Datenschutzmanagement - mit System einführen

Mit SpediHub haben Sie Ihre Daten im Griff

Gemeinsam mit Ihnen stellen wir ein angemessenes Datenschutzniveau in Ihrem Unternehmen sicher. Wir unterstützen Sie effizient bei der Einführung Ihres Datenschutzmanagement-Systems.
Zum Schutz Ihrer Daten. Zum Schutz vor Abmahnungen.

Tim Iglauer

Datenschutzgesetz ist Auslegungssache

Nicht nur Datenschutzbeauftragte sind sich uneinig, wie der eine oder andere Paragraf in der DSGVO ausgelegt werden soll, sondern auch die Aufsichtsbehörden. Von daher ist es notwendig, die aktuelle Rechtsprechung zu verfolgen, um schnell agieren zu können, bevor Abmahnanwälte Sie auf die Neuerungen aufmerksam machen.

Unternehmen sind verpflichtet, ein angemessenes Datenschutzniveau zu gewährleisten. So fordert es die Datenschutz-Grundverordnung DSGVO seit dem 25. Mai 2018. In der Praxis beobachten wir allerdings, dass sich ein erheblicher Teil der Unternehmer mit unzureichenden Erstmaßnahmen begnügt. Eine vertiefte Auseinandersetzung mit dem Thema Datenschutz wird dann „auf später“ verschoben, in der Hoffnung, dass ein Datenschutzvorfall ausbleibt.

Bereits ein Konflikt mit einem Kunden oder Wettbewerber kann jedoch in einer Meldung bei der Datenschutzbehörde gipfeln, die verpflichtet ist, der Anzeige nachzugehen. Der Strafrahmen sollte alle Logistikunternehmen dazu bewegen, Datenschutz ernst zu nehmen:

❞ … werden Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist …❝ (Art. 83 Abs. 5 DSGVO)

Für Sie als Unternehmer bedeutet Datenschutz unter dem Strich: 
Sie müssen nachweisen können, dass die Datenverarbeitung in Ihrem Unternehmen DSGVO-konform erfolgt. Diesen Nachweis können sie jedoch nur erbringen, indem sie Ihren Dokumentationspflichten nachkommen.

Wie bekommen Sie Ihren Datenschutz schnell in den Griff?

Prinzipiell können Sie Ihren Dokumentationspflichten nachkommen, indem Sie alle relevanten Themen in Microsoft-Word abarbeiten und in einer Ordnerstruktur speichern. Deutlich effizienter wird die Sicherstellung des Datenschutzes in Ihrer Spedition mit softwaretechnischer Unterstützung. Nutzerfreundliche Datenschutzmanagement-Software gibt es bereits zu überschaubaren Kosten. Generell empfehlen wir Ihnen, im Unternehmen eine Software einzuführen, die Sie in der Umsetzung der Datenschutzrichtlinien unterstützt.

Mit einem sauber aufgesetzten Datenschutzmanagementsystem

  • gewährleisten Sie den Datenschutz in Ihrer Spedition
  • können Sie Daten rechtskonform erfassen und verarbeiten
  • vermeiden Bußgelder und
  • erhöhen die Datenqualität in Ihrem Unternehmen.

Mit einem Datenschutzmanagement-System können Sie das geforderte Datenschutzkonzept nach Vorgaben der DSGVO in Ihrem Unternehmen umsetzen. So erfüllen Sie unkompliziert Ihre Nachweispflicht.

Systematischer Datenschutz – so unterstützen wir Sie

Eine wohlstrukturierte Einführung eines Datenschutzmanagementsystems ist gleichbedeutend mit einer ressourcenschonenden Einführung eines DSMS. Aufgrund unserer langjährigen Erfahrung haben wir hierfür eine effiziente Struktur entwickelt, die alle relevanten Pflichten aus der DSGVO abdeckt. Ausgangspunkt ist die Sichtung Ihres Verarbeitungsverzeichnisses und die Analyse Ihres aktuellen Datenschutzniveaus.

Tim
Tim Iglauer

Datenschutzniveau analysieren​

Bevor wir Ihr Datenschutzmanagement-System aufsetzen, werden wir zuerst Ihr aktuelles Datenschutzniveau analysieren. Wir gehen dabei streng systematisch vor:

  1. Analyse datenschutzrelevanter Themen
  2. Analyse des Datenschutz-IST-Zustands
    Wie gut oder schlecht ist der Datenschutz in den verschiedenen Bereichen des Unternehmens?
  3. Potenzialanalyse
  4. Visuelle Erarbeitung des aktuellen Datenschutzniveaus
  5. Ausarbeitung der Handlungsempfehlungen
  6. Unterstützung in der Umsetzung
Datenschutz Niveau analysieren

Datenschutz-Risikoanalyse durchführen

Damit Sie erkennen, wie hoch das Risiko bei der Verarbeitung personenbezogener Daten in Ihrem Unternehmen ist, empfehlen wir Ihnen, eine Risikoanalyse durchzuführen. Dies kann klassisch auf einem Blatt Papier oder softwareunterstützt durchgeführt werden. Bei beiden Vorgehensweisen wird das Risiko für eine Person betrachtet, deren personenbezogene Daten verarbeitet werden.
Ziel der Risikoanalyse ist es, mögliche Schäden von einem Betroffenen abzuwenden, wenn dessen Daten in unbefugte Hände gelangen.

Hierbei gilt der Grundsatz: Je sensibler die zu verarbeitenden Daten sind, desto größer ist der Schutzbedarf.

Steigender-Schutzbedarf bearbeitet

Aus der Risikoanalyse lässt sich ableiten, ob in Ihrem Unternehmen zusätzliche Maßnahmen getroffen werden müssen, um die verarbeiteten Daten vor Missbrauch zu schützen.

Datenschutz Risikoanalyse inkl. Nachweis-Dokumente

Für Logistikunternehmen ist in diesem Zusammenhang relevant, dass eine Verpflichtung besteht, bei der Verarbeitung von biometrischen oder mitarbeiterbezogenen GPS-Daten eine Datenschutzfolgeabschätzung durchzuführen.
Die Aufsichtsbehörden der Bundesländer haben eine Liste der Tätigkeiten veröffentlicht, bei denen eine Datenschutzfolgeabschätzung zwingend erforderlich ist. Allerdings ist die Liste nicht abschließend. Wenn ein Verarbeitungsvorgang nicht auf der Liste aufgeführt ist, darf nicht per se geschlussfolgert werden, dass sich eine Datenschutz-Folgenabschätzung erübrigt. Hier wäre dann zu prüfen, ob einer der Fälle aus Art. 35 Abs. 3 DSGVO oder ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt.

Grafische Darstellung einer Risikoauswertung:

Datenschutz Risikoanalyse

Zu den Vorteilen der softwaregestützten Risikobewertung gehört, dass eine grafische Darstellung generiert wird.
Diese stellt das aktuelle Risikoniveau auf einen Blick visuell dar.

Was Sie zur Datenschutzfolgeabschätzung (DSFA) wissen müssen

Eine Datenschutz-Folgenabschätzung soll eine evtl. eintretenden Schaden von Dritten durch die Veröffentlichung oder unrechtmäßige Verarbeitung von personenbezogenen Daten verhindern.

Im Grunde handelt es sich hierbei um eine Risikobewertung. Das heißt, es werden Eintrittswahrscheinlichkeit und Schadensausmaß eines möglichen Datenschutzvorfalls abgeschätzt. Zusätzlich hat eine Datenschutz-Folgenabschätzung das Ziel, die Risiken im Zusammenhang mit einem Datenschutzvorfall zu minimieren. Das heißt, Sie müssen Maßnahmen ausarbeiten, um hohe Risiken auf ein akzeptables Maß zu reduzieren. Gelingt Ihnen dies nicht, müssen Sie das der Datenschutzbehörde melden.

Datenschutz-Folgenabschätzung durchführen

Aus unserer Sicht lassen sich Risiken am besten beurteilen, wenn die Ergebnisse der Datenschutz-Folgeabschätzung visualisiert werden. In der Abbildung sehen Sie ein Beispiel, wie die in einer DSFA ermittelten Risiken kategorisiert werden können:
Die grün gefärbten Bereiche verbleiben in der Überwachung, jedoch ist es nicht nötig, weitere Maßnahmen zu ergreifen.
Für Verarbeitungstätigkeiten, deren Ergebnis aus Eintrittswahrscheinlichkeit und Schadenshöhe sich im orangenen Bereich wiederfindet, müssen Maßnahmen entwickelt werden, um ein Schadensszenario abzumildern.
Rote Bereiche erfordern eine priorisierte Behandlung.

Für die Bewertung der Schadenshöhe kann man bspw. bei einem geringen finanziellen Schaden von 1–2 Monatsgehältern ausgehen, bei einem kritischen Schaden von einem Jahresgehalt und katastrophal wäre eine Insolvenz.

Schützen Sie mit die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner, wir unterstützen Sie gerne dabei.

Datenschutz-Folgenabschätzung bei GPS-Tracking

Das populäre GPS-Tracking gehört in der Speditionsbranche seit Jahren zu den Standardanwendungen. Es dient nicht nur der Optimierung des Verwaltungsaufwandes, sondern spart vor allem Zeit und Geld. Speditionen, die eine GPS-Ortung einsetzen, kommen jedoch nicht um eine Datenschutz-Folgenabschätzung herum.

Im Fall des GPS-Tracking geht es darum die Persönlichkeitsrechte des Mitarbeiters zu schützen. Werden die Ortungsdaten ausschließlich für organisatorische Zwecke oder zum Schutz des Lkw verwendet, kann eine Rechtmäßigkeit der Verarbeitung abgeleitet werden.
Würden die Daten jedoch darüber hinaus, für die Überwachung von Mitarbeitern verwendet, wäre dies eine unzulässige Verarbeitung von personenbezogenen Daten.

Speditionen sind daher verpflichtet, eine Datenschutz Folgenabschätzung durchzuführen. Hier wird analysiert, welches Risiko durch die Verarbeitung von Ortungsdaten für die Mitarbeiter besteht. Werden Risiken identifiziert, müssen diese durch entsprechende Maßnahmen soweit abgemildert werden, dass für den Mitarbeiter kein hohes Risiko durch die Verarbeitung von personenbezogenen Daten bestehen bleibt.

GPS-Tracking in der Spedition

In diesem Abschnitt erhalten Sie eine kurze Zusammenfassung, worauf Sie beim Tracking Ihrer Lkw und somit auch Mitarbeiter aus datenschutzrechtlicher Sicht achten müssen.

Eine Rechtsgrundlage für den Einsatz von Ortungssystemen bietet Art. 6 Abs. 1 DSGVO. Ein legitimer Zweck wäre es demnach, “wenn die Verarbeitung der Daten für die Erfüllung eines Vertrags […] oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist” (Art. 6 II b) oder wenn “die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]” (Art. 6 II f).

Eine weitere Rechtsgrundlage wäre Art. 7 Abs. 1 DSGVO, wonach der Arbeitnehmer in die Datenverarbeitung (das GPS-Tracking) schriftlich einwilligen kann. Allerdings darf der Arbeitnehmer seine Zustimmung jederzeit widerrufen. Die GPS-Ortung lediglich auf die schriftliche Einwilligung des Arbeitnehmers zu stützen – für die zudem strenge Formvorschriften gelten –, ist im Speditionsalltag also nicht unproblematisch.

Empfehlungen für das GPS-Tracking
• Gestalten Sie Ihre GPS-Überwachung datenschutzkonform
• Verschaffen Sie sich ein aktuelles Bild durch eine Datenschutzniveau-Analyse
• Führen Sie eine Datenschutz-Folgenabschätzung durch
• Minimieren Sie Haftungsrisiken

Was ist beim GPS-Tracking zu beachten?
In der Regel werden dienstliche Endgeräte wie Smartphones, Tablets oder Navigationsgeräte aus organisatorischen Gründen getrackt. Allerdings lässt sich dabei auch feststellen, ob bei einem Mitarbeiter unverhältnismäßig lange Wartezeiten auftreten oder unnötige Wegstrecken zurückgelegt werden. Werden diese Daten gegen den Mitarbeiter verwendet, kann er sich bei der Landesdatenschutzbehörde über Ihr Vorgehen beschweren. Die Behörde ist dann verpflichtet, eine Prüfung wegen unzulässiger Datenverarbeitung durchzuführen.

Noch gravierender ist es, wenn das private Smartphone des Mitarbeiters dienstlich verwendet und entsprechend getrackt wird. In diesem Fall würde ein starker Eingriff in dessen Persönlichkeitsrechte vorliegen, der auch kaum mit einer Einwilligung des Mitarbeiters zu legitimieren ist.

Zusammenfassung GPS-Tracking für Speditionen:

Wenn Sie weitere Informationen zum GPS-Tracking möchten, empfehle ich Ihnen meinen Leitfaden für datenschutzkonforme Videoüberwachung und GPS-Ortung in Speditionen:

Erstgespräch

Tim

Ihr Ansprechpartner Tim Iglauer

Telefon: 05665 / 180 98 50
Mobil: 0177 / 650 68 16
E-Mail: tim.iglauer@spedihub.de

Datenschutzaudit – ist das notwendig?

Zunächst einmal: Es handelt sich bei dem sogenannten Datenschutzaudit um eine Prüfung auf freiwilliger Basis. Jedoch gibt es drei gute Gründe, wieso solch ein Audit sinnvoll für Ihre Spedition ist.
1. Mit einem Datenschutz-Audit wird geprüft, ob die Prozesse Ihrer Spedition datenschutzkonform ablaufen. Daher ist es ein wirksames Instrument, um Ihrer Rechenschaftspflicht nachzukommen. Mit dem Audit belegen Sie gegenüber der Aufsichtsbehörde die Einhaltung der datenschutzrechtlichen Anforderungen in Ihrer Spedition.
2. Wenn Sie noch kein Datenschutzkonzept ausgearbeitet und umgesetzt haben, ist ein Audit der geeignete Weg zum Konzept. Im Audit erfolgt eine Ist-Analyse des Datenschutzes im Unternehmen. Sämtliche relevante IT-Prozesse und Verfahren werden analysiert, Risiken ermittelt und konkrete Handlungsempfehlungen erarbeitet. Indem Sie diesen Maßnahmen folgen, führen Sie systematisch ein Datenschutzmanagement ein. Dies gilt als nachweisliche Bemühung zur Einhaltung des Datenschutzes gemäß DSGVO.
3. Mit regelmäßigen Datenschutzaudits nach ISO 19011-Standard belegen Sie gegenüber Ihren Kunden, dass Sie personenbezogene Daten datenschutzkonform verarbeiten. Hierdurch schaffen Sie Vertrauen und sichern gleichzeitig Ihre Spedition vor potentiellen Verstößen ab.

Vorteile eines Datenschutz-Audits

Bei der Einführung eines Datenschutzmanagement-Systems muss für alle Prozesse, in denen personenbezogene Daten verarbeitet werden, die Datenschutzkonformität nachgewiesen werden. Da Prozesse in einem Unternehmen Veränderungen unterliegen, ist regelmäßig zu überprüfen, ob sich diese noch konform zu den datenschutzrechtlichen Rahmenbedingungen verhalten oder neu zu bewerten sind. Dies erfolgt mithilfe eines Datenschutz-Audits.

Ein Datenschutz-Audit wird zudem genutzt, um zu schauen, inwiefern geplante Handlungsmaßnahmen umgesetzt wurden bzw. welche als Nächstes anstehen. Da die Maßnahmen in der Regel unterschiedliche Prioritäten aufweisen und zudem auf ein angemessenes Kosten-Nutzen-Verhältnis zu achten ist, wird eine Reihe von Tätigkeiten lediglich notiert, aber nicht direkt umgesetzt. Hier bietet es sich an, einen Jahresplan für die Umsetzung der datenschutzbezogenen Tätigkeiten zu erstellen. Dies bringt gleich mehrere Vorteile mit sich. Zum einen haben Sie bzw. Ihre Geschäftsleitung alle notwendigen Maßnahmen inklusive ihrer Priorisierung im Blick. Zum anderen werden Sie so der Nachweispflicht gerecht und vermeiden mögliche Bußgelder. Und nicht zuletzt steigern Sie kontinuierlich das Datenschutzniveau in Ihrem Unternehmen.

Datenschutz-Schulung

Voriger
Nächster

Gesetzlich sind Sie als Geschäftsführer verpflichtet, Ihre Mitarbeiter im Datenschutz zu unterweisen. Um den zeitlichen und organisatorischen Aufwand zu minimieren, bieten sich Online-Schulungen an. Mit unserer Datenschutzmanagement-Software können Sie solche Schulungen unkompliziert umsetzen.

Zudem unterstützt Sie die Software dabei, neue Mitarbeiter unternehmensspezifisch im Datenschutz zu schulen. Weiterhin lassen sich spezielle, für Speditionen zugeschnittene Datenschutz-Module in die Software integrieren, die kompakte Trainingseinheiten zur Auffrischung des Wissens bereitstellen. Diese Module können Sie ebenfalls bei uns erhalten.

Durch unser Datenschutzmanagement-Software können wir für Sie individuelle Schulungen erstellen, um Ihren Mitarbeitern gezielt Praxiswissen zu vermitteln.

Nachdem Sie sich nach den ersten Basis-Schulungen mit dem System vertraut gemacht haben, können Sie es bei Bedarf (kostengünstig) selbst verwalten und Ihre Schulungen weiterentwickeln.

Datenschutzverletzung - Was nun?

Datenschutzverletzungen entstehen mehrheitlich bei einem erfolgreichen Hackerangriff auf Ihre Datenbanken. Jedoch kann bereits der Verlust eines Datenträgers wie USB-Stick oder Smartphone zu einem Datenmissbrauch („Data Breach“) führen.

Datenschutzvorfall Vorgehensweise

Nicht jede Datenpanne führt zu einer Meldepflicht. Entscheidend ist, ob die Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Besteht dieses Risiko, sind Sie nach Art. 33 DSGVO verpflichtet, die Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.

Die Landesdatenschutzbehörde

Wenn Sie sich an die Landesdatenschutzbehörde wenden, sollte Ihnen bewusst sein, dass die Behörde eine allgemeingültige Entscheidung treffen muss. Sie sind an die Entscheidung der Behörde gebunden, wenn Sie diese um Rat ersucht haben.
Im Falle einer Datenschutzverletzung sollten Sie keinesfalls versuchen, diese vor der Landesdatenschutzbehörde zu vertuschen. Es ist möglich, dass die Meldung eines Vorfalls in Ihrem Unternehmen keinerlei negativen Konsequenzen für Sie hat. Wenn Sie eine Datenschutzverletzung jedoch vorsätzlich verschweigen, kann dies zu einem Bußgeld in Höhe von bis zu 4 Prozent Ihres Jahresumsatzes führen.

Vorgehen im Fall einer Datenschutzverletzung

Gibt es beispielsweise in Ihrer Spedition konkrete Hinweise auf ein Datenleck, sind Sie als Verantwortlicher verpflichtet, eine entsprechende Überprüfung einzuleiten. Zunächst stellt sich die Frage, ob Sie den Vorfall melden müssen.

  • Zum einen müssen Sie prüfen, ob dem Betroffenen, dessen Daten verlorengegangen sind oder an einen falschen Empfänger geschickt wurden, durch die verlorenen Daten ein Schaden entstanden ist oder noch entstehen
  • Zum anderen müssen Sie prüfen, welche Maßnahmen Sie treffen können, damit es zukünftig nicht noch einmal zu einer derartigen Datenschutzverletzung kommt. Unter bestimmten Voraussetzungen sind Sie verpflichtet, die Betroffenen über die Datenverletzung zu informieren.

Die Herausforderung bei einer Datenschutzverletzung ist die Einschätzung des Risikos, welches sich für die Betroffenen ergibt.

Leitfaden Datenschutzverletzung 

Wichtig ist, dass Sie im Falle einer Datenschutzverletzung keine Entscheidungen aus dem Bauch heraus treffen, sondern sich zuerst mit einer fachkundigen Person aus dem Bereich Datenschutz oder einem Datenschutzbeauftragten abstimmen. Beachten Sie, dass eine Meldung spätestens nach 72 Stunden abzugeben ist.

Sie benötigen kurzfristig Unterstützung? Kontaktieren Sie mich gerne!
Telefon: 05665 / 180 98 50
Mobil: 0177/6506816
E-Mail: tim.iglauer@spedihub.de
SpediHub-Portrait.png
Tim Iglauer

Datenschutzbehörde fordert Nachweis der
Ransomware-Prävention

Große Unternehmen und Finanzsysteme verfügen in der Regel über ausgefeilte interne Cyberschutzkapazitäten. Kleine und mittelständische Unternehmen sind jedoch anfälliger für Ransomware, da ihnen häufig personelle, finanzielle oder zeitliche Ressourcen zur Abwehr von Cyberangriffen fehlen. 

Vor diesem Hintergrund ist die Bayrische Datenschutzbehörde dazu übergegangen, Fragebögen an Unternehmen zu verschicken, um zu ermitteln, in welchem Maße diese gegen Ransomware-Angriffe geschützt sind. Es ist zu erwarten, dass weitere Datenschutzbehörden dieser Praxis folgen werden.

Datenschutz-Dokumentation und die Geschäftsführerhaftung

Das OLG Dresden hat am 30.11.2021 in einem Urteil bzgl. der Haftung von Geschäftsführern die Bedeutung des Datenschutzes hervorgehoben. Das Gericht stellte fest, dass nicht nur die Unternehmen, sondern auch die Geschäftsführer selbst als Verantwortliche anzusehen sind und die Pflichten (und Sanktionen) der DSGVO auf sie angewendet werden können.
Bei Datenschutzverletzungen würden Sie als Geschäftsführer also ggf. in die Geschäftsführerhaftung genommen werden.  
Um der gesetzlichen Rechenschaftspflicht nachzukommen, ist einen Nachweis zu erbringen, wie Ihre Spedition im Datenschutz aufgestellt ist und welche Maßnahmen getroffen wurden, um personenbezogene Daten zu schützen. Diesen Nachweis können Sie am einfachsten erbringen, wenn Sie eine Dokumentation erstellen.
Die Dokumentation wird auf Grundlage der aktuellen Unternehmensprozesse erarbeitet, bei denen personenbezogene Daten verarbeitet werden. In der DSGVO ist nicht definiert, in welcher Form diese Dokumentation erfolgen muss. Da in der Umsetzung also gewissen Freiheiten bestehen, werden Sie von Datenschutzberatern jeweils verschiedene Empfehlungen hinsichtlich der Vorgehensweise erhalten.
Mein Team und ich orientieren uns an der Richtline V10010 der VdS Schadenverhütung GmbH, da sich die Institution aktiv mit einer Risikoprävention auseinandersetzt. VdS ist Europas größtes Institut für Unternehmenssicherheit und arbeitet unter dem Gesamtverband der Deutschen Versicherungswirtschaft.

Prinzipiell kann die Datenschutz-Dokumentation mit einem Qualitätsmanagementsystem verglichen werden. Es geht jeweils darum, strukturiert alle relevanten Prozesse zu analysieren sowie einen entsprechenden Nachweis über die DSGVO-Konformität zu generieren.
Unterm Strich ist es die strukturierte Vorgehensweise, die es Ihnen ermöglicht, Ihre Rechenschaftspflicht zu erfüllen und die Sie vor unnötiger Dokumentation schützt.

Diese Anforderungen können mit unserem Datenschutzmanagementsystem effektiv und benutzerfreundlich abgedeckt werden.

Datenschutzmanagement – mit System einführen

Um Ihr Datenschutzmanagement-System gezielt aufzusetzen und individuell an die Prozesse in Ihrem Unternehmen anzupassen, werden wir folgende Fragestellungen untersuchen:

  1. Welche sind die Kernprozesse des Unternehmens?
  2. Welche Prozesse könnten bei einem Datenschutzvorfall einen Schaden für den Betroffenen verursachen?
  3. Welche Prozessen sind eine Schnittstelle zwischen Ihren Kunden und dem Datenschutz in Ihrer Spedition?
  4. Wie kann die Außendarstellung datenschutzsicher erfolgen?
  5. Wie kann ein Verarbeitungsverzeichnis erstellt werden?

Darauf aufbauend werden wir im Anschluss

  1. eine Risikoanalyse zum Schutz personenbezogener Daten durchführen
  2. Handlungsempfehlungen für Datenschutzrisiken ausarbeiten
    (GPS-Tracking von Mitarbeitern, Verarbeitung sensibler Gesundheitsdaten etc.) 
  3. die relevanten Dokumente in Ihrer Spedition an die Bestimmungen aus DSGVO anpassen
  4. kontinuierliche Datenschutzprozesse und -kreisläufe implementieren; Datenschutzmanagement entwickeln
  5. geeignete technische und organisatorische Maßnahmen (TOM) ergreifen, damit Datenschutz und
    IT-Sicherheit in Einklang stehen
  6. Mitarbeiterschulungen zum Thema Datenschutzmanagement durchführen
  7. Datenschutzberichte erstellen (diese haben einen hohen Stellenwert für die Rechenschaftspflicht)
  8. ein Netzwerk aufbauen, um Sie bei Fachfragen zum Datenschutz zu unterstützen

Gerne diskutieren wir Ihre Datenschutzfragen
Sie erreichen mit mich unter 05665 / 180 98 50 oder per E-Mail an tim.iglauer@spedihub.de

Welche Vorteile bringt ein Datenschutzmanagementsystem in der Logistik?

Unser Datenschutzmanagement-System richtet sich an mittelständische Logistikdienstleister, die unkompliziert und schnell ein Datenschutzkonzept umsetzen wollen.

Datenschutzmanagement-System Dashboard

Je nach Art und Größe des Unternehmens unterscheiden sich die Anforderungen an ein DSMS. Vereinfacht gesagt, kann die Einführung eines Datenschutzmanagement-Systems mit der eines Qualitätsmanagement-Systems verglichen werden. Analog zu anderen Managementsystemen bietet sich hier das Vorgehen nach dem PDCA-Zyklus an.

Kennzeichen diesen Verfahrens ist, dass nach jeder Verbesserung der Maßnahmen stets eine erneute Überprüfung erfolgt. Dies führt zu einem kontinuierlichen Verbesserungsprozess.

Mit diesem Vorgehen wird sichergestellt, dass die Nachweis- und Rechenschaftspflichten im Unternehmen DSGVO-konform umgesetzt werden.

Zu unseren Leistungen bei der Einführung eines Datenschutzmanagement-Systems gehört ebenfalls ein Nachfolge-Audit.

Datenverarbeitung in der Logistik

Als Unternehmer sind Sie immer von der DSGVO betroffen. Das gilt unabhängig davon, wie groß das Unternehmen ist und wie viele Daten verarbeitet werden.

In der Logistik fallen personenbezogene Daten beispielsweise in folgenden Bereichen an:

  • Kundenverwaltung
  • Rechnungswesen
  • Personalverwaltung (Bewerbungen, Urlaube, Krankenstände)
  • Betankung und Mautabfertigung
  • GPS-Flottentracking
  • Videoüberwachung
  • Nachverfolgung des Versandstatus und damit Lokalisierung von Mitarbeitern
  • E-Mail-Versand
  • Website-Analytics
  • Server-Schnittstellen zwischen Unternehmen einer Supply-Chain

Die Verarbeitung personenbezogener Daten nach der DSGVO ist also unausweichlich.

Aufbau eines Datenschutzkonzepts in der Logistik

Zum Aufbau Ihres Datenschutzmanagement-Systems empfehlen wir Ihnen, zunächst mit einem Selbsttest zu starten. Damit verschaffen Sie sich einen Überblick über die Ist-Situation des Datenschutzes in Ihrem Unternehmen. Außerdem lässt sich dadurch der Gesamtaufwand für die Erstellung des Datenschutzkonzeptes abschätzen. 

Für die Ist-Analyse haben wir einen Fragenkatalog entworfen, den Sie gleichzeitig verwenden können, um Ihrer Rechenschaftspflicht nachzukommen. Durch die Visualisierung des aktuellen Datenschutzniveaus lassen sich notwendige Handlungsmaßnahmen ableiten. Weiterhin unterstützen wir Sie dabei, umgehend eine rechtssichere Außendarstellung zu erarbeiten. – Das schützt Sie vor Abmahnanwälten.

Ist dieser Schritt im Datenschutzmanagement geschafft, darf nicht der Wind aus den Segeln genommen werden. Sie sollten den Stand Ihres Datenschutzkonzepts in regelmäßigen Abständen überprüfen und ggf. optimieren. Hierfür eignet sich ein internes Audit.

Da der Datenschutz ein entscheidender Qualitätsaspekt ist, bietet es sich an, das Datenschutzmanagement in das Qualitätsmanagement zu integrieren. 

Sollte Ihr Unternehmen doch einmal Opfer eines Cyberangriffs geworden sein oder sollten Daten durch menschliches Versagen in die Hände von Unbefugten gelangt sein, dann sollten Sie umgehend handeln. Lesen Sie hier nach, was Sie tun können!

Mehr zum Thema Datenschutzverletzung 

Ein Datenschutzmanagement unterstützt Sie vor allem in den folgenden Punkten:

Nutzen Sie unseren Rückrufservice oder buchen Sie direkt ein kostenloses Erstgespräch. Wir freuen uns auf Sie!

Ihr Ansprechpartner Tim Iglauer

Telefon: 05665 / 180 98 50
Fax: 05665 / 180 98 51
Mobil: 0177/6506816
E-Mail: tim.iglauer@spedihub.de

Datenschutzmanagement-Software

Grundlegende Themen beim Datenschutz sind die Kommunikation und die Schulung der Mitarbeiter.
Office 365 bietet hierzu eine kostengünstige und unkomplizierte Möglichkeit, eine interne Kommunikationsplattform aufzubauen.

Datenschutzmanagement-Plattform BASIC

Ihre interne Kommunikationsplattform wird von uns individuell auf Ihre Bedürfnisse zugeschnitten.
Gibt es einen bestimmten Bereich, der besonderer Aufmerksamkeit bedarf – oder bei dem Handlungsbedarf besteht? Dann fangen Sie mit einem Projekt an, das sich in einem überschaubaren Rahmen bewegt. Dadurch können Sie die Plattform zeitsparend einführen.

Bald werden Sie erkennen, welcher Nutzen sich daraus ziehen lässt. Das Tool bietet Ihnen die technische Unterstützung, um die interne Kommunikation und damit den gesamten Informationsfluss zu optimieren und interaktiv zu gestalten. In Bezug auf das Wissensmanagement können Ihre Mitarbeiter regelmäßig zu Datenschutzthemen informiert werden.

Mit unserer Datenschutz-Kommunikationsplattform BASIC erhalten Sie eine vordefinierte Liste zur Erfassung der Datenschutzvorfälle in Ihrem Unternehmen. In Form eines Wikis können Sie alle notwendigen Informationen zu den jeweiligen Datenschutzvorfällen festhalten. Diese Liste dient dann Ihrem internen oder externen Datenschutzbeauftragten zur Bearbeitung der Datenschutzvorfälle in Ihrer Spedition.

Bild: DS-Schulung | Datei ID 114221803 | © Kantver | Dreamstime.com

Erweiterte Datenschutzmanagement-Plattformen

Powerapps-Formular für Datenschutzmanagement

Mit der erweiterten Datenschutzmanagement-Plattform steht Ihnen ein Workflow zur Verfügung, durch den Sie einen hervorragenden Überblick über sämtliche Datenschutzvorfälle in Ihrem Unternehmen erhalten. Sie ist vor allem für diejenigen Speditionen empfehlenswert, die eine beträchtliche Menge an personenbezogenen Daten verarbeiten. Per Versenden einer E-Mail an datenschutz@[Ihre-spedition].de wird automatisch eine Aufgabe in Ihrer Datenschutzliste generiert. Ein großer Teil des Verwaltungsaufwandes lässt sich hiermit reduzieren.

Last but not least wird Ihr speditionseigenes Intranet um entsprechende Verfahrensanweisungen erweitert.

Außerdem erhalten Sie mit diesem Paket das Verfahrensverzeichnis, zu dessen Führung jede Spedition gesetzlich verpflichtet ist (siehe § 4g Abs. 2 BDSG und Art. 30 DSGVO).

Das Verfahrensverzeichnis ist ein Instrument zur Bestandsaufnahme über die laufenden Verarbeitungen von personenbezogenen Daten. Es dient zum einen der betriebsinternen Selbstkontrolle und zum anderen der öffentlichen Transparenz über die Datenverarbeitungsvorgänge im Unternehmen.

Kommunikationsplattform für Speditionen

Spedihub Datenschutzmanagement System

Eine Datenschutzmanagement-Software ist ein Instrument zur strukturierten Abarbeitung sämtlicher Dokumentations-, Schutz- und Informationspflichten, die sich für Unternehmen aus der DSGVO ergeben.

Sinnvoll ist es, eine Software zu nutzen, die bereits mit den notwendigen Formularen ausgestattet und sofort einsatzbereit („ready to go“) ist. Dienstleister können sogleich erfasst und anfallende Daten zum Datenschutz dokumentiert werden.

Wir stellen vorgefertigte Dokumente zur Verfügung. Diese bieten insbesondere solchen Speditionen eine hilfreiche Orientierung, die keine personellen Ressourcen haben, um das Thema Datenschutz im Alleingang zu bewältigen.

Doch nicht nur im Alltagsgeschäft von Speditionen, sondern gerade bei Datenschutzvorfällen zahlt sich eine eindeutige definierte Vorgehensweise sowie eine klare Dokumentation aus. So kommen Sie Ihren gesetzlichen Verpflichtungen nach und beugen zivilrechtlichen Schadensersatzansprüchen und Bußgeldbescheiden vor.

DSMS-Dashboard

Datenschutzmanagement-System Dashboard

Das Dashboard verschafft Ihnen einen Überblick über alle anstehenden Aufgaben. Sämtliche Datenschutzanfragen sind dort auf einen Blick sichtbar. 
Per Knopfdruck lässt sich ein Datenschutz-Report erzeugen. Hierdurch haben Sie die Möglichkeit, ein Datenschutzhandbuch zu generieren, welches die Rechenschaftspflicht deutlich erleichtert.
Kommt es zu einer rechtlichen Auseinandersetzung, kann das aktuelle Datenschutzniveau sofort nachgewiesen werden. Dies wiederum ist relevant, um Bußgelder abzuwenden.

Rechtssichere Mustervorlagen

In Kooperation mit einem auf Datenschutz spezialisierten Rechtsanwalt bieten wir Ihnen Mustervorlagen an, mit denen Sie Ihrer Dokumentationspflicht effizient nachkommen können.

Da das Thema Datenschutz sehr komplex ist, werden wir Ihnen gezielt die Vorlagen zur Verfügung stellen, die speziell auf Ihr Unternehmen passen. So gehen Sie sicher, die Vorlagen zu bearbeiten, die relevant für Sie sind. In einem persönlichen Gespräch unterstützen wir Sie gerne bei der Umsetzung.

 

Datenschutz - Staatlichen Förderungen

Für die rechtssichere Umsetzung Ihres Datenschutzes können Sie Fördergelder vom Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) beantragen.

Das BAFA unterstützt Unternehmen in ihren strategischen Entscheidungen, indem es Beratungsleistungen zur „Förderung unternehmerischen Know-hows“ bezuschusst. Hierzu zählen auch unsere Maßnahmen zur Einführung eines Datenschutzmanagement-Systems in Ihrem Unternehmen.

Aufgrund unserer Qualifikation und Zertifizierung sind unsere Leistungen im Rahmen einer Unternehmensberatung förderfähig. Wir beraten Sie hierzu gerne und unterstützen Sie bei der Antragstellung.

Wer profitiert von der Förderung?

  • Unternehmen mit Sitz in Deutschland
  • Unternehmen des Mittelstandes (KMU) sind Unternehmen mit weniger als 250 Mitarbeitern (VZÄ) und max. 50 Mio € Umsatz
  • Speditionen, die nach “De-minimis” des BAG antragsberechtigt sind

Wie hoch ist die Förderung des BAFA?

  • Bestandsunternehmen können eine Förderung in Höhe von bis zu 3.000 € in Anspruch nehmen. 
  • Jungunternehmen sind bis zu 4.000 € förderfähig.
  • Der Fördersatz beträgt 50 Prozent. 
  • Befindet sich der Standort in den neuen Bundesländern, beläuft sich der Fördersatz auf 80 Prozent.

Nicht förderberechtigt sind:

  • Unternehmen, die selbst beratend tätig sind
  • insolvente Unternehmen
  • gemeinnützige Vereine
  • Religionsgemeinschaften

De-Minimis-Programm des BAG

Speditionen dürfen im Jahr bis zu 33.000 € Fördergelder für fahrzeugbezogene De-Minimis-Maßnahmen beantragen. Die Höchstfördersumme beträgt 100.000 €. Demnach bleiben noch 1.000 € übrig, die Sie für Investitionen in  Maßnahmen zur Effizienzsteigerung nutzen können. (Siehe Positivliste das BAG, Punkt 3.1)

Datenschutz - unsere Leistungen

Paket

Datenschutz
Basic Paket

Datenschutz
Medium Paket

Datenschutz Premium Paket

Ihr
Nutzen

Aktuelles Datenschutz-Niveau analysieren

inkl. 

inkl. 

inkl. Umsetzungs-Unterstützung

Bestätigung DS-Bauchgefühl 


Datenschutz-management-Software (DSMS) optional 

65€ mtl. +

450€ Einrichtungs

Gebühr

inkl. für 6 Monate, danach 55€ mtl.

inkl. für 24 Monate, danach 55€ mtl.

Vereinfachtes Handling der Datenschutz-Themen

Office 365 Datenschutz Kommunikations-Plattform einrichten*²

ab 1.500€

ab 1.500€

inkl. 

Mitarbeiter zeitnah über Datenschutz-relevante Themen informieren

Nachfolge-Audit*²

1.500€

1.500€

inkl. 

Aufzeigen von Veränderungen im Datenschutz

Preise

mtl. 245€*

mtl. 370€*

ab mtl850€* 

100% Fixpreis

Optional: Externer Datenschutzbeauftragter; Datenschutz-Coaching/Schulung; *Laufzeit 12 Monate; *² abhängig Anzahl Mitarbeiter

Durch eine BAFA Förderung können Sie einen Zuschuss von max. 1.500€ für die Erstellung Ihres Datenschutzhandbuches erhalten.

Inklusiv-Leistungen der Datenschutz Pakete:

DS-Quick-Check zur EU-DSGVO

SpediHub stellt ein kompaktes Formular zur Verfügung, anhand dessen Sie eine Bewertung des Datenschutzniveaus Ihres Unternehmens vornehmen können. Hierfür müssen Sie kurze Fragen zu den Bereichen Leitlinien, Mitarbeiter, Verarbeitungstätigkeit und Informationssicherheit beantworten. Nach der Beantwortung der datenschutzrelevanten Fragen erhalten Sie eine Einschätzung, wie gut Sie die EU-DSGVO im Unternehmen umgesetzt haben.
Der DSGVO Quick-Check richtet sich an mittelständische Unternehmen aus dem privatrechtlichen Bereich. Er dient der Identifizierung von Datenschutzthemen, die Sie im Unternehmen noch angehen sollten. Aufgrund der Komplexität der DSGVO ist der DS-Quick-Check jedoch nicht vollständig und stellt auch keine Rechtsberatung dar.

Easy Datenschutz mit dem SpediHub DSMS

Wir helfen Ihnen nicht nur, schnell und unkompliziert die Anforderungen aus der DSGVO zu erfüllen, sondern unterstützen Sie auch langfristig mit unserem SpediHub® DSMS, damit Sie Ihre Rechenschaftspflicht per Knopfdruck nachweisen können.

Datenschutzbeauftragter

Gerne unterstütze ich Sie bei Fragen zum Datenschutz in meiner Funktion als externer Datenschutzbeauftragter. Die Konditionen bemessen sich nach individuellen Faktoren.

Hier finden Sie einigen Gründe, die die Überlegung unterstreicht, einen externen Datenschutzbeauftragten (DSB) zu bestellen:

 

  • Ihr interner DSB = Ihr IT-Leiter
  • Es wurde kein DSB benannt ⇒ dies ist jedoch verpflichtend bei
    GPS-Tracking oder Videoüberwachung oder Dispo > 20 Mitarbeiter
  • Ihr interner DSB hat keine Zeit, sich mit dem Datenschutz auseinanderzusetzen
    ⇒  Sie haften immer als Verantwortlicher mit Ihrer Geschäftsführer-Haftung
  • Ihre Unternehmensstrategie sieht nicht vor, mit dem Datenschutz Umsatz zu generieren
  • Ihr Kerngeschäft ist nicht der Datenschutz

Abmahnung / Unterlassung

Sie stehen vor einer Herausforderung bzgl. einer Abmahnung oder Unterlassungsklage im Bereich Datenschutz? Vermutlich kommen Sie um eine Rechtsberatung nicht herum.

Neben den rechtlichen Gesichtspunkten wird ein Rechtsanwalt u. a. die aktuelle Datenschutz-Situation im Unternehmen genauer untersuchen müssen.

Gerne biete ich Ihnen einen Datenschutz-Quickcheck an, welchen Sie als Grundlage für eine Rechtsberatung verwenden können.

Hilfe bei Auskunftsersuchen

Aktuell kommt aus unterschiedlichen Gründen zu Auskunftsersuchen. Wichtig ist hierbei, Folgendes zu wissen: Wenn Sie auf die Anfrage des Betroffen nicht ausreichend oder gar nicht reagieren, kann sich dieser an die Landesdatenschutzbehörde wenden. Die Behörde wird dann ggf. das Anliegen des Betroffenen durchsetzen, was wiederum eine Datenschutzprüfung zur Folge haben kann.

Daher ist es wichtig, dass Sie die Anfrage eines Kunden, Mitarbeiters oder Geschäftspartners ernst nehmen. Innerhalb von vier Wochen sollte der Auskunftssuchende eine Rückmeldung von Ihnen erhalten. Die genaue Vorgehensweise und die Details, auf die dabei geachtet werden muss, hängen vom Einzelfall ab. Im ersten Schritt kommt es darauf an, kurzfristig eine freundliche Rückmeldung zu geben, in der Sie bekunden, dass Ihnen die Anfrage wichtig ist. Weiterhin sollten Sie sich das Auskunftsersuchen konkretisieren lassen und um etwas Zeit bitten, die gewünschten Daten zu ermitteln.

Gerne unterstütze ich Sie bei der Analyse Ihres Auskunftsersuchens.

DS-Coaching

Oft wird ein interner Datenschutzbeauftragter benannt, um externe Kosten einzusparen.
Um die entsprechende Fachkunde zu erwerben, kann sich dieser auf verschiedenen Seminaren weiterbilden.

Um die kappe Zeit Ihrer Mitarbeiter zu schonen, biete ich ein branchenspezifisches Coaching an. Hierbei gehe ich gezielt auf das vorhandene Wissen ein und unterstütze beim langfristigen Wissensaufbau.

Eine weitere Möglichkeit besteht darin, dass ich für Sie übergangsweise ein Datenschutzmandat übernehme. Parallel dazu kann einer Ihrer internen Mitarbeiter im Datenschutz fit gemacht werden.

Analyse der Website auf DSGVO-Konformität

Der großen Mehrheit der Webseitenbetreiber ist bewusst, dass sie die organisatorischen Anforderungen der DSGVO zu beachten haben. Nur Wenige wissen jedoch, dass auch im laufenden Betrieb der Webseite kontinuierlich darauf zu achten ist, dass es nicht zu unbewussten Datenschutzverstößen kommt. Dies kann leider schneller geschehen, als man denkt, da in der Regel eine Website aufgesetzt und in der Grundstruktur nicht mehr verändert wird.

Ein kleines Beispiel:
Anfang 2022 sind Google Fonts und Cookies ohne Ablehn-Funktion von den Datenschutzbehörden für unzulässig erklärt worden.
Für Webseitenbetreiber ergibt sich daraus die Notwendigkeit zu reagieren und die Cookie-Banner neu zu konfigurieren.

Schicken Sie mir eine kurze Nachricht, dann führe ich für Sie gerne eine kostenlose Kurzanalyse Ihrer Website durch.

Datenschutz: Website wegen DSVGO offline – risikobewusst oder übervorsichtig?

Der Datenschutz bei einer Website wird großgeschrieben – vor allem seit dem 25.05.2018, dem Tag, an dem die neue Datenschutzgrundverordnung in Kraft trat. Zahlreiche Unternehmer waren verunsichert und nahmen Ihre Website aus Angst vor Abmahnungen offline. Das ist zwar eine nachvollziehbare Vorsichtsmaßnahme, aber unnötig und vor allem auch nicht sinnvoll.

Lesen Sie weiter und ich gebe Ihnen einen Überblick, wie Sie mit wenig Aufwand prüfen, ob für Sie das Risiko einer Abmahnung existiert.

Website Offline oder ohne SSL Zertifikat

Abmahnanwälte haben sich darauf spezialisiert, den Datenschutz bei Websites zu prüfen und Websites, die nicht datenschutzkonform betrieben werden, wegen Wettbewerbsverstößen abzumahnen. Deshalb sollten Sie darauf achten, diesen Anwälten keinen Grund für eine Abmahnung zu liefern.

  • Zunächst sollten Sie gewährleisten, dass eine rechtskonforme Außendarstellung der Website umgesetzt wurde. Hierunter fällt die Erstellung eines gültigen Impressums.
  • Wenn Sie auf Ihrer Website Kontaktformulare verwenden, müssen Sie auf der Website ein SSL-Zertifikat einbinden. Der Grund ist, dass personenbezogene Daten meist per E-Mail an Sie übertragen werden. Gemäß DSGVO sind diese Daten bei der Übermittlung zu schützen.

Heutzutage verzichten immer mehr Firmen auf Kontaktformulare. Sie könnten dem Trend folgen und Ihre Kontaktformulare durch einen einfachen Link zu einer Info-E-Mail-Adresse ersetzen. Alternativ können Sie bei Ihrem Website-Provider ein SSL-Zertifikat beantragen und dieses von Ihrem Website-Betreuer einbinden lassen.

  • Für den Datenschutz Ihrer Website ist außerdem eine korrekte Datenschutzerklärung notwendig. (Am einfachsten machen Sie es den Abmahnanwälten, wenn der Punkt „Datenschutzerklärung“ auf Ihrer Website fehlt.) Wie aufwendig die Erstellung von Datenschutzhinweisen ist, hängt davon ab, wie Sie die Website betreiben. Nutzen Sie die Website zum Präsentieren Ihrer Dienstleitungen, können Sie auf eine der zahlreichen Muster-Datenschutzerklärungen zurückgreifen, die im Web angeboten werden.

Wird hingegen ein Online-Shop mit Kartenzahlungsfunktion betrieben, sind die Hinweise nicht mehr so trivial. Hier muss die Muster-Datenschutzerklärung sorgfältig auf die eigene Situation angepasst werden, bevor Sie diese in die eigene Website einbinden. Trotzdem können Sie hierdurch mit relativ wenig Aufwand potentiellen Abmahnanwälten den Wind aus den Segeln nehmen.

Leider passieren Datenschutzvorfälle häufig ungewollt. Zögern Sie deshalb nicht und informieren Sie sich umfassend.
Bei Fragen stehe ich Ihnen gerne zur Verfügung!

Kundenstimmen

Jetzt kostenlose & unverbindliche Erstberatung vereinbaren!

Nutzen Sie unseren Rückrufservice oder schreiben Sie uns eine Mail. Wir freuen uns auf Sie!

Ihr Ansprechpartner Tim Iglauer

Telefon: 05665 / 180 98 50
Fax: 05665 / 180 98 51
Mobil: 0177 / 650 68 16
E-Mail: tim.iglauer@spedihub.de

Unsere Kunden

Aktuelle Beiträge zum Datenschutz: