Sie haben Fragen oder benötigen professionelle Unterstützung?
Rufen Sie uns an unter
030 403 63 36 60.

Datenschutz-Siegel BUSINESS

Das Datenschutz-Siegel BUSINESS steht für eine vollständige Datenschutzkonformität im gesamten Unternehmen.

In vertrauensvoller Zusammenarbeit begleiten wir Sie auf dem Weg dorthin und stehen Ihnen und Ihrem gesamten Team jederzeit bei der Umsetzung der Prüfkriterien zur Seite. So kann eine effektive Umsetzung gewährleistet werden und Sie können sich voll aufs Geschäft konzentrieren. Die Umsetzung gesetzlicher Mindestvorgaben ist dabei unsere Pflicht, die langfristige Begleitung und gemeinsame Aufrechterhaltung der Datenschutzkonformität Ihres Unternehmens unser Ziel. Wir liefern die entsprechenden Lösungen und stehen bei der Implementierung als fester Ansprechpartner an Ihrer Seite. Auch nach der initialen Bestandsaufnahme und der Prüfung Ihres Unternehmens stehen wir für eine kooperative Zusammenarbeit mit Ihnen.

Auch interne betriebliche Datenschutzbeauftragte können durch unsere Erfahrung von einer Zusammenarbeit profitieren.

Sprechen Sie uns hierzu an!

Die Werk3-Prüfkriterien

Die Verleihung des Datenschutz-Siegels erfolgt nach Prüfung und Umsetzung festgelegter Kriterien. Der Kriterienkatalog orientiert sich dabei insbesondere an den Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG). Um das Prüfverfahren transparent zu gestalten, haben wir unsere Anforderungen veröffentlicht:

Update: Der EuGH zu Cookies, das Urteil vom 02.10.2019 findet in unserer Prüfung bereits Berücksichtigung.
Beauftragt der Verantwortliche für die (Weiter-) Verarbeitung personenbezogener Daten Dienstleister, muss nach Art. 28 DS-GVO ein Vertrag über die Auftragsverarbeitung geschlossen werden. Der Verantwortliche hat sich dabei von der DS-GVO- Konformität des Auftragsverarbeiter zu überzeugen, welchen ebenfalls die Pflicht zur Erstellung eines VVT und zur Ergreifung weiterer Maßnahmen trifft. Wir überprüfen das Vorhandensein solcher Verträge und stellen Ihnen diese bei Bedarf zur Verfügung.

Jede Datenverarbeitung von Beschäftigtendaten ist an der DS-GVO zu messen. Durch die Öffnungsklausel des Art. 88 DS-GVO spezifiziert das nationale Recht in § 26 BDSG die Datenverarbeitung für Zwecke des Beschäftigtenverhältnisses. Ist die Verarbeitung nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, bedarf es ggf. einer gesonderten Einwilligung des Beschäftigten. Wir stellen sicher, dass der Beschäftigtendatenschutz gewährleistet werden kann.

Es bestehen folgende Rechte, deren Einhaltung jederzeit gewährleistet werden muss:

  • Recht auf Auskunft (Art. 15 DS-GVO)
  • Recht auf Berichtigung (Art. 16 DS-GVO)
  • Recht auf Löschung (Art. 17 DS-GVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
  • Widerspruchsrecht (Art. 21 DS-GVO)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DS-GVO)

Vermeiden Sie bereits im Bewerbungsverfahren mögliche Risiken durch eine unrechtmäßige Verarbeitung personenbezogener Daten! Wir gestalten für Sie entsprechende Unterlagen, die z.B. die längere Speicherung von Bewerberdaten ermöglichen oder helfen Ihnen im Sinne der Datensicherheit bei der Absicherung von Online-Bewerbungsverfahren.

Mit der DS-GVO ist unter weiten Voraussetzungen die Bestellung eines Datenschutzbeauftragten (DSB) erstmals EU-weit verpflichtend (vgl. Art. 37 DS-GVO i.V.m. § 38 BDSG). Wir stehen Ihnen als externer Datenschutzbeauftragter zur Verfügung und übernehmen für Sie die Bestellung und die entsprechende Anzeige gegenüber den Aufsichtsbehörden.

Die Aufgaben des DSB sind im Wesentlichen durch die DS-GVO vorgegeben. Sie umfassen die allgemeine Datenschutz-Compliance, die Verantwortlichkeit für sämtliche Datenverarbeitungsprozesse im Unternehmen, Beratungs- und Unterrichtungspflichten, Überwachungspflichten, die Bearbeitung von Anfragen und Beschwerden und die Zusammenarbeit mit den Aufsichtsbehörden.

Das Datenschutz-Siegel Business umfasst die Analyse und Erstellung erforderlicher Datenschutzerklärungen im geschäftlichen Alltag, also für Kunden, Mitarbeiter, Bewerber und Ihre Website. Details  zu den Anforderungen an Datenschutzerklärung entnehmen Sie bitte dem Prüfungskatalog des Datenschutz-Siegel Website+.

Die Datenschutz-Folgeabschätzung ist dann erforderlich, wenn die Datenverarbeitung ein voraussichtlich hohes Datenschutzrisiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt (Art. 35 Abs. 1 DS-GVO). Sie dient der Identifizierung, Beurteilung und Behandlung von Risiken (Instrument des Risikomanagements im Datenschutz), die durch die Verarbeitung personenbezogener Daten entstehen. Wir ermitteln, inwieweit eine DSFA auch in Ihrem Unternehmen notwendig ist und führen diese, soweit erforderlich, durch.

Die Datensicherheit als eigene Disziplin enthält spezielle Vorgaben, die vor allem die IT-Sicherheit umfassen und zur Wahrung der Verfügbarkeit, Integrität und Vertraulichkeit der Daten notwendig sind. Deren Einhaltung bedarf neben diversen technischen Vorkehrungen, wie zum Beispiel einer nachhaltigen Datensicherung, die Ergreifung organisatorischer Maßnahmen, wie z.B. der Regulierung von Datenflüssen und Zugriffsrechten und der Implementierung von Kontrollmechanismen. Unsere Experten analysieren sowohl die datenschutzrechtlich relevante Geschäftsprozesse als auch die datenverarbeitende IT, um anschließend mit Ihnen ggf. vorhandene Risiken zu minimieren und entsprechende Vorgänge und Systeme zu optimieren oder zu auditieren.

Der Verantwortliche hat dokumentierte Nachweise über die Einhaltung und Umsetzung der datenschutzrechtlichen Anforderungen vorzuhalten (vgl. Art. 5 Abs. 2 DS-GVO). Die Erstellung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (vgl. Nr. 17 der Prüfkriterien) oder die Darstellung technischer und organisatorischer Maßnahmen (vgl. Nr.  13 der Prüfkriterien) stellen dabei nur Teilaspekte der Rechenschaftspflicht dar. Wir entwickeln für Sie ein individuellen Datenschutzmanagement-Systems, das u.a. Ihre Dokumentations- und Rechenschaftspflichten erfüllt und Sie sicher zur Datenschutzkonformität navigiert.

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine zweckgerichtete, freiwillige Einwilligungserklärung oder ein gesetzlicher Erlaubnistatbestand vorliegt (vgl. Art. 6 und 7 DS-GVO). Eine Einwilligung über die Verarbeitung personenbezogener Daten ist u.a. im Zusammenhang mit der Veröffentlichung von Mitarbeiterfotos auf Websites, der Verwendung von Fingerabdruck-Scannern oder der Übermittlung der Daten in Drittstaaten zwingend notwendig. Wir prüfen für Sie, inwieweit Einwilligungen erforderlich sind, gestalten entsprechende Erklärungen aus und erzeugen dadurch nachhaltige Rechtssicherheit in Ihrem Unternehmen.

Mit der DS-GVO sind Unternehmen verstärkt den Anforderungen an eine fristgerechte Löschung personenbezogener Daten ausgesetzt. Welche Löschfristen sind jeweils einschlägig, gibt es entgegenstehende gesetzliche Aufbewahrungsfristen und wie werden diese umgesetzt? Welche technischen Maßnahmen sind für eine Löschung ausreichend? Wie verhält es sich mit einer Löschung innerhalb von Datensicherungen? Von geschredderten Papierakten bis hin zur sicheren Datenlöschung – wir prüfen oder erstellen ein fachgerechtes Löschkonzept, das im täglichen Umgang mit personenbezogenen Daten Anwendung findet.

Eine nachhaltige Umsetzung des Datenschutzes ist nur möglich, wenn auch die Anwender für das Thema Datenschutz und Datensicherheit geschult und sensibilisiert sind. Entsprechende Unterrichtungs-, Beratungs- und Schulungspflichten ergeben sich für den bestellten Datenschutzbeauftragten bzw. Verantwortlichen schon aus dem Gesetz (vgl. 39 Abs. 1 lit b. DS-GVO). Sind auch Ihre Beschäftigten ausreichend geschult und sensibilisiert und auf dem aktuellen datenschutzrechtlichen Stand? Wir geben Ihnen und Ihren Beschäftigten die notwenige Rechtssicherheit und übernehmen die Organisation, Durchführung und Dokumentation von Schulungen. Wir erstellen ggf. Informationsmaterial zur Sensibilisierung und ergreifen alle weiteren erforderlichen Maßnahmen, damit Sie Ihren unternehmerischen Pflichten aus dem Datenschutz nachkommen können.  

Durch den Aufruf Ihrer Website werden Daten übertragen. Oft erfolgt dies ohne besondere Sicherungsvorkehrungen. Das macht die Kommunikation über Websites ebenso leicht abfangbar wie herkömmliche Briefe. Werden sensible Daten übertragen, ist das damit verbundene Risiko umso größer. Deshalb achten wir bei der Prüfung insbesondere auf Verschlüsselungstechniken und Zertifikate.

  1. Datenübermittlung
  • Erfolgt die Datenübermittlung per HTTPS?
  • Ist das eingebundene Zertifikat gültig und aktuell?
  1. Cookie-Hinweis
  • Wird der Besucher der Website über die Nutzung von Cookies informiert (Cookie-Banner)
  • Kann der Besucher der Website wirksam in die Nutzung von Cookies einwilligen?
  1. Login und Passwortschutz
  • Wird im Falle eines Benutzeraccounts die Nutzung mit einem Passwort geschützt?
  • Werden an dieses Passwort besondere Anforderungen (z. B. Mindestlänge) gestellt?
  • Gibt es eine Begrenzung der Login-Versuche und erfolgt ggf. eine Sperrung des Benutzeraccounts nach den maximalen Versuchen?
  • Wie wird das Passwort im Falle des Vergessens mitgeteilt oder zurückgesetzt?
  • Erfolgt die Übertragung von Passwort und Benutzername verschlüsselt?
  1. Auftragsverarbeitung
  • Wurde mit allen für die Website relevanten Dienstleistern ein Vertrag zur Auftragsverarbeitung zur Gewährleistung des Datenschutzes und der Datensicherheit abgeschlossen?

Der Verantwortliche hat zum Datenschutz und zur Datensicherheit „geeignete technische und organisatorische Maßnahmen“ zu ergreifen. Der Begriff technische Maßnahmen umfasst alle Vorkehrungen und Verfahrensweisen, die sich auf den Datenverarbeitungsvorgang erstrecken (z.B. Passwortsicherung). Der Begriff organisatorische Maßnahmen umfasst den äußeren Rahmen, der die technischen Datenbearbeitungsvorgänge umgibt (z.B. Mitarbeiterschulungen oder Verpflichtungserklärungen). Wir überprüfen, was „geeignet“ Bedeutet, übernehmen die Verschriftlichung dieser Maßnahmen und die fortlaufende Aktualisierung und unterstützen Sie bei deren Umsetzung und Dokumentation. Die Auflistung erfolgt als Erweiterung des Verzeichnisses von Verarbeitungstätigkeiten (VVT). Die Geschäftsprozesse orientieren sich so im Ergebnis an den Art. 24, 25, 32 DS-GVO.

Einhaltung des Datenschutzes und der Datensicherheit sollten oftmals in entsprechende Richtlinien zusammengefasst werden. Diese Empfehlung betrifft u.a. die folgenden Regelungsbereiche:

  • Passwortrichtlinie
  • BYOD-Richtlinie (Bring Your Own Device)
  • Home-Office-Richtlinie
  • IT-Nutzungsrichtlinie

Bestehen bereits unternehmensinterne Leit- oder Richtlinien, erfolgt durch uns eine Prüfung auf Datenschutzkonformität und Rechtssicherheit. Andernfalls übernehmen wir die Erstellung nach Ihren individuellen Bedürfnissen und Pflichten.

Entsprechen die Unterlagen und insbesondere vorhandene Verträge den Anforderungen der DS-GVO? Potentielle Fehlerquellen stellen z.B.  die Integrierung von Datenschutzklauseln in AGB oder die Kopplung von Einwilligungen zu Werbezwecken an die Erfüllung von Verträgen dar. Wir sichten vorhandener Verträge und decken mögliche Datenschutzfallen auf.

 

Artikel 30 Abs. 1 DS-GVO verpflichtet zur bedarfsgerechten Erfassung aller Datenverarbeitungsprozesse, wie z.B. der Verarbeitung von Kundendatenbanken. Das VVT stellt ein zentrales Instrument des Datenschutzrechts zur Umsetzung des Transparenzgebots dar. Es dient als zentraler Informationsbestand, um bestehenden Rechenschaftspflichten und Auskunftspflichten nachkommen zu können.

Sind die Prozesse in Ihrem Unternehmen DS-GVO-konform? Oftmals sind gerade einzelne Schritte einer Prozesskette eine potentielle Schwachstelle für den gesamten Datenschutz. Wo können wir durch eine optimale Gestaltung eventuell mehr Sicherheit erzielen? Werden die Grundsätze der Verarbeitung wie beispielsweise die Verarbeitung auf nachvollziehbare Weise oder die Datenminimierung innerhalb der Abläufe eingehalten? Nicht selten ist Steigerung der Effizienz hier ein positiver Nebeneffekt.

Videoüberwachungssysteme finden eine immer weitere Verbreitung in Unternehmen verschiedenster Ausrichtungen. Die Aufnahmequalität steigt und die technischen Zugriffsmöglichen werden immer ausgefeilter. Ebenso steigen jedoch auch die Anforderungen an eine datenschutzkonforme Videoüberwachung. Welche Interessen bestehen an der Videoüberwachung? Welche Personen sind von der Überwachung betroffen und wer hat auf die Daten Zugriff? Neben der Durchführung einer Datenschutzfolgenabschätzung sind betroffene Personen umfangreich über die Verarbeitung zu informieren. Wir sorgen für eine Interessengerechte Videoüberwachung unter Berücksichtigung aller Anforderungen.

Im Rahmen des Datenschutz-Siegel Website+ analysieren wir Art und Umfang der Information über die Datenverarbeitung und gleichen diesen mit den tatsächlich erhobenen Daten ab. Dabei überprüfen wir in Hinblick auf den Grundsatz der Datenminimierung insbesondere:       

  • Tracker, die das Nutzverhalten betreffen
  • Tracker, die Social-Media-Plugins betreffen
  • Tracker, die den Aufruf und die Funktionen der Website betreffen
  • Auf der Website eingesetzte Cookies

Ferner ist eine Information darüber erforderlich, wer für die Datenverarbeitung verantwortlich ist. Sowohl der Verantwortliche als auch Datenschutzbeauftragte müssen transparent unter den Angaben der Kontaktmöglichkeiten benannt sein. Damit einhergehend hat der Verantwortliche über die bestehenden Rechte der betroffenen Personen zu belehren.

Nach der Analyse der einzelnen Bestandteile der Website und der Informationspflichten nehmen wir einen Konformitätscheck vor. Hierbei wird nachvollzogen, von welchen Anbietern ggf. eingebundene Elemente stammen, inwieweit die konkrete Einbindung nach den Vorgaben der datenschutzrechtlichen Bestimmungen erfolgt und die bestehenden Informationspflichten vollumfänglich erfüllt werden.

Auch die Art der Einbindung der Datenschutzerklärung in die Website wird überprüft. Dabei spielt es vor allem eine Rolle, ob die Information über die Datenverarbeitung von jeder Unterseite mit nur einem Klick erreichbar ist. Dies kann nur gewährleistet werden, wenn die Datenschutzerklärung einen eigenen, klickbaren Punkt der Website darstellt. Eine Kopplung mit dem Impressum ist beispielsweise nicht zulässig.

Aus Gründen der Transparenz ist auch die Bezeichnung der Datenschutzerklärung und die Sprache relevant. Sind die meisten Ihrer Websitebesucher englischsprachig, sollten Sie auch Ihren Informationspflichten auf Englisch nachkommen.

Die Datenschutzerklärung der geprüften Website muss sämtlichen Informationspflichten gerecht werden. Dafür analysieren wir die einzelnen Bestandteile der Website und überprüfen diese hinsichtlich ihrer Datenverarbeitungen. Wir gehen mindestens folgenden Schwerpunkten nach.

Häufig wird auch die Besucheraktivität auf Websites analysiert. Da dies zum Teil auf personenbezogenen Daten basiert – Achtung: Auch die IP-Adresse ist ein personenbezogenes Datum – gelten hier besondere datenschutzrechtliche Anforderungen. Deshalb untersuchen wir, ob und welche Tools zur Analyse der Website eingesetzt werden. Ist dies der Fall, muss für den Besucher der Website in der Regel die Möglichkeit gegeben sein, diese Analyse zu unterbinden (sog. Opt-Out-Möglichkeit). Auch hier ist es wieder relevant, welchen Umfang die Analyse einnimmt. Ein nahezu wahlloses Datensammeln ist nicht im Sinne der DS-GVO. Diesen Fragestellungen gehen wir auch bezüglich Online-Marketing-Tools nach.

Auf die Erhebung von Benutzerdaten hat man als Websitebetreiber zum Teil wenig Einfluss. Sie werden technisch benötigt, um die Website überhaupt anzeigen zu können. Aber auch hier muss eine transparente Information erfolgen.

Darüber hinaus prüfen wir, ob Cookies im Einsatz sind. Erst durch eine genaue Analyse kann auch eine umfassende Information in der Datenschutzerklärung erfolgen.

Falls ein Blog in die Website eingebunden ist, können auch hier datenschutzrechtliche Anforderungen bestehen. Das untersuchen wir. Besonders für den Fall, dass die Leser des Blogs Kommentare hinterlassen können und dafür Ihren Benutzernamen angeben, sind die besonderen Vorgaben der DS-GVO zu beachten.

Wenn die Möglichkeit besteht, über die Website an Gewinnspielen teilzunehmen, muss auch das in der Datenschutzerklärung und bei der technischen Umsetzung der Website berücksichtigt werden. Um den etwaigen Gewinn am Ende zuordnen zu können und den Teilnehmer darüber zu informieren, müssen personenbezogene Daten, wie z.B. die E-Mail-Adresse, angegeben werden.

Häufig besteht die Möglichkeit, ein eigenes Kundenkonto anzulegen. Darüber können beispielsweise der Warenkorb gespeichert – oder interne Downloads zu Verfügung gestellt werden. Neben der Information über die Datenverarbeitung in Verbindung mit dem internen Bereich, müssen vor allem der Login und die Datenübermittlung technisch abgesichert werden. Dies überprüfen wir (siehe Technische Sicherheit der Website).

Kontaktformulare sind eine bequeme Möglichkeit, mit dem Betreiber der Website in Verbindung zu treten. Häufig werden darüber jedoch mehr Daten erhoben, als eigentlich erforderlich. Beispielsweise widerspricht die zwingende Angabe von Vor- und Nachname in vielen Fällen den Grundsätzen der DS-GVO. Dass hierbei Daten übertragen werden, ist selbstverständlich. Somit muss eine genaue Berücksichtigung in der Datenschutzerklärung ebenso selbstverständlich sein.

Auch über das Angebot von Musik- und Video-Streaming-Diensten auf der eigenen Website kann eine Verarbeitung von personenbezogenen Daten erfolgen. Die Anbieter dieser Streaming-Dienste werden zumeist über eine Nutzung ihres Angebots informiert bzw. erhalten beim Abruf der Inhalte personenbezogene Daten oder setzen Cookies. Deshalb gilt es auch das in der Datenschutzerklärung zu berücksichtigen.

Möchte man sich zum Newsletter anmelden, muss dies über eine separate E-Mail bestätigt werden. Dieses sog. Double-Opt-In hat wahrscheinlich jeder bereits gesehen. Doch nur so kann der Betreiber der Website wirksam nachweisen, dass sich auch wirklich die Person zum Newsletter angemeldet hat, die auch angegeben wurde (Einwilligung). Dieses theoretische Verfahren muss auch tatsächlich umgesetzt werden. Auch muss eine transparente Information darüber erfolgen.

Hier liegen die Fallstricke oft im Detail. Können Waren bestellt werden, müssen Daten vom Besteller und vom Empfänger sowie über die Rechnung angegeben werden. Auch können verschiedene Möglichkeiten zur Zahlung zur Verfügung stehen. Dafür müssen die Daten teilweise an externe Zahlungsdienstleister übermittelt werden. Auch Einstellmöglichkeiten über das eigene Konto sind empfehlenswert, um den datenschutzrechtlichen Anforderungen gerecht zu werden. Im Ergebnis muss über die Art und den Umfang dieser Datenverarbeitung in der Datenschutzerklärung informiert werden. Eine reibungslose Übermittlung dieser zum Teil sensiblen Daten muss ebenfalls datenschutzrechtlich abgesichert und sichergestellt werden.

Die Auswahl an Schriftarten ist nahezu unbegrenzt. Doch zumeist werden diese beim Aufruf der Website von Servern anderer Anbieter direkt abgerufen. Dadurch entsteht eine Datenverarbeitung, die auch in der Datenschutzerklärung entsprechende Berücksichtigung finden muss.

Modernes Marketing ist ohne die Nutzung verschiedener Social-Media-Kanäle wie Facebook, LinkedIn oder Instagram nicht mehr vorstellbar. Diese können zudem oftmals als sogenannte Plug-Ins direkt in die eigene Website integriert werden oder über eine Verlinkung auf die entsprechende Unternehmensseite im jeweiligen Social-Media-Kanal verweisen. Auch wenn der Umfang der Datenverarbeitung und die technische Umsetzung bei den beiden Varianten unterschiedlich sind, kommt man um eine Ergänzung der Datenschutzerklärung nicht herum.

Wenn noch weitere relevante Bestandteile der Website vorhanden sind, können wir auch diese identifizieren und entsprechend berücksichtigen. Ein klassisches Beispiel sind Captcha-Dienste: So kann sichergestellt werden, dass bestimmte Aktionen über die Website auch tatsächlich von einem Menschen und nicht von einem Computerprogramm ausgeführt werden.

Sie haben Fragen?