Was sind technische und organisatorische Maßnahmen (TOMs)?
Um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, werden die ermittelten Maßnahmen in Form einer Dokumentation, schriftlich beschrieben und festgehalten. Diese TOMs enthalten, darüber hinaus Handlungsempfehlungen. Je sensibler die Daten, desto detaillierter müssen die Maßnahmen sein.
Unter technischen und organisatorischen Maßnahmen sind alle Schutzmaßnamen zu verstehen, die physisch und durch Handlungsanweisungen umgesetzt werden.
Technische Beispiele:
- – Sicherung von Fenstern und Türen
- – Alarmanlagen
- – Bauliche Maßnahmen
- – Benutzerkonto
- – Datenträgerverschlüsselung
- – Protokollierung (Logs)
- – Benutzeridentifikation
Organisatorische Beispiele:
- – Arbeitsanweisungen
- – Besucheranmeldungen
- – Regelmäßige Datenschutz-Audits
- – Vier-Augen-Prinzip
Zur erfolgreichen Einhaltung der geltenden rechtlichen Vorgaben erhalten Sie von uns nach der Analyse alle notwendigen Hilfestellungen.
CANNAprivacy unterstützt Sie bei der umfangreichen Dokumentation Ihrer Datenschutzmaßnahmen und bei der Umsetzung Ihres Datenschutzmanagements.
Wer erstellt die Datenschutz-Dokumentation?
Die Dokumentation des Verzeichnisses der Verarbeitungstätigkeiten sowie alle vorzunehmenden technischen und organisatorischen Maßnahmen erstellen wir gemeinsam.
Wann ist eine Datenschutz-Dokumentation Pflicht?
Sind in Ihrem Unternehmen mehr als 250 Mitarbeiter tätig, sind Sie grundsätzlich dazu verpflichtet, solch eine Datenschutz-Dokumentation zu erstellen.
Bei weniger als 250 Mitarbeitern gibt es Ausnahmen, die dafür notwendigen Kriterien können allerdings kaum erfüllt werden.
Sobald die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder besonderen Datenkategorien gem. Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO verarbeitet werden, besteht eine Dokumentationspflicht.
Daher ist davon auszugehen, dass eine Datenschutz-Dokumentation grundsätzlich durchzuführen ist.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse mit dem Ziel, bereits im Voraus Schutzmaßnahmen für die Rechte und Freiheiten Betroffener ergreifen zu können.
Birgt eine Form der Verarbeitung dahingehend ein hohes Risiko für natürliche Personen, führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Darunter fällt beispielsweise besonders die Nutzung neuer Technologien, Profiling-Maßnahmen sowie Scoring-Verfahren oder der Einsatz von Überwachungssystemen, wie z. B. die Videoüberwachung.
Sobald Sie z. B. Gesundheitsdaten verarbeiten oder eine Videoüberwachung einführen oder andere Datenkategorien nach Art. 9 DSGVO verarbeiten, dann besteht die Verpflichtung, dass ein Datenschutzbeauftragter benannt wird.
Wie werden Mitarbeiterschulungen durchgeführt?
Ihre Mitarbeiter werden online oder vor Ort geschult und erfahren in ca. 90 Minuten wichtige Inhalte rund um den Datenschutz. Jeder Mitarbeiter bzw. Teilnehmer erhält anschließend eine Teilnahmebestätigung.
Was ist eine Auftragsverarbeitungsvereinbarung (AVV)?
Eine Auftragsverarbeitungsvereinbarung kommt zustande, sobald eine Verarbeitung personenbezogener Daten durch Externe beauftragt wird – wobei die Verantwortung zur ordnungsgemäßen Datenverarbeitung dem Auftragnehmer obliegt.
Wie ist der Datenschutz-Audit gestaltet?
Das Datenschutz-Audit ist der Beginn unserer Zusammenarbeit und soll Ihnen so bequem wie möglich bereitet werden.
Daher können Sie selbst wählen, ob wir telefonieren, Videotelefonie umsetzen oder uns vor Ort sehen.
Dabei werden Ihre Unternehmensprozesse analysiert, bei der es zur Verarbeitung von personenbezogenen Daten kommt.
Auf dieser Basis werden die notwendigen Dokumentationen und Handlungsempfehlungen für Ihr Unternehmen, Verein oder Genossenschaft erstellt.
Ist Datenschutz ein Qualitätsmerkmal?
In Zeiten wachsender Überwachungsmöglichkeiten und Informationsquellen wird der Bedarf an dem Schutz der persönlichen Daten zunehmend wichtig.
Die Bevölkerung wird sensibler bezüglich dem Umgang mit personenbezogenen Daten, wohingegen viele Unternehmen den Datenschutz lediglich als zusätzlichen Kostenfaktor sehen.
Unternehmen, Vereine und Genossenschaften, die in Datenschutz als Qualitätsmerkmal investieren, reduzieren damit nicht nur Risiken, sondern erhöhen damit auch die Vertrauenswürdigkeit in Ihrer Außendarstellung.
Wann wird ein Datenschutzbeauftragter benötigt?
Sobald mehr als 19 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG n.F.), ist es Pflicht einen Datenschutzbeauftragten zu benennen – unabhängig ob firmenintern oder in Form eines externen Dienstleisters.
Sollten Sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung (DSFA) unterliegen, sind Sie in jedem Fall zur Benennung eines Datenschutzbeauftragten verpflichtet.
Das gilt unverzüglich, sobald Sie z. B. Gesundheitsdaten verarbeiten.
Gibt es Konsequenzen beim Verstoß gegen die Datenschutz-Grundverordnung (DSGVO)?
Bei Verstößen gegen die geltenden Bestimmungen werden Geldbußen von bis zu 20 Millionen Euro oder
von bis zu 4 % des gesamten erzielten Jahresumsatzes (weltweit) des vorangegangenen Geschäftsjahres aufgerufen – was sich wohlbemerkt danach richtet, welcher der Beträge höher ist.