Seite wählen

EggSec Security

Datenschutz - DS-GVO - GDPR - RGPD

Wir verfügen über die Expertise, die es benötigt, um auch Dein Business Datenschutz-Fit zu machen.

Ob DS-GVO, KDG oder BDSG – bei uns bist Du in professionellen Händen. Ach übrigens, auch GDPR und RGPD sind uns bekannt.

ISO 27001 & IT Grundschutz

Nutzen wir die Möglichkeiten, mit ISO 27001 oder IT-Grundschutz neuen Schwung in Dein Business zu bringen – längst ist dies ein Qualitätszeichen für den durchdachten Schutz von Information im Unternehmen.

Wie fortgeschritten bist Du in Deinem Business, wenn es um Datenschutz geht?

Längst haben die Beauftragten für Datenschutz der Länder ihre Arbeit im Griff.

Die ersten Prüfungen erfolgen, Bußgelder sind nicht nur bei den großen Daten-Kraken verhängt.

Hier geben wir Dir einen Einblick, worauf Du fokussieren solltest!

DSB - Datenschutzbeauftragter

Benötigst Du einen Datenschutzbeauftragten?

Ja/nein/vielleicht

Die Frage lässt sich am einfachsten beantworten, wenn Du eine Sicht darauf hast, wer (Anzahl der Personen) bei Dir ständig personenbezogene Daten verarbeitet. Möglicherweise führst Du ein Profiling durch?

Ist das geklärt, lässt sich die Frage sehr gut beantworten – Achtsamkeit ist erforderlich, weil Du in der Verantwortung als Entrepreneur bist, auch wenn Du gesetzlich keinen Datenschutzbeauftragten benötigst.

 

Datenschutz-Koordinator

Der Datenschutz-Koordinator ist die fleissige Biene als Unterstützer für Dich oder Deinen Datenschutzbeauftragten.
Eine gesetzliche Pflicht besteht nicht.

Aus der Erfahrung wissen wir, dass gerade Lastspitzen wunderbar mit einem DSK abgearbeitet werden können.

Verzeichnis der Verarbeitungstätigkeiten

Das ist die Guideline – wären wir Datenschutzbehörden, wäre dies das erste Dokument, was wir uns zeigen liessen.

erstellen
qualitätssichern
aktualisieren

Das ist für viele Verantwortliche eine große Herausforderung. Hier einige Beispiele:

Wer ist derjenige, der die Informationen zusammenträgt?
Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
Welche personenbezogenen Daten werden in ein Drittland übertragen?
Welche technischen und organisatorischen Maßnahmen sichern diese Daten vor unberechtigtem Zugriff oder Veränderung?
Wo werden die personenbezogenen Daten überall verarbeitet?
Wer verarbeitet die Daten möglicherweise also sogenannter „Auftragsverarbeiter“?
Besteht möglicherweise ein besonders hoher Schutzbedarf für die personenebezogenen Daten und muss ggfs. eine Datenschutzfolgeabschätzung durchgeführt werden?
und viele mehr….

 

TOM

TOM – abgekürzt für „technische und organisatorische Maßnahmen“.
Fang‘ bitte nicht zuerst mit den TOM an – der Schutzbedarf resultiert aus dem Verzeichnis der Verarbeitungstätigkeiten, dann kann man exakt die TOM definieren und aufplanen.

Auftragsverarbeitungen

Eigentlich ganz einfach:

Beauftragst Du jemanden, personenbezogene Daten für Dein Business zu verarbeiten, so muss eindeutig sein, um welche personenbezogenen Daten es sich handel, welchen Vertrag es dazu gibt und welche technischen und organisatorischen Maßnahmen – Auftraggeber wie Auftraggeber – getroffen haben, um diese personenbezogenen Daten zu schützen.

Dies erfasst man in einer Vereinbarung zur Auftragsverarbeitung.

Der Aufwand ist da – so liefern sich bestimmte Branchen regelmäßig Mail-Duells, um ja nicht in die Verantwortung gezogen zu werden, eine Auftragsverarbeitung zu unterzeichnen.

Berechtigung & Rollenkonzepte

Kennst Du alle Rollen und Berechtigungen in Deinem Unternehmen?
Perfekt – wenn diese bereits dokumentiert sind und gelebt werden, hast Du vieles richtig gemacht!

Informationspflichten

Mitarbeiter, Kunden, Interessenten, Websitebesucher, Mandanten, Patienten, Newsletter-Abonnenten und viele mehr…

…haben ein Recht darauf, über die Verarbeitung der personenbezogenen Daten informiert zu werden.

Deshalb:

Informiere sie richtig: So wenig wie möglich und so viel wie nötig.
Auch hierzu hilft wieder das Verzeichnis der Verarbeitungstätigkeiten

Löschkonzepte

Das ist ein Thema, das wirklich sehr, sehr HOT ist!

Weisst Du, welche der personenbezogenen Daten wo genau liegen?
Weisst Du, in welchen Systemen diese möglicherweise untereinander verknüpft sind?
Weisst Du, weleche Möglichkeiten bestehen, personenbezogene Daten ggfs. nicht zu löschen?
Weisst Du, wie mit Archiven oder Backups umzugehen ist?

Löschkonzepte zur Umsetzung der Löschpflichten aus den Datenschutzverordnungen/-Gesetze sind PFLICHT!

Nur so hast Du eine realistische Chance, Bußgelder zu vermeiden!

Betroffenenrechte

Richtig weh tut es dann, wenn ein „Betroffener“ an die Substanz will.

…ich hätte gern Auskunft über die über mich gespeicherten personenbezogenen Daten…

-> nun läuft die Frist!
Was tun?

Ist das Auskunftsersuchen überhaupt zu zu beantworten?
Können wir den „Betroffenen“ identifizieren?
Wieviel Zeit haben wir?
Möchte er nur einen generelle Auskunft, oder Details?
Möchte er eine Einwilligung in die Verarbeitung widerrufen?
Möchte er die personenbezogenen Daten bei uns gelöscht haben?
Dürfen wir löschen? Oder gibt es eine Verpflichtung zu speichern?
Was muss gelöscht werden?
Wo muss gelöscht werden?
Löschen wir selbst oder ein Dienstleister?

…aber ich hänge doch so an meinen Daten und bin doch „Jäger und Sammler“
-> Du darfst Dich Dich von diesem Gedanken lösen – es gilt das Prinzip der Datenminimierung.

DSFA - Datenschutzfolgenabschätzung

Die Datenschutz-Folgenabschätzung ist auf den ersten Blick vielleicht ein unliebsamer Gast in der DS-GVO.

…Zeitfresser, brauchen wir nicht, machn wir später, wir haben doch ein Backup…

So oder ähnlich klingt es manchmal in Diskussionen – dabei hat die DSFA doch etwas sehr gutes!

Unter welchen Bedingungen ist eine DSFA in Deinem Business erforderlich?
Wie bekommt man den „Overhead“ unter Kontrolle von Kosten und Angemessenheit?

Mit Know-How und PIA – da sind uns die Franzosen etliche Croissants voraus!

Datenschutz-Audits

Mit einem Datenschutz-Audit hast Du eine sehr gute Möglichkeit, Deine Datenschutz-Bemühungen durch einen externen Blick zu überprüfen.

Läuft Dein Datenschutz-Managementsystem so, wie es gesetzlich gefordert ist?
Welche Verfahren und Vorlagen sind erstellt – welche fehlen ?
Wie aktuell ist das VdV (Verzeichnis der Verarbeitungstätigkeiten)?
Wie solide sind die Maßnahmen Deiner Auftragsverarbeiter? – Ihr haftet beide!
Wie standfest ist Deine  Systematik bei einer Prüfung durch die Aufsichtsbehörde?

Der im Anschluss erstelle Auditbericht zeigt detailliert Schwachstellen, Potenziale und Über-Organisation auf.