Aufsichtsbehörde
Die Aufsichtsbehörde ist eine Behörde, welche die Umsetzung der DSGVO kontrolliert. Während dieser Kontrolle überprüft die Datenschutzbehörde außerdem noch die Einhaltung der DSGVO. Wichtigstes Werkzeug hierfür ist die verbindliche Dokumentation. Wird diese nicht vorgelegt bzw. ist diese unvollständig, werden Bußgelder verhängt. Weitere Informationen: DSGVO Artikel 51
Auftragsverarbeiter
Sobald Sie personenbezogene Daten an ein anderes Unternehmen weitergeben, ist diese Partnerfirma ein Auftragsverarbeiter laut DSGVO. Eine solche Datenweitergabe findet öfter statt als man im ersten Moment vermutet. Angefangen vom Steuerberater, der alle Rechnungen verbucht, bis zum Paketdienstleister, welcher die bestellte Ware ausliefert. Egal ob Einzelunternehmer oder Kapitalgesellschaft, ohne Datenweitergabe sind viele Geschäftsprozesse nicht mehr durchführbar. Ohne entsprechenden Vertrag ist die Weitergabe laut DSGVO jedoch unzulässig und kann zu einer Verwaltungsstrafe führen. Ohne entsprechendes KnowHow kann ein solcher Vertrag nicht rechtssicher gestaltet werden. Mit easyGDPR können Sie Auftragsverarbeiterverträge für jeden Dienstleister per Mausklick erstellen. Weitere Informationen: DSGVO Artikel 28
Auftragsverarbeiterverträge
Die Verarbeitung personenbezogener Daten durch Dienstleister ist entsprechend den Vorgaben der Datenschutz-Grundverordnung per Vertrag zu reglementieren. Diese sogenannten Auftragsverarbeiterverträge erfordern Fachwissen, um eine DSGVO-konforme Gestaltung sicherzustellen. Unsere Software easyGDPR ermöglicht es Ihnen die Verträge für jeden Dienstleister zu gestalten. Durch unsere jahrelange Erfahrung und geprüften Fachkenntnisse gestalten Sie Ihre Verträge nicht nur schnell, sondern auch entsprechend der Vorgaben der DSGVO. Bei Bedarf (z.B. Wechsel des Dienstleisters) können Sie die Verträge per Mausklick anpassen.
Mit easyGDPR können Sie sich vor den hohen Bußgeldforderungen schützen. Ihre DSGVO-Dokumentation erstellen Sie schnell und einfach mit unserem Generator. Dabei werden alle Punkte wie Risikoanalyse, Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung, etc. abgedeckt. Bei Bedarf können Sie mit easyGDPR die Dokumentation mit wenig Aufwand aktualisieren.
Betroffenenanfragen
Mit der DSGVO erhält jede natürliche Person das Recht zu erfahren, wie personenbezogene Daten verarbeitet werden. Eine solche Anfrage wird als Betroffenenanfrage bezeichnet. Dabei besteht nicht nur das Recht auf Löschung (Recht auf Vergessenwerden), sondern auch Einsicht in die gespeicherten Daten sowie ein Beschwerderecht bei der Datenschutzbehörde.
Dieses Recht erhält jeder Bürger der Europäischen Union und es ist auch ein zwingendes Recht (lat. ius cogens). Zwar darf die Anfrage unter bestimmten Voraussetzungen abgelehnt werden, jedoch ist die Anfrage verpflichtend zu beantworten.
Auch für kleine Unternehmen kann dieser Verwaltungsaufwand immens sein, mit easyGDPR Enterprise erhalten Sie die Möglichkeit diese Anfragen automatisiert zu beantworten. So reduzieren Sie Ihren Verwaltungsaufwand mit unserer DSGVO Software.
Weitere Informationen finden Sie im Kapitel III der DSGVO.
Cloud
Die Cloud ist ein Prozess, der beschreibt, wie Programme, Infrastruktur oder Plattformen in das Internet verlagert werden. Der Vorteil hierbei ist, dass Kosten verringert werden können, da bedarfsweise mehr Kapazitäten angemietet werden können sowie weltweite Verfügbarkeit.
Der Datenschutz ist ein wesentlicher Aspekt der Cloud, da die Daten nicht mehr unter eigener Kontrolle sind, sondern durch Dienstleister verwaltet werden. Dadurch müssen entsprechende Auftragsverarbeiterverträge abgeschlossen werden. Weiters ist die sichere Datenübertragung essentiell, um zu verhindern, dass die Daten von Dritten abgefangen werden können. Die DSGVO fordert bei allen Datenerfassungs und -verarbeitungsprozessen eine Lösung am Stand der Technik.
Mit unserer easyGDPR Beratung profitieren Sie von unserer jahrelangen Erfahrung im Bereich Computersicherheit und unserem DSGVO Fachwissen. Wir unterstützen Sie bei der Migration in die Cloud und bringen diesen Prozess in Einklang mit der europäischen Datenschutz-Grundverordnung.
Compliance
Compliance ist ein Fachbegriff aus der Wirtschaft und beschreibt die Umsetzung gesetzlicher Vorgaben. Wird im Zusammenhang mit der DSGVO von Compliance gesprochen, dann ist hiermit die Umsetzung der Datenschutz-Grundverordnung gemeint. Alle Unternehmen, welche regelmäßig personenbezogene Daten verarbeiten, sind zur DSGVO Compliance verpflichtet.
Mit easyGDPR können Sie diese Maßnahme schnell und einfach umsetzen. Das Werkzeug ermöglicht es Ihnen die Dokumentation, wie Verarbeitungsverzeichnis, Risikoanalyse, usw., schnell umzusetzen. Weiters bietet easyGDPR auch Beratung und Schulungen zur DSGVO an. Mit easyGDPR haben Sie einen starken DSGVO-Partner.
Data Breach
Ein Data Breach, eine Datenschutzverletzung oder auch eine Verletzung des Schutzes personenbezogener Daten liegt dann vor, wenn Daten, die Ihr Unternehmen speichert oder verarbeitet, verloren gehen, gestohlen oder im Internet veröffentlicht werden. Wenn diese Verletzung zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führen kann, muss der Verantwortliche (in der Regel die Geschäftsleitung) innerhalb von 72 Stunden nach Bekanntwerden dieser Verletzung die Datenschutzbehörde (DSB) informieren. Sollte Ihr Unternehmen Auftragsverarbeiter sein, müssen Sie die Verletzung dem Verantwortlichem melden.
Wenn durch die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, müssen die betroffenen Personen unverzüglich informiert werden, außer wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre, siehe Art. 33 DSGVO und Art. 34 DSGVO.
Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung ist eine Dokumentationsmaßnahme laut DSGVO und ersetzt in Österreich die bis dahin verpflichtende Meldung an das Datenverarbeitungsregister (DVR). Dieser Prozess ist selbstständig durchzuführen, wenn durch den Verarbeitungsprozess ein besonderes Risiko für die Betroffenen besteht. Ein Fehlen dieser Dokumentation kann zu hohen Bußgeldern (bis zu 4% des weltweiten Jahresumsatzes) führen.
Mit easyGDPR können Sie nicht nur eine Datenschutz-Folgenabschätzung inklusive Risikoanalyse erstellen, sondern auch alle weiteren Dokumentationspflichten laut DSGVO erfüllen. Bei Bedarf können Sie zudem unsere Datenschutz-Beratung in Anspruch nehmen, um so vom Fachwissen unseres zertifizierten DSGVO-Experten sowie unserer jahrelangen Erfahrung profitieren zu können.
Weitere Informationen: Artikel 33 DSGVO: Datenschutz-Folgenabschätzung
Datenschutzerklärung
In der Datenschutzerklärung geben Firmen an, welche Maßnahmen getroffen wurden, um den Datenschutz zu gewährleisten. Dieses Dokument ist laut DSGVO verpflichtend anzulegen und Kunden auf Nachfrage auszuhändigen. Entgegen der weitläufigen Meinung ist diese nicht nur verpflichtend, wenn eine Homepage betrieben wird, sondern muss von jedem Unternehmen, welches personenbezogene Daten verarbeitet, angelegt werden.
Welche Angaben in der Datenschutzerklärung enthalten sein müssen, ist in Artikel 13 der DSGVO aufgeführt. Genauere Informationen entnehmen Sie bitte unserem Blog-Beitrag Datenschutzerklärung und Informationspflichten.
Mit easyGDPR können Sie eine Datenschutzerklärung erstellen. Das System fragt alle notwendigen Informationen ab und erzeugt daraus eine Datenschutzerklärung per Generator. Diese können Sie nicht nur auf Ihrer Homepage oder Ihrem Webshop einbinden, sondern sie ist auch Teil Ihrer DSGVO Dokumentationspflicht.
Datenschutzverantwortlicher
Der Datenschutzverantwortliche ist die natürliche oder juristische Person, welche über den Datenschutz in einem Unternehmen bzw. einem Verein entscheidet. Der Datenschutzverantwortliche ist NICHT gleichbedeutend mit dem Datenschutzbeauftragten. Informationen zu den Pflichten des Verantwortlichen finden Sie in Abschnitt 1 DSGVO
Datenschutzbeauftragter
Der Datenschutzbeauftragte ist eine natürliche Person, welche von einer Organisation (Firma, Verein, Behörde) für Fragen des Datenschutzes bestellt wurde. Diese Person kann Teil der Organisation sein oder extern bestellt (z.B. Rechtsanwalt, DSGVO-Experte) werden. In jedem Fall muss der Datenschutzbeauftragte laut DSGVO fachkundig sein. Ob eine Bestellung verpflichtend ist, hängt von der Geschäftstätigkeit des Unternehmens ab. Weitere Informationen erhalten Sie unter folgendem Link: Wann wird in Österreich ein Datenschutzbeauftragter benötigt? bzw. Wann wird in Deutschland ein Datenschutzbeauftragter benötigt?
Die Aufgaben des Datenschutzbeauftragten werden in Artikel 39 definiert.
Drittstaaten
Wird in der DSGVO von Drittstaaten gesprochen, dann sind damit alle Staaten gemeint, die nicht Mitglied der Europäischen Union sind. Werden personenbezogene Daten aus der EU in einen Drittstaat übertragen, dann ist eine entsprechende Genehmigung bzw. Zertifizierung notwendig. Diese Regel gilt auch für die Vereinigten Staaten. Hierfür hat der Europäische Rat eine Vereinbarung mit der US-amerikanischen Regierung getroffen – den EU-US Privacy Shield.
Die Allgemeinen Grundsätze laut Artikel 44 sind einzuhalten.
easyGDPR
easyGDPR ist eine Software, welche über das Internet erreichbar ist und Ihnen dabei hilft, die Anforderungen der DSGVO zu erfüllen. Durch strukturiertes Abfragen, Schritt für Schritt, erhalten Sie zuerst eine Einschätzung über die Datenschutz-Situation in Ihrem Unternehmen. Auf Basis dessen zeigt Ihnen easyGDPR die notwendige Maßnahmen an, um die Anforderungen der DSGVO zu erfüllen. Auch die verpflichtende Dokumentation, wie Verarbeitungsverzeichnis, Risikoanalyse, Datenschutz-Folgenabschätzung, usw. können mit easyGDPR schnell und effizient erstellt werden. Verändern sich Ihre Geschäftsprozesse, können Sie die Dokumentation mit wenigen Mausklicks aktualisieren und erfüllen somit zu jeder Zeit die Anforderungen der DSGVO.
easyGDPR gibt es in den Versionen Lite, Standard und Enterprise. Außerdem bieten wir Ihnen auch DSGVO Beratungen an.
Erwägungsgründe
Die DSGVO Erwägungsgründe sind Teil der Datenschutz-Grundverordnung und beschreiben die Ziele und Intentionen des Europäischen Parlaments und des Europäischen Rats bei Erstellung der Verordnung. Sie helfen bei der Interpretation des Gesetzestexts und verhindern Unklarheiten. Insgesamt gibt es 173 Erwägungsgründe, welche somit maßgeblich die DSGVO beeinflusst haben.
Der enorme Umfang der Verordnung macht deutlich, dass ohne Fachwissen die DSGVO nicht den Vorschriften entsprechend umgesetzt werden kann. Sie können die Umsetzung der DSGVO somit einem externen Experten überlassen oder Sie wählen die kostengünstigere Variante – nämlich easyGDPR.
easyGDPR ist eine Software, welche es Ihnen ermöglicht die DSGVO ohne fachliche Vorkenntnisse umzusetzen. Unsere jahrelange Erfahrung und unser Fachwissen zur DSGVO ist in die Entwicklung von easyGDPR eingeflossen. Durch gezieltes, schrittweises Abfragen der notwendigen Informationen erhalten Sie von easyGDPR alle notwendigen Informationen, um die DSGVO umzusetzen. Die notwendigen Dokumentationen werden nach Ihren Vorgaben automatisch erstellt und können jederzeit aktualisiert werden. So erfüllen Sie die Datenschutz-Grundverordnung nicht nur jetzt, sondern auch in der Zukunft. Alles mit nur einem Werkzeug – easyGDPR.
EU-US PrivacyShield
Jede Übertragung von personenbezogenen Daten in Drittstaaten ist laut DSGVO nur dann zulässig, wenn dieser Drittstaat ein ähnliches Datenschutz-Niveau wie die Europäische Union aufweist. So soll sichergestellt werden, dass die Datenschutz-Grundverordnung nicht ausgehebelt wird, indem die Verarbeitung in Drittstaaten erfolgt. Der Privacy Shield ist eine Reihe von Vereinbarungen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika, welche sicherstellen sollen, dass der Datenschutz der USA mit jenem in der EU vergleichbar ist.
US-amerikanische Firmen müssen sich nach dem Privacy Shield zertifizieren lassen, sobald Sie das sind, ist die Datenübertragung zu diesen Firmen zulässig. Eine Übertragung von personenbezogenen Daten an Firmen in den USA ist ohne Privacy Shield-Zertifizierung ein Verstoß gegen die DSGVO.
Bei Fragen zur Datenübertragung können Sie unsere easyGDPR Beratung in Anspruch nehmen, unser zertifizierter Datenschutzexperte unterstützt Sie bei allen Fragen. Weitere Informationen zum PrivacyShield erhalten Sie auch in unserem Beitrag EU-US Privacy Shield
Privacy by default/Datenschutz durch Technikgestaltung
Der deutsche Gesetzestext der DSGVO spricht von Datenschutz durch Technikgestaltung, allgemein wird aber der englische Begriff „data protection by design“ verwendet. Dieser Ausdruck beschreibt eine grundlegende Forderung der Datenschutz-Grundverordnung. Wird eine neue Technik entwickelt (z.B. ein Computerprogramm, eine Website, etc.) dann ist bereits bei der Entwicklung auf größtmöglichen Datenschutz zu achten. Ein klassisches Beispiel ist ein Webshop: Das Bestellen als Gastbenutzer muss möglich sein, das verpflichtende Anlegen eines Kontos (= dauerhafte Speicherung) im Zuge der Bestellung wäre ein Verstoß gegen die datenschutzfreundliche Technikgestaltung.
Auch der Datenschutz ist durch technische Maßnahmen sicherzustellen. Durch entsprechende Maßnahmen im Bereich Cybersicherheit muss sichergestellt sein, dass Angreifer keinen Zugriff auf sensible Dokumente erhalten.
Obwohl die DSGVO von Technikgestaltung spricht, ist dieser Grundsatz auf alle Geschäftsprozesse anzuwenden. Die ausgedruckten Lohnverrechnungsdaten sind beispielsweise in einem versperrbaren Aktenschrank zu verwahren.
Mehr Inforationen zu Privacy by Default finden Sie in Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Privacy by design/datenschutzfreundliche Voreinstellungen
Ein zweiter Grundsatz der DSGVO sind die datenschutzfreundlichen Voreinstellungen, auch bekannt als „data protection by design“. Diese Grundregel besagt, dass bei jedem Datenverarbeitungsprozess nur die notwendigen Daten abgefragt werden dürfen. Somit wäre das Abfragen des Geburtsortes als Pflichtfeld für die Bestellung in einem Webshop unzulässig, da diese Information für die Auftragsverarbeitung nicht benötigt wird.
Dieser DSGVO Grundsatz ist außerdem wichtig, wenn Sie einen Newsletter anbieten. Das Feld „für den Newsletter anmelden“ darf bei Bestell- bzw. Registrierungsformularen NICHT bereits angekreuzt sein. Stattdessen muss der Benutzer den Newsletter aktiv auswählen, andernfalls ist die Datenverarbeitung unzulässig.
Mehr Inforationen zu Privacy by Design finden Sie in Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Stand der Technik
Die DSGVO fordert bei der Datenverarbeitung und Datensicherheit eine Umsetzung unter Berücksichtigung des Stands der Technik. Damit hat der Gesetzgeber sichergestellt, dass Firmen ihre Verarbeitungsprozesse und Schutzmaßnahmen ständig aktuell halten müssen. Daher sind laufende Maßnahmen notwendig, um alle Prozesse weiter rechtssicher zu gestalten. Mit easyGDPR wissen Sie, welche Maßnahmen zu setzen sind, damit Ihre Datenverarbeitung weiterhin am Stand der Technik ist. Als zertifizierter Sophos-Partner bieten wir auch Lösungen im Bereich IT-Sicherheit an. Wie wichtig es ist am Stand der Technik zu bleiben sehen Sie in unseren Artikel zu den Panama Papers.
Die Vorgabe „Stand der Technik“ wird in DSGVO Artikel 32 Paragraph 1 beschrieben.
Ransomware
Ransomware ist eine spezielle Schadsoftware, welche Dateien bzw. ganze Datenträger verschlüsselt. Somit haben die Opfer keinen Zugriff mehr auf ihre Dateien. Gerade für Firmen ist das eine Katastrophe. Ist kein Backup (Sicherung) vorhanden, sehen sich viele gezwungen den Lösegeldforderungen nachzugeben und bezahlen den geforderten Betrag. Jedoch besteht keine Garantie, dass die Dateien wieder entschlüsselt werden. Daher ist es wichtig alle Dateien regelmäßig, in kurzen Zeitabständen zu sichern, um in solchen Fällen die Dateien wiederherstellen zu können.
Recht auf Vergessenwerden
Das Recht auf Vergessenwerden ist Teil der umfassenden Rechte, die jedem EU-Bürger durch die DSGVO eingeräumt werden. Die personenbezogenen Daten einer Person müssen gelöscht werden, wenn von dieser angefordert. Nur in gewissen Situationen darf ein Unternehmen diese Anfrage ablehnen, zum Beispiel wenn andernfalls eine gesetzliche Aufbewahrungspflicht verletzt werden würde.
Mit easyGDPR erhalten Sie die Möglichkeit diese Löschanfragen automatisiert zu beantworten, so reduzieren Sie aktiv Ihren DSGVO-Verwaltungsaufwand mit unserem Werkzeug easyGDPR.
Das Recht auf Vergessen wird in Artikel 17 DSGVO beschrieben.
Recitals
Recitals ist der englische Begriff für „Erwägungsgründe“. Diese beschreiben die Grundgedanken, mit denen die DSGVO erstellt wurde und helfen die gesetzlichen Regelungen besser zu verstehen und umzusetzen. Sie finden die Recitals auf unserer Website: deutsche Version, englische Version
Risikoanalyse
Die Risikoanalyse ist Teil der Datenschutz-Folgenabschätzung und unter gewissen Kriterien eine DSGVO Pflicht. Diese Dokumentation umfasst die Risiken, die für Betroffene bestehen, deren personenbezogene Daten erfasst werden oder wurden. Diese Maßnahme ersetzt die Vorab-Meldung an das Datenverarbeitungsregister (DVR).
Mit easyGDPR können Sie eine Risikoabschätzung vollständig durchführen. Bei Unklarheit, ob eine Risikoanalyse notwendig ist, können Sie unsere easyGDPR Beratung in Anspruch nehmen. Unser zertifizierter Datenschutzexperte klärt Sie gerne über die Notwendigkeit einer Risikoanalyse auf.
Safe Harbor Abkommen
Das Safe Harbor-Abkommen ist der Vorgänger des EU-US Privacy Shields und wurde im Jahr 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da das Abkommen den Datenschutz in der EU gefährdet hat.
SSL/TLS
SSL bedeutet Secure Sockets Layer und das ist die Bezeichnung für eine veraltete Verschlüsselungsmethode, welche von TLS (Transport Layer Security) abgelöst wurde. Wird heutzutage von SSL gesprochen, ist in der Regel TLS gemeint.
TLS ermöglicht die abhörsichere Kommunikation zwischen zwei Anwendungen über das Internet. Die Datenübertragung ohne TLS ist inzwischen nicht mehr am Stand der Technik. Wenn Sie eine Website besuchen, erkennen Sie am angezeigten Schloss-Symbol, dass die Verbindung mit TLS verschlüsselt ist. Programme, Webseiten und Webshops ohne TLS-Verschlüsselung erfüllen nicht die Anforderungen der DSGVO.
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis ist eine der wichtigsten Forderungen der DSGVO. In diesem dokumentieren Sie alle Prozesse, in denen personenbezogene Daten verarbeitet werden. Wird Ihre Firma durch die Datenschutzbehörde kontrolliert, sind diese Aufzeichnungen in ausgedruckter Form vorzuweisen. Das Verarbeitungsverzeichnis ist nicht nur eine Auflistung von Datenerfassungsprozessen, sondern umfasst auch Gründe für die Datenerfassung, die Rechtsgrundlage sowie Angaben darüber, welche Personen auf die erfassten Daten Zugriff haben.
Ein solches Verarbeitungsverzeichnis kann selbst in kleinen Unternehmen einen großen Aufwand bedeuten. Eine Ausnahme für das Verarbeitungsverzeichnis besteht lediglich, wenn nicht regelmäßig personenbezogene Daten verarbeitet werden. Jedoch verarbeiten selbst Kleinunternehmen wie Handwerker, Gärtnereien oder Umzugsunternehmen regelmäßig solche Daten im Zuge der Lohnverrechnung, Rechnungslegung an den Kunden, Bewerbungen, etc.
Mit easyGDPR können Sie ein DSGVO Verarbeitungsverzeichnis ohne Vorkenntnisse erstellen. Dank Vorlagen für diverse Geschäftsprozesse wie Lohnverrechnung, Mitarbeiter-Zeiterfassung, Kontaktformulare auf Homepages, E-Mail Verkehr, etc. ist sichergestellt, dass kein Datenerfassungs-Verfahren vergessen wird. Weiters verfügt easyGDPR über Vorlagen für diverse Branchen (z.B. Fahrschulen), um das Verarbeitungsverzeichnis noch schneller anlegen zu können.
Mit easyGDPR setzen Sie die DSGVO ohne Vorkenntnisse um.
Mehr Informationen zum Verarbeitungsverzeichnis finden Sie in Artikel 30.
Verschlüsselung
Mit Verschlüsselung ist sichergestellt, dass sensible Daten nicht mehr von Unbefugten ausgewertet werden können. Enthält ein Datenträger (Festplatte, USB-Stick, etc.) personenbezogene Daten, so ist eine Verschlüsselung durchzuführen, andernfalls erfolgt die Datenverarbeitung nicht am Stand der Technik und widerspricht somit der DSGVO. Auch Backup-Datenträger (sogenannte Sicherungen) müssen verschlüsselt sein. Bei Umsetzung dieser Maßnahme der Datenschutz-Grundverordnung ist Ihnen das Team von easyGDPR gerne behilflich.
Bitte beachten Sie außerdem, dass ein Passwortschutz (Zugriffskontrolle) nicht gleichbedeutend mit einer Verschlüsselung ist.