Mit der verbindlichen Anwendung der Datenschutz-Grundverordnung (DSGVO), in allen EU-Mitgliedstaaten ab dem 25. Mai 2018, werden die Rechte hinsichtlich des Datenschutzes für EU-Bürger gestärkt und vereinheitlicht. In den letzten Wochen haben uns viele Rückfragen zu diesem Thema erreicht, weshalb wir Ihnen nachfolgend eine Übersicht geben möchten, wie wir das Thema DSGVO in ORGA-PEG umgesetzt haben, welche Anforderungen ganz allgemein in Ihrem Unternehmen umgesetzt werden sollten und wie wir Sie hierbei unterstützen.
Unter dem Punkt „DSGVO Allgemein“ » „Was ist konkret zu tun?“, haben wir die wichtigsten Sofortmaßnahmen für Sie zusammengefasst.
Bitte beachten Sie speziell hierbei speziell Ihre Webseite. Wir gehen davon aus, dass ab 25. Mai eine Abmahnwelle über uns einbrechen wird, die sich vor allem das Thema Impressum, Datenschutzerklärung und Kontaktformulare auf Webseiten beziehen wird (Diese Punkte sind leicht zu überprüfen).
Bei der DSGVO handelt es sich um eine EU weite Regelung, welche die Rechte hinsichtlich des Datenschutzes für EU-Bürger stärkt und vereinheitlicht. Nachfolgend haben wir die wichtigsten inhaltlichen Punkte für Sie aufgelistet – bitte beachten Sie dabei, dass es sich lediglich um das Zusammentragen von verschiedenen Informationsquellen handelt und keinesfalls eine rechtliche Empfehlung darstellt bzw. die Korrektheit der Informationen garantiert wird.
Die DSGVO gilt für Unternehmen und Vereine, die in der EU Waren oder Leistungen anbieten, Mitarbeiter beschäftigen oder Mitglieder haben.
De facto also für jeden, der mind. einen Kunden oder einen Mitarbeiter hat.
Geschäftsführer, Inhaber, Vorstände
Ein Datenschutzbeauftragter ist ab einer Unternehmensgröße von 10 Mitarbeitern Pflicht, kann aber extern bestellt werden. Ab 250 Mitarbeitern ist ein interner Datenschutzbeauftragter notwendig. Der Geschäftsführer kann nicht Datenschutzbeauftragter sein.
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Art. 5 (1) a) DS-GVO
Rechtmäßigkeit der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten gilt als allgemeiner Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt.
Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder eine andere in dieser Vorschrift normierte Ausnahme vorliegt.
Datensparsamkeit
Nach Art 5 Abs 1 DSGVO muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein.
Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind. Dabei stellt die Datenschutz-Grundverordnung in Art 6 Abs 4 Kriterien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind.
Datensicherheit
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen und dadurch Datenschutzverletzungem vermeiden.
Dabei muss das Sicherheitslevel im Verhältnis zum Risiko angemessen sein. OpenSoft+ unterstützt Sie hierbei zum Beispiel mit dem Produkt ManagedBackup+.
Übermittlung in Drittstaaten (außer EU)
Eine Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die im Kapitel V zur Datenübermittlung in Drittländer und zu internationalen Organisationen niedergelegten Bedingungen erfüllen und auch die sonstigen Bestimmungen der Datenschutz-Grundverordnung beachtet werden (Art 44 DSGVO).
Betroffenenrechte
„Privacy by Design“
Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten
einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.
Was ist das?„Privacy by Default“
Privacy by Default heißt sinngemäß übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind.
Auch wenn der 25. Mai in greifbarer Nähe ist, gilt als erste Regel: keine Panik!.
Als allererstes sollten Sie die Datenschutzerklärung auf Ihrer Homepage aktualisieren, sowie etwaige Kontaktformulare mit einer zusätzlichen Checkbox ausstatten, welche den Anwender über den Anwendungszweck der übermittelten Daten aufklärt und zur Zustimmung auffordert.
Desweiteren werden Sie von uns in Kürze die benötigten Verträge zur Auftragsverarbeitung erhalten.
Recht an den Daten / Recht auf Vergessenwerden
Auf Verlangen müssen dem Verbraucher die gespeicherten Daten mitgeteilt werden bzw. auf entsprechende Aufforderung sind diese zu löschen.
Informationen zur EU-DSGVO
Prüfen, ob Daten gelöscht werden können bzw. ob diesem Ansinnen andere gesetzliche Regelungen (z.B. Aufbewahrungspflichten aus dem Steuerrecht) entgegenstehen.
Dateninhaber können die Übergabe ihrer Daten an einen anderen Dienstleister beauftragen.
Informationen zur EU-DSGVO
Prüfen, ob eine Ausgabe der Daten in einer für andere lesbaren Form möglich und sinnvoll ist.
Sicherheit der Verarbeitung garantieren
Informationen zur EU-DSGVO
Zitat: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Wichtige Maßnahmen hier können sein:
Verarbeitungstätigkeiten beschreiben
Die DSGVO verlangt, dass alle eingesetzten Anwendungen, die personenbezogene Daten verarbeiten, sicherstellen, dass die Anwender des Systems technisch in der Lage sind, das Datenschutzrecht umsetzen können. Ab dem ORGA-PEG Programmstand 2014v34.0.0 in Verbindung mit der C16-Version 5.8.09 versetzten wir unseren Anwender in die Lage, DSGVO konform in ORGA-PEG arbeiten zu können. Bei der Installation des ORGA-PEG und C16 Standes unterstützen wir Sie gerne.
Achtung: Bitte beachten Sie, dass ebenfalls ein Update auf den aktuellsten C16 Stand 5.8.09 notwendig ist, um alle DSGVO relevanten Anforderungen umzusetzen.
Die nachfolgenden Windows-Updates werden auf jedem PC benötigt, der mit ORGA-PEG arbeitet und sind bei älteren Windows Versionen (< Windows 10) nicht automatisch enthalten. Download 32-Bit | Download 64-Bit
Die DSGVO fordert durch die Anwendung entsprechender Technischer Organisatorischer Maßnahmen (TOMs) die Datensicherheit zu gewährl eisten. Ein Benutzerkennwort ist eine solche TOM. Bisher war es in ORGA-PEG möglich, Benutzer ohne Kennwort auf Datenbankebene zu erstellen. Dies wird auch weiterhin der Fall sein. Um der Forderung nach „Privacy by Default“ gerecht zu werden, ist es Benutzern OHNE Kennwort an dem o.g. Programmstand NICHT mehr möglich, Ansprechpartner bezogene Daten einzusehen (Stamm-Masken, Listen, Infosystem, etc.). Ebenso erfolgt ein entsprechender Hinweis bei jedem Login, dass hier evtl. nicht DSGVO konform gearbeitet wir.
Um der Forderung nach „Privacy by Default“ besser gerecht zu werden, haben wir die Kennwortrichtlinie um einen Zeitraum der Gültigkeit erweitert.
D.h. der User wird nach einer bestimmten Anzahl Tage aufgefordert, sein Kennwort zu ändern. Der hinterlegte Standard sind 90 Tage.
Die Einstellungen kann unter dem Punkt „Parameter“ » „Firma“ gemäß Ihrer Vorgabe geändert werden (maximal 9999 Tage)
Unter den Benutzerparametern -> Rechte finden Sie nun einen neuen Parameter DSGVO. Ist dieser Parameter aktiviert, so hat der Benutzer Zugriff auf Ansprechpartner Daten. Der Parameter kann über den User SYSOP gesetzt werden, sofern bei dem Benutzer ein Kennwort hinterlegt ist.
ACHTUNG: Gemäß „Privacy by Default“ wird der Parameter mit dem o.g. Update bei allen Benutzern deaktiviert. D.h. nach dem Update hat kein Benutzer Zugriff auf Ansprechpartnerdaten, so lange das Recht nicht wieder gesetzt wird.
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
In Konsequenz werden daher alle Listen ausgeblendet, die eventuell Ansprechpartnerdaten enthalten können. Ebenfalls deaktiviert sind die Individuallisten, da hier nicht überprüft werden kann, welche Datenbereiche angedruckt werden.
Die Umsetzung der DSGVO ist für alle Unternehmen ein wichtiges und essentielles Thema. Wir möchten Sie bei der Umsetzung der DSGVO unterstützen – soweit dies im rechtlichen Rahmen möglich ist und bieten Ihnen die nachfolgenden Punkte an:
In unserem Webinar am Mittwoch, 30.05.2018 um 09:00 Uhr möchten wir noch einmal ganz allgemein über die DSGVO aufklären, welche Punkte für Sie als Unternehmen zu berücksichtigen sind und welche Maßnahmen Sie am besten mit welchen Tools umsetzen können. Hier werden keine speziellen ORGA-PEG Themen behandelt, sondern die DSGVO und Ihre Konsequenzen in Übersicht dargestellt.
In diesem Video beschreiben wir noch einmal die konkrete Umsetzung der DSGVO in ORGA-PEG. Welche Parameter haben Einfluss, wo kann ich diese setzen und mit welchem User kann ich das tun.
Wir wissen: Das Einspielen eines ORGA-PEG oder gar C16 Updates ist nicht jedermanns Sache. Hierbei möchten wir Sie unterstützen und haben dafür unser DSGVO Upgrade-Paket geschnürt, welches die nachfolgenden Dienstleistungen enthält:
Festpreis für das DSGVO-Paket sind 99,- EUR zzgl. MwSt.
Mit unserem Produkt Managed Backup+ erfüllen Sie die Anforderungen der DSGVO an die Datensicherheit. Wir sichern Ihre C16 Datenbanken täglich verschlüsselt in deutschen Rechenzentrum und gewährleisten die Integrität und damit auch die Funktionsfähigkeit der gesicherten Dateien. Sollte der Fall eines Serverausfalls in Ihrem Hause eintreffen, stellen wir Ihnen das letzte Backup Ihrer Datenbanken per Remote-Desktop-Applikation aus unserem Rechenzentrum zur Verfügung und gewährleisten somit, dass Sie schnell und unkompliziert weiter arbeiten können.
Im Rahmen der GdPdU sind Unternehmen in Deutschland zum revisionssicheren Ablegen von steuerrechtlich relevanten Daten verpflichtet. Aus diesem Grund gehen viele Unternehmen dazu über, einfach den gesamten Mailverkehr zu archivieren. Bei einer späteren Prüfung kann somit nichts fehlen.
Mit MailArchiv+ kann entweder eine vollautomatische Ablage – jede Mail wird automatisch archiviert – oder eine halbautomatische Ablage – Sie entscheiden ob eine E-Mail archiviert wird – erfolgen. Dabei können alle gängigen Emailsysteme, wie Microsoft Exchange, Office365, Tobit, Kerio, etc. angebunden werden.
MailArchiv+ erhalten Sie kostengünstig und ohne Installationsaufwand aus der Cloud – und das schon ab 3 EUR pro User.
Nachfolgend möchten wir Ihnen noch einige Links mit Ihnen teilen, welche uns beim Verständnis und der Umsetzung der DSGVO in unserem Unternehmen geholfen haben:
Cookie | Dauer | Beschreibung |
---|---|---|
CONSENT | 2 years | YouTube setzt dieses Cookie über eingebettete YouTube-Videos und registriert anonyme statistische Daten. |
_ga | 2 years | Das von Google Analytics installierte _ga-Cookie berechnet Besucher-, Sitzungs- und Kampagnendaten und verfolgt auch die Nutzung der Website für den Analysebericht der Website. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um eindeutige Besucher zu erkennen. |
_gat_gtag_UA_137800003_1 | 1 minute | Wird von Google gesetzt, um Benutzer zu unterscheiden. |
_gid | 1 day | Das von Google Analytics installierte _gid-Cookie speichert Informationen darüber, wie Besucher eine Website nutzen, und erstellt gleichzeitig einen Analysebericht über die Leistung der Website. Einige der gesammelten Daten umfassen die Anzahl der Besucher, ihre Quelle und die Seiten, die sie anonym besuchen. |
Cookie | Dauer | Beschreibung |
---|---|---|
VISITOR_INFO1_LIVE | 5 months 27 days | Ein von YouTube gesetztes Cookie zur Messung der Bandbreite, das bestimmt, ob der Benutzer die neue oder alte Player-Oberfläche erhält. |
YSC | session | YSC-Cookie wird von Youtube gesetzt und wird verwendet, um die Aufrufe von eingebetteten Videos auf Youtube-Seiten zu verfolgen. |
yt-remote-connected-devices | never | YouTube setzt dieses Cookie, um die Videoeinstellungen des Benutzers zu speichern, der eingebettete YouTube-Videos verwendet. |
yt-remote-device-id | never | YouTube setzt dieses Cookie, um die Videoeinstellungen des Benutzers zu speichern, der eingebettete YouTube-Videos verwendet. |