Mehr als eine Pflichtübung: Datenschutz mit der cas_data

Datenschutz und Informationssicherheit ist für uns eine Herzensangelegenheit. Dafür beschäftigen wir zertifizierte Datenschutzbeauftragte (DSB) und Informationssicherheitsbeauftragte (ISB), die wir gerne auch bei Ihnen einsetzen. 

Wir beraten Sie gerne. Datenschutz und Informationssicherheit setzen wir in Ihrem Unternehmen regelkonform und dennoch mit Augenmaß um. Gleichzeitig nehmen wir Sie damit aus der Haftung. Denn bei Nichtbeachtung sämtlicher Anforderungen aus der DSGVO drohen Ihnen empfindliche Sanktionen bis zu 20 Millionen Euro oder 4 Prozent des gesamten Jahresumsatzes (nicht Gewinn!). Das kann weitreichende Konsequenzen auch für Ihr Unternehmen haben. 

Datenschutz, cas_data GmbH, Castrop-Rauxel

Audit

Eine detaillierte Aufnahme Ihrer Anforderungen steht am Beginn des Beratungsprozesses. Sowohl die Struktur Ihrer Organisation, als auch die Art der bewirtschafteten Daten und die Verfahren werden analysiert. Das Ergebnis ist eine ToDo-Liste, mit der anschließend der Datenschutz implementiert werden kann.

Flatrate

Mit der Datenschutz-Flatrate sichern Sie sich in allen Belangen vollständig ab. Sie erhalten einen externen Datenschutzbeauftragten, der Sie für die Implementierung eines gelebten Datenschutzes unterstützt. Einer für Sie passenden Strategie folgend, wird ein Datenschutzmanagementsystem aufgebaut.

Lernplattform

Damit Sie Ihre Datenschutzziele umsetzen können, müssen alle Beschäftigten über ausreichendes Wissen verfügen. Das erreichen Sie mit minimalem Aufwand mit unserer Lernplattform LeWiAn.

Microsoft 365, cas_data GmbH, Castrop-Rauxel

Beratung & Prozesse

Ergänzend bieten wir Leistungen für besondere Herausforderungen im Datenschutz an. Leistungspakete zu den Themen Videoüberwachung, Betroffenenrechte und Datenschutzvorfall helfen Ihnen, datenschutzkonform zu werden.

Datenschutz mit Office 365

Mit der Einführung von Produkten aus dem 365-Portfolio von Microsoft stellen sich Ihnen viele datenschutzrechtliche Fragen. Um die Risiken zu beleuchten und den Einsatz compliant zu gestalten, beraten wir Sie in einem mehrstufigen Projekt.

Informationssicherheit

Zu einem gelebten Datenschutz gehört die Betrachtung der Informationssicherheit dazu. Von der organisatorischen und technischen Seite entwickeln wir sowohl die Infrastruktur und die Verfahren so, dass Ihre Informationen sicher sind.

Aktuelles aus unserem Datenschutz-Blog

Unsere Datenschutzleistungen

Audit

Wie steht es um den Datenschutz in Ihrem Unternehmen? Arbeiten Sie bereits rechtskonform, sind die Beschäftigten geschult und setzen Sie die Anforderungen aus der DSGVO um? Wir geben die Antwort auf diese Fragen. Mittels eines Audits stellen wir Ihren Status quo fest und leiten daraus Handlungsempfehlungen für Sie ab.

Am Beginn unseres Audits steht eine detaillierte Aufnahme aller benötigten Informationen. Dabei analysieren wir sowohl die Struktur Ihrer Organisation, die Art der verarbeiteten Daten und deren Rechtsgrundlage als auch die zur Verarbeitung benötigen Verfahren und Prozesse. Das Ergebnis ist eine Strategie- und Umsetzungsplanung, mit der anschließend der Datenschutz in Ihrem Unternehmen implementiert werden kann.

 

Seit Mai 2018 gilt für alle Unternehmen in Europa die Datenschutzgrundverordnung. Sie gibt vor, was alles zu einer datenschutzkonformen Umsetzung zu tun ist, welche Voraussetzungen und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten erforderlich sind und welche Rahmenbedingungen Sie in Ihrem Unternehmen dafür schaffen müssen. Datenschutz ist kein Buch mit sieben Siegeln, jedoch ist es sehr leicht, den Überblick über die erheblichen Anforderungen zu verlieren und sich im Labyrinth der Gesetzestexte zu verirren. Dann muss Struktur her, und dabei unterstützen wir Sie.

Mit unserem Audit erfassen wir zunächst Grundsätzliches, hören in Ihr Unternehmen hinein, sprechen mit der Unternehmensleitung und all jenen, die verantwortlich für die verschiedenen Unternehmensbereiche sind.

Wenn es bereits Dokumentationen zu Bereichen des Datenschutzes gibt, greifen wir auch diese ab. So tragen wir alle benötigten Informationen zusammen und setzen Sie zu einem Bild zusammen. So wird für uns eine Struktur erkennbar, die wir bewerten können und aus der wir Handlungsempfehlungen ableiten können. Und auch Ihre Datensicherheit, also die Umsetzung technischer und organisatorischer Maßnahmen,  nehmen wir unter die Lupe und geben erste Empfehlungen zur qualitativen Verbesserung.

Datenschutz im Unternehmen muss einer Strategie folgen. Diese Strategie soll der „rote Faden“  sein, an dem sich Ihr Unternehmen und Ihre Mitarbeiter orientieren können. Wir geben in unserem Audit Hinweise sowohl für die strategische Ausrichtung als auch zur Umsetzungsplanung der erforderlichen Maßnahmen. Anhand einer Aufgaben- und Prioritätenübersicht zeichnen wir einen möglichen Weg hin zum DSGVO-konformen Datenschutz. Seien Sie versichert, dass wir Datenschutz mit Augenmaß betreiben und uns immer an der GM-Methode, also dem Umsetzen von Datenschutzanforderungen mit gesundem Menschenverstand, orientieren.

Unser Audit ist der erste Schritt, lassen Sie uns beginnen.

Datenschutz-Flatrate

Rundum-Datenschutz: 

Die Datenschutz-Flatrate bietet Ihnen eine umfassende Betreuung für den Aufbau und den Betrieb Ihrer Datenschutzorganisation. Dieses starke Leistungspaket erhalten Sie zu einem festen monatlichen Preis. Die Flatrate beinhaltet mehrere Leistungsbereiche:

Externer Datenschutzbeauftragter

Wir stellen Ihnen einen externen Datenschutzbeauftragten an die Seite der das notwendige Wissen, ausreichende Erfahrung und zertifizierte Kompetenz in Ihr Unternehmen bringt. 

Grundlagen
Alle Tätigkeiten gem. Art. 39 DSGVO (Aufgaben des Datenschutzbeauftragten) sind enthalten. Diese sind: 

  • Die Unterrichtung und Beratung der/des Verantwortlichen in Ihrer Organisation.
  • Die Überwachung der Einhaltung der DSGVO.
  • Wiederkehrende Schulung und Sensibilisierung der Mitarbeitenden.
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutzfolgenabschätzung.
  • Zusammenarbeit mit der für Sie zuständigen Aufsichtsbehörde.
  • Anlaufstelle für Aufsichtsbehörde


Bestandsaufnahme

Zu Beginn erhalten Sie eine einmalige Bestandsaufnahme zur Bestimmung des Status quo bzgl. Ihres Datenschutzniveaus inkl. einem Bericht und einer Aufgaben-/Prioritätenplanung sowie Empfehlungen zur Umsetzung Ihrer zukünftigen Datenschutzstrategie.

2-jährliches Strategiegespräch
Jeweils nach zwei Jahren findet ein Strategiegespräch mit der Geschäftsführung statt. Darin wird das Umsetzungskonzept besprochen und beschlossen. Ebenfalls wird der notwendige Unterstützungsbedarf festgelegt.

Inkludierte Prozesse
Im Rahmen der Datenschutz-Flatrate erhalten Sie die Beratungsleistungen für:

  • Prozess Betroffenenrechte
  • Prozess Datenschutzvorfälle
  • Prozess Videoüberwachung
    • jeweils mit Vorlagen,
    • Integration ins Unternehmen,
    • Hilfeleistung sowie Schulungsvideo in der Lernplattform LeWiAn.

Technische und organisatorische Maßnahmen (TOM)
Wir machen mit Ihnen zusammen eine Aufnahme und Bewertung Ihrer Maßnahmen zum Thema Informationssicherheit. Daraus erfolgt eine Dokumentation dieser Maßnahmen aus Perspektive des Datenschutzes. Optional unterstützen wir Sie bei der Optimierung der technischen und organisatorischen Maßnahmen durch einen Informationssicherheitsbeauftragten (ISB) der cas_data.

Internet+Link-Lösung (Datenschutzhinweis / Datenschutzerklärung)
Wir unterstützen Sie bei der Erstellung eines DSGVO-konformen Datenschutzhinweises für Ihre Webseite.  Für ggfs. verwendete Cookies auf Ihrer Website erhalten Sie Empfehlungen, wie Sie diese rechtskonform einsetzen. Mit unserer Link-Lösung setzen Sie die Informationspflicht gem. Art. 12 DSGVO inkl. Deep Link auf der Webseite um. Die Link-Lösung enthält die  Datenschutzhinweise und einen QR-Code.

Intelligente Vorlagen
Mit unserem vielfach bewährten Vorlagenpaket erhalten Sie Formblätter zur standardisierten Dokumentation zur Erfüllung der Rechenschaftspflicht. Das Paket umfasst

  • Leit- und Richtlinien,
  • Datenschutzerklärung,
  • Einwilligungen,
  • Verpflichtungserklärungen für Beschäftigte,
  • ADV-Vertrag,
  • Verarbeitungstätigkeiten inkl. Risikoanalyse,
  • Fragebogen zu technischen und organisatorischen Maßnahmen,
  • Datenschutz-Controlling.


Haftung

Wir setzen Datenschutz in Ihrem Unternehmen regelkonform um und nehmen Sie damit aus der Haftung. Denn bei Nichtbeachtung sämtlicher Prinzipien und Anforderungen aus der DSGVO drohen Ihnen empfindliche Sanktionen bis zu 20 Millionen Euro oder 4 Prozent des gesamten Jahresumsatzes (nicht Gewinn!). Das kann weitreichende Konsequenzen auch für Ihr Unternehmen haben.

Zusammengefasst:

Mit der Datenschutz-Flatrate der cas_data GmbH setzen Sie nicht nur die DSGVO um. Vielmehr wird das Datenschutzmanagement Teil Ihres Qualitätsmanagements. So wirkt sich konsequent umgesetzter Datenschutz vor allem auch auf die Kunden- und Mitarbeiterbeziehung aus.

 

 

Lernplattform

LeWiAn – Datenschutzwissen einfach vermittelt! 

Damit Sie Ihre Datenschutzziele umsetzen können, müssen alle Beschäftigten über ausreichendes Wissen verfügen. Das erreichen Sie mit minimalem Aufwand mit unserer Lernplattform LeWiAn.

Eine wichtige Voraussetzung für den Datenschutz im Unternehmen ist, dass Ihre Mitarbeiter zum Thema Datenschutz sensibilisiert und geschult werden. 

Dafür stellen wir unsere Lernplattform LeWiAn zur Verfügung. LeWiAn bedeutet: lernen – wissen – anwenden. Und genau diesen Weg wollen wir mit unserem Angebot beschreiten.

In Kursen, bestehend aus 1 bis 3 Lektionen, vermitteln wir das Wissen zu allen wichtigen Aspekten des Datenschutzes. Ob Grundschulung für alle Beschäftigten, Kurse wie Verarbeitungsverzeichnis und Auftragsverarbeitung für Führungskräfte und Verantwortliche oder spezielle Projektthemen wie Videoüberwachung, Betroffenenrechte oder Datenschutzverstöße – bei uns finden Sie das passende Angebot, das wir stets erweitern und an die jeweiligen Bedürfnisse anpassen.

Nach erfolgreichem Abschluss eines Kurses, also der Teilnahme am Kurs sowie dem erfolgreichen Beantworten weniger kurzer Wissensabfragen, erhalten die Teilnehmer ein Zertifikat zum Nachweis Ihrer Fortbildung. Da Sie als Unternehmen Ihre eigenen Beschäftigten in LeWiAn anlegen und verwalten, haben Sie jederzeit einen Überblick über den Ausbildungsstand jedes einzelnen Beschäftigten. Und führen damit auch den Nachweis, welche Beschäftigten die für sie relevanten Kurse absolviert haben.

 

Beratung & Prozesse

Mit unserer Datenschutz-Flatrate decken wir bereits alle Bereiche ab, die uns Datenschutzbeauftragten durch die DSGVO vorgegeben werden. Dazu gehört vor allem auch die Beratung bei den unterschiedlichsten Datenschutzthemen. Beratung allein ist aber an einigen Stellen nicht ausreichend, weil die Themen recht komplex sind. Doch auch da lassen wir Sie nicht allein. Wir empfehlen Ihnen die Zuhilfenahme des Datenschutzbeauftragten auch bei der Gestaltung und Umsetzung dieser wichtigen Prozesse im Unternehmen.  Neben den in die Thematik einführenden Kursen auf unserer Lernplattform LeWiAn erhalten Sie Unterstützung durch Vorlagen, Prozessdokumentation und aktive Hilfe bei der Umsetzung. Das trägt signifikant zur Rechtssicherheit bei und minimiert Haftungsrisiken. Wenngleich wir als Datenschutzbeauftragte keine Rechtsberatung ausüben dürfen – die ist nämlich Rechtsanwälten vorbehalten – so geben wir während des Prozesses dennoch Empfehlungen, die sich an den Umsetzungshilfen der Aufsichtsbehörden orientieren. Das alles zu Ihrer Sicherheit und einer DSGVO-konformen Umsetzung der Prozesse in Ihrem Unternehmen.

Prozess Videoüberwachung
Das Thema Videoüberwachung ist ein sehr heikles Thema, denn immer öfter und immer mehr wird in die informationelle Selbstbestimmung von Betroffenen eingegriffen. Dabei hat jeder Mensch das Recht, sich in der Öffentlichkeit frei zu bewegen, ohne dass sein Verhalten permanent mit einer Kamera beobachtet oder aufgezeichnet wird. Rechtswidrige Videoüberwachung kann hohe Geldbußen nach sich ziehen. Deshalb unterstützen wir Sie, damit Sie Videoüberwachung rechtssicher betreiben können.

Mittels eines Fragebogens erfahren wir von Ihnen, was Sie planen, einsetzen und auf welcher Rechtsgrundlage die Videoüberwachung stattfinden soll. Dazu stellen Sie uns weitere Unterlagen zur Verfügung, damit wir auch die technischen und organisatorischen Fragen rund um die Videoüberwachung beantworten können. Unser Prozess hilft Ihnen und uns dabei, systematisch vorzugehen und Risiken für Betroffene weitgehend auszuschließen. Und nicht zuletzt erhalten Sie von uns Vorlagen für Hinweisschilder und Datenschutzhinweise, die Sie öffentlich aushängen bzw. veröffentlichen müssen.

Prozess Betroffenenrechte
Hat Ihnen eine betroffene Person schon einmal ein Auskunfts-, Änderungs- oder gar Löschbegehren zu seinen personenbezogenen Daten angezeigt? Dann wissen Sie, wie aufwändig die Beantwortung eines solchen Begehrens sein kann. Und falls Sie das noch nicht wussten, erläutern wir Ihnen das hier.

Jede Person, deren Daten Sie in Ihrem Unternehmen verarbeiten, hat gemäß DSGVO umfangreiche Betroffenenrechte. Das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch steht jeder betroffenen Person zu. Seien Sie nicht unvorbereitet, wenn Sie auf eines dieser Rechte reagieren müssen. Denn die Beantwortung z.B. eines Auskunftsbegehrens muss innerhalb eines Monats erfolgen. Was, wenn Sie erst feststellen müssen, wo sich denn welche Daten überhaupt befinden? Wer weiß das, wer steuert den Prozess, wer beantwortet die Anfrage, wie muss die Beantwortung förmlich aussehen, um den Anforderungen der DSGVO zu genügen?

Wir begleiten Sie dabei, einen DSGVO-konformen Prozess aufzusetzen, Zuständigkeiten zu erkennen und Verantwortliche zu benennen. Die Verantwortlichen wissen, wo und in welchen Systemen sich Daten der betroffenen Person befinden, können diese zusammenführen und dem Auskunftsersuchen Rechenschaft tragen. Alle anderen Betroffenenrechte können durch diesen Prozess ebenso gewährt werden. Am Ende dieses Prozesses steht die Dokumentation, mit der Sie Ihrer Rechenschaftspflicht nachkommen. Ist dieser Prozess in Ihrem Unternehmen eingeführt, werden Sie dem Begehren von Betroffenen routiniert begegnen können.

Prozess Datenschutzvorfall
Datenschutzvorfälle sind sehr ärgerlich, aber leider nicht immer vermeidbar. Es sind nicht nur Menschen, die infolge einer Unachtsamkeit einen Datenschutzvorfall auslösen, vielmehr ermöglichen Sicherheitslücken in IT-Systemen Angreifern den Zugang zu personenbezogenen Daten. Eine ständige Sensibilisierung der Beschäftigen und ein großes Maß an Datensicherheit helfen Ihnen sicher dabei, die Risiken für Datenschutzverstöße zu minimieren. Doch was muss geschehen, wenn es dennoch passiert?

Laut DSGVO müssen Verstöße gegen die DSGVO, also Datenschutzvorfälle, innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden. Und schon hier beginnt das Dilemma. Denn was ist ein meldepflichtiger Datenschutzverstoß? Wer bearbeitet solche Vorfälle im Unternehmen, was ist zu tun, um einem möglichen Bußgeld zu entgehen? Müssen möglicherweise auch Betroffene über den Vorfall informiert werden?

„Nur keine Panik“ ist unsere Devise, denn wir geben Ihnen die passenden Antworten. Unser strukturierte Prozess hilft Ihnen dabei, mit der nötigen Sorgfalt, aber auch mit einer Portion Gelassenheit auf eventuelle Vorfälle zu reagieren. In Zusammenarbeit mit dem Datensicherheitsteam werden sämtliche Vorgehensweisen besprochen, in standardisierte Prozesse in Ihrem Unternehmen überführt und durch uns Handlungsoptionen für den Umgang mit den Aufsichtsbehörden aufgezeigt. Dazu leisten wir Hilfestellung bei der internen Dokumentation von Datenschutzvorfällen. So minimieren wir die Gefahr von Bußgeldzahlungen wegen eines Verstoßes gegen die Datenschutzgrundverordnung.

 

Datenschutz beim Einsatz von Microsoft 365 / Office 365

Ist der Einsatz von 365-Produkten datenschutzkonform? 

Das ist eine der meist diskutierten Fragen unter Datenschutzbeauftragten. Und ganz ehrlich:
Die Frage lässt sich nicht eindeutig beantworten. Die Antwort liegt in ganz vielen kleinen Details versteckt, welche, je nach Einsatz, einzeln betrachtet und bewertet werden müssen.

Um für unsere Kunden Klarheit zu schaffen, gehen wir das Problem auf mehreren Ebenen an:

  • Vertraglicher Rahmen mit Microsoft
  • Analyse jeder einzelnen eingesetzten Applikation aus dem 365-Portfolio
  • Bewertung aus datenschutzrechtlicher Perspektive
  • Empfehlungen für die Konfigurationsmöglichkeiten
  • Zusammenfassung
  • bei Bedarf Mitwirkung an einer Datenschutzfolgenabschätzung.

Aufgrund unterschiedlicher Kompetenzen in unserem Beratungsteam decken wir sowohl die technischen, als auch die datenschutzrechtlichen Aspekte in der Ausarbeitung eines Datenschutzkonzeptes für Microsoft 365 / Office 365 ab. Dazu kennen wir die Produkte im betrieblichen Einsatz und geben Empfehlungen zur Minderung von Risiken.

Basis der Betrachtung ist die Liste der zukünftig in Ihrem Unternehmen eingesetzten Applikationen. Für jede einzelne Applikation findet eine Analyse hinsichtlich der behandelten systemseitigen Daten und der existierenden Schnittstellen statt. Ebenfalls werden je Applikation die aktuellen vertraglichen Gestaltungsmöglichkeiten mit Microsoft analysiert.

Aus diesen Informationen wird für jede Applikation eine Bewertung erstellt und anschließend in einem Ampelsystem verdichtet. Mit einer Konfigurationsempfehlung erhalten Sie Anleitungen für die Minderung von Datenschutzrisiken. Sowohl die IT-Techniker, als auch die datenschutzverantwortliche Person erhalten somit klare Entscheidungsgrundlagen.

In einer Zusammenfassung werden die Ergebnisse aller Applikationen vereint und für das Management verständlich aufbereitet. Das Projekt wird mit einer Ergebnispräsentation abgeschlossen.

Unser Leistungspaket umfasst:

  • Je Applikation eine Analyse der
    • systembedingten Daten,
    • Schnittstellen und
    • vertraglichen Gestaltungsmöglichkeiten.
  • Je Applikation eine Bewertung mit
    • Ampelsystem,
    • datenschutzrechtlichen Risiken und
    • Konfigurationsempfehlungen.
  • Zusammenfassung aller Applikationen als Management-Summary.
  • Präsentation der Ergebnisse.

 

Informationssicherheit

Datensicherung und Firewall schützen – nicht alles!

Bewusstsein für den technischen Schutz der IT-Infrastruktur wird zusehends geweckt. Dies liegt auch daran, dass beim Datenschutz die technischen Maßnahmen für den Schutz personenbezogenen Daten in den Fokus gerückt werden.

Datenschützer zielen eher auf die Betrachtung einer Vertraulichkeit (Privacy). Allerdings ist technische Sicherheit (Security) für Datenschützer schwer zu beurteilen und somit auch nicht leicht verfahrenstechnisch zu führen. An dieser Stelle bedarf es eines Spezialisten für Informationssicherheit. Dieser beurteilt die technischen Maßnahmen und kann aufgrund seiner Ausbildung dafür benötigte Verfahren zur kontinuierlichen Verbesserung der Informationssicherheit einleiten. 

Gerade bei der Bewertung und Gestaltung von TOMs (technische und organisatorische Maßnahmen) für z.B. ADV-Verträge stoßen IT-Administratoren und Kaufleute an ihre Grenzen. Hier bieten wir Ihnen die Beratung durch unsere Informationssicherheitsbeauftragten an.

Zu unserer Themenseite Informationssicherheit gelangen Sie hier.

Wie kann ich Ihnen helfen?

Sandra Weidlich, Teamleitung Beratung