Umsetzung der EU-DSGVO: Mal ganz einfach

(Last Updated On: 10. April 2018)

Schritt für Schritt zur Konformität nach EU-DSGVO

Seit ungefähr einem Jahr dreht die Pressewelt bezüglich der EU-DSGVO durch.  Die EU-DSGVO kommt, und wer nicht gerüstet ist, muss drakonische Strafen fürchten. Auf den Freelancer-Portalen sind vor allem erst seit Anfang 2018 die Anfragen für erfahrene Datenschützer im Bereich EU-DSGVO explodiert. Torschlusspanik entsteht, und das nicht nur bei Einzelunternehmen.

Doch wenn man in der Presse nach Informationen sucht, wie denn eigentlich eine Konformität zur EU-DSGVO herzustellen ist, blickt man häufig in’s Leere. Tatsache ist: Welche Tätigkeiten Sie eigentlich umsetzen müssen, ist abhängig von er Gefährdungseinschätzung, zu der wir später noch kommen. Diese schätzt ein, wie risikoreich und schadensgeneigt eine Anwendung oder ein Prozess in Ihrem Hause ist. Je positiver diese Einschätzung in diese Richtung ausfällt, desto höher sind die Anforderungen der EU-DSGVO an diese Anwendung.

Schritt 1: Erstellen Sie eine Prozessübersicht

Der erste Schritt zur Konformität ist eine Erstellung von Prozessübersichten. Erfassen Sie alle Prozesse in Ihrem Unternehmen, die personenbezogene Daten verarbeiten.  Wenn Sie bereits ein Internes Kontrollsystem (IKS) oder ein Information Security Management System (ISMS) aufgebaut haben, ist die Wahrscheinlichkeit hoch, dass Ihr Unternehmen über eine Prozesslandkarte verfügt. Diese bildet eine Risikoperspektive der wesentlichen Geschäftsprozesse in einem Unternehmen ab. Hierbei wird unterschieden zwischen Wertschöpfungsprozessen (differenziert nach Produkt- und Kundengruppen sowie Vertriebswegen) sowie zwischen Steuerungs- und Unterstützungsprozessen (beispielsweise HR, Risikomanagement, Controlling usw.) die Prozesslandkarte verweist dann auf die entsprechende detaillierte Ansicht eines Geschäftsprozesses, die Sie beispielsweise in Form von der Business Process Modelling Notation (BPMN) oder anderen Darstellungsvarianten dokumentiert sind.

Im Rahmen der Einführung eines IKS bzw. ISMS führen Sie bereits folgende Schritte durch:

  • Sie identifizieren, erfassen und dokumentieren alle wesentlichen Geschäftsprozesse, in denen personenbezogene Daten erfasst, gespeichert, verarbeitet und weitergereicht werden, und wie dies geschieht.
  • erstellen eine Risikoanalyse im Hinblick auf die Business Continuity zum einen und die Informationssicherheit zum anderen
  • Sie dokumentieren die identifizierten Risiken und behandeln diese
  • Sie dokumentieren, mit welchen technischen und organisatorischen Maßnahmen die in diesen Prozessen verarbeiteten Daten geschützt werden.

Im Hinblick auf die EU-DSGVO kommt nun hinzu

  • Sie dokumentieren, welche personenbezogenen Daten (z. B. Name, Geburtsdatum, IP-Adresse, Telefonnummern, E-Mail-Adressen, biometrische Daten) erfasst, gespeichert, verarbeitet oder weitergegeben werden.
  • Sie dokumentieren den Grund, warum diese personenbezogenen Daten erfasst, gespeichert und weitergegeben werden (was ist der Zweck für die Nutzung)
  • Sie dokumentieren, wie genau die Speicherung der personenbezogenen Daten technisch erfolgt, und in welcher Form. Beispielsweise kann die Speicherung auch in Form von Akten, und eben nicht zwingend digital, erfolgen
  • Wer hat aktuell Zugriff auf die Daten, und ist dies so gewollt?
  • Gibt es Zugriffseinschränkungen, sehen alle Personen alle Daten?
  • Sie dokumentieren explizit noch einmal, mit welchen technischen und organisatorischen Maßnahmen diese personenbezogenen Daten geschützt werden
  • Wie ist sichergestellt, dass die Dokumentation der Daten und Prozesse nicht abhanden kommt und nicht verfälscht werden kann?

Vergessen Sie keine Prozesse bei dieser Betrachtung. Häufig werden Geschäftsprozesse vergessen, in welchen personenbezogene Daten verarbeitet werden, darunter etwa

  • der Besuch von Anwendungen, insbesondere Webanwendungen, da hier häufig IP-Adressen, Cookies, IDFAs oder andere Online-Identifier und somit personenbezogene Daten verarbeitet werden
  • Abonnieren eines Newsletters, oder E-Mail-Marketing im Allgemeinen
  • Bewerbungsprozess des Unternehmens
  • Einpflege Ihrer Kunden-Stammsätze in ein CRM-System

Nicht für alle dieser Datenverarbeitungsprozesse benötigen Sie eine explizite Einwilligung zur Datenerfassung der natürlichen Person. Ausschlaggebend hierfür ist, dass die Datenverarbeitung sich innerhalb der „redlichen Erwartungen“ bewegt. Um sicher zu gehen, dass dem der Fall ist, macht es jedoch mitunter Sinn, für die jeweiligen Geschäftsprozesse diese „redlichen Erwartungen“ in einer expliziten öffentlichen Datenschutzerklärung festzuhalten.

Schritt 2: Prüfen Sie die Notwendigkeit der Datenerfassung

Im nächsten Schritt prüfen Sie für die jeweiligen Datenverarbeitungsprozesse noch einmal die Notwendigkeit der Datenerfassung. Denn wie wir im nächsten Schritt erfahren werden, ist ein sehr wichtiger Faktor zur Einschätzung der Notwendigkeit einer Datenerfassungs-Einwilligung, in wie weit die Datenerfassung die berechtigten Interessen des Datenverarbeiters zur Erreichung seiner Unternehmensziele abdeckt. In diesem Zusammenhang gilt es auch zu prüfen, ob der Umfang der erfassten Daten ebenfalls diese Notwendigkeit begründet.

Schritt 3: Gestalten Sie Ihre Prozesse um

Die Einwilligung zur Datenerfassung

Zudem muss in Ihrem Geschäftsprozess explizit erfasst sein, wann und wie die Einwilligung zur Datenerfassung und Nutzung vorliegen muss, wie diese eingeholt wird welche Inhalte diese hat und wie diese Einwilligung aufbewahrt und dokumentiert ist. Ist die Einwilligung zur Datenerfassung nicht in sich durch den Auftrag abgedeckt, müssen Sie sich für die ausbleibenden Datenerfassungsprozesse explizit noch einmal eine gesetzliche Erlaubnis einholen, etwa zum Versand von Newslettern, der häufig in sich nicht mit dem eigentlichen Kundenauftrag in Verbindung gebracht werden kann. Auch hier gilt es zu dokumentieren, wie diese Erlaubnis entsprechend eingeholt, dokumentiert und aufbewahrt wird.

Wann Sie eine Einwilligung zur Datenerfassung benötigen, hängt gemäß EU-DSGVO sehr stark vom „berechtigten Interesse“ des Datenverarbeiters ab. So heißt es in Artikel 6 der EU-DSGVO:

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Eventuell können Sie also in Rücksprache mit einem Rechtsberater bestimmte personenbezogene Daten auch einwilligungslos verarbeiten. Ein mögliches Szenario wäre etwa die Verarbeitung von Online-Identifiern zum Zwecke der zielgruppen-gerechten Online-Werbung. Sie sollten in ihren Prozessbeschreibungen genau dokumentieren, welche Daten derzeit einwillungslos, und auf Basis welcher Grundlage, erfasst werden.

Opt-In-Verfahren zur Einwilligung

Die nächste Frage, die Sie sich stellen müssen, ist die Art und Weise, wie Sie die entsprechende Einwilligung zur Datenerfassung einholen, sofern diese notwendig wird. Die EU-DSGVO fordert von Ihnen explizit ein Opt-In Verfahren. Das heißt, ein Unternehmen ist standardmäßig nicht mehr dazu in der Lage, von der Einwilligung des Benutzers auszugehen und nur bei expliziter Verweigerung der Einwilligung diese Datenerfassung zu unterlassen. Diese Methodik wird als Opt-Out-Verfahren bezeichnet. Stattdessen müssen Sie sich zuvor die Einwilligung über ein Opt-In-Verfahren einholen, in welchem der Nutzer der Datenverarbeitung explizit zustimmt. Empfohlen wird in einigen Fällen sogar ein Double-Opt-In Verfahren. Dies bedeutet, dass der Nutzer seine Einwilligung zusätzlich noch einmal verifizieren muss. Dies soll weitestgehend sicher stellen, dass es sich bei der einwilligenden Person wirklich um diejenige natürliche Person handelt, deren Daten verarbeitet werden. Ein typisches Anwendungsbeispiel wäre, dass ein Benutzer seine Einwilligung bei der Registrierung in einem Anmeldeformular gibt, und diese Einwilligung durch einen Klick auf einen Bestätigungslink noch einmal verifiziert. Die EU-DSGVO fordert nämlich von Ihnen, dass die Einwilligung

  • freiwillig
  • von einer einwilligungsfähigen Person
  • bezogen auf einen konkreten Fall, also nicht pauschal
  • unmissverständlich
  • und in Form einer eindeutigen Handlung

erfolgt. Unzulässig ist hierbei ein sogenanntes Soft-Opt-In Verfahren. Hierbei ist der Haken zur Einwilligung bereits im Vornherein gesetzt und müsste vom Benutzer „hart“ deselektiert werden, um der Einwilligung aktiv zu widersprechen. Streitbedarf ist insbesondere beim Punkt der Freiwilligkeit gegeben. Sie geben einem Kunden nur Rabatt, wenn er bestimmte Daten von sich preis gibt? In wie weit dies als Nötigung zu werten ist und daher nicht mehr dem Grundsatz der Freiwilligkeit entspricht, muss ein Jurist bewerten.

Es ist im Übrigen nicht zwingend erforderlich, eine bereits vor Inkrafttreten der EU-DSGVO erteilte Einwilligung zur Datenerfassung erneut einzuholen. Dies gilt, so weit die damals erteilte Einwilligung den Vorgaben der EU-DSGVO entspricht und Sie diese Einwilligung nachweisen können.

Wichtig ist in diesem Zusammenhang die Nachweispflicht. Sie als Datenverarbeiter müssen nachweisen, dass eine Einwilligung der Person vorgelegen hat. In der Praxis eignet sich dazu häufig ein Double-Opt-In-Verfahren. Zur Identifizierung des Einwilligenden sollte ein personenbezogenes Datum wie etwa ein Online-Identifier in Verbindung mit einem Zeitstempel in einer Datenbank hinterlegt werden. Details obliegen der Rechtsberatung.

Kopplungsverbot

Ebenfalls wichtig für Sie zu beachten ist das sogenannte Kopplungsverbot. Dieses besagt, dass die Einwilligung zur Datenerfassung nicht an die zusätzliche Erteilung weiterer gesetzlicher Erlaubnisse gebunden sein. So dürfen Sie beispielsweise die Zustimmung zur Datenerfassung nicht an das Abonnement eines Newsletters binden.

Verfahren zum Opt-Out

Sie dürfen als Datenverarbeiter nicht mehr von der Zustimmung des Nutzers ausgehen und müssen daher seine Zustimmung zur Datenerfassung explizit durch ein Opt-In-Verfahren einholen. Gleichzeitig müssen Sie dem Nutzer aber auch eine Möglichkeit zum jederzeitigen Widerruf seiner Einwilligung geben. In der Praxis bedeutet dies zusätzlich die Implementierung eines Opt-Out-Prozesses. Eine praxisnahes Beispiel ist die Möglichkeit der Abbestellung eines E-Mail-Newsletters über einen Kündigungs-Link. Das Opt-Out-Verfahren wird damit zu einem geschäftskritischen Unterstützungsprozess in Ihrer Wertschöpfungskette. Für diesen müssen Sie entsprechend auch Informationssicherheitsrisiken bewerten, insbesondere im Hinblick auf die Verfügbarkeit des Opt-Out-Verfahrens.

Stilllegung und Berichtung von Daten

Bei der Analyse zur Umsetzung der EU-DSGVO werden Sie mitunter fest stellen, dass Sie einige bereits in der Vergangenheit erfassten Daten nicht mehr behalten dürfen. Gründe können beispielsweise sein

  • die damals erteilte Einwilligung zur Datenerfassung entspricht nicht den Vorgaben der EU-DSGVO. Beispielsweise weil der Grundsatz der Freiwilligkeit nicht gegeben war (der Kunde wurde zur Preisgabe der Daten genötigt), oder weil damals ein Opt-Out-Verfahren genutzt wurde, oder weil kein Nachweis über die Einwilligung erbracht werden kann.
  • Die Daten sind zur Erfüllung des vom Nutzer erteilten Auftrages und damit zur Erreichung der Geschäftsziele nicht notwendig und entsprechen auch nicht dem Grundsatz der „redlichen Erwartungen“. Daher ist eine Einwilligung erforderlich, die zum Zeitpunkt nicht vorliegt oder nicht nachgewiesen werden kann.
  • Der Ursprung der Daten bzw. der Grund für ihre Erhebung ist unklar.
  • Ein Nutzer hat Ihnen seine Einwilligung über ein Opt-Out-Verfahren explizit entzogen

Diese Daten sind gemäß der Bestimmungen entsprechend still zu legen und ggf. sogar zu vernichten. Auch für stillgelegte Daten gilt ein einzuhaltender Schutzbedarf Problematisch wird dies unter Anderem, wenn Sie die Daten nicht mehr in Ihrer Live-Datenbank haben, sondern sich diese mittlerweile „offline“ in irgendwelchen Archiven befinden.  die EU-DSGVO fordert von Ihnen explizit auch einen sicheren und dokumentierten Datenvernichtungsprozess. In den Artikeln 15-19 der EU-DSGVO sind hierzu u. A. die Rechte auf Berichtung und Löschung von Daten des Betroffenen geregelt. Da Sie entsprechend reagieren müssen, empfiehlt sich in diesem Zusammenhang ein teil-automatisierter Prozess.

Auskunftspflicht

In Artikel 12 der EU-DSGVO ist die sogenannte Auskunftspflicht und in den Artikeln 15-19 damit einhergehende Rechte des Betroffenen geregelt. Dementsprechend müssen Sie als Datenverarbeiter dazu in der Lage sein, dem Betroffenen Auskunft darüber zu erteilen, welche Daten Sie über ihn zu welchem Zwecke gespeichert haben. Da Sie entsprechend reagieren müssen, empfiehlt sich an dieser Stelle ein teil-automatisierter Prozess. Die entsprechenden Prozesse hierzu werden zu wesentlichen  Unterstützungsprozessen in Ihrer Wertschöpfungskette und sind entsprechend zu modellieren und zu dokumentieren.

Informationspflicht

Neben der Auskunftspflicht auf Anfrage des Betroffenen haben Sie zusätzlich gemäß den Artikeln 13 und 14 der EU-DSGVO eine Informationspflicht als Verantwortlicher, sowohl bei der direkten Verarbeitung personenbezogener Daten, als auch bei der indirekten Verarbeitung durch Dritte. Auch dieser Prozess muss entsprechend implementiert werden.

Privacy by Design

In Artikel 25 der EU-DSGVO ist geregelt, dass Unternehmen künftig direkt mit Beginn eines Vorhabens das Thema Datenschutz durch Technikgestaltung berücksichtigen müssen. Der Schutz personenbezogener Daten muss also von Anfang an Thema werden. Dies ist gemäß der Nachweispflicht auch zu belegen.

Privacy by Default

Ebenfalls in Artikel 25 der EU-DSGVO ist festgelegt, dass bereits die Standard-Einstellungen von Anwendungssoftware möglichst datenschutzfreundlich angelegt sein müssen.

Schritt 4: Datenschutzfolgeabschätzung (DSFA)

Immer dann, wenn die Verarbeitung personenbezogener Daten für die Rechte und Freiheiten des Betroffenen ein hohes oder sehr hohes Risiko darstellt, hat der Verantwortliche eine sogenannte Datenschutzfolgeabschätzung (DSFA) durchzuführen. Zweck einer Datenschutzfolgeabschätzung ist darzustellen, welche Folgen eine geplante Datenverarbeitung für den Schutz der personenbezogenen Daten der Betroffenen hätte. Dazu muss eine Risikoanalyse erfolgen, die auch im Anschluss entsprechend behandelt werden müssen. Wichitg in diesem Zusammenhang ist zu verstehen, dass ein hoher Schutzbedarf nicht zwingend zu einer DSFA führen muss, sofern durch die Maßnahmen, die dieser hohe Schutzbedarf mit sich bringt, das Risiko auf ein normales Risikoniveau reduziert werden kann. Dadurch handelt es sich dann de fakot nicht mehr um ein hohes Risiko.

Des Weiteren hat die Artikel-29-Datenschutzgruppe festgelegt, dass die Erforderlichkeit einer DSFA umso mehr gegeben ist, wenn folgende Voraussetzungen vorliegen

  • die personenbezogenen Daten werden zum Scoring oder zur Profilbildung genutzt
  • Auf Basis der Daten erfolgen automatisierte Entscheidungen mit rechtlichen oder vergleichbar gewichtbaren Konsequenzen
  • Es erfolgt eine systematische Beobachtung (beispielsweise von Arbeitsplätzen)
  • Es handelt sich der Definition nach um sensible Daten
  • die Datenverarbeitung umfasst der Definition nach einen großen Umfang
  • Datensätze werden miteinander abgeglichen oder kombiniert
  • Es werden Daten von besonders schutzbedürftigten Personengruppen erhoben oder verarbeitet (etwa Arbeitnehmer, Kinder)
  • Die Daten werden im Rahmen einer innovativen Technologie genutzt (beispielsweise Iris-Scan)
  • Der Betroffene kann ein Recht ohne vorherige Datenverarbeitung nicht in Anspruch nehmen, beispielsweise Genehmigungsprozess bei einer Kreditvergabe

Insbesondere ist geregelt, dass wenn ein hohes Risiko sich nicht durch eine angemessene technische oder organisatorische Maßnahme effektiv reduzieren lässt, für die Anwendung der Verarbeitung eine Genehmigung bei der Datenschutzaufsichtsbehörde einzuholen ist. Es reicht insbesondere auch nicht, eine DSFA lediglich einmalig durchzuführen. Eine DSFA muss stets verbessert und in regelmäßigen Abständen neu bewertet werden, da sich die entsprechenden mit dieser Verarbeitung verbundenen Risiken im Laufe der Zeit in ihren Eigenschaften und Umfängen ändern können.

Datenschutzaufsichtsbehörden pflegen explizit Blacklisten, die Datenverarbeitungsprozesse aufführen, die stets einer Genehmigung durch die Datenschutzaufsichtsbehörde bedürfen. Diese Blacklisten gilt es in diesem Zusammenhang ebenfalls zu prüfen.

Auf eine DSFA kann mitunter verzichtet werden, wenn eine Datenschutzaufsicht oder ein Datenschutzbeauftragter die Datenverarbeitung im Zuge einer „Vorabkontrolle“ eingehend geprüft hat (Erwägungsgrund 171 EU-DSGVO).

Der Mindestinhalt einer DSFA umfasst die folgenden Punkte:

  • Eine detaillierte Beschreibung der einzelnen Datenverarbeitungsprozesse inklusive Verantwortlichkeiten und deren Zwecke
  • Eine Begründung der Verhältnismäßigkeit der Verarbeitung im Verhältnis zu deren Zweck
  • Eine Risikobewertung der Informationssicherheit und der mit diesen Risiken verbundenen Folgen für die Betroffenen der Datenverarbeitung
  • Geplante Behandlungsmaßnahmen für diese Risiken
  • Verbleibende Restrisiken aufzeigen

Darüber hinaus empfiehlt es sich, weiterhin die folgenden Informationen mit aufzunehmen

  • Dokumentation des DSFA-Teams, welches an der Abschätzung beteiligt war
  • Dokumentation der betroffenen Akteure
  • Prüfung der Rechtsgrundlagen für die Verarbeitung
  • Einstufung der personenbezogenen Daten in Schutzbedarfsklassen
  • Maßnahmen zur Prüfung der Risikobehandlungsmaßnahmen auf Wirksamkeit
  • Dokumentation des Prozesses zur kontinuierlichen Überarbeitung und Verbesserung der DSFA

Betroffener Akteur kann explizit auch der Betriebsrat eines Unternehmens sein. Dieser sollte eventuell in die Datenschutzfolgeabschätzung mit ein bezogen werden.

Unter die in der Risikobewertung zu beurteilenden Folgen für die Betroffenen sind explizit mit ein zu beziehen:

  • Diskriminierung
  • Identitätsdiebstahl
  • Finanzieller Vermögensschaden
  • Rufschädigung
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

Schritt 5: Implementierung eines ISMS

In der EU-DSGVO ist außerdem geregelt:

Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen.

Als informationsverarbeitendes Unternehmen müssen Sie also hinreichende Garantien liefern, welche Ihnen die Erfüllung eines Mindeststandards in der Welt der Informationssicherheit und IT-Security nachweisen.  Eine Möglichkeit, die notwendige Sorgfalt in der Informatoinssicherheit nachzuweisen, ist der Betrieb eines Information Security Management Systems (ISMS) sowie die Erlangung einer international anerkannten Akkreditierung in diesem Bereich. Die am weitesten verbreitete Anerkennung in diesem Bereich ist eine Zertifizierung Ihrer Organisation nach ISO 27001.

Bei der Ausarbeitung der organisatorischen und technischen Schutzmaßnahmen in Ihrem ISMS zur Erhaltung der Informationssicherheit der Daten können Sie sich grundsätzlich an folgenden Prinzipien orientieren:

  • Datensparsamkeit. Sind alle Daten, die gesammelt werden, zur Erreichung des damit begründeten Unternehmenszieles notwendig?
  • Need To Know Prinzip. Benötigen alle Parteien, die technisch und organisatorisch Zugriff auf diese Daten erhalten, wirklich Kenntnis über die erfasste Information?
  • Minimalitätsprinzip. Die Zugriffsberechtigungen auf Daten, die Anwendungsberechtigungen auf datenverarbeitenden Systemen, die Verfügbarkeit von Diensten und Schnittstellen einer Awnendung und die Kenntnis von Informationen sollte immer nur so vergbeen werden, wie es zur ERfüllung des jeweiigen Auftrages der jeweiligen Person oder Organisation notwendig ist.
  • Defense in Depth. Eine vollständige Informationssicherheit kann niemals gewährleistet werden. Alle technischen und organisatorischen Maßnahmen haben Sicherheitslücken, die ausgenutzt werden können und zum Eintritt eines Informationssicherheitsrisikos führen können. Um diesen Eintritt eines Risikos weitest gehend zu mitigieren, sollten Sie organisatorische und technische Maßnahmen verschiedener Ebenen (physisch, technisch, orgainsatorisch) kombinieren.
  • Kontinuierliche Verbesserung. Das gesamte ISMS und dessen Bestandteile sollten kontinuierlich auf Wirksamkeit, Angemessenheit und Effizienz geprüft und in diesen Belangen verbessert werden.
  • Chinese Wall Prinzip. Bei der objektiven Beurteilung und beim Audit des ISMS und der datenverarbeitenden Prozesse im Unternehmen sollten weitestgehend objektive Parteien die Bewertung durchführen, die vom Ausgang des Audits und der Kontrolle unabhängig sind. Dies schließt jedoch nicht den Sinn und Zweck einer internen Selbstkontrolle aus.

Schritt 6: Steigern Sie die Awareness

Steigern Sie die Awareness für die Wichtigkeit der EU-DSGVO in Ihrem Unternehmen durch Schulung, Weiterbildung, Aufklärung und Sensibilisierung. Eine Volltext-Veröffentlichung der EU-DSGVO erhalten Sie unter Anderem bei der Gesellschaft für Datenschutz und Datensicherheit e. V. 

Final bleibt noch zu sagen, dass die EU-DSGVO ein rechtliches Thema ist und Sie alle Informationen in diesem Belang mit einem Anwalt bzw. einer Rechtsberatung angehen sollten. Dieser Beitrag ersetzt explizit nicht eine Rechtsberatung durch den Fachmann.

 

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren …

2 Antworten

  1. paranoid64 sagt:

    Mir gefällt deine Beschreibung sehr gut. Das ist mal wirklich für jemanden, der keine Ahnung hat.
    Es haben sich Tippfehler eingeschlichen, ich keine Kritik von mir und nur gut gemeint : )!

    Online-Identifiern -> Online identifizieren
    Eine praxisnahes Beispiel -> Ein praxisnahes Beispiel
    gemäß der Bestimmungen -> gemäß den Bestimmungen
    Wichitg -> Wichtig
    de fakot -> der Faktor?
    schutzbedürftigten Personengruppen -> schutzbedürftigen
    Informatoinssicherheit
    Awnendung -> Anwendung
    vergbeen -> vergeben
    ERfüllung des jeweiigen -> Erfüllung des jeweiligen
    Orgainsatorisch -> Organisatorisch

    Vielleicht kann man noch die Webseiten angaben als Thema ergänzen.

    p.s.: gravatar.com ist nicht DSGVO konform und sollte abgeschaltet werden.

    • DaFRK sagt:

      Vielen Dank für deinen Input, ich werde den Beitrag nach Möglichkeit noch einmal überarbeiten. Du beschäftigst dich viel mit Elektronik, richtig? Bist du auch im Umfeld Raspberry Pi und Arduino tätig? Evtl. kann man hier mal eine Partnerschaft über Gastbeiträge machen.

      Viele Grüße Andreas

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.