Praxisnahe Umsetzung seit 2013
Ihr Branchenexperte für Datenschutz und Informationssicherheit
Datenschutzfreundliche Voreinstellungen und Technikgestaltung
Datenschutzfreundliche Voreinstellungen und Technikgestaltung: Können Sie diese Fragen beantworten?
Home » Datenschutz-Grundlagen » Datenschutz durch Technikgestaltung und Voreinstellungen
Datenschutzfreundliche Voreinstellungen und Technikgestaltung: Der Überblick
Einleitung
Wenn Sie den Datenschutz im Unternehmen ernsthaft umsetzen wollen, müssen Prozesse und IT-Systeme so gestaltet werden, dass nur personenbezogene Daten erhoben werden, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind. Dies gelingt nur, wenn Sie die entsprechenden Voreinstellungen im Rahmen der Verarbeitung vorab treffen und die Technik so gestalten, dass die Vorgaben des Datenschutzes von Beginn an berücksichtigt werden.
Um das Ziel zu erreichen, müssen Sie sich mit den Begriffen “Stand der Technik”, “gegenwärtigen technischen Fortschritt”, “Zeitpunkt der Verarbeitung” oder Datenschutz-Grundsätze auseinandersetzen.
Haben Sie entsprechende Beschäftigte, die sich mit diesem Thema in einem angemessenen Zeitraum auseinandersetzen können? Auf dieser Seite finden Sie Informationen zu diesem komplexen Thema.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Verantwortlichkeiten im Unternehmen
Der Datenschutz bei den eingesetzten IT-Systemen und Geschäftsprozessen ist unabhängig von der Unternehmensgröße umzusetzen. Der Aufwand hängt dabei von der Komplexität der Verarbeitung ab.
Was müssen Sie in Ihrem Unternehmen tun?
Sie müssen geeignete und wirkungsvolle Maßnahmen planen und umsetzen, um die Rechte und Freiheiten der Personen zu schützen, deren Daten Sie verarbeiten. Stellen Sie sicher, dass der Datenschutz immer Teil Ihrer Geschäftsprozesse ist.
Viele Datenschutzverletzungen und daraus resultierende Geldbußen sind immer eng verbunden mit der Technikgestaltung und den Voreinstellungen. Wenn Sie Geldbußen vermeiden wollen, sollten Sie sich um das Thema kümmern.
Die Höhe von Geldbußen variiert vom Umsatz des Unternehmens und dem Risiko für die betroffenen Personen, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist).
Denken Sie an die Folgeaufgaben!
Die Umsetzung von datenschutzkonformen Geschäftsprozessen ist eine Daueraufgabe. Etablieren Sie robuste Regelungen, um Veränderungen im Unternehmen, wie zum Beispiel neue IT-Systeme von Anfang datenschutzkonform einzubinden?
Prüffragen für die Geschäftsleitung
- Ist ein geregelter Prozess eingerichtet, der bei der Planung, Entwicklung und Beschaffung neuer bzw. bei der Anpassung und im Betrieb bestehender Datenverarbeitungen und IT-Systeme den Datenschutz berücksichtigt.
- Stellen Sie durch geeignete technische und organisatorische Maßnahmen sicher, dass durch Voreinstellung der Prozesse und IT-Systeme nur personenbezogene Daten verarbeitet werden, die zur Zweckerfüllung erforderlich sind?
In 4 Schritten zur datenschutzfreundlichen Gestaltung von Geschäftsprozessen
Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie Ihre Geschäftsprozesse von Anfang an datenschutzkonform erstellen, aktuell halten und kontinuierlich verbessern.
Schritt 1: Schaffen Sie die Voraussetzungen in Ihrem Unternehmen!
Zunächst holen Sie sich einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen wird zunächst das Verzeichnis der Verarbeitungstätigkeiten und die Übersicht der IT-Systeme erstellt. Binden Sie Ihren Datenschutzbeauftragten oder Datenschutzberater frühzeitig und umfassend ein, wenn Sie neue Geschäftsprozesse oder IT-Systeme in Ihrem Unternehmen planen.
Berücksichtigen und prüfen Sie die Vorgaben in allen Phasen der Gestaltung. Dazu gehört zum Beispiel die Ausschreibung, die Auftragsvergabe, das Outsourcing, die Eigenentwicklung, die Unterstützung, die Pflege, die Testphase, die Speicherung, die Archivierung oder die Löschung.
Datenschutz fängt vorne an!
Wenn Sie Geschäftsprozesse gestalten bzw. Dienstleistungen oder IT-Systeme beschaffen, beachten Sie schon zu Beginn, ob Sie die datenschutzrechtlichen Vorgaben einhalten. Bereits umgesetzte Pläne zu ändern, können aufwändig und kostenintensiv werden.
Sie haben die Auftragsverarbeitung mit den gesamten Prozess betraut? Stellen Sie sicher, dass dort ebenfalls das Wissen für den Datenschutz vorhanden ist.
Schritt 2: Gestalten Sie Ihre Prozesse und IT-Systeme datenschutzkonform!
Stellen Sie sich die folgenden Fragen:
- Behandeln wir die Personen und dessen personenbezogene Daten fair und rechtmäßig?
- Verarbeiten wir die Daten der betroffenen Personen sicher?
- Melden wir Datenschutzverletzungen?
- Bewahren wir die personenbezogenen Daten nur so lange auf, wie erforderlich?
- Greifen nur befugte Personen und IT-Systeme auf die Daten zu und protokollieren wir das?
- Stellen wir die Informationen der personenbezogenen Daten auf Anfrage zur Verfügung?
- Verarbeiten wir nur die personenbezogenen Daten, die absolut erforderlich sind?
- Kennen meine Dienstleister, die für meine IT-Systeme zuständig sind, die Anforderungen?
Schritt 3: Prüfen Sie regelmäßig Ihre Geschäftsprozesse und IT-Systeme
Nach dem Beginn der Datenverarbeitung prüfen Sie regelmäßig Ihre Geschäftsprozesse und IT-Systeme, ob Ihre Maßnahmen und Einstellungen in den IT-Systemen noch sinnvoll und wirksam sind. Gerade in IT-Systemen werden bei Updates oder Funktionserweiterungen der Software die Voreinstellungen überschrieben, Funktionen ergänzt oder ganz entfernt.
Beispiel: Bei einem Update des Windows-Betriebssystems wurde die Funktionalität „Viva Insights / MyAnalytics“ installiert. Die Software wertet das Nutzerverhalten Ihrer Beschäftigten aus und bewertet die Produktivität und das Verhalten während der Benutzung des Endgerätes.
Das Problem: Sie bleiben für die diese Datenverarbeitung voll verantwortlich. Die Einführung der oben genannten Leistungs- und Verhaltenskontrolle auf dem Endgerät ist anspruchsvoll und sehr aufwändig. Ob die Verarbeitung auch datenschutzkonform gestaltet werden kann, ist von verschiedenen Aspekten abhängig. Die Erforderlichkeit dürfte in den meisten Fällen im Arbeitsverhältnis nicht notwendig sein.
Die Lösung: Prüfen Sie vor dem Einspielen von Aktualisierungen, ob sich durch das Update auch Änderungen im Datenschutz ergeben. Sie können dann entscheiden, ob Sie die neuen Funktionalitäten rechtskonform gestalten oder das Update – sofern möglich – verhindern.
Schritt 4: Stetige Optimierung und Dokumentation der Maßnahmen
Sie haben ein klares “Datenschutzbild” von Ihren Geschäftsprozessen, IT-Systemen, Rollen und Verantwortlichkeiten der Beschäftigten in Ihrem Betrieb. Sie haben auch einen Prozess eingerichtet, um Abweichungen zu erkennen und abzustellen. Jetzt dokumentieren Sie noch die Veränderungen während der Laufzeit der Geschäftsprozesse und IT-Systeme.
Dokumentieren Sie die Änderungshäufigkeit!
Für die Dokumentation sollten Sie ein einheitliches Versionsmanagement etablieren, um Ihre Aufwände, Erkenntnisse und Veränderungen zu protokollieren. Die Anforderung ergibt sich aus der Nachweispflicht gem. Art. 5 Abs. 2 DSGVO.
Legen Sie pro Geschäftsprozess einen Termin für die Wiedervorlage fest. Die Frequenz richtet sich nach
- - dem Risiko der Verarbeitung für die betroffenen Personen,
- - der Komplexität des Prozesses und der IT-Systeme sowie
- - der Änderungshäufigkeit des Geschäftsprozesses bzw. der IT-Systeme (Hard- und Software).
Weitere Details zur Technikgestaltung und Voreinstellungen
Gesetzliche Vorgaben zu “Privacy by default” und “Privacy by Design”
Die Datenschutz-Grundverordnung regelt das Thema „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ in Artikel 25 und im Erwägungsgrund 78. Der Gesetzestext wird hier noch einmal dargestellt. Die wichtigen Begriffe sind hervorgehoben. Weitere Informationen zu den Begriffen finden Sie im unteren Bereich.
Art. 25 Abs. 1 DSGVO: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
Art. 25 Abs. 2 DSGVO: Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
Art. 25 Abs. 2 DSGVO: Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Erwägungsgrund 78 DSGVO: Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden.
Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.
Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.
In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.
Begriffe und Maßnahmen – Kurz und knapp erklärt
Die Vorgabe „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ oder „Privacy by default / by design“ hat es in sich. Sie müssen die Begrifflichkeiten verstehen und dazu passende Maßnahmen korrekt umsetzen. Finden Sie hier die entsprechenden Informationen zu den verwendeten Begriffen und zu den Schutzzielen der Informationssicherheit und des Datenschutzes.
Unter datenschutzfreundlichen Voreinstellungen versteht man den bereits bestehenden oder vorausgewählten Wert einer Einstellung, wie zum Beispiel bei einem Endgerät oder einer Software. Man kann auch Werkseinstellung dazu sagen. Durch die Voreinstellung ergibt sich die Menge der erhobenen Daten und den Umfang der Verarbeitung. Auch die Speicherdauer und der Zugriff auf die Daten kann dadurch gesteuert werden. Wählen Sie die Voreinstellungen so, dass nur die minimal erforderliche Datenverarbeitung erfolgt, um den geplanten Zweck zu erreichen.
Entscheiden sich die betroffenen Personen, mehr personenbezogene Daten herauszugeben oder für eine umfangreichere Verarbeitung zur Verfügung zustellen, kann dies möglich sein.
Bei der Wirksamkeit müssen Sie dafür sorgen, dass die umgesetzten Maßnahmen zu Ihren beabsichtigten Ergebnissen führen. Sie müssen auch nachweisen können, dass Sie sich davon überzeugt haben, dass Ihre geplanten Maßnahmen auch geprüft worden sind.
Vor dem Beginn der Datenverarbeitung müssen Sie eindeutig festlegen, für welche Zwecke Sie Daten von den betroffenen Personen verarbeiten möchten. Die richtige Rechtsgrundlage muss dabei ebenfalls festgelegt werden.
Setzen Sie technische und organisatorische Maßnahmen ein, die am Markt aktuell bewährt sind. Berücksichtigen Sie den technischen Fortschritt und prüfen Sie diesen kontinuierlich, ob sich bewährte Methoden verändert haben. Methoden für die Verschlüsselung oder der Umgang mit Passwörtern ändert sich regelmäßig.
Eine gute Referenz ist dabei immer der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik.
Bei dem Betrieb von Webseiten sieht man häufiger, dass alte Versionen von Verschlüsselungen eingesetzt werden. Die Technik erfüllt dann nicht mehr den Sicherheitsstandard und bietet keinen entsprechenden Schutz vor Cyberangriffen.
Beim Stand der Technik sind auch organisatorische Maßnahmen zu berücksichtigen. So führen fehlende Richtlinien, Anweisungen oder Vorgaben zu Sicherheitsverletzungen, weil das Wissen nicht nachhaltig vermittelt wurde.
Wenn Sie technische und organisatorische Maßnahmen zum Schutz der Daten etablieren, sind die Kosten für Ressourcen, d. h. Hard- und Software, Dienstleistung und Personal zu berücksichtigen. Der Aufwand muss immer zum Unternehmen passen und sollten verhältnismäßig sein.
Schauen Sie, ob die Ziele, die Sie erreichen wollen, nicht auch mit einem geringeren Aufwand erreicht werden können.
Die DSGVO ist ein risikobasiertes Gesetz. Das finden Sie in zahlreichen Artikeln wieder. Je höher das Risiko für die betroffenen Personen ist, desto wirksamer müssen die Schutzmaßnahmen sein. Damit verringern Sie die Eintrittswahrscheinlichkeit von Datenschutzverletzungen. Zahlreiche Informationen finden Sie im Bereich Risikomanagement.
Der Grundsatz der Datenminimierung sorgt dafür, dass die Menge der erhobenen personenbezogenen Daten, der Umfang der Verarbeitung, die Speicherdauer und die Möglichkeit, auf Daten zuzugreifen, auf ein Minimum begrenzt wird.
Sie müssen als Verantwortlicher die Daten wieder löschen, wenn dieses zur Erfüllung der geplanten Zwecke nicht mehr erforderlich sind.
Sie müssen die Speicherdauer von personenbezogenen Daten vorab festlegen. Weitere Informationen finden Sie im Bereich Löschen von Daten.
Eine Anonymisierung personenbezogener Daten kann als Alternative erfolgen, wenn der Personenbezug durch andere Faktoren nicht mehr hergestellt werden kann.
Unter der Zugänglichkeit ist der Zutritt, Zugang oder Zugriff auf personenbezogene Daten zu verstehen. Berechtigte Personen oder IT-Systeme erhalten im Rahmen der vorab festgelegten Aufgaben die Möglichkeit, auf die Daten zuzugreifen, um die festgelegten Zwecke zu erfüllen.
Sie müssen den Zugang durch entsprechende Voreinstellungen und Anpassungen auf ein Minimum beschränken. Sorgen Sie dafür, dass organisatorische Veränderungen, wie zum Beispiel Austritt von Beschäftigten, auch zu einer Veränderung der Zugänglichkeit führen.
Die DSGVO eine Möglichkeit vorgesehen, durch ein Zertifikat für die Datenschutzfreundlichkeit einer Hard- oder Software nachzuweisen.
Bislang gibt es noch keine Zertifikate in diesem Bereich. Die europäischen Länder müssen sich zunächst auf die Inhalte einigen.
Wenn Sie der Verantwortliche für die Datenverarbeitung sind, bleiben Sie für den Einsatz der Hard- und Software haftbar. Ein Zertifikat des Herstellers für eine Hard- oder Software bedeutet aber nicht, dass die gesamte Datenverarbeitung gesetzeskonform sind. Vor Gericht kann ein Zertifikat aber unterstützen, Schäden zu verringern.
Maßnahmen zur Einhaltung der Schutzziele
Informieren Sie gegenüber den betroffenen Personen klar und offen darüber, wie die Datenverarbeitung erfolgt. Die Personen müssen verstehen, was mit ihren Daten passiert, damit die Kontrolle nicht verloren geht. Berücksichtigen Sie dabei folgende Punkte:
- - Verwenden Sie eine klare, deutliche, präzise und verständliche Sprache.
- - Versetzen Sie sich selbst in die Zielgruppe. Schreiben Sie die Informationen so, wie ein typischer Vertreter der Zielgruppe es verstehen würde. Berücksichtigen Sie Sprache, Alter und Bildungsstand.
- - Die Informationen müssen den betroffenen Personen leicht zugänglich sein. Vermeiden Sie Medienbrüche und umständliche Methoden.
- - Stellen Sie die Informationen zum richtigen Zeitpunkt und in der geeigneten Form bereit.
- - Reduzieren Sie die Informationen auf die Zielgruppe und den Umfang der Verarbeitung. Überfrachten Sie die Informationen nicht.
- - Sorgen Sie dafür, dass alle Personen die Informationen erhalten können und dass die Informationen lesbar sind.
- - Nutzen Sie – sofern erforderlich – verschiedene Kanäle und Methoden, um die Wahrscheinlichkeit der Information zu erhöhen
- - Nutzen Sie mehrstufige Verfahren, um eine Balance zwischen Verständnis und Vollständigkeit zu erhalten, wie z. B. bei einer Videoüberwachung (Stufe 1 = Schild mit Basisinformationen, Stufe 2 = vollständige Informationen)
Beispiel „Datenschutzhinweise auf der Website“:
- - Erstellen Sie eine zentrale Seite für alle Datenschutzinformationen.
- - Verwenden Sie klare und knappe Informationen zur Erstinformation der betroffenen Personen.
- - Nutzen Sie mehrere Stufen für mehr Details.
- - Heben Sie die wichtigsten Punkte hervor.
- - Stellen Sie ausführlichere Informationen leicht zugänglich zur Verfügung.
- - Nutzen Sie bei Bedarf Drop-down-Menüs und Links zu anderen Seiten.
- - Stellen Sie sicher, dass die Betroffenen die Informationen zu jedem Zeitpunkt aufrufen können.
- - Verweisen Sie bei einer Dateneingabe (z. B. bei einem Kontaktformular) auf die Informationen zum Datenschutz
- - Erstellen Sie wichtige Informationen in Videos.
- - Lassen Sie verschiedene Personen die Informationen auf Verständlichkeit testen.
- - Unterscheiden Sie in Informationen für Apps und Websites.
Sie müssen sicherstellen, dass jede Datenverarbeitung eine gültige und passende Rechtsgrundlage hat. Etablieren Sie folgende Maßnahmen bzw. Prozesse, um diese Anforderung zu unterstützen:
- - Stellen Sie sicher, dass die Rechtsgrundlage auch verwendet werden kann und korrekt ist.
- - Prüfen Sie, ob die Rechtsgrundlage pro Zweck verwendet werden kann und die Verarbeitung nicht an weitere Bedingungen geknüpft ist.
- - Stellen Sie im Prozess sicher, dass die betroffenen Personen die Kontrolle über die Datenverarbeitung behalten können.
- - Gestalten Sie die Einwilligung der Personen rechtskonform gem. Art. 7 DSGVO. Hier sind diverse Punkte zu beachten, wie zum Beispiel Freiwilligkeit, einfache Widerrufsmöglichkeit, Transparenz, Konkretheit und Nachweispflichten über den gesamten Lebenszyklus der Einwilligung.
- - Erstellen Sie eine dreistufige Interessenabwägung (siehe Bereich Risikobewertung)
- - Stellen Sie sicher, dass bei Wegfall der Rechtsgrundlage die Daten auch wirksam gelöscht werden.
- - Bei einer gemeinsamen Verantwortung gestalten Sie Verträge und Prozesse mit allen anderen Verantwortlichen.
Der Datenschutzgrundsatz „Treu und Glauben“ steht übergreifend für eine faire Verarbeitung personenbezogener Daten. Die Datenverarbeitung sollte fair sein, nicht schädlich oder diskriminierend, unerwartet oder irreführend sein. Um den Datenschutzgrundsatz umzusetzen, sind folgende Maßnahmen zu ergreifen:
- - Geben Sie den betroffenen Personen Spielräume bei der Datenverarbeitung, d.h. bei der Nutzung der Daten oder Umfang der Datenverarbeitung durch den Verantwortlichen
- - Schaffen Sie Möglichkeiten zur Interaktion, damit die betroffenen Personen ihre Rechte wahrnehmen können.
- - Sorgen Sie dafür, dass die Datenverarbeitung nicht überraschend erfolgt, d.h. durch rechtzeitige Information (Transparenz der Verarbeitung)
- - Diskriminieren Sie die betroffenen Personen nicht in unfairer Weise.
- - Nutzen Sie die Bedürfnisse und die Schutzbedürftigkeit
betroffener Personen nicht aus. - - Binden Sie die betroffenen Personen nicht in unlauterer Weise (Lock-in-Effekt)
- - Vermeiden Sie ein Ungleichgewicht zwischen Ihnen und den betroffenen Personen (Datenverarbeitung auf Augenhöhe).
- - Wälzen Sie das Risiko der Datenverarbeitung nicht auf die betroffenen Personen ab.
- - Stellen Sie Informationen sachlich und neutral zur Verfügung und nicht manipulativ oder irreführend
- - Wahren Sie die Rechte und Würde der Betroffenen, sofern keine gesetzlichen Vorgaben bestehen.
- - Nutzen Sie ausgewogene, faire und richtige Algorithmen für automatisierte Datenverarbeitungen und informieren Sie entsprechend. Dies gilt insbesondere bei Themen, wie z. B. Leistungsbeurteilung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Bewegungen.
Bei der Planung der Datenverarbeitung müssen Sie Zwecke festlegen. Die Zwecke müssen eindeutig und legitim sein. Sofern vom Zweck abgewichen werden soll, müssen Sie sicherstellen, dass die neuen Zwecke mit dem ursprünglichen vereinbar sein. Die folgenden Maßnahmen sollten Sie im Unternehmen etablieren:
- - Legen Sie die rechtmäßigen Zwecke vor der Gestaltung der
Verarbeitung präzise fest und dokumentieren Sie diese im Verzeichnis der Verarbeitungstätigkeiten. - - Sorgen Sie dafür, dass die Datenverarbeitung und die damit verbundenen Zwecke überhaupt erforderlich sind.
- - Schulen Sie Ihre Beschäftigten darin, dass die Daten nicht für neue Zwecke genutzt werden dürfen und eine vorherige Prüfung, Information und Dokumentation stattfinden muss.
- - Verhindern Sie zum Beispiel durch Zugriffsrechte, Verschlüsselungen oder Anweisungen, dass personenbezogene Daten nicht für weitere Zwecke verwendet werden.
- - Prüfen Sie regelmäßig, ob Ihre Datenverarbeitung noch mit den vorher festgelegten Zwecken übereinstimmt.
Mit den folgenden Maßnahmen können Sie die Vorgaben der Datenminimierung einhalten:
- - Verzichten Sie auf Datenverarbeitungen, die nicht rechtskonform durchgeführt werden können.
- - Reduzieren Sie die Menge der personenbezogenen Daten auf das erforderliche Mindestmaß.
- - Gestatten Sie nur den notwendigen Personen Zutritt, Zugang oder Zugriff auf die personenbezogenen Daten.
- - Nutzen Sie Datenverarbeitungen, die weniger eingriffsintensiv sind (mildere Mittel)
- - Fassen Sie Daten zusammen, wenn dies sinnvoll ist.
- - Pseudonymisieren Sie personenbezogene Daten, um Risiken zu minimieren und speichern Sie die Schlüssel separat.
- - Löschen oder anonymisieren Sie personenbezogene Daten unverzüglich bei einem Zweckentfall.
- - Vermeiden Sie Kopien und Archive und beziehen Sie diese in Ihr Löschkonzept mit ein.
- - Verschlanken Sie Prozesse, um möglichst wenige Fachabteilungen und IT-Systeme einzubinden, wo ebenfalls die Daten gespeichert werden.
Sorgen Sie dafür, dass die personenbezogenen Daten immer sachlich richtig und auf dem neuesten Stand sind. Dabei unterstützen folgende Maßnahmen:
- - Wählen Sie verlässliche Quellen und kontrollieren Sie regelmäßig die Qualität.
- - Legen Sie fest, wie genau die Daten sein müssen, damit der Zweck erfüllt werden kann und wie hoch das Risiko für Betroffenen bei fehlerhaften Daten ist.
- - Messen Sie die Richtigkeit der personenbezogenen Daten. Dies ist erforderlich bei einer automatischen Entscheidungsfindung und beim Einsatz künstlicher Intelligenz.
- - Prüfen Sie, je nach Risiko für betroffene Personen, die Richtigkeit der personenbezogenen Daten.
- - Löschen und berichtigten Sie unrichtige oder fehlerhafte Daten.
- - Reduzieren Sie Folgefehler und weitere Risiken für betroffene Personen.
- - Beziehen Sie die betroffenen Personen ein, um die Richtigkeit der Daten zu gewährleisten.
- - Aktualisieren Sie die personenbezogenen Daten, wenn es für die Erfüllung der Zwecke erforderlich ist.
Entfällt der Zweck der Verarbeitung, müssen Sie grundsätzlich die personenbezogenen Daten löschen. Die folgenden Maßnahmen unterstützen Sie dabei:
- - Erstellen Sie ein Löschkonzept pro Datenverarbeitung.
- - Sorgen Sie dafür, dass der Zweckentfall pro Datenverarbeitung zu einer fachgerechten Löschung der Daten erfolgt.
- - Gestalten Sie klare Prozesse und Verantwortlichenkeiten
- - Prüfen Sie, ob die Löschung auch fachgerecht erfolgt und die Daten nicht rekonstruiert werden können
- - Löschen Sie Daten automatisiert.
Als Verantwortlicher müssen Sie die Umsetzung der DSGVO nachweisen können. Setzen Sie die folgenden Maßnahmen für den Datenschutzgrundsatz um:
- - Dokumentation des Verzeichnisses der Verarbeitungstätigkeiten
- - Erstellen einer Risikobewertung
- - Erstellen Sie Übersichten über Datenflüsse, Prozessbeschreibungen, verwendete IT-Systeme und Schnittstellen zu anderen IT-Systemen und Dienstleistern
- - Erstellen Sie Konzepte für z. B. die Informationssicherheit für Ihr Unternehmen.
- - Dokumentieren Sie Verträge mit den internen Beschäftigten und Schulungsmaßnahmen
- - Erstellen Sie Übersichten über Rollen, Aufgaben und Verantwortlichkeiten.
- - Dokumentieren Sie Einwilligungen, Widerruf sowie Widersprüche.
- - Protokollieren Sie Zugriffe und Änderungen in IT-Systemen.
- - Führen Sie ein Versionsmanagement für die Dokumente.
- - Erstellen Sie ein kontinuierliches Verbesserungsmanagement ein.
- - Erstellen Sie Leit- und Richtlinien für die Informationssicherheit und den Datenschutz.
Kontinuierliche Verbesserung
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.
Auch beim Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gibt es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.
Bleiben Sie aktuell!
Erstellen auch Sie einen Regelkreis, damit Ihre Geschäftsprozesse und die damit verbundenen IT-Systeme und Dienstleister datenschutzkonform gestaltet, eingeführt und aktuell gehalten werden.
Festlegung von Art, Umfang und Form der gesetzlichen Vorgaben für Ihre Geschäftsprozesse
Setzen Sie die Maßnahmen im Unternehmen um, um Ihre Geschäftsprozesse datenschutzkonform zu gestalten.
Optimieren Sie Ihre Geschäftsprozesse und IT-Systeme.
Prüfen Sie regelmäßig Ihre Geschäftsprozesse und IT-Systeme auf Datenschutzkonformität.
Häufige Fragen zur Technikgestaltung und datenschutzfreundliche Voreinstellungen
Jedes Unternehmen, welches personenbezogene Daten regelmäßig verarbeitet, hat die gesetzliche Pflicht, datenschutzkonforme Prozesse und IT-Systeme zu etablieren und datenschutzkonform voreinzustellen. Bei diesem Thema gibt es viel Unsicherheit. Finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Sie müssen so früh wie möglich bei der Gestaltung der Geschäftsprozesse technische und organisatorische Maßnahmen treffen, die darauf ausgelegt sind, die Privatsphäre zu schützen und Datenschutzgrundsätze von Beginn an zu garantieren.
Bei Data Protection “by design” (Datenschutz durch Technikgestaltung) hat der Hersteller oder der Verantwortliche entsprechende Maßnahmen eingebaut, um die Vorgaben des Datenschutzes zu berücksichtigen.
Bei Bei Data Protection “by default” (Datenschutz durch Voreinstellungen) hat der Hersteller oder der Verantwortliche entsprechende Maßnahmen eingebaut, um zu Beginn der Datenverarbeitung nur minimal erforderliche personenbezogene Daten zu verarbeiten. Der Betroffene kann dann im Verlauf der Datenverarbeitung weitere Informationen preisgeben, um zusätzliche Funktionen zu nutzen.
Datenschutz durch datenschutzfreundliche Voreinstellungen ist der Grundsatz, wonach Sie als Unternehmen sicherstellen müssen, dass durch Voreinstellung nur Daten, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind, verarbeitet werden (ohne Eingreifen des Nutzers).
Um dafür zu sorgen, dass dieser zentrale Grundsatz der Datenschutz-Grundverordnung in der Praxis auch angewandt wird, ist es notwendig, sich intensiv mit diesem Thema auseinanderzusetzen.
Ein gutes Beispiel für das Thema Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sind der PC-Arbeitsplatz mit Windows 10 oder Windows 11 oder die Internet-Browser.
Der Hersteller hat zahlreiche Möglichkeiten bei dem Windows-Betriebssystem vorgesehen, um den Datenschutz von Anfang an zu berücksichtigen. So können z. B. Einstellungen für die Steuerung des Mikrofons, der Kamera oder der Telemetriedaten von Ihnen verwendet werden. Auch können durch Richtlinien Zugriffsberechtigungen oder Passwörter zentral vergeben werden, die auch vom Benutzer nicht verändert werden können.
Sie müssen jetzt noch die datenschutzfreundlichen Voreinstellungen vor der Ausgabe so einstellen, dass möglichst wenige Daten verarbeitet werden. Für den Windows-Arbeitsplatz sind das z. B. folgende Einstellungen:
- - Spracherkennung Cortana
- - Diagnose / Telemetriedaten
- - Speicherort
- - Gerätelokalisierung
- - Oberflächen
- - Datenschutzeinstellungen
- - Werbe-IDs / personalisierte Werbung
- - Verschlüsselung / BitLocker
- - Installierte Programme
- - App-Berechtigungen
- - Freigabe- und Eingabeanpassung
- - Aktivivitätsverlauf
- - Standardbrowser
- u. v. m.
Dies gilt analog zu anderen Hard- und Softwareprodukten. Sie müssen sich also Gedanken machen, wie Sie die Arbeitsmittel Ihren Beschäftigten zur Verfügung stellen.
Clever sein — Prozesse und IT-Systeme datenschutzkonform und praxisnah gestalten
Buchen Sie ein entsprechendes Modul oder meine punktuelle Unterstützung. Ich biete Ihnen die Dokumentation in Ihrem Zielsystem. Nach meiner Erfahrung ist die Interviewtechnik die effizienteste Methode, um zügig zu der ersten Version zu kommen. Die Beratung kann bei Ihnen vor Ort oder per Videokonferenz erfolgen.
Als Datenschutzbeauftragter ist die Unterstützung bei der Erstellung datenschutzkonformer Geschäftsprozesse und IT-Systeme fester Bestandteil.
- Praxisnahe Erstellung
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Wenn Sie eine professionelle Unterstützung bei diesem Thema suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen und Produkten.
Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
“Ich biete maßgeschneiderte Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gerne nehme ich mir Zeit für eine persönliche Beratung und erstelle Ihnen unverbindlich und kostenlos ein auf Sie zugeschnittenes Angebot.
Ich bevorzuge Unternehmen, die Datenschutz und Informationssicherheit umsetzen wollen. Wenn Sie eine kostengünstige Beratung von der Stange bevorzugen, passen wir nicht zusammen”.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Ich setze regelmäßig digitale Projekte mit anspruchsvollen Kunden um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.
Kontakt
- Direkte Betreuung
- Unterstützung im Bereich Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.