Drücke "Enter", um den Text zu überspringen.

FAQ | Datenschutz WIKI

Die häufigsten Fragen an uns:

 

Muss ein Datenschutzbeauftragter bestellt werden?

  • Antwort: Wenn du mehr als 10 Mitarbeiter hast,  die mit EDV arbeiten oder wenn du besondere Daten verarbeitest. Besondere Daten sind: Gesundheitsdaten, politische oder religiöse Meinungen, sexuelle Orientierung, ethnische Herkunftsdaten.

Mit wem muss ich ADV Verträge abschließen?

  • Antwort: Mit den Lieferanten / Dienstleistern, die deine unternehmerischen Datenverarbeitungsprozesse in deinem Auftrag als externe Dienstleister weisungsgebunden bearbeiten (Stichwort: outgesourcte Prozesse). Aber nur, sofern personenbezogene Daten betroffen sind. Nicht gemeint sind reine Liefer- oder Postdienste. Nein, der Floristiker der die Deko für das Firmenjubiläum kreiert und aufstellt benötigt keinen ADV Vertrag! Auch nicht dein Lieferant, der die Heizung auf die Baustelle fährt. Auch dann nicht, wenn der Privatkunde die Lieferung annimmt. Ja, der externe IT-Administrator ist Auftragsverarbeiter – definitiv. Ja, die Wartungsfirma mit Zugriff auf deine Bild- und Zutrittsprotokollspeicher der Objektschutz-Anlage auch.

Ich hatte bisher eine saubere Datenschutzorganisation, was ändert sich für mich am 25.05.2018?

  • Du musst mehr Aufwand in Informationspflichten stecken. Du sollst transparent sein was deine Datenverarbeitungsprozesse angeht. Transparent gegenüber Kunden, Mitarbeitern, Betroffenen. So gut wie möglich, aber in einem sinnvollen und prozessangepassten Rahmen. Ganz genau und vollständig beschreibt das die DSGVO in Kapitel 3 Artikel 13,14.
  • Du brauchst eine wirksame Einwilligung für Datenverarbeitungen, die nicht im direkten Zusammenhang mit der Auftragserfüllung stehen.  Brauchtest du aber schon immer. Wer einen Kühlschrank liefern soll, darf eben nicht die Schuhgröße abfragen, es sei denn, der Betroffene willigt ein.
  • Denke risikobasiert! Schaue dir deine Prozesslandschaft an: Wo erhebst du Daten, wie mit wem und an wen. Sind die Wege sicher? Gibt es Risiken für Betroffene? Können Betroffene durch deinen Prozess Schaden nehmen. Wenn ja, abschalten. Wenn abschalten nicht geht, hol dir Rechtsberatung.
  • Nimm die Verantwortung an, denke nach: Was brauchst du für deinen Betriebszweck wirklich? Analysetool deiner Webseite: wirklich toll und supernützlich? Web-Eingabeformulare: Wirklich nützlich? Kommen darüber tolle Anfragen? Die interne Statistik XY die 8.: Wirklich sinnvoll und notwendig? Alles ewig archivieren müssen: Geht das nicht doch besser? Kann das ERP nicht doch Trennen? Kümmer dich! Datensparsamkeit & Datensicherheit sind wichtig. Dafür muss man sorgen, dafür bist du haftbar.

Was sind personenbezogene Daten?

  • „Personenbezogene Daten“ sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Kontext auch als „betroffene Person“ oder „Betroffene“ bezeichnet.

Was darf ich wie lange speichern?

  • Niemals länger als es die Erfüllung des Zwecks bedarf (ggf. zzgl. etwaiger Widerspruchsfristen)! Was für Bewerbungen beispielsweise nach 3-6 Monaten spätestens der Fall ist.
  • Es sei denn, eine höhere Rechtsvorschrift fordert eine längere Speicherung. (Erkläre mal dem Finanzamt: „Die Rechnung haben wir aus Datenschutzgründen sofort gelöscht.“)

Was ist bei „bring your own device“ zu beachten?

„Bring your own device“ ist grundsätzlich möglich, sollte aber

  • klar geregelt sein z.B. in Ihrer IT-Richtlinie.
  • mit einer entsprechenden Unterweisung/Sensibilisierung der Belegschaft verbunden sein. (Stichworte: Passwort vertraulich behandeln, Bildschirmschoner mit Passwortsperre, aktuelle Virenscans, keine vertraulichen/geheimen Informationen verarbeiten, Verlust melden damit der Zugang gesperrt werden kann, Vorsicht vor Spammails, etc.)
  • mittels Ihrer IT-Sicherheit so gut es geht unterfüttert sein. Zum Beispiel sollte der Exchange-Zugang von Ihrer Seite aus gekappt werden können.

….

http://www.cb-consult.org/category/wiki/