In unseren FAQs werden viele Fragen zu den Themen Datenschutz, DSGVO und easyGDPR beantwortet. Wählen Sie die passende Kategorie, die Fragen erscheinen dann automatisch.
FAQs zur DSGVO
Welches Risiko gehe ich ein, wenn die DSGVO nicht eingehalten wird?
Wenn die DSGVO nicht eingehalten wird, können Schäden aus folgenden Bereichen auftreten:
- Schäden durch vermeidbare Datenverluste,
- Strafen durch die Behörde (angemessen und wirksam, bis 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes),
- Schadenersatzforderungen durch Betroffene (auch Anwaltshonorar für Durchsetzung),
- Schäden für die Reputation des Unternehmens, wenn ein Datenschutzvorfall bekannt wird und
- Schäden durch falsche Reaktionen von nicht oder schlecht ausgebildeten Mitarbeitern.
In Unternehmen, die wir beraten haben, gab es immer wieder Abläufe, die einen Datenverlust wahrscheinlich gemacht haben. In mehreren Fällen hätte dieser Datenverlust den Ruin des Unternehmens bedeutet – ganz ohne DSGVO. Die Umsetzung der DSGVO ist eine Chance Risiken zu minimieren und mit überschaubaren und oft kostengünstigen Maßnahmen mehr Betriebssicherheit zu erreichen.
Artikel 83 beschreibt wie Behörden strafen dürfen. Maßnahmen, die ergriffen wurden, um die DSGVO einzuhalten und möglichen Schäden für die Betroffenen zu minimieren, reduzieren mögliche Strafen. Es wird aber ausdrücklich verlangt, dass Strafen wirksam sein müssen.
Es gibt für Österreich (Stand: November 2018) noch keine „offizielle“ Information über ausgesprochene Strafen, aber es scheint dass bei „kleineren Vergehen“ von KMUs ca. 500-5.000 EUR an Strafen verhängt werden. Im Vergleich dazu wurde in der UK der Heathrow Airport mit 120.000 GBP bestraft, weil ein Mitarbeiter einen ungeschützten Memory Stick mit vertraulichen Informationen verloren hat.
Durch die DSGVO haben Betroffene das Recht auf Schadenersatz. Schadenersatz kann auch durch Rechtsanwaltskosten entstehen.
Durch die DSGVO wurde auch die Öffentlichkeit auf Datenschutz sensibilisiert. Fehler im Datenschutz kommen immer öfter in die Medien. Die Nachricht, dass ein Unternehmen beim Datenschutz geschlampt hat, kann für die Reputation verheerend sein. Ein einziger nicht für den Datenschutz sensibilisierter Mitarbeiter kann dadurch großen Schaden anrichten.
Siehe 120.000 GBP Schadenersatz für verlorenen Memory Stick.
Welche Daten muss ich an die Behörde schicken?
Es werden grundsätzlich keine Daten an die Behörde geschickt. Auch Ihr Verarbeitungsverzeichnis wird nicht automatisch an die Behörde übertragen.
Die Aufsichtsbehörde verlangt nur, dass Sie die Verarbeitungen von personenbezogenen Daten dokumentieren und diese Dokumentation auf Anfrage der Behörde zur Verfügung stellen können. Die Behörde erfährt dabei keine konkreten Daten (wie zB Name oder E-Mail-Adresse).
Nur wenn ein bestimmter Anlassfall besteht, wird die Behörde nach konkreten Daten fragen, zB wenn jemand sich bei der Behörde beschwert, wird die Behörde nach den Daten dieser Person fragen, um die Beschwerde zu verifizieren.
Welche Auswirkungen hat die DSGVO auf mein Unternehmen?
Das hängt ganz alleine von Ihrem Unternehmen ab. Viele Unternehmen werden sicher zusätzliche Sicherheitsvorkehrungen in Bezug auf Software und Hardware treffen müssen, bei anderen Unternehmen sind diese Sicherheitsvorkehrungen vielleicht schon vorhanden und es muss nicht mehr allzu viel getan werden. Jedoch sollte der Datenschutz auf jeden Fall ernst genommen werden. Seit dem Inkrafttreten der DSGVO gibt es schon größere Konsequenzen, wenn man den Datenschutz einfach ignoriert. Bei eher „kleineren Vergehen“ von KMUs wurden scheinbar schon Strafen von 500 – 5.000 EUR verhängt. Näheres zu den Risikos bei der Nichteinhaltung der DSGVO können Sie hier finden.
Die DSGVO fordert außerdem einen Datenschutz by default und by design, das bedeutet, dass geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um die Grundsätze der DSGVO zu erfüllen und betroffene Personen zu schützen.
Die DSGVO ist außerdem eine Gelegenheit für viele Unternehmen, um bestehende Risiken zu minimieren und sich als zuverlässiger Partner, der den Datenschutz ernst nimmt, am Markt zu positionieren.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare, natürliche Person beziehen. Sobald man Daten wie zB Namen, Standortdaten, Kundennummern usw. einer natürlichen Person direkt oder indirekt zuordnen kann, gelten diese Daten als personenbezogene Daten – Artikel 4 DSGVO.
Was muss ich bei der Personalverwaltung beachten?
Sobald Sie Mitarbeiter haben, werden Sie eine Personalakte über diese führen und die Daten von den Mitarbeitern im Zuge der Personalverrechnung verarbeiten. Durch diese Verarbeitung der Daten fallen auch Mitarbeiter unter die DSGVO.
Was hierbei noch zu beachten ist, dass Sie wahrscheinlich nicht nur „normale“ personenbezogene Daten von Ihren Mitarbeitern verarbeiten werden, sondern auch sog. spezielle Kategorien von personenbezogenen Daten, wie zB die Religionszugehörigkeit Ihrer Mitarbeiter, um Ihnen an den verschiedenen Feiertagen freigeben zu können oder auch die Gewerkschaftszugehörigkeit, vgl. Artikel 9.
Diese speziellen Kategorien von personenbezogenen Daten verdienen außerdem einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können, zB kann es bei Veröffentlichung der Religionszugehörigkeit zu einer Benachteiligung oder zu Mobbing eines bestimmten Mitarbeiters führen.
Was kann die Aufsichtsbehörde von mir verlangen?
Die Behörde kann Zugang zu allen Informationen verlangen, die für die Erfüllung ihrer Aufgaben erforderlich sind, kann auf vermeintliche Verstöße gegen die DSGVO hinweisen und kann auch eine bestimmte Art der Verarbeitung verbieten.
Die Behörde kann Einschau halten und vor Ort Datenschutzüberprüfungen durchführen.
Dabei wird unter anderem kontrolliert,
- ob die Daten dem Zweck entsprechend nach Treu und Glauben verarbeitet werden,
- ob die Sicherheitsmaßnahmen am Stand der Technik sind,
- ob die Mitarbeiter korrekt mit Datenschutzfragen umgehen,
- ob es Prozesse für die Löschung von nicht mehr benötigten Daten gibt,
- … .
Was ist im Falle einer Datenschutzverletzung zu tun?
Sobald Sie eine Verletzung des Schutzes personenbezogener Daten bemerken, müssen Sie innerhalb von 72 Stunden die Datenschutzbehörde informieren. Die Ausnahme hiervon ist, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Sie müssen dann nachweisen können, welche technischen und organisatorischen Maßnahmen Sie in Kraft haben, um diesen Vorfall zu mindern.
Die Vorfälle müssen in jedem Fall protokolliert werden.
Achtung: Auch der Verlust eines Mobiltelefons oder Memory Sticks mit Adressen ist eine Datenschutzverletzung und muss gemeldet werden.
Aktuelles Beispiel: Ein verlorener Memory Stick hat für den Flughafen Heathrow in London eine Strafzahlung von 120.000 GBP bewirkt.
Was ist die DSGVO überhaupt und welche Unternehmen betrifft sie?
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogener Daten. Die DSGVO ist seit dem 25. Mai 2018 in Kraft und ist somit für alle Unternehmen, die ihren Sitz in Europa haben oder Produkte und/oder Dienstleistungen an Kunden in Europa anbieten, gültig.
Jedoch sind nicht nur Unternehmen, sondern auch Organisationen, Behörden, Vereine und Einzelpersonen, die personenbezogene Daten außerhalb des familiären oder privatem Umfeld verarbeiten, betroffen.
Der Kern der DSGVO sind die in Artikel 5 genannten Grundsätze für die Verarbeitung von personenbezogenen Daten, wie zB der Grundsatz der Datenminimierung oder der Speicherbegrenzung.
Was genau ist das Verzeichnis von Verarbeitungstätigkeiten und brauche ich das?
Ein Verarbeitungsverzeichnis wird von der DSGVO vorgeschrieben, siehe Artikel 30 DSGVO. Auf Anfrage der Aufsichtsbehörde stellt der Verantwortliche oder der Auftragsverarbeiter das Verzeichnis zur Verfügung.
Im Verarbeitungsverzeichnis wird jede Verarbeitung von Ihnen aufgelistet, es beschreibt die genaue Nutzung der Daten, die Sie von Kunden haben, es beinhaltet die gesetzlichen Aufbewahrungsfristen für die Daten, die technischen und organisatorischen Maßnahmen, die Sie zum Schutz der Daten in Kraft haben, es wird gezeigt, wer von der Verarbeitung betroffen ist, wer Empfänger der Verarbeitung ist und auch eventuelle Auftragsverarbeiter werden dort aufgelistet. Auch eine grundlegende Risikoanalyse sollte im Verarbeitungsverzeichnis enthalten sein.
easyGDPR hilft Ihnen bei der Erstellung Ihres Verarbeitungsverzeichnisses.
Ist WhatsApp DSGVO konform?
Nein, deshalb sollte WhatsApp in Unternehmen nicht verwendet werden.
WhatsApp ist ein Produkt von Facebook. Facebook ist nach dem US-EU Privacy Shield zertifiziert. Damit wäre es theoretisch erlaubt, Daten an Facebook bzw. Whatsapp zu übertragen.
WhatsApp bittet in den Lizenzbedingungen um die Erlaubnis, alle am Mobiltelefon gespeicherten Telefonnummern und Kontakte an WhatsApp/Facebook hochzuladen. Ohne diese Erlaubnis ist WhatsApp nicht verwendbar. Diese Daten werden verwendet, um Ihnen bekannte Personen zu identifizieren.
Das Problem ist, dass damit auch Daten von Dritten, die nicht damit einverstanden sind, an Facebook übertragen werden. Das hat auch direkte Auswirkungen für diese Personen, da über Ihr und andere Adressbücher Verbindungen hergestellt werden, die nicht erwünscht sind.
Ein Problem mit WhatsApp ist, dass es oft im privaten Umfeld (vor allem für Gruppen in Vereinen, Schulklassen, …) fast unvermeidbar ist. Sobald Sie aber WhatsApp privat verwenden, werden auch Ihre Businesskontakte an Facebook übertragen.
Bitte bedenken Sie, dass Sie die Verwendung von WhatsApp eine Datenverarbeitung im Sinne der DSGVO darstellt. Daher ist dies im Verarbeitungsverzeichnis zu dokumentieren. Am einfachsten erstellen Sie Ihr Verarbeitungsverzeichnis mit easyGDPR.
Ich habe nur handschriftliche Notizen, gilt die DSGVO auch für mich?
Ja. Auch nicht automatisierte, verarbeitete Daten unterliegen der DSGVO. Sobald Sie Daten in irgendeiner Weise sortiert haben, unterliegen diese der DSGVO.
Das heißt, dass die Betroffenen ein Recht auf Auskunft haben. Die Ordner müssen angemessen gesichert sein und Daten, die nicht mehr benötigt werden, müssen entsorgt werden.
Angemessen bedeutet, dass zB Personalakten mit Religionszugehörigkeit oder Gewerkschaftsmitgliedschaft versperrt sein sollten.
Ich habe nur einen kleinen Betrieb, muss ich die DSGVO genauso umsetzen wie ein großer?
Ja. Ob Sie von der DSGVO betroffen sind oder nicht, hängt nicht von der Größe Ihres Unternehmens ab, sondern alleine davon, ob Sie personenbezogene Daten (zB Namen Ihrer Kunden, Telefonnummern oder E-Mail-Adressen) in irgendeiner Form verarbeiten, speichern oder auf sonstige Weise verwenden.
Auch EPUs müssen die DSGVO einhalten.
Das Risiko für kleine Betriebe kommt vor allem aus möglichen Schadenersatzforderungen und Strafen, die durch einen falschen Umgang mit Betroffenenanfragen und den Dokumentationspflichten der DSGVO entstehen.
Ich bin Kleinunternehmer und stelle nur Rechnungen für meine Kunden aus, habe auch keine Kundendatenbank, bin ich von der DSGVO betroffen?
Ja. Siehe „Bin ich von der DSGVO betroffen„.
Gibt es technische oder organisatorische Anforderungen, die ich erfüllen muss?
Die DSGVO verlangt angemessene Maßnahmen und auch Maßnahmen, die am Stand der Technik sind. Dabei wird aber nicht genau vorgeschrieben, was gemacht werden soll, vgl. Artikel 25 DSGVO.
Angemessen bedeutet hierbei jedoch, dass zumindest eine aktuelle Firewall, ein aktueller Virenscanner und Malware Protection benötigt werden. Auch die Verschlüsselung von Daten sollte zum Standard gehören. Sie sollten außerdem Ihr Sicherungssystem regelmäßig testen, um Sicherungen im Ernstfall wiederherstellen zu können. Die Einführung von Passwortregeln (die Länge ist hier entscheidend!) und auch die Festlegung von unterschiedlichen Benutzern und Passwörtern für verschiedene Bereiche sind wichtige Schritte für den Datenschutz.
Darf ich weiterhin meine Akquisitionsdatenbank führen?
Ja, aber …
Sie dürfen weiter Daten von potentiellen Kunden/Interessenten speichern. Aber Sie müssen diese Verarbeitung in Ihrem Verarbeitungsverzeichnis (und ggf. in Ihrer Datenschutzerklärung) dokumentieren.
Sie müssen jedoch nach Artikel 14 die Betroffenen binnen 30 Tagen darüber informieren, dass Sie die Daten verarbeiten und woher Sie diese Daten haben. Das gilt auch für Daten, die Sie aus öffentlichen Quellen haben, aber nur wenn die Verarbeitung dem Betroffenen noch nicht bekannt ist.
Der effektivste Weg diesen Informationspflichten nachzukommen, ist es neue Kontakte binnen 30 Tagen zu kontaktieren und dabei auch eine individuelle E-Mail zu schicken. In der E-Mail kann dann auf die Datenschutzerklärung und die Quelle der Daten hingewiesen werden.
Außerdem müssen Sie beim Kontaktieren von „noch nicht Kunden“ die Regeln des Telekommunikationsgesetzes befolgen.
Es muss für den Betroffenen außerdem einfach sein, dieser Verarbeitung zu widersprechen.
Darf ich meinen Kunden zum Geburtstag gratulieren?
Ja, aber …
Um zum Geburtstag zu gratulieren, brauchen Sie das Geburtsdatum.
Wenn Sie von neuen Kontakten das Geburtsdatum erfragen, müssen Sie angeben, dass Sie das Geburtsdatum für Geburtstagswünsche verwenden möchten. Außerdem darf das Geburtsdatum, zB bei Bestellungen, nicht zwingend erforderlich sein (wenn Sie nicht andere Rechtsgründe für die Verarbeitung haben, wie zB die Vorschrift das Geburtsdatum bei einer Nächtigung zu speichern).
Damit haben Sie für neue Daten eine korrekte Zustimmung zur Verarbeitung.
Sie können die bestehenden Daten auch für eine Verarbeitung verwenden, die der Betroffene erwartet. Wenn Sie in der Vergangenheit zum Geburtstag gratuliert haben, ist es legitim davon auszugehen, dass die Betroffenen diese Verarbeitung erwarten und Sie können das weiterhin tun.
Machen Sie es den Betroffenen einfach die Verarbeitung zu widerrufen/die gegebene Zustimmung zurückzuziehen.
Wenn Sie das Geburtsdatum aus einer dritten Quelle haben und keine Verbindung zum Betroffenen besteht, ist das Senden von Geburtstagswünschen aus Datenschutzsicht bedenklich.
Geburtstage, die Sie über soziale Netzwerke erfahren, können Sie innerhalb des Netzwerkes für Glückwünsche verwenden.
Einen Geburtstag, der auf Facebook veröffentlicht wurde, ist aber nicht automatisch für Firmenwerbung verwendbar. Wo genau die Grenze liegt, ist noch nicht ausjudiziert. Mann könnte argumentieren, dass die Daten auf Facebook öffentlich sind.
Bin ich von der DSGVO betroffen?
Nur wenn Sie personenbezogene Daten ausschließlich im privatem bzw. familiären Umfeld verwenden, sind Sie nicht von der DSGVO betroffen.
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die sortiert gespeichert sind oder gespeichert werden sollen. (Artikel 2)
Die DSGVO gilt für alle Unternehmen, Organisationen, Behörden, Vereine und Einzelpersonen, die personenbezogene Daten (außerhalb der persönlichen und familiären Sphäre) verarbeiten. Diese Unternehmen, Organisationen usw. werden Verantwortliche genannt.
Die DSGVO gilt für Verantwortliche in der EU und für alle personenbezogenen Daten, die verarbeitet werden – auch für Personen, die außerhalb der EU leben.
Für Verantwortliche außerhalb der EU gilt die DSGVO nur, wenn diese betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen anbieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist oder ob sie das Verhalten betroffener Personen beobachten, soweit dieses Verhalten in der Union erfolgt.
Waren oder Dienstleistungen werden zB dann für Personen in der EU angeboten, wenn erkennbar ist, dass Personen in der EU erreicht werden sollen. Das kann durch Preise in EUR, einen Webauftritt in einer vor allem in der EU gesprochenen Sprache (Deutsch, Tschechisch) oder durch Artikel, die auf ein EU Land Bezug nehmen, erfolgen.
Beispiel: Ein US Unternehmen, das Online-Kurse auf Englisch verkauft, aber keinen sichtbaren Bezug zur EU hat, unterliegt nicht der DSGVO – auch wenn die Kurse online aus der EU gekauft werden können. Wenn das Unternehmen die Kurse auch in EUR auspreist, unterliegt es der DSGVO.
Betrifft mich die DSGVO auch, wenn ich nur Namen und E-Mail-Adressen speichere?
Ja. Siehe „Bin ich von der DSGVO betroffen„.
FAQs zu Datenschutzbeauftragten
Wann wird in Zypern ein Datenschutzbeauftragter benötigt?
Die Aufsichtsbehörde von Zypern hat die gesetzliche Ermächtigung mittels Verordnung diejenigen Verarbeitungstätigkeiten festzulegen, für die eine Bestellpflicht nach Art 37 Abs 1 DSGVO besteht. Eine Liste dürfte derzeit noch nicht veröffentlicht worden sein.
Wann wird in Spanien ein Datenschutzbeauftragter benötigt?
In Spanien ist gesetzlich festgelegt, welche Arten von Organisationen einen Datenschutzbeauftragten bestellen müssen – unabhängig davon, ob sie als Verantwortlicher oder Auftragsverarbeiter fungieren:
a) Berufsverbände und ihre Generalräte
b) Bildungseinrichtungen, die Unterricht auf einer der in den Bildungsgesetzen festgelegten Niveaus anbieten, sowie öffentliche und private Universitäten
c) Organisationen, die Netze betreiben und elektronische Kommunikationsdienste im Sinne des Gesetzes erbringen, wenn sie routinemäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten
d) Anbieter von Diensten der Informationsgesellschaft, die in großem Umfang Profile von Nutzern erstellen
e) Finanzinstitute, gem. Artikel 1 des Gesetzes 10/2014 vom 26. Juni
f) Kreditinstitute
g) Versicherungs- und Rückversicherungsunternehmen
h) Wertpapierdienstleistungsunternehmen, die der Finanzmarktgesetzgebung unterliegen
i) Energieversorger und Vermarkter von elektrischer Energie sowie Energieversorger und Vermarkter von Erdgas
j) Stellen, die gemeinsame Daten zur Beurteilung der Vermögenssituation oder Bonität oder zur Betrugsbekämpfung verarbeiten, einschließlich der Verantwortlichen, die Daten zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung aufgrund diesbezüglicher Rechtsvorschriften verarbeiten
k) Unternehmen, die Werbekampagnen durchführen oder Forschung im Bereich Handel, einschließlich Handels- und Marktforschung, durchführen, wenn sie Verarbeitungen durchführen, die auf den Präferenzen der betroffenen Parteien beruhen, oder Tätigkeiten ausüben, die die Erstellung ihrer Profile beinhalten
l) Gesundheitszentren, die gesetzlich verpflichtet sind, die Patientenakten zu führen. Ausgenommen sind Angehörige der Gesundheitsberufe, die zwar gesetzlich verpflichtet sind, die Patientenakten zu führen, ihre Tätigkeit aber als Einzelperson ausüben
m) Unternehmen, die die Veröffentlichung von Geschäftsberichten zum Unternehmensgegenstand haben, die sich auf natürliche Personen beziehen können
n) Glückspielbetreiber, die auf elektronischen, computergestützten, telematischen und interaktiven Kanälen tätig sind
m) private Sicherheitsunternehmen
o) Sportverbände, wenn diese Daten von Minderjährigen verarbeiten
Wann wird in Österreich ein Datenschutzbeauftragter benötigt?
Laut DSGVO wird ein Datenschutzbeauftragter benötigt, wenn
- Behörden oder öffentliche Stellen Daten verarbeiten, mit Ausnahme von Gerichten,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen vorsieht oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten vorsieht (siehe Artikel 9 und 10 der DSGVO).
Damit wird in Österreich selten ein Datenschutzbeauftragter benötigt.
Ärzte brauchen keinen Datenschutzbeauftragten, da die Kerntätigkeit nicht die Arbeit mit medizinischen Daten ist. Ärztegemeinschaften oder Spitäler brauchen auf jeden Fall einen Datenschutzbeauftragten. Beachten Sie auch unseren Artikel zum Thema Dürfen Patienten mit Namen aufgerufen werden?
Wann wird in Deutschland ein Datenschutzbeauftragter benötigt?
Laut DSGVO wird ein Datenschutzbeauftragter benötigt, wenn
- Behörden oder öffentliche Stellen Daten verarbeiten, mit Ausnahme von Gerichten,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen vorsieht oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten vorsieht (siehe Artikel 9 und 10 der DSGVO).
Zusätzlich verlangt das Deutsche Bundesdatenschutzgesetz, dass ein Datenschutzbeauftragter benannt wird, wenn mindestens 10 Mitarbeiter mit Daten arbeiten.
Wann wird in Belgien ein Datenschutzbeauftragter benötigt?
Jede nicht-öffentliche Stelle, die eine Verarbeitung personenbezogener Daten im Auftrag einer Bundesbehörde durchführt bzw. an welche personenbezogene Daten von einer Bundesbehörde übertragen wurden, muss einen Datenschutzbeauftragten einstellen, sofern die Verarbeitung dieser Daten ein hohes Risiko (siehe Artikel 35) mit sich bringen kann.
Ich habe schon einen Datenschutzbeauftragten, warum brauche ich easyGDPR?
Es ist sehr gut, dass Sie bereits einen Datenschutzbeauftragten (DSBA) ernennt haben. Es geht uns auch gar nicht darum, Ihren DSBA zu ersetzen. Wir bieten Ihnen mit easyGDPR ein Tool an, das Ihrem DSBA bei der Erledigung seiner Aufgaben, zB dem richtigen Umgang mit Betroffenenanfragen, unterstützt.
FAQs zu easyGDPR
Woher weiß ich welche Version von easyGDPR für mich geeignet ist?
Unsere Lite Version ist ideal für Kleinunternehmen und hilft u.a. die essentielle Dokumentation (zB Verarbeitungsverzeichnis) zu erstellen. Die Standard Version ist für KMUs und große Unternehmen, mit nur einem Standort geeignet und hilft dabei laufend alle notwendigen Tätigkeiten durchzuführen. Die Enterprise Version hilft mittleren und großen Unternehmen mit mehr als einem Standort, die viele Betroffenenanfragen bekommen oder die komplexe Aufgaben beim Management der personenbezogenen Daten haben. Sollten Sie einen übersichtlichen Überblick über die verschiedenen Versionen brauchen, hilft Ihnen vielleicht unser Versionsvergleich.
Wie wird mir die Software nach dem 25. Mai überhaupt noch helfen?
Bis zum 25. Mai 2018 musste Ihr Unternehmen DSGVO konform sein. Jedoch ist es damit noch nicht getan, es können immer wieder Anfragen von Kunden kommen, die um Auskunft über ihre Daten bitten und Sie müssen auf diese immer eingehen und auch richtig beantworten können. Gerade diese Anfragen können bei größeren Unternehmen viel Zeit und auch Kosten in Anspruch nehmen. easyGDPR kann Sie auch bei der Automatisierung von Auskunfts- und Löschanfragen unterstützen mit der easyGDPR Enterprise Version. Es können sich auch immer neue Auftragsverarbeiter ergeben, für diese Sie dann die entsprechenden Verträge erstellen müssen, damit die Verarbeitung DSGVO konform ist. Nähere Informationen darüber können Sie bei unserer Standard Version finden.
Wie sieht der Ablauf nach der Bestellung des Produkts aus?
Bei Bezahlung mit Kreditkarte wird Ihnen die Rechnung und auch der Lizenz Key sofort zugeschickt. Diesen müssen Sie dann nur noch bei unserem easyGDPR Online Assistenten unter dem Menüpunkt „Lizenz“ eingeben und schon können Sie loslegen. Bei Bezahlung durch Überweisung oder Direktüberweisung bekommen Sie von uns eine Auftragsbestätigung. Nachdem Ihre Zahlung bei uns eingegangen ist, schicken wir Ihnen Ihre Rechnung und auch den Lizenz Key, damit Sie easyGDPR sofort benutzen können. Sollten Sie Probleme bei der Einspielung der Lizenz haben, kontaktieren Sie uns einfach. Wir helfen Ihnen gerne.
Wie lange kann ich die Lizenz verwenden?
Unsere Lizenz ist für 12 Monate gültig. Die Lizenz verlängert sich automatisch um weitere 12 Monate, sofern Sie nicht drei Monate vor Lizenzablauf kündigen.
Wie kann ich mithilfe von easyGDPR meine möglichen Bußgelder reduzieren?
Sie können mit easyGDPR auf jeden Fall mögliche Bußgelder reduzieren. Die reine Nutzung unserer Software ist natürlich keine Garantie dafür, dass Sie nicht bestraft werden können, aber die Aufsichtsbehörde sieht, dass Sie sich zumindest bemüht haben die DSGVO zu erfüllen. Genau dieses Bemühen kann einen großen Unterschied bei der Höhe des Strafmaßes machen. Wenn Sie sich jedoch zB nicht an die Grundsätze für die Verarbeitung personenbezogenen Daten halten, wird Ihnen eine Software alleine nicht helfen können.
Wer braucht easyGDPR?
Jede Organisation (Firma, Verein, Behörde), die personenbezogene Daten speichert, verarbeitet oder auf eine andere Art verwendet, muss den Schutz dieser personenbezogenen Daten garantieren können. Egal ob es sich hierbei um ein riesiges oder um ein kleines Unternehmen handelt. easyGDPR hilft Ihnen in jedem Fall bei der Umsetzung.
Welche Themen werden bei easyGDPR behandelt?
- Risiko Status
- Dokumentation (zB Verarbeitungsverzeichnis)
- Datenschutzaufgaben
- Betroffenenanfragen
- Datenschutzverletzungen
- Training der Mitarbeiter
- Cybersicherheit
- Gefahrenerkennung
Was ist, wenn ich mehr als einen User benötige?
Sollten Sie mehr als einen User benötigen, kontaktieren Sie uns einfach.
Was bekomme ich mit dem Kauf von easyGDPR Lite, Standard und Enterprise?
Einen ausführlichen Überblick darüber, was Sie alles beim Kauf eines unserer easyGDPR Produkte bekommen, können Sie bei unserem Versionsvergleich finden.
Unterstützen Sie auch große Unternehmen?
Ja, wir unterstützen auch größere Unternehmen mit unseren Standard und Enterprise Versionen. Nähere Informationen zu den Inhalten können Sie bei unserem Versionsvergleich finden.
Übernehmen Sie die Haftung oder eine Garantie für Kunden?
Nein, wir übernehmen keine Haftung für unsere Kunden. Wir stellen Ihnen ein Tool zur Verfügung mit dessen Hilfe Sie die DSGVO ganz einfach umsetzen können. Es gibt aber keine Garantie dafür, dass Sie mit easyGDPR oder mit einem anderen Tool keine Geldbußen bezahlen müssen, denn das kann Ihnen niemand garantieren.
Sind Ihre Preise in Euro?
Ja. Alle unsere Preise sind in Euro und exklusive Umsatzsteuer.
Schaffe ich die Umsetzung mit easyGDPR tatsächlich selbst?
Ja. Mithilfe von einfachen Fragebögen können Sie Ihre Verarbeitungsverzeichnis, das Sie bei Kontrollen durch die Aufsichtsbehörde einfach vorlegen können, erstellen. Sie können durch unser Tool auch feststellen, welche technischen und organisatorischen Maßnahmen Sie in Ihrem Unternehmen umsetzen sollten, um DSGVO konform zu sein. Die Fragen sind so aufgebaut, dass Sie diese auch ohne das Studieren des DSGVO Gesetzestextes beantworten können.
Sollten dennoch Fragen offen bleiben, stehen Ihnen unsere Experten gerne zur Verfügung. Kontaktieren Sie uns einfach.
Muss ich easyGDPR nur einmal nutzen?
Nein. Viele denken, dass die Umsetzung der DSGVO eine einmalige Angelegenheit ist. Jedoch besagt die DSGVO, dass Sie Anfragen von Kunden über die Auskunft ihrer Daten beantworten müssen und dies ist keine einmalige Sache, sondern kann immer wieder vorkommen. easyGDPR hilft Ihnen bei der richtigen Beantwortung von Auskunfts- und Löschanfragen.
Zusätzlich kann es auch vorkommen, dass Sie einen neuen Auftragsverarbeiter beschäftigten und mit easyGDPR können Sie dann ganz einfach einen Vertrag über die jeweilige betroffenen Verarbeitung erstellen. Es muss auch regelmäßig geprüft werden, ob die passenden technischen und organisatorischen Maßnahmen gesetzt worden sind und falls sich ein Risiko für die betroffenen Personen ergibt, müssen Sie außerdem auch eine Datenschutzfolgenabschätzung für diese Verarbeitung erstellen und evtl. die betroffenen Personen und die Datenschutzbehörde darüber informieren.
Falls Sie sich nicht sicher sind, wie Sie mit Betroffenenanfragen am besten umgehen oder nicht wissen, wann eine Datenschutzverletzung zu melden ist und in welchen Fällen dies nicht notwendig ist – mit easyGDPR Standard sind Sie auf all diese Vorkommnisse vorbereitet und können richtig auf diese reagieren.
In welchen Sprachen ist easyGDPR verfügbar?
Sie können easyGDPR derzeit in Deutsch und in Englisch nutzen. Bei der Definierung des Assessments für Ihr Unternehmen, können Sie sich für die deutsche oder englische Version entscheiden. Hier wählen Sie, in welcher Sprache die Fragen und Antworten in den Fragebögen angezeigt werden. Außerdem können Sie auch beim Arbeiten im Assessment selbst die Sprache auswählen. Hier wählen Sie aus in welcher Sprache Ihnen die Benutzeroberfläche des Tools anzeigt wird. Die Sprache der Fragen und Antworten können Sie im Nachhinein nicht mehr ändern.
Ich habe weniger als 50 Mitarbeiter, muss ich easyGDPR trotzdem verwenden?
Ja. Ob Sie von der DSGVO betroffen sind oder nicht, hängt nicht von der Größe Ihres Unternehmens oder von der Anzahl Ihrer Mitarbeiter ab. Sobald Ihr Unternehmen personenbezogene Daten verarbeitet, brauchen Sie easyGDPR. Weiter Informationen können Sie bei „Bin ich von der DSGVO betroffen?“ finden.
Ich bin kein DSGVO Spezialist, wie kann ich easyGDPR nutzen?
Mit unseren Fragebögen können Sie u.a. ganz einfach Ihre Verarbeitungen definieren und unser Tool erstellt für Sie das entsprechende Verarbeitungsverzeichnis. Auch alle anderen Features sind nach diesem Schema aufgebaut, egal ob Sie einen Auftragsverarbeitervertrag für einen Auftragsverarbeiter oder Ihre Datenschutzverletzungen dokumentieren wollen. Sie brauchen nur unsere Fragebögen ausfüllen und easyGDPR erstellt für Sie die passenden Dokumente, die Sie ganz einfach ausdrucken und bei Kontrollen der Datenschutzbehörde vorlegen können.
Gibt es eine Mindestvertragslaufzeit?
Unsere Mindestvertragslaufzeit beträgt 12 Monate. Wenn Sie nicht fristgerecht kündigen, verlängert sich die Lizenz automatisch um ein weiteres Jahr. Eine Kündigung muss drei Monate vor Ablauf der Lizenz bei uns einlangen.
Entstehen nach dem Kauf noch weitere Kosten?
Nein. Beim Kauf eines unserer easyGDPR Produkte erhalten Sie die Lizenz für 12 Monate und müssen auch keine sonstigen Kosten, wie zB für die Einrichtung oder für die Installation tragen.
Bietet easyGDPR Beratungsleistungen oder eine Prüfung der Dokumentation an?
Ja. Wir bieten Beratungsstunden bei uns vor Ort in Stetten, in der Nähe von Wien und auch eine Online-Beratung mit unseren DSGVO Experten an. Nähere Informationen darüber, in welchen Bereichen wir Sie unterstützen können, finden Sie bei unserer easyGDPR Beratung. Kontaktieren Sie uns einfach für eine Terminvereinbarung.