Praxisnahe Umsetzung seit 2013

Ihr Branchenexperte für Datenschutz und Informationssicherheit

Datenschutz­freundliche Vorein­stellungen und Technikgestaltung

Datenschutzfreundliche Voreinstellungen und Technikgestaltung: Können Sie diese Fragen beantworten?

Datenschutzfreundliche Voreinstellungen und Technikgestaltung: Der Überblick

Einleitung

Wenn Sie den Daten­schutz im Unter­nehmen ernsthaft umsetzen wollen, müssen Prozesse und IT-Systeme so gestaltet werden, dass nur personen­bezogene Daten werden, die für den jeweiligen bestimmten Verarbeitungs­zweck unbedingt erforder­lich sind. Dies gelingt nur, wenn Sie die entsprechenden Vorein­stellungen im Rahmen der Verarbeitung vorab treffen und die Technik so gestalten, dass die Vorgaben des Datenschutzes von Beginn an berücksichtigt werden.

Um das Ziel zu erreichen, müssen Sie sich mit den Begriffen „Stand der Technik“, „gegenwärtigen technischen Fortschritt“, „Zeitpunkt der Verarbeitung“ oder Datenschutz-Grundsätze auseinandersetzen.

Haben Sie entsprechende Beschäftigte, die sich mit diesem Thema in einem angemessenen Zeitraum auseinander­setzen können? Auf dieser Seite finden Sie Informationen zu diesem komplexen Thema.

Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Verantwortlichkeiten im Unternehmen

Der Datenschutz bei den eingesetzten IT-Systemen und Geschäftsprozessen ist unabhängig von der Unternehmensgröße umzusetzen. Der Aufwand hängt dabei von der Komplexität der Verarbeitung ab.

Was müssen Sie in Ihrem Unternehmen tun?

Sie müssen geeignete und wirkungsvolle Maßnahmen planen und umsetzen, um die Rechte und Freiheiten der Personen zu schützen, deren Daten Sie verarbeiten. Stellen Sie sicher, dass der Datenschutz immer Teil Ihrer Geschäftsprozesse ist.

Viele Datenschutzverletzungen und daraus resultierende Geldbußen sind immer eng verbunden mit der Technikgestaltung und den Voreinstellungen. Wenn Sie Geldbußen vermeiden wollen, sollten Sie sich um das Thema kümmern.

Die Höhe von Geldbußen variiert vom Umsatz des Unternehmens und dem Risiko für die betroffenen Personen, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nachdem was höher ist).

Denken Sie an die Folgeaufgaben!

Die Umsetzung von datenschutzkonformen Geschäftsprozessen ist eine Daueraufgabe. Etablieren Sie robuste Regelungen, um Veränderungen im Unternehmen, wie z. B. neue IT-Systeme von Anfang datenschutzkonform einzubinden?

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäfts­leitung: Machen wir im Daten­schutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutz­beauf­tragten die folgenden Fragen und lassen sich ent­sprechende Nach­weise vorlegen.
compliance-im-datenschutz
Sie kennen das Thema be­reits und wollen mehr Details wissen? Hier erhalten Sie mehr Infor­mationen zum Thema daten­schutz­­freund­liche Vor­ein­stell­ungen und Technik­­gestalt­ung.
Sie wollen in 4 Schritten den Datenschutz durch Technik­gestalt­ung und daten­schutz­freund­liche  Vor­ein­stellungen umsetzen? Finden Sie hier weitere Infor­mationen.
Sie wünschen eine direkte Kontakt­­­aufnahme und haben Fragen zu daten­schutz­konformen Geschäfts­­prozessen, die ggf. schnell beant­­­wortet werden können?

In 4 Schritten zur datenschutzfreundlichen Gestaltung von Geschäftsprozessen

Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie Ihre Geschäftsprozesse von Anfang an datenschutzkonform erstellen, aktuell halten und kontinuierlich verbessern.

Schritt 1: Schaffen Sie die Voraussetzungen in Ihrem Unternehmen!

Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen wird zunächst das Verzeichnis der Verarbeitungstätigkeiten und die Übersicht der IT-Systeme erstellt. Binden Sie Ihren Datenschutzbeauftragten oder Datenschutzberater frühzeitig und umfassend ein, wenn Sie neue Geschäftsprozesse oder IT-Systeme in Ihrem Unternehmen planen. 

Berücksichtigen und prüfen Sie die Vorgaben in allen Phasen der Gestaltung. Dazu gehört z. B. die Ausschreibung, die Auftragsvergabe, das Outsourcing, die Eigenentwicklung, die Unterstützung, die Pflege, die Testphase, die Speicherung, die Archivierung oder die Löschung. 

Datenschutz fängt vorne an!

Wenn Sie Geschäftsprozesse gestalten bzw. Dienst­leistungen oder IT-Systeme beschaffen, beachten Sie schon zu Beginn an, ob Sie die datenschutz­recht­lichen Vor­gaben einhalten. Bereits umgesetzte Pläne zu ändern, können aufwändig und kostenintensiv werden. 

Sie haben Auftragsverarbeitung mit der gesamten Aufgabe betraut? Stellen Sie sicher, dass dort ebenfalls das Wissen für den Datenschutz vorhanden ist.

Schritt 2: Gestalten Sie Ihre Prozesse und IT-Systeme datenschutzkonform!

Nach der Inventur wenden Sie die Datenschutzgrundsätze Transparenz, Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung,
Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht auf Ihre Geschäftsprozesse an. Dokumentieren Sie, welche Maßnahmen Sie pro Geschäftsprozess und IT-System eingerichtet haben. Bei den IT-Systemen wählen Sie eine Mischung aus Datenschutz und Benutzerfreundlichkeit in den Voreinstellungen.

Stellen Sie sich die folgenden Fragen:

– Behandeln wir die Personen und dessen personenbezogene Daten fair und rechtmäßig?
– Verarbeiten wir die Daten der betroffenen Personen sicher?
– Melden wir Datenschutzverletzungen?
– Bewahren wir die personenbezogenen Daten nur so lange auf, wie erforderlich?
– Greifen nur befugte Personen und IT-Systeme auf die Daten zu und protokollieren wir das?
– Stellen wir Informationen den personenbezogenen Daten auf Anfrage zur Verfügung?
– Verarbeiten wir nur die personenbezogenen Daten, die absolut erforderlich sind?
– Kennen meine Dienstleister, die für meine IT-Systeme zuständig sind, die Anforderungen?

Schritt 3: Prüfen Sie regelmäßig Ihre Geschäftsprozesse und IT-Systeme

Nach dem Beginn der Datenverarbeitung prüfen Sie regelmäßig Ihre Geschäftsprozesse und IT-Systeme, ob Ihre Maßnahmen und Einstellungen in den IT-Systemen noch sinnvoll und wirksam sind. Gerade in IT-Systemen werden bei Updates oder Funktionserweiterungen der Software die Voreinstellungen überschrieben, Funktionen ergänzt oder ganz entfernt. 

Beispiel: Bei einem Update des Windows-Betriebssystems wurde die Funktionalität „Viva Insights / MyAnalytics“ installiert. Die Software wertet das Nutzerverhalten Ihrer Beschäftigten aus und bewertet die Produktivität und das Verhalten während der Benutzung des Endgerätes. 

Das Problem: Sie bleiben für die diese Datenverarbeitung voll verantwortlich. Die Einführung der oben genannten Leistungs- und Verhaltenskontrolle auf dem Endgerät ist anspruchsvoll und sehr aufwändig. Ob die Verarbeitung auch datenschutzkonform gestaltet werden kann, ist von verschiedenen Aspekten abhängig. Die Erforderlichkeit dürfte in den meisten Fällen im Arbeitsverhältnis nicht notwendig sein.

Die Lösung: Prüfen Sie vor dem Einspielen von Aktualisierungen, ob sich durch das Update auch Änderungen im Datenschutz ergeben. Sie können dann entscheiden, ob Sie die neuen Funktionalitäten rechtskonform gestalten oder das Update – sofern möglich – verhindern.

Schritt 4: Stetige Optimierung und Dokumentation der Maßnahmen

Sie haben ein klares „Datenschutzbild“ von Ihren Geschäftsprozessen, IT-Systemen, Rollen und Verantwortlichkeiten der Beschäftigten in Ihrem Betrieb. Sie haben auch einen Prozess eingerichtet, um Abweichungen zu erkennen und abzustellen. Jetzt dokumentieren Sie noch die Veränderungen während der Laufzeit der Geschäftsprozesse und IT-Systeme.

Dokumentieren Sie die Änderungshäufigkeit!

Für die Dokumentation sollten Sie ein einheitliches Versionsmanagement etablieren, um Ihre Aufwände, Erkenntnisse und Veränderungen zu protokollieren. Die Anforderung ergibt sich aus der Nachweispflicht gem. Art. 5 Abs. 2 DSGVO.

Legen Sie pro Geschäftsprozess einen Termin für die Wiedervorlage fest. Die Frequenz richtet sich nach

  • – dem Risiko der Verarbeitung für die betroffenen Personen,
  • – der Komplexität des Prozesses und der IT-Systeme sowie
  • – der Änderungshäufigkeit des Geschäftsprozesses bzw. der IT-Systeme (Hard- und Software).

Sie benötigen Unterstützung bei diesem Thema? Melden Sie sich gerne.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Weitere Details zur Technikgestaltung und Voreinstellungen

Gesetzliche Vorgaben zu “Privacy by default” und “Privacy by Design”

Die Datenschutz-Grundver­ordnung regelt das Thema „Datenschutz durch Technik­gestaltung und durch daten­schutz­freund­liche Voreinstellungen“ in Artikel 25 und im Erwägungsgrund 78. Der Gesetzestext wird hier noch einmal dargestellt. Die wichtigen Begriff­e sind hervorgehoben. Weitere Informationen zu den Begriffen finden Sie im unteren Bereich.

Art. 25 Abs. 1 DSGVO: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Art. 25 Abs. 2 DSGVO: Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Art. 25 Abs. 2 DSGVO: Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Erwägungsgrund 78 DSGVO: Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden.

Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.

Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.

In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.

Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

Begriffe – Kurz und knapp erklärt

Die Vorgabe „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ oder „Privacy by default / by design“ hat es in sich. Sie müssen die Begrifflichkeiten verstehen, um die Anforderungen korrekt umzusetzen. Finden Sie hier die entsprechenden Informationen zu den verwendeten Begriffen.

details-verzeichnis-der-verarbeitungstaetigkeiten

Begriffserklärungen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Unter datenschutzfreundliche Voreinstellungen versteht man den bereits bestehenden oder vorausgewählten  Wert einer Einstellung, wie z. B. bei einem Endgerät oder einer Software. Man kann auch Werkseinstellung dazu sagen. Durch die Voreinstellung ergibt sich die Menge der erhobenen Daten und den Umfang der Verarbeitung. Auch die Speicherdauer und der Zugriff auf die Daten kann dadurch gesteuert werden. Wählen Sie die Voreinstellungen, sodass nur die minimal erforderliche  Datenverarbeitung erfolgt, um den geplanten Zweck zu erreichen.

Entscheiden sich die betroffenen Personen, mehr personenbezogene Daten herauszugeben oder für eine umfangreichere Verarbeitung zur Verfügung zustellen, kann dies möglich sein.

Bei der Wirksamkeit müssen Sie dafür sorgen, dass die umgesetzten Maßnahmen zu Ihren beabsichtigten Ergebnissen führen. Sie müssen auch nachweisen können, dass Sie sich davon überzeugt haben, dass Ihre geplanten Maßnahmen auch geprüft worden sind.

Vor dem Beginn der Datenverarbeitung müssen Sie eindeutig festlegen, für welche Zwecke Sie Daten von den betroffenen Personen verarbeitet möchten. Die richtige Rechtsgrundlage muss dabei ebenfalls festgelegt werden.

Setzen Sie technische und organisatorische Maßnahmen ein, die am Markt aktuell bewährt sind. Berücksichtigen den technischen Fortschritt und prüfen Sie kontinuierlich den Fortschritt, d. h. ob sich bewährte Methoden verändert haben. So verändern sich Methoden für die Verschlüsselung oder der Umgang mit Passwörtern regelmäßig.

Eine gute Referenz ist dabei immer der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik.

Bei dem Betrieb von Webseiten sieht man häufiger, dass alte Versionen von Verschlüsselungen eingesetzt werden. Die Technik erfüllt dann nicht mehr den Sicherheitsstandards und bietet keinen entsprechenden Schutz vor Cyberangriffen. 

Beim Stand der Technik sind auch organisatorische Maßnahmen zu berücksichtigen. So führen fehlende Richtlinien, Anweisungen oder Vorgaben zu Sicherheitsverletzungen, weil das Wissen nicht nachhaltig vermittelt wurde.

Wenn Sie technische und organisatorische Maßnahmen zum Schutz der Daten etablieren, sind die Kosten für Ressourcen, d. h. Hard- und Software, Dienstleistung und Personal berücksichtigen. Der Aufwand muss immer zum Unternehmen passen und sollten verhältnismäßig sein. 

Schauen Sie, ob die Ziele, die Sie erreichen wollen, nicht auch mit einem geringeren Aufwand erreicht werden können. 

Die DSGVO ist ein risiko­basiertes Gesetz. Das finden Sie in zahlreichen Artikeln wieder. Je höher das Risiko für die betroffenen Personen ist, desto wirksamer müssen die Schutzmaßnahmen sein. Damit verringern Sie die Eintritts­wahrschein­lichkeit von Datenschutz­verletzungen. Zahlreiche Informationen finden Sie im Bereich Risikomanagement.

Der Grundsatz der Datenminimierung sorgt dafür, dass die Menge der erhobenen personenbezogenen Daten, der Umfang der Verarbeitung, die Speicherdauer und die Möglichkeit, auf Daten zuzugreifen, auf ein Minimum begrenzt wird. 

Sie müssen als Verantwortlicher die Daten wieder löschen, wenn dieses zur Erfüllung der geplanten Zwecke nicht mehr erforderlich sind.

Sie müssen die Speicherdauer von personenbezogenen Daten vorab festlegen. Weitere Informationen finden Sie im Bereich Löschen von Daten.

Eine Anonymisierung personenbezogener Daten kann als Alternative erfolgen, wenn der Personenbezug durch andere Faktoren nicht mehr hergestellt werden kann.

Unter der Zugänglichkeit ist der Zutritt, Zugang oder Zugriff auf personenbezogene Daten zu verstehen. Berechtigte Personen oder IT-Systeme erhalten im Rahmen der vorab festgelegten Aufgaben die Möglichkeit, auf die Daten zuzugreifen, um die festgelegten Zwecke zu erfüllen.

Sie müssen den Zugang durch entsprechende Voreinstellungen und Anpassungen auf ein Minimum beschränken. Sorgen sie dafür, dass organisatorische Veränderungen, wie z. B. Austritt von Beschäftigten auch zu einer Veränderung der Zugänglichkeit führen.

Die DSGVO eine Möglichkeit vorgesehen, durch ein Zertifikat für die Datenschutzfreundlichkeit einer Hard- oder Software nachzuweisen. 

Bislang gibt es noch keine Zertifikate in diesem Bereich. Die europäischen Länder müssen sich zunächst auf die Inhalte einigen.

Wenn Sie der Verantwortliche für die Datenverarbeitung sind, bleiben Sie für den Einsatz der Hard- und Software haftbar. Ein Zertifikat des Herstellers für eine Hard- oder Software bedeutet aber nicht, dass die gesamte Datenverarbeitung gesetzeskonform sind. Vor Gericht kann ein Zertifikat aber unterstützen, Schäden zu verringern.

Maßnahmen zur Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Informieren Sie gegenüber den betroffenen Personen klar und offen darüber, wie die Datenverarbeitung erfolgt. Die Personen müssen verstehen, was mit ihren Daten passiert, damit die Kontrolle nicht verloren geht. Berücksichtigen Sie dabei folgende Punkte:

  • - Verwenden Sie eine klare, deutliche, präzise und verständliche Sprache.
  • - Versetzen Sie sich selbst in die Zielgruppe. Schreiben Sie die Informationen so, wie ein typischer Vertreter der Zielgruppe es verstehen würde. Berücksichtigen Sie Sprache, Alter und Bildungsstand.
  • - Die Informationen müssen den betroffenen Personen leicht zugänglich sein. Vermeiden Sie Medienbrüche und umständliche Methoden.
  • - Stellen Sie die Informationen zum richtigen Zeitpunkt und in der geeigneten Form bereit.
  • - Reduzieren Sie die Informationen auf die Zielgruppe und den Umfang der Verarbeitung. Überfrachten Sie die Informationen nicht.
  • - Sorgen Sie dafür, dass alle Personen die Informationen erhalten können und dass die Informationen lesbar sind.
  • - Nutzen Sie – sofern erforderlich – verschiedene Kanäle und Methoden, um die Wahrscheinlichkeit der Information zu erhöhen
  • - Nutzen Sie mehrstufige Verfahren, um eine Balance zwischen Verständnis und Vollständigkeit zu erhalten, wie z. B. bei einer Videoüberwachung (Stufe 1 = Schild mit Basisinformationen, Stufe 2 = vollständige Informationen)

 

Beispiel „Datenschutzhinweise auf der Website“:

  • - Erstellen Sie eine zentrale Seite für alle Datenschutzinformationen.
  • - Verwenden Sie klare und knappe Informationen zur Erstinformation der betroffenen Personen.
  • - Nutzen Sie mehrere Stufen für mehr Details.
  • - Heben Sie die wichtigsten Punkte hervor.
  • - Stellen Sie ausführlichere Informationen leicht zugänglich zur Verfügung.
  • - Nutzen Sie bei Bedarf Drop-down-Menüs und Links zu anderen Seiten.
  • - Stellen Sie sicher, dass die Betroffenen die Informationen zu jedem Zeitpunkt aufrufen können.
  • - Verweisen Sie bei einer Dateneingabe (z. B. bei einem Kontaktformular) auf die Informationen zum Datenschutz
  • - Erstellen Sie wichtige Informationen in Videos.
  • - Lassen Sie verschiedene Personen die Informationen auf Verständlichkeit testen.
  • - Unterscheiden Sie in Informationen für Apps und Websites.

Sie müssen sicherstellen, dass jede Datenverarbeitung eine gültige und passende Rechtsgrundlage hat. Etablieren Sie folgende Maßnahmen bzw. Prozesse, um diese Anforderung zu unterstützen:

  • - Stellen Sie sicher, dass die Rechtsgrundlage auch verwendet werden kann und korrekt ist.
  • - Prüfen Sie, ob die Rechtsgrundlage pro Zweck verwendet werden kann und die Verarbeitung nicht an weitere Bedingungen geknüpft ist.
  • - Stellen Sie im Prozess sicher, dass die betroffene Personen die Kontrolle über die Datenverarbeitung behalten können.
  • - Gestalten Sie die Einwilligung der Personen rechtskonform gem. Art. 7 DSGVO. Hier sind diverse Punkte zu beachten, wie z. B. Freiwilligkeit, einfache Widerrufsmöglichkeit, Transparenz, Konkretheit und Nachweispflichten über den gesamten Lebenszyklus der Einwilligung.
  • - Erstellen Sie eine dreistufige Interessenabwägung (siehe Bereich Risikobewertung)
  • - Stellen Sie sicher, dass bei Wegfall der Rechtsgrundlage die Daten auch wirksam gelöscht werden.
  • - Bei einer gemeinsamen Verantwortung gestalten Sie Verträge und Prozesse mit allen anderen Verantwortlichen.

Der Datenschutzgrundsatz „Treu und Glauben“ steht übergreifend für eine faire Verarbeitung personenbezogener Daten. Die Datenverarbeitung sollte fair sein, nicht schädlich oder diskriminierend, unerwartet oder irreführend sein. Um den Datenschutzgrundsatz umzusetzen, sind folgende Maßnahmen umzusetzen:

  • Geben Sie den betroffenen Personen Spielräume bei der Datenverarbeitung, d.h. bei der Nutzung der Daten oder Umfang der Datenverarbeitung durch den Verantwortlichen
  • - Schaffen Sie Möglichkeiten zur Interaktion, damit die betroffenen Personen ihre Rechte wahrnehmen können.
  • - Sorgen Sie dafür, dass die Datenverarbeitung nicht überraschend erfolgt, d.h. durch rechtzeitige Information (Transparenz der Verarbeitung)
  • - Diskriminieren Sie die betroffenen Personen nicht in unfairer
    Weise.
  • - Nutzen Sie die Bedürfnisse und die Schutzbedürftigkeit
    betroffener Personen nicht aus.
  • - Binden Sie die betroffenen Personen nicht in unlauterer Weise (Lock-in-Effekt)
  • - Vermeiden Sie ein Ungleichgewicht zwischen Ihnen und den betroffenen Personen (Datenverarbeitung auf Augenhöhe).
  • - Wälzen Sie das Risiko der Datenverarbeitung nicht auf die betroffenen Personen ab.
  • - Stellen Sie Informationen sachlich und neutral zur Verfügung und nicht manipulativ oder irreführend
  • - Wahren Sie die Rechte und Würde der Betroffenen, sofern keine gesetzlichen Vorgaben bestehen.
  • - Nutzen Sie ausgewogene, faire und richtige Algorithmen für automatisierte Datenverarbeitungen und informieren Sie entsprechend. Dies gilt insbesondere bei Themen, wie z. B. Leistungsbeurteilung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Bewegungen.

Bei der Planung der Datenverarbeitung müssen Sie Zwecke festlegen. Die Zwecke müssen eindeutig und legitim sein.

Sofern vom Zweck abgewichen werden soll, müssen Sie sicherstellen, dass die neuen Zwecke mit dem ursprünglichen vereinbar sein. Die folgenden Maßnahmen sollten Sie im Unternehmen etablieren:

  • - Legen Sie die rechtmäßigen Zwecke werden vor der Gestaltung der
    Verarbeitung präzise fest und dokumentieren diese im Verzeichnis der Verarbeitungstätigkeiten.
  • - Sorgen Sie, dass die Datenverarbeitung und die damit verbundenen Zwecke überhaupt erforderlich sind.
  • - Schulen Sie Ihre Beschäftigten darin, dass die Daten nicht für neue Zwecke genutzt werden dürfen und eine vorherige Prüfung, Information und Dokumentation stattfinden muss.
  • - Verhindern Sie z. B. durch Zugriffsrechte, Verschlüsselungen oder Anweisungen, dass personenbezogene Daten nicht für weitere Zwecke verwendet werden.
  • - Prüfen Sie regelmäßig, ob Ihre Datenverarbeitung noch mit den vorher festgelegten Zwecken übereinstimmt. 

Mit den folgenden Maßnahmen können Sie die Vorgaben der Datenminimierung eingehalten werden:

  • - Verzichten Sie Datenverarbeitungen, die nicht rechtskonform durchgeführt werden können.
  • - Reduzieren Sie die Menge der personenbezogenen Daten auf das erforderliche Mindestmaß.
  • - Gestatten Sie nur den notwendigen Personen Zutritt, Zugang oder Zugriff auf die personenbezogenen Daten.
  • - Nutzen Sie Datenverarbeitungen, die weniger eingriffsintensiv sind (mildere Mittel)
  • - Fassen Sie Daten zusammen, wenn dies sinnvoll ist.
  • - Pseudonymisieren Sie personenbezogene Daten, um Risiken zu minimieren und speichern Sie die Schlüssel separat.
  • - Löschen oder anonymisieren Sie personenbezogene Daten unverzüglich bei einem Zweckentfall.
  • - Vermeiden Sie Kopien und Archive und beziehen Sie diese in Ihr Löschkonzept mit ein.
  • - Verschlanken Sie Prozesse, um möglichst wenige Fachabteilungen und IT-Systeme einzubinden, wo ebenfalls die Daten gespeichert werden.

Sorgen Sie dafür, dass die personenbezogenen Daten immer sachlich richtig und auf dem neuesten Stand sind. Dabei unterstützen folgende Maßnahmen:

  • - Wählen Sie verlässliche Quellen und kontrollieren Sie regelmäßig die Qualität.
  • - Legen Sie fest, wie genau die Daten sein müssen, damit der Zweck erfüllt werden kann und wie hoch das Risiko für Betroffenen bei fehlerhaften Daten ist.
  • - Messen Sie die Richtigkeit der personenbezogenen Daten. Dies ist erforderlich bei  automatischen Entscheidungsfindung und beim Einsatz künstlicher Intelligenz.
  • - Prüfen Sie, je nach Risiko für betroffene Personen, die Richtigkeit der personenbezogenen Daten.
  • - Löschen und berichtigten Sie unrichtige oder fehlerhafte Daten.
  • - Reduzieren Sie Folgefehler und weitere Risiken für betroffene Personen.
  • - Beziehen Sie die betroffenen Personen ein, um die Richtigkeit der Daten zu gewährleisten.
  • - Aktualisieren Sie die personenbezogenen Daten, wenn es für die Erfüllung der Zwecke erforderlich ist.
  • • Aktualität – Die personenbezogenen Daten müssen aktualisiert werden, falls es für den Zweck
    erforderlich ist.

Entfällt der Zweck der Verarbeitung, müssen Sie grundsätzlich die personenbezogenen Daten löschen. Die folgenden Maßnahmen unterstützen Sie dabei:

  • - Erstellen Sie ein Löschkonzept pro Datenverarbeitung.
  • - Sorgen Sie dafür, dass der Zweckentfall pro Datenverarbeitung zu einer fachgerechten Löschung der Daten erfolgt.
  • - Gestalten Sie klare Prozesse und Verantwortlichenkeiten
  • - Prüfen Sie, ob die Löschung auch fachgerecht erfolgt und die Daten nicht rekonstruiert werden können
  • - Löschen Sie Daten automatisiert.
  • • Durchsetzung der Speicherverfahren – Der Verantwortliche sollte die internen
    Speicherverfahren durchsetzen und nachprüfen, ob seine Verfahren in der Organisation
    eingehalten werden.
    • Backups/Logdateien – Die Verantwortlichen legen fest, welche personenbezogenen Daten und
    welche Speicherdauer für Backups und Logdateien notwendig sind.
    • Datenübermittlung – Die Verantwortlichen sollten die Übermittlung personenbezogener
    Daten und die Speicherung von Kopien dieser Daten verhüten und bestrebt sein, eine
    „vorübergehende“ Speicherung dieser Daten und Kopien zu begrenzen.
    Beispiel
    Der Verantwortliche erhebt personenbezogene Daten; der Zweck der Verarbeitung besteht darin, die
    Mitgliedschaft der betroffenen Person zu verwalten. Bei Beendigung der Mitgliedschaft werden die
    personenbezogenen Daten gelöscht; für eine weitere Speicherung der Daten gibt es keine
    Rechtsgrundlage.
    Der Verantwortliche erarbeitet zunächst ein internes Verfahren für die Speicherung und die Löschung
    von Daten. Das Verfahren sieht vor, dass die Mitarbeiter personenbezogene Daten nach Ablauf der
    Speicherfrist manuell löschen. Der Mitarbeiter befolgt das Verfahren für die regelmäßige Löschung und Berichtigung der Daten auf Geräten, in Backups, Logdateien und E-Mails sowie auf anderen
    relevanten Speichermedien.
    Danach führt der Verantwortliche stattdessen ein automatisches System für die automatische,
    zuverlässige und regelmäßigere Löschung ein, um die Daten wirksamer und weniger fehleranfällig zu
    löschen. Die Konfiguration des Systems sieht vor, dass das vorgegebene Verfahren für die Löschung
    der Daten befolgt wird; in zuvor festgelegten regelmäßigen Abständen werden dann
    personenbezogene Daten aus allen Speichermedien des Unternehmens gelöscht. Der Verantwortliche
    überprüft und testet das Speicherverfahren regelmäßig und stellt sicher, dass es in Einklang mit der
    aktuellen Speicherstrategie steht.

Als Verantwortlicher müssen Sie die Umsetzung der DSGVO nachweisen können. Setzen Sie die folgenden Maßnahmen um, um den Datenschutzgrundsatz umzusetzen:

  • - Dokumentation des Verzeichnisses der Verarbeitungstätigkeiten
  • - Erstellen einer Risikobewertung
  • - Erstellen Sie Übersichten über Datenflüsse, Prozessbeschreibungen, verwendete IT-Systeme und Schnittstellen zu anderen IT-Systemen und Dienstleistern
  • - Erstellen Sie Konzepte für z. B. die Informationssicherheit für Ihr Unternehmen.
  • - Dokumentieren Sie Verträge mit den internen Beschäftigten und Schulungsmaßnahmen
  • - Erstellen Sie Übersichten über Rollen, Aufgaben und Verantwortlichkeiten.
  • - Dokumentieren Sie Einwilligungen, Widerruf sowie Widersprüche.
  • - Protokollieren Sie Zugriffe und Änderungen in IT-Systemen.
  • - Führen Sie ein Versionsmanagement für die Dokumente.
  • - Erstellen Sie ein kontinuierliches Verbesserungsmanagement ein.
  • - Erstellen Sie Leit- und Richtlinien für die Informationssicherheit und den Datenschutz.

Kontinuierliche Verbesserung

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gibt es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben Sie aktuell!

Erstellen auch Sie einen Regelkreis, damit Ihre Geschäftsprozesse und die damit verbundenen IT-Systeme und Dienstleister datenschutzkonform gestaltet, eingeführt und aktuell gehalten werden.

Sie benötigen Unterstützung bei diesem komplexen Thema?

Plan

Festlegung von Art, Umfang und Form der gesetzlichen Vorgaben für Ihre Geschäftsprozesse

Do

Setzen Sie die Maßnahmen im Unternehmen um, um Ihre Geschäftsprozesse datenschutzkonform zu gestalten.

Act

Optimieren Sie Ihre Geschäftsprozesse und IT-Systeme.

Check

Prüfen Sie regelmäßig Ihre Geschäftsprozesse und IT-Systeme auf Datenschutzkonformität.

Leistungen

Bei den meisten Geschäftsprozessen werden personenbezogene Daten verarbeitet. Finden Sie hier meine Dienstleistungen, die ich Unternehmen auch Hamburg oder Lüneburg seit vielen Jahren zur Verfügung stelle. 

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Prozesse und IT-Systeme datenschutzkonform und praxisnah gestalten

Ich unterstütze Sie bei der Erstellung datenschutzkonformer Geschäftsprozesse. Nutzen Sie meine mehrjährige Expertise, um zügig Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen zu erstellen.

Buchen Sie ein entsprechendes Modul oder punktuell zur Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen.  Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen. 

Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung datenschutzkonformer Geschäftsprozesse und IT-Systeme fester Bestandteil.

Häufige Fragen zur Technikgestaltung und datenschutzfreundliche Voreinstellungen

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, datenschutzkonforme Prozesse und IT-Systeme zu etablieren und datenschutzkonform voreinzustellen. Bei diesem Thema gibt es viel Unsicherheit. Finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Sie müssen so früh wie möglich bei der Gestaltung der Geschäftsprozesse technische und organisatorische Maßnahmen treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren.

Bei Data Protection "by design" (Datenschutz durch Technikgestaltung) hat der Hersteller oder der Verantwortliche entsprechende Maßnahmen eingebaut, um die Vorgaben des Datenschutzes zu berücksichtigen. 

Bei Bei Data Protection "by default" (Datenschutz durch Voreinstellungen) hat der Hersteller oder der Verantwortliche entsprechende Maßnahmen eingebaut, um zu Beginn der Datenverarbeitung nur minimal erforderliche personenbezogene Daten zu verarbeiten. Der Betroffene kann dann im Verlauf der Datenverarbeitung weitere Funktionen aktivieren, um weitere Funktionen zu nutzen. 

Datenschutz durch datenschutzfreundliche Voreinstellungen ist der Grundsatz, wonach Sie als Unternehmen sicherstellen müssen, dass durch Voreinstellung nur Daten, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind, verarbeitet werden (ohne Eingreifen des Nutzers).

Um dafür zu sorgen, dass dieser zentrale Grundsatz der Datenschutz-Grundverordnung in der Praxis auch angewandt wird, ist es notwendig, sich intensiv mit diesem Thema auseinanderzusetzen.

Die Begriffe Privacy by Default oder Data Protection by Default beschreiben die gleichen oben genannten Begriffe. Im Kern geht es um einen eingebauten Datenschutz in Hard- und Software, Formularen, Verträge und Geschäftsprozessen sowie um datenschutzfreundliche Voreinstellungen, die dem Schutz der Privatsphäre von Nutzern dienen.

Ein gutes Beispiel für das Thema Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind der PC-Arbeitsplatz mit Windows 10 oder Windows 11 oder die Internet-Browser.

Der Hersteller hat zahlreiche Möglichkeiten bei dem Windows-Betriebssystem vorgesehen, um den Datenschutz von Anfang an zu berücksichtigen. So können z. B. Einstellungen für die Steuerung des Mikrofons, der Kamera oder der Telemetriedaten von Ihnen verwendet werden. Auch können durch Richtlinien Zugriffsberechtigungen oder Passwörter zentral vergeben werden, die auch vom Benutzer nicht verändert werden können.

Sie müssen jetzt noch die datenschutzfreundlichen Voreinstellungen vor der Ausgabe so einstellen, dass möglichst wenige Daten verarbeitet werden. Für den Windows-Arbeitsplatz sind das z. B. folgende Einstellungen:

  • - Spracherkennung Cortana
  • - Diagnose / Telemetriedaten
  • - Speicherort
  • - Gerätelokalisierung
  • - Oberflächen
  • - Datenschutzeinstellungen
  • - Werbe-IDs / personalisierte Werbung
  • - Verschlüsselung / BitLocker
  • - Installierte Programme
  • - App-Berechtigungen 
  • - Freigabe- und Eingabeanpassung
  • - Aktivivitätsverlauf
  • - Standardbrowser
  • u. v. m.

Dies gilt analog zu anderen Hard- und Softwareprodukten. Sie müssen sich also Gedanken machen, wie Sie die Arbeitsmittel Ihren Beschäftigten zur Verfügung stellen.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.