Datenschutzmanagement - Einführung eines Datenschutz-Managementsystems​

Mit SpediHub haben Sie Ihren Datenschutz im Griff.

Gemeinsam mit Ihnen stellen wir ein angemessenes Datenschutzniveau in Ihrem Unternehmen sicher. Wir unterstützen Sie effizient bei der Einführung Ihres Datenschutzmanagement-Systems.
Zum Schutz Ihrer Daten. Zum Schutz vor Abmahnungen.

Tim Iglauer

Das Datenschutzmanagement hilft dabei, den Datenschutz in Ihrer Spedition zu gewährleisten, Daten rechtskonform zu erfassen und zu verarbeiten, Bußgelder aufgrund von Datenschutzverstößen zu vermeiden und die Datenqualität in Ihrem Unternehmen zu erhöhen. Durch die Visualisierung des aktuellen Datenschutzniveaus werden notwendige Handlungsmaßnahmen abgeleitet. Wichtig ist es dann, möglichst schnell eine rechtssichere Außendarstellung zu erarbeiten, um vor möglichen Abmahnanwälten geschützt zu sein.

Generell können Sie für einen datenschutzkonformen Umgang im Unternehmen eine Software einführen, die Sie in der Umsetzung unterstützt. Um im ersten Schritt möglichst kostengünstig zu agieren, verfolgen wir jedoch einen anderen Ansatz. Für die Ist-Analyse verwenden wir einen Fragenkatalog, welchen Sie auch als Nachweispflicht verwenden können, um Ihrer Rechenschaftspflicht nachzukommen. Unterm Strich kann die Datenschutz-Einführung mit der eines Qua­li­täts­ma­nage­ments verglichen werden.

Ist dieser Schritt im Datenschutzmanagement erstmal geschafft, darf nicht der Wind aus den Segeln genommen werden. Ansonsten kann sich die Einführung eines Datenschutzmanagementsystems auch mal ein halbes Jahr hinziehen.

Sollte es doch mal ernst werden, dann zögern Sie nicht zu lang und lesen Sie nach, was Sie tun können!
Mehr zum Thema Datenschutzverletzung

Datenschutzniveau analysieren​

Im Rahmen der Einführung eines Datenschutzmanagement-Systems ist es notwendig zu analysieren, wie das aktuelle Datenschutzniveau aussieht. Folgende Vorgehensweise wird dabei umgesetzt:

  1. Analyse datenschutzrelevanter Themen
  2. Analyse des Datenschutz-IST-Zustands
    Wie gut oder schlecht ist der Datenschutz in den verschiedenen Bereichen des Unternehmens?
  3. Potenzialanalyse
  4. Visuelle Erarbeitung des aktuellen Datenschutzniveaus
  5. Ausarbeitung der Handlungsempfehlungen
  6. Unterstützung in der Umsetzung
Datenschutz Niveau analysieren

Datenschutz effizient einführen

Im Rahmen des Datenschutzmanagements haben wir die Prozesse nach den folgenden Fragestellungen untersucht:

  1. Welche Prozesse könnten bei einem Datenschutzvorfall einen Schaden für den Betroffenen verursachen?
  2. Welches sind die Kernprozesse des Unternehmens?
  3. Bei welchen Prozessen gibt es eine direkte Berührung zu den Kunden und dem Datenschutz in Ihrer Spedition?
  4. Wie kann die Außendarstellung datenschutzsicher erfolgen?
  5. Wie kann ein Verarbeitungsverzeichnis erstellt werden?
  6. Durchführung einer Risikoanalyse zum Schutz personenbezogener Daten
  7. Ausarbeitung von Handlungsempfehlungen für Datenschutzrisiken, z.B. GPS Tracking von Mitarbeitern, Verarbeitung sensibler Gesundheitsdaten etc.
  8. Anpassung relevanter Dokumente hinsichtlich des Datenschutzes in Ihrer Spedition
  9. Implementierung kontinuierlicher Datenschutzprozesse und -kreisläufe; Entwicklung eines Datenschutzmanagements
  10. Technische und Organisatorische Maßnahmen (TOM), damit Datenschutz und IT-Sicherheit miteinander im Einklang stehen
  11. Durchführung von Mitarbeiterschulungen zum Thema Datenschutzmanagement
  12. Erarbeitung von Datenschutzberichten (hoher Stellenwert für die Rechenschaftspflicht)
  13. Netzwerk bei schwierigen Fragen zum Datenschutz

Gerne diskutieren wir Ihre Datenschutzfragen
Sie erreichen mit mich unter 05665 / 180 98 50 oder per E-Mail an tim.iglauer@spedihub.de.

Datenschutzmanagement BASIC

Mit unserem BASIC-Paket erhalten Sie eine vordefinierte Liste, in der Sie die Datenschutzvorfälle in Ihrem Unternehmen erfassen können. Hier können Sie alle notwendigen Informationen (Wiki) zu den jeweiligen Datenschutzvorfällen festhalten. Diese Liste dient Ihrem internen oder externen Datenschutzbeauftragten zur Bearbeitung der Datenschutzvorfälle in Ihrer Spedition.

Bild: DS-Schulung | Datei ID 114221803 | © Kantver | Dreamstime.com

Erweiterter Datenschutz im MEDIUM- und PREMIUM-Paket

Powerapps-Formular für Datenschutzmanagement

Das erweiterte Datenschutzmanagement in unserem PREMIUM-Paket, ist vor allem für diejenigen Speditionen empfehlenswert, die besonders viele personenbezogene Daten verarbeiten. Denn hiermit entfällt ein großer Teil des Verwaltungsaufwandes.

Hier wird jede E-Mail, die an datenschutz@[Ihre-spedition].de geschickt wird, automatisch als Aufgabe in Ihrer Datenschutzliste angelegt. Zudem steht Ihnen hier ein Workflow zur Verfügung, mit dem Sie einen hervorragenden Überblick über sämtliche Datenschutzvorfälle in Ihrem Unternehmen behalten.

Last but not least wird Ihr speditionseigenes Intranet um entsprechende Verfahrensanweisungen erweitert.

Außerdem erhalten Sie mit diesem Paket das Verfahrensverzeichnis, zu dessen Führung jede Spedition gesetzlich verpflichtet ist.

Datensicherheit:
Wie viel Cyber-Risk steckt in Ihren Prozessen?

Um Ihre Datensicherheit zu erhöhen und das Risiko von IT-Sicherheitsvorfällen zu reduzieren, müssen alle relevanten Prozesse, die mit der IT in Berührung kommen, analysiert und am besten in festen Zeiträumen immer wieder auf Veränderungen geprüft werden. Nachhaltig gelingt dies am besten, in dem Sie ein IT-Sicherheits-Management-System einführen.

Das hört sich zunächst berechtigterweise nach einem großen Aufwand an. Wenn Sie ein komplettes Audit anstreben, ist diese Sorge auch nicht unbegründet. Denn ein Audit ist durchaus mit zeitlichem Aufwand verbunden. Ist Ihr Ziel jedoch, erstmal ein grundlegendes, ausreichendes Sicherheitsniveau im Unternehmen zu etablieren, können Sie zunächst auch mit einer vereinfachten Vorgehensweise starten. (Anschließend können Sie dann immer noch ein Audit durchführen.)

Aufgrund der Vielzahl verfügbarer IT-Sicherheits-Maßnahmen ist es sinnvoll, sich bei der Optimierung Ihrer Datensicherheit softwaretechnisch unterstützen zu lassen. Es gibt zum Glück einige Software-Hersteller, die hilfreiche Tools entwickelt haben, um die Komplexität beherrschbar zu machen.

Wir haben uns mit dem ISMS open Source Tool Verinice intensiv auseinandergesetzt. Hierbei wird der gesamte BSI-IT-Grundschutz-Katalog von 716 Seiten strukturiert abgebildet, sodass Handlungsmaßnahmen geplant und nachverfolgt werden können.

Datenschutz: Website wegen DSVGO offline - risikobewusst oder übervorsichtig?

Website Offline oder ohne SSL Zertifikat

Der Datenschutz bei einer Website wird großgeschrieben – vor allem seit der neuen DSGVO. Am 25.05.2018 ist die neue Datenschutzgrundverordnung in Kraft getreten und leider haben sich das viele Berater zu eigen gemacht, um Unternehmen zu verunsichern und schnelle Aufträge zu generieren. Aufgrund der Verunsicherung ist es verständlich, dass viele Unternehmer aus Angst vor Abmahnungen Ihre Website offline genommen haben. Das ist zwar eine nachvollziehbare Vorsichtsmaßnahme, aber nicht wirklich notwendig und vor allem auch nicht sinnvoll. Lesen Sie weiter und ich gebe Ihnen einen Überblick, was Sie tun müssen, um mit wenig Aufwand zu prüfen, ob es ein Risiko bezüglich einer Abmahnung gibt.

Abmahnanwälte haben sich darauf spezialisiert, den Datenschutz bei Websites zu prüfen und Websites, die nicht datenschutzkonform betrieben werden, wegen Wettbewerbsverstößen abzumahnen. Deshalb sollten Sie zumindest darauf achten, dass die Anwälte keinen Grund für eine Abmahnung bekommen. Außerdem sollten Sie darauf achten, dass eine rechtskonforme Außendarstellung der Website umgesetzt wurde. Hierunter fällt auch die Erstellung eines gültigen Impressums.

Wenn Sie auf Ihrer Website Kontaktformulare verwenden, müssen Sie auf der Website ein SSL-Zertifikat einbinden. Warum? Weil personenbezogene Daten (meistens per E-Mail) an Sie übertragen werden, müssen diese gemäß der DSGVO bei der Übermittlung geschützt werden. Da heutzutage immer mehr Firmen von Kontaktformularen absehen, können Sie sich auch überlegen, Ihre Kontaktformulare durch einen einfachen Link zu einer Info-E-Mail-Adresse zu ersetzen. Alternativ können Sie bei Ihrem Website-Provider ein SSL-Zertifikat beantragen und dieses von Ihrem Website-Betreuer einbinden lassen.

Für den Datenschutz Ihrer Website ist außerdem eine korrekte Datenschutzerklärung wichtig. Am einfachsten machen Sie es den Anwälten, wenn der Punkt Datenschutzerklärung auf Ihrer Website gar nicht auftaucht. Wie aufwendig die Erstellung von Datenschutzhinweisen ist, hängt davon ab, wie Sie die Website betreiben. Nutzt man die Website nur zum Präsentieren, seiner Dienstleitungen, so gibt es zum Glück sehr viele gute Muster Datenschutzerklärungen. Wird hingegen ein Online-Shop mit Kartenzahlungsfunktion betrieben, sind die Hinweise nicht mehr so trivial. Hier macht es Sinn, diese noch ein wenig auf die eigene Situation anzupassen und in die eigene Website einzubinden. So hat man mit relativ wenig Aufwand schon die halbe Miete und kann eventuell nervigen und sehr teuren Abmahnanwälten den Wind aus den Segeln nehmen.

Leider passieren Datenschutzvorfälle häufig ungewollt. Zögern Sie deshalb nicht zu lang und lesen Sie nach, was Sie tun können!

Datenschutzverletzung - Was nun?

Datenschutzvorfall Vorgehensweise

Bei einer Datenschutzverletzung sind Sie verpflichtet, diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Als erstes stellt sich zunächst die Frage, welche Vorfälle Sie überhaupt melden müssen. Zum einen müssen Sie dabei prüfen, ob dem Betroffenen, dessen Daten verloren gegangen sind oder an einen falschen Empfänger geschickt wurden, durch die verlorenen Daten ein Schaden entstanden ist oder eventuell noch entstehen kann.

Außerdem müssen Sie prüfen, welche Maßnahmen Sie treffen können, damit es zukünftig nicht noch einmal zu einer derartigen Datenschutzverletzung kommt. Unter bestimmten Voraussetzungen müssen Sie auch die Betroffenen über die Datenpanne informieren.

Wichtig ist, dass Sie diese Entscheidungen im Falle einer Datenschutzverletzung nicht aus dem Bauch heraus treffen, sondern mit Abstimmung einer “fachkundigen Person” im Datenschutz oder eines Datenschutzbeauftragten.

Die Landesdatenschutzbehörde

Zudem können Sie die Landesdatenschutzbehörde um Rat fragen. Hierbei sollte Ihnen jedoch bewusst sein, dass die Landesdatenschutzbehörde eine Entscheidung immer so treffen muss, dass sie für alle gilt, und dass Sie an die Entscheidung der Behörde gebunden sind, wenn Sie hier um Rat gebeten haben.

Im Falle einer Datenschutzverletzung sollten Sie keinesfalls versuchen, diese vor der Landesdatenschutzbehörde zu vertuschen. Wenn Sie einen Vorfall in Ihrem Unternehmen melden, sollte Ihnen bewusst sein, dass eine Meldung eventuell gar keine Auswirkungen hat. Wenn Sie eine Datenschutzverletzung jedoch willentlich nicht melden, kann dies zu einem Bußgeld in Höhe von bis zu 4 Prozent Ihres Jahresumsatzes führen.

Für den Fall, dass es bspw. in einer Spedition zu einer Datenschutzverletzung kommt, können wir Ihnen den folgenden Leitfaden an die Hand geben:

  • Führen Sie eine Schadensanalyse durch:
    1. Sind schutzwürdige personenbezogene Daten verletzt worden?
    2. Welcher Art und Kategorie ist die Datenschutzverletzung?
    3. Wie viele Personen sind von der Datenschutzverletzung betroffen?
    4. Welche Auswirkungen und Folgen könnte die Datenschutzverletzung haben?
    5. Welche Maßnahmen wurden bereits zur Schadensminderung ergriffen?
    6. Wie viele Personen sind von der Datenschutzverletzung betroffen?
  •  Melden Sie die Datenschutzverletzung gegebenenfalls an die Aufsichtsbehörde.
  • Informieren Sie gegebenenfalls den Betroffenen.
  • Leiten Sie eine Strategieentwicklung ein, um derartige Datenschutzverletzungen zukünftig zu vermeiden.

Jetzt kostenlose & unverbindliche IST-Analyse sichern!

Nutzen Sie unseren Rückrufservice oder buchen Sie direkt ein kostenloses Erstgespräch. Wir freuen uns auf Sie!

Ihr Ansprechpartner Tim Iglauer

Telefon: 05665 / 180 98 50
Fax: 05665 / 180 98 51
Mobil: 0177/6506816
E-Mail: tim.iglauer@spedihub.de

DSVGO - Datenqualität

Spätestens mit der Einführung der DS-GVO sollte sich jedes Unternehmen einmal mit seinen verschiedenen Datentöpfen beschäftigt haben. Wenn Sie das bisher noch nicht getan haben, dann geht es Ihnen vermutlich wie vielen anderen in der Speditionsbranche auch.

Anstatt sich mit der Rechenschaftspflicht nach der EU-Datenschutz-Grundverordnung auseinander zu setzen, verfolgen viele Unternehmen die Devise „Wir warten, bis wir dazu aufgefordert werden – ebenso wie bei der Steuererklärung“. Das kann allerdings schnell sehr teuer werden. Denn bei Datenschutzverletzungen sind Unternehmen verpflichtet zu prüfen, ob diese der Aufsichtsbehörde gemeldet werden müssen. Bekommt beispielsweise ein Wettbewerber von dem Datenschutzverstoß mit und meldet dies der Landesaufsichtbehörde ist diese verpflichtet dem nachzugehen.

Kommt die Behörde zum Ergebnis, dass tatsächlich ein Datenschutzverletzung vorliegt, können Sie den teilweise hohen Strafen nur umgehen, wenn Sie nachweisen können, dass Sie trotzdem Datenschutzkonform gehandelt haben

Ablauferleichterung durch GPS vs. GPS-Überwachung

Das Tracking unserer Produkte durch GPS ist nicht mehr wegzudenken. Leider stoßen dabei zwei Welten aufeinander: Organisatorische Ablaufoptimierung und DatenschutzDie Speditionsbranche kommt aufgrund des hohen Kostendrucks und der geringen Marge nicht drumherum, Ihre Touren zu optimieren und entsprechend mit GPS zu tracken. Kunden werden immer anspruchsvoller und verlangen frühzeitig einen aktuellen Status über den Versandprozess, um ihre eigenen Prozesse am Laufen zu halten. 

Risikobewertung zum Datenschutz


Auch die Visualisierung dessen, wo sich welcher Fahrer aktuell befindet, hilft dabei, die Abläufe zu optimieren und die Komplexität zu reduzieren. Beim Thema Datenschutz steht der Schutz personenbezogener Daten im Vordergrund. Hierzu zählen auch standortbezogene Daten des LKWs bzw. des LKW-Fahrers. Auch wenn bislang seitens der Landesdatenschutzbehörden nicht viele Kontrollen durchgeführt wurden, gilt bekanntlich das Motto: Unwissenheit schützt vor Strafe nicht: Sie sollten sich also dennoch um eine datenschutzkonforme Handhabung kümmern.
Mir ist es wichtig, dass Sie sich mit dem Datenschutz bei der GPS-Überwachung auseinandersetzen, da bereits ein einziger Datenschutzvorfall oder eine einzige Beschwerde eines Betroffenen die Landesdatenschutzbehörde zu einer Prüfung veranlassen kann. Einer Prüfung werden Sie nicht ganz entgehen können, aber wie Sie Ihre LKWs weiterhin per GPS tracken können, erfahren Sie im Folgenden. Zunächst müssen Ihre Mitarbeiter schriftlich über die GPS-Überwachung informiert werden. Dies geschieht am einfachsten, indem Sie Ihre Datenschutzhinweise für Mitarbeiter entsprechend anpassen. Da Sie das GPS-Tracking für organisatorische Gründe verwenden, besteht ein berechtigtes Interesse des Unternehmens, diese Daten zu verarbeiten.
Weiterhin ist es wichtig, zu wissen, dass bspw. die Hessische Aufsichtsbehörde bereits eine Liste mit Verarbeitungstätigkeiten veröffentlicht hat, bei denen eine Datenschutzfolgenabschätzung (DSFA) verpflichtend ist. Unter Punkt 8 wird die Geolokalisierung von Beschäftigten aufgeführt.  Um den Anforderungen des Datenschutzes gerecht zu werden, müssen Sie als Spedition also eine Datenschutzfolgenabschätzung verfassen, wenn Sie Ihre LKWs per GPS überwachen.

Welche Folgen hat die Missachtung der Auflage?

In Deutschland ist man es gewohnt, dass man zur Abgabe seiner Steuererklärung aufgefordert wird, wenn man nicht von selbst daran gedacht hat. Da die DSGVO auf europäischen gesetzlichen Grundlagen beruht, wird es für die Rechenschaftspflicht hinsichtlich des Datenschutzes nicht passieren, dass sie an Ihre Pflichten erinnert werden.
Wenn Sie gegen die DSGVO verstoßen, darf eine Aufsichtsbehörde Ihren Fall demnach unmittelbar prüfen und im Falle eines Verstoßes gegen die Regeln zur Geolokalisierung von Mitarbeitern ein Bußgeld in Höhe von 2-4% des Jahresumsatzes verhängen. Bei einem Umsatz in Höhe von 10.000.000 Euro sind das entsprechend zwischen 200.000 – 400.000 Euro. Natürlich kann man sich vor Gericht gegen das Bußgeld wehren, jedoch wird der Richter bzw. die Richterin dann prüfen, ob eine Datenschutz-Folgenabschätzung (DSFA) vorliegt und ob Sie ein Datenschutz Management System (DSMS) in Ihrem Unternehmen eingeführt haben. Ist dies nicht der Fall, werden Sie sich entsprechend schwierig vor dem Bußgeld schützen können.

Datenschutz-Folgenabschätzung (DSFA) durchführen

Gerne unterstütze ich Sie bei der Umsetzung

Tim Iglauer

Datenschutz - Förderung

Da sich alle Unternehmen an die DSGVO halten müssen und die Einführung nicht nebenbei umgesetzt werden kann, unterstützt das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) alle KMUs mit einem Förderprogramm. Unternehmen können in strategischen Entscheidungen unterstützt werden, indem sie die Beratungsleistungen, die sie hierzu in Anspruch nehmen, bezuschussen lassen. Hierzu zählt auch die Einführung eines Datenschutz-Management-Systems. 

Unternehmen, die selbst nicht beratend tätig sind können eine Förderung in Höhe von bis zu 3.000 € in Anspruch nehmen. Der Eigenanteil beträgt 50 Prozent. Befindet sich der Standort in einem der neuen Bundesländer, beläuft sich der Eigenanteil sogar auf nur 20 Prozent.

1. Beispiel-Förderung:

– Mittelständisches Unternehmen, älter als zwei Jahre
– DSGVO Umsetzungsstatus:  Grundlagen
– Einführungskosten: 3.000 €
– Förderquote: 50 % (alte Bundesländer) 

→ Eigenanteil: 1.500 €

2. Beispiel-Förderung:

– Mittelständisches Unternehmen, jünger als zwei Jahre
– DSGVO Umsetzungsstatus: Grundlagen
– Einführungskosten: 3.000 €
– Förderquote 80 % (neue Bundesländer)

→ Eigenanteil: 600 €

Datenschutz-Audit-Ist das notwendig?

Es gibt unterschiedliche Gründe, wieso Firmen ein Datenschutz-Audit durchführen sollten. Zum einen benötigen Sie ein Datenschutz-Audit, um Ihrer Rechenschaftspflicht gerecht zu werden. Außerdem kann ein Datenschutz-Audit notwendig werden, wenn Sie personenbezogene Daten verarbeiten. Zum anderen kann ein Audit notwendig sein, um die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten zu können.

Vorteile eines Datenschutz-Audits

Bei der Einführung eines Datenschutzmanagement-Systems müssen alle Prozesse, in denen personenbezogene Daten verarbeitet werden, daraufhin überprüft werden, ob die Vorgaben der DSGVO eingehalten werden.

Da sich Prozesse in einem Unternehmen immer mal wieder verändern, muss regelmäßig überprüft werden, ob sich durch die Änderung der betrieblichen Abläufe datenschutzrechtliche Rahmenbedingungen verändern.

Die Datenschutzprüfung wird auch dazu genutzt, um zu schauen, inwiefern geplante Handlungsmaßnahmen umgesetzt wurden bzw. welche als nächstes anstehen. Da die Maßnahmen in der Regel unterschiedliche Prioritäten aufweisen und ein angemessenes Kosten-Nutzen-Verhältnis bestehen bleiben sollte, gibt es meist Tätigkeiten, die erstmal bloß notiert, aber nicht direkt umgesetzt werden.
Um das Datenschutzniveau in Ihrem Unternehmen kontinuierlich zu steigern, bietet es sich an, einen Jahresplan für die Durchführung der datenschutzbezogenen Tätigkeiten zu erstellen. Dies bringt gleich mehrere Vorteile mit sich. Zum einen hat die Geschäftsleitung direkt alle notwendigen Maßnahmen inklusive ihrer Priorisierung im Blick. Zum anderen können Sie so der Nachweispflicht gerecht werden und mögliche Bußgelder vermeiden.

Kundenstimmen

Unsere Kunden

Jetzt kostenlose & unverbindliche Erstberatung vereinbaren!

Nutzen Sie unseren Rückrufservice oder schreiben Sie uns eine Mail. Wir freuen uns auf Sie!

Ihr Ansprechpartner Tim Iglauer

Telefon: 05665 / 180 98 50
Fax: 05665 / 180 98 51
Mobil: 0177 / 650 68 16
E-Mail: tim.iglauer@spedihub.de