Pra­xis­na­he Umset­zung seit 2013

Ihr Bran­chen­ex­per­te für Daten­schutz und Informationssicherheit

Datenschutz­freundliche Vorein­stellungen und Technikgestaltung

Daten­schutz­freund­li­che Vor­ein­stel­lun­gen und Tech­nik­ge­stal­tung: Kön­nen Sie die­se Fra­gen beantworten?

Datenschutz­freund­liche Vorein­stell­ungen und Technik­gestalt­ung: Der Überblick

Ein­lei­tung

Wenn Sie den Daten­schutz im Unter­nehmen ernst­haft umset­zen wol­len, müs­sen Pro­zes­se und IT-Sys­te­me so gestal­tet wer­den, dass nur personen­bezogene Daten erho­ben wer­den, die für den jewei­li­gen bestimm­ten Verarbeitungs­zweck unbe­dingt erforder­lich sind. Dies gelingt nur, wenn Sie die ent­spre­chen­den Vorein­stellungen im Rah­men der Ver­ar­bei­tung vor­ab tref­fen und die Tech­nik so gestal­ten, dass die Vor­ga­ben des Daten­schut­zes von Beginn an berück­sich­tigt werden.

Um das Ziel zu errei­chen, müs­sen Sie sich mit den Begrif­fen “Stand der Tech­nik”, “gegen­wär­ti­gen tech­ni­schen Fort­schritt”, “Zeit­punkt der Ver­ar­bei­tung” oder Daten­schutz-Grund­sät­ze auseinandersetzen.

Haben Sie ent­spre­chen­de Beschäf­tig­te, die sich mit die­sem The­ma in einem ange­mes­se­nen Zeit­raum auseinander­setzen kön­nen? Auf die­ser Sei­te fin­den Sie Infor­ma­tio­nen zu die­sem kom­ple­xen Thema.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Ver­ant­wort­lich­kei­ten im Unternehmen

Der Daten­schutz bei den ein­ge­setz­ten IT-Sys­te­men und Geschäfts­pro­zes­sen ist unab­hän­gig von der Unter­neh­mens­grö­ße umzu­set­zen. Der Auf­wand hängt dabei von der Kom­ple­xi­tät der Ver­ar­bei­tung ab. 

Was müs­sen Sie in Ihrem Unter­neh­men tun?

Sie müs­sen geeig­ne­te und wir­kungs­vol­le Maß­nah­men pla­nen und umset­zen, um die Rech­te und Frei­hei­ten der Per­so­nen zu schüt­zen, deren Daten Sie ver­ar­bei­ten. Stel­len Sie sicher, dass der Daten­schutz immer Teil Ihrer Geschäfts­pro­zes­se ist.

Vie­le Daten­schutz­ver­let­zun­gen und dar­aus resul­tie­ren­de Geld­bu­ßen sind immer eng ver­bun­den mit der Tech­nik­ge­stal­tung und den Vor­ein­stel­lun­gen. Wenn Sie Geld­bu­ßen ver­mei­den wol­len, soll­ten Sie sich um das The­ma kümmern.

Die Höhe von Geld­bu­ßen vari­iert vom Umsatz des Unter­neh­mens und dem Risi­ko für die betrof­fe­nen Per­so­nen, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2% vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist).

Den­ken Sie an die Folgeaufgaben!

Die Umset­zung von daten­schutz­kon­for­men Geschäfts­pro­zes­sen ist eine Dau­er­auf­ga­be. Eta­blie­ren Sie robus­te Rege­lun­gen, um Ver­än­de­run­gen im Unter­neh­men, wie zum Bei­spiel neue IT-Sys­te­me von Anfang daten­schutz­kon­form einzubinden?

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­leitung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Datenschutz­beauf­tragten die fol­gen­den Fra­gen und las­sen sich ent­sprechende Nach­weise vorlegen. 
compliance-im-datenschutz
Sie ken­nen das The­ma be­reits und wol­len mehr Details wis­sen? Hier erhal­ten Sie mehr Infor­mationen zum The­ma daten­schutz­­freund­liche Vor­ein­stell­ungen und Technikgestaltung. 
Sie wol­len in 4 Schrit­ten den Daten­schutz durch Technik­gestalt­ung und daten­schutz­freund­liche  Vor­ein­stellungen umset­zen? Fin­den Sie hier wei­te­re Informationen. 
Sie wün­schen eine direk­te Kontakt­­­aufnahme und haben Fra­gen zu daten­schutz­konformen Geschäfts­­prozessen, die ggf. schnell beant­­­wortet wer­den können? 

In 4 Schrit­ten zur daten­schutz­freund­li­chen Gestal­tung von Geschäftsprozessen

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie Ihre Geschäfts­pro­zes­se von Anfang an daten­schutz­kon­form erstel­len, aktu­ell hal­ten und kon­ti­nu­ier­lich verbessern.

Schritt 1: Schaf­fen Sie die Vor­aus­set­zun­gen in Ihrem Unternehmen!

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­be­rei­chen wird zunächst das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten und die Über­sicht der IT-Sys­te­me erstellt. Bin­den Sie Ihren Daten­schutz­be­auf­trag­ten oder Daten­schutz­be­ra­ter früh­zei­tig und umfas­send ein, wenn Sie neue Geschäfts­pro­zes­se oder IT-Sys­te­me in Ihrem Unter­neh­men planen. 

Berück­sich­ti­gen und prü­fen Sie die Vor­ga­ben in allen Pha­sen der Gestal­tung. Dazu gehört zum Bei­spiel die Aus­schrei­bung, die Auf­trags­ver­ga­be, das Out­sour­cing, die Eigen­ent­wick­lung, die Unter­stüt­zung, die Pfle­ge, die Test­pha­se, die Spei­che­rung, die Archi­vie­rung oder die Löschung. 

Daten­schutz fängt vor­ne an!

Wenn Sie Geschäfts­pro­zes­se gestal­ten bzw. Dienst­leistungen oder IT-Sys­te­me beschaf­fen, beach­ten Sie schon zu Beginn, ob Sie die datenschutz­recht­lichen Vor­gaben ein­hal­ten. Bereits umge­setz­te Plä­ne zu ändern, kön­nen auf­wän­dig und kos­ten­in­ten­siv werden. 

Sie haben die Auf­trags­ver­ar­bei­tung mit den gesam­ten Pro­zess betraut? Stel­len Sie sicher, dass dort eben­falls das Wis­sen für den Daten­schutz vor­han­den ist.

Schritt 2: Gestal­ten Sie Ihre Pro­zes­se und IT-Sys­te­me datenschutzkonform!

Nach der Inven­tur wen­den Sie die Datenschutz­grund­sätze Trans­pa­renz, Recht­mäßigkeit, Verarbeit­ung nach Treu und Glau­ben, Zweck­bindung, Daten­minimierung, Richtig­keit, Speicher­begrenzung, Inte­gri­tät und Vertraulich­keit sowie Rechen­schafts­pflicht auf Ihre Geschäfts­prozesse an. Doku­men­tie­ren Sie, wel­che Maß­nah­men Sie pro Geschäfts­prozess und IT-Sys­tem einge­richtet haben. Bei den IT-Sys­te­men wäh­len Sie eine Mischung aus Daten­schutz und Benutzer­freund­lich­keit in den Voreinstellungen. 

Stel­len Sie sich die fol­gen­den Fragen:

- Behan­deln wir die Per­so­nen und des­sen per­so­nen­be­zo­ge­ne Daten fair und recht­mä­ßig?
- Ver­ar­bei­ten wir die Daten der betrof­fe­nen Per­so­nen sicher?
- Mel­den wir Daten­schutz­ver­let­zun­gen?
- Bewah­ren wir die per­so­nen­be­zo­ge­nen Daten nur so lan­ge auf, wie erfor­der­lich?
- Grei­fen nur befug­te Per­so­nen und IT-Sys­te­me auf die Daten zu und pro­to­kol­lie­ren wir das?
- Stel­len wir die Infor­ma­tio­nen der per­so­nen­be­zo­ge­nen Daten auf Anfra­ge zur Ver­fü­gung?
- Ver­ar­bei­ten wir nur die per­so­nen­be­zo­ge­nen Daten, die abso­lut erfor­der­lich sind?
- Ken­nen mei­ne Dienst­leis­ter, die für mei­ne IT-Sys­te­me zustän­dig sind, die Anforderungen?

Schritt 3: Prü­fen Sie regel­mä­ßig Ihre Geschäfts­pro­zes­se und IT-Systeme

Nach dem Beginn der Daten­ver­ar­bei­tung prü­fen Sie regel­mä­ßig Ihre Geschäfts­pro­zes­se und IT-Sys­te­me, ob Ihre Maß­nah­men und Ein­stel­lun­gen in den IT-Sys­te­men noch sinn­voll und wirk­sam sind. Gera­de in IT-Sys­te­men wer­den bei Updates oder Funk­ti­ons­er­wei­te­run­gen der Soft­ware die Vor­ein­stel­lun­gen über­schrie­ben, Funk­tio­nen ergänzt oder ganz entfernt. 

Bei­spiel: Bei einem Update des Win­dows-Betriebs­sys­tems wur­de die Funk­tio­na­li­tät „Viva Insights / MyAna­ly­tics“ instal­liert. Die Soft­ware wer­tet das Nut­zer­ver­hal­ten Ihrer Beschäf­tig­ten aus und bewer­tet die Pro­duk­ti­vi­tät und das Ver­hal­ten wäh­rend der Benut­zung des Endgerätes. 

Das Pro­blem: Sie blei­ben für die die­se Daten­ver­ar­bei­tung voll ver­ant­wort­lich. Die Ein­füh­rung der oben genann­ten Leis­tungs- und Ver­hal­tens­kon­trol­le auf dem End­ge­rät ist anspruchs­voll und sehr auf­wän­dig. Ob die Ver­ar­bei­tung auch daten­schutz­kon­form gestal­tet wer­den kann, ist von ver­schie­de­nen Aspek­ten abhän­gig. Die Erfor­der­lich­keit dürf­te in den meis­ten Fäl­len im Arbeits­ver­hält­nis nicht not­wen­dig sein.

Die Lösung: Prü­fen Sie vor dem Ein­spie­len von Aktua­li­sie­run­gen, ob sich durch das Update auch Ände­run­gen im Daten­schutz erge­ben. Sie kön­nen dann ent­schei­den, ob Sie die neu­en Funk­tio­na­li­tä­ten rechts­kon­form gestal­ten oder das Update – sofern mög­lich – verhindern.

Schritt 4: Ste­ti­ge Opti­mie­rung und Doku­men­ta­ti­on der Maßnahmen

Sie haben ein kla­res “Daten­schutz­bild” von Ihren Geschäfts­pro­zes­sen, IT-Sys­te­men, Rol­len und Ver­ant­wort­lich­kei­ten der Beschäf­tig­ten in Ihrem Betrieb. Sie haben auch einen Pro­zess ein­ge­rich­tet, um Abwei­chun­gen zu erken­nen und abzu­stel­len. Jetzt doku­men­tie­ren Sie noch die Ver­än­de­run­gen wäh­rend der Lauf­zeit der Geschäfts­pro­zes­se und IT-Systeme.

Doku­men­tie­ren Sie die Änderungshäufigkeit!

Für die Doku­men­ta­ti­on soll­ten Sie ein ein­heit­li­ches Ver­si­ons­ma­nage­ment eta­blie­ren, um Ihre Auf­wän­de, Erkennt­nis­se und Ver­än­de­run­gen zu pro­to­kol­lie­ren. Die Anfor­de­rung ergibt sich aus der Nach­weis­pflicht gem. Art. 5 Abs. 2 DSGVO.

Legen Sie pro Geschäfts­pro­zess einen Ter­min für die Wie­der­vor­la­ge fest. Die Fre­quenz rich­tet sich nach

  • - dem Risi­ko der Ver­ar­bei­tung für die betrof­fe­nen Personen,
  • - der Kom­ple­xi­tät des Pro­zes­ses und der IT-Sys­te­me sowie
  • - der Ände­rungs­häu­fig­keit des Geschäfts­pro­zes­ses bzw. der IT-Sys­te­me (Hard- und Software).

Wei­te­re Details zur Tech­nik­ge­stal­tung und Voreinstellungen

Gesetz­li­che Vor­ga­ben zu “Pri­va­cy by default” und “Pri­va­cy by Design”

Die Daten­schutz-Grund­ver­­­ord­nung regelt das The­ma „Daten­schutz durch Technik­gestaltung und durch daten­schutz­freund­liche Vor­ein­stel­lun­gen“ in Arti­kel 25 und im Erwä­gungs­grund 78. Der Geset­zes­text wird hier noch ein­mal dar­ge­stellt. Die wich­ti­gen Begriff­e sind her­vor­ge­ho­ben. Wei­te­re Infor­ma­tio­nen zu den Begrif­fen fin­den Sie im unte­ren Bereich.

Art. 25 Abs. 1 DSGVO: Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re der mit der Ver­ar­bei­tung ver­bun­de­nen Risi­ken für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen trifft der Ver­ant­wort­li­che sowohl zum Zeit­punkt der Fest­le­gung der Mit­tel für die Ver­ar­bei­tung als auch zum Zeit­punkt der eigent­li­chen Ver­ar­bei­tung geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men – wie z. B. Pseud­ony­mi­sie­rung –, die dafür aus­ge­legt sind, die Daten­schutz­grund­sät­ze wie etwa Daten­mi­ni­mie­rung wirk­sam umzu­set­zen und die not­wen­di­gen Garan­tien in die Ver­ar­bei­tung auf­zu­neh­men, um den Anfor­de­run­gen die­ser Ver­ord­nung zu genü­gen und die Rech­te der betrof­fe­nen Per­so­nen zu schützen.

Art. 25 Abs. 2 DSGVO: Der Ver­ant­wort­li­che trifft geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, die sicher­stel­len, dass durch Vor­ein­stel­lung nur per­so­nen­be­zo­ge­ne Daten, deren Ver­ar­bei­tung für den jewei­li­gen bestimm­ten Ver­ar­bei­tungs­zweck erfor­der­lich ist, ver­ar­bei­tet werden.

Die­se Ver­pflich­tung gilt für die Men­ge der erho­be­nen per­so­nen­be­zo­ge­nen Daten, den Umfang ihrer Ver­ar­bei­tung, ihre Spei­cher­frist und ihre Zugäng­lich­keit.

Sol­che Maß­nah­men müs­sen ins­be­son­de­re sicher­stel­len, dass per­so­nen­be­zo­ge­ne Daten durch Vor­ein­stel­lun­gen nicht ohne Ein­grei­fen der Per­son einer unbe­stimm­ten Zahl von natür­li­chen Per­so­nen zugäng­lich gemacht werden.

Art. 25 Abs. 2 DSGVO: Ein geneh­mig­tes Zer­ti­fi­zie­rungs­ver­fah­ren gemäß Arti­kel 42 kann als Fak­tor her­an­ge­zo­gen wer­den, um die Erfül­lung der in den Absät­zen 1 und 2 des vor­lie­gen­den Arti­kels genann­ten Anfor­de­run­gen nachzuweisen.

Erwä­gungs­grund 78 DSGVO: Zum Schutz der in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bestehen­den Rech­te und Frei­hei­ten natür­li­cher Per­so­nen ist es erfor­der­lich, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men getrof­fen wer­den, damit die Anfor­de­run­gen die­ser Ver­ord­nung erfüllt werden.

Um die Ein­hal­tung die­ser Ver­ord­nung nach­wei­sen zu kön­nen, soll­te der Ver­ant­wort­li­che inter­ne Stra­te­gien fest­le­gen und Maß­nah­men ergrei­fen, die ins­be­son­de­re den Grund­sät­zen des Daten­schut­zes durch Tech­nik (data pro­tec­tion by design) und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen (data pro­tec­tion by default) Genü­ge tun.

Sol­che Maß­nah­men könn­ten unter ande­rem dar­in bestehen, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mini­miert wird, per­so­nen­be­zo­ge­ne Daten so schnell wie mög­lich pseud­ony­mi­siert wer­den, Trans­pa­renz in Bezug auf die Funk­tio­nen und die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten her­ge­stellt wird, der betrof­fe­nen Per­son ermög­licht wird, die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu über­wa­chen, und der Ver­ant­wort­li­che in die Lage ver­setzt wird, Sicher­heits­funk­tio­nen zu schaf­fen und zu verbessern.

In Bezug auf Ent­wick­lung, Gestal­tung, Aus­wahl und Nut­zung von Anwen­dun­gen, Diens­ten und Pro­duk­ten, die ent­we­der auf der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten beru­hen oder zur Erfül­lung ihrer Auf­ga­ben per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, soll­ten die Her­stel­ler der Pro­duk­te, Diens­te und Anwen­dun­gen ermu­tigt wer­den, das Recht auf Daten­schutz bei der Ent­wick­lung und Gestal­tung der Pro­duk­te, Diens­te und Anwen­dun­gen zu berück­sich­ti­gen und unter gebüh­ren­der Berück­sich­ti­gung des Stands der Tech­nik sicher­zu­stel­len, dass die Ver­ant­wort­li­chen und die Ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nachzukommen.

Den Grund­sät­zen des Daten­schut­zes durch Tech­nik und durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen soll­te auch bei öffent­li­chen Aus­schrei­bun­gen Rech­nung getra­gen wer­den.

Begrif­fe und Maß­nah­men – Kurz und knapp erklärt

Die Vor­ga­be „Daten­schutz durch Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Vor­ein­stel­lun­gen“ oder „Pri­va­cy by default / by design“ hat es in sich. Sie müs­sen die Begriff­lich­kei­ten ver­ste­hen und dazu pas­sen­de Maß­nah­men kor­rekt umset­zen. Fin­den Sie hier die ent­spre­chen­den Infor­ma­tio­nen zu den ver­wen­de­ten Begrif­fen und zu den Schutz­zie­len der Infor­ma­ti­ons­si­cher­heit und des Datenschutzes.

Vor­ein­stel­lun­gen

Unter daten­schutz­freund­li­chen Vor­ein­stel­lun­gen ver­steht man den bereits bestehen­den oder vor­ausge­wähl­ten Wert einer Ein­stel­lung, wie zum Bei­spiel bei einem End­ge­rät oder einer Soft­ware. Man kann auch Werks­ein­stel­lung dazu sagen. Durch die Vor­ein­stel­lung ergibt sich die Men­ge der erho­be­nen Daten und den Umfang der Ver­ar­bei­tung. Auch die Spei­cher­dau­er und der Zugriff auf die Daten kann dadurch gesteu­ert wer­den. Wäh­len Sie die Vor­ein­stel­lun­gen so, dass nur die mini­mal erfor­der­li­che  Daten­ver­ar­bei­tung erfolgt, um den geplan­ten Zweck zu erreichen.

Ent­schei­den sich die betrof­fe­nen Per­so­nen, mehr per­so­nen­be­zo­ge­ne Daten her­aus­zu­ge­ben oder für eine umfang­rei­che­re Ver­ar­bei­tung zur Ver­fü­gung zustel­len, kann dies mög­lich sein.

Wirk­sam­keit

Bei der Wirk­sam­keit müs­sen Sie dafür sor­gen, dass die umge­setz­ten Maß­nah­men zu Ihren beab­sich­tig­ten Ergeb­nis­sen füh­ren. Sie müs­sen auch nach­wei­sen kön­nen, dass Sie sich davon über­zeugt haben, dass Ihre geplan­ten Maß­nah­men auch geprüft wor­den sind.

Zwe­cke

Vor dem Beginn der Daten­ver­ar­bei­tung müs­sen Sie ein­deu­tig fest­le­gen, für wel­che Zwe­cke Sie Daten von den betrof­fe­nen Per­so­nen ver­ar­bei­ten möch­ten. Die rich­ti­ge Rechts­grund­la­ge muss dabei eben­falls fest­ge­legt werden.

Stand der Technik

Set­zen Sie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ein, die am Markt aktu­ell bewährt sind. Berück­sich­ti­gen Sie den tech­ni­schen Fort­schritt und prü­fen Sie die­sen kon­ti­nu­ier­lich, ob sich bewähr­te Metho­den ver­än­dert haben. Metho­den für die Ver­schlüs­se­lung oder der Umgang mit Pass­wör­tern ändert sich regelmäßig.

Eine gute Refe­renz ist dabei immer der IT-Grund­schutz des Bun­des­am­tes für Sicher­heit in der Informationstechnik.

Bei dem Betrieb von Web­sei­ten sieht man häu­fi­ger, dass alte Ver­sio­nen von Ver­schlüs­se­lun­gen ein­ge­setzt wer­den. Die Tech­nik erfüllt dann nicht mehr den Sicher­heits­stan­dard und bie­tet kei­nen ent­spre­chen­den Schutz vor Cyberangriffen. 

Beim Stand der Tech­nik sind auch orga­ni­sa­to­ri­sche Maß­nah­men zu berück­sich­ti­gen. So füh­ren feh­len­de Richt­li­ni­en, Anwei­sun­gen oder Vor­ga­ben zu Sicher­heits­ver­let­zun­gen, weil das Wis­sen nicht nach­hal­tig ver­mit­telt wurde.

Imple­men­tie­rungs­kos­ten

Wenn Sie tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zum Schutz der Daten eta­blie­ren, sind die Kos­ten für Res­sour­cen, d. h. Hard- und Soft­ware, Dienst­leis­tung und Per­so­nal zu berück­sich­ti­gen. Der Auf­wand muss immer zum Unter­neh­men pas­sen und soll­ten ver­hält­nis­mä­ßig sein. 

Schau­en Sie, ob die Zie­le, die Sie errei­chen wol­len, nicht auch mit einem gerin­ge­ren Auf­wand erreicht wer­den können. 

Ein­tritts­wahr­schein­lich­keit

Die DSGVO ist ein risiko­basiertes Gesetz. Das fin­den Sie in zahl­rei­chen Arti­keln wie­der. Je höher das Risi­ko für die betrof­fe­nen Per­so­nen ist, des­to wirk­sa­mer müs­sen die Schutz­maß­nah­men sein. Damit ver­rin­gern Sie die Eintritts­wahrschein­lichkeit von Datenschutz­verletzungen. Zahl­rei­che Infor­ma­tio­nen fin­den Sie im Bereich Risi­ko­ma­nage­ment.

Daten­mi­ni­mie­rung

Der Grund­satz der Daten­mi­ni­mie­rung sorgt dafür, dass die Men­ge der erho­be­nen per­so­nen­be­zo­ge­nen Daten, der Umfang der Ver­ar­bei­tung, die Spei­cher­dau­er und die Mög­lich­keit, auf Daten zuzu­grei­fen, auf ein Mini­mum begrenzt wird. 

Spei­cher­dau­er

Sie müs­sen als Ver­ant­wort­li­cher die Daten wie­der löschen, wenn die­ses zur Erfül­lung der geplan­ten Zwe­cke nicht mehr erfor­der­lich sind.

Sie müs­sen die Spei­cher­dau­er von per­so­nen­be­zo­ge­nen Daten vor­ab fest­le­gen. Wei­te­re Infor­ma­tio­nen fin­den Sie im Bereich Löschen von Daten.

Eine Anony­mi­sie­rung per­so­nen­be­zo­ge­ner Daten kann als Alter­na­ti­ve erfol­gen, wenn der Per­so­nen­be­zug durch ande­re Fak­to­ren nicht mehr her­ge­stellt wer­den kann.

Zugäng­lich­keit

Unter der Zugäng­lich­keit ist der Zutritt, Zugang oder Zugriff auf per­so­nen­be­zo­ge­ne Daten zu ver­ste­hen. Berech­tig­te Per­so­nen oder IT-Sys­te­me erhal­ten im Rah­men der vor­ab fest­ge­leg­ten Auf­ga­ben die Mög­lich­keit, auf die Daten zuzu­grei­fen, um die fest­ge­leg­ten Zwe­cke zu erfüllen.

Sie müs­sen den Zugang durch ent­spre­chen­de Vor­ein­stel­lun­gen und Anpas­sun­gen auf ein Mini­mum beschrän­ken. Sor­gen Sie dafür, dass orga­ni­sa­to­ri­sche Ver­än­de­run­gen, wie zum Bei­spiel Aus­tritt von Beschäf­tig­ten, auch zu einer Ver­än­de­rung der Zugäng­lich­keit führen.

Zer­ti­fi­kat

Die DSGVO eine Mög­lich­keit vor­ge­se­hen, durch ein Zer­ti­fi­kat für die Daten­schutz­freund­lich­keit einer Hard- oder Soft­ware nachzuweisen. 

Bis­lang gibt es noch kei­ne Zer­ti­fi­ka­te in die­sem Bereich. Die euro­päi­schen Län­der müs­sen sich zunächst auf die Inhal­te einigen.

Wenn Sie der Ver­ant­wort­li­che für die Daten­ver­ar­bei­tung sind, blei­ben Sie für den Ein­satz der Hard- und Soft­ware haft­bar. Ein Zer­ti­fi­kat des Her­stel­lers für eine Hard- oder Soft­ware bedeu­tet aber nicht, dass die gesam­te Daten­ver­ar­bei­tung geset­zes­kon­form sind. Vor Gericht kann ein Zer­ti­fi­kat aber unter­stüt­zen, Schä­den zu verringern.

Maß­nah­men zur Ein­hal­tung der Schutzziele

Trans­pa­renz

Infor­mie­ren Sie gegen­über den betrof­fe­nen Per­so­nen klar und offen dar­über, wie die Daten­ver­ar­bei­tung erfolgt. Die Per­so­nen müs­sen ver­ste­hen, was mit ihren Daten pas­siert, damit die Kon­trol­le nicht ver­lo­ren geht. Berück­sich­ti­gen Sie dabei fol­gen­de Punkte:

  • - Ver­wen­den Sie eine kla­re, deut­li­che, prä­zi­se und ver­ständ­li­che Sprache.
  • - Ver­set­zen Sie sich selbst in die Ziel­grup­pe. Schrei­ben Sie die Infor­ma­tio­nen so, wie ein typi­scher Ver­tre­ter der Ziel­grup­pe es ver­ste­hen wür­de. Berück­sich­ti­gen Sie Spra­che, Alter und Bildungsstand.
  • - Die Infor­ma­tio­nen müs­sen den betrof­fe­nen Per­so­nen leicht zugäng­lich sein. Ver­mei­den Sie Medi­en­brü­che und umständ­li­che Methoden.
  • - Stel­len Sie die Infor­ma­tio­nen zum rich­ti­gen Zeit­punkt und in der geeig­ne­ten Form bereit.
  • - Redu­zie­ren Sie die Infor­ma­tio­nen auf die Ziel­grup­pe und den Umfang der Ver­ar­bei­tung. Über­frach­ten Sie die Infor­ma­tio­nen nicht.
  • - Sor­gen Sie dafür, dass alle Per­so­nen die Infor­ma­tio­nen erhal­ten kön­nen und dass die Infor­ma­tio­nen les­bar sind.
  • - Nut­zen Sie – sofern erfor­der­lich – ver­schie­de­ne Kanä­le und Metho­den, um die Wahr­schein­lich­keit der Infor­ma­ti­on zu erhöhen
  • - Nut­zen Sie mehr­stu­fi­ge Ver­fah­ren, um eine Balan­ce zwi­schen Ver­ständ­nis und Voll­stän­dig­keit zu erhal­ten, wie z. B. bei einer Video­über­wa­chung (Stu­fe 1 = Schild mit Basis­in­for­ma­tio­nen, Stu­fe 2 = voll­stän­di­ge Informationen)

 

Bei­spiel „Daten­schutz­hin­wei­se auf der Website“:

  • - Erstel­len Sie eine zen­tra­le Sei­te für alle Datenschutzinformationen.
  • - Ver­wen­den Sie kla­re und knap­pe Infor­ma­tio­nen zur Erst­in­for­ma­ti­on der betrof­fe­nen Personen.
  • - Nut­zen Sie meh­re­re Stu­fen für mehr Details.
  • - Heben Sie die wich­tigs­ten Punk­te hervor.
  • - Stel­len Sie aus­führ­li­che­re Infor­ma­tio­nen leicht zugäng­lich zur Verfügung.
  • - Nut­zen Sie bei Bedarf Drop-down-Menüs und Links zu ande­ren Seiten.
  • - Stel­len Sie sicher, dass die Betrof­fe­nen die Infor­ma­tio­nen zu jedem Zeit­punkt auf­ru­fen können.
  • - Ver­wei­sen Sie bei einer Daten­ein­ga­be (z. B. bei einem Kon­takt­for­mu­lar) auf die Infor­ma­tio­nen zum Datenschutz
  • - Erstel­len Sie wich­ti­ge Infor­ma­tio­nen in Videos.
  • - Las­sen Sie ver­schie­de­ne Per­so­nen die Infor­ma­tio­nen auf Ver­ständ­lich­keit testen.
  • - Unter­schei­den Sie in Infor­ma­tio­nen für Apps und Websites.
Recht­mä­ßig­keit

Sie müs­sen sicher­stel­len, dass jede Daten­ver­ar­bei­tung eine gül­ti­ge und pas­sen­de Rechts­grund­la­ge hat. Eta­blie­ren Sie fol­gen­de Maß­nah­men bzw. Pro­zes­se, um die­se Anfor­de­rung zu unterstützen:

  • - Stel­len Sie sicher, dass die Rechts­grund­la­ge auch ver­wen­det wer­den kann und kor­rekt ist.
  • - Prü­fen Sie, ob die Rechts­grund­la­ge pro Zweck ver­wen­det wer­den kann und die Ver­ar­bei­tung nicht an wei­te­re Bedin­gun­gen geknüpft ist.
  • - Stel­len Sie im Pro­zess sicher, dass die betrof­fe­nen Per­so­nen die Kon­trol­le über die Daten­ver­ar­bei­tung behal­ten können.
  • - Gestal­ten Sie die Ein­wil­li­gung der Per­so­nen rechts­kon­form gem. Art. 7 DSGVO. Hier sind diver­se Punk­te zu beach­ten, wie zum Bei­spiel Frei­wil­lig­keit, ein­fa­che Wider­rufs­mög­lich­keit, Trans­pa­renz, Kon­kret­heit und Nach­weis­pflich­ten über den gesam­ten Lebens­zy­klus der Einwilligung.
  • - Erstel­len Sie eine drei­stu­fi­ge Inter­es­sen­ab­wä­gung (sie­he Bereich Risikobewertung)
  • - Stel­len Sie sicher, dass bei Weg­fall der Rechts­grund­la­ge die Daten auch wirk­sam gelöscht werden.
  • - Bei einer gemein­sa­men Ver­ant­wor­tung gestal­ten Sie Ver­trä­ge und Pro­zes­se mit allen ande­ren Verantwortlichen.
Ver­ar­bei­tung nach Treu und Glauben

Der Daten­schutz­grund­satz „Treu und Glau­ben“ steht über­grei­fend für eine fai­re Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Die Daten­ver­ar­bei­tung soll­te fair sein, nicht schäd­lich oder dis­kri­mi­nie­rend, uner­war­tet oder irre­füh­rend sein. Um den Daten­schutz­grund­satz umzu­set­zen, sind fol­gen­de Maß­nah­men zu ergreifen:

  • - Geben Sie den betrof­fe­nen Per­so­nen Spiel­räu­me bei der Daten­ver­ar­bei­tung, d.h. bei der Nut­zung der Daten oder Umfang der Daten­ver­ar­bei­tung durch den Verantwortlichen
  • - Schaf­fen Sie Mög­lich­kei­ten zur Inter­ak­ti­on, damit die betrof­fe­nen Per­so­nen ihre Rech­te wahr­neh­men können.
  • - Sor­gen Sie dafür, dass die Daten­ver­ar­bei­tung nicht über­ra­schend erfolgt, d.h. durch recht­zei­ti­ge Infor­ma­ti­on (Trans­pa­renz der Verarbeitung)
  • - Dis­kri­mi­nie­ren Sie die betrof­fe­nen Per­so­nen nicht in unfai­rer Weise.
  • - Nut­zen Sie die Bedürf­nis­se und die Schutz­be­dürf­tig­keit
    betrof­fe­ner Per­so­nen nicht aus.
  • - Bin­den Sie die betrof­fe­nen Per­so­nen nicht in unlau­te­rer Wei­se (Lock-in-Effekt)
  • - Ver­mei­den Sie ein Ungleich­ge­wicht zwi­schen Ihnen und den betrof­fe­nen Per­so­nen (Daten­ver­ar­bei­tung auf Augenhöhe).
  • - Wäl­zen Sie das Risi­ko der Daten­ver­ar­bei­tung nicht auf die betrof­fe­nen Per­so­nen ab.
  • - Stel­len Sie Infor­ma­tio­nen sach­lich und neu­tral zur Ver­fü­gung und nicht mani­pu­la­tiv oder irreführend
  • - Wah­ren Sie die Rech­te und Wür­de der Betrof­fe­nen, sofern kei­ne gesetz­li­chen Vor­ga­ben bestehen.
  • - Nut­zen Sie aus­ge­wo­ge­ne, fai­re und rich­ti­ge Algo­rith­men für auto­ma­ti­sier­te Daten­ver­ar­bei­tun­gen und infor­mie­ren Sie ent­spre­chend. Dies gilt ins­be­son­de­re bei The­men, wie z. B. Leis­tungs­be­ur­tei­lung, wirt­schaft­li­che Lage, Gesund­heit, per­sön­li­che Vor­lie­ben, Zuver­läs­sig­keit oder Ver­hal­ten, Auf­ent­halts­ort oder Bewegungen.
Zweck­bin­dung

Bei der Pla­nung der Daten­ver­ar­bei­tung müs­sen Sie Zwe­cke fest­le­gen. Die Zwe­cke müs­sen ein­deu­tig und legi­tim sein. Sofern vom Zweck abge­wi­chen wer­den soll, müs­sen Sie sicher­stel­len, dass die neu­en Zwe­cke mit dem ursprüng­li­chen ver­ein­bar sein. Die fol­gen­den Maß­nah­men soll­ten Sie im Unter­neh­men etablieren:

  • - Legen Sie die recht­mä­ßi­gen Zwe­cke vor der Gestal­tung der
    Ver­ar­bei­tung prä­zi­se fest und doku­men­tie­ren Sie die­se im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten.
  • - Sor­gen Sie dafür, dass die Daten­ver­ar­bei­tung und die damit ver­bun­de­nen Zwe­cke über­haupt erfor­der­lich sind.
  • - Schu­len Sie Ihre Beschäf­tig­ten dar­in, dass die Daten nicht für neue Zwe­cke genutzt wer­den dür­fen und eine vor­he­ri­ge Prü­fung, Infor­ma­ti­on und Doku­men­ta­ti­on statt­fin­den muss.
  • - Ver­hin­dern Sie zum Bei­spiel durch Zugriffs­rech­te, Ver­schlüs­se­lun­gen oder Anwei­sun­gen, dass per­so­nen­be­zo­ge­ne Daten nicht für wei­te­re Zwe­cke ver­wen­det werden.
  • - Prü­fen Sie regel­mä­ßig, ob Ihre Daten­ver­ar­bei­tung noch mit den vor­her fest­ge­leg­ten Zwe­cken übereinstimmt. 
Daten­mi­ni­mie­rung

Mit den fol­gen­den Maß­nah­men kön­nen Sie die Vor­ga­ben der Daten­mi­ni­mie­rung einhalten:

  • - Ver­zich­ten Sie auf Daten­ver­ar­bei­tun­gen, die nicht rechts­kon­form durch­ge­führt wer­den können.
  • - Redu­zie­ren Sie die Men­ge der per­so­nen­be­zo­ge­nen Daten auf das erfor­der­li­che Mindestmaß.
  • - Gestat­ten Sie nur den not­wen­di­gen Per­so­nen Zutritt, Zugang oder Zugriff auf die per­so­nen­be­zo­ge­nen Daten.
  • - Nut­zen Sie Daten­ver­ar­bei­tun­gen, die weni­ger ein­griffs­in­ten­siv sind (mil­de­re Mittel)
  • - Fas­sen Sie Daten zusam­men, wenn dies sinn­voll ist.
  • - Pseud­ony­mi­sie­ren Sie per­so­nen­be­zo­ge­ne Daten, um Risi­ken zu mini­mie­ren und spei­chern Sie die Schlüs­sel separat.
  • - Löschen oder anony­mi­sie­ren Sie per­so­nen­be­zo­ge­ne Daten unver­züg­lich bei einem Zweckentfall.
  • - Ver­mei­den Sie Kopien und Archi­ve und bezie­hen Sie die­se in Ihr Lösch­kon­zept mit ein.
  • - Ver­schlan­ken Sie Pro­zes­se, um mög­lichst weni­ge Fach­ab­tei­lun­gen und IT-Sys­te­me ein­zu­bin­den, wo eben­falls die Daten gespei­chert werden.
Rich­tig­keit

Sor­gen Sie dafür, dass die per­so­nen­be­zo­ge­nen Daten immer sach­lich rich­tig und auf dem neu­es­ten Stand sind. Dabei unter­stüt­zen fol­gen­de Maßnahmen:

  • - Wäh­len Sie ver­läss­li­che Quel­len und kon­trol­lie­ren Sie regel­mä­ßig die Qualität.
  • - Legen Sie fest, wie genau die Daten sein müs­sen, damit der Zweck erfüllt wer­den kann und wie hoch das Risi­ko für Betrof­fe­nen bei feh­ler­haf­ten Daten ist.
  • - Mes­sen Sie die Rich­tig­keit der per­so­nen­be­zo­ge­nen Daten. Dies ist erfor­der­lich bei einer auto­ma­ti­schen Ent­schei­dungs­fin­dung und beim Ein­satz künst­li­cher Intelligenz.
  • - Prü­fen Sie, je nach Risi­ko für betrof­fe­ne Per­so­nen, die Rich­tig­keit der per­so­nen­be­zo­ge­nen Daten.
  • - Löschen und berich­tig­ten Sie unrich­ti­ge oder feh­ler­haf­te Daten.
  • - Redu­zie­ren Sie Fol­ge­feh­ler und wei­te­re Risi­ken für betrof­fe­ne Personen.
  • - Bezie­hen Sie die betrof­fe­nen Per­so­nen ein, um die Rich­tig­keit der Daten zu gewährleisten.
  • - Aktua­li­sie­ren Sie die per­so­nen­be­zo­ge­nen Daten, wenn es für die Erfül­lung der Zwe­cke erfor­der­lich ist.
Spei­cher­be­gren­zung

Ent­fällt der Zweck der Ver­ar­bei­tung, müs­sen Sie grund­sätz­lich die per­so­nen­be­zo­ge­nen Daten löschen. Die fol­gen­den Maß­nah­men unter­stüt­zen Sie dabei:

  • - Erstel­len Sie ein Lösch­kon­zept pro Datenverarbeitung.
  • - Sor­gen Sie dafür, dass der Zweck­ent­fall pro Daten­ver­ar­bei­tung zu einer fach­ge­rech­ten Löschung der Daten erfolgt.
  • - Gestal­ten Sie kla­re Pro­zes­se und Verantwortlichenkeiten
  • - Prü­fen Sie, ob die Löschung auch fach­ge­recht erfolgt und die Daten nicht rekon­stru­iert wer­den können
  • - Löschen Sie Daten automatisiert.
Rechen­schafts­pflicht

Als Ver­ant­wort­li­cher müs­sen Sie die Umset­zung der DSGVO nach­wei­sen kön­nen. Set­zen Sie die fol­gen­den Maß­nah­men für den Daten­schutz­grund­satz um:

  • - Doku­men­ta­ti­on des Ver­zeich­nis­ses der Verarbeitungstätigkeiten
  • - Erstel­len einer Risikobewertung
  • - Erstel­len Sie Über­sich­ten über Daten­flüs­se, Pro­zess­be­schrei­bun­gen, ver­wen­de­te IT-Sys­te­me und Schnitt­stel­len zu ande­ren IT-Sys­te­men und Dienstleistern
  • - Erstel­len Sie Kon­zep­te für z. B. die Infor­ma­ti­ons­si­cher­heit für Ihr Unternehmen.
  • - Doku­men­tie­ren Sie Ver­trä­ge mit den inter­nen Beschäf­tig­ten und Schulungsmaßnahmen
  • - Erstel­len Sie Über­sich­ten über Rol­len, Auf­ga­ben und Verantwortlichkeiten.
  • - Doku­men­tie­ren Sie Ein­wil­li­gun­gen, Wider­ruf sowie Widersprüche.
  • - Pro­to­kol­lie­ren Sie Zugrif­fe und Ände­run­gen in IT-Systemen.
  • - Füh­ren Sie ein Ver­si­ons­ma­nage­ment für die Dokumente.
  • - Erstel­len Sie ein kon­ti­nu­ier­li­ches Ver­bes­se­rungs­ma­nage­ment ein.
  • - Erstel­len Sie Leit- und Richt­li­ni­en für die Infor­ma­ti­ons­si­cher­heit und den Datenschutz.

Kon­ti­nu­ier­li­che Verbesserung

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, ler­nen und anpas­sen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim Daten­schutz durch Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Vor­ein­stel­lun­gen gibt es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben Sie aktuell!

Erstel­len auch Sie einen Regel­kreis, damit Ihre Geschäfts­pro­zes­se und die damit ver­bun­de­nen IT-Sys­te­me und Dienst­leis­ter daten­schutz­kon­form gestal­tet, ein­ge­führt und aktu­ell gehal­ten werden.

Plan

Fest­le­gung von Art, Umfang und Form der gesetz­li­chen Vor­ga­ben für Ihre Geschäftsprozesse

Do

Set­zen Sie die Maß­nah­men im Unter­neh­men um, um Ihre Geschäfts­pro­zes­se daten­schutz­kon­form zu gestalten.

Act

Opti­mie­ren Sie Ihre Geschäfts­pro­zes­se und IT-Systeme.

Check

Prü­fen Sie regel­mä­ßig Ihre Geschäfts­pro­zes­se und IT-Sys­te­me auf Datenschutzkonformität.

Häu­fi­ge Fra­gen zur Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Voreinstellungen

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, daten­schutz­kon­for­me Pro­zes­se und IT-Sys­te­me zu eta­blie­ren und daten­schutz­kon­form vor­ein­zu­stel­len. Bei die­sem The­ma gibt es viel Unsi­cher­heit. Fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Was bedeu­tet Daten­schutz durch Technikgestaltung?

Sie müs­sen so früh wie mög­lich bei der Gestal­tung der Geschäfts­pro­zes­se tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men tref­fen, die dar­auf aus­ge­legt sind, die Pri­vat­sphä­re zu schüt­zen und Daten­schutz­grund­sät­ze von Beginn an zu garantieren.

Was ist der Unter­schied zwi­schen Data Pro­tec­tion “by design” und “by default”?

Bei Data Pro­tec­tion “by design” (Daten­schutz durch Tech­nik­ge­stal­tung) hat der Her­stel­ler oder der Ver­ant­wort­li­che ent­spre­chen­de Maß­nah­men ein­ge­baut, um die Vor­ga­ben des Daten­schut­zes zu berücksichtigen. 

Bei Bei Data Pro­tec­tion “by default” (Daten­schutz durch Vor­ein­stel­lun­gen) hat der Her­stel­ler oder der Ver­ant­wort­li­che ent­spre­chen­de Maß­nah­men ein­ge­baut, um zu Beginn der Daten­ver­ar­bei­tung nur mini­mal erfor­der­li­che per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten. Der Betrof­fe­ne kann dann im Ver­lauf der Daten­ver­ar­bei­tung wei­te­re Infor­ma­tio­nen preis­ge­ben, um zusätz­li­che Funk­tio­nen zu nutzen. 

Was sind daten­schutz­freund­li­che Voreinstellungen?

Daten­schutz durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen ist der Grund­satz, wonach Sie als Unter­neh­men sicher­stel­len müs­sen, dass durch Vor­ein­stel­lung nur Daten, die für den jewei­li­gen bestimm­ten Ver­ar­bei­tungs­zweck unbe­dingt erfor­der­lich sind, ver­ar­bei­tet wer­den (ohne Ein­grei­fen des Nutzers).

Um dafür zu sor­gen, dass die­ser zen­tra­le Grund­satz der Daten­schutz-Grund­ver­ord­nung in der Pra­xis auch ange­wandt wird, ist es not­wen­dig, sich inten­siv mit die­sem The­ma auseinanderzusetzen.

Was ist pri­va­cy by design and Default?
Die Begrif­fe Pri­va­cy by Default oder Data Pro­tec­tion by Default beschrei­ben die glei­chen oben genann­ten Begrif­fe. Im Kern geht es um einen ein­ge­bau­ten Daten­schutz in Hard- und Soft­ware, For­mu­la­ren, Ver­trä­ge und Geschäfts­pro­zes­sen sowie um daten­schutz­freund­li­che Vor­ein­stel­lun­gen, die dem Schutz der Pri­vat­sphä­re von Nut­zern dienen.
Haben Sie ein Bei­spiel für Daten­schutz durch Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Voreinstellungen?

Ein gutes Bei­spiel für das The­ma Daten­schutz durch Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Vor­ein­stel­lun­gen sind der PC-Arbeits­platz mit Win­dows 10 oder Win­dows 11 oder die Internet-Browser.

Der Her­stel­ler hat zahl­rei­che Mög­lich­kei­ten bei dem Win­dows-Betriebs­sys­tem vor­ge­se­hen, um den Daten­schutz von Anfang an zu berück­sich­ti­gen. So kön­nen z. B. Ein­stel­lun­gen für die Steue­rung des Mikro­fons, der Kame­ra oder der Tele­me­trie­da­ten von Ihnen ver­wen­det wer­den. Auch kön­nen durch Richt­li­ni­en Zugriffs­be­rech­ti­gun­gen oder Pass­wör­ter zen­tral ver­ge­ben wer­den, die auch vom Benut­zer nicht ver­än­dert wer­den können.

Sie müs­sen jetzt noch die daten­schutz­freund­li­chen Vor­ein­stel­lun­gen vor der Aus­ga­be so ein­stel­len, dass mög­lichst weni­ge Daten ver­ar­bei­tet wer­den. Für den Win­dows-Arbeits­platz sind das z. B. fol­gen­de Einstellungen:

  • - Sprach­er­ken­nung Cortana
  • - Dia­gno­se / Telemetriedaten
  • - Spei­cher­ort
  • - Gerä­te­lo­ka­li­sie­rung
  • - Ober­flä­chen
  • - Daten­schutz­ein­stel­lun­gen
  • - Wer­be-IDs / per­so­na­li­sier­te Werbung
  • - Ver­schlüs­se­lung / BitLocker
  • - Instal­lier­te Programme
  • - App-Berech­ti­gun­gen 
  • - Frei­ga­be- und Eingabeanpassung
  • - Akti­vi­vi­täts­ver­lauf
  • - Stan­dard­brow­ser
  • u. v. m.

Dies gilt ana­log zu ande­ren Hard- und Soft­ware­pro­duk­ten. Sie müs­sen sich also Gedan­ken machen, wie Sie die Arbeits­mit­tel Ihren Beschäf­tig­ten zur Ver­fü­gung stellen.

Cle­ver sein — Pro­zes­se und IT-Sys­te­me daten­schutz­kon­form und pra­xis­nah gestalten

Ich unter­stüt­ze Sie bei der Erstel­lung daten­schutz­kon­for­mer Geschäfts­pro­zes­se. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig Daten­schutz durch Technik­gestaltung und datenschutz­freundliche Vorein­stellungen zu erstel­len.

Buchen Sie ein ent­spre­chen­des Modul oder mei­ne punk­tu­el­le Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men. Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei der Erstel­lung daten­schutz­kon­for­mer Geschäfts­pro­zes­se und IT-Sys­te­me fes­ter Bestandteil.

Wenn Sie eine pro­fes­sio­nel­le Unter­stüt­zung bei die­sem The­ma suchen, soll­ten wir uns kennenlernen!

Fin­den Sie hier eine Aus­wahl von Dienst­leis­tun­gen und Pro­duk­ten.
Mit einen Klick auf die Schalt­flä­che erhal­ten Sie mehr Informationen

Daten­schutz­berater DSGVO

Mit einer moder­nen Bera­tung im Bereich Daten­­schutz und Informations­sicherheit spa­ren Sie inter­ne Res­sour­cen und set­zen Ihr Pro­jekt zeit­nah um. Ich bie­te stunden­weise eine Daten­schutz­beratung von A‑Z.

Daten­schutz­beauftragter DSGVO

Als exter­ner Datenschutz­­­beauftragter bie­te ich Ihnen einen Rund-um-Sup­port nach den gesetz­lichen Vor­ga­ben und mit diver­sen Zusatz­dienst­leist­ungen. Nut­zen Sie vom ers­ten Tag an mei­ne lang­­jährige Erfahrung. 

Infor­mations­sicher­heits­beauf­tragter

Ich bera­te Sie in allen Berei­chen der Infor­mations­­sicherheit. Schüt­zen Sie Ihre Daten vor den Gefähr­dungen die­ser Zeit nach dem Stand der Tech­nik nach bewähr­ten Metho­den. Erfül­len Sie die Anfor­de­run­gen des IT-Grundschutzes?

Daten­schutz­kon­for­me Website

Benö­ti­gen Sie regel­mä­ßi­ge Reports über alle Web­sites inkl. Unter­sei­ten, auch in eng­li­scher Spra­che? Hät­ten Sie ger­ne eine akti­ve Infor­ma­ti­on, wenn sich die Rechts­la­ge ändert und Sie aktiv wer­den müs­sen. Ich bie­te pra­xis­na­he Maß­nah­men zur Optimierung!

Video­über­wa­chung DSGVO

Sie pla­nen oder besit­zen eine Video­über­wachungs­anlage im Betrieb? Sie benö­ti­gen mehr Details zu die­sem The­ma? Beach­ten Sie die recht­li­chen Vor­ga­ben. Fin­den Sie hier mehr Infor­ma­tio­nen zur praxis­­nahen Umsetz­ung von Videoüberwachungsanlagen. 

Daten­schutz-Schu­lun­gen DSGVO

Praxis­nahe Schu­lun­gen im Daten­schutz und in der Informations­sicher­heit sind für Unter­neh­men uner­läss­lich. Ich bie­te Prä­sen­z­-Ver­an­s­t­al­t­un­gen, Web­i­na­re und E‑Lear­ning-Kur­se an. Schu­len Sie Ihre Beschäf­tig­ten zielgruppen­genau und pas­send auf Ihr Unternehmen.

“Ich bie­te maß­ge­schnei­der­te Lösun­gen für Unter­neh­men, denen Daten­schutz und Informations­sicherheit wich­tig sind. Ger­ne neh­me ich mir Zeit für eine persön­liche Bera­tung und erstel­le Ihnen unver­bind­lich und kos­ten­los ein auf Sie zuge­schnit­te­nes Angebot. 

 

Ich bevor­zu­ge Unter­neh­men, die Daten­schutz und Infor­mations­sicherheit umset­zen wol­len. Wenn Sie eine kos­ten­güns­ti­ge Bera­tung von der Stan­ge bevor­zugen, pas­sen wir nicht zusammen”.

Kun­den­stim­men

Zufrie­de­ne Kun­den emp­feh­len mei­ne Dienst­leis­tung wei­ter. Über­zeu­gen Sie sich.

IT GROSS­HAN­DEL (Inter­ner DSB) Hamburg

Mit einer hohen datenschutz­rechtlichen, orga­ni­sa­to­ri­schen und sicherheits­relevanten Kom­pe­tenz hat Herr Nie­hoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umset­zung der DSGVO unter­stützt. Das Coa­ching hat sich bezahlt gemacht.

Öffent­li­che Ver­wal­tung (CDO) Lüneburg

Sie schaf­fen es, die­ses The­ma so inter­es­sant zu ver­pa­cken, dass ich trotz­dem am Ende mit einem Lächeln aus den Mee­tings gehe.

IT-Dienst­leis­ter (GF) Hamburg

Nach dem ers­ten Start haben wir schnell gemerkt, dass es ohne pro­fes­sio­nel­le Hil­fe nicht wei­ter­geht. Herr Nie­hoff hat uns hier auf die rich­ti­ge Spur gebracht und wir uns auch in Zukunft wei­ter unter­stüt­zen. Vie­len Dank für die super schnel­le Reak­ti­on und Hil­fe in der Kri­se! Wir freu­en uns auch in Zukunft einen star­ken Part­ner an der Sei­te zu haben! Kars­ten Loren­zen, Geschäfts­füh­rer Test­ex­per­ten KLE GmbH

Let­ter­shop, Hamburg
Lie­ber Herr Nie­hoff, höchs­te Zeit mal Dan­ke zu sagen für die stets promp­te, freund­liche und umfäng­liche Unter­­stützung in allen Daten­schutz­­belangen. Sei es vor Ort im Rah­men von Daten­­schutz­audits oder auch im Rah­men der vertrag­lichen Prü­fun­gen. Für mich ist es sehr wert­voll, dass Sie Ihre Aus­sagen immer auf den Punkt brin­gen, so dass ich intern wie auch extern kom­pe­tent agie­ren kann. Auf eine wei­te­re gemein­same Zusammenarbeit. 
Oli­ver G.(Geschäftsführer, Medi­en, Hamburg)

Ich set­ze regel­mä­ßig digi­ta­le Pro­jek­te mit anspruchs­vol­len Kun­den um. Daten­schutz ist ein not­wen­di­ges Muss. Ich benö­ti­ge daher einen akti­ven DSB, der da ist, wenn ich ihn benö­ti­ge und mit Praxis­wissen zeit­nah zuar­bei­tet. Ich will ein fes­tes Kon­tin­gent und nicht für jeden Hand­schlag zusätz­lich bezah­len. Am Ende wird so etwas meist teu­rer und auf­wän­di­ger in der Abrech­nung. Herr Nie­hoff bringt auf­grund sei­ner Fle­xi­bi­li­tät mein Busi­ness voran.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Ihr Pro­jekt sprechen.

kontakt-niehoff-systemberatung