1 Monat Zufriedenheitsgarantie
Sie könnten uns 1 Monat testen. Wenn Sie dann mit unseren Leistungen zufrieden sind, schenken Sie uns Ihr Vertrauen für die gesamte Laufzeit Ihreres Vertrags.
Ihr externer Datenschutzbeauftragter
Empfohlen für:
- Einzelhandel
- Handwerksbetriebe
- Gastronomie
- Werkstätten
Empfohlen für:
- Baubranche
- Makler
- Hausverwaltungen
- Industrieunternehmen
- Reise, Tourismus
- Rechtsanwälte
Empfohlen für:
- Hotels
- Ärzte
- Apotheker
- Unternehmensberater
- Online-Shops
- Kleine IT-Unternehmen
Empfohlen für:
- Finanzunternehmen
- Versicherungsmakler
- Personaldienstleister
- Systemhäuser
- Softwareunternehmen
- Unternehmen mit >80 M.
BAFA Förderung
Sie haben durch unsere Audits einen Anspruch von min. 50% Förderung über das BAFA. Wir unterstützen Sie bei dem Antragsprozess.
LUTOP EXPERTEN TEAM IN ESSEN
Frank Lurtz
Gesellschafter-Geschäftsführer
IT-Security-Manager, externer Datenschutzbeauftragter (TÜV)
Herr Frank Lurtz, arbeitet seit vielen Jahren als u.a. als Geschäftsführer eines Systemhauses und ist hier spezialisiert auf IT-Sicherheit und Datenschutz . Er ist in vielen nationalen Firmen für IT-Sicherheit zuständig. Herr Lurtz ist u.a. als externer Experte für IT-Security umfassend tätig. Schwerpunkt bildet hierbei der technische Datenschutz und die IT-Sicherheit.
Marcel Paes
Datenschutzbeauftragter (TÜV)
IT-Sicherheitsberater, Datenschutzbeauftragter (TÜV), Herr Paes berät und unterstützt Unternehmen innerhalb von ganz Deutschland in den Bereichen Datenschutz und IT-Sicherheit. Das umfangreiche Dienstleistungs-Portfolio umfasst alle Fragen zu den Bereichen Datenschutz, IT-Sicherheit und Projektmanagement.
Franziska Luther
Externe Datenschutzbeauftragte und Content-Consultant
Frau Luther berät und unterstützt deutschlandweit Unternehmen in den Bereichen Datenschutz und Content-Marketing. Ihr Dienstleistungsspektrum umfasst sämtliche Fragen zu den Bereichen Datenschutz, Compliant Content-Management und Online/Offline-Marketing.
Heiko Liedgens
Datenschutzbeauftragter (TÜV)
IT-Sicherheitsberater, Datenschutzbeauftragter (TÜV), Herr Liedgens berät und unterstützt mittelständische Unternehmen in ganz Deutschland. Das umfangreiche Dienstleistungs-Portfolio umfasst alle Fragen zu den Bereichen IT-Infrastruktur, Server- und Storage, IP-Telefonie und Datensicherheit.
WIR UNTERSTÜTZEN IHR UNTERNEHMEN ZUR DS-GVO KONFORMITÄT:
Wir helfen Ihnen die DS-GVO pragmatisch und kostengünstig umzusetzen.
INFORMATIONEN & FAQs
Kurze Info über DS-GVO
Die neue EU Datenschutzgrundverordnung bringt für Unternehmen, Vereine und Praxen viele neue Pflichten, die eingehalten werden müssen. Wichtig ist, sich hier erst einmal mit einer Zusammenfassung einen Überblick zu verschaffen, um was es genau geht und ob Sie betroffen sind.
Die schlechte Nachricht ist: Jedes Unternehmen, jeder Verein und jede (Arzt-)Praxis muss sich an das neue Datenschutzrecht halten und die DSGVO umsetzen, unabhängig von der Größe und davon, wie viele Mitarbeiter beschäftigt werden.
Die Größe des Unternehmens bzw. die Mitarbeiteranzahl spielt nur eine Rolle, wenn es darum geht, ob ein Datenschutzbeauftragter benannt werden muss. Die Umsetzung der Regelungen ist jedoch für alle Unternehmen, Betriebe, Vereine und Praxen verbindlich und vorgeschrieben.
FAQ Datenschutzbeauftragter:
Einen Datenschutzbeauftragten brauchen laut Artikel 37 der DSGVO alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden.
Für kleine Betriebe gilt zwar eine Ausnahme: Einen Datenschutzbeauftragten bestellen muss ein Unternehmen nur, wenn sich mindestens 20 Mitarbeiter regelmäßig mit solchen Daten beschäftigen. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist. „Sobald ich mehr als neunzehn Mitarbeiter habe, deren Hauptaufgabe darin besteht, am Computer zu arbeiten, sollte ich ernsthaft darüber nachdenken, ob ich einen Datenschutzbeauftragten brauche“, rät Frank Lurtz. Denn bei den meisten Aufgaben am Computer kommen Mitarbeiter mit personenbezogenen Daten in Kontakt. Es reicht schon, wenn sie die E-Mail-Adresse eines Kunden speichern.
Ob er einen internen oder externen Datenschutzbeauftragten benennen will, kann der Geschäftsführer frei entscheiden. Beides hat Vor- und Nachteile: Ein interner Mitarbeiter kennt das Unternehmen und die Abläufe viel besser, kann aber schneller in einen Interessenskonflikt geraten. Außerdem muss er sich erst Wissen zum Thema Datenschutz aneignen. Das bringt ein externer Datenschutzbeauftragter oft schon mit. Zudem hat er einen objektiveren Blick auf das Unternehmen.
Ein weiterer Vorteil: Wenn er nicht ordentlich arbeitet und es zu einer Klage kommt, haftet ein externer Datenschutzbeauftragter dafür vollständig – auch bei Fahrlässigkeit. Allerdings muss er sich noch in das Unternehmen einarbeiten.
Achtung Kündigungsschutz:
Der interne Datenschutzbeauftragte genießt umfassenden Kündigungsschutz: Möglich ist nur eine fristlose Kündigung aus wichtigem Grund. Das geht hervor aus § 38 im deutschen Ergänzungsgesetz zur DSGVO, dem BDSG-neu.
Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig ist. Das gilt für besonders sensible Daten oder wenn ein hohes Risiko für Betroffene besteht, falls die Angaben missbraucht werden: etwa Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder Gesundheit. Auch wenn ein Unternehmen eine Videokamera auf seinem Werksgelände aufstellt, gelten diese Bilder als besonders sensibel. Was Sie bei einer Datenschutz-Folgenabschätzung tun müssen. Unternehmen personenbezogene Daten an Dritte übermittelt – wie beim klassischen Adresshandel – oder sie zu Markt- und Meinungsforschungszwecken verarbeitet.
Er achtet darauf, dass das Unternehmen alle gesetzlichen Datenschutzvorgaben einhält. Seine Aufgaben stehen in Artikel 39 der DSGVO:
- Der Datenschutzbeauftragte berät die Verantwortlichen im Unternehmen in Sachen Datenschutz; er kann aber ohne die Geschäftsleitung keine Entscheidungen treffen.
- Er sensibilisiert und schult andere Mitarbeiter. Dafür muss er sie regelmäßig zusammentrommeln und ihnen zeigen: Wie sieht z.B. ein sicheres Passwort aus? Wie vermeide ich, dass mir andere in den Bildschirm schauen, wenn ich unterwegs am Laptop arbeite? Wie oft er diese internen Schulungen geben muss, legt die DSGVO nicht fest. Das hängt auch davon ab, wie groß die Firma ist.
- Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen. Zwar ist er nicht verpflichtet, sich freiwillig dort zu melden, falls ihm im Unternehmen etwas auffällt. Kontaktiert ihn aber die Behörde aufgrund einer Beschwerde, muss er ihr dabei helfen, den Fall aufzuklären.
- Er ist Ansprechpartner für betroffene Personen. Geht zum Beispiel ein E-Mail-Anhang mit persönlichen Daten an den falschen Adressaten und der Betroffene bekommt das mit, kann er sich beim Datenschutzbeauftragten beschweren und nachfragen. Mit der Datenschutz-Grundverordnung werden die Rechte der betroffenen Personen erweitert, so dass viele Datenschutzbeauftragte voraussichtlich bald mehr Anfragen bearbeiten müssen.
- Muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen, überwacht der Datenschutzbeauftragte diese und berät die Verantwortlichen.
Die technischen Weiterentwicklungen bringen neben vielen Vorteilen auch einige Nachteile mit sich. Ein Nachteil kann der Umgang mit dem Datenschutz sein. Personenbezogene und geschäftliche Daten sind heute schnell und einfach verfügbar, da sie meist in Datenbanken oder anderen Geschäftssystemen hinterlegt sind. Deshalb ist der Datenschutz ein ernst zu nehmendes Thema geworden. Unternehmen sehen sich mit diesem Problem mehr denn je konfrontiert. So wurde beispielsweise die gesetzliche Pflicht zur Bereitstellung eines Datenschutzbeauftragten normiert, sofern mehr als neun Personen in einem Betrieb Zugriff auf personenbezogene Daten haben. Viele Verbraucher sind beim Thema Datenschutz sensibel geworden. Undurchsichtige Datenschutzbestimmungen können sich Unternehmen deshalb nicht mehr erlauben, wenn sie am Markt bestehen möchten. Insbesondere im Geschäftsbereich des Internets gilt es aufmerksam zu sein. Im Zweifelsfall sollten sich Unternehmen daher rechtliche Hilfe bei der Ausarbeitung von Datenschutzrichtlinien holen. Eine umfassende Überprüfung im Voraus kann vor Konfrontationen mit Datenschutzverstößen bewahren.
Die Verordnung definiert “personenbezogene Daten” als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (“betroffene Person”) beziehen; als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind (Art. 4 Nr. 1).
Der Begriff „pseudonyme Daten“ ist selbst nicht definiert, bezeichnet aber Daten, die durch Pseudonymisierung verändert wurden. „Pseudonymisierung“ ist definiert als die „Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“ (Art. 4 Nr. 5).
Grundsätzlich ja, denn pseudonyme Daten sind –im Unterschied zu anonymen Daten– weiterhin personenbeziehbar. Das heißt, es ist bei solchen Daten weiterhin möglich, die betreffenden Daten einer konkreten Person zuzuordnen.
Bei pseudonymen Daten werden die Identifikationsmerkmale eines Datensatzes (z.B. Name, Adresse, Datum) aber „ausgesondert“ und entweder gelöscht oder getrennt vom übrigen Datensatz gespeichert. Der Datensatz ist also nicht sofort personenbeziehbar, sondern nur, indem zusätzliche Informationen herangezogen werden (Erwägungsgrund 26). Die Pseudonymisierung von Daten ist somit eine datenschutzfreundliche Maßnahme, die von der Datenschutzgrundverordnung an verschiedenen Stellen gefordert oder belohnt wird. Insbesondere gilt dies in Fällen, wo die Verwendung von Daten auf Basis einer Interessenabwägung zulässig ist. Die Pseudonymisierung kann dann dabei helfen, diese Abwägung zu Gunsten der datenverarbeitenden Stelle ausfallen zu lassen. Die Pseudonymisierung ist außerdem eine „technische und organisatorische Maßnahme“ des Datenschutzes, die im Betrieb des Betroffenen umgesetzt werden muss, soweit sie angemessen ist (Art. 25 und Art. 32).
EU-DATENSCHUTZGRUNDVERORDNUNG DSGVO
Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden.
Betroffen sind alle Unternehmen sowie alle Unternehmen der digitalen Wirtschaft, nicht nur solche, zu deren Geschäftsmodell die Erfassung und Verarbeitung von (personenbezogenen) Daten gehört.
Einige der Neuigkeiten sind grundlegender Natur und können sogar Geschäftsmodelle in Frage stellen. Siemüssen von den Unternehmen daher bereits jetzt adressiert werden, um eine rechtzeitige Anpassung der Geschäftsprozesse und ggf. -modelle bis zum Inkrafttreten des neuen Rechts 2018 sicher zu stellen.
Was ändert sich durch die DSGVO?
Die EU Kommission möchte den Datenschutz ihrer Mitgliedstaaten harmonisieren. Grundlage der europaweiten Datenschutzreform bildet die Datenschutzgrundverordnung (DSGVO). Als Richtlinie gibt sie das künftige Datenschutzrecht vor. Die EU räumt ihren Mitgliedstaaten das Recht ein, ergänzende nationale Regelungen zu treffen. Unternehmen mit Sitz in Deutschland dürften allerdings keine große Veränderung in Bezug auf die bisherige Bestellpflicht eines Datenschutzbeauftragten zu erwarten haben.
- Sanktionen: Der Gesetzgeber meint es ernst mit dem Datenschutz und ist denkbar ganz weit weg, Verstöße als Kavaliersdelikt durchgehen zu lassen. Bei Verstößen dagegen drohen bis zu 20 Mio. Euro oder zwei bis vier Prozent des weltweiten Vorjahresumsatzes des Unternehmens.
- Datenschutzbeauftragte: Nach der DSGVO gehört die „Zusammenarbeit mit den Aufsichtsbehörde“ zu den Aufgaben des Datenschutzbeauftragten (DSB). Zudem können Kunden, Beschäftigte und andere „betroffene Persone“ den DSB zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechts im Zusammenhang stehenden Fragen zu Rate ziehen“ (Art. 38 Abs 4 DSGVO). Damit wird der DSB zur Anlaufstelle für die Aufsichtsbehörden. Der sog. Düsseldorfer Kreis hat hohe Mindestanforderungen zur erforderlichen Fachkunde und den Rahmenbedingungen für den DSB beschlossen.
- Meldepflichten: Unternehmen müssen Datenschutzvorfälle binnen 72 Stunden den Aufsichtsbehörden melden.
- Datenschutz-Folgeabschätzung: Es muss eine Risikobewertung erfolgen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben.
- Auskunftsrecht: Die Betroffenen haben ein umfassendes Auskunftsrecht. Dieses Recht bedeutet allerdings, dass die IT-Systeme und die Verarbeitungsprozesse sehr genau festgelegt sind.
- Recht auf Datenübertragbarkeit (Datenportabilität): Der Betroffene kann seine Daten „mitnehmen“.
- Nachweis-Zertifizierung: Künftig besteht explizit die Möglichkeit, die Erfüllung der gesetzlichen Pflichten durch Zertifizierungen nachzuweisen.
- Sicherheit der Verarbeitung: Es müssen grundlegende technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen getroffen werden (Stichwort: Stand der Technik).
- Werbung: Dies wird spannend dann im Zusammenwirken mit der neuen ePrivacy-Verordnung.
- Rechenschaftspflicht: Wenn Ihr Unternehmen angezeigt wird, sind Sie nur dann „aus dem Schneider“, wenn Sie nachweisen können, dass Sie ein ordnungsgemäßes Datenschutz-System installiert haben. Sie müssen z.B. nachweisen, wann die technischen und organisatorischen Maßnahmen geprüft wurden, wann welches Verfahrensverzeichnis erstellt wurde und wann welche Risikoanalyse durchgeführt wurde. Übliche Nachweise sind Rechenschaftsberichte, die anlassbezogen oder jährlich erstellt werden.
Bei Rückfragen stehen wir Ihnen sehr gerne zur Verfügung. Vereinbaren Sie einfach einen Beratungstermin.