Paket – Medium
- Überprüfung Informationspflicht
- Impressum und Datenschutz auf Ihrer Homepage
- Einbau eines Datenschutz-Menuepunktes auf Ihrer Website und Befüllung
- Einfügen des Datenschutzhinweises auf Ihrem Kontaktformular
- Verarbeitungsverzeichnis erstellen
- Auftragsdatenverarbeitung (ADV-Vertrag) erstellen
- Erfassung von (TOM) Technisch-organisatorische Maßnahmen
- Überprüfung SSL-Verschlüsselung (hier können ggf. Kosten anfallen, wenn Ihr Provider dies nicht FREE anbietet) Installationsservice (nach Aufwand)
- Ordner mit Erstausrüstung an Dokumenten, Vorlagen sowie eine Auflistung und Erläuterung der durchzuführenden Aufgaben. Mit diesen können Sie weitere Dokumentationen selbst erstellen
Warum benötigen Sie ein Verzeichnis von Verarbeitungstätigkeiten
Ab 25. Mai 2018. Unternehmen müssen ab diesem Zeitpunkt die Europäische Datenschutz-Grundverordnung (DSGVO) beachten. Weniger bekannt ist den meisten, dass die DSGVO neue Formalien mit sich bringt.
Kernstück ist dabei das „Verzeichnis von Verarbeitungstätigkeiten“.
Das Ziel: Überblick
Dieses Verzeichnis muss in jedem Unternehmen vorhanden sein. Es soll einen Überblick schaffen, mit welchen personenbezogenen Daten das Unternehmen umgeht und was es mit den Daten tut. Dabei wird es oft um Daten von Kunden gehen. Aber auch Daten von Arbeitnehmern sind erfasst. Ebenso Daten von Lieferanten, wenn dabei Namen von Personen auftauchen.
Pflicht zur Vorlage des Verzeichnisses
Die Datenschutzaufsicht kann jederzeit verlangen, dass ihr ein Unternehmen das Verzeichnis vorlegt. Ansonsten droht ein Bußgeld. Und wenn ein Betroffener Auskunft über seine Daten verlangt, hilft das Verzeichnis dabei, diese Daten zu finden. Es ist also sinnvoll, dieses Verzeichnis sorgfältig zu erstellen. Ab und zu muss es auch aktualisiert werden.
Impressum und Datenschutz auf Ihrer Homepage (Vereine, Psychologen, Ärzte, Firmen)
Wichtig ist, dass bis zum 25. Mai 2018 zumindest die kritischen Punkte in der Sichtbarkeit des Vereins/Firma nach außen nicht der DSGVO widersprechen.
Auftragsdatenverarbeitung
Die DSGVO regelt auch weiterhin, dass Sie mit jedem Unternehmen, welches in Ihrem Auftrag personenbezogenen Daten verarbeitet, einen Vertrag zur Auftragsdatenverarbeitung abschließen müssen. Sollten Sie beispielsweise Ihre Lohnabrechnungen von einem externen Dienstleister erledigen lassen, müssen Sie mit diesem Dienstleister eine entsprechende Vereinbarung zur Auftragsdatenverarbeitung abschließen.
Personenbezogene Daten
werden auch über Ihre Vereinshomepage/Homepage erhoben. In der Regel werden die IP-Adressen Ihrer Besucher erfasst und in Logfile für einige Tage gespeichert. Dies geschieht deshalb, um mögliche Angriffe auf ihre Homepage zu erkennen und ggf. abzuwehren. Aber auch Statistiken über Zugriffe werden automatisch erstellt und können von Ihnen zu Auswertungszwecken abgerufen werden.
Durch die Erfassung der IP-Adressen werden automatisch personenbezogene Daten der Besucher Ihrer Homepage (z.B. Nutzungsverhalten) erfasst. Dies zwar nicht mit dem Namen des Besuchers – jedoch ist es bei berechtigtem Interesse technisch möglich, den Besucher über die IP-Adresse zu ermitteln.
Damit verarbeitet das Unternehmen, bei dem Sie Ihre Homepage gehostet haben, in Ihrem Auftrag Daten Ihrer Besucher. Aus diesem Grund müssen Sie mit dem Unternehmen (z.B. Strato, 1&1, etc.) auch eine Vereinbarung zur Auftragsdatenverarbeitung abschließen.
Umgang mit Fotos auf der Homepage
Problematisch sind derzeit allerdings Fotos, die sie im Internet oder in der Presse einstellen. Hier benötigen Sie, sofern es sich um Nahaufnahmen handelt, entsprechende Einwilligungen. Besonders Kinder und Jugendliche bis 16 Jahren stehen hierbei unter dem besonderen Schutz der DSGVO.
Mit den aufgeführten Schritten (Impressum, Datenschutz und Auftragsdatenverarbeitung) haben Sie die gesetzlichen Auflagen der DSGVO für Ihre Homepage und ggf. Facebook erfüllt.
Erfassen von (TOM) Technisch-organisatorische Maßnahmen
Zusätzlich sieht die neue DSGVO vor, dass jedes Unternehmen technische und organisatorische Maßnahmen umsetzt, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolgt.
Bestandteile der technischen und organisatorischen Maßnahmen
Zutrittskontrolle- physischer Zutritt zu Datenverarbeitungsanlagen, bzw. IT
-
-
- Zugangskontrolle – DV-Anlagen (Computer) dürfen von unbefugten nicht benutzt werden können (Passwortschutz)
- Zugriffskontrolle – Zugriff auf Daten nur mit entsprechenden Rechten und Befugnissen
- Weitergabekontrolle – Daten dürfen bei Übertragung/ Transport von Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
- Eingabekontrolle – nachträgliche Feststellbarkeit, von Eingabe, Veränderung oder Entfernung personenbezogener Daten
- Auftragskontrolle – Verarbeitung von Daten nur entsprechend der Weisung des Auftraggebers
- Verfügbarkeitskontrolle – Schutz gegen zufällige Zerstörung oder Verlust
- Trennungskontrolle – Trennung der Verarbeitung von Daten unterschiedlicher Zwecke
-
Wir helfen Ihnen bei der Dokumentierung
SSL-Verschlüsselung
Ohne Verschlüsselung sind alle zu übertragenden Daten im Internet im Klartext einsehbar und von Dritten manipulier- bzw. änderbar.
Damit ein Browser eine verschlüsselte Verbindung zu einem Server (einer Domain) aufbauen kann, muss der Browser wissen, ob der Server auch zu der Domain gehört, für die er sich ausgibt. Hierzu werden SSL Zertifikate genutzt.
Bei einem SSL Zertifikat handelt es sich um eine Methode um die Authentizität einer Webseite zu verifizieren. Hierzu muss eine Webseite ein Zertifikat bei einer anerkannten Zertifizierungsstelle beantragen.
Die Installation eines SSL/TLS-Zertifikats ist nicht besonders schwierig und kann von IT-Dienstleistern relativ schnell umgesetzt werden.
Mit unseren IT-Partnern helfen wir Ihnen bei der Umsetzung.
(Wir sind reine Dienstleister und führen keine Rechtsberatung durch. Unsere Beratung bzw. Umsetzung ersetzt daher in keinem Fall das Zurateziehen eines Rechtsanwaltes und haften somit auch nicht für entstandene Schäden oder Rechtsfolgen.)
Jede Haftung ist daher ausgeschlossen.