Seit 2 Jahren leben wir mit der DSGVO (Datenschutz-Grundverordnung). Wir alle sind in Sachen Datenschutz und Datensicherheit gefordert. In diesem Beitrag stellen wir Ihnen den drkpi® DSGVO Audit Ratgeber Light zum Download bereit. Hier besprechen wir Themen wie:
- Halten wir die Datenschutzbestimmungen ein?
- Funktioniert der Daten Backup über das Netz oder auf einem zu Hause vorhandenem Backup Server?
- Sind Virenscanner und eine Firewall installiert?
Wenn Sie Fragen zu dieser Liste oder im Zusammenhang mit Datenschutz im Marketing haben, stehen wir Ihnen gern zur Verfügung. Sie können den Ratgeber mit Checkliste auch als PDF-Dokument herunterladen Füllen Sie das Formular aus und erhalten Sie den drkpi® DSGVO Audit Light hier kostenlos.
Verfahrensverzeichnis und Accountability: Erste Schritte mit drkpi DSGVO Audit Light
Als Grundlage für den Datenschutz‐ bzw. DSGVO Audit gelten Art. 24 und 32 DSGVO (EU‐Datenschutzgrundverordnung). Die Datenschutz-Richtlinie betrifft vor allem den Schutz der persönlichen Daten. Damit eng verbunden ist auch die IT Sicherheit, denn wenn Ihre Daten durch Fehler verloren gehen oder in die falschen Hände geraten, sind potentiell auch die personenbezogenen Daten betroffen.
Das hier ist kein vollständiger Audit, es soll Ihnen lediglich die erste Auskunft darüber geben, wir sicher Ihr Unternehmen in Sachen Datenschutz aufgestellt ist. Dieser Schnelltest zeigt auf, wo Sie weitere Überprüfungsschritte einleiten müssen. Die DSGVO wird immer dann angewendet, wenn Sie Daten von Menschen aus dem EU-Raum bearbeiten (z.B. Ihre schweizer Firma hat Kunden oder Lieferanten in Deutschland).
Der drkpi® DSGVO Audit Light offenbart Ihnen auch die verbesserungswürdigen oder kritischen Gebiete.
- Accountability: Jede Applikation, welche Sie im Marketing oder Finanzwesen nutzen, muss in Ihrem Verfahrensverzeichnis aufgeführt sein.
- Consent: Je nach Geschäft (z.B. B2C) muss der Kunde eingewilligt haben, die bestimmte Art der Kommunikation (z.B. Newsletter) zu erhalten. Wenn er für einen Marketing Newsletter einwilligt, will er aber keine Angebote zu Rheumadecken bekommen.
- Visueller Überblick: Die Aufsichtsbehörde will nicht 10 Excel Tabellen durcharbeiten. Besser sind Datengrafiken, welche einen evidenzbasierten Überblick verschaffen. Beispielsweise, wie viele Anfragen gab es in der überpüften Periode von Personen, die Auskunft haben wollen, welche Daten gespeichert wurden, wie schnell wurde geantwortet, usw.
- Kosten: Was kostet uns die DSGVO im Marketing und Unternehmen insgesamt.
Erste Schritte mit dem drkpi® DSGVO Audit Light
Unten finden Sie geschlossene Fragen, die Sie für sich mit JA, NEIN, oder ICH WEISS NICHT, beantworten sollen. Wenn Sie sich bei allem sicher fühlen und immer JA sagen können, könnte bei Ihnen alles in Ordnung sein. Sollten Sie jedoch Zweifel haben oder keine Antwort wissen, sollen Sie einen Audit durchführen lassen.
Stellen sie sicher, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet sind, wie z.B.:
- Sind externe wie interne MitarbeiterInnen verpflichtet?
- Wissen MitarbeiterInnen, um was es beim Datenschutz wirklich geht?
- Ist den MitarbeiternInnen bewusst, wie sie sich verhalten sollen, wenn sie z.B. am Telefon um Auskunft gebeten werden?
Datensicherheit: Haben wir den Grundschutz mit folgenden Vorkehrungen sichergestellt:
- Haben wir mögliche Risiken eruiert und deren Prävention etabliert?
- Haben wir einen Notfallplan (z.B. bei einem Data Breach, wer wird wann informiert)?
- Sind alle MitarbeiterInnen informiert?
- Haben wir verantwortliche Personen für diverse IT-Sicherheitsaspekte benannt?
- Wurden Regeln aufgestellt, wer zu welchen Daten über welche Applikationen Zugang hat (Privacy by Design)?
- Wurden unsere Mitarbeiter mit Hinblick auf die ober genannten Aspekte geschult?
- Sind alle Regelwerke dokumentiert, sicher aufbewahrt und für alle bei Bedarf zugänglich?
Dokumentation von IT-Verfahren, Software, IT-Konfiguration: Verfahrensverzeichnis und Accountability
Haben wir einen Datenschutzverantwortlichen:
- der sich um die Software und alle relevanten Verfahren kümmert?
- verhält sich diese Person oder Anbieter nachweislich datenschutzkonform?
Läuft unsere interne und externe Datenübertragung sicher? Haben wir Massnahmen eingeleitet, um uns gegen Schadsoftware zu schützen? Nutzen wir sichere interne und externe Datenträger?
Stellen wir sicher und kontrollieren wir, dass vor, während und nach Wartungs- oder Reparaturarbeiten auf den Datenschutz geachtet wird? Haben wir das Risiko Management im Griff, also wie kontrollieren/überprüfen wir, dass:
- intern programmierte Applikationen keine Schwachstellen/Vulnerabilities haben?
- extern eingekaufte oder in der Cloud genutzte Software Programme / Applikationen keine Schwachstellen / Vulnerabilities haben?
- das systematische Risiko für Viren, Malware und Ransomware Infektion nicht zu hoch ist?
- das nicht systematische Risiko in Sachen Vulnerabilities, Bugs, Malware und Ransomware so gut wie möglich kontrolliert wird?
Was ist Ransomware? Malware, die in den Computer des Opfers eindringt und alle ihm zur Verfügung stehenden Dateien verschlüsselt.
Internet, E-Mail, personenbezogen Daten
Ist unsere Internetseite datenschutzkonform? Ist unser E-Mail Marketing datenschutzkonform? Können wir die Datenschutzkonformität im Kontakt mit EU-Ländern jederzeit gewährleisten bzw. belegen?
Wenn wir geschäftliche Kontakte zu US Firmen haben, können wir jederzeit belegen, dass wir datenschutzkonform sind? Sammeln wir personenbezogene Daten von Dritten (Emailadressen für unser Newsletter, beispielsweise)? Wenn ja,
- ist die Sammlung dieser Informationen DSGVO konform?
- deren Speicherung DSGVO compliant?
Sind alle Mitarbeiter informiert, wie sie mit der Sammlung, Speicherung, Weiterverarbeitung und Löschung dieser Daten umgehen sollen?
Ressourcen
- Download des Ratgebers mit Checkliste: drkpi® DSGVO Audit Light
- Werfen Sie auch einen Blick in unser Datenschutz Wiki,
- Oder besuchen unseren Blog — Kategorie: Datenschutz & Cybersecurity
Viel Erfolg.
Nachnotiz Datenschutz und Datensicherheit
Politiker wollen Standortdaten von Smartphones nutzen, um die Ausbreitung des #Coronavirus und anderer Krankheiten einzudämmen. Zu Recht hat die Idee Fragen zum Datenschutz aufgeworfen. Eine Studie zeigt, dass 99,98% der Personen mit 15 demographischen Merkmalen (z.B. Alter, Geschlecht, Beruf usw.) identifiziert werden können. Dies gilt selbst dann, wenn ihre Daten anonymisiert wurden. Sie können zur Anschauung selber den Test durchführen (in Englisch, läuft nur auf Ihrem Rechner), geht nur mit UK und US Postleitzahlen: hier.
Wir haben es getestet und das Resultat war wie folgt:
Wenn Ihr Arbeitgeber oder Nachbar jemanden findet, der mit Ihrem Geburtsdatum (1966/2/19), Geschlecht (männlich) und Postleitzahlbezirk (SW7) in einem „anonymen“ Gesundheitsdatensatz übereinstimmt, wären das in 77% der Fälle Sie!
Andere Personen haben im Durchschnitt eine Wahrscheinlichkeit von 79%, korrekt wieder identifiziert zu werden, was Sie weniger einzigartig macht als den Rest der britischen Bevölkerung.
Rocher, Luc, Hendrickx, Julien, M., & de Montioye, Yves-Alexandre (Juli 2019). Estimating the success of re-identifications in incomplete datasets using generative models. Nature Communications, 10, Art. # 3069 volume 10, Article number: 3069 DOI: 10.1038/s41467-019-10933-3
5 Antworten
ja, das Accountability Framework muss jederzeit – auch in der Marketing Abteilung – vorzeigbar sein. Im Minimum braucht es da:
1. Ein Organization Chart – wer ist für was zuständig,
2. eine Darstellung was Marketing macht (Mission Statement) und
3. eine Marketing Guideline mit einer Beschreibung von „Was machen wir mit wlechen Daten?“
Grüsse
Robert
Lieber Robert
Nochmals herzlichen Dank für dein sehr interessante Präsentation/Diskussion beim MCLago Happy Hour WebEvents am Dienstag vor einer Woche.
Danke auch für die 3 Punkte oben. Besonders ein Dokument das klar skizziert was Marketing mit seinen Daten macht ist nicht immer schon vorhanden wenn wir ein DSGVO Audit machen.
Schönen Abend
Monika
Lieber Robert
Herzlichen Dank für Deinen Kommentar. Die Marketing Guideline ist wohl etwas vom Wichtigsten für die Einhaltung der DSGVO. Ich denke das wird manchmal vergessen. Neben der Sicherheit der Daten müssen wir auch wissen
1. welche Daten wir in welcher Datenbank haben,
2. inwiefern diese gemäss DSGVO Regeln genutzt werden UND
3. Wann wir und wie wir die Daten bereinigen, entfernen wenn aufgefordert von Kunden, wieviele Anfragen es gab in den letzten 12 Monaten wo Kunden/Konsumenten wissen wollten welche Daten wir gespeichert haben.
Interessante Arbeit ist die Arbeit mit DSGVO Aufgaben, ich liebe es :-)
Grüessli
Urs
Vielen Dank für diesen GDPR Beitrag.
Das hat mir sehr gut gefallen. Die Checkliste macht es einfach, gleich einmal anzufangen um zu sehen, wie gut die Dinge im eigenen Betrieb laufen.
Lieber Simon
Danke für Ihren Kommentar.
Ich höre natürlich sehr gerne, dass Sie unsere Checkliste sogleich anwenden konnten.
Lassen Sie uns bitte wissen, ob es noch Unklarheiten gibt. Wir helfen Ihnen gerne mit Tipps weiter.
Schönen Abend
Monika
#drkpiCheck