Datenschutz-Einstellungen (DSGVO)

Einstellungen zum Datenschutz in CONTACTBOX

7 Minuten zu lesen

[[TOC]]

CONTACTBOX hilft Ihnen nicht nur dabei, Ihre Kontakte einfach und übersichtlich zu verwalten und zu pflegen, CONTACTBOX bietet ebenfalls eine Lösung, das komplexe Thema Datenschutz in einem Konzept so zu vereinfachen, dass es Ihnen durch einen minimalen Aufwand möglich ist, jederzeit einen Überblick über die Sicherheitsmaßnahmen zu den von Ihnen gespeicherten Daten zu haben und die vielen Richtlinien der DSGVO in jedem Fall einzuhalten.

Um dies in aller Einfachheit zu gewährleisten, stellt Ihnen dieses Kapitel vor, wie Sie ein Verzeichnis für Verarbeitungstätigkeiten anlegen und diese verwalten, wie Sie Löschfristen anlegen können, wie Sie über den Benutzerlog jederzeit einen Überblick haben, wer Zugriff auf die von Ihnen verwalteten Daten hat und welche Änderungen eingetreten sind und wie Sie Kontakte aus der Sperrliste endgültig löschen oder ggf. wiederherstellen können.

Verarbeitungstätigkeiten (Zweckbindungsgrundsatz)

Im Sinne der DSGVO unterliegen Daten dem Zweckbindungsgrundsatz, d.h. Daten dürfen nur für einen bestimmten Verarbeitungszweck gespeichert werden. Verantwortliche sind verpflichtet, die Verarbeitungstätigkeiten zu protokollieren und Betroffenen und Aufsichtsbehörden ggf. Auskunft darüber zu geben.

CONTACTBOX bietet Ihnen als Administrator_in die Möglichkeit, ein Verzeichnis mit Verarbeitungstätigkeiten anzulegen, denen Sie je nach Zweck bestimmte Sicherheitsparameter zuordnen können. Die Benutzenden Ihrer CONTACTBOX können sodann mit einem einfachen Klick jedem Kontakt sofort die dazugehörige Verarbeitungstätigkeit mit allen beschriebenen Sicherheitsmechanismen anhängen.

So wird gewährleistet, dass Sie jederzeit dazu in der Lage sind, einer etwaigen Auskunft bequem nachkommen zu können und personenbezogene Daten ebenfalls immer aktuell nach den Richtlinien der DSGVO gepflegt werden.

Das Verarbeitungsverzeichnis

Öffnen Sie im Konfigurationsmenü den Tab „Systemkonfiguration“. Unter dem Aufklappmenü „Datenschutz DSGVO“ finden Sie ein weiteres Menü für die Konfiguration des Verarbeitungsverzeichnisses.

Deckblatt

Im Sinne der DSGVO Art. 30 Abs. 1 S. 2 muss ein Verarbeitungsverzeichnis immer den Namen und die Kontaktdaten des Verantwortlichen enthalten sowie ggf. seiner Vertretung und die etwaiger Datenschutzbeauftragter.

Da sich die Verantwortlichkeiten in Ihrer Unternehmung nur selten ändern, empfiehlt es sich, einmal ein Deckblatt anzulegen, das übergeordnet für alle Verarbeitungstätigkeiten gleichermaßen gilt.

Nutzen Sie dazu die Vorlage der CONTACTBOX, die Sie über die Schaltfläche „Vorlage herunterladen“ auf der rechten Seite herunterladen und bearbeiten können oder verwenden Sie ein eigenes Dokument, auf dem Sie die Kontaktdaten des/der Verantwortlichen notieren. Beachten Sie, immer die postalische, elektronische und telefonische Erreichbarkeit des Kontakts anzugeben, um zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege und in Eilfällen auch über verschiedene Kanäle erreichen kann. Bei juristischen Personen sind nicht zwingend die Kontaktdaten der Leitungspersonen zu nennen. In diesem Fall reicht ein Kontakt zu dem operativ verantwortlichen Ansprechpartner.

Speichern Sie das Deckblatt in einer Datei und integrieren Sie es in Ihre CONTACTBOX, indem Sie die Datei per drag&drop auf das grau hinterlegte Feld ablegen.

Alternativ dazu öffnen Sie durch einen Klick in das graue Feld Ihren Dateibrowser und wählen dort Ihre gespeicherte Datei zur Integration in CONTACTBOX aus.

Eine neue Verarbeitungstätigkeit anlegen

Legen Sie über die Schaltfläche „+ Verarbeitungstätigkeit anlegen“ eine neue Verarbeitungstätigkeit an. Es öffnet sich eine Übersicht mit allen für die Tätigkeit wichtigen Datenfeldern. Im Folgenden wird Anhand des Beispiels „Mitarbeiterverwaltung“ beschrieben, wie diese Felder auszufüllen sind.

Verarbeitungstätigkeit

Notieren Sie in dieses Feld die Art der Verarbeitungstätigkeit. Beispielsweise „Mitarbeiterverwaltung“

Zweck

Hier wird der Zweck der Verarbeitungstätigkeit notiert. Durch die Beschreibung des Verarbeitungszwecks entspricht Ihre Datenpflege dem Zweckbindungsgrundsatz nach DSGVO. Verarbeitungszwecke können bspw. wie folgt aussehen:

- Personalaktenführung
- Lohn-, Gehalts- & Bezügeabrechnung
- Arbeitszeiterfassung
- Nutzungsprotokollierungen
- Bewerbungsverfahren
- Telefondatenerfassung
- Beschaffung/Einkauf Finanzbuchhaltung
- Kundenregisterführung

Für das in diesem Kapitel beschriebene Beispiel wird „Personalaktenführung“ in das Feld eingetragen.

Betroffene

In dieses Feld ist die für den Verarbeitungszweck betroffene Personengruppe einzutragen. z.B. Kunden oder Beschäftigte.

Für das Beispiel in diesem Kapitel wird in dieses Feld „Beschäftigte“ eingetragen.

Datenkategorie

In dieses Feld sind die Kategorien personenbezogener Daten einzufügen, die Sie für den jeweiligen Verarbeitungszweck benötigen. Im Detail könnten das sein:

- Mitarbeiter Stammdaten
- Mit Adressdaten, Geburtsdatum, Bankverbindung, Steuermerkmale, Lohngruppe. Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen, Bewerbungen, Arbeitszeugnisse, Leistungs- und Beurteilungsdaten, Betriebsarztuntersuchungen, Abmahnungen etc.
- Kundendaten
- Kunden-Kontaktdaten mit Adressdaten, Ansprechpartnern, Zahlungsdaten, Kundenkategorien, Umsatzdaten, Kundeninteresse, etc.

Für das Beispiel der Mitarbeiterverwaltung in diesem Kapitel, werden Mitarbeiter-Stammdaten sowie Arbeitszeugnisse & Abmahnungen mit Adressdaten als auch Beurteilungsdaten mit Daten zum Leistungsverhalten der Mitarbeiter benötigt. Dies wird so in das Feld eingetragen.

Empfängerkategorien

In dieses Feld sollten die Kategorien der Empfänger_innen eingetragen werden, denen die Daten offengelegt werden. Diese können auch Teilbereiche eines Unternehmens sein und jeder, der Zugriff auf die Daten hat (Zugriffsberechtigte.) Berechtigte und Empfänger werden ohne namentliche Angabe in Form ihrer Rolle oder Funktion genannt, z.B.:

- Mitarbeiter der Lohnbuchhaltung/Personalwesen/Akquise
- Banken und Finanzinstitute
- Sozialversicherungsträger
- Muttergesellschaft

Für das hier beschriebene Beispiel notieren Sie folgende Empfängerkategorien: Unternehmensleitung, Personalrat, Mitarbeiter im Personalwesen.

Drittlandübermittlung:

Empfänger:innen in Drittländer außerhalb der EU oder internationale Organisationen stellen keine Empfänger im Sinne von Empfängerkategorien dar und müssen dementsprechend gesondert dokumentiert werden.

Geben Sie in dieses Feld also ein, an welche Drittländer oder internationale Organisationen die Daten übermittelt werden. Sollten Sie die mit der Verarbeitungstätigkeit verbundenen Daten nicht an Drittländer oder internationale Organisationen übermitteln, notieren Sie zur Dokumentation ein „Nein“ in dieses Feld.
TOM – Technische und Organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen beschrieben das Schutzkonzept, mit denen Sie die von Ihnen gespeicherten Daten vor unautorisierten Zugriffen schützen. Nach Artikel 5 Abs. 2 und Art. 32 Abs. 1 lit. DSGVO sind Verantwortliche dazu verpflichtet, Sicherheitsmaßnahmen zu beschreiben und deren Umsetzung regelmäßig zu überprüfen.

Personenbezogene Daten, die Sie mit der *CONTACTBOX* pflegen, sind bspw. durch eine SSL-Verschlüsselung vor Fremdzugriffen geschützt sowie mit einem Log für eine Ereignissteuerung versehen.

Weitere technische und organisatorische Maßnahmen können sein:
- Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit (z.B. Schutz vor unberechtigten physischen Zugang, einschließlich Schutz von Mobilgeräten, Inventarisierung der Informationstechnik, Sensibilisierung und Schulung des Personals zum Sicherheitskonzept, Management von Informationssicherheitsvorfällen).

- Maßnahmen der Betriebssicherheit (z.B. eine zuverlässige Authentisierung von Personen gegenüber der Informationstechnik).
- Maßnahmen zur Kommunikationssicherheit (z.B. Netzwerksicherheitsmanagement, Einrichtung von Sicherheitszonen, Kontrolle und Einschränkung des Datenverkehrs, Sichere Gestaltung von Informationsübertragung).
IT-System

Tragen Sie in dieses Feld ein, welches System Sie zur elektronischen Verarbeitung ihrer Daten nutzen.

Löschfrist
In Art. 30 Abs. 1 S. 2 lit. f DSGVO fordert der Gesetzgeber präzise Angaben zur Speicherdauer von personenbezogenen Daten. Ein allgemeiner Verweis auf Aufbewahrungspflichten genügt nicht mehr. Beachten Sie, dass je nach Art und Verarbeitungszweck der personenbezogenen Daten verschiedene Aufbewahrungs- bzw. Löschfristen gelten. So ergeben sich etwa gesetzliche Vorgaben aus dem Steuer- oder Handelsrecht. Nicht alle Datensätze unterliegen jedoch einer Löschfrist. Hat Ihnen bspw. Ein Kunde seine personenbezogenen Daten für den Versand einen Newsletters zur Verfügung gestellt, dürfen Sie seine Daten zu diesem Zweck so lange speichern, bis der Kunde seine Einwilligung widerruft.

CONTACTBOX sieht vor, dass Sie als Administrator_in jeder Verarbeitungstätigkeit eine Löschfrist je nach ihrem Zwecke zuordnen können. Eingepflegte Daten, die von einem Benutzenden einer Verarbeitungstätigkeit mit Löschfrist zugeordnet werden, werden mit Ablauf der Frist automatisch auf eine Sperrliste gesetzt und können von anderen Benutzenden nicht mehr eingesehen werden.

Mehr zum Thema „Sperrlisten“ siehe hier


Um eine Löschfrist einzustellen, entfernen Sie das kleine Häkchen im blauen Feld neben „keine Löschfrist“ und geben Sie in den leeren Feldern neben „Jahre“ und „Monate“ die entsprechende Zahl ein, nach der die zugehörigen Datensätze automatisch auf die Sperrliste gesetzt werden sollen.

In manchen Fällen ist es nicht ratsam eine automatische Löschfrist einzustellen. Für das Beispiel der Personalaktenführung gilt eine gesetzliche Aufbewahrungspflicht von drei Jahren ab Austritt des Mitarbeiters.

Durch einen Klick auf die Schaltfläche „+ Verarbeitungstätigkeit anlegen“ speichern Sie die Einstellungen.

Verarbeitungsverzeichnis Exportieren

Durch einen Klick auf die Schaltfläche „Verarbeitungsverzeichnis Exportieren“ erstellt Ihnen CONTACTBOX automatisch eine ausdruckbare Tabelle mit ihrem Verarbeitungsverzeichnis.

Gesperrte Kontakte

In dieser Liste werden alle Kontakte aufgeführt, die von CONTACTBOX-Benutzenden gesperrt wurden. Die Kontakte dieser Liste können nur von Benutzenden mit Administrationsrechten eingesehen und verarbeitet werden.

Die Liste zeigt die Kontakt-ID, den Namen des Kontaktes sowie den Namen des Benutzenden an, der den Kontakt gesperrt hat und das Datum der Sperrung.

Über das Tonnen-Symbol und den Pfeil können Sie als Administrator_in einen Kontakt endgültig löschen oder auch über den Pfeil wiederherstellen. Filtern Sie die Liste über die entsprechende Filterfunktion am Ende der Spalten.

Benutzer Log

Im “Benutzer-Log” können Sie zwei Jahre rückwirkend die einzelnen Verarbeitungen aller Kontakte mit den Angaben: “Datum”, “Benutzer”, “Kontakt-ID” und “Art” der Aktion, einsehen.

Innerhalb der Liste können Sie über die Kopfzeile der jeweiligen Spalte die Einträge sortieren bzw. über das jeweilige Suchfeld unterhalb der Spalten die Listeneinträge filtern. Ebenfalls steht Ihnen in der rechten oberen Ecke eine globale Suche über das Log zur Verfügung.

- Zuletzt geändert May 4, 2021