Frequently asked questions

Die meistgestellten Fragen zu unserem Service und zum Thema Datenschutz.

Über heyDatas Service

Hier findest du mehr zu unserem Service, den Paketen und Preisen bei heyData, deinem externen Datenschutzbeauftragten-as a Software.

Kund:innen von heyData bekommen das Beste aus der Verbindung einer hilfreichen Datenschutz-Software und ganz persönlicher Experten-Unterstützung. Mit der digitalen heyData-Plattform bekommst du deinen Datenschutz einfach und zuverlässig unter Kontrolle. Gleichzeitig sind unsere Datenschutz-Anwälte wahre Experten in ihrem Feld.

Datenschutz ist keine Frage der Unternehmensgröße. Die Datenschutzvorgaben - und leider auch die Bußgelder - treffen Selbstständige genauso wie Konzerne. Wenn du frühzeitig mit dem Thema Datenschutz anfängst, wächst es mit deinem Unternehmen und nachträglich sind keine schmerzhaften Änderungen nötig.

Eine Kostenschätzung bekommst du über hier in unserer Preisübersicht.

Hier findest du eine Übersicht zu unseren Paketen und wie sie sich unterscheiden.

Die heyData-Plattform hilft dir insgesamt, deinen Datenschutz für dein Unternehmen in den Griff zu bekommen - von der Auditierung über den Abruf wichtiger Dokumente bis zur Schulung von Mitarbeitenden.

Onboarding: Einführung aller relevanter Mitarbeitenden in heyData-Plattform. 

Digitales 360°-Audit: Durchleuchtung deiner Abteilungen auf Datenschutzkonformität 

Dokumentation: automatisierte Erstellung aller datenschutzrelevanter Dokumente, die über die heyData Plattform mitsamt Hinweisen zur Verbesserung deines Datenschutz-Levels zur Verfügung gestellt werden‍.

Kontinuierliche Betreuung: Proaktives Monitoring zu allen Datenschutzthemen über unsere Plattform mit persönlichem Ansprechpartner.

Wir arbeiten komplett auf Deutsch und Englisch. Weitere Sprachen sind auf Anfrage verfügbar.

Rund um Datenschutz

Hier findest du alle Antworten zu den Themen im Bereich Datenschutz

17 deutsche Aufsichtsbehörden kontrollieren die Einhaltung der Datenschutzbestimmungen. Dein Datenschutzbeauftragter ist gemäß Art. 39 Abs. 1 DSGVO verpflichtet, die Wahrung dieser datenschutzrechtlicher Vorschriften sicherzustellen.

Dein Unternehmen erwarten Bußgelder von bis zu 20 Mio. Euro oder 4% des jährlichen Umsatzes. Außerdem musst du mit Einbußen deiner Reputation und des Kundenvertrauens in dein Unternehmen rechnen.

Brauche ich überhaupt einen Datenschutzbeauftragten?
Auch wenn du keinen Datenschutzbeauftragten brauchst, muss dein Unternehmen trotzdem alle Datenschutzvorgaben einhalten. Einen Datenschutzbeauftragten brauchst du aber auf jeden Fall, wenn eines oder mehrere der folgenden Kriterien auf dein Unternehmen zutreffen:
 

  • du beschäftigst mehr als 20 Mitarbeitende
  • du verarbeitest umfassend besondere Kategorien von personenbezogenen Daten (wie Daten zur ethnischen Herkunft, politischen Meinung, religiösen Überzeugung oder Gesundheit einer Person)
  • du nutzt Videoüberwachung oder setzt neue Techniken, z.B. Algorithmen oder künstliche Intelligenz, ein
  • bei fast allen Unternehmen, die einen Bezug zu Personal haben: es werden geschäftsmäßig personenbezogene Daten übermittelt, erhoben, verarbeitet oder genutzt und dies stellt eine Kerntätigkeit des Unternehmens dar‍

Häufig gestellte Fragen zum Thema Datenschutzbeauftragter

Dies sind die häufigst gestellten Fragen

Im Allgemeinen ist es nicht nur eine Frage der Mitarbeiterzahl. Auch dann, wenn Du nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet bist, muss Dein Unternehmen trotzdem alle Datenschutzanforderungen einhalten. Ein Datenschutzbeauftragter ist in jedem Fall erforderlich, wenn eines oder mehrere der folgenden Kriterien auf Dein Unternehmen zutreffen:

  • Du hast mehr als 20 Beschäftigte
  • Du verarbeitest in großem Umfang besondere Kategorien personenbezogener Daten (z. B. Daten über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder Gesundheit einer Person)
  • Du nutzt Videoüberwachung oder setzt neue Techniken, z.B. Algorithmen oder künstliche Intelligenz, ein
  • Bei fast allen Unternehmen, die einen Bezug zu Personal haben: es werden geschäftsmäßig personenbezogene Daten übermittelt, erhoben, verarbeitet oder genutzt und dies stellt eine Kerntätigkeit des Unternehmens dar‍

Der Datenschutzbeauftragte hat folgende Aufgaben:

  • Beratung und Schulung von Verantwortlichen, Auftragsverarbeitern und Mitarbeitern zur Einhaltung von Datenschutzbestimmungen
  • Überwachung der Einhaltung von Datenschutzbestimmungen und Strategien zum Schutz personenbezogener Daten, sowie Durchführung von Datenschutz-Folgenabschätzungen
  • Datenschutz-Audit deines Unternehmens
  • Zusammenarbeit und Kontakt mit der Datenschutzbehörde
  • Beratung von Geschäftsleitung und Fachabteilungen
  • Erstellung der Pflichtdokumente
     

Ein interner Datenschutzbeauftragter in Teilzeit investiert 20% seiner Arbeitszeit in Datenschutz-Aufgaben. Das kann das Unternehmen jährlich zwischen 5.000 und 15.000 Euro kosten, je nach Aufwand.

Wenn man einen internen Datenschutzbeauftragten in Vollzeit einstellt, fallen die gleichen Kosten an wie beim Teilzeit-Datenschutzbeauftragte, jedoch ohne anteilige Gehaltsberechnung. Die Kosten für Vollzeit-Datenschutzbeauftragte können zwischen 45.000 und 65.000 Euro pro Jahr liegen, je nach Unternehmen und Aufgaben. Die durchschnittliche Investitionssumme beträgt 55.000 Euro.

Die Kosten für externe Datenschutzbeauftragte sind sehr unterschiedlich und hängen von vielen Faktoren ab. Rechtsanwälte und Anwaltskanzleien können Stundensätze von 250 Euro und mehr verlangen, während externe Datenschutzbeauftragte mit einem Fachkundenachweis oft etwas weniger verdienen.

Wichtig zu erwähnen ist, dass ein externer Datenschutzbeauftragter viele Kostenpunkte, wie z. B. Fortbildungen, Arbeitsmaterialien, selbst übernimmt, und für Fehler in der Beratung grundsätzlich haftbar ist.

Unsere Datenschutzlösung bietet Deinem Unternehmen unter anderem:

  • Unterstützung als externer Datenschutzbeauftragter
  • Unterstützung bei der Erstellung & Prüfung von Datenschutzerklärungen, Auftragsverarbeitungsverträgen (AVV), dem Verzeichnis von Verarbeitungstätigkeiten (VVT), technisch organisatorischen Maßnahmen (TOM) und den wichtigsten Datenschutzdokumenten
  • Ein umfassendes digitales Audit zur Identifikation von Datenschutzrisiken
  • Online-Mitarbeiterschulungen
  • Ein Expertenteam von Rechtsanwalt:innen und Jurist*innen, das dir bei der Einhaltung der Datenschutzbestimmungen zur Seite steht

Auf der Basis deiner Bedürfnisse erstellen wir ein maßgeschneidertes Angebot und teilen es dir auf transparente Weise mit (keine versteckten Extra-Gebühren). Für weitere Informationen siehe unsere Preisseite.

Wenn du auf der Suche nach einem externen Datenschutzbeauftragten (DSB) bist, gibt es ein paar Punkte, auf die du achten solltest.  Hier sind die wichtigsten Punkte, die du auf deiner Checkliste abhaken solltest:

  • Rechtliche Kenntnisse: Verfügt der externe DSB über solide Erfahrung im Bereich des Datenschutzes? Ist er/sie ein Experte in Bezug auf die DSGVO und/oder andere lokale Vorschriften?
  • Branchenkenntnisse: Hat der externer Datenschutzbeauftragter Erfahrung in deiner speziellen Branche? Dies kann besonders hilfreich sein, wenn deine Branche spezielle Datenschutzanforderungen hat.
  • Eine Person oder ein Team von Experten: Ist der DSB Teil eines Expertenteams? Wenn ja, bedeutet dies nicht nur zusätzliches Fachwissen, sondern auch erhöhte Verfügbarkeit.
  • Soft Skills: Im besten Fall sollte der DSB auch über interdisziplinäre Fähigkeiten wie gute Kommunikation und Teamarbeit verfügen. Dies erleichtert die Zusammenarbeit erheblich.
  • Schulung und Zertifizierung für deine Mitarbeiter: Kann der externer DSB deine Mitarbeiter ausreichend schulen? Und darf er ihnen eine Zertifizierung über den Abschluss der Kurse ausstellen?
  • Preis und Transparenz: Sind die Kosten klar und transparent? Gibt es verschiedene Paketoptionen, die zu deinem Budget passen?
  • Digitalisierung und Vereinfachung: Verwendet der externe DSB moderne, digitale Instrumente wie Software und Integrationen?Dies kann die Prozesse beschleunigen und die Effizienz steigern.
  • Aktualisierungen und Flexibilität: Kann sich der externe DSB an veränderte Anforderungen anpassen? Im Bereich des Datenschutzes ist es oft entscheidend, auf dem Laufenden zu bleiben, da sich Gesetze und Vorschriften ändern können.

Umfassende Datenschutzberatung

Die am häufigsten gestellten Fragen und Antworten zu unserer Datenschutzberatung

Bei Fragen zum Datenschutz gibt es verschiedene Ansprechpartner.

  • Für private Unternehmen oder Organisationen kann in erster Linie der betriebliche Datenschutzbeauftragte (DSB), sowie ein externer Datenschutzbeauftragter, oder bei kleineren Betrieben eine interne Person, die sich mit Datenschutz auskennt, weiterhelfen. 
     
  • Für öffentliche Stellen, wie beispielsweise Behörden oder Schulen, gibt es in der Regel einen behördlichen Datenschutzbeauftragten, der als Ansprechpartner für Fragen zum Datenschutz fungiert.
     
  • Weitere Anlaufstellen für Fragen zum Datenschutz können auch Verbraucherzentralen oder Datenschutzbeauftragte der jeweiligen Bundesländer sein. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Beratung für Fragen zum Datenschutz an.

Wir bieten den Einsatz eines Teams von staatlich geprüften Juristen und Rechtsanwälten, die auf Unternehmen unterschiedlicher Größe und Branchen spezialisiert sind. 

Ein Datenschutzberater, auch Datenschutzbeauftragter (DSB) genannt, ist eine Person, die Unternehmen und Organisationen bei der Umsetzung von Datenschutzbestimmungen unterstützt. Seine Aufgabe ist die Einhaltung von Datenschutzgesetzen und -vorschriften zu überprüfen und der Schutz der persönlichen Daten von Kunden, Mitarbeitern und anderen Personen.

Konkret kann ein Datenschutzberater folgende Aufgaben übernehmen:

  • Beratung: Der Datenschutzberater berät Unternehmen und Organisationen zu den Anforderungen des Datenschutzes und gibt Empfehlungen für die Umsetzung.
     
  • Schulung: Der Datenschutzberater schult Mitarbeiter und Führungskräfte im Umgang mit personenbezogenen Daten.
     
  • Überwachung: Der Datenschutzberater überwacht die Einhaltung der Datenschutzbestimmungen und prüft die technischen und organisatorischen Maßnahmen zur Sicherung von personenbezogenen Daten.
     
  • Dokumentation: Der Datenschutzberater erstellt und überprüft häufig auch datenschutzrelevanten Dokumenten.Teilweise übernehmen diese Tätigekeit aber auch Datenschutzkoordinatoren.


Der Datenschutzberater ist also eine wichtige Schnittstelle zwischen Unternehmen und Datenschutzbehörden und trägt dazu bei, dass personenbezogene Daten sicher und rechtskonform verarbeitet werden.

Wir kümmern uns um all das und bieten darüber hinaus eine Software an, die sowohl das Leben des Arbeitnehmers als auch das des Arbeitgebers vereinfacht.

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) können von den zuständigen Datenschutzbehörden mit erheblichen Bußgeldern geahndet werden. Die Höhe der Bußgelder richtet sich dabei nach der Schwere des Verstoßes und dem wirtschaftlichen Schaden, der dadurch verursacht wurde.

Im Einzelnen können folgende Sanktionen bei Verstößen gegen die DSGVO verhängt werden:

  • Verwarnung: Bei einem ersten Verstoß oder bei einem geringfügigen Verstoß kann die Datenschutzbehörde zunächst eine Verwarnung aussprechen.
     
  • Bußgelder: Bei schwerwiegenden Verstößen gegen die DSGVO können Bußgelder verhängt werden. Die Höhe der Bußgelder richtet sich nach verschiedenen Faktoren, wie etwa dem Umsatz des Unternehmens oder der Art und Schwere des Verstoßes. Die maximale Höhe der Bußgelder liegt bei bis zu 4 % des weltweiten Jahresumsatzes der Unternehmensgruppe oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist).
     
  • Unterlassungs- oder Beseitigungsanordnung: Die Datenschutzbehörde kann eine Anordnung erlassen, mit der das Unternehmen aufgefordert wird, den Verstoß zu beseitigen oder zukünftig zu unterlassen.
     
  • Öffentliche Bekanntmachung: Bei besonders schweren Verstößen kann die Datenschutzbehörde die Verstöße öffentlich bekannt machen.
     
  • Untersagung der Datenverarbeitung: Im Falle besonders schwerwiegender Verstöße gegen die DSGVO kann die Datenschutzbehörde die Datenverarbeitung des Unternehmens untersagen.

Zusätzlich können Personen, deren Rechte durch Verstöße gegen die DSGVO verletzt wurden, auch Schadenersatzansprüche gegen das Unternehmen geltend machen. Es ist außerdem möglich, dass Wettbewerber oder Verbraucherschutzzentralen Abmahnungen an ein verstoßendes Unternehmen senden, für die das Unternehmen zahlen muss.

Es ist daher wichtig, dass Unternehmen und Organisationen die Anforderungen der DSGVO einhalten und ihre Prozesse und Systeme auf Datenschutzkonformität überprüfen.

Verstöße gegen den Datenschutz können an verschiedene Stellen gemeldet werden, je nachdem wo der Verstoß stattgefunden hat und welche Art von Verstoß es ist. Hier sind einige mögliche Anlaufstellen:

  • Bei der betreffenden Organisation: Wenn Du den Verdacht hast, dass ein Unternehmen oder eine Organisation gegen Datenschutzvorschriften verstoßen hat, solltest Du zuerst versuchen, mit der betreffenden Organisation direkt in Kontakt zu treten, um das Problem zu lösen.
     
  • Bei der zuständigen Datenschutzbehörde: In Deutschland ist das die Landesdatenschutzbehörde des Bundeslandes, in dem sich das Unternehmen oder die Organisation befindet, das gegen Datenschutzvorschriften verstoßen hat. Die Kontaktdaten der jeweiligen Behörden kannst Du hier finden.
     
  • Bei der Polizei: Wenn es sich um einen schweren Verstoß gegen den Datenschutz handelt, der auch strafrechtliche Konsequenzen haben kann, solltest Du die Polizei informieren.
     
  • Bei Verbraucherzentralen: Die Verbraucherzentralen können ebenfalls bei Datenschutzverstößen helfen und gegebenenfalls rechtlichen Beistand leisten.

Es ist wichtig zu betonen, dass es in jedem Bundesland unterschiedliche Ansprechpartner gibt, daher macht es Sinn, wenn  Du Dich im Vorfeld über die Zuständigkeiteninformierst.
 

Relevante Fragen für die Datenschutzschulung

Dies sind die häufigst gestellten Fragen

Nein, es gibt keine offizielle Pflicht, die in der Datenschutz-Grundverordnung (DSGVO) steht. Es besteht jedoch eine indirekte Verpflichtung, denn ein Unternehmen muss sicherstellen, dass personenbezogene Daten im Einklang mit den Anforderungen der DSGVO verarbeitet werden, und sollte selbstverständlich auch seine Mitarbeiter in diesem Sinne schulen.

Ziel solcher Schulungen ist es, die Mitarbeiter für den sorgsamen Umgang mit personenbezogenen Daten zu sensibilisieren und ihnen das nötige Wissen und die Fähigkeiten zu vermitteln, um Datenschutzverletzungen zu vermeiden. Datenschutz-Schulungen sollten daher regelmäßig stattfinden, insbesondere für neue Mitarbeiter und bei Änderungen der Datenschutzvorschriften.

Die genauen Anforderungen an Datenschutz-Schulungen können je nach Land und Branche unterschiedlich sein. In der Europäischen Union gibt es jedoch einige Vorgaben, die für alle Unternehmen gelten, die personenbezogene Daten verarbeiten.

Gemäß Artikel 39 der Datenschutz-Grundverordnung (DSGVO) gehört es zu den Aufgaben eines Datenschutzbeauftragten für Unternehmen sicherzustellen, dass die Mitarbeiter regelmäßig geschult werden, um sicherzustellen, dass sie in der Lage sind, ihre Datenschutzpflichten zu erfüllen. Die Schulungen sollten entsprechend den spezifischen Aufgaben und Bedürfnissen der Mitarbeiter angepasst werden.

Mitarbeiter, die personenbezogene Daten verarbeiten, sollten regelmäßig geschult werden. Darüber hinaus kann es erforderlich sein, bei Änderungen der Datenschutzvorschriften oder bei der Einführung neuer Technologien oder Verfahren, die sich auf die Verarbeitung personenbezogener Daten auswirken, noch häufiger Schulungen durchzuführen.

Die Kosten für eine Datenschutzschulung können je nach Umfang und Inhalt der Schulung variieren.

Für Kunden, die sich für das Professional- oder Enterprise-Paket entscheiden, sind Datenschutz-Schulungen selbstverständlich bereits im Preis enthalten; im Basic-Paket können die Schulungen dagegen jederzeit individuell gebucht werden. Die genauen Preise können jedoch je nach individuellem Bedarf variieren.

Es ist jedoch wichtig, darauf hinzuweisen, dass der Preis für die Datenschutzschulung nur ein Teil der von heyData angebotenen Gesamtdienstleistung ist. Für Unternehmen, die mit uns zusammenarbeiten, übernehmen wir auch die Rolle des externen Datenschutzbeauftragten und liefern Unterstützung bei der Umsetzung technischer und organisatorischer Maßnahmen, ein umfassendes digitales Audit und viele weitere Vorteile.

FAQs zum Thema technische und organisatorische Maßnahmen (TOM)

Dies sind die häufigst gestellten Fragen

Technische und organisatorische Maßnahmen (TOMs) sind im Datenschutz ein wichtiger Bestandteil, um die Sicherheit personenbezogener Daten zu gewährleisten und Datenschutzverletzungen zu vermeiden.

Technische Maßnahmen beziehen sich auf technische Verfahren und Tools, die dazu dienen, personenbezogene Daten zu schützen. Dazu zählen beispielsweise der Einsatz von Firewalls, Verschlüsselung, Zugangskontrollen und Datensicherung. Technische Maßnahmen sollen sicherstellen, dass personenbezogene Daten vor unbefugtem Zugriff, Manipulation, Verlust oder Zerstörung geschützt werden.

Organisatorische Maßnahmen hingegen umfassen Verfahren und Prozesse, die sicherstellen sollen, dass personenbezogene Daten gemäß den Datenschutzgesetzen verarbeitet werden. Hierzu zählen beispielsweise Richtlinien und Verfahrensanweisungen für den Umgang mit personenbezogenen Daten, die Schulung von Mitarbeitern und die Überwachung der Einhaltung von Datenschutzbestimmungen. Organisatorische Maßnahmen sollen sicherstellen, dass personenbezogene Daten in Übereinstimmung mit den geltenden Gesetzen und Verordnungen verarbeitet werden und dass die Einhaltung der Datenschutzrichtlinien von allen beteiligten Parteien gewährleistet wird.

Wenn du technische und organisatorische Maßnahmen in deinem Unternehmen einführen möchtest, gibt es einige Schritte, denen du folgen solltest:

  • Eine Liste von internen Ansprechpartnern erstellen: Wenn du selbst nicht alle technischen Abläufe im Unternehmen kennst, solltest du eine Liste mit Ansprechpartnern erstellen, die dir dabei helfen kann.
     
  • TOMs in einer Liste zusammenfassen: Du kannst eine eigene Liste geeigneter Maßnahmen erstellen, die du verwenden kannst, oder du kannst dich auf Experten wie die aus unserem Team verlassen, die dich bei der korrekten Erstellung dieser Dokumentation unterstützen.
     
  • Prüfung der Liste: Die Liste sollte regelmäßig darauf überprüft werden, welche TOMs bereits umgesetzt wurden und ob sie angemessen sind. Man soll auch analysieren, welche Maßnahmen fehlen und welche hinzugefügt werden müssen.
     
  • Andere Ansprechpartner, intern oder extern, einbeziehen: Wenn du Hilfe brauchst oder unsicher bist, beziehe andere Verantwortliche ein und bespreche die Angemessenheit von Maßnahmen.
     
  • Die Maßnahmen dem für die Verarbeitung Verantwortlichen vorstellen: Wenn du nicht selbst die Verantwortung im Rahmen der DSGVO übernimmst, solltest du die entwickelten Maßnahmen der verantwortlichen Person vorstellen und mit ihr besprechen.
     
  • Regelmäßige Überprüfung der Maßnahmen: Es sollte mindestens einmal im Jahr überprüft werden, ob die Maßnahmen noch angemessen sind. Dann müssen sie gegebenenfalls aktualisiert werden.

Die Erstellung von TOM kann in der Regel von internen Teams durchgeführt werden, wie IT-Abteilungen oder Datenschutzbeauftragten. Alternativ können Verantwortliche und Auftragsverarbeiter auch externe Datenschutzbeauftragte wie heyData hinzuziehen, um bei der Erstellung und Umsetzung geeigneter TOM zu unterstützen.

FAQs zum Thema Whistleblowing

Dies sind die häufigst gestellten Fragen

mattersOut ist dein Hinweisgebersystem, um beobachtete Rechtsverstöße an eine Vertrauensperson im Unternehmen zu melden. Unternehmen sind nach dem Hinweisgeberschutzgesetzt verpflichtet, eine Möglichkeit zum Melden bestimmter Verstöße anzubieten. Wenn es dich ganz genau interessiert, findest du die komplette Liste möglicher Themen für Deutschland in § 2 Abs. 1 Hinweisgeberschutzgesetz. Es steht dem Unternehmen natürlich frei, eine Whistleblowing-Lösung auch für andere Themen zu öffnen.

Außerdem habt ihr die Möglichkeit, eine Meldung über bei der externen Meldestelle des Bundes abzugeben Als Mitarbeiter:innen solltet ihr euch aber zunächst über mattersOut an euer Unternehmen wenden, wenn innerhalb eures Unternehmens wirksam gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind.

Am 12. Mai 2023 hat der Bundesrat das Hinweisgeberschutzgesetz verabschiedet, welches die nationale Umsetzung der EU-Whistleblower-Richtlinie ist. Es tritt voraussichtlich Mitte Juni 2023 in Kraft. Dieses Gesetz wurde verabschiedet, um Hinweisgeber besser zu schützen und ihnen eine sichere Möglichkeit zu bieten, Missstände bei ihren Arbeitgebern zu melden.

Zunächst müssen Unternehmen ab 250 Beschäftigten interne Hinweisgebersysteme einrichten. Diese Systeme sollen es den Mitarbeitern ermöglichen, Missstände sicher und vertraulich zu melden. Unternehmen mit 50-249 Mitarbeitenden haben eine Übergangszeit bis zum 17. Dezember 2023.

Du kannst eine breite Palette von Fehlverhalten an deine Vertrauensperson melden. Die unten aufgeführten Begriffe kannst du auch im Betreff deiner Meldung nutzen, um den Prozess zu vereinfachen.

  • Diskriminierung: Wenn jemand aufgrund bestimmter Merkmale wie Geschlecht, Religion oder ethnischer Herkunft unfair behandelt wird.
  • Bestechung: Das Anbieten oder Annehmen von Geld oder Geschenken, um in geschäftlichen Angelegenheiten einen Vorteil zu erzielen.
  • Sexuelle Belästigung: Jedes unerwünschte Verhalten mit sexuellem Bezug, das eine andere Person unangenehm berührt oder belästigt.
  • Kartellabsprachen: Voreingenommene Entscheidungsfindung zum eigenen Vorteil, etwa bei der Auswahl von Lieferanten oder Partnern.
  • Korruption: Der Missbrauch von Macht oder Position für persönlichen Gewinn, oft mit finanziellen oder anderen Vorteilen verbunden.
  • Diebstahl: Die unbefugte Entnahme oder Verwendung von Firmeneigentum.
  • Machtmissbrauch: Die Nutzung von Macht oder Autorität für persönliche Vorteile, meist auf Kosten der Organisation oder anderer Personen.
  • Dokumentenfälschung: Das Manipulieren von Dokumenten, um andere zu täuschen, sei es durch Hinzufügen oder Ändern von Informationen.

Nutze diese Begriffe im Betreff deiner Meldung, um eine schnelle und effektive Bearbeitung sicherzustellen. Mit MattersOut kannst du all diese Vorfälle sicher und anonym melden.
 

Ein anonymes Hinweisgeberschutzsystem bietet den Hinweisgebenden die Möglichkeit, Missstände sicher und vertraulich zu melden, ohne befürchten zu müssen, dass ihre Identität preisgegeben wird. Dies kann dazu beitragen, dass mehr Mitarbeiter bereit sind, Missstände zu melden, da sie sich sicher fühlen und keine negativen Konsequenzen fürchten müssen. Ein solches System kann dazu beitragen, dass Unternehmen schneller auf Missstände reagieren und diese beheben können, was letztendlich dazu beitragen kann, das Vertrauen der Mitarbeiter und der Öffentlichkeit in das Unternehmen zu stärken.

Ja, denn wir als heyData sind ein Compliance Unternehmen, das sich vor allem auf Datenschutz spezialisiert hat und wir verstehen, wie persönliche Daten am besten geschützt werden. Diese Erfahrung und unser Wissen haben wir auch hier einfließen lassen.

Ja, unsere Whistleblowing-Lösung mattersOut ist auch als eigenständiges Produkt buchbar. Sprecht uns einfach an.

Unternehmen im öffentlichen Dienst sowie Städte und Kommunen mit mehr als 10.000 Einwohnerinnen und Einwohnern fallen unter das Gesetz und müssen ab Mitte Juni 2023 Hinweisgebersysteme anbieten. Diese Systeme sollen es den Bürgern ermöglichen, Missstände sicher und vertraulich zu melden.

Das Verfahren der Meldungsabgabe muss mündlich oder schriftlich und auf Wunsch auch persönlich möglich sein.

Die interne Meldestelle muss Hinweisgebenden innerhalb von sieben Tagen den Eingang der Meldung bestätigen.

Innerhalb von drei Monaten muss die Meldestelle die hinweisgebende Person darüber informieren, welche Maßnahmen in Folge ergriffen wurden. Z.B. die Einleitung interner Untersuchungen oder die Weitergabe der Meldung an die zuständige Behörde.

Im Whistleblower-System werden die Meldungen in der Regel von Case Managern, Vertrauenspersonen oder Ombudspersonen entgegengenommen. 

Als potenzielle Case Manager sollten Personen in Betracht gezogen werden, die keine Konflikte mit anderen Tätigkeiten haben. Das bedeutet, dass beispielsweise verantwortliche Positionen in Datenschutzangelegenheiten (DSB), der Geldwäschebekämpfung oder in anderen ähnlichen Bereichen für diese Rolle perfekt geeignet sind.

Idealerweise sollte der Case Manager über Fachkenntnisse im Bereich des Hinweisgeberschutzgesetzes verfügen oder bereit sein, sich in diesem Bereich fortzubilden. Personen mit Erfahrung in der Bearbeitung von sensiblen Informationen und der Gewährleistung der Vertraulichkeit könnten besonders geeignet sein.

Für die Besetzung der Position des Case Managers bietet es sich an, jemanden aus der Personalabteilung oder der Rechtsabteilung in Betracht zu ziehen, sofern sie nicht in einer leitenden Position sind. Personen in diesen Abteilungen haben oft ein Verständnis für Compliance-Fragen und rechtliche Aspekte, die bei der Behandlung von Whistleblower-Meldungen relevant sind.

Ja, es ist wichtig, den Case Manager regelmäßig zu schulen. Wir empfehlen eine Schulung mindestens einmal im Jahr, um sicherzustellen, dass der Case Manager über die erforderliche Fachkunde verfügt und mit den neuesten Entwicklungen im Bereich des Hinweisgeberschutzgesetzes vertraut ist. Durch regelmäßige Schulungen bleiben Case Manager auf dem aktuellen Stand und können effektiv und kompetent mit den eingehenden Meldungen umgehen.

Eine Schulung für Mitarbeitende zum Thema Whistleblowing ist eine empfehlenswerte Maßnahme, um die Nutzung der Whistleblower-Software bekannt zu machen und attraktiv zu gestalten. Es besteht jedoch keine gesetzliche Verpflichtung für Mitarbeitende, die Software zu nutzen, da es ihnen gesetzlich erlaubt ist, sich direkt an staatliche Meldestellen zu wenden. Unternehmen bevorzugen jedoch in der Regel, dass interne Missstände intern behandelt werden.

Auf Anfrage stellen wir Schulungen für Mitarbeitende bereit, um sie über das Whistleblowing-Verfahren, die Vorteile der internen Meldung von Missständen und den sicheren Umgang mit der Whistleblower-Software zu informieren. In solchen Schulungen werden in der Regel die Bedeutung von Whistleblowing für die Unternehmensintegrität, die Vertraulichkeit der Meldungen, der Schutz vor Repressalien sowie die möglichen Konsequenzen von Missbrauch oder Falschmeldungen behandelt.

Die Schulungen sollen Mitarbeitende dazu ermutigen, potenzielle Missstände oder illegales Verhalten intern zu melden, anstatt externe Stellen aufzusuchen. Durch die Schulung erhalten die Mitarbeitenden das notwendige Wissen und die Sensibilisierung, um mögliche Risiken und Missstände frühzeitig zu erkennen und angemessen zu handeln.

FAQs zum Thema Datenschutzerklärung

Dies sind die häufigst gestellten Fragen

Es wird nicht empfohlen, eine Datenschutzerklärung einfach von einer anderen Website zu kopieren. Jede Website hat ihre eigenen Anforderungen und Praktiken im Umgang mit personenbezogenen Daten. Eine generische Datenschutzerklärung könnte nicht euren spezifischen Bedürfnissen entsprechen und rechtliche Konsequenzen haben. Es ist ratsam, eine maßgeschneiderte Datenschutzerklärung für eure Website zu erstellen.

Es ist wichtig, eure Datenschutzerklärung regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie den aktuellen gesetzlichen Anforderungen entspricht und eure Geschäftspraktiken widerspiegelt. Änderungen in der Art und Weise, wie ihr personenbezogene Daten erfasst oder verwendt, sollten in eurer Datenschutzerklärung transparent kommuniziert werden.

Wenn du Google Analytics verwenden möchtest, um Daten über deine Website-Besucher zu sammeln, gibt es einige Datenschutzaspekte, die du beachten solltest. Hier sind einige wichtige Punkte:

  • Datenschutzerklärung aktualisieren: Stelle sicher, dass du klar und transparent darlegst, welche Arten von Daten du mit Google Analytics erhebst, wie du sie verwendest und wie Besucher:innen ihre Datenschutzrechte ausüben können.
  • Anonymisierung der IP-Adresse: Google Analytics erfasst standardmäßig die IP-Adressen der Besucher:innen. Um die Anonymität der Nutzer:innen zu gewährleisten, musst du die IP-Anonymisierungsfunktion in Google Analytics aktivieren. Diese Funktion entfernt einen Teil der IP-Adresse vor der Verarbeitung.
  • Auftragsverarbeitungsvertrag: Wenn du Google Analytics nutzt, bist du als Betreiber der Website für die Verarbeitung der Daten verantwortlich. Vergewissere dich, dass du eine Auftragsverarbeitungsvertrag mit Google hast, um sicherzustellen, dass deine Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden.
  • Schränke die Datenübermittlung ein: Vermeide die Übermittlung personenbezogener Daten an Google Analytics. Stelle sicher, dass keine sensiblen Daten gesammelt oder an Google Analytics gesendet werden.
  • Datenspeicherung begrenzen: Überprüfe die Einstellungen deines Google-Analytics-Kontos und stelle sicher, dass du die Daten nur so lange speicherst, wie es für deine Analysezwecke notwendig ist.

FAQs zum Thema Datenschutz-Audit

Dies sind die häufigst gestellten Fragen

Ein Datenschutz-Audit ist notwendig, um sicherzustellen, dass Organisationen personenbezogene Daten in rechtmäßiger und sicherer Weise verarbeiten. Die DSGVO schreibt erhebliche Verpflichtungen vor, um personenbezogene Daten zu schützen. Durch die Durchführung eines Datenschutz-Audits kannst du die Einhaltung der Vorschriften sicherstellen, Risiken erkennen und notwendige Verbesserungen umsetzen.

Ein Datenschutz-Audit kann intern durch den Datenschutzbeauftragten oder das Datenschutzteam einer Organisation durchgeführt werden. Alternativ kann die Organisation auch externe Auditoren oder Datenschutzbeauftragte engagieren, die sich auf Datenschutz und DSGVO-Konformität spezialisiert haben. Die Wahl hängt von den Ressourcen, der Expertise der Organisation und den spezifischen Anforderungen ab.

Ein Datenschutz-Audit umfasst in der Regel folgende wesentliche Bestandteile:

  • Überprüfung der Datenschutzrichtlinien und -verfahren.
  • Bewertung der Datenverarbeitungsaktivitäten und der rechtlichen Grundlage für die Verarbeitung.
  • Prüfung der Datenschutz- und Sicherheitsmaßnahmen.
  • Auswertung der Verfahren zur Wahrung der Rechte betroffener Personen und zur Einhaltung der DSGVO.
  • Analyse des Managements von Datenschutzverletzungen und des Benachrichtigungsprozesses.
  • Bewertung von Verträgen zur Auftragsverarbeitung mit Dienstleistern und Dritten.
  • Identifizierung von Lücken oder Nichtkonformitäten.

Die Häufigkeit von Datenschutz-Audits hängt von verschiedenen Faktoren ab, wie beispielsweise der Größe der Organisation, Art der Datenverarbeitungsaktivitäten und dem mit der Datenverarbeitung verbundenen Risiko. Obwohl die DSGVO keine spezifische Frequenz vorschreibt, wird empfohlen, regelmäßige Audits durchzuführen, mindestens jährlich wie bei heyData oder bei wesentlichen Änderungen der Datenverarbeitungsoperationen.

Nach einem Datenschutz-Audit erhält die Organisation einen detaillierten Bericht über die Ergebnisse, Empfehlungen und identifizierten Nichtkonformitäten. Basierend auf diesem Bericht kann die Organisation einen Aktionsplan entwickeln, um die während des Audits festgestellten Probleme anzugehen. Die erforderlichen Änderungen und Verbesserungen sollten dann umgesetzt werden, um den Datenschutz zu stärken und die Einhaltung der DSGVO sicherzustellen.

Ja, die Missachtung der Datenschutz-Grundverordnung kann zu erheblichen Geldstrafen führen. Abhängig von Art und Schwere des Verstoßes können Organisationen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes belegt werden – je nachdem, welcher Betrag höher ist. Es ist für Organisationen entscheidend, den Datenschutz zu priorisieren und regelmäßige Audits durchzuführen, um das Risiko von Datenschutzverstößen zu minimieren.

Die regelmäßige Durchführung von Datenschutz-Audits zeigt das Engagement einer Organisation, personenbezogene Daten zu schützen und den Datenschutzbestimmungen gerecht zu werden. Dadurch wird das Vertrauen von Partnern und Kunden gestärkt, da garantiert wird, dass ihre Daten verantwortungsvoll und sicher behandelt werden. Durch die Durchführung von Audits und die Demonstration der DSGVO-Konformität können Organisationen ihren Ruf verbessern und stärkere Beziehungen zu ihren Interessengruppen aufbauen.

Obwohl die DSGVO keinen spezifischen Rahmen für Audits vorgibt, gibt es Leitlinien und bewährte Verfahren, die Organisationen bei der Durchführung von Datenschutzaudits unterstützen. So hat beispielsweise die Internationale Organisation für Normung (ISO) die Norm ISO/IEC 27701 entwickelt, die Leitlinien für die Prüfung von Datenschutzmanagementsystemen enthält. Darüber hinaus können nationale Datenschutzbehörden und Datenschutzorganisationen spezifische Leitlinien anbieten, die an die lokalen Anforderungen angepasst sind.

Ja, Organisationen können externe Experten wie Datenschutzbeauftragte oder Auditoren hinzuziehen, die sich auf DSGVO-Richtlinien und Datenschutz-Themen spezialisiert haben. Diese Experten können wertvolle Einblicke und Fachkenntnisse liefern und eine gründliche und unabhängige Bewertung der Datenschutzpraktiken einer Organisation gewährleisten.

FAQs zum Thema Datenschutz-Folgenabschätzung (DSFA)

Dies sind die häufigst gestellten Fragen

Die Häufigkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von mehreren Faktoren ab, darunter die Art der Datenverarbeitung, das Auftreten von Änderungen oder neuen Risiken und die Relevanz der Verarbeitung für die Privatsphäre. Generell ist es ratsam, die DSFA regelmäßig zu überprüfen und zu aktualisieren.

Artikel 35 Absatz 2 der DSGVO bestimmt, dass der „Verantwortliche“ die DSFA durchführt.
In der Regel ist der für die Datenverarbeitung Verantwortliche dafür zuständig, die Datenschutz-Folgenabschätzung durchzuführen und den Rat des Datenschutzbeauftragten, intern oder extern, einzubeziehen.

Das Versäumnis, eine erforderliche Datenschutz-Folgenabschätzung durchzuführen, kann zu erheblichen Strafen nach der DSGVO führen, einschließlich Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Die DSFA besteht in der Regel aus drei Hauptteilen:

  • Eine systematische Beschreibung der geplanten Datenverarbeitungsvorgänge und der Zwecke der Verarbeitung.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die vorgesehenen Abhilfemaßnahmen, Garantien und Mechanismen zur Minderung dieser Risiken.

Der Datenschutzbeauftragte spielt eine wesentliche Rolle bei der Durchführung der DSFA. Er oder sie berät den Verantwortlichen oder Auftragsverarbeiter hinsichtlich der Durchführung der DSFA, überprüft die Ergebnisse und stellt sicher, dass die DSFA in Übereinstimmung mit der DSGVO durchgeführt wird.

Nicht alle Unternehmen sind zur Durchführung einer DSFA verpflichtet. Die Pflicht zur Durchführung einer DSFA ergibt sich aus Art. 35 DSGVO und betrifft nur Verarbeitungsvorgänge, die insbesondere unter Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Obwohl es möglich ist, eine DSFA selbst durchzuführen, ist es aufgrund der Komplexität der Anforderungen der DSGVO oft empfehlenswert, einen Experten für Datenschutzrecht oder einen Datenschutzbeauftragten zu Rate zu ziehen.

Die DSGVO bietet eine Reihe von Leitlinien für die Durchführung einer DSFA. Es ist wichtig, dass du dich mit diesen Leitlinien vertraut machst und sie in deine DSFA einbeziehst. Darüber hinaus kann die Beratung durch einen externen Datenschutzexperten oder Datenschutzbeauftragten helfen, die Konformität sicherzustellen.

FAQs zum Thema DSG

Dies sind die häufigst gestellten Fragen

Das DSG gilt für alle datenschutzrechtlichen Fragen, die "Auswirkungen auf die Schweiz haben, auch wenn sie im Ausland ausgelöst werden".
Daher ist dieses Gesetz für alle Unternehmen weltweit relevant, die z.B. Daten von Schweizer Bürgern verarbeiten.

Im Gegensatz zur DSGVO ist die Datenverarbeitung nach dem DSG generell erlaubt und bedarf keiner Genehmigung oder Zustimmung, sofern sie rechtmäßig erfolgt. Das schweizerische Datenschutzgesetz stellt strikte Anforderungen an die Bearbeitung von personenbezogenen Daten. Vor allem darf die Datenbearbeitung die Persönlichkeit der betroffenen Person nicht unzulässig verletzen (Art. 30 DSG).

In solchen Fällen muss ein Vertreter in der EU benannt werden, wenn personenbezogene Daten von Personen in der EU betroffen sind. Ebenso muss ein Vertreter in der Schweiz ernannt werden, wenn ein ausländisches Unternehmen Daten in der Schweiz verarbeitet.

Welches sind weitere Unterschiede und Gemeinsamkeiten zwischen der europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen schweizerischen Bundesgesetz über den Datenschutz (DSG)?

Nachfolgend werden die wichtigsten Unterschiede und Gemeinsamkeiten zwischen der europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen schweizerischen Bundesgesetz über den Datenschutz (DSG) aufgeführt.

  • Geltungsbereich: Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind, sowie für Unternehmen außerhalb der EU, die Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern überwachen. Das DSG gilt analog nur für Unternehmen, die in der Schweiz ansässig sind oder Daten von Personen in der Schweiz verarbeiten.
  • Datenschutzbeauftragter: Die DSGVO verlangt von Unternehmen, die bestimmte Arten von Datenverarbeitung durchführen, einen Datenschutzbeauftragten zu benennen. Das DSG hat keine explizite Anforderung für einen Datenschutzbeauftragten, obwohl es empfiehlt, dass Organisationen, die regelmäßig Personendaten verarbeiten, einen ernennen.
  • Rechte der betroffenen Personen: Beide Gesetze gewähren den betroffenen Personen ähnliche Rechte, einschließlich des Rechts auf Zugang, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.
  • Einwilligung: Bei beiden Gesetzen ist eine informierte, spezifische, freiwillige und unmissverständliche Einwilligung als Voraussetzung für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten möglich, wobei sowohl das DSG als auch die DSGVO besondere Anforderungen an die Verarbeitung besonderer Kategorien von Daten stellen.
  • Datentransfer außerhalb der Schweiz/EU: Beide Gesetze enthalten Vorschriften für den Transfer personenbezogener Daten außerhalb der Schweiz bzw. der EU. Die Länder, in die Personendaten auf Grundlage von Angemessenheitsbeschlüssen übermittelt werden dürfen, können jedoch voneinander abweichen, wobei beide Gesetze Standardvertragsklauseln als Instrument der Datenübermittlung vorsehen.

Zum Schluss sei noch bemerkt, dass trotz der Unterschiede zwischen der DSGVO und dem DSG, die Schweiz bemüht ist, ein Datenschutzniveau zu gewährleisten, das dem in der EU vergleichbar ist, um den freien Datenverkehr zwischen der Schweiz und der EU zu erleichtern. Die genauen Details und Unterschiede können sich jedoch je nach genauer Auslegung und Anwendung der Gesetze in bestimmten Situationen unterscheiden.

FAQs zum Thema Datenschutz im Unternehmen

Dies sind die häufigst gestellten Fragen

Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Rechtsrahmen, der den Schutz personenbezogener Daten in Unternehmen und Organisationen regelt. Sie trat am 25. Mai 2018 in Kraft und enthält Regeln für die Verarbeitung, Speicherung und Übermittlung personenbezogener Daten von in der EU ansässigen Personen.

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat. Es betrifft sowohl kleine und mittlere Unternehmen als auch große Konzerne.

Die DSGVO gewährt den Personen eine Reihe von Rechten, darunter das Recht auf Auskunft über ihre gespeicherten Daten, das Recht auf Berichtigung falscher Daten, das Recht auf Löschung ihrer Daten („Recht auf Vergessenwerden“), das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch gegen die Verarbeitung ihrer Daten.

Unternehmen müssen verschiedene Maßnahmen ergreifen, um die DSGVO einzuhalten. Dazu gehören die Benennung eines Datenschutzbeauftragten (falls erforderlich), die Durchführung von Datenschutz-Folgenabschätzungen, die Implementierung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, die Einholung der Einwilligung der betroffenen Personen für die Datenverarbeitung und die Meldung von Datenschutzverletzungen.

Bei Verstößen gegen die DSGVO können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Die tatsächliche Höhe der Strafe hängt von der Art, Schwere und Dauer des Verstoßes ab.

Ein Auftragsverarbeiter ist eine Person oder Organisation, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Der Auftragsverarbeiter handelt nach den Anweisungen des Verantwortlichen und unterliegt bestimmten rechtlichen Verpflichtungen gemäß der DSGVO.

Die Dauer, für die personenbezogene Daten gespeichert werden dürfen, hängt vom Zweck der Datenverarbeitung ab. Unternehmen müssen personenbezogene Daten so lange speichern, wie es zur Erfüllung des Verarbeitungszwecks erforderlich ist. In einigen Fällen können spezifische Aufbewahrungsfristen durch andere Gesetze oder Vorschriften vorgegeben sein.

Eine Datenpanne bezieht sich auf einen Sicherheitsvorfall, bei dem personenbezogene Daten unbeabsichtigt oder rechtswidrig zugänglich gemacht, offengelegt, verändert oder zerstört werden. Wenn eine Datenpanne auftritt und hohe Risiken für die betroffenen Personen zu erwarten sind, besteht die Verpflichtung, diese zu bewerten und der zuständigen Aufsichtsbehörde und in einigen Fällen den betroffenen Personen zu melden.

Intern ist es eine wichtige Aufgabe eines internen oder externen Datenschutzbeauftragten nach Art. 39 Abs. 1 DSGVO, auf die Einhaltung der Datenschutzbestimmungen hinzuweisen. 17 Aufsichtsbehörden überwachen die Einhaltung der Datenschutzbestimmungen auf staatlicher Seite.

Kunden von heyData bekommen das Beste aus der Verbindung einer hilfreichen Datenschutz-Software und ganz persönlicher Experten-Unterstützung. Mit der heyData-Plattform bekommst du deinen Datenschutz unter Kontrolle. Gleichzeitig sind unsere Fachanwälte wahre Experten in ihrem Feld und kennen sich auch mit den Besonderheiten deines Unternehmens aus.

FAQs zum Thema Verzeichnis der Verarbeitungstätigkeiten (VVT)

Dies sind die häufigst gestellten Fragen

Es ist empfehlenswert, ein Verarbeitungsverzeichnis (VVT) so früh wie möglich zu erstellen, idealerweise bereits bei Beginn deiner Geschäftstätigkeit. Dadurch kannst du sicherstellen, dass du von Beginn an die DSGVO-Vorschriften erfüllst und so das Risiko von Verstößen erheblich reduzierst.

Ein Verarbeitungsverzeichnis bietet einige entscheidende Vorteile. Es hilft, Datenschutzverletzungen zu minimieren, was potenzielle finanzielle Strafen und Reputationsverluste verhindert. Außerdem fördert es das Vertrauen deiner Kunden und Partner, was langfristige Beziehungen und eine positive Unternehmensreputation begünstigt. Darüber hinaus sorgt es für eine klare interne Dokumentation, die für Datenschutz-Audits und die Zusammenarbeit mit Datenschutzbehörden von Vorteil ist.

Die Komplexität hängt von der Größe und dem Umfang des Unternehmens ab. Für kleine und mittlere Unternehmen kann er überschaubar sein, während größere Unternehmen mehr Aufwand betreiben müssen. Aus diesen Gründen wenden sich unsere Kunden sehr oft an uns, wenn sie schnelle und effektive Unterstützung benötigen, damit sie nicht Wochen mit der Erstellung dieser Dokumente verbringen müssen.

Ja, ein Verarbeitungsverzeichnis sollte regelmäßig aktualisiert werden. Da sich Geschäftsprozesse ändern können und neue Datenschutzanforderungen entstehen, ist es wichtig, das Verzeichnis auf dem neuesten Stand zu halten. Eine regelmäßige Überprüfung und Aktualisierung gewährleistet, dass Datenschutzrisiken weiterhin angemessen bewertet und verwaltet werden.

Obwohl die Begriffe “Verzeichnis von Verarbeitungstätigkeiten“ und „Verfahrensverzeichnis“ oft synonym verwendet werden, gibt es einen feinen Unterschied zwischen beiden.

Ein Verarbeitungsverzeichnis, wie bereits beschrieben, ist eine detaillierte Auflistung aller Verarbeitungstätigkeiten von personenbezogenen Daten in einem Unternehmen gemäß den Anforderungen der DSGVO. Es enthält Informationen über den Zweck der Datenverarbeitung, die beteiligten Personen und die vorgesehenen Aufbewahrungsfristen, um nur einige zu nennen.

Ein Verfahrensverzeichnis hingegen stammt aus der Zeit vor der DSGVO und war eine Anforderung des Bundesdatenschutzgesetzes (BDSG). Es hatte einen ähnlichen Zweck wie das Verarbeitungsverzeichnis, war jedoch weniger detailliert und umfassend.

FAQs zum Thema Datenschutzverletzung

Dies sind die häufigst gestellten Fragen

Gemäß Artikel 4 - Nummer 12 - der Datenschutz-Grundverordnung ist eine Datenschutzverletzung eine Verletzung der Sicherheit, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt.

Es kann komplex sein, eine Datenschutzverletzung zu identifizieren. Anzeichen können ungewöhnliche Systemaktivitäten, Berichte über gestohlene oder verlorene Geräte oder unerklärlicher Datenverlust sein. Gemäß Artikel 33 Absatz 1 der DSGVO ist eine regelmäßige Überwachung erforderlich, um solche Vorfälle zu identifizieren.

Gemäß Artikel 33 Absatz 1 der Datenschutz-Grundverordnung müssen Sie, wenn Sie eine Datenschutzverletzung entdecken, die zuständige Datenschutzbehörde unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informieren. Dies sollte auch Maßnahmen zur Schadensbegrenzung umfassen, wie die Änderung von Passwörtern oder die Sperrung des Zugangs.

Die Nichtmeldung einer Datenschutzverletzung kann gemäß Artikel 83 der DSGVO zu erheblichen Bußgeldstrafen führen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Als betroffene Person hast du in erster Linie das Recht, gemäß Artikel 34 der DSGVO über die Verletzung des Datenschutzes informiert zu werden, sowie das Recht, gemäß Artikel 77 der DSGVO eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Schließlich hast du möglicherweise auch Anspruch auf eine finanzielle Entschädigung.

FAQs zum Thema Auftragsverarbeitungsvertrag (AVV)

Dies sind die häufigst gestellten Fragen

Der Verantwortliche ist die Person oder Organisation, die die Zwecke und Mittel der Datenverarbeitung festlegt. Der Auftragsverarbeiter ist die Person oder Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ein AVV ist immer dann erforderlich, wenn ein Verantwortlicher personenbezogene Daten an einen Auftragsverarbeiter übermittelt, um diese verarbeiten zu lassen. Das gilt für Dienstleistungen wie Cloud-Speicher, IT-Support, Zahlungsabwicklung und andere Verarbeitungstätigkeiten für personenbezogene Daten.

Ja, gemäß Artikel 28 Absatz 9 der Datenschutz-Grundverordnung können AVVs schriftlich oder in elektronischer Form abgeschlossen werden.

Das Fehlen eines rechtmäßigen AVV zwischen Verantwortlichem und Auftragsverarbeiter kann eine Verletzung der DSGVO darstellen und zu rechtlichen Konsequenzen führen, einschließlich Bußgelder.

Der AVV sollte so lange aufbewahrt werden, wie die Datenverarbeitung zwischen Verantwortlichem und Auftragsverarbeiter andauert und darüber hinaus für einen angemessenen Zeitraum, um die Einhaltung der DSGVO nachzuweisen.

Ja, aber dies erfordert die ausdrückliche Genehmigung des Verantwortlichen und klare Regelungen über die Verantwortlichkeiten und Datenschutzpflichten des Sub-Auftragsverarbeiters.

FAQ Datenschutz im Verein

Dies sind die häufigst gestellten Fragen

  • Landesdatenschutzbeauftragter: Diese Person ist eine vom Landtag ernannte Behörde, die für die Überwachung und Durchsetzung der Datenschutzgesetze in einem bestimmten Bundesland in Deutschlandzuständig ist. Sie bieten Beratung, führen Kontrollen durch und sind die ersten Ansprechpartner bei Beschwerden von Bürgern. Sie sind nicht direkt mit einem bestimmten Verein oder Unternehmen verbunden.
  • Datenschutzbeauftragter im Verein: Dies ist eine Person, die von einem Verein ernannt wird, um sicherzustellen, dass die Organisation die Datenschutzgesetze einhält. Diese Person ist für die Schulung der Mitarbeiter, die Überwachung der Datenverarbeitung und die Kommunikation mit der Aufsichtsbehörde verantwortlich.

Die Antwort darauf ist kompliziert, da sie von verschiedenen Faktoren abhängt. Artikel 5, Absatz 1 der DSGVO spricht von einer "angemessenen" Dauer, die sich nach dem Zweck der Datenverarbeitung richtet. Unabhängig davon müssen gesetzliche Aufbewahrungsfristen beachtet werden.

Ja, du darfst, aber nicht uneingeschränkt. Nach dem Wettbewerbsgesetz ist oft eine Einwilligung notwendig.Diese sollte eingeholt werden und die Datenschutzerklärung des Vereins sollte hierüber transparent informieren.

Vereine sind verpflichtet, alle Personen, deren Daten sie verarbeiten, umfassend zu informieren. Dazu gehört, welche Daten erfasst werden, warum sie erfasst werden und wie lange sie gespeichert werden.

In konkreten Fällen, wenn keine andere Rekordzugrundlage einschlägig ist, muss der Verein, wenn er personenbezogene Daten für bestimmte Zwecke nutzen möchte, die ausdrückliche, informierte und eindeutige Einwilligung der betroffenen Personen einholen.

In Fällen, in denen die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, ist eine Datenschutz-Folgenabschätzung erforderlich. Diese bewertet die Risiken und legt Maßnahmen zur Minderung fest.

FAQ Datenschutz für Steuerberater

Dies sind die häufigst gestellten Fragen

In der Regel ist der Steuerberater selbst für die Einhaltung der DSGVO verantwortlich. Dies gilt auch dann, wenn der Steuerberater die personenbezogenen Daten im Auftrag eines Dritten verarbeitet, z. B. eines Unternehmens oder einer Privatperson. Der Steuerberater kann sich jedoch von einem externen Datenschutzbeauftragten, wie die von heyData angebotenen Experten, unterstützen lassen.

Steuerberater dürfen nur solche personenbezogenen Daten verarbeiten, die zur Erfüllung ihrer berufsrechtlichen Aufgaben erforderlich sind. Dazu gehören insbesondere Daten, die zur Erstellung von Steuererklärungen, zur Prüfung von Jahresabschlüssen und zur Beratung von Mandanten erforderlich sind. 

Steuerberater müssen die Mandanten über die Verarbeitung ihrer personenbezogenen Daten umfassend informieren. Dazu müssen sie den Mandanten insbesondere die folgenden Informationen zur Verfügung stellen:

  • die Zwecke der Datenverarbeitung
  • die Kategorien der personenbezogenen Daten, die verarbeitet werden
  • die Empfänger der personenbezogenen Daten
  • die Dauer der Speicherung der personenbezogenen Daten
  • die Rechte der Mandanten

Steuerberater müssen den Mandanten die in der DSGVO vorgesehenen Rechte gewährleisten. Dazu gehören insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit.

Bei der Übermittlung personenbezogener Daten in Drittländer müssen Steuerberater sicherstellen, dass ein angemessenes Schutzniveau für die Daten besteht. Dies kann durch eine vertragliche Vereinbarung mit dem Empfänger der Daten oder durch die Anwendung eines dem EU-Datenschutzniveau vergleichbaren Rechtssystems in dem Drittland erreicht werden.

Bei Verstößen gegen die DSGVO müssen Steuerberater die zuständigen Aufsichtsbehörden informieren. Darüber hinaus müssen sie in einigen Fällen auch die betroffenen Personen informieren.

Bei Verstößen gegen die DSGVO können empfindliche Sanktionen verhängt werden. So kann beispielsweise ein Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden.

FAQ über die heyAcademy

Dies sind die häufigst gestellten Fragen

Nein, heyAcademy ist kein eigenständiges Produkt, sondern ein Add-on unserer All-in-One Compliance-Lösung. Es wurde speziell entwickelt, um in die bestehende Compliance-Lehrumgebung integriert zu werden und eine nahtlose, zentralisierte Lernerfahrung sowohl für Administratoren als auch für Nutzer zu bieten. Als Erweiterung unserer Compliance-Lösung ermöglicht es heyAcademy, Datenschutzschulungen effizienter und zielgerichteter zu gestalten.

Ja, heyAcademy ist als Add-on verfügbar, unabhängig vom bestehenden Paket, das du bei heyData hast. Bestehende heyData-Admins können heyAcademy für ihre Mitarbeiter:innen direkt in der Plattform aktivieren oder deaktivieren, wodurch eine flexible und nahtlose Erweiterung deines Datenschutzmanagements ermöglicht wird.

Falls du weitere Fragen hast oder an einer Demo von heyAcademy interessiert bist, zögere nicht, uns zu kontaktieren. Wir helfen dir gerne weiter, um die Datenschutzkompetenz in deinem Unternehmen auf das nächste Level zu heben.

Mit heyAcademy kannst du einfach und intuitiv Kurse erstellen, Inhalte auswählen und sie direkt bestimmten Personen oder Teams zuweisen. Die Plattform bietet eine zentrale Verwaltungsoberfläche, die die Organisation von Schulungen vereinfacht.

Unsere Preisstruktur ist flexibel und basiert auf der Größe deines Teams. Wir bieten jährliche und monatliche Zahlungsoptionen, um dir mehr Flexibilität zu bieten. Die Preise reichen ab 399 € pro Jahr (es gibt auch monatliche Zahlungsoptionen mit entsprechenden Preisen).

Der Zugang erfolgt über die Kursverwaltungsseite in der heyData Plattform. Sobald heyAcademy für dein Unternehmen aktiviert ist, erscheint ein „Kurs erstellen“-Button.

Nach Abschluss eines Kurses erhalten die Teilnehmer*innen ein einzigartiges Zertifikat, das du in heyAcademy erstellen kannst, das ihr erworbenes Wissen bestätigt und auf Plattformen wie LinkedIn geteilt werden kann.

FAQ zum Löschkonzept nach GDPR

Dies sind die häufigst gestellten Fragen

Ein Löschkonzept unter der DSGVO ist ein systematischer Plan, der festlegt, wie personenbezogene Daten, die nicht mehr benötigt werden oder deren Aufbewahrungsfrist abgelaufen ist, sicher und datenschutzkonform gelöscht werden. Es gewährleistet, dass Daten nur so lange wie nötig gespeichert werden und unterstützt die Einhaltung der Datenschutzprinzipien der DSGVO.

Eine Löschfrist ist einfach der Zeitraum, der für das endgültige Löschen bestimmter Datentypen oder personenbezogener Informationen festgelegt wird. Dieser Zeitraum wird durch den Beginn der Datenverarbeitung und die festgelegte Aufbewahrungsfrist bestimmt. Rechtliche Verpflichtungen für bestimmte Datentypen können auch zur Definition von Löschfristen beitragen.

Um die Dokumentations- und Rechenschaftspflichten zu erfüllen, ist es entscheidend, das Löschkonzept regelmäßig zu überprüfen und zu aktualisieren. Regelmäßige Überprüfungen stellen sicher, dass die Fristen für die Löschung personenbezogener Daten nicht nur eingehalten werden, sondern auch auf dem neuesten Stand bleiben.

Eine unzureichende Datenverarbeitung in deinem Unternehmen gemäß den DSGVO-Standards kann schwerwiegende Folgen haben. Eine anfängliche Nichteinhaltung kann zu einer Verwarnung führen, aber wenn die unzureichenden Praktiken fortgesetzt werden, kann dies zu ernsteren Konsequenzen führen, einschließlich möglicher Verweise, vorübergehender oder dauerhafter Verbote der Datenverarbeitung und erheblicher finanzieller Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens.

Zu einem wirksamen Löschkonzept gehören die Identifizierung aller personenbezogenen Daten, die dein Unternehmen verarbeitet, die Festlegung von Aufbewahrungsfristen auf der Grundlage der gesetzlichen Bestimmungen und des Zwecks der Verarbeitung sowie die Implementierung sicherer Löschverfahren. Wichtig sind auch regelmäßige Schulungen für die Beschäftigten und die Einrichtung von Verfahren zur Überprüfung und Aktualisierung des Konzepts.

Ja, die DSGVO schreibt vor, dass personenbezogene Daten sowohl in digitaler als auch in physischer Form sicher gelöscht werden müssen. Digitale Daten sollten so gelöscht werden, dass sie nicht wiederhergestellt werden können, und physische Dokumente sollten so vernichtet werden, dass die Informationen nicht mehr lesbar sind.

Prüfe den Antrag sorgfältig, ermittle alle Orte, an denen die betreffenden Daten gespeichert sind, und lösche die Daten gemäß deinem Löschkonzept. Dokumentiere den Vorgang und informiere den Antragsteller, dass die Löschung durchgeführt wurde.
 

FAQ zum Datenschutzsiegel

Dies sind die häufigst gestellten Fragen

Ein Datenschutz-Siegel ist wie ein Zertifikat, das an Unternehmen vergeben wird, die nachweislich hohe Datenschutzstandards einhalten und DSGVO-konform sind. Es dient als sichtbares Zeichen für dein Engagement zum Schutz der personenbezogenen Daten deiner Kunden und Partner.

Die Dauer des Prozesses kann variieren und hängt vom aktuellen Stand deiner Datenschutzmaßnahmen und der Größe deines Unternehmens ab. heyData ist bestrebt, den Prozess so effizient und reibungslos wie möglich zu gestalten und arbeitet mit dir zusammen, um einen realistischen Zeitplan zu erstellen.

Ja, das Siegel ist an die laufende Einhaltung der DSGVO-Standards gebunden. heyData bietet laufende Überwachung und Unterstützung, um sicherzustellen, dass dein Unternehmen auch nach Erhalt des Siegels die Vorschriften einhält.

Das Datenschutz-Siegel stärkt das Vertrauen deiner Kunden, da es zeigt, dass du ihre personenbezogenen Daten ernst nimmst. Das kann die Kundenbindung verbessern und potenzielle Kunden ermutigen, sich für deine Dienstleistungen oder Produkte zu entscheiden.

Nein, heyData stellt die Werkzeuge für die Erlangung der Datenschutz-Siegel zur Verfügung und bietet sie dir kostenlos an, wenn du eines unserer Professional- oder Enterprise-Pakete erwirbst, in denen wir bereits ein umfassendes Paket anbieten, um dein Unternehmen datenschutzkonform aufzustellen.

  • Immer verfügbar: Keine Codes mehr in E-Mails oder Dokumenten. Dein Siegelcode ist jetzt direkt auf der heyData-Plattform verfügbar.
  • Erinnerungsfunktion: Du hast das Siegel vergessen? Wir erinnern dich daran, es hinzuzufügen, damit du nichts verpasst.
  • Mehrsprachige Optionen: Wähle zwischen Englisch und Deutsch. Du brauchst eine andere Sprache? Sag uns einfach Bescheid.
  • Unterstützung für mehrere Niederlassungen: Du hast mehr als eine Geschäftseinheit? Kein Problem, wir haben für jede von ihnen eine eigene Versiegelungslösung.

In zwei Wochen Datenschutz-Fit

Unser softwaregestütztes Datenschutz-Audit machst du ganz einfach, wenn du Zeit hast. Dafür brauchst du lediglich zwei Stunden Zeit einplanen.

Erfahre mehr