Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.



Server-Log-Files

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp/ Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Wir behalten uns vor, diese Daten nachträglich zu prüfen, wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden.



    Kontaktformular

    Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

    Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

    Kundeninformation zum Datenschutz

    Sehr geehrte Kundin, sehr geehrter Kunde, der Schutz Ihrer Daten ist uns sehr wichtig. Nach dem Datenschutzrecht sind wir verpflichtet, Sie darüber zu informieren, für welche Zwecke wir Ihre Daten verwenden.





    Verantwortlicher für die Datenverarbeitung

    MC´s Hard & Soft
    Inh. Christoph Göx
    Buhrfeindstr. 42

    27356 Rotenburg
    info@mcs-web.de



    Unser Datenschutzbeauftragter ist zu erreichen unter

    Umbach IT
    Inh. Martin Umbach
    Bahnhofstr. 7a, 28870 Ottersberg
    datenschutz@mcs-web.de



    Zwecke der Verarbeitung

    Wir erheben und verarbeiten Ihre Daten zu folgenden Zwecken:

  • Verkauf, Beratung und Dienstleistungen der IT-Infrastruktur Ihres Unternehmens
  • und / oder

  • Webhosting und Webdesign


  • Sie haben ein Recht auf Auskunft, Berichtigung, Widerspruch und ggf. auf Löschung, sofern dies nicht gegen höheres Recht (Aufbewahrungsfrist für Steuerunterlagen) verstößt.



    Rechnungsdaten:

    Für den Verkauf von Waren und Dienstleistungen besteht die Pflicht, persönliche Daten der Rechnungsempfänger aufzuzeichnen.



    Dokumentationen:

    Für die Erstellung der firmeninternen Dokumentation, werden persönliche und vertrauliche Daten (Passwörter und Zugangsdaten) aufgezeichnet.



    Webhosting:

    Für das Webhosting werden persönliche Daten zur Erstellung von Zugangsdaten bei den Providern und Einträge bei den Registrierungsdatenbanken gespeichert.



    Dauer der Aufbewahrung

    Aufgrund rechtlicher Vorgaben sind wir dazu verpflichtet, diese Daten mindestens 10 Jahre nach Abschluss des Verkaufs / der Dienstleistung aufzubewahren.



    Empfänger Ihrer Daten

    Wir behandeln alle Daten mit einem Höchstmaß an Vertraulichkeit und Diskretion.

    Es werden keine Daten an Dritte weitergegeben.



    Rechtsgrundlage

    Die Rechtsgrundlage für die Datenverarbeitung in unserem Unternehmen ist der zwischen Ihnen und uns bestehende Dienstleistungsvertrag (Art. 6 Abs. 1b DSGVO, i.V.m. Art. 9 Abs. 2 h, Abs 3 DSGVO und §22 Abs. 2 Nr. 1b BDSG), uns bindende gesetzliche Vorgaben, sowie die Verarbeitung zur Erfüllung eigener Geschäftszwecke (Art. 6 Abs. 1f DSGVO).



    Beschwerderecht

    Nach dem Datenschutzgesetz steht Ihnen das Recht zu, sich im Falle von Verletzungen Ihrer Rechte bei der zuständigen Aufsichtsbehörde zu beschweren.

    Mit freundlichem Gruß
    MC´s Hard & Soft
    Christoph Göx

    Die Datenschutz-Grundverordnung DSGVO bzw. EU-DSGVO verpflichtet alle Organisationen, Unternehmen und Freiberufler einen Datenschutz für die gespeicherten bzw. „verarbeiteten“ personenbezogenen Daten sicherzustellen. Diese Verpflichtung kann leider nicht mit dem Kauf eines Buches oder Software und auch nicht mit dem Besuch eines Seminars erledigt werden. Selbst die Benennung eines (externen) Datenschutzbeauftragten erledigt die Aufgabe nicht. Man erwartet, dass Sie diese Verordnung verstehen und Ihren Geschäftsbetrieb ggf. auf die Anforderungen hin organisieren. Was können wir für Sie tun? Wie gesagt, das ist im Schwerpunkt keine IT-Angelegenheit, dennoch gibt es hier häufig auch große Löcher zu stopfen. Hier werden wir gerne helfen, wenn Sie es wünschen.

    Diese betreffen die Bereiche:

  • Information des Betroffenen und Auskunft an den Betroffenen
  • Verschlüsselung von Daten bei der Weitergabe
  • Verbesserung des Schutzes vor unberechtigtem Zugriff und dem Kopieren von Daten.
  • Datenschutzbauftragter Ihres Unternehmens (wird von uns z.Zt. rechtlich geprüft)
  • Der Großteil des Themas liegt außerhalb von Software. Um die Anforderungen der DSGVO zu erfüllen, bedarf es eines „Datenschutz-Managements“, welches Sie umsetzen müssen. Aber auch hier wollen wir gerne Unterstützung leisten. Wir würden empfehlen, das Thema in folgenden Schritten aufzuarbeiten.

    Vorab möchten wir darauf hinweisen, dass wir keine Rechtsberatung erteilen können. Wir geben lediglich Anregungen zur Umsetzung. Diese sollten Sie ggf. mit Ihrem Rechtsberater auf die Anwendung in Ihrem Unternehmen überprüfen.

    DSGVO TOP 10 What to do...



    1. Wer führt das Datenschutz-Management durch?

    Mindestens eine Person im Unternehmen muss sich mit der Thematik auseinandersetzen und entsprechende Vorkehrungen und Regelungen (Strukturen und Verfahren) schaffen. In der Regel ist Datenschutz Chefsache. Ein erfahrener Berater oder (externer) Datenschutzbeauftragter kann dabei helfen, dass die Thematik leichter verstanden und umgesetzt werden kann. In der Regel hat dieser Berater dann auch schon vorgefertigte Arbeitsmittel, Mustertexte usw. die leicht auf die konkreten Gegebenheiten eines Betriebes angepasst werden können. Man muss also nicht mit allem bei Null beginnen. Bestimmen Sie, wer in Ihrem Unternehmen das Thema federführend bearbeiten soll. In der Regel sollte dies jemand sein, der die Organisation des Betriebes versteht und ggf. auch Organisationsveränderungen gestalten und durchsetzen kann.

    2. Benötigen Sie einen Datenschutzbeauftragten?

    Prüfen Sie, ob Sie einen Datenschutzbeauftragten (DSB) benennen müssen. Falls ja, müssen Sie sich um einen internen oder externen Datenschutzbeauftragten kümmern. Der wird Sie unterstützen. Den wesentlichen Teil der Aufgaben werden Sie aber selbst erfüllen müssen, denn der Datenschutzbeauftragte ist zwar Ihr Berater, die Umsetzung des Datenschutzes bleibt aber die Aufgabe der Unternehmesleitung (Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, Pflege des Datenschutz-Managements, Datenschutzfolgeneinschätzungen, etc.).
    Ein Datenschutzbeauftragter muss zwingend benannt werden, wenn in einer Praxis mindestens 10 Personen in Tätigkeiten eingebunden sind, bei denen auch ein Computer zum Einsatz kommt. Es kommt übrigens nicht darauf an, ob es sich um Vollzeit-, Teilzeitkräfte oder Minijobber handelt.

    Falls Sie keinen DSB benennen müssen, können Sie mit den nächsten Schritten starten. Auch wenn eine Pflicht zur Benennung eines DSB in Ihrem Unternehmen nicht besteht, sollten Sie trotzdem eine Benennung in Erwägung ziehen, denn zur Umsetzung dieses Komplexen Themas ist es viel wert einen fachkundigen Berater zur Seite zu haben.

    Arbeitet Ihr Unternehmen mit sensiblen Daten (z.B. Arztpraxis), ist ein Datenschutzbeauftragter auch zu benennen, wenn weniger als 10 Personen mit der automatisierten Verarbeitung von Daten befasst sind, aber im Unternehmen sensible Daten umfangreich verarbeitet werden. Wann eine Verarbeitung als umfangreich gilt, ist im Moment noch nicht entschieden. Klar ist bislang nur: In einem Einzelunternehmen findet keine umfangreiche Verarbeitung statt. Betrifft die Arztpraxen: Die Tendenz der Datenschutz-Aufsichtsbehörden der Länder geht zurzeit dahin, auch in größeren Unternehmen (mit über 10 MA) in der Regel keine umfangreiche Verarbeitung anzunehmen. Damit dürfte für Arztpraxen die Zahl der Mitarbeiter das alleinige Kriterium für die Pflicht zur Benennung eines DSB sein.

    3. Welche Daten verarbeiten Sie?

    Machen Sie sich bewusst, warum Sie wessen Daten verarbeiten (müssen), durch wen die Verarbeitung vorgenommen wird und auf welcher Rechtsgrundlage. Erfolgt dabei eine Weitergabe an Dritte und ggf. auch ins außereuropäische Ausland? Diese Fragen müssen Sie sich stellen. Die Antworten tragen Sie in das Verzeichnis von Verarbeitungstätigkeiten ein. Wir unterstützen Sie gerne bei der Erstellung eines Musters, welches Ihnen als Grundlage bzw. Ausgangspunkt Ihres individuellen Verzeichnisses von Verarbeitungstätigkeiten dienen kann. Da das Verzeichnis für jedes Unternehmen individuell erstellt sein muss, kann eine reine Kopiervorlage diese Aufgabe nicht erfüllen. Das Erstellen des Verzeichnisses von Verarbeitungstätigkeiten ist auch nicht Aufgabe des Datenschutzbeauftragten, sondern der Unternehmensleitung. Der Datenschutzbeauftragte steht Ihnen dabei aber beratend zur Seite.

    4. Risiken und Folgen?

    Im Rahmen des Datenschutz-Managements müssen Sie beurteilen, welche Risiken und Folgen für die Personen entstehen können, wenn mit deren Daten bei Ihnen „etwas passiert“. Das betrifft u.a. die Folgen, wenn diese Daten unberechtigt in die Hände Dritter geraten oder einfach zerstört werde. Hierzu beraten wir Sie gerne.

    5. Was tun Sie, um die Risiken minimieren?

    Als erstes prüfen Sie unbedingt das Impressum/Datenschutzerklärung Ihrer Onlineinhalte. Auch wenn es aktuell schwierig ist einen Fall zu konstruieren, werden sich Abmahnanwälte und Behörden zuerst darauf stürzen!

    Schauen Sie bitte auch hierzu auf die Checkliste "Wie sicher ist mein Unternehmen?" Durch geeignete Vorkehrungen und Regelungen (Strukturen und Verfahren) können Sie die von Ihnen erkannten Risiken reduzieren. Dies sind die sogenannten TOMs, die technischen und organisatorischen Maßnahmen. Diese reichen von der Schließanlage in der Schließanlage in Ihrem Unternehmen bis zur regelmäßigen Datensicherung. Vieles liegt hier außerhalb der EDV, jedoch können wir aufgrund unserer langjährigen Erfahrung im Bereich Sicherheit und Alarmsysteme auch hier, ggf. mit der Hilfe von Partnerunternehmen helfen.

    6. Was tun, wenn es doch zu einer Datenschutz-Störung kommt?

    Die DSGVO kennt eine Meldepflicht bei Störungen, z.B. wenn Ihnen mal eine Kundenakte oder vertrauliches Dokument verlorengegangen ist. In dem Fall müssen Sie die Aufsichtsbehörde (also den Datenschutzbeauftragten Ihres Bundeslandes) benachrichtigen. In besonderen Fällen müssen Sie auch die Kunden persönlich benachrichtigen – oder wenn das nicht geht: per Aushang in Ihrem Unternehmen. Gerade für den Fall einer meldepflichtigen Störung ist es von Vorteil einen Datenschutzbeauftragten an der Seite zu haben, der die Kommunikation mit der Aufsichtsbehörde für Sie übernimmt.

    7. Wie informieren Sie über den Umgang mit personenbezogenen Daten richtig?

    Ab dem 25.05.2018 sollten Sie sicherstellen, dass alle Personen, deren Daten Sie verarbeiten, darüber informiert sind, für welche Zwecke Sie die Daten verwenden, an wen Sie diese ggf. weitergeben und ggf. wie lange Sie diese Daten nutzen werden. Außerdem müssen Sie u.a. darüber informieren, dass die Person ein Recht auf Auskunft, Berichtigung, Widerspruch und ggf. auf Löschung hat.

    8. Datenzugang für Dritte nur mit Vereinbarung!

    Sie müssen mit allen Dritten, denen Sie ggf. Zugang zu den Daten gewähren, Datenschutz-Vereinbarungen treffen. Das kann der Lettershop sein, der Ihre Weihnachtskarten verschickt, Ihre IT-Betreuer oder auch der Softwarelieferant, der per Fernwartung zugreift. Als Kunde erhalten Sie für den Bereich IT noch vor dem 25.05.2018 einen entsprechenden AV-Vertrag.

    9. Schulen Sie Ihre Mitarbeiter!

    Stellen Sie sicher, dass alle Mitarbeiter auf das Thema Datenschutz sensibilisiert sind. Schulen Sie dies u.a. auf die von Ihnen eingerichteten Vorkehrungen und Regelungen (Strukturen und Verfahren), mit denen Sie den Datenschutz in Ihrem Unternehmen sicherstellen. Dokumentieren Sie die Schulung. Es kann zweckmäßig sein, auch die Mitarbeiter eine entsprechende Vereinbarung unterschreiben zu lassen.

    10. Erstellen Sie eine Dokumentation zu Ihrem Datenschutz-Management!

    Die DSGVO verpflichtet Sie, Ihre Überlegungen bzw. Maßnahmen zu dokumentieren. Die Ergebnisse aus den vorstehenden Punkten bilden das schon weitgehend ab. Insbesondere von Ihnen durchgeführte Risikoanalysen und Protokolle über Schulungen sollten Sie in die Dokumentation aufnehmen.



    Zu guter Letzt ein paar Worte zu Beruhigung. Die Welt wird sich auch nach dem 25.05.2018 weiter drehen und auch allen Datenschutzexperten rauchen die Köpfe, weil viele Dinge einfach auch noch nicht geregelt sind. Unser Rat: Verfallen Sie nicht in hektig, sondern fangen in Ruhe und dennoch mit der nötigen Hingabe an, Schritt für Schritt das Thema anzugehen. Wir unterstützen Sie dabei!

    Checkliste IT‐Sicherheit und DSGVO

    Oft wird einem die Wichtigkeit der IT-Sicherheit erst bewusst, wenn ein Schaden entstanden ist. Jedoch sind IT-System heutzutage Lebensadern von kleinen und großen Unternehmen. Ein Ausfall kann teuer werden – bis hin zur Insolvenz. Hinzu kommt, dass personenbezogene Daten einem besonderen gesetzlichen Schutz unterliegen. Dieser wird ab dem 25. Mai 2018 mit der europäischen Datenschutzgrundverordnung geregelt. Datenschutzbehörden können bei Verstößen gegen geltende Verordnungen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist, festsetzen. Dazu können Schadensersatzforderungen von Geschädigten kommen.

  • Die Datenschutzgrundverordnung betrifft auch kleine Unternehmen maßgeblich.
  • Bei groben Verstöß droht die persönliche Haftung der Geschäftsführer
  • Schutzmaßnahmen sind daher zwingend. Zusätzlich drohen ab Mai 2018 Abmahnungen durch Mitbewerber oder Abmahnvereine.
  • Die folgende Checkliste beinhaltet die minimalen Anforderungen, die Unternehmen jeder Größe mindestens erfüllen müssen.

    Physikalische Sicherheit und Zugangskontrolle

    1.1 Sie haben einen Einbruchsmelder/eine Alarmanlage
    1.2 Sie haben einen Brandmelder
    1.3 Die Stromversorgung ist gesichert (USV)
    1.4 Sie haben einen kontrollierten Zugang für Kunden, Dienstleister, Mitarbeiter?
    1.5 Ihr Zugang zu Telekommunikation und DSL ist stabil
    1.6 Die vorherigen Punkte sind dokumentiert

    Server

    2.1 Auf dem Server läuft ein aktuelles Betriebssystem Es werden automatisch alle Patches und Updates installiert
    2.2 Unbenutzte Software wurde deinstalliert
    2.3 Auf dem Server läuft eine Benutzerverwaltung
    2.4 Konten von ehemaligen Usern sind deaktiviert
    2.5 Die Funktionalität des Servers wird überwacht
    2.6 Alte Geräte werden fachgerecht gelöscht/entsorgt
    2.7 Die vorherigen Punkte sind dokumentiert

    PC & Laptops / Clients

    3.1 Anwender melden sich an den Clients über die Benutzerverwaltung an
    3.2 Die Passwörter haben eine ausreichende Länge und sind unterschiedlich
    3.3 Die Passwörter müssen alle 90 Tage geändert werden
    3.4 Wird der Client 5 Minuten nicht genutzt, so wird der Anwender abgemeldet
    3.5 Auf den Clients läuft ein aktuelles Betriebssystem
    3.6 Es werden automatisch alle Patches und Updates installiert
    3.7 Es läuft immer ein aktueller Virenscanner
    3.8 Es können keine USB-Geräte angeschlossen werden
    3.9 Alte Geräte werden fachgerecht gelöscht/entsorgt
    3.10 Die vorherigen Punkte sind dokumentiert

    Smartphones, Tablets

    4.1 Es wird aktuelle Software genutzt
    4.2 Passwortschutz wird genutzt
    4.3 Nur notwendige Apps sind installiert Netzwerk

    WLAN & Internet

    5.1 Ihr WLAN ist deaktiviert oder verschlüsselt
    5.2 Gäste und Kunden nutzen Ihr Gast-WLAN, nicht das firmeninterne WLAN
    5.3 Sie nutzen VPN
    5.4 Sie nutzen eine Firewall
    5.5 Die vorherigen Punkte sind dokumentiert

    Backup

    6.1 Es gibt ein regelmäßiges Backup
    6.2 Das Backup ist verfügbar
    6.3 Das Backup ist gegen Diebstahl oder Brand gesichert
    6.4 Rücksicherung ist möglich
    6.5 Die vorherigen Punkte sind dokumentiert

    Website/ Homepage

    7.1 Die Homepage wird per SSL verschlüsselt
    7.2 Die Software erhält regelmäßige Updates
    7.3 Das Webhostingpaket nutzt aktuelle Software
    7.4 Zugangspasswörter werden regelmäßig gewechselt
    7.5 Wird eine aktuelle Datenschutzerklärung verwendet
    7.6 Genügt das Impressum der aktuellen Gesetzeslage
    7.7 Sammeln Sie nur notwendige personenbezogene Daten und klären Sie den Besucher darüber auf
    7.8 Google Analytics oder andere Analysesystem: Hier gelten verschärfte Vorschriften.
    7.9 Cookie Hinweise: Einsatz muss geprüft werden
    7.10 Newsletter-Anmeldung nur per Double-Opt-In

    Emails

    8.1 Es wird ausschließlich die verschlüsselte Übertragungstechnik verwendet - STARTTLS oder SSL
    8.2 Das Emailsystem nutzt Antivirensoftware
    8.3 Es gibt Verhaltensvorschriften für die Öffnung von Anhängen und Links
    8.4 Sollten Massen-E-Mails versendet werden, so stehen die Empfänger im Feld „Blindkopie bcc“

    Mitarbeiter

    9.1 Es gibt Verhaltensvorschriften für die Öffnung von Anhängen und Links aus Emails
    9.2 Es gibt Verhaltensvorschriften für die Nutzung des Web und von Browsern
    9.3 Jeder Mitarbeiter hat eigene Zugangsdaten
    9.4 Mitarbeiter kennen die Gefahren und handeln umsichtig mit Daten
    9.5 Zuständigkeiten sind geklärt und dokumentiert (Notfälle, Rücksicherungen, TK Anlage)

    Notfall

    10.1 Es gibt eine Dokumentation aller Maßnahmen und Passwörter
    10.2 Es gibt einen Maßnahmenplan für Notfälle
    10.3 Wichtige Ansprechpartner und Adressen sind verzeichnet.

    Personenbezogene Daten / Datenschutz

    11.1 Bestandsaufnahme von personenbezogenen Daten:
    1. Verarbeitung von Kundendaten
    2. Verarbeitung von Beschäftigtendaten
    3. Verarbeitung von Kinder-Daten
    4. Verarbeitung von Daten für Dritte als Auftragsverarbeiter

    11.2 Zulässigkeit der Verarbeitung:
    Sie benötigen für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Dies kann eine gesetzliche Regelung oder eine Einwilligung der Betroffenen sein.

    11.3 Betroffenenrechte und Informationspflichten
    1. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
    2. Zwecke und Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten
    3. Dauer der Speicherung, ggf. Kriterien für die Festlegung der Speicherdauer
    4. Hinweis auf Betroffenenrechte
    5. Bei Datenverarbeitung auf Basis von Einwilligungen: Hinweis auf Recht zum Widerruf
    6. der Einwilligung
    7. Recht auf Beschwerde bei der Aufsichtsbehörde
    8. Herkunft der Daten
    9. Recht auf Auskunft
    10. Recht auf Berichtigung
    11. Recht auf fristgemäße Löschung der verarbeiteten Daten
    12. Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit

    11.4 Prüfen Sie, ob Sie einen Datenschutzbeauftragen brauchen

    11.5 Erstellen Sie eine Dokumentation über die Daten (Verfahrensverzeichnis):
  • Wo fallen diese Daten an?
  • Wer verarbeitet die Daten?
  • Welche Daten fallen an? Zweckbestimmung!
  • Wer hat Zugriff?
  • Beschreibung der Kategorien betroffener Personengruppen (Beschäftigte, Interessenten, Lieferanten, Kunden/Gäste, Beschäftigte von Kunden oder Lieferanten, Sonstige)
  • Beschreibung der diesbezüglichen Daten oder Datenkategorien (Beschäftigtendaten, Interessentendaten, Lieferantendaten, Kundendaten/Gastdaten, Beschäftigtendaten von Kunden oder Lieferanten, sonstige Daten)
  • Interne Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt sind oder werden (Abteilung, Person usw.)
  • Externe Empfänger oder Kategorien von Empfängern, denen die Daten offengelegt sind oder werden (Firma, Name usw.)
  • Datenübermittlung in ein Drittland? Wenn ja, welches?
  • Wo werden die Daten gespeichert?
  • Wie können die Daten gelöscht werden

  • 11.6 Prüfen Sie Verträge mit anderen Unternehmen (so genannte Auftragsverarbeitungsverträge), bei denen personenbezogene Daten ausgetauscht werden:
    Allgemein:
  • Liegt der Vertrag vor?
  • Gegenstand und Dauer des Auftrags
  • Art und Zweck der Verarbeitung
  • Art der Daten
  • Kategorien betroffener Personen
  • Technische und organisatorische Maßnahmen (TOMs) gem. Art 32 Abs. 1 DSGVO
  • Rechte des Verantwortlichen (Kontrollen)
  • Weisungsbefugnisse des Verantwortlichen

  • 11.7 Mitarbeiter sind im Umgang mit personenbezogenen Daten geschult.

    11.8 Meldepflicht
    Haben Sie in Ihrem Unternehmen einen Prozess zur Meldung von Datenschutzverstößen an die Aufsichtsbehörde eingeführt (Art. 33 DS- GVO)?
  • Haben Sie dabei insbesondere auch die Einhaltung der Meldefrist von 72-Stunden beachtet?
  • Wer ist in Ihrem Unternehmen für die Meldung zuständig?

  • 11.9 Prüfen Sie die Notwendigkeit einer Datenschutzfolgeabschätzung

    11.10 Dokumentation
  • Können Sie die Einhaltung aller vorstehend genannten Pflichten/Anforderungen (schriftlich) nachweisen?
  • Wie stellen Sie sicher, dass Ihre Dokumentation immer auf dem neuesten Stand ist?

  • 11.11 Überprüfungszyklus einführen