Blog Archive - Seite 2 von 2

BLOG 10/2021: Wir informieren zum Thema DSGVO – welche Vorkehrungen muss ich treffen, um Kundendaten zu schützen? Serie 3/5

22.10.2021

Serie 3: Welche Vorkehrungen muss ich treffen, um Kundendaten zu schützen?

Nach unserer Einführung und dem Thema Datenschutzkonzept, kommen wir heute zu dem Thema, welche Vorkehrungen muss ich treffen, um Kundendaten zu schützen? In der Fachsprache spricht man von technisch organisatorischen Maßnahmen. Die TOML muss dann Abläufe beinhalten, die sicherstellen, dass niemand Unbefugtes Zugriff auf die Computer hat. Hier muss ein internes Regelwerk vorliegen, an das sich Mitarbeiter halten müssen.

Ich habe bewusst den Fachbegriff technisch organisatorische Maßnahmen aus der Datenschutzsprache gewählt, um hier einige Fragezeichen aufpoppen zu lassen. Denn dieser Begriff wird einem immer wieder über den Weg laufen. Diese Maßnahmen müssen in einer Liste (TOML) vorgelegt werden. Was bedeutet das eigentlich? In einer TOML müssen alle Maßnahmen aufgelistet sein, die genau definieren, wie ich die Daten meiner Kunden vor Missbrauch und Verlust schütze.

Fangen wir mit dem einfachen Fall an: Meine Daten werden von einer Software auf meinem Computer / Laptop gespeichert, oder sind nur innerhalb meines Betriebes verfügbar. Dann ist die Software lediglich ein Werkzeug zur Datenaufnahme und muss nicht weiter beachtet werden. Die TOML muss dann Maßnahmen beinhalten, die sicherstellen, dass niemand Unbefugtes Zugriff auf die Computer hat. Hier muss ein internes Regelwerk vorliegen, an das sich Mitarbeiter halten müssen. Ein unbewachtes Laptop auf der Trainingsfläche, ein offenstehender Thekenrechner, der nicht im Pausen/Login Modus (Sperrbildschirm) hinterlassen wird und jedem beim Vorbeigehen Einsicht bietet, sind ein absolutes No-Go. Gibt es einen Serverraum, muss dieser jederzeit verschlossen sein und es muss eine Liste mit Personen geben, die Zugang haben. Ein Datensicherungskonzept muss vorliegen, z.B. ein Sicherungsprogramm erstellt einmal pro Woche eine Sicherung auf einer Festplatte, die sicher verstaut wird. Bin ich mobil unterwegs ist es immer wichtig, die Daten auf einer verschlüsselten Festplatte zu speichern und den Zugang zum Rechner durch ein Passwort zu schützen. Ein Verlust des Mobilgerätes bei nicht verschlüsselter Festplatte bedeutet immer, dass dieser Verlust bei der Datenschutzbehörde angezeigt werden muss. Und diese fordern dann eine Liste aller Daten an, die auf dem Rechner gespeichert waren, um die Betroffenen Personen zu informieren. Diese Liste wird kaum jemand in diesem Fall vorlegen können und wenn, nur mit riesigem Aufwand. Die Maßnahmen für eine lokale Datenspeicherung können also sehr einfach umgesetzt werden.

Autor
Lars Winter Dipl. Informatiker und seit über 22 Jahren Gesllschafter der Firma medo.check, dem Anbieter
für Softwarelösungen für Fitnessund Gesundheitsdienstleister. Verantwortlich für das Thema Datenschutz.

BLOG 09/2021: Wir informieren zum Thema DSGVO – Datenschutzkonzept? Serie 2/5

14.09.2021

Serie 2: Datenschutzkonzept

Der Datenschutz ist bei medo.check eine wichtige Grundphilosophie, bei uns sind Sie Herr Ihrer Daten. Es werden keine Daten im Hintergrund weiterverkauft oder veräußert. Daher informieren wir in einer kleinen Serie / BLOG zum Thema Datenschutz nach DSGVO . Nach unserer Einführung und der Sensibilisierung für die Wichtigkeit des Themas, wollen wir nun zu den ersten Umsetzungsschritten kommen. Es gibt einen Leitsatz beim Thema Datenschutz: Der Kunde ist zu schützen. Das Einzige was ich brauche, ist ein dokumentiertes und jederzeit vorlegbares Datenschutzkonzept. Habt Ihr ein solches Datenschutzkonzept?

In der DSGVO wird auch immer vom „Betroffenen“ gesprochen. Ich, der die Daten des Kunden erhebt, und nur ich und niemand anderes, bin dafür verantwortlich, dass die Daten meiner Kunden geschützt sind und ich muss den Kunden aufklären, welche seiner Daten ich zu welchem Zweck erhebe und speichere und dies dem Kunden gegenüber jederzeit transparent machen.

Außerdem darf ich keine Daten ohne seine Einwilligung erheben, es sei denn, sie sind die Basis unserer Geschäftsgrundlage und ich kann ein begründetes Interesse nachweisen, diese Daten zu speichern, weil ansonsten z.B. meine Existenz bedroht wäre. Klingt kompliziert, ist es aber bei Beachtung einiger Dinge überhaupt nicht. Das Einzige was ich brauche, ist ein dokumentiertes und jederzeit vorlegbares Datenschutzkonzept. Gibt es eine Prüfung der Datenschutzbehörden sind diese zufrieden, wenn man dieses Konzept vorlegen kann. Gibt es davon abweichend keine groben Verstöße, wird es meistens bei einer Mahnung und Korrekturfrist bleiben. Habt Ihr ein solches Datenschutzkonzept? Ein Leitfaden zur Erstellung des Konzeptes findet Ihr auf unserer Webseite unter den aktuellen News.

Dieses Konzept muss folgende Fragen beantworten:

1. Welche Daten speichere ich und zu welchem Zweck? Z.B. Kontakt- und Adressdaten (genaue Auflistung), um die Geschäftsbeziehung aufrecht zu halten. Bankdaten, um vertraglich festgelegte Beiträge einzuziehen. Gesundheitsdaten, um das Training des Kunden nach seinen individuellen Bedürfnissen zu gestalten. Daten einfach so oder zu statistischen Zwecken zu erheben ist nicht erlaubt. Diese Liste bedeutet einmal eine Menge Arbeit, ist aber leicht zu erstellen. Diese Auflistung kann man dem Kunden vorlegen und unterschreiben lassen, dass er damit einverstanden ist.

2. Wo und wie werden meine Daten gespeichert und was mache ich zum Schutz der Daten? Speichere ich die Daten lokal auf dem Rechner? Auf einem internen Server? In einer Cloud? Wie sind meine technisch organisatorischen Maßnahmen geregelt, damit die Daten vor Zugriff Dritter geschützt sind? Diese Maßnahmen müssen jederzeit lückenlos aufgeführt werden können. Hier ist zu beachten, dass Gesundheitsdaten einem speziellen Schutz unterliegen. Und dies ist der spannende Teil.

BLOG 02/2021: Wir informieren zum Thema DSGVO – Einführung 1/5

16.02.2021

Serie 1: Allgemeine Einführung “ Herr der eigenen Daten“

Wir nehmen das Thema sehr ernst, tun Sie dies auch?

Wir informieren in einer kleinen Serie / BLOG zum Thema Datenschutz nach DSGVO “ Bei uns sind Sie Herr Ihrer Daten“. Von vielen belächelt und nicht wirklich ernst genommen, in der aktuellen Zeit vermutlich mehr denn je, da die DSGVO, aktuell aufgrund der Pandemie an vielen Stelle außer Kraft gesetzt wird. Dennoch hat die DSGVO viele Unternehmen bei der Einführung zunächst vor große, teilweise nicht sofort lösbare Herausforderungen gestellt und dies wird sie auch zukünftig. Wir werden in einer kleinen Serie aufzeigen, was zu beachten ist, um deinen Arbeitsalltag DSGVO konform zu bewerkstelligen, ohne diesen Gedanken ständig im Kopf zu haben. Denn Datenschutz und der Arbeitsalltag sind zwei Dinge, die häufig schwer zusammenpassen.

Ich will meine Kunden nicht nerven, weil ich Angst habe, diese an die Konkurrenz zu verlieren, wenn bei mir ein Haufen Zettel bei der Anmeldung zu unterschreiben, oder auf der Internetseite tausend Haken zu bestätigen sind. Wer kennt dies nicht? Häufig Einstellung „Mir passiert schon nichts, wo kein Kläger, da kein Richter“ sind bekannte Denkmuster. Das stimmt auch zu 99%. Aber wenn es dann doch zu dem einen Fall kommt und z.B. ein Konkurrent oder ein wütender Kunde einen Verstoß meldet, kommt es zu einer Prüfung der Landesdatenschutzbehörden. Folge ist vielleicht nur eine kurze Mahnung mit der Auflage, dies in einer Frist zu korrigieren. Aber kann man bei der Prüfung kein Datenschutzkonzept vorweisen, sind die Strafen existenzbedrohend. Dieser Beitrag ist keine Rechtsberatung und erhebt keinen Anspruch auf Vollständigkeit, sondern soll lediglich einen Einblick geben, wie ich mich persönlich ohne viel Aufwand mit dem Thema auseinandersetzen kann. Wir verzichten auf Paragraphenverweise, um nicht auf Gesetzestexte, sondern auf das eigentliche Regelwerk dahinter einzugehen. Hier gilt: Regeln einhalten, ohne mich tot zu verwalten.