Datenschutz-Coaching-Audio: Januar 2020 – Auftragsverarbeitung (Folge 2)

Hier kommt die zweite Folge des Audio-Coaching zum Thema Auftragsverarbeitung:
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Profis vom 21.01.2020

Am 21.01.2020 fanden die Office Hours für Profis statt. Es gab wieder jede Menge Fragen.

Eine Ergänzung habe ich noch. Bei der Frage nach den „Diätassistenten“ hat sich herausgestellt, diese tatsächlich nicht nur zu den Gesundheitsberufen von Art. 9 DSGVO i.V.m. § 22 BDSG zählen, sondern auch Berufsgeheimnisträger i.S.d. § 203 StGB sind. Das macht die Sache für diese Berufsgruppe daher etwas leichter.

Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier anhören (oder herunterladen):

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Datenschutz-Coaching-Audio: Januar 2020 – Auftragsverarbeitung (Folge 1)

So…ja…das ist neu. Denn im Jahr 2020 werden Datenschutz-Coaching-Mitglieder jeden Monat zusätzlich zu den sonstigen Inhalten (Webinare, Office Hours, Online-Kurse) auch 4 Folgen Audio-Coaching erhalten.

Was ist das? Technisch ist es zwar kein Podcast, aber es geht in eine ähnliche Richtung. Denn du kannst als Datenschutz-Coaching-Mitglieder die jeweilige Folge entweder auf der Website anhören oder als MP3-Datei herunterladen und dann z.B. auf Reisen, beim Joggen oder in der Badewanne anhören.

Jede Audio-Coaching-Folge behandelt im jeweiligen Monat das Monatsthema des Datenschutz-Coachings. Und im Monat Januar 2020 ist unser Thema die Auftragsverarbeitung.

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinar Ablauf von Bußgeld- und Anordnungsverfahren bei Aufsichtsbehörden (und Gerichten)

Am 16.01.2020 fand ein Webinar zum „Ablauf von Bußgeld- und Anordnungsverfahren bei Aufsichtsbehörden (und Gerichten)“ statt.

Auch viele Datenschutzbeauftragte in Unternehmen und öffentlichen Stellen wissen ggf. nicht, wie ein „Verfahren“ bei einer Aufsichtsbehörde abläuft und vor allem auch, wie sich Unternehmen (oder öffentliche Stellen) am besten verhalten.

Datenschutz-Coaching-Mitglieder können die Aufzeichnung hier ansehen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Beginner vom 10.01.2020

Das erste Mal in diesem Jahr fanden die Office Hours für Beginner statt.

Diesmal ging es u.a. um folgende Themen:

  • Zugriff auf Patientendaten in Belegarztklinik
  • Rechtsgrundlage für Datenverarbeitung in Beratungszentrum für Cyber-Stalking
  • Praktische Bearbeitung von Auskunftsersuchen im Personalbereich
  • Web-Berichtsheft der IHK ins eigene Verzeichnis von Verarbeitungstätigkeiten?
  • Muss ich immer eine eindeutige Rechtsgrundlage für eine Verarbeitung haben?
  • Benennung von DSB für asiatisches Unternehmen ohne Niederlassung in der EU?
  • Organisationsberatung Datenschutz als Nicht-Anwalt möglich? Oder Verstoß gegen das RDG?
  • Personalprozesse im Verarbeitungsverzeichnis
  • Berücksichtigung von Umsätze von Tochterunternehmen bei Bußgeldern
  • Löschfrist im Personalbereich
  • Kontoauszugsservice für Heimbewohner
  • Einsatz von Google Maps bei einfacher Verlinkung
  • Angabe von Google Analytics in Datenschutzhinweisen schädlich, wenn Google Analytics nicht eingesetzt wird?

Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung der Office Hours hier herunterladen.

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen.

Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn ich mit diesem Fall als Anwalt betraut gewesen wäre, hätte die Behördenleitung Konsequenzen aus diesem rechtswidrigen Verhalten folgen lassen müssen.

Um für rechtliche Klarheit in diesem Bereich zu sorgen, hat der deutsche Gesetzgeber nun eine Änderung des Steuerberatungsgesetzes (StBerG) beschlossen, die seit dem 18.12.2019 in Kraft getreten ist.

Dort ist § 11 StBerG neu gefasst worden:

§ 11 Verarbeitung personenbezogener Daten
(1) Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(2) Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(3) § 83 dieses Gesetzes und § 30 der Abgabenordnung stehen dem nicht entgegen.

Damit sind nun folgende, zuvor nicht ganz klare Probleme gelöst:

  1. Für besondere Kategorien personenbezogener Daten ist nun die Rechtsgrundlage für die Verarbeitung durch Steuerberater geregelt. Und zwar verweist § 11 StBerG insoweit jetzt auf die Befugnis aus Artikel 9 Abs. 2 lit. g) DSGVO. Im Ergebnis ist so eine Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten im deutschen Recht – also im StBerG – geschaffen worden.
  2. Steuerberater sind bei jeglicher Verarbeitung von personenbezogenen Daten selbst Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO und arbeiten weisungsfrei. Im Ergebnis ist damit eine Auftragsverarbeitung ausgeschlossen. Und zwar auch dann, wenn „nur“ eine Lohnabrechnung für Mandanten erfolgt.

Dass der Gesetzgeber gerade auch das Problem, dass z.B. von einigen Aufsichtsbehörden vertreten wurde, dass die Lohnbuchhaltung eine Auftragsverarbeitung sei, lösen wollte, lässt sich übrigens ausdrücklich der Gesetzesbegründung entnehmen:

In § 11 Absatz 2 Satz 1 StBerG wird ergänzt, dass die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei erfolgt. D. h. dies gilt auch für das „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen. Mit dieser Regelung werden die berufsrechtlichen Pflichten des Steuerberaters als Berufsgeheimnisträger zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung sichergestellt.
Quelle: BT-Drs. 19/14909, S. 58

Dass der deutsche Gesetzgeber diese Frage der Berufsausübung im Bereich der freien Berufe so regelt, widerspricht im Übrigen auch nicht dem Europarecht. So wird man hier also nicht über einen Vorrang der DSGVO argumentieren können, dass dennoch eine Auftragsverarbeitung bei Steuerberatern in Frage käme.

Update, 30.12.2019: Da die Diskussion bei Twitter aufkam, ob der nationale Gesetzgeber überhaupt festlegen kann, wer Verantwortlicher und wer Auftragsverarbeiter ist, weise ich ergänzend darauf hin, dass der nationale Gesetzgeber nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung personenbezogener Daten vorgeben kann. Dies hat der Gesetzgeber im vorliegenden Fall in zulässiger (wenn vielleicht auch nicht eleganter) Weise getan, in dem in seiner Gesetzesbegründung erläutert hat, warum Steuerberater auch bei einer Lohnabrechnung etc. eigenverantwortlich tätig werden. Im Ergebnis kann so eine Verantwortlichkeit faktisch vom nationalen Gesetzgeber vorbestimmt werden.

Ich betrachte diese Rechtsfrage damit als geklärt. Daraus ergibt sich: Bei der Inanspruchnahme von Leistungen von Steuerberatern nach dem StBerG liegt KEINE Auftragsverarbeitung vor.

Insbesondere die Aufsichtsbehörden in Baden-Württemberg und Nordrhein-Westfalen sind nun aufgefordert, die von ihnen zuvor vertretene Rechtsauffassung, dass bei einer Lohnbuchhaltung durch Steuerberater eine Auftragsverarbeitung vorliege, öffentlich zu revidieren.
Dies ist schon geboten, um die von den Aufsichtsbehörden (m.E. fälschlicherweise) verursachte Rechtsunsicherheit nunmehr zu beseitigen.

Office Hours für Profis vom 16.12.2019

Es waren heute die letzten Office Hours für dieses Jahr. Und zwar die Office Hours für Profis.

Nächstes Jahr geht es dann weiter mit den Office Hours. Bis dahin können Datenschutz-Coaching-Mitglieder aber erst einmal die Aufzeichnung der Office Hours als MP3-Datei herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Arbeitsgericht Berlin: Zeiterfassung per Fingerabdruck ohne Einwilligung der Beschäftigten nicht zulässig

Das Arbeitsgericht Berlin (ArbG Berlin) hat in einem Urteil vom 16.10.2019 entschieden, dass eine Zeiterfassung über ein Zeiterfassungssystem, das über einen Fingerabdruck der Beschäftigten, die Arbeitszeiten erfasst, nicht ohne Einwilligung der Beschäftigten erfolgen darf. Das Urteil ist im Volltext hier zu finden: ArbG Berlin, Urteil vom 16.10.2019, Az.: 29 Ca 5451/19

Dem Urteil lag folgender Sachverhalt zugrunde:

Sachverhalt

Bis zur Einführung des neuen, auf einem Fingerabdruck basierenden Zeiterfassungssystems, trugen die Beschäftigten in dem betreffenden Unternehmen auf einem ausgedruckten und ausliegenden Dienstplan per Hand ihre geleisteten Arbeitszeiten ein. Dabei wiesen die eingetragenen Arbeitszeiten auch geleistete Mehrarbeitsstunden aus. Gelegentlich wurden abweichende Dienstzeiten mündlich nachgeliefert. Eine Kontrolle der eingetragenen Zeiten fanden nicht statt.

Der Arbeitgeber hat dann per Rundmail an die Beschäftigten über das neu eingeführte Zeiterfassungssystem informiert und mitgeteilt, dass wenige Tage später nur noch die Arbeitszeiten anerkannt würden, die mit dem neuen Zeiterfassungssystem erfasst worden sind.

Dagegen hat sich ein Beschäftigter gewehrt und letztlich auch (neben anderer Streitpunkte) Klage beim ArbG Berlin erhoben.

Wie hat das Gericht entschieden?

Das ArbG Berlin hat den Einsatz des Zeiterfassungssystem datenschutzrechtlich für unzulässig erklärt, wenn keine Einwilligung des betroffenen Beschäftigten vorliege.

Das ArbG Berlin führt dazu zunächst zum Sachverhalt wörtlich aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Dann kommt das ArbG Berlin richtigerweise zu dem Ergebnis, dass es sich bei dem Minutiendatensatz um biometrische Daten i.S.d. Art. 9 Abs. 1 DSGVO handelt und zudem auch um besondere Arten personenbezogener Daten nach § 26 Abs. 3 BDSG.

Da eine Einwilligung des Betroffenen nicht vorlag, musste das ArbG Berlin sodann eine Prüfung auf Basis von § 26 Abs. 1 BDSG und § 26 Abs. 3 BDSG vornehmen.

Die Prüfung der beiden Tatbestände nimmt das ArbG Berlin hier im Ergebnis nicht getrennt vor. Das Gericht kommt unter Berücksichtigung der Vorgaben von § 26 Abs. 1 und 3 BDSG zu dem Schluss, dass Voraussetzung für eine Zulässigkeit der Verarbeitung von Daten mittels des neuen Zeiterfassungssystems zulässig wäre, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Ferner müsse die Erhebung und Verwendung von biometrischen Merkmalen im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

  1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.
  2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.
  3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen.

Dabei gelte nach der Auffassung des ArbG Berlin folgende Regel:

Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden.

Diese Prüfungen führt das ArbG dann in seinem Urteil durch und stellt zunächst die „Erforderlichkeit“ in Frage:

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Da der Arbeitgeber in dem Verfahren aber nicht dazu vorgetragen hat, dass es in der Vergangenheit zu Missbrauch gekommen ist und zudem nicht dargelegt habe, dass bei Einführung eines anderen neuen (nicht biometrischen) Zeiterfassungssystems ein Missbrauch zu befürchten sei, würden insgesamt die Interessen des Arbeitgebers das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Verarbeitung nicht überwiegen.

Daher sei die Datenverarbeitung mittels des neuen Zeiterfassungssystems unter Verwendung biometrischer Daten datenschutzrechtlich nicht zulässig.

Meine Meinung zu dem Urteil

Ich halte das Urteil im Ergebnis für richtig. Im Hinblick auf die Anwendung der Rechtsgrundlagen gibt es m.E. kleine handwerkliche Fehler, die jedoch nicht von Belang sind. Insbesondere sind diese für das Ergebnis nicht von Belang.

Ich habe Unternehmen schon vor Anwendung der DSGVO stets geraten, bei der Einführung von Verarbeitungen, die auf biometrischen Daten basieren besondere Vorsicht walten zu lassen.

Nach meinem Dafürhalten sind bei der Verarbeitung von biometrischen Daten zudem Datenschutz-Folgenabschätzungen i.S.d. Art. 35 DSGVO durchzuführen. Dies gilt jedenfalls dann, wenn das jeweilige System biometrische Daten in Rohfassung speichert. Bei einem Fingerabdruck wären das z.B. konkrete Messdaten, die ggf. dazu genutzt werden könnten, die Daten z.B. durch Reproduktion zu missbrauchen. Das Risiko für die Betroffenen bei der Verarbeitung von biometrischen Rohdaten ist regelmäßig als sehr hoch einzustufen.

Wir müssen nicht weit in die Zukunft denken, um uns vorzustellen, was ich mit einem „nachgedruckten“ Fingerabdruck alles an Missbrauch anstellen könnte. Ein falscher Fingerabdruck an einem „Tatort“ z.B. ist „nicht lustig“.

Es sind sicher auch unter Verwendung von biometrischen Daten Systeme denkbar, die ohne eine Einwilligung in zulässiger Weise einsetzbar wären. Dann müssten diese Systeme aber zumindest schon einmal konstruiert sein, dass biometrische Rohdaten allenfalls flüchtig im System erfasst und z.B. sofort nach Erfassung durch einen Hashwert ersetzt werden, der nicht rückrechenbar wäre, damit ein Risiko für einen Missbrauch der Daten minimiert werden kann.

Bei der vorgenommenen Interessenabwägung hätte das Gericht also sogar mutiger sein können. Zunächst kommt es schon nicht darauf an, dass die Interessen des Arbeitgebers überwiegen müssen, sondern – und das kann in „Pattsituationen“ mal entscheidend werden – dass das Interesse des Betroffenen gegen die Verarbeitung überwiegen muss.

Und das Interesse des Betroffenen gegen die Verarbeitung seiner biometrischen Daten überwiegt im vorliegenden Fall, zumal weniger „invasive“ Zeiterfassungssysteme marktgängig sind, das Interesse des Arbeitgebers an der Einführung des Systems in erheblicher Weise. Und zwar offensichtlich.

Ich würde im vorliegenden Fall sogar – auch wenn dies nicht vom Gericht zu entscheiden war – so weit gehen, dass eine Verarbeitung von biometrischen Daten „in Rohfassung“ für eine reine Zeiterfassung auf Basis einer Einwilligung als rechtswidrig eingestuft werden könnte, weil ich erhebliche Zweifel an der Freiwilligkeit der Beschäftigten haben würde. Das ist jedoch immer Einzelfallfrage.

Webinar „Umsetzung von Datensicherheitsmaßnahmen (in KMU)“

Am 12.12.2019 fand das Webinar „Umsetzung von Datensicherheitsmaßnahmen (in KMU)“ für Datenschutz-Coaching-Mitglieder statt.

Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung des Webinars hier ansehen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Beginner vom 10.12.2019

Am 10.12.2019 haben die Office Hours für Beginner stattgefunden.

Datenschutz-Coaching-Mitglieder können die Aufzeichnung hier als MP3-Datei herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung

Für das Jahr 2020 habe ich für meine Mandanten eine Art Datenschutz-Fahrplan entwickelt. Die Idee dahinter ist, „Datenschutz“ einfach besser zu machen. Mit einfachen Methoden, kleinen Schritten und guten Ergebnissen. Ohne den Anspruch, perfekt zu sein.

Wir Menschen überschätzen gerne, was wir in einem Monat schaffen können (Beispiel: hoch motiviert 10kg abnehmen) und wir unterschätzen aber auch, was wir in einem Jahr schaffen können (Beispiel: 10kg in einem Jahr abzunehmen, ist für viele Menschen gut schaffbar).

Und so ist es auch mit der Umsetzung von Datenschutz. Es bringt nämlich nichts, vollkommen übermotiviert schon in ersten Monat „alles an Datenschutz“ umzusetzen. Du wirst sehr schnell sehen, dass das nicht geht. In der Folge kommt der Frust und häufig auch die Resignation. Und in der Konsequenz stehst du bzgl. Umsetzung von Datenschutz genauso wie im Jahr zuvor. Wahrscheinlich also nicht da, wo du sein wolltest.

Nur wie gehen wir hier vor? Für Datenschutz-Coaching-Mitglieder wird es im Jahr 2020 eine ganze Reihe von Unterstützungen geben. Jeden Monat werde ich Ideen präsentieren, wie du im eigenen Unternehmen oder deiner öffentlichen Stelle die richtigen Fragen stellst oder wie du deine Kunden dazu bewegen kannst, dir die entscheidenden Informationen zu geben, damit „Datenschutz“ letztlich besser dokumentiert und vor allem auch umgesetzt werden kann.

Natürlich kannst du das alles selbst am besten machen. Aber manchmal ist ein bisschen Hilfestellung auch ganz gut. Und dazu ist das Video hier vielleicht auch eine kleine Hilfe für dich:

Wenn dir das nicht ausreicht, kannst du natürlich Datenschutz-Coaching-Mitglied werden (falls du das noch nicht bist) und dann ab Januar 2020 durchstarten. Oder vielleicht möchtest du an einer Schulung „Datenschutz 2020 teilnehmen, um hier den Impuls und die Vorlagen für das Jahr zu bekommen. Übrigens gibt es für diese Schulungen einen ordentlichen Rabatt für Datenschutz-Coaching-Mitglieder. Ggf. lohnt sich also beides. 😉

Datenschutz-Mittwoch: Datenschutz-Schulungen in Unternehmen und öffentlichen Stellen

Im heutigen „Datenschutz-Mittwoch“ ging es um das Thema „Datenschutz-Schulungen in Unternehmen und öffentlichen Stellen“.

Hier ging es insbesondere um diese Fragen:

  1. Muss ich die Beschäftigten zum Thema Datenschutz schulen?
  2. Wie lang muss eine Schulung sein?
  3. Welche Themen müssen in einer Schulung enthalten sein?
  4. Wer darf oder sollte die Schulung machen?
  5. Ist E-Learning für Schulungen eine gute Idee?

Die Aufzeichnung können sich Datenschutz-Coaching-Mitglieder sich hier ansehen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden