:\/\/www.psw-consulting.de\/blog\/2023\/04\/20\/how-to-check-your-website-kostenlose-tools-zum-website-check\/<\/a><\/p>\n<h3><\/h3>\n<h2>2. Follow the Rules! \u2013 Leit- und Richtlinien im Unternehmen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6786 aligncenter\" src=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/board-3772063_1280-300x194.jpg\" alt=\"\" width=\"681\" height=\"440\" srcset=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/board-3772063_1280-300x194.jpg 300w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/board-3772063_1280-1024x662.jpg 1024w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/board-3772063_1280-768x497.jpg 768w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/board-3772063_1280-417x270.jpg 417w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/board-3772063_1280.jpg 1280w\" sizes=\"auto, (max-width: 681px) 100vw, 681px\" \/><\/p>\n<p>Bei der Umsetzung der Vorgaben der DSGVO ist eine <strong>strukturierte Vorgehensweise<\/strong> im Umgang mit den Aufsichtsbeh\u00f6rden erforderlich. Es sollte erkennbar sein, dass die gesetzlich vorgeschriebenen Datenschutzma\u00dfnahmen <strong>geplant, umgesetzt und regelm\u00e4\u00dfig bewertet<\/strong> sowie gegebenenfalls angepasst werden.<\/p>\n<div id=\"text_block-1522-350-7\" class=\"ct-text-block text-lg slide-up\" data-id=\"text_block-1522-350\">\n<p>Leitlinien beschreiben in groben Z\u00fcgen <strong>die Ziele einer Organisation<\/strong> in Bezug auf den Datenschutz, w\u00e4hrend Richtlinien den Rahmen f\u00fcr die <strong>Umsetzung konkreter Ma\u00dfnahmen<\/strong> zur Erreichung dieser Ziele vorgeben.<\/p>\n<\/div>\n<p>Hier ein \u00dcberblick, welche <strong>Leit- und Richtlinien<\/strong> wichtig sind:<\/p>\n<ul class=\"elementor-icon-list-items\">\n<li class=\"elementor-icon-list-item\"><span class=\"elementor-icon-list-text\">Leitlinie zu <strong>Datenschutz und Informationssicherheit<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie zum <strong>Datenschutz (f\u00fcr Besch\u00e4ftigte)<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie zur <strong>Umsetzung von Datenschutzma\u00dfnahmen<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie f\u00fcr die <strong>Umsetzung von Betroffenenrechten<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\"><strong>IT-Richtlinie<\/strong> f\u00fcr Nutzer<\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie f\u00fcr <strong>verwendete Speicherorte<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie f\u00fcr die <strong>Nutzung mobiler IT-Systeme<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie f\u00fcr die <strong>Nutzung mobiler Datentr\u00e4ger<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie <strong>Regelungen f\u00fcr Lieferanten<\/strong> und sonstige Auftragnehmer<\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie f\u00fcr <strong>St\u00f6rungen und Ausf\u00e4lle<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><span class=\"elementor-icon-list-text\">Richtlinie f\u00fcr <strong>Sicherheitsvorf\u00e4lle<\/strong><\/span><\/li>\n<li class=\"elementor-icon-list-item\"><i class=\"fas fa-check\" aria-hidden=\"true\"><\/i><strong><span class=\"elementor-icon-list-text\">Notfallplan<\/span><\/strong><\/li>\n<\/ul>\n<p>Die Erstellung von Leit- und Richtlinien ist <strong>das A und O<\/strong>, um das Datenschutzmanagement zu dokumentieren. Dabei geben Leitlinien, als <strong>\u201eHerzst\u00fcck\u201c<\/strong>, die gesetzten Datenschutzziele der Unternehmensf\u00fchrung vor. Sie machen die Bedeutung des Datenschutzes f\u00fcr das Unternehmen deutlich und verpflichten die Belegschaft auf die Einhaltung der Datenschutzvorgaben. Die auf <strong>die Leitlinien aufbauenden Richtlinien<\/strong> setzen den Rahmen f\u00fcr die <strong>tats\u00e4chlichen Umsetzungsma\u00dfnahmen<\/strong>.<\/p>\n<h3><\/h3>\n<h2>3. Online-Tools &amp; externe Dienstleister \u2013 Was m\u00fcsst Ihr beachten?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6787 aligncenter\" src=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-300x200.jpg\" alt=\"\" width=\"665\" height=\"443\" srcset=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-300x200.jpg 300w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-1024x683.jpg 1024w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-768x513.jpg 768w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-1536x1025.jpg 1536w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-2048x1367.jpg 2048w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/standard-qualitaetssicherungskonzept-m-405x270.jpg 405w\" sizes=\"auto, (max-width: 665px) 100vw, 665px\" \/><\/p>\n<p>Einfacher Zugriff auf neue Onlinedienste und Tools macht es verlockend, diese <strong>ohne gro\u00dfe \u00dcberlegungen<\/strong> einzusetzen. Eine <strong>vernachl\u00e4ssigte Datenschutz\u00fcberpr\u00fcfung<\/strong> kann jedoch zu Bu\u00dfgeldern f\u00fchren. Es ist wichtig, darauf zu achten.<\/p>\n<p>Um Strafen zu vermeiden, k\u00f6nnt Ihr <strong>vor der Nutzung neuer Dienste<\/strong> eine Datenschutzpr\u00fcfung durchf\u00fchren. Hier sind einige Tipps daf\u00fcr:<\/p>\n<p><strong>Pr\u00fcfen und Protokollieren oder Bu\u00dfgeld riskieren<\/strong> &#8211; so lautet die Devise. Datenschutz ist komplex und die <strong>Rechtslage oft unklar<\/strong>. Datensch\u00fctzer w\u00fcrden gerne Plattformen wie Facebook, WhatsApp, Microsoft Teams, Dropbox, Google Analytics oder AWS verbieten. Doch ein Verbot ist nicht einfach ohne die Zustimmung der Gerichte m\u00f6glich.<\/p>\n<p>Trotz dieser Unklarheiten sollte die Datenschutzpr\u00fcfung <strong>nicht vernachl\u00e4ssigt werden<\/strong>. Im Gegenteil, es besteht eine <strong>Pflicht zur Vorpr\u00fcfung und Dokumentation<\/strong> (<em>gem\u00e4\u00df \u00a7 5 Abs. 1 und 2, Art. 25 Abs. 1 und 32 Abs. 1 DSGVO<\/em>). Auch wenn die Rechtslage unsicher ist und sich eine Pr\u00fcfung als fehlerhaft herausstellen sollte, wird die Wahrscheinlichkeit einer Bu\u00dfgeldstrafe <strong>geringer<\/strong> sein als bei einer Unterlassung der Pr\u00fcfung.<\/p>\n<h4>Datenschutzpr\u00fcfung<\/h4>\n<p>Die folgenden Fragen sollen Euch helfen, die <strong>\u00dcberpr\u00fcfung von Dienstleistern einfacher zu machen<\/strong> und um nachweisen zu k\u00f6nnen, dass Ihr dem Datenschutz die <strong>n\u00f6tige Aufmerksamkeit<\/strong> schenkt. Im Mittelpunkt steht dabei die Pr\u00fcfung, ob der Einsatz des Dienstleisters <strong>wirklich notwendig<\/strong> ist.<\/p>\n<p><strong>3.1 Verarbeitet der Dienstleister Daten von Personen? <\/strong><\/p>\n<p>Daten sind Informationen, die <strong>R\u00fcckschl\u00fcsse<\/strong> auf eine bestimmte Person zulassen. Das betrifft <strong>nicht nur Klardaten<\/strong> wie Namen oder E-Mail-Adressen, sondern auch <strong>pseudonyme<\/strong> <strong>Kennzeichen<\/strong> wie IP-Adressen oder IDs, die zusammen mit anderen Informationen auf eine Person hinweisen k\u00f6nnen.<\/p>\n<p>Wenn die Antwort <strong>&#8222;nein&#8220;<\/strong> ist, ist keine weitere Pr\u00fcfung n\u00f6tig.<\/p>\n<p>Wenn die Antwort <strong>&#8222;ja&#8220;<\/strong> ist, erkl\u00e4rt bitte, welche Arten von Daten <em>(z.B. Name, Adresse, Kontaktinformationen, inhaltliche Informationen, Verhaltensdaten)<\/em>\u00a0verarbeitet werden.<\/p>\n<p><strong>3.2 Warum wird der Dienst ben\u00f6tigt? <\/strong><\/p>\n<p><em>(z.B. mit Kunden kommunizieren, vertragliche Verpflichtungen erf\u00fcllen, Marketingaktivit\u00e4ten)<\/em><\/p>\n<p><strong>3.3 Kann der Zweck auch ohne den Dienst erreicht werden? <\/strong><\/p>\n<p>Wenn <strong>nicht<\/strong>, warum nicht? <em>(z.B. fehlende Fachkenntnisse, h\u00f6here technische Sicherheit, Benutzerfreundlichkeit usw.)<\/em><\/p>\n<p><strong>3.4 Bietet der Dienst einen Vertrag zur Auftragsverarbeitung gem\u00e4\u00df Art. 28 DSGVO <\/strong><strong>oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit gem\u00e4\u00df Art. 26 DSGVO an? <\/strong><\/p>\n<p><em>(Im Falle der Auslagerung von Teilen der Datenverarbeitung an Dritte (Auftragsverarbeiter) ist gem\u00e4\u00df Art. 28 Abs. 3 DSGVO der Abschluss eines Vertrags oder eines anderen Rechtsakts mit dem Auftragsverarbeiter erforderlich.)<\/em><\/p>\n<p>Wenn <strong>ja<\/strong>, Verlinkung und Speicherung der Dokumente bzw. Abschluss der notwendigen Vertr\u00e4ge.<\/p>\n<p>Wenn Ihr es nicht wisst, <strong>fragt<\/strong> beim Dienst nach.<\/p>\n<p><strong>3.5 Verarbeitet der Dienst personenbezogene Daten au\u00dferhalb der EU (<em>in sogenannten Drittl\u00e4ndern<\/em>), hat er seinen Sitz au\u00dferhalb der EU oder arbeitet er mit Unterauftragnehmern zusammen, die in Drittl\u00e4ndern t\u00e4tig sind? <\/strong><\/p>\n<p>Wenn <strong>ja<\/strong>, gibt es keine Alternativen in der EU?<\/p>\n<p>Wenn <strong>ja<\/strong>, nennen Sie m\u00f6gliche Alternativen und warum diese ungeeignet sind <em>(z.B. h\u00f6here Kosten, geringere Zielgruppenreichweite, etc.)<\/em>.<\/p>\n<p>F\u00fcr den Fall, dass keine geeigneten Alternativen zur Verf\u00fcgung stehen, ist das <strong>Datenschutzniveau im Drittland<\/strong> gew\u00e4hrleistet? <em>(Die DSGVO verbietet die \u00dcbermittlung von Daten in Drittl\u00e4nder, wenn das Datenschutzniveau nicht gew\u00e4hrleistet ist oder bestimmte Ausnahmen vorliegen): <\/em><\/p>\n<ul>\n<li><strong>Angemessenheitsbeschluss &#8211;<\/strong> Die EU-Kommission hat einige L\u00e4nder als angemessen im Datenschutz eingestuft, wie die Schweiz, Neuseeland, Andorra, Argentinien, die F\u00e4r\u00f6er, Guernsey, Japan und im Wesentlichen Kanada und Israel. F\u00fcr die USA gibt es seit Juli 2023 das sogenannte <strong>TransAtlantic Data Privacy Framework<\/strong>. US-Anbieter k\u00f6nnen sich seitdem unter dem Framework (DPF) <strong>zertifizieren<\/strong> lassen.<\/li>\n<li><strong>Standard Contractual Clauses (SCC) &#8211;<\/strong> Diese Standardvertragsklauseln verpflichten den Vertragspartner dazu, das europ\u00e4ische Datenschutzniveau einzuhalten. Sie erlauben die \u00dcbermittlung von Daten aber nur, wenn das Datenschutzniveau <strong>tats\u00e4chlich<\/strong> gew\u00e4hrleistet ist. Das bedeutet, dass Ihr vor allem Anbieter aus <strong>Drittl\u00e4ndern ohne Angemessenheitsbeschluss<\/strong> fragen m\u00fcsst, wie sie die von Euch verarbeiteten Daten sch\u00fctzen.<\/li>\n<li><strong>Binding Corporate Rules &#8211;<\/strong> Unternehmen k\u00f6nnen auch <strong>eigene verbindliche Datenschutzregeln<\/strong> festlegen. Diese Alternative ist jedoch selten, da eine <strong>externe Zertifizierung<\/strong> oder Pr\u00fcfung erforderlich w\u00e4re, um Daten in Drittl\u00e4nder zu \u00fcbertragen (<em>\u00e4hnlich wie bei den Standardvertragsklauseln<\/em>).<\/li>\n<li><strong>Erforderliche Daten\u00fcbermittlungen &#8211;<\/strong> Wenn die \u00dcbermittlung oder Verarbeitung der Daten in Drittl\u00e4ndern <strong>erforderlich<\/strong> und f\u00fcr die Betroffenen erkennbar ist, darf sie erfolgen (<em>z.B. wenn eine Reise in die USA gebucht oder eine E-Mail in die USA gesendet wird<\/em>).<\/li>\n<li><strong>Einwilligungen &#8211;<\/strong> Als letzte M\u00f6glichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch umst\u00e4ndlich und k\u00f6nnen leicht an <strong>mangelnder Transparenz<\/strong>, <strong>ausdr\u00fccklicher Zustimmung<\/strong> oder <strong>fehlender Freiwilligkeit<\/strong> scheitern (<em>z.B. bei Arbeitnehmern gem\u00e4\u00df Art. 26 DSGVO<\/em>) oder aufgrund fehlender Einwilligungsf\u00e4higkeit (<em>in Deutschland ab 16 Jahren, in \u00d6sterreich ab 14 Jahren gem\u00e4\u00df Art. 8 Abs. 3 DSGVO<\/em>). Au\u00dferdem m\u00fcsst Ihr die Einwilligenden auch \u00fcber die <strong>Risiken<\/strong> informieren, was dramatisch klingen kann.<\/li>\n<\/ul>\n<p><strong>3.6 Bietet der Dienst Einstellungs- oder Auswahlm\u00f6glichkeiten, um die Datenverarbeitung einzuschr\u00e4nken und sicherer zu machen? <\/strong><\/p>\n<p>Wenn <strong>ja<\/strong>, welche Optionen gibt es und warum sollten diese nicht gew\u00e4hlt werden?<\/p>\n<p>Bei Diensten aus Drittl\u00e4ndern:<\/p>\n<ul>\n<li>Datenverarbeitung auf <strong>Servern in der EU<\/strong><\/li>\n<li><strong>Anonymisierung<\/strong> von Daten (<em>z.B. K\u00fcrzung von IP-Adressen<\/em>)<\/li>\n<li>Festlegung <strong>kurzer Aufbewahrungsfristen<\/strong><\/li>\n<li>Verwendung von <strong>Verschl\u00fcsselungsmethoden<\/strong><\/li>\n<li>Zwei-Faktor-Authentifizierung<\/li>\n<li>etc.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>4. Informationspflichten &#8211; Was m\u00fcsst Ihr wem mitteilen?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6788 aligncenter\" src=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-300x200.jpeg\" alt=\"\" width=\"650\" height=\"433\" srcset=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-300x200.jpeg 300w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-1024x683.jpeg 1024w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-768x512.jpeg 768w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-1536x1024.jpeg 1536w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-2048x1365.jpeg 2048w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_622530277-405x270.jpeg 405w\" sizes=\"auto, (max-width: 650px) 100vw, 650px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>Die umfangreichen <strong>Informationspflichten<\/strong> f\u00fcr Verantwortliche sind ein wichtiger Bestandteil der DSGVO. Gem\u00e4\u00df <strong>Artikel 13 und 14 DSGVO<\/strong> m\u00fcssen Betroffene bei der Datenerhebung &#8222;\u00fcber zw\u00f6lf verschiedene Informationen&#8220; informiert werden. Diese Informationspflicht gilt sogar dann, wenn die Daten <strong>nicht direkt<\/strong> bei der betroffenen Person erhoben werden, sondern von einer anderen Stelle kommen. Es gibt jedoch Ausnahmen, zum Beispiel wenn die betroffene Person bereits \u00fcber die Informationen verf\u00fcgt oder es <strong>unzumutbar<\/strong> ist, die Informationspflicht umzusetzen.<\/p>\n<p>Der Zeitpunkt, zu dem die Informationen mitgeteilt werden m\u00fcssen, h\u00e4ngt davon ab, wo die personenbezogenen Daten erhoben werden:<\/p>\n<ul>\n<li>Wenn die Daten <strong>bei der betroffenen Person selbst<\/strong> erhoben werden, m\u00fcssen die Informationen <strong>zum Zeitpunkt der Erhebung<\/strong> gegeben werden. Das bedeutet, dass die Informationen <strong>vor der Datenerhebung<\/strong> mitgeteilt werden m\u00fcssen.<\/li>\n<\/ul>\n<ul>\n<li>Werden die Daten <strong>von einer anderen Stelle<\/strong> erhoben, sind die Informationen <strong>schnellstm\u00f6glich<\/strong>, sp\u00e4testens <strong>innerhalb eines Monats<\/strong>, mitzuteilen.<\/li>\n<\/ul>\n<p>In der Praxis k\u00f6nnen die meisten Informationspflichten mit Hilfe von <strong>drei Standardformularen<\/strong> erf\u00fcllt werden:<\/p>\n<ol start=\"1\">\n<li><strong>Datenschutzhinweise vor Vertragsschluss:<\/strong> Hier werden die Betroffenen \u00fcber die Verarbeitung ihrer Daten informiert, die f\u00fcr einen <strong>Vertragsabschluss notwendig<\/strong> ist.\u00a0Diese Informationen solltet Ihr dem Kunden <strong>vor Vertragsabschluss<\/strong> und <strong>vor der Datenerhebung<\/strong> (z.B. durch das Ausf\u00fcllen eines Formulars) mitteilen.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li><strong>Datenschutzerkl\u00e4rung auf der Website:<\/strong> Durch eine Datenschutzerkl\u00e4rung auf Eurer Website informiert Ihr Besucher \u00fcber die Verarbeitung ihrer personenbezogenen Daten <strong>beim Besuch Eurer Website<\/strong>. Die Datenschutzerkl\u00e4rung sollte von jeder Unterseite Eurer Website aus mit einem Klick erreichbar sein, zum Beispiel durch einen Link im Footer.<\/li>\n<\/ol>\n<ol start=\"3\">\n<li><strong>Informationsschreiben f\u00fcr Mitarbeiter:<\/strong> Da nicht nur Kundendaten, sondern auch <strong>Mitarbeiterdaten<\/strong> verarbeitet werden, m\u00fcssen die Mitarbeiter \u00fcber die Datenverarbeitung informiert werden.<\/li>\n<\/ol>\n<p>Die Informationsschreiben sollten <strong>klar und verst\u00e4ndlich<\/strong> verfasst sein, gem\u00e4\u00df <strong>Artikel 12 Absatz 1 der DSGVO<\/strong>.<\/p>\n<p>Es gen\u00fcgt, dass die Betroffenen die Informationen zur Kenntnis nehmen. Eine <strong>ausdr\u00fcckliche Einwilligung ist nicht erforderlich<\/strong>. Es ist jedoch sinnvoll, zumindest von Kunden und Mitarbeitern eine <strong>Best\u00e4tigung \u00fcber die Kenntnisnahme<\/strong> einzuholen, um dies zu dokumentieren. Dies kann beispielsweise durch ein <strong>leeres Formularfeld<\/strong> oder eine <strong>gesonderte Erkl\u00e4rung<\/strong> erfolgen.<\/p>\n<h2>5. Datenschutzbeauftragter \u2013 Braucht man \u00fcberhaupt einen?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-6789 aligncenter\" src=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-300x200.jpeg\" alt=\"\" width=\"683\" height=\"455\" srcset=\"https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-300x200.jpeg 300w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-1024x683.jpeg 1024w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-768x513.jpeg 768w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-1536x1025.jpeg 1536w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-2048x1367.jpeg 2048w, https:\/\/www.psw-consulting.de\/blog\/wp-content\/uploads\/2024\/01\/AdobeStock_328584594-405x270.jpeg 405w\" sizes=\"auto, (max-width: 683px) 100vw, 683px\" \/><\/p>\n<div id=\"text_block-1522-350-6\" class=\"ct-text-block text-lg slide-up\" data-id=\"text_block-1522-350\">\n<p>Ein Datenschutzbeauftragter kann <strong>eine wichtige Rolle<\/strong> spielen, um sicherzustellen, dass Euer Unternehmen die <strong>DSGVO-Vorschriften<\/strong> einh\u00e4lt.<\/p>\n<h4>5.1 Pflicht zur Ernennung eines Datenschutzbeauftragten<\/h4>\n<p>Ihr m\u00fcsst einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Euer Unternehmen zutrifft:<\/p>\n<ul>\n<li>Die Hauptt\u00e4tigkeit Eures Unternehmens ist die <strong>\u00dcberwachung von Daten in gro\u00dfem Umfang und regelm\u00e4\u00dfig<\/strong> von betroffenen Personen.<\/li>\n<\/ul>\n<ul>\n<li>Die Hauptt\u00e4tigkeit Eures Unternehmens besteht in der <strong>Verarbeitung von sensiblen Daten in gro\u00dfem Umfang<\/strong> in \u00dcbereinstimmung mit den Anforderungen der DSGVO.<\/li>\n<\/ul>\n<ul>\n<li>In Eurem Unternehmen sind mindestens zehn Personen st\u00e4ndig mit der <strong>automatisierten Verarbeitung<\/strong> personenbezogener Daten besch\u00e4ftigt.<\/li>\n<\/ul>\n<ul>\n<li>In Eurem Unternehmen werden Datenverarbeitungen durchgef\u00fchrt, die einer <strong>Datenschutzfolgenabsch\u00e4tzung<\/strong> gem\u00e4\u00df Artikel 35 der DSGVO unterliegen.<\/li>\n<\/ul>\n<ul>\n<li>Euer Unternehmen verarbeitet personenbezogene Daten f\u00fcr <strong>gesch\u00e4ftsm\u00e4\u00dfige Daten\u00fcbermittlung<\/strong> oder <strong>Markt- und Meinungsforschung<\/strong>.<\/li>\n<\/ul>\n<p><strong>5.2 Pers\u00f6nliche Qualifikationen eines Datenschutzbeauftragten<\/strong><\/p>\n<p>Ein Datenschutzbeauftragter muss \u00fcber <strong>ausreichendes Fachwissen<\/strong> im Datenschutzrecht verf\u00fcgen. Es kann entweder eine <strong>externe Person<\/strong> sein oder ein <strong>Mitarbeiter Eures Unternehmens<\/strong>, solange dieser <strong>keine Interessenkonflikte<\/strong> hat.<\/p>\n<p><strong>5.3 Rolle des Datenschutzbeauftragten<\/strong><\/p>\n<p>Bei der Ernennung eines Datenschutzbeauftragten ist dieser mit den <strong>erforderlichen Ressourcen<\/strong> auszustatten und bei der <strong>Erf\u00fcllung seiner Aufgaben zu unterst\u00fctzen<\/strong>. Ihr d\u00fcrft ihm <strong>keine Anweisungen<\/strong> im Bereich des Datenschutzes geben. Der Datenschutzbeauftragte <strong>ber\u00e4t<\/strong> Euch bei der Umsetzung der DSGVO und <strong>\u00fcberwacht<\/strong> deren Einhaltung. Er arbeitet auch mit der Aufsichtsbeh\u00f6rde zusammen.<\/p>\n<p>Wenn Ihr einen Datenschutzbeauftragten ernannt habt, m\u00fcsst Ihr ihn bei der f\u00fcr Euch <strong>zust\u00e4ndigen Aufsichtsbeh\u00f6rde anmelden<\/strong>.<\/p>\n<\/div>\n<p>&nbsp;<\/p>\n<p>Seid gespannt auf den zweiten Teil \ud83d\ude09<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hey there! Es ist Zeit, \u00fcber Datenschutz im Unternehmen zu reden. Schlie\u00dflich befinden wir uns im digitalen Zeitalter, in dem Daten f\u00fcr Unternehmen von unsch\u00e4tzbarem Wert sind. Deshalb ist es besonders wichtig, dass wir unsere Daten und die unserer Kunden sch\u00fctzen. Aber hey, keine Sorge, wir sind hier, um Euch zu helfen! Also schnallt Euch &hellip; <\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/www.psw-consulting.de\/blog\/how-to-start-datenschutz-im-unternehmen-teil-1\/\"> Mehr Lesen<span class=\"screen-reader-text\">  Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":6776,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111,1,46],"tags":[3,219],"class_list":["post-6775","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-informationssicherheit","category-rechtliches","tag-datenschutz","tag-how-to"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6775"}],"version-history":[{"count":41,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6775\/revisions"}],"predecessor-version":[{"id":6872,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6775\/revisions\/6872"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6776"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}