Hinweisgeberrichtlinie – Hinweisgeberschutzgesetz

Hinweisgebersystem

Vorgaben der EU-Hinweisgeber Richtlinie

Ab Dezember 2021 gelten verbindliche Compliance-Vorschrift für Unternehmen, Kommunen und öffentliche Einrichtungen. Dies erfordert die Einrichtung interne Meldestelle mit Schutz der Identität (Anonymität) von Hinweisgebern und Betroffenen.

Die Umsetzung in deutsches Recht ist fast vollzogen. Ab Anfang 2023 tritt das neue Gesetz dann auch in Deutschland in Kraft.

Die Umsetzung des Hinweisgebergesetzes ist erforderlich bei

  • Unternehmen mit mehr als 50 Beschäftigten
  • Öffentliche Einrichtungen, Behörden mit mehr als 50 Beschäftigten
  • Kommunen mit mehr als 10.000 Einwohnern

Die Anforderung für die Umsetzung sind

  • Sichere Dialogmöglichkeit über anonymisierten Kanal Eingangsbestätigung und Rückmeldung an Hinweisgeber
  • Nachvollziehbare Dokumentation
  • Anonymitätswahrung und Datenschutz
  • Revisionssichere Dokumentation

Deutsches Hinweisgebersystem

Deutsches Hinweisgebersystem

DSBOK bietet einen verschlüsselten Meldekanal mit Dialogfunktion. Das System ist zertifiziert, sicher und DSGVO-konform. Sie erhalten von uns

  • Ihr eigenes Hinweisgebersystem (mit eigenem Branding)
  • Schutzschild gegen Regelverletzungen und Gesetzesverstöße
  • Erfüllung der EU-Hinweisgeber-Richtlinie
  • Vertrauensvolle Korrespondenz und Abwicklung

Ihre Mitarbeiter und Geschäftspartner können intern auf Missstände wie Korruption, Amtsmissbrauch, oder Diskriminierung aufmerksam zu machen.

Fordern Sie einen Testzugang und eine kostenlose Erstberatung auf unserer Hinweisgeber-System Webseite an: Hinweisgebersystem-Online

Frohe Weihnachten von DSBOK

2020 hat uns einiges gelehrt. Vor allem aber, dass Gesundheit das wertvollste Gut ist. Wir alle haben gelernt dankbar für das zu sein, was wir haben und es mehr wertzuschätzen.

Wie jedes Jahr verzichten wir auch 2020 auf Weihnachtsgeschenke für unsere Kunden und spenden dieses Jahr an den Weltfriedensdienst e.V. in Berlin, der sich seit 1959 für Frieden, Menschenrechte und nachhaltige Entwicklung einsetzt.

 

 

 

 

 

 

Allein im Jahr 2019 hat der Weltfriedensdienst in 22 Ländern mit 42 Projekten zehntausende Menschen – Kinder, Frauen und Männer – unterstützt.

Besonders beeindruckend fanden wir folgendes:
Aus dem Jahresbericht 2019 geht hervor, dass nur 5,9% der in diesem Jahr gesammelten Spenden für Verwaltung, Öffentlichkeitsarbeit und Werbung genutzt wurde. So können wir sicher sein, dass unsere Spende auch wirklich da ankommt, wo sie hin soll: zu den Menschen die dringend Hilfe brauchen.

In diesem Sinne wünschen wir Ihnen und Ihrer Familie dieses Jahr zu Weihnachten eine besinnliche Zeit zusammen, Glück und vor allem Gesundheit. Und einen guten Rutsch ins neue Jahr.

Ihr DSBOK Team,
Violetta Krause, Chantal Krause, Philipp Krause, Oliver Krause, Michael Bense

 

DSGVO konformes Videokonferenzsystem

DSGVO konforme Videokonferenzsoftware

Auf Wunsch unserer Kunden, haben wir auf einem Hochleistungsserver im Rhein-Neckar Gebiet ein System für Videokonferenzräume zur Verfügung gestellt.

BigBlueButton

Zum Einsatz kommt die Software BigBlueButton in einer OnPremise Installation. BigBlueButton ist einen open Source Software aus Canada mit vielen Funktionen für Video und Audio Konferenzen, die den bekannten Systemen in wenigem nachsteht.

DSGVO konformen Videokonferenzlösung

Für unsere Mandanten im DSB Bereich bieten wir eigene Konferenzräume zum Selbstkostenpreis an. Wir erleichtern uns selber die DSB Arbeit damit und helfen unseren Mandanten mit einer DSGVO konformen Videokonferenzlösung.

Erfahren Sie mehr über die Videokonferenzlösung auf der folgenden Seite oder melden Sie sich gleich für einen Testzugang an: Testzugang anfordern

externer Datenschutz und IT-Sicherheit in Hamburg

dsgvo beratung hamburg

Unser Büro in Hamburg hat seit Anfang September nun auch eine eigene Webseite: www.dsgvo-beratung-hamburg.de

Frau Krause jun. hat im Juni 2020 Ihre TÜV Zertifizierung als Datenschutzbeauftragte erhalten und betreut die Kunden von DSBOK im Norden von Deutschland.

Ihr Spezialgebiet sind DSGVO und Sicherheitsanalysen von Webseiten und Shopsystemen. Mit verschiedenen Software Systemen können wir nun Webseiten und Shopsysteme auf DSGVO Konformität und Sicherheitsschwachstellen untersuchen.

Einen kostenlosen Beispiel-Test erhalten Sie hier:
Webseiten und IT-Sicherheitstest

 

Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheitscheck

Neuer Service: Sicherheit bei Webseiten und Onlineshops prüfen

Webseiten Sicherheistscheck

Webseiten sind heute dank kostenloser CMS Systeme schnell erstellt und sehen professionell aus. Selten wird sich um die Sicherheit des CMS Systems oder des Servers gekümmert, auf der die Webseiten gehostet werden. Häufig werden die CMS Systeme ohne erweiterte Sicherheisteinstellungen und in der einfachen Grundkonfiguration betrieben.

Dies bietet Hackern und Internetbetrügern ein großes Potenzial für die verschiedensten Angriffmöglichkeiten. Die verbreitesten sind Webseiten Highjacking und Datendiebstahl aus Formularen. Selten bekommen die Eigentümer der Webseiten etwas davon mit. Erst speziellen Sicherheitschecks decken die Lücken auf, die in der Regel mit wenigen Eingriffen geschlossen werden können.

Onlineshop Sicherheitscheck

Auch Onlineshops lassen sich schnell und unkompliziert mit Onlineshopsystemen erstellen. Hier sind die Gefahren für den Betreiber deutlich höher als bei einer Webseite, denn neben dem Hightjacking des Onlineshops steht hier der Datendiebstahl ganz oben auf der Liste. Dieser reicht vom einfachen Diebstahl der Kundendaten bis zum Diebstahl sensibler Daten, wie zum Beispiel Bankverbindungen oder Kreditkartendaten.
Umfangreiche Onlineshop Sicherheitchecks decken Schwachstellen auf und verhindern das schlimmste.

Webseiten und Onlineshop Sicherheitschecks als Pflicht aus der DSGVO und dem Bundesdatenschutzgesetz

Neben dem Schutz der Geschäftstätigkeit und dem Firmengeheimnis, hat jeder Unternehmen nach Artikel 24, 25 und 32 der DSGVO die Verantwortung und Verpflichtung für die Sicherheit der Verarbeitung zu sorgen. Dies gilt auch für Systeme, die nicht selbständig gepflegt und gehostet werden.

Sicherheitschecks als Service im Datenschutz

Im Rahmen unser Aufgaben aus Datenschutzauditoren, bieten wir unseren Kunden und Interessenten umfangreiche Sicherheitschecks für Webseiten, Onlineshops, Webserver, Server und Applikationen an. Unsere neues Team mit zwei  IT-Sicherheitsexperten erstellt aussagekräfte Berichte mit Handlungsempfehlungen und steht Ihnen Lösungen zur Verfügung.

Für ein unverbindliches Angebot eines Webseiten Sicheheitschecks oder sonstigen IT-Analysen rufen Sie uns einfach an oder nutzen Sie unser Angebotsformular für Sicherheitschecks.

Angebot für Webseiten Sichehrheitscheck, Onlineshop Sicherheitscheck oder sonstige IT-Netzwerk-Analyse anfordern.

DSGVO und Visitenkarten

DSGVO Vistenkarte Messe

Eine Frage, die ich sehr häufig von meinen Kunden höre ist: Jemand überreicht mir auf einer Messe oder sonstiger Begebenheit seine Visitenkarte. Muss meine Firma denjenigen über unsere Datenschutzhinweise informieren?

Der Betroffene nimmt in diesem Fall persönlich den Kontakt auf. Eine formalistischer gestufter Informationsprozess wäre hier angebracht. Dazu gehört zum einen die mündliche Basisinformation mit dem Hinweis auf die Datenschutzerklärung auf der Internetseite.

Pragmatisch und nach dem Sinn und Zweck der Regelung zur Informationspflicht handelt es sich bei der Abspeicherung der Angaben einer Vistenkarte um eine Fallgestalltung des Art. 13, Abs. 4 der DSGVO:

Die Informationspflicht entfällt. Denn der Betroffene hat damit, dass er mit seiner Vistenkarte ausgehändigt, schon zum Ausdruck gebracht, dass er über alle Informationen verfügt, die es Ihm gestatten, die weitere Datenverarbeitung hinzunehmen.

Nicht desto Trotz, dürfen Sie den Betroffenen nun nicht einfach mit Werbemails beschicken. In der Regel spricht man hier auch von einem „Singel Opt-In“ (SOI). Heißt, Sie dürfen den Betroffenen nur bezüglich der bei der Übergabe besprochenen Thematik anschreiben (Zweckbindung). Gegen eine weitere gegenseitige Kommunikation ist auch nichts einzuwenden.  Weitere E-Mails werblicher Form bedürfen jedoch eines Doppel-Opt-Ins (DOI).

Spätestens wenn Sie dem Kontakt ein Angebot schicken und seine personenbezogenen Daten in einem CRM System oder ERP System speichern, ist ein Hinweis zum Datenschutz notwendig.

Auf jeden Fall sollten Sie nicht vergessen, auch in Ihren E-Mails einen Hinweis mit Verlinkung auf Ihre Datenschutzerklärung zu geben. Damit kommen Sie ganz automatisch Ihrer Informationspflicht nach DSGVO innerhalb Ihrer Korrepondenz nach.

Muss mit Steuerberatern ein Vertrag zur Auftragsverarbeitung nach der DS-GVO geschlossen werden?

Steuerberater AV Vertrag

Im DSK-Kurzpapier vom 20.7.2018 der Datenschutzkonferenz wird hierzu nun ganz klar Stellung genommen:

In dem bundesweit abgestimmten DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung nach der DSGVO steht u.a. folgendes:
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einemeigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines – Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) …“
Bei Steuerberatern ist nach unserer Auffassung zu sehen, dass diese nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen (vgl. z. B. § 57 Steuerberatungsgesetz, § 203 Abs. 1 Nr. 3 des Strafgesetzbuches). Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 lit. a
DS-GVO. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt (§ 57 Abs. 4 Nr. 1 Steuerberatungsgesetz). Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können
sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.

Weiterführende Links:
Datenschutzkonferenz, Kurzpapier 13

Steuerberater arbeiten deshalb aus unserer Sicht regelmäßig eigenverantwortlich aufgrund eines Mandantenvertrags und dürfen von den Mandanten im Rahmen der Erforderlichkeit für ihre Tätigkeit im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO personenbezogene Kunden- und/oder Arbeitnehmerdaten verarbeiten.

AV Verträge (Auftragsverarbeitung) ehem. Auftragsdatenverarbeitung

auftragsverarbeitungsvertrag

Wann brauche ich einen AV-Vertrag?

Immer wenn personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden, muss mit dem Verarbeiter ein AV-Vertrag geschlossen werden.
Dieser AV- Vertrag sichert den DSGVO konformen Umgang mit den personenbezogenen Daten.

Firmen haben in der Regel eingehende AV-Verträge und ausgehende AV-Verträge.

AV-Vertrag Eingang:

Ein von Ihnen beauftragter Dienstleister verarbeitet personenbezogene Daten von Ihnen oder einem Kunden von Ihnen und sichert uns durch den AV-Vertrag den DSGVO konformen Umgang damit zu.
Beispiel: Werbeagentur, Hosting Anbieter, IT Dienstleister, Google, usw. Diese AV-Verträge müssen proaktiv eingefordert werden

AV-Vertrag Ausgang:

Sie verarbeiten für Dritte personenbezogene Daten und sichern unseren Kunden durch den AV-Vertrag  den DSGVO konformen Umgang damit zu.
Beispiel: Auftragsdatenverarbeitung, Sonstige Service Leistungen
Diese AV-Verträge werden in der Regel von Ihren Kunden angefordert

AV- Vertrag Koppelung:

Wenn Sie Leistungen Dritter in Anspruch nehmen um Ihren Kunden Produkte oder Dienstleistungen anzubieten, müssen Sie die Eingangs AV-Verträge mit diesen Dritten mit den Ausgangs AV-Verträge an Ihre Kunden gegebenenfalls abgleichen. Sie sollten in den Ausgangs AV-Verträgen nie ein höheres Datenschutzniveau zusichern als das welches Ihnen von dem Dritten zugesichert wird. Ob Sie Koppelungen haben, geht aus dem Verzeichnis der verarbeitenden Tätigkeiten hervor.

Für Fragen und Erläuterungen stehe ich gern zur Verfügung.

Dateien für den E-Mailversand mit Passwort schützen

E-Mails mit personenbezogenen Daten müssen geschützt sein

Dies gilt natürlich nicht nur für Inhalte mit personenbezogenen Daten sondern auch für betriebsinterne Informationen! Es ist leichter als Sie denken E-Mail Verkehr abzufangen. 

Für alle Windows Benutzer gibt es eine gute Nachricht. Wer Office verwendet kann ganz einfach Office Dateien wie Word oder Excel mit einem Passwort versehen:

Navigieren Sie im geöffneten Dokument auf "Datei". Bei Windows 10 sieht das dann so aus: (Wenn Sie eine ältere Windows Version benutzen bitte über die Hilfefunktion suchen)

Wenn Sie "Dokument schützen" anklicken bekommen Sie eine Auswahl von Möglichkeiten aus der Sie "Mit Kennwort verschlüsseln" wählen.

WICHTIG: Merken Sie sich das Passwort und schreiben Sie es auf.
Auch hier gilt mindestens 8 Zeichen mit Zahlen, Buchstaben und Sonderzeichen.

Nun kann das ausgewählte Dokument nur noch mit diesem Passwort geöffnet werden. 

Die Übermittlung des Passwortes zum E-Mailempfänger kann dann vorab entweder telefonisch oder per SMS erfolgen. 

BITTE NICHT ÜBER WHATS-APP VERSCHICKEN!!

Sollten Sie häufiger Passwortgeschützte Dateien verschicken, sollte man auch hier in regelmäßigen Abständen das Passwort ändern. Es muss ja nicht wöchentlich sein aber alle 3 Monate ist eine Empfehlung.

By-The-Way:
Hat Ihr Handy eine Virus Software? Die meisten PC´s und Laptops haben so etwas. Beim Handy sind wir deutlich nachlässiger obwohl wir dort viele sensible Daten bevorraten, verschicken und empfangen.

Meldung des Datenschutzbeauftragten in Hessen

Datenschutzbeauftragter in Hessen melden

"Aufgrund der Datenschutz-Grundverordnung sind hessische Verantwortliche und Auftragsverarbeiter ab dem 25. Mai 2018 gem. Art. 37 Abs. 7 DS-GVO verpflichtet, die Kontaktdaten ihrer Datenschutz-beauftragten zu veröffentlichen und diese dem Hessischen Datenschutzbeauftragten mitzuteilen. Um einen reibungslosen Ablauf für die Vielzahl der erwarteten Meldungen zu gewährleisten, wird ein automatisiertes Meldeverfahren auf der Homepage des Hessischen Datenschutzbeauftragten bereitgestellt werden.  Das automatisierte Meldeverfahren ist bereits nutzbar. Der Hessische Datenschutzbeauftragte geht davon aus, dass Verantwortliche und Auftragsverarbeiter ihrer Mitteilungspflicht innerhalb von 3 Monaten nachkommen." Link zum Meldeformular: 

Hier den externen Datenschutzbeauftragten anmelden