dataprotect | knowldege pack - DSGVO-Konformität für KMUs / EPUs um EUR 800

 

Die Datenschutz-grundverordnung (DSGVO) und das neue Datenschutzgesetz (DSG) treten am 25.05.2018 in Kraft.

Beide werfen ihre langen Schatten voraus, und auch KMUs und EPUs müssen sich intensiv darauf vorbereiten.

 


Was kommt auf Sie zu?

 

·         Verzeichnis von Verarbeitungstätigkeiten

 

·         Informationspflichten gegenüber Mitarbeitern, Kunden, Newsletter-abonennten, Lieferanten

 

·         Umfangreiche Rechte der betroffenen Personen (Auskunft, Löschung, Datenübertragbarkeit)

 

·         Meldung von Datenschutzvorfällen bei der Datenschutzbehörde und den betroffenen Personen

 


Dokumentation?

 

 

Die DSGVO und das DSG verhindert nicht, dass Sie diese Daten für Unternehmenszwecke verwenden, sondern Sie müssen nur sicherstellen, dass sie die Grundprinzipien der Verarbeitung einhalten, und dass die Verarbeitung auf einer gültigen Rechtsgrundlage (zB Vertrag, Gesetz (zB arbeitsrechtliche Vorschriften, steuerrechtliche Vorschriften), Einwilligung …) beruhen, und Sie die Personen, die die Daten „zur Verfügung stellen“, über die Verarbeitung (umfassend) zB durch eine Datenschutzerklärung auf der Website oder individuell (zB bei Mitarbeitern) informieren. Wenn eine betroffene Person sich an Sie wendet, und um Auskunft oder Löschung anfragt, müssen Sie innerhalb eines Monats entsprechend fundiert antworten können. Sollten Sie Daten „verlieren“ oder gehackt werden, und die Gefahr bestehen, dass diese Daten durch Unbefugte verwendet werden, dann sind Sie verpflichtet, der Behörde und uU auch den betroffenen Personen eine Meldung zu machen.

 

 


Was können Sie mit dem dataprotect | Knowledge pack tun?

 

Sie erhalten die Möglichkeit, diese Unterlagen für den Gebrauch in Ihrer Organisation zu verwenden, und gegebenenfalls anzupassen, sofern dies notwendig sein sollte.  Wenn Sie über die angeführte Dokumentation verfügen, und die betroffenen Personen auf die richtige Art und Weise informieren, dann erfüllen Sie üblicherweise die Anforderungen der Datenschutzgrundverordnung und des DSG für die Verarbeitung von personenbezogenen Daten[1].

 



[1] Sofern Sie „sensible“ Daten (zB Sozialversicherungsnummer, Gesundheits- oder Krankendaten, Gewerkschaftszugehörigkeit) in umfangreicher Form, dh z.B. außerhalb der Personalverwaltung verarbeiten, dann ist das nicht vom Paket umfasst. Ebenso ausgenommen sind Verarbeitungen die Profiling darstellen (systematische Bewertung persönlicher Aspekte von Personen) oder wenn Sie eine Überwachungstätigkeit im öffentlichen Bereich durchführen. Weiters sind Organisationen ausgenommen, die verpflichtend einen Datenschutzbeauftragten (DSBA) zu bestellen haben.

 

 

 

 

 

 

 

 

 

Warum müssen Sie sich darum kümmern?

 

Datenschutz ist der Schutz von Rechten und Freiheiten von natürlichen Personen, deren (personenbezogene) Daten Sie verarbeiten. Sie tun das bei Mitarbeitern (Name, Adresse, Arbeitszeiten, Gehalt/Lohn, Arbeitszeit, Krankenstandsdaten, Urlaubsdaten etc..) und auch bei Kunden (Stammdaten, Adressdaten, Leistungsdaten, Zahlungsdaten, Zahlungsverhalten, Bonitätsdaten etc..) oder Newsletterabonenneten (Anmeldung, Erhalt, Reaktionen) oder auch nur über ihre Website (Kontaktformular, Website-Tracking und Website-Analyse, Cookies …) und auch bei Lieferanten (Stammdaten, Adressdaten, Leistungsdaten, Zahlungsdaten …).

 


dataprotect | knowledge pack

 

Sämtliche dieser Schritte sind Aufwand und es sind die einzelnen Vorgänge im Unternehmen zu dokumentieren und zu beschreiben. Im Anlassfall müssen Sie richtig und umfassend reagieren können.

 

In vielen Unternehmen laufen die Verarbeitungsvorgängen gleichförmig ab, zB in der Personalverwaltung oder der Kunden- und Lieferantenverwaltung (Rechnungswesen) oder auch bei Newslettern, sodass es möglich ist, das

 

dataprotect |

knowledge pack

für KMU / EPU

zur Verfügung zu stellen.

 

 


Was kostet das dataprotect | Knowledge pack?

 

Der Preis für das dataprotect | Knowledge pack beträgt einmalig                                                 EUR 800,-- (zzgl. Umsatzsteuer).

 

 

Wir bieten auch ein dataprotect | knowledge pack mit (jährlichem) „Abo-Service“ zum Preis von zusätzlich                        EUR    80,-- (zzgl. Umsatzsteuer) an.

 

Das Abo-Service umfasst die laufende Aktualisierung der Unterlagen anhand der neuesten Entwicklungen und Entscheidungen im Datenschutz sowie Ergänzungen und Adaptierungen. Das Abo wird zumindest einmal jährlich (zum 31.03.; erstmalig zum 31.03.2019) ausgeliefert. Eine Kündigung des Abos ist jederzeit unter Einhaltung einer Frist von einem Monat zum Monatsende möglich.

 

Download

Hier können SIe das Bestellformular downloaden.

Download
Bestellformular dataprotect | knowledge pack
Muster und Unterlagen für KMU zur Erfüllung der Anforderungen der DSGVO und des DSG
dataprotect knowledge pack v 1-0 Dez 201
Adobe Acrobat Dokument 687.2 KB

Haben Sie auch an folgende Daten gedacht?

Auch im Rahmen der Verwendung von Email und Internet im Unternehmen fallen (unbewusst) personenbezogene Daten von Ihren Mitarbeitern an (Log-Files, Protokollierung…) oder im Rahmen der technischen Objektsicherheit werden personenbezogene Daten gespeichert (Videoüberwachung, Zutrittssysteme).

 

 


Was ist umfasst?

 

Das dataprotect | knowlegde pack umfasst

 

·         ein Musterverzeichnis, das die üblichen Verarbeitungsvorgänge in einem KMU / EPU abdeckt

 

·         ein Transparenzpaket: dieses stellt sicher, dass Sie wissen, wie Sie den Informationspflichten gegenüber den betroffenen Personen (Kunden, Websitebesuchern, Lieferanten, Mitarbeitern, Bewerbern) nachkommen können, mit einer Muster-Datenschutzinformation für die Website und als Handout für Mitarbeiter und andere Personen, mit denen Sie in direktem Kontakt stehen

 

·         Muster zur Verpflichtung der Dienstnehmer auf das Datengeheimnis gem. § 6 DSG

 

·         Standardvertrag über die Auftragsverarbeitung, den Sie mit Auftragsverarbeitern, die in Ihrem Auftrag Daten verarbeiten (z.B. IT-Unternehmen, Steuerberater …) abschließen können, um den notwendigen Pflichten des Art 28 DSGVO nachkommen zu können.

 

·         Standarddokumentation zu TOMs (technische und organisatorische Maßnahmen), die Sie implementieren müssen, um der Datensicherheit nachkommen zu können

 

·         Leitfaden und Muster für Rechte der betroffenen Personen (Auskunft, Löschung …)

 

·         Handlungsanweisungen für Meldung eines Datenschutzvorfalles.

 

 


Wie kommen Sie zum dataprotect | knowledge pack?

 Sie können das dataprotect | Knowledge pack oder das dataprotect | knowledge pack mit Abo-Service - als Unternehmer - (das Service richtet sich nicht an Kosumenten iSd KSchG, da die "private" Verarbeitung von Daten nicht in den Anwendungsbereich der DSGVO und des DSG fällt - leicht erwerben. 

 

Dowloaden - Ausdrucken - Ausfüllen - Faxen oder per Email senden - Anzahlung bezahlen 

Sie erhalten das dataprotect | knowledge pack binnen 4 Wochen nach Eingang der Anzahlung von 50 % (nach Rechnungslegung zur Zahlung fällig)


Aktuelle Artikel im Blog auf dataprotect

What´s App & Unternehmenskommunikation

 

What´s App-Nutzung in beruflicher Hinsicht ist unzulässig (Nutzungsbedingungen What´s App).

What´s App am Business-Handy ist datenschutzrechtlich unzulässig, wenn diese App auf die Kontaktdaten zugreift, und „nach Hause telefoniert“.

 

 

 

Löst Apple nun das Problem für die Business-User?

 

Nach einem Bericht auf „Computerwoche.de“ trennt Apple in iOS 11.3 die Kontaktdaten in „geschäftliche“ und „private“ Kontakte, wenn eine Enterprise-Mobility-Management System (EMM)  wie MobileIron oder Cortado oder ähnliches eingesetzt wird, sofern das EMM die Verteilung von iOs-nativen App Policies ermöglicht (so die Computerwoche).

 

Immowebinar

Wirtschaftskammer Österreich gemeinsam mit dem Österreichischen Verband der Immobilienwirtschaft sowie dem Österreichischen Verband Gemeinnütziger Bauvereinigungen / Revisionsverband

mehr lesen

Facebook Custom Audiences

 

Facebook bietet selbst umfangreiche Informationen, wie diese Art der Werbung auf Facebook funktioniert. Es wird eine Kundenliste des Werbenden verwendet, um die Zielgruppe zu definieren. Es ist möglich, aus den eigenen Kundenlisten eine „Custom Audience“ auf Facebook mit der Werbebotschaft zu erreichen. Auf Facebook sind Informationen über den Ablauf zu Facebook Audiences abrufbar:

 

https://www.facebook.com/business/help/170456843145568?helpref=faq_content

 

 

 

Das Bayerische Landesamt für Datenschutzaufsicht hat im Jahr 2017 zu den unterschiedlichen Möglichkeiten der Werbung auf Facebook Stellung genommen und dazu ausgeführt:

 

1.    Facebook Custom Audience über die Kundenliste

 

a. Rechtsgrundlage:

 

Es ist eine „informierte, freiwillige, jederzeit widerrufliche Einwilligung“ des Kunden notwendig, damit dies zulässig ist, da Daten zu Facebook hochgeladen werden, und dazu keine andere Rechtsgrundlage (auch nicht nach der DSGVO denkbar ist)

 

 

 

b. Widerruflichkeit der Einwilligung: 

 

Bei einem Widerruf des Kunden (der betroffenen Person), dann muss die betroffene Person unverzüglich von der Kundenliste entfernt werden, und Facebook ist zu informieren, dass diese Werbetätigkeit mit diesen konkreten Kundendaten nicht mehr erfolgen darf. Es daher die gesamte Audience-Liste neu zu erstellen bzw. zu akutalisieren.

 

 

 

2.    Facebook Custom Audience über das Pixel-Verfahren:

 

Viele Websiten verwenden einen „Facebook-Button“ und binden Facebook-Pixel auf der Website ein; der Betreiber ist der datenschutzrechtlich Verantwortliche, weil die Verwendung von Facebook als Werbemedium bewusst verwendet wird, und daher vom Website-Betreiber veranlasst wird. Eine Einbindung des Facebook-Pixels ist unter folgenden Voraussetzungen zulässig:

 

 

 

a. „Erweiterter Abgleich“ 

 

Durch das Facebook-Pixel erfolgt eine Übermittlung von Kundendaten, zB Vorname, Name, Email-Adresse, Mobiltelefonnummer etc… an Facebook. Diese werden mit Tracking-Daten angereichert. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind.

 

Es ist möglich, dass Websitenbesucher, die die Speicherung von Third-Party-Cookies unterbinden, auf Facebook zu verfolgen.

 

Auch dafür ist vorab eine informierte, jederzeit widerrufliche, freiwillige Einwilligung aller Website-Besucher notwendig. Ohne wirksame Einwilligung kann diese Art der Werbemaßnahme von Facebook nicht zulässigerweise verwendet werden.

 

Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

 

  

 

b. Informationspflicht 

 

Der Verantwortliche hat (nach dem 25.05.2018) die Verpflichtungen nach Art 13 DSGVO zu erfüllen und die betroffenen Personen umfassend zu informieren (siehe: https://www.dataprotect.at/2018/03/17/dsgvo-informationspflicht/)

 

 

 

c. Opt-Out-Verfahren

 

„Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

 

• Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.

 

• Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.

 

• Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Programmieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.

 

• Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScriptFunktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook Custom Audience Pixel-Verfahren auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.

 

• Auch ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur Facebook-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzerkonto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.“ (Quelle: Pressemitteilung, Bayerisches Landesamt für Datenschutzaufsicht, 04.10.2017, https://www.lda.bayern.de/media/pm2017_07.pdf (abgerufen am 08.04.2018)

 

Wie kann eine Einwilligung erfolgen, und zwar insbes. beim Facebook Pixel:

  1. Bei Aufruf der Homepage, werden die Websiten-Besucher gebeten, aktiv der Verwendung des Facbook-Pixel zuzustimmen und zwar mit einem expliziten Hinweis und einer Möglichkeit, die Website auch ohne Pixel (Cookie) aufzurufen. Diese Einwilligung muss den allgemeinen Anforderungen der datenschutzrechtlichen Einwilligung (freiwillig, informiert, widerrufbar) entsprechen. 
  2. Es erfolgt ein Verweis auf die "allgemeinen Datenschutzbestimmungen", in denen die Information gem. Art 13 DSGVO über die Erhebung der Daten enthalten ist. 
  3. Erst nach erfolgter Einwilligung ("OK" / "einverstanden"), ist es zulässig, das Pixel in die Website einzubinden (Neuladen / per Script); gleichzeitig wird beim User ein "Facebook Pixel Opt In"-Cookie gesetzt. 
  4. Bei einem erneuten Besuch der Website kann das abgelegte Cookie (Opt-In) geprüft werden, und kann die Website incl Facebook-Pixel angezeigt werden, ohne dass es einer neuerlichen Einwilligung bedarf. 
  5. Es ist eine einfache Möglichkeit zu geben, die Einwilligung zu widerrufen, und der Widerruf muss befolgt werden und es muss dann sichergestellt werden, dass die weitere Datenverarbeitung unterbleibt; es ist der Cookie zu löschen. 

 

Wird das Facebook-Pixel ohne erweiterten Abgleich genutzt, dann ist dies im Opt-Out-Verfahren (aus derzeitiger Sicht) zulässig. 

Insbes auch aufgrund des Verfahrens vor dem EuGH und auch der medialen Präsenz von Facebook und der Verfehlungen kann für die in diesem Blog gemachten Aussagen keine Haftung übernommen werden; eine 100%-ige Rechtssicherheit ist in diesem Thema mangels konkreter Entscheidungen und konkreter Vorgaben der DSBs nicht erreichbar.