drkpi® DSGVO Audit Light - Facebook, Webseite, CSRM, Datensicherheit

Seit 2 Jahren leben wir mit der DSGVO (Datenschutz-Grundverordnung). Wir alle sind in Sachen Datenschutz und Datensicherheit gefordert.
Im Beitrag stellen wir Ihnen den drkpi® DSGVO Audit Light Ratgeber zum Download bereit. Hier besprechen wir Themen wie:

  • Halten wir die Datenschutzbestimmungen ein?
  • Funktioniert der Daten Backup über das Netz oder auf einem zu Hause vorhandenem Backup Server?
  • Sind Virenscanner und eine Firewall installiert?

Wenn Sie Fragen zu dieser Liste oder im Zusammenhang mit Datenschutz im Marketing haben, stehen wir Ihnen gern zur Verfügung.
Sie können diese Checkliste auch als PDF-Dokument herunterladen. Füllen Sie das Formular unten aus und erhalten Sie unsere drkpi® DSGVO Audit Light Checkliste kostenlos.

Verfahrensverzeichnis und Accountability: Erste Schritte mit drkpi DSGVO Audit Light

Als Grundlage für den Audit Datenschutz‐Sicherheitscheck gelten Art. 24 und 32 DSGVO der EU‐Datenschutzgrundverordnung.

Die Datenschutz-Richtlinie betrifft vor allem den Schutz der persönlichen Daten. Damit eng verbunden ist auch die IT Sicherheit, denn wenn Ihre Daten durch Fehler verloren gehen oder in die falschen Hände geraten, sind potentiell auch die personenbezogenen Daten betroffen.

Das hier ist kein voller Audit, es soll Ihnen lediglich die erste Auskunft darüber geben, wir sicher Ihr Unternehmen in Sachen Datenschutz aufgestellt ist. Dieser Schnelltest zeigt auf, wo Sie weitere Überprüfungsschritte einleiten müssen. Die DSGVO wird immer dann angewendet, wenn Sie Daten von Menschen aus dem EU Raum bearbeiten (z.B. Ihre schweizer Firma hat Kunden oder Lieferanten in Deutschland).  

Der drkpi® DSGVO Audit Light offenbart Ihnen auch die verbesserungswürdigen oder kritischen Gebiete.

  1. Accountability: Jede Applikation, welche Sie im Marketing oder Finanzwesen nutzen, muss in Ihrem Verfahrensverzeichnis aufgeführt sein.
  2. Consent: Je nach Geschäft (z.B. B2C) muss der Kunde eingewilligt haben, die bestimmte Art der Kommunikation (z.B. Newsletter) zu erhalten. Wenn er für einen Marketing Newsletter einwilligt, will er aber keine Angebote zu Rheumadecken bekommen.
  3. Visueller Überblick: Die Aufsichtsbehörde will nicht 10 Excel Tabellen durcharbeiten. Besser sind Datengrafiken, welche einen evidenzbasierten Überblick verschaffen. Beispielsweise, wie viele Anfragen gab es in der überpüften Periode von Personen, die Auskunft haben wollen, welche Daten gespeichert wurden, wie schnell wurde geantwortet, usw.
  4. Kosten: Was kostet uns die DSGVO im Marketing und Unternehmen insgesamt.

[wpforms id=”17655″]

Erste Schritte mit dem drkpi® DSGVO Audit Light

Unten finden Sie geschlossene Fragen, die Sie für sich mit JA, NEIN, oder ICH WEISS NICHT, beantworten sollen. Wenn Sie sich bei allem sicher fühlen und immer JA sagen können, könnte bei Ihnen alles in Ordnung sein. Sollten Sie jedoch Zweifel haben oder keine Antwort wissen, sollen Sie einen Audit durchführen lassen.

Stellen sie sicher, dass alle Mitarbeiter auf das Datengeheimnis verpflichtet sind, wie z.B.:

  • Sind externe wie interne MitarbeiterInnen verpflichtet? 
  • Wissen MitarbeiterInnen, um was es beim Datenschutz wirklich geht? 
  • Ist den MitarbeiternInnen bewusst, wie sie sich verhalten sollen, wenn sie z.B. am Telefon um Auskunft gebeten werden?

Datensicherheit: Haben wir den Grundschutz mit folgenden Vorkehrungen sichergestellt: 

  • Haben wir mögliche Risiken eruiert und deren Prävention etabliert? 
  • Haben wir einen Notfallplan (z.B. bei einem Data Breach, wer wird wann informiert)? 
  • Sind alle MitarbeiterInnen informiert?
  • Haben wir verantwortliche Personen für diverse IT-Sicherheitsaspekte benannt?
  • Wurden Regeln aufgestellt, wer zu welchen Daten über welche Applikationen Zugang hat (Privacy by Design)?
  • Wurden unsere Mitarbeiter mit Hinblick auf die ober genannten Aspekte geschult? 
  • Sind alle Regelwerke dokumentiert, sicher aufbewahrt und für alle bei Bedarf zugänglich?

Dokumentation von IT-Verfahren, Software, IT-Konfiguration: Verfahrensverzeichnis und Accountability

Haben wir einen Datenschutzverantwortlichen:

  • der sich um die Software und alle relevanten Verfahren kümmert? 
  • verhält sich diese Person oder Anbieter nachweislich datenschutzkonform?

Läuft unsere interne und externe Datenübertragung sicher? 

Haben wir Massnahmen eingeleitet, um uns gegen Schadsoftware zu schützen?

Nutzen wir sichere interne und externe Datenträger?

Stellen wir sicher und kontrollieren wir, dass vor, während und nach Wartungs- oder Reparaturarbeiten auf den Datenschutz geachtet wird?

Haben wir das Risiko Management im Griff, also wie kontrollieren/überprüfen wir, dass:

  • intern programmierte Applikationen keine Schwachstellen/Vulnerabilities haben?
  • extern eingekaufte oder in der Cloud genutzte Software Programme / Applikationen keine Schwachstellen / Vulnerabilities haben?
  • das systematische Risiko für Viren, Malware und Ransomware Infektion nicht zu hoch ist?
  • das nicht systematische Risiko in Sachen Vulnerabilities, Bugs, Malware und Ransomware so gut wie möglich kontrolliert wird?
Was ist Ransomware? Malware die in den Computer des Opfers eindringt und alle ihm zur Verfügung stehenden Dateien verschlüsselt.
Was ist Ransomware? Malware, die in den Computer des Opfers eindringt und alle ihm zur Verfügung stehenden Dateien verschlüsselt.

Internet, E-Mail, personenbezogen Daten

Ist unsere Internetseite datenschutzkonform?

Ist unser E-Mail Marketing datenschutzkonform?

Können wir die Datenschutzkonformität im Kontakt mit EU-Ländern jederzeit gewährleisten bzw. belegen?

Wenn wir geschäftliche Kontakte zu US Firmen haben, können wir jederzeit belegen, dass wir datenschutzkonform sind?

Sammeln wir personenbezogene Daten von Dritten (Emailadressen für unser Newsletter, beispielsweise)? Wenn ja,

  • ist die Sammlung dieser Informationen DSGVO konform?
  • deren Speicherung DSGVO compliant?

Sind alle Mitarbeiter informiert, wie sie mit der Sammlung, Speicherung, Weiterverarbeitung und Löschung dieser Daten umgehen sollen?

Ressourcen 

Viel Erfolg.

Nachnotiz Datenschutz und Datensicherheit

Politiker wollen Standortdaten von Smartphones nutzen, um die Ausbreitung des #Coronavirus und anderer Krankheiten einzudämmen. Zu Recht hat die Idee Fragen zum Datenschutz aufgeworfen. Eine Studie zeigt, dass 99,98% der Personen mit 15 demographischen Merkmalen (z.B. Alter, Geschlecht, Beruf usw.) identifiziert werden können. Dies gilt selbst dann, wenn ihre Daten anonymisiert wurden. Sie können zur Anschauung selber den Test durchführen (in Englisch, läuft nur auf Ihrem Rechner), geht nur mit UK und US Postleitzahlen: https://cpg.doc.ic.ac.uk/individual-risk/

Wir haben es getestet und das Resultat war wie folgt:

Wenn Ihr Arbeitgeber oder Nachbar jemanden findet, der mit Ihrem Geburtsdatum (1966/2/19), Geschlecht (männlich) und Postleitzahlbezirk (SW7) in einem “anonymen” Gesundheitsdatensatz übereinstimmt, wären das in 77% der Fälle Sie!
Andere Personen haben im Durchschnitt eine Wahrscheinlichkeit von 79%, korrekt wieder identifiziert zu werden, was Sie weniger einzigartig macht als den Rest der britischen Bevölkerung.

Rocher, Luc, Hendrickx, Julien, M., & de Montioye, Yves-Alexandre (Juli 2019). Estimating the success of re-identifications in incomplete datasets using generative models. Nature Communications, 10, Art. # 3069 volume 10, Article number: 3069 DOI: 10.1038/s41467-019-10933-3

5 Kommentare
  1. Robert Niedermeier
    Robert Niedermeier sagte:

    ja, das Accountability Framework muss jederzeit – auch in der Marketing Abteilung – vorzeigbar sein. Im Minimum braucht es da:

    1. Ein Organization Chart – wer ist für was zuständig,
    2. eine Darstellung was Marketing macht (Mission Statement) und
    3. eine Marketing Guideline mit einer Beschreibung von “Was machen wir mit wlechen Daten?”

    Grüsse
    Robert

    • Monika Fischer drkpi®
      Monika Fischer drkpi® sagte:

      Lieber Robert

      Nochmals herzlichen Dank für dein sehr interessante Präsentation/Diskussion beim MCLago Happy Hour WebEvents am Dienstag vor einer Woche.
      Danke auch für die 3 Punkte oben. Besonders ein Dokument das klar skizziert was Marketing mit seinen Daten macht ist nicht immer schon vorhanden wenn wir ein DSGVO Audit machen.
      Schönen Abend
      Monika

    • Urs E. Gattiker #drkpiCheck #drkpi #drkpiDashboard
      Urs E. Gattiker #drkpiCheck #drkpi #drkpiDashboard sagte:

      Lieber Robert

      Herzlichen Dank für Deinen Kommentar. Die Marketing Guideline ist wohl etwas vom Wichtigsten für die Einhaltung der DSGVO. Ich denke das wird manchmal vergessen. Neben der Sicherheit der Daten müssen wir auch wissen

      1. welche Daten wir in welcher Datenbank haben,
      2. inwiefern diese gemäss DSGVO Regeln genutzt werden UND
      3. Wann wir und wie wir die Daten bereinigen, entfernen wenn aufgefordert von Kunden, wieviele Anfragen es gab in den letzten 12 Monaten wo Kunden/Konsumenten wissen wollten welche Daten wir gespeichert haben.

      Interessante Arbeit ist die Arbeit mit DSGVO Aufgaben, ich liebe es :-)
      Grüessli
      Urs

  2. Simon Heaway
    Simon Heaway sagte:

    Vielen Dank für diesen GDPR Beitrag.
    Das hat mir sehr gut gefallen. Die Checkliste macht es einfach, gleich einmal anzufangen um zu sehen, wie gut die Dinge im eigenen Betrieb laufen.

    • Monika Fischer drkpi® #drkpidashboard
      Monika Fischer drkpi® #drkpidashboard sagte:

      Lieber Simon

      Danke für Ihren Kommentar.
      Ich höre natürlich sehr gerne, dass Sie unsere Checkliste sogleich anwenden konnten.
      Lassen Sie uns bitte wissen, ob es noch Unklarheiten gibt. Wir helfen Ihnen gerne mit Tipps weiter.
      Schönen Abend
      Monika
      #drkpiCheck

Kommentare sind deaktiviert.