Datenschutz-Coaching

Beiträge, die nur für Datenschutz-Coaching-Mitglieder zugänglich sind.

Diese Kategorie ist nur für Mitglieder voll einsehbar. Die erforderliche Mitgliedschaft kannst Du hier erwerben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital].

Webinaraufzeichnung: BDSG im Überblick

Diesen Mittwoch fand ein Webinar für Datenschutz-Coaching-Mitglieder statt, dass sich mit dem neuen Bundesdatenschutzgesetz (BDSG) befasste, das am 25.05.2018 in Kraft tritt.

Wir sind da nicht in die Tiefe gegangen. Ziel des Webinars war es, einen Überblick über das neue BDSG zu bekommen und vor allem die Struktur zu verstehen.

Ab den §§ 45 ff. BDSG n.F. werden nämlich die Normen für Unternehmen gar nicht mehr relevant sein. Und so ging es in dem Webinar dann auch u.a. darum, hier Anfängerfehler in der Datenschutzpraxis durch falsche Verweise auf § 64 BDSG n.F. oder § 53 BDSG n.F. zu vermeiden.

Das Video „Überblick über das BDSG-neu“ können Datenschutz-Coaching-Mitglieder hier sehen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Datenschutz-Folgenabschätzung nach der GM-Methode

Es gibt eine Reihe von Ansätzen dafür, wie eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden kann. Die sind auch alle gut und hilfreich. Am Ende muss aber jeder, der eine DSFA schreiben oder so ein Projekt zu leiten hat, seinen eigenen Weg finden müssen, um hier die Einhaltung der gesetzlichen Anforderungen mit dem entstehenden Aufwand in Einklang zu bringen.

Da eine DSFA nur bei Verarbeitungen mit einem voraussichtlich hohen Risiko für die Betroffenen durchgeführt werden muss, wird dies in der Regel Verfahren oder Prozesse im Unternehmen betreffen, die nicht unbedingt trivial oder schnell zu beschreiben sind. Einigkeit dürfte daher darüber bestehen, dass eine DSFA auf einer Seite, also sozusagen als „One-Pager“ selten möglich sein wird.

Aber es müssen vielleicht auch nicht über 50 Seiten einer Bewertung nach dem sog. Standard-Datenschutzmodell (SDM) sein.

Es gibt ein paar hilfreiche Dokumente, die bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) sehr hilfreich sein können:

Ich sitze nun aktuell an einigen DSFA. Und es zeigt sich folgendes:

  1. Es gibt keinen „One-Size-fits-all“- Ansatz. Mal passt z.B. das SDM, mal nicht. Warum nicht? Weil das SDM manchmal zu Aufwänden einer DSFA führen würde, die nicht im Verhältnis zum Risiko stehen. Das wird der eine oder andere anders sehen. Ist aber nun einmal meine Erfahrung.
  2. Eine DSFA ist nicht einfach. Die Ersteller brauchen nicht nur Erfahrung im Datenschutzrecht und Kenntnisse im technischen Bereich. Interdisziplinäre Teams, die es gewohnt sind, gemeinsam miteinander zu arbeiten, sind ein Schlüssel zu einer effektiven Erstellung von DSFA.
  3. Die Durchführung der DSFA ist eine rechtliche Anforderung. Leider wird bei der DSFA von manchen Personen Technik und Recht falsch bewertet. So höre ich von Technikern, dass bestimmte Maßnahmen nicht dem Risiko entsprechend seien. Auf die Frage „warum“ kommt ggf. die Antwort: „Weil das so ist.“
    Wenn es aber genau in der Frage schon z.B. eine eindeutige Stellungnahme des BGH oder eine ständige Rechtsprechung gibt, dann kann ich nicht zu dem Ergebnis kommen, dass hier ein hohes Risiko vorliegt. Eine juristisch als zulässig geklärte Datenverarbeitung kann im Ergebnis nicht dazu führen, dass in der DSFA ein voraussichtlich hohes Risiko verbleibt. Genau zu diesen Konsequenzen kann es aber bei strikter Anwendung des SDM kommen.
  4. Solange das SDM nicht eng an die Datenschutz-Grundverordnung (DSGVO) angepasst ist (das ist derzeit – Stand: 16.03.2018 – nicht der Fall), kann es als Standard für eine DSFA zu zu engen Ergebnissen führen. Das sollte den Erstellern von DSFA bei der Wahl der Methode bewusst sein.

Ich halte das SDM für ein geeignetes „Modell“, um Datenverarbeitungsvorgänge zu prüfen. Die Anwendung des SDM ist aber juristisch nicht erforderlich und auch nicht zwingend. Dieser Eindruck wird z.T. erweckt. Juristisch zwingend ist allein die Einhaltung der Vorgaben des Art. 35 DSGVO. Nicht mehr und nicht weniger. Von der Anwendung des SDM oder eines sonstigen Standards steht da nichts. Und entgegen der Auffassung, die zuweilen geäußert wird, lässt sich das SDM auch nicht direkt aus der DSGVO ableiten. Sowohl die Grundrechte-Charta der EU als auch die Grundsätze der Datenverarbeitung in Art. 5 DSGVO sind im Hinblick auf Wertung und Gewichtung der Schutzziele nicht deckungsgleich mit den Schutzzielen und vor allem deren Gewichtung im SDM.

Was denn nun die Anforderungen aus Art. 35 DSGVO sind und welche Konsequenzen für die Umsetzung einer DSFA daher nach „gesundem Menschenverstand“ sich daraus meiner bescheidenen Meinung nach ergeben, können Datenschutz-Coaching-Mitglieder dem nachfolgenden Video (1:49h) entnehmen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Datenschutzmanagement für KMU – mit dem „Datenschutzhandbuch“ (DSGVO)

Wenn wir mal ganz ehrlich zu uns selbst sind, dann werden auch kleine und mittelständische Unternehmen (KMU) die doch recht weitreichenden Vorgaben der Datenschutz-Grundverordnung (DSGVO), die auch für KMU gelten, nicht umsetzen und vor allem im Hinblick auf einen haftungs- und sanktionsrechtlich relevanten Fahrlässigkeitsvorwurf nicht nachweisen können, ohne eine Form eines geordneten „Prozesses“ für die Umsetzung der Pflichten der DSGVO vorweisen zu können. Immer wenn wir über solche „geordneten Prozesse“ sprechen, ist von Qualitätsmanagement bzw. Management-Systemen die Rede. Und heute reden wir mal über Datenschutzmanagementsysteme (DSMS).

Dazu aber gleich mehr. Zunächst aber dies: Der aufmerksame Leser wird vielleicht über die Formulierung oben gestolpert sein…wieso soll denn das KMU „nachweisen“, dass es nicht fahrlässig (oder vorsätzlich) gehandelt hat. Das muss doch schließlich „Staat“ im Falle eines Bußgeldes oder der Geschädigte im Falle eines Schadensersatzanspruches nachweisen. Ja, das ist grundsätzlich richtig. Nur hat die Europäische Union auf rechtsstaatlich nicht unbedenkliche Weise in Art. 5 Abs. 2 DSGVO eine Nachweispflicht („Rechenschaftspflicht“) eingeführt, die – auf dem Papier – zwar nicht unmittelbar aber zumindest mittelbar zu einer Art von Beweislastumkehr führt.

Und über § 93 Abs. 1 i.Vm. § 91 Abs. 2 AktG bzw. § 43 GmbHG wird es dann ohne ein Datenschutzmanagementsystem aber ggf. auch schon mal eng für die vertretungsberechtigten Personen der Kapitalgesellschaften. Denn ohne jedwede Maßnahme im Bereich Datenschutzmanagement wird es bei Bußgeldrisiken von bis zu 20 Mio. Euro nach der DSGVO die Luft für Geschäftsführer und Vorstände ggf. eng – im Hinblick auf eine denkbare persönliche Haftung. Auf einmal wird Datenschutz dann doch zur Chefsache (ich hasse übrigens diesen „Beratersprech-“ bzw. Schlaumeier-Satz).

Wir können lange hin und her reden, aber auch aus Art. 24 Abs. 1 DSGVO und im Bereich der Datensicherheit aus Art. 32 Abs. 1 lit. d) DSGVO sind die Zeichen sehr deutlich in Richtung eines „Managementsystems“ gesetzt. Genau genommen macht da bei einer Gesamtbetrachtung nur ein DSMS Sinn. Wie setze ich denn jetzt aber ein DSMS um? Gibt es dafür einen Standard?

Es gibt natürlich für alles mögliche immer Standards. Im Bereich des Datenschutzes könnte z.B. ISO 29151 genannt werden. Allerdings für die DSGVO kein wirklich passgenauer Ansatz. Auf jeden Fall auch viel zu viel Aufwand für KMU. Ein recht guter Standard ist dann VdS 10010. Der ist im Bereich der sog. „Aufbauorganisation“, also der erforderlichen Personen, die im Datenschutz „Hüte“ im Unternehmen auf haben, aber auch nicht ohne. Einen Überblick über Standards und Vor- und Nachteile derselben habe ich in diesem Webinar mal in Ansätzen aufgezeigt.

Es ist im Ergebnis auch nicht ganz entscheidend, ob ich mich an einen Standard halte. Wichtig ist allerdings schon, dass bei der Umsetzung eine Struktur erkennbar ist, aus der sich ergibt, dass Datenschutzmaßnahmen, die gesetzlich vorgesehen sind, geplant und umgesetzt werden. Und dass diese auch regelmäßig evaluiert und angepasst werden. Es grüßt der „Plan Do Check Act“-Zyklus. Der PDCA-Zyklus als Zirkel der kontinuierlichen Verbesserung. Insbesondere ist es hilfreich, sich bei der Struktur im Bereich der Datensicherheit an gängige Standards der Informationssicherheit (ISO 27001, BSI-Standard, VdS 3473) „anzulehnen“. Im Worst-Case-Szenario wird es in der Regel darauf hinauslaufen, dass ein Gericht einen Sachverständigen mit der Klärung der Frage beauftragt, ob Daten dem Stand der Technik entsprechend sicher verarbeitet wurden. Und diesem Sachverständigen sollte sich bei Sichtung von Dokumenten eine Struktur zeigen, die er als „Sicherheitsstandard“ erkennen kann.

Ich glaube bei der Planung und Umsetzung eines DSMS ist es immer noch die beste Idee, mit einzelnen Richtlinien zu arbeiten, die idealerweise in einem Unternehmens-WIKI gepflegt werden. Denn das löst zugleich Probleme der Dokumentenlenkung (inkl. der Erstellung, Prüfung und Freigabe) und die Probleme der Versionierung von Dokumenten und der Änderungsrückverfolgung.

Ein bewährtes Set von Richtlinien in einem DSMS beinhaltet z.B. folgende Dokumente:

  • Leitlinie zu Datenschutz und Informationssicherheit
  • Richtlinie zum Datenschutz (für Beschäftigte)
  • Richtlinie zur Umsetzung von Datenschutzmaßnahmen
  • Richtlinie für die Umsetzung von Betroffenenrechten
  • IT-Richtlinie für Nutzer
  • Richtlinie für Speicherorte
  • Richtlinie für die Nutzung mobiler IT-Systeme
  • Richtlinie für die Nutzung mobiler Datenträger
  • Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer
  • Richtlinie für Störungen und Ausfälle
  • Richtlinie für Sicherheitsvorfälle
  • Notfallplan

In der Mandatspraxis hat sich aber bei einigen DSGVO-Projekten gezeigt, dass die Mandanten mit diesem Ansatz nicht zufrieden waren. Da kamen z.B. folgende Äußerungen:

Stephan, das ist schon alles gut. Aber wir haben hier eine ganze Reihe von älteren Beschäftigten. Die gucken eigentlich nie ins WIKI.

Können wir das nicht alles in einem Dokument bekommen. Ich möchte den Mitarbeitern etwas in die Hand geben können.

Bei uns arbeiten 120 Leute in der Halle. Die haben da zwar einen gemeinschaftlichen PC. Den nutzen die aber nur, um ihre Stunden und Urlaub einzutragen. Wir brauchen da schon irgendwie „Papier“.

Ich denke dann immer. Mensch, wir leben im 21. Jahrhundert. Was wollt ihr mit Papier? Dann habe ich mir aber gedacht: Okay, lass’ uns das probieren.

Also habe ich alle Richtlinien einfach in einem Dokument zusammengefügt, miteinander harmonisiert und ein bisschen Begleittext geschrieben. Fertig war das Datenschutzhandbuch. Die Version 0.1 habe ich dann an die betroffenen Mandanten gesendet. Die waren mit dem Ansatz „happy“. Genau das, was sie wollten.

Dann bin ich aber noch einen Schritt weiter gegangen und habe das Dokument auch an die Mandanten gesendet, die bereits WIKIs im Einsatz hatten bzw. die Umsetzung der DSMS-Richtlinien im WIKI geplant hatten. Und nach dem Feedback war ich „baff“. Über 80% der Mandanten sind auf das „Datenschutzhandbuch“ umgestiegen. Weg vom WIKI, hin zu einem Dokument. Ich habe das nicht ganz verstanden. Aber wenn die Mandanten sagen, dass das besser zu ihnen passt, dann haben die Mandanten recht. So einfach ist das.

Jetzt habe ich dieses Datenschutzhandbuch noch etwas verfeinert, und es ist jetzt mein Hauptwerkzeug bei der Umsetzung von Datenschutzmanagementsystemen bei Mandanten. Der Vorteil: Es ist flexibel, schnell und vor allem für die Mandanten einfach versteh- und nachvollziehbar.

Es sind auch in dem Datenschutzhandbuch alle m.E. erforderlichen Richtlinien für die Umsetzung der Datenschutzmaßnahmen nach der DSGVO. Aber nicht nur das. Es beinhaltet vor allem auch eine Aufbauorganisation für das Datenschutzmanagement mit einem flexiblen und ggf. schlanken Datenschutz- und Informationssicherheitsteam.

Hervorheben möchte ich hier insbesondere, dass mein „Datenschutzhandbuch“ der Rollen- und Aufgabenverteilung zwischen den Pflichten des Unternehmens als „Verantwortlichen“ und der Rolle des Datenschutzbeauftragten entsprechend Rechnung trägt und dabei vor allem die Haftungsaspekte des Datenschutzbeauftragten entsprechend berücksichtigt.

Das Datenschutzhandbuch füllt gut 50 DIN A4 Seiten und liegt im Word-Format vor. Es ist für Datenschutz-Coaching-Mitglieder herunterladbar.

Da eine Datenschutz-Coaching-Mitgliedschaft schon ab 46,41 € (inkl. MwSt.) erhältlich ist, sollte die Anschaffung bei Interesse an einer DSMS-Umsetzung in KMU über ein Datenschutzhandbuch ein „No Brainer“ sein.

Übrigens haben auch Mitglieder des Online-Kurses für Datenschutzbeauftragte Zugriff auf das Dokument.

Das Dokument wird regelmäßig aktualisiert und steht bei aktiver Datenschutz-Coaching-Mitgliedschaft dann in der jeweils aktuellen Version zur Verfügung.

Zu den Nutzungsrechten: Das Dokument kann von Datenschutz-Coaching-Mitgliedern heruntergeladen und nach Belieben angepasst und für sich oder Kunden verwendet werden. Die Verwendung erfolgt auf eigenes Risiko. In dem Dokument sind keinerlei Hinweise auf ein Urheberrecht von mir enthalten und müssen auch nicht angebracht werden. Das einzige, was ich im Hinblick auf die Nutzung untersage, ist der Verkauf des Dokuments über das Internet. Ich möchte also nicht, dass ihr das Dokument über eure Internetseiten kostenfrei oder kostenpflichtig zum Download bereitstellt. Für euch oder eure Kunden könnt ihr es aber frei verwenden.

Das Dokument können Datenschutz-Coaching-Mitglieder hier herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufzeichnung der Office Hours vom 08.03.2018

Heute haben wieder die „Office Hours“ stattgefunden.

Wieder stolze 90 Minuten.

Heute ging es u.a. um folgende Themen:

  • Datenschutzbeauftragte in Arztpraxen
  • Datenschutzbeauftragte bei Steuerberatern
  • Fragen zur Auftragsverarbeitung in sehr vielen Fallkonstellationen.
  • Die unsäglichen Informationspflichten
  • Fragen zu Auskunftspflichten
  • u.vm.

Die Aufzeichnung können Datenschutz-Coaching-Mitglieder hier herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Umsetzung der DSGVO mit der GM-Methode

Schon bevor die DSGVO im Amtsblatt der Europäischen Union veröffentlicht wurde, habe ich mit den ersten DSGVO-Implementierungsprojekten begonnen. Warum? Für einige Mandanten von mir bedeutete die DSGVO gravierende Umwälzungen im Geschäftsmodell. Diese waren frühzeitig zu bedenken und umzusetzen.

Zudem habe ich einige größere Unternehmen mit sehr vielen Geschäftsprozessen bei der Implementierung der DSGVO frühzeitig unterstützt. Diese Unternehmen hatten richtigerweise erkannt, dass eine Änderung von Geschäftsprozessen erforderlich wird und dies unmittelbare und mittelbare Auswirkungen auf andere Prozesse im Unternehmen haben wird.

Wie dem auch sei. Seit 2015 habe ich etliche DSGVO-Projekte begleitet. Und viele, ja sehr viele sind gescheitert. Und ich finde das nicht schlimm. Im Gegenteil. Ich sehe das wie Thomas Edison, der nach nach angeblich 1.000 Fehlversuchen, eine Glühbirne zu bauen, gesagt haben soll:

Ich bin nicht gescheitert. Ich kenne jetzt 1 000 Wege, wie man keine Glühbirne baut.

Und genauso sehe ich das auch. Ein DSGVO-Projekt gegen die Wand fahren zu sehen, kann schmerzhaft sein. Für die Mandanten. Als Anwalt hat man dann vielleicht eher die Ruhe und Besonnenheit, das nicht als Scheitern, sondern hilfreiches Feedback zu sehen.

Und so wie Thomas Edison kann ich heute sagen:

Ich kenne eine Vielzahl von Wegen, wie die DSGVO nicht erfolgreich implementiert werden kann.

Und jeder von euch, der schon einige Datenschutz-Projekte hinter sich hat, wird wahrscheinlich auch schon zu Beginn eines solchen Projekts, das Gespür dafür haben, ob das Projekt „rocken“ wird oder ob es so eine Art „es-knirscht-überall“-Projekt wird. Also ein Projekt, das einfach nicht rund laufen wird. Das kann am Ansatz des Projekts, an den Methoden oder einfach an den Leuten liegen. Die Gründe können vielschichtig sein.

Wie setzen Unternehmen denn heute sinnvoll die DSGVO um? Da gibt es natürlich verschiedene Wege. Wahrscheinlich alle Wege werden eine Art eines irgendwie gestalteten Datenschutzmanagements beinhalten. Die Basis kann z.B. ein ISMS auf Basis von ISO 27001 ein, das man um „Datenschutz“ aufbohrt. Oder man geht gleich in Richtung ISO 29151. Vielleicht mag man es auch lieber etwas übersichtlicher und probiert sich an VdS 10010. Oder darf es etwas Standard-Datenschutzmodell (SDM) sein?

Nach über 15 Jahren Erfahrung im praktischen Datenschutz und Datenschutzrecht erlaube ich mir ein Urteil darüber, was in der Praxis funktioniert und was nicht. Ich habe die Weisheit sicher nicht mit Löffeln gegessen. Aber ich fühle mich im Gegensatz zu manchen Datenschutzrechtlern, die nur über Bücher und Aufsätzen den Datenschutz erleben (nicht negativ gemeint, auch wissenschaftliche Arbeit ist für die Weiterentwicklung des Datenschutzes sehr wichtig), manchmal eher als Handwerker. Und ich spreche sozusagen aus der Praxis.

Im Englischen gibt es einen sehr schönen Begriff, der ganz zu meiner Überzeugung von meiner Umsetzung von Datenschutzrecht passt: Craftsmanship – das ist frei übersetzt „Handwerkskunst“. Und das passt auch zu einer Art von Handwerkerehre. Und die habe ich auch als Datenschutzrechtler und -praktiker. Mein Modell von „Craftsmanship“ im Datenschutzrecht basiert auch darauf, auf Dinge zu setzen, die sich in der Praxis bewährt haben. Es bringt in der Praxis nichts, einen noch so schön gedachten Ansatz aus der Datenschutztheorie anzuwenden, wenn sich bei der Umsetzung in der Praxis zeigt, dass es einfach nicht funktioniert.

Ich mache es in der Praxis eben eher wie ein Handwerker. Ich habe mich mit verschiedenen Methoden befasst, probiert diese umzusetzen und bin damit gescheitert. Weil etwas nicht funktionierte. Dieses Feedback („Scheitern“) nehme ich aber gerne mit, denn daraus lerne ich am meisten. Und nach vielem Probieren nehme ich mir dann die Dinge, die ich aus verschiedenen Methoden gelernt habe, und kombiniere diese miteinander. Frei nach dem Motto „Take the best of everything“. Und das hat nichts mit besonderen Fähigkeiten zu tun, sondern es ist etwas, was die meisten von uns anwenden können, nämlich: Gesunder Menschenverstand

Da „Umsetzung der DSGVO mit gesundem Menschenverstand“ sich etwas bescheuert anhört, heißt es bei mir eben „Umsetzung der DSGVO mit der GM-Methode“, wobei „GM“ eben für das steht, was es ist: „Gesunder Menschenverstand“.

Die GM-Methode hat bei mir Tradition. Jahrelang war der beliebteste Beitrag auf diesen Internetseiten der Beitrag „So erstellen Sie ein IT-Sicherheitskonzept (Teil 2) – Die „GM“-Methode“. Der Beitrag ist mittlerweile allerdings hoffnungslos veraltet.

Nun aber zum eigentlichen Thema dieses Beitrages. Wie eine „Umsetzung der DSGVO mit der GM-Methode“ aussieht, könnt ihr dieser Webinaraufzeichnung entnehmen:


Wie ihr an Stimme (und Husten) merkt, bin ich gesundheitlich noch nicht ganz fit.

Die Präsentationsfolien könnt ihr hier (PDF) herunterladen.

Das in dem Webinar angesprochene Muster eines Datenschutzhandbuchs wird in Kürze für Datenschutz-Coaching-Mitglieder und Teilnehmer des Online-Kurses für Datenschutzbeauftragte zum Download zur Verfügung stehen. Gleiches gilt für die Muster-TOMs und das Muster-Verarbeitungsverzeichnis. Ihr werdet darüber dann gesondert informiert werden.

Anregungen für die Umsetzung von DSGVO-Projekten

Ich denke, bei vielen Unternehmen ist jetzt doch bemerkt worden, dass mit der DSGVO noch so einiges umzusetzen ist. Und in aller Regel sind Unternehmen dabei auf Beratung angewiesen.

Ich habe in den letzten 3 Jahren jetzt so einige DSGVO-Projekte durchgeführt oder begleitet. Und in so einigen stecke ich aktuell noch. Ich habe schon vor 3 Jahren damit angefangen, weil bei einigen Mandanten schon auf Basis der Entwürfe zur DSGVO klar war, dass dies zu Änderungen im Geschäftsmodell oder in den Prozessen führen kann. Und gerade in größeren Unternehmen ist eine Änderung von Prozessen manchmal ein langwieriger und folgenreicher Prozess. Denn wenn ich einen Prozess ändere, hat das Auswirkungen auf Folgeprozesse und diese Änderungen können sich dann durch weitere Abhängigkeiten unter den Prozessen potenzieren.

Aber darum geht es heute eigentlich gar nicht. Heute habe ich hier ein Video für euch, in dem ich euch paar Erfahrungen schildere, die in DSGVO-Projekten meiner Meinung nach gut funktionieren. Und ich erzähle euch auch, warum ich heute in Teilbereichen anders arbeite und andere Dinge empfehle als z.B. vor einem Jahr.

In dem Video geht es im Rahmen eines DSGVO-Projekts auch darum, wie ein Datenschutzmanagementsystem (DSMS) aufgebaut werden kann und welche Herangehensweise ich euch hier für mittelständische (und kleine) Unternehmen dringend empfehle. Und nach dem Video stelle ich euch dabei noch einmal die einzelnen Richtlinien mit Downloadmöglichkeit zur Verfügung, mit denen ich hier gerne arbeite.

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufzeichnung der Office Hours vom 21.02.2018

Heute haben wieder die „Office Hours“ stattgefunden.

Und sie waren lang. Rekord diesmal. Nämlich ganze 100 Minuten. Damit könnt ihr also eine schöne Auto- oder Bahnfahrt füllen. Oder vielleicht die nächste längere Jogging-Einheit. Allerdings müsst ihr dafür mit so einigen Husteneskapaden von mir leben. „Fit“ bin ich nämlich immer noch nicht.

Heute ging es u.a. um folgende Themen:

  • Privatnutzung von Internet, E-Mail und mobilen Geräten. Die DSGVO bringt da Neues zur Nicht-Geltung des Fernmeldegeheimnisses. Aber am Ende ändert sich doch nichts?
  • Rechtsgrundlage für die Verarbeitung besonderer Arten personenbezogener Daten durch Wirtschaftsprüfungs- und Steuerberatungsgesellschaft („Religion“)
  • Informationspflichten der DSGVO gegenüber Beschäftigten
  • Unverschlüsselte Übermittlung von Arbeitszeitenlisten einer Zeitarbeitsfirma
  • Datenverarbeitung im Hotel und Speicherdauer
  • Gemeinsamer DSB für Unternehmensgruppe - einheitliche Dokumentation und Richtlinien möglich?
  • Verpflichtung zu verschiedenen Sprachen für Datenschutzhinweise?
  • Wie finde ich als DSB bei der Geschäftsführung Gehör in Sachen DSGVO-Umsetzung?
  • Dauer der Aufbewahrung von Arbeitszeiterfassungen
  • Muss ein IT-Dienstleister seine Kunden auf das Erfordernis eines Auftragsverarbeitungsvertrages hinweisen?
  • Informationspflichten bei gekauften Daten
  • u.v.m.

Die Aufzeichnung könnt Datenschutz-Coaching-Mitglieder hier herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufzeichnung der Office Hours vom 08.02.2018

Am 08.02.2018 haben mal wieder die „Office Hours“ stattgefunden. Die „Office Hours“ sind eine Art von Telefonsprechstunde bzw. Audio-Online-Meeting (ca. 30-45min), in dem Datenschutz-Coaching-Mitglieder live am Telefon oder per Chat Fragen stellen könnt. Außerdem haben Datenschutz-Coaching-Mitglieder die Möglichkeit, vorab Fragen über ein Online-Formular zu stellen.

In den letzten Office Hours ging es u.a. um folgende Themen:

  • Fragen zum Verarbeitungsverzeichnis in Unternehmensgruppen
  • Detailfragen zu Inhalten des Verarbeitungsverzeichnisses (Angabe von Rechtsgrundlagen etc.)
  • Private Nutzung von IT-Systemen in Unternehmen
  • Nutzung von privaten Geräten im Unternehmen
  • Informationspflichten beim Einsatz von Handelsvertretern
  • Ist ein Datenschutzbeauftragter bei Cloud-Services Pflicht (Bsp. Österreich)?
  • Müssen Datenschutz-Folgenabschätzungen für bestehende Verarbeitungen durchgeführt werden.
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung: Anpassung von ADV-Verträgen an die DSGVO

Heute fand mein Webinar „Anpassung von Auftragsdatenverarbeitungsverträgen an die DSGVO“ für Datenschutz-Coaching-Mitglieder statt.

Thema war, worauf ihr achten müsst, wenn ihr bestehende Auftragsdatenverarbeitungsverträge für eure Kunden oder Dienstleister ändern wollt bzw. worauf ihr achten solltet, wenn ihr neue Auftragsverarbeitungsverträge auf Basis von Art. 28 DSGVO von euren Kunden bzw. Auftraggebern erhaltet.

Anhand einer Überarbeitung meiner alten Checkliste zur Prüfung von ADV-Verträgen gehen wir so mal die Anforderungen durch. Und ich habe eine ganze Reihe von Fragen der Datenschutz-Coaching-Mitglieder beantwortet, die sich sicherlich auch viele andere stellen.

Die neue Checkliste werde ich voraussichtlich am 30.01.2018 mit dem Newsletter am Dienstag veröffentlichen.

Hier jetzt aber erst einmal die Aufzeichnung des Videos:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufzeichnung der „Office Hours“ vom 18.01.2018 verfügbar

Am 18.01.2018 gab es wieder die monatlich stattfindenden „Office Hours“. Diesmal gab es sehr viele Fragen vorab, sodass wir über 70 Minuten zusammen in der Leitung verbracht haben.
Bei den „Office Hours“ besteht Gelegenheit (auch schon im Vorfeld über ein Formular) datenschutzrechtliche Fragen zu stellen, die ich dann in den sog. „Office Hours“ zu beantworten versuche.
In den „Office Hours“ am 18.01.2018 ging es u.a. um folgende Themen:
  • Verschlüsselung von E-Mails – eine Pflicht?
  • Auftragsdatenverarbeitung bei Steuerberatern?
  • Konzernprivileg „light“ vs. Auftragsdatenverarbeitung im Konzern
  • Zusendung von E-Mails an „Warenkorbabbrecher“
  • Diverse Konstellation von Auftragsdatenverarbeitungen
  • Datenschutzbeauftragte bei Versicherungsmaklern?
  • Zugriff auf Beschäftigtendaten durch Gesellschafter des Unternehmens
  • Was ist bei biometrischen Zugangssystemen zu beachten?
Die 74-minütige Aufzeichnung der Office Hours könnt ihr hier als MP3-Datei herunterladen:
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufzeichnung der „Office Hours“ vom 18.12.2017 verfügbar

Am 18.12.2017 fand die wieder die „Office Hours“-Telefonkonferenz für Datenschutz-Coaching-Mitglieder statt.

Bei den „Office Hours“ besteht Gelegenheit (auch schon im Vorfeld über ein Formular) datenschutzrechtliche Fragen zu stellen, die ich dann in den sog. „Office Hours“ zu beantworten versuche.

In den „Office Hours“ am 18.12.2017 ging es u.a. um folgende Themen:

  • Wann ist künftig bei Wartung und Pflege ein Auftragsverarbeitungsvertrag zu schließen und wann ist dies entbehrlich?
  • Ist ein Auftragsverarbeitungsvertrag zu schließen, wenn über eine Unternehmensplattform angeschlossen Händlern die Teilnahme an einer Konferenz ermöglich wird?
  • Bewerberdaten im E-Mail-Archiv – Tipps zur Beantwortung eines Auskunftsersuchens
  • Verantwortlichkeit für die Nutzung von Yammer
  • Erforderlichkeit und Entbehrlichkeit von Einwilligungen beim Einsatz von Handelsvertretern i.S.d. HGB

Die 45-minütige Aufzeichnung der Office Hours könnt ihr hier als MP3-Datei herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Aufzeichnung der „Office Hours“ vom 10.11.2017 verfügbar

Am 10.11.2017 fand die neue Telefonkonferenz für Datenschutz-Coaching-Mitglieder erstmals statt. Dort besteht Gelegenheit (auch schon im Vorfeld über ein Formular) datenschutzrechtliche Fragen zu stellen, die ich dann in den sog. „Office Hours“ zu beantworten versuche. In den „Office Hours“ am 10.11.2017 ging es u.a. um folgende Themen:
  • Warum NDA mit Vertragsstrafenregelungen vor Wirksamkeit der DSGVO noch mal überprüft werden sollten
  • Empfehlungen für Vorgehen bei in der Vergangenheit nicht bei der Aufsichtsbehörde gemeldete Verfahren
  • Örtliche Zuständigkeit von Aufsichtsbehörden
  • Tod der Einwilligung mit der DSGVO?
  • Verlinkung von Facebook Fanpages
  • ISO 27001 mit Datenschutz „anreichern“
  • Auskunftsrecht
  • Videoüberwachung im Schwimmbad
Zur Videoüberwachung im Schwimmbad hatte ich in der Telefonkonferenz auf einen Beschluss des Düsseldorfer Kreises hingewiesen. Genau genommen ist es kein Beschluss, sondern ein Zusatz zur Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ (PDF). Der sollte aber weiterhelfen. Die 35-minütige Aufzeichnung der Office Hours könnt ihr hier als MP3-Datei herunterladen:
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden