FAQ.

Sofern in einem Unternehmen 20 oder mehr Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung, Verarbeitung und Nutzung) beschäftigt sind, muss dieses einen Datenschutzbeauftragten bestellen.

Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann, wenn entweder besondere Arten personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben) verarbeitet werden

oder wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt. 

Der Verstoß gegen diese Verpflichtung ist buß­geld­be­wehrt.

Dies hängt im Wesentlichen von der Größe Ihres Unternehmens, der Komplexität Ihres Geschäftsmodells, sowie ggf. weiterer Faktoren ab. Bitte sprechen Sie uns direkt an. 

Sobald Sie eine Datenpanne bemerkt haben, oder eine hohe Wahrscheinlichkeit für eine solche besteht, sollten Sie schnellstmöglich prüfen lassen, ob es sich um eine tatsächliche, sowie ggf. meldepflichtige Datenpanne handelt.

SCHALTEN SIE UNMITTELBAR IHREN DATENSCHUTZBEAUFTRAGTEN EIN! 

Denn sofern eine Verletzung des Schutzes personenbezogener Daten vorliegt, muss diese unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörden gemeldet werden (siehe auch Art. 33 der DSGVO). Zu spät oder nicht abgegebene Meldungen können empfindliche Bußgelder nach sich ziehen.

Eine Meldepflicht besteht nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht bzw. nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

In jedem Fall ist jedoch der Vorfall sowie die hieraus erfolgten Korrektur- und Vorbeugemaßnahmen intern zu dokumentieren.

Si haben weitere Fragen zu diesme Thema? Sprehen Sie uns gerne an.

Ja. Über die Compliance Factory können Sie rechtlich geprüfte Checklisten sowie Formblätter aus den Themengebieten Compliance, Datenschutz sowie Informaitonssicherheit beziehen. Sprechen Sie uns bei Bedarf gerne an. 

Ein Datenschutzbeauftragter muss über die Befähigung verfügen, seiner Aufgabe angemessen nachkommen zu können. Hierzu gehören im Wesentlichen: 

• Nachweisbare Fachkunde (Datenschutzrecht und Datenschutzpraxis)
• Juristische Kenntnisse
• IT-Kenntnisse
• Betriebswirtschaftliche Kenntnisse
• Zuverlässigkeit
• Unabhängigkeit

Hinweis: Der Datenschutzbeauftragte eines Unternehmens darf nur bestellt werden, wenn er /sie die erforderliche berufliche Qualifikation und auch die Fähigkeit besitzt, um die für einen Datenschutzbeauftragten angedachten Aufgaben ordnungsgemäß erfüllen zu können (Art. 37, Absatz 5 DSGVO).

Die Überwachung der Einhaltung der DSGVO sowie anderer datenschutzrechtlicher Vorschriften gehört zu den Kernaufgaben des Datenschutzbeauftragten ((Art. 39 Abs.1 lit. b DSGVO). Weiterhin hat dieser m Falle eines Verstoßes gegen die DSGVO das Unternehmen entsprechend zu unterrichten, so dass dieses seiner Verantwortung Rechnung tragen kann und die Einhaltung der relevanten Vorschriften sicherstellt.

Darüber hinaus werden Unternehmen auch von den zuständigen Aufsichtsbehörden hinsichtlich der Einhaltung der DSGVO-Regelungen kontrolliert (§ 40 BDSG). Im Falle eines Verstoßes drohen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.

Das VVT ist eine detaillierte Übersicht sämtlicher automatisierter sowie nichtautomatisierter Verarbeitungen, sofern diese in einem Dateisystem gespeichert sind. Das Verzeichnis bildet dabei die Summe der durch den Verantwortlichen durchgeführten Verarbeitungen. 

Das VVT ist intern zu führen und dient zum einen der Einhaltung der gemäß DSGVO auferlegten Dokumentationspflichten und seiner internen Organisation als auch auch der Kontrolle der Datenschutzaufsichtsbehörden.

Der Inhalt des Arbeitsverzeichnisses des Verantwortlichen richtet sich nach Art. 30 Abs. 1 DS-GVO. 

Im VVT sind neben den Kontaktdaten des Verantwortlichen wesentliche Angaben zu der Verarbeitung zu dokumentieren, wie z.B. der Zweck der Verarbeitung, die Kategorien der personenbezogenen Daten, die verarbeitet werden und die Kategorien der davon betroffenen Personen. Weiterhin sind die Empfänger aufzuführen, die Aufbewahrungs- bzw. Löschfristen und die technisch-organisatorischen Maßnahmen die der Verantwortliche ergreift.

Über unsere benutzerfreundliche SAAS Online Datenschutz-Management Lösung lässt sich ein VVT ganz einfach erstellen.

Die Datenschutz-Folgenabschätzung (DSFA) ist dazu da, Datenverarbeitungen, die voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen, zu identifizieren und entsprechende Maßnahmen zu unternehmen, um dieses Risiko einzudämmen. Können aus vertretbaren Gründen keine geeigneten Gegenmaßnahmen getroffen werden, ist nach Art. 36 DS-GVO die zuständige Aufsichtsbehörde zu konsultieren.

Für den Prozess sollte auf jeden Fall der zuständige Datenschutzbauftragte mit einbezogen werden. 

Bei Bedarf unterstützen wir Sie im Rahmen der Durchführung einer DSFA. Sprechen Sie uns ggf. gerne an.

Grundsätzlich steht es Ihnen natürlich frei, ob Sie einen betrieblichen, internen oder einen externen Datenschutzbeauftragter (DSB) bestellen möchten.

Die Vorteile eines externen DSB im Überblick:

• Kosten entstehen nur für tatsächlichen Aufwand der Datenschutztätigkeit (keine zusätzlichen Kosten und zeitaufwand für Aus- und Weiterbildung)
• Ist unabhängig gegenüber der Geschäftsleitung (ein Interesenkonflikt wie z.B. bei einer Teilzeit-Stabsstelle besteht nicht)
• Das Risiko der Betriebsblindheit besteht nicht
• Ist auf dem aktuellen Stand und verfügt ggf. über  branchenübergreifende Erfahrungen 
• Haftet nach vertraglichen Regeln und Beraterhaftpflicht
• Unterliegt nicht dem besonderen Kündigungsschutz des Vollzeit DSB

Bei Fragen hierzu sprechen Sie uns gerne an!

Ohne die vorherige Einwilligung des Besuchers Ihrer Webseiten dürfen nur technisch notwendige Cookies gesetzt werden, sofern diese keine Daten an Dritte übertragen und keine Einbindung von Elementen Dritter stattfindet.

Zu den technisch notwendigen Cookies zählen z.B. solche, die für den Betrieb ihrer Website und deren wesentlicher Funktionen erforderlich sind. Auch Warenkorb-Cookies, sowie Cookies zur Steuerung der Sprachauswahl oder Login-Cookies können hierzu gehören.

Mit unserem Webseitencheck erhalten Sie einen klar strukturierten Report, welche Cookies & Trackingtools mit ihren Webseiten geladen werden, für welche eine Einwilligung erforderlich ist und ob ihre Datenschutzhinweise dies auch wiederspiegeln u.a. ! 

Sobald auf Ihrer Webseite Elemente integriert werden, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg analysieren oder auswerten, benötigen Sie die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung der Nutzer. (siehe Artikel 6 Absatz 1 lit. a DSGVO) 

Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, großen Online-Plattform-Betreibern und Werbenetzwerken.

Mit unserem Webseitencheck erhalten Sie einen klar strukturierten Report, welche Cookies & Trackingtools mit ihren Webseiten geladen werden, für welche eine Einwilligung erforderlich ist und ob ihre Datenschutzhinweise dies auch wiederspiegeln u.a. ! 

Nein. Unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss bei Einsatz des Dienstes in der Standartkonfiguration eine Einwilligung eingeholt werden. (lda.bayern.de)

Aufgrund der Tatsache, dass durch WhatsApp Metadaten zu den WhatsApp-Nachrichten in den USA verarbeitet werden und Adressdaten aus den telefoneigenen Adressbuch des Nutzers ohne Einwilligung der Betroffenen und damit regelmäßig auch nicht dem Betrieb angehörende Dritter erhoben werden, ist ein datenschutzkonformer Einsatz des Messengers in der Regel nicht zu begründen. 

Gerne informieren wir Sie über geeignete Alternativen zu WhatsApp. Sprechen Sie uns gerne an.

Social Engineering nennt man die zwischenmenschliche Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen, die Sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln bewegen...

Folgende Begrifflichkeiten werden im Zusammenhang mit Social Engineering u.a. häufig verwendet:

• Phishing 
• Spear Phishing
• Dumspter Diving
• Spoofing
• CEO Fraud
• Baiting
• Quid quo pro
• Scareware
• Honey Pot
• Shoulder Surfing

Gerne infomieren wir Sie über Details und vor allem wie Sie und Ihre Mitarbeiter sich am besten vor den Folgen des Social Engineering schützen können! 

Phishing (aus dem englischen "Angeln") ist eine Form des Social Engineerung. Im Speziellen versteht man hierunter alle Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. 

Ziel des Betrugs ist es z. B. an persönliche Daten eines Internet-Benutzers zu gelangen (z.B. Passwort Phishing) oder ihn z. B. zur Ausführung einer schädlichen Software zu bewegen.

Compliance leitet sich aus dem englischen Begriff to comply with ab und bedeutet allgemein die Einhaltung von gesetzlichen sowie internen Regeln.

Interne Regelungen können i.d.R. im Verhaltenskodex, in Arbeitsrichtlinien oder Handbücher gefunden werden.

Für alle mit einem Unternehmen verbundenen Menschen: Geschäftsführung, Führungskräfte, Mitarbeiter (inkl. Auszubildende, Aushilfen, Leih-/Zeitarbeitskräfte), Dienstleister, etc.

Alle Unternehmen mit 50 oder mehr Mitarbeitern, sowie Kommunen mit 10.000 oder mehr Bürgern, müssen bis Ende 2021 ein System etabliert haben, welches das anonyme Melden von Compliance Verstößen ermöglicht.

Idealerweise kann dies mit einer SaaS (Software as a Service) Online Lösung in Verbindung mit einer telefonischen Hotline realisiert werden.

Testen Sie unsere, bei Bedarf auf Ihre Anforderungen anpassbare, CFC Whistleblowing Plattform! (mehr Details, siehe hier)

Vielleicht ist diese ja genau richtig für Ihre Bedürfnisse?