SAVISCON GmbH: Ihr Partner für den Datenschutz

Mit der SAVISCON GmbH haben Sie den richtigen Partner an Ihrer Seite, um das Thema Datenschutz in Ihrem Unternehmen nachhaltig umzusetzen. Wir sind zertifiziert und bilden uns regelmäßig zu aktuellen Themen rund um den Datenschutz weiter. Kommen wir Datenschutzbeauftragte einmal nicht weiter, nutzen wir die Kontakte zu unseren ausgewählten Datenschutz-Anwälten und tauschen uns aus. Datenschutz ist ein Prozess und wir unterstützen Sie gerne! Dabei ist uns der persönliche Kontakt zu unseren Kunden und die individuelle Beratung besonders wichtig. Zusätzlich zur Datenschutzberatung unterstützen wir Sie mit unserer eigenen Softwarelösung!

Kostenfreie Erstberatung vereinbaren
Sinnbild für Teamarbeit

Unsere Stärken

Beratung

Beim Aufsetzen eines Datenschutz-Management-Systems ist vieles zu beachten. Wir beraten Unternehmen bei der methodischen und inhaltlichen Ausgestaltung ihres Datenschutz-Managements.

Zum Beratungsangebot
Porträtfoto Karin Selzer

Datenschutz-Beauftragter

Sie können oder wollen keinen internen Datenschutzbeauftragten in Ihrem Unternehmen einsetzen? Mit unseren geschulten Mitarbeitern und in Zusammenarbeit mit unseren Partnern beraten Sie auch gerne als externer Datenschutzexperte.

Zum Datenschutzbeauftragten
MockUp GRC-COCKPIT auf verschiedenen Devices

Datenschutz-Software

Unsere Software hilft Ihnen dabei, DSGVO-konform zu werden, den Überblick zu behalten und die gesetzlichen Dokumentationspflichten zu erfüllen. Mit dem GRC-COCKPIT können Sie individuell ganz nach Ihren Bedürfnissen starten!

Zum GRC-COCKPIT

Hintergrund zum Datenschutz

Seit Mai 2018 sind die DSGVO und das neue Bundesdatenschutzgesetz (BDSG) in Deutschland gültig und verbindlich. Das bedeutet auch, dass bei Nichteinhalten Sanktionen drohen. Falls Sie sogar mit Gesundheitsdaten von Patienten arbeiten, ist hier besondere Vorsicht geboten, denn diese sind nach der DSGVO als „besonders sensible Daten“ einzustufen.

Jeder Mensch hat das Recht geschützt zu werden, vor der unbefugten Erhebung, Speicherung und Weitergabe von Daten, die seine Person betreffen. In der heutigen Zeit haben Sie es ständig mit den personenbezogenen Daten von Mitarbeitern oder Kunden zu tun. Diese Daten gilt es zu schützen und regelkonform zu verwalten. Spätestens nach dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 ist klar, dass es hier besondere Herausforderungen gibt. Die DSGVO löst die Datenschutzrichtlinie 95/46 EG von 1995 ab. Im Vergleich zu ihrem Vorgänger gilt die DSGVO in der gesamten Europäischen Union (EU). Die Grundprinzipien sind dabei gleich geblieben: Verbot mit Erlaubnisvorbehalt, Datenvermeidung und Datensparsamkeit, Zweckbindung und Transparenz.

Wichtig: Die oberste Leitung Ihrer Organisation ist da-zu verpflichtet die Erfüllung der Rechtsvorschriften zum Schutz vor missbräuchlicher Verarbeitung personenbezogener Daten einzuhalten. Das bedeutet, dass Zuwiderhandlungen aufgezeigt und dokumentiert, Maßnahmen zur Vermeidung oder Minimierung eingeleitet und deren Erfolg gemessen werden müssen. Stellen Sie also sicher, dass alle Datenpannen oder Verdachtsfälle auf Non-Compliance in Bezug auf die DSGVO unverzüglich an die Geschäftsführung gemeldet werden.

Seit Mai 2018 sind die DSGVO und das neue Bundesdatenschutzgesetz (BDSG) in Deutschland gültig und verbindlich. Das bedeutet auch, dass bei Nichteinhalten Sanktionen drohen. Falls Sie sogar mit Gesundheitsdaten von Patienten arbeiten, ist hier besondere Vorsicht geboten, denn diese sind nach der DSGVO als „besonders sensible Daten“ einzustufen.

In Deutschland gelten für Eirichtungen, die personen-bezogene Daten verarbeiten, die folgenden Gesetze:

  • DSGVO (EU)
  • Bundesdatenschutzgesetz (BDSG)
  • Landesdatenschutzgesetze (LDSG)
  • Telemediengesetz (TMG)
  • Telekommunikationsgesetz (TKG)

Daraus resultieren eine große Anzahl von unterschiedlichen Anforderungen:

  • Daten müssen nach den Grundsätzen Rechtmäßigkeit, Treu und Glauben sowie Transparenz verarbeitet werden
  • Es dürfen nur notwendige Daten erhoben werden
  • Sie müssen bei der Verarbeitung der Daten den Rechten der betroffenen Personen gerecht werden (siehe nächster Absatz)
  • Sie müssen von der betroffenen Person eine Einwilligung zur Datenverarbeitung einholen, die freiwillig und jederzeit widerrufbar ist
  • Ein Verzeichnis über Verarbeitungstätigkeiten von personenbezogenen Daten ist zu führen und Datenpannen sind zu dokumentieren
  • Folgenabschätzung: beim Einführen einer neuen Technologie zur Unterstützung der Datenverarbeitung, sind Sie dazu verpflichtet vorab eine Risikoanalyse durchzuführen
  • Pflicht der Ernennung eines Datenschutzbeauftragten (unter bestimmten Bedingungen)
  • usw.

Werden Sie diesen und weiteren Anforderungen gerecht? Setzen Sie bereits strukturiert Maßnahmen zur Risikovermeidung bzw. -minimierung ein und dokumentieren diese, um sich vor Pannen, Missbrauch und den damit verbundenen Bußgeldern zu schützen?

Auskunftsrecht: Die Betroffenen haben das Recht da-rauf zu erfahren, ob ihre Daten verarbeitet werden. Falls dies zutrifft, haben sie das Recht darauf Auskunft über die erhobenen Daten und deren Verarbeitungszwecke sowie Herkunft und Speicherungsdauer zu erhalten.

Berichtigung: Der Betroffene kann verlangen, die erhobenen Daten zu vervollständigen oder zu berichtigen.

Löschung: Darüber hinaus haben betroffene Personen das Recht darauf, dass ihre Daten gelöscht werden.

Recht auf Datenübertragbarkeit: Betroffene können beantragen eine Kopie der betreffenden Daten zu erhalten, um diese daraufhin zu einem anderen „Anbieter“ mitzunehmen.

Sind Sie auf diese Themen nicht vorbereitet, können Häufungen von Anfragen erhebliche Personalkapazitäten
für deren Abarbeitung binden. Wenn Sie dadurch die gesetzlichen Fristen nicht einhalten können, kann das wiederum zu Bußgeldern führen.

Übrigens: Personenbezogene Daten sind nicht nur die offensichtlichen Informationen zu Personen. Wenn Sie eine Webseite betreiben und ein Tracking-Tool (beispielsweise Google-Analytics) integriert haben, erheben Sie ebenfalls personenbezogene Daten. Das erfordert unbedingt das vorherige Einverständnis der Webseitenbesucher. Es reicht keine reine Information darüber, dass Sie sogenannte „Cookies“ speichern, sondern der Nutzer muss dem Tracking aktiv zustimmen.

Handeln Sie proaktiv und strukturieren Sie ihren Datenschutz. So sind sie im Falle einer Datenpanne bestmöglich aufgestellt. Dazu können Sie wie folgt vorgehen:

Ist-Analyse: Recherchieren und analysieren Sie alle gesetzlichen Anforderungen, die für Ihr Unternehmen relevant sind. Ggf. ist es sinnvoll einen externen Dienstleister hinzuzuziehen, der sich mit den Datenschutzthemen Ihrer Branche auskennt. Verschaffen Sie sich einen Überblick über alle Systeme und Prozesse in Ihrer Organisation, die mit personenbezogenen Daten arbeiten.

Prüfen Sie: Erfasse ich personenbezogene Daten, die nicht notwendig sind? Dokumentiere ich das Einverständnis der Betroffenen? Usw.

Soll-Zustand: Legen Sie Ihre Ziele fest. Achten Sie darauf, dass Ihre Ziele SMART sind. Also spezifisch (formulieren Sie sie so konkret wie möglich), messbar (bestimmen Sie eine quantitative Messgröße), attraktiv (formulieren Sie so, dass Sie auch motiviert sind das Ziel zu erreichen), realistisch (stellen Sie die Machbarkeit mit den zur Verfügung stehenden Mitteln sicher) und terminiert (definieren Sie einen Endtermin).

Strategie- und Maßnahmenplan: Erstellen Sie Ihr persönliches Datenschutzkonzept. Wie und in welcher Reihenfolge wollen Sie Ihre definierten Ziele erreichen? Bewerten Sie dazu die Datenschutz-Risiken und starten Sie mit den größten Risiken, die eventuell sogar existenzgefährdend werden könnten. Legen Sie in Ihrem Konzept auch die konkreten Zuständigkeiten fest.

Umsetzen: Setzen Sie Ihr Konzept um und Dokumentieren Sie den Fortschritt.

Die technischen und organisatorischen Maßnahmen (TOMs) sind laut Artikel 32 in der DSGVO acht vorgeschriebene Maßnahmen, die gewährleisten sollen, dass mit personenbezogenen Daten ordnungsgemäß umgegangen wird. An diesen TOMs können Sie sich für Ihren Strategie– und Maßnahmenplan orientieren:

Zutrittskontrolle: Hierbei soll verhindert werden, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Dies kann beispielsweise durch einen Pförtner,
oder eine Alarmanlage sichergestellt werden.

Zugangskontrolle: Hierbei soll verhindert werden, dass Unbefugte Zugang auf die Datenverarbeitungsanlagen haben. Das können Sie beispielsweise mit einem Passwort– oder Verschlüsselungsverfahren umsetzen.

Zugriffskontrolle: Hiermit stellen Sie sicher, dass nur befugte Mitarbeiter auf Daten zugreifen und sie lesen können. Auch das Verändern von Daten, das Kopieren
oder Entfernen darf nur durch autorisierte Mitarbeiter stattfinden. Dazu können Sie ein Berechtigungskonzept entwickeln, bei dem bestimmte Zugriffsregeln für einzelne
Benutzer oder Benutzergruppen gelten.

Weitergabekontrolle: Es muss gewährleistet sein, dass Daten, die auf elektronischem Wege übermittelt werden, nicht unbefugt gelesen, kopiert, entfernt oder verändert werden. Beispielsweise mit einer zusätzlichen Verschlüsselung oder einem Virtual Private Network.

Eingabekontrolle: Bei der Eingabekontrolle muss nachträglich überprüft werden können, ob und wer Daten geändert oder entfernt hat (Protokollierung).

Auftragskontrolle: Stellen Sie sicher, dass Daten, die in Ihrem Auftrag verarbeitet werden, auch nur gemäß Ihrer Anweisung verarbeitet werden (Vertrag zur Auftragsverarbeitung).

Verfügbarkeitskontrolle: Mit einem Datensicherungs- bzw. Backup-Plan sowie einen funktionierenden Firewall sichern Sie sich gegen die Zerstörung oder den Verlust von Daten ab.

Trennungsgebot: Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen separat verarbeitet werden (Trennung der Systeme).

Achtung: Zwar greifen viele Unternehmen zu TOMs, um der DSGVO gerecht zu werden, aber eins wird häufig vergessen: Mitarbeiter, die nicht ausreichend für das Thema Datenschutz sensibilisiert sind oder sorglos damit umgehen. Stellen Sie hier sicher, dass Sie Ihre Mitarbeiter regelmäßig zum Thema Datenschutz schulen und der Workflow bei einer Datenpanne in Ihrem Unternehmen bekannt ist.

Kostenfreie Erstberatung vereinbaren


Blog-Beiträge zum Datenschutz

Whitepaper-Download