Datenschutz-Einstellungen (DSGVO)
9 Minuten zu lesen
[[TOC]]
Contactbox hilft Ihnen nicht nur dabei, Ihre Kontakte einfach und übersichtlich zu verwalten und zu pflegen, Contactbox bietet ebenfalls eine Lösung, das komplexe Thema Datenschutz in einem Konzept zu vereinfachen, so dass es Ihnen durch einen minimalen Aufwand möglich ist, jederzeit einen Überblick über die Sicherheitsmaßnahmen zu den von Ihnen gespeicherten Daten zu haben und die vielen Richtlinien der DSGVO in jedem Fall einzuhalten.
Um dies in aller Einfachheit zu gewährleisten, stellt Ihnen dieses Kapitel vor, wie Sie ein Verzeichnis für Verarbeitungstätigkeiten anlegen und diese verwalten, wie Sie Löschfristen anlegen können, wie Sie über den Benutzerlog jederzeit einen Überblick haben, wer Zugriff auf die von Ihnen verwalteten Daten hat, welche Änderungen eingetreten sind und wie Sie Kontakte aus der Sperrliste endgültig löschen oder ggf. wiederherstellen können.
Verarbeitungstätigkeiten (Zweckbindungsgrundsatz)
Im Sinne der DSGVO unterliegen Daten dem Zweckbindungsgrundsatz, d.h. Daten dürfen nur für einen bestimmten Verarbeitungszweck gespeichert werden. Verantwortliche sind verpflichtet, die Verarbeitungstätigkeiten zu protokollieren und Betroffenen und Aufsichtsbehörden ggf. Auskunft darüber zu geben.
Contactbox bietet Ihnen als Administrator_in die Möglichkeit, ein Verzeichnis mit Verarbeitungstätigkeiten anzulegen, denen Sie je nach Zweck bestimmte Sicherheitsparameter zuordnen können. Die Benutzenden Ihrer Contactbox können sodann mit einem einfachen Klick jedem Kontakt sofort die dazugehörige Verarbeitungstätigkeit mit allen beschriebenen Sicherheitsmechanismen zuordnen.
So wird gewährleistet, dass Sie jederzeit dazu in der Lage sind, einer etwaigen Auskunft bequem nachkommen zu können und personenbezogene Daten ebenfalls immer aktuell nach den Richtlinien der DSGVO gepflegt werden.
Das Verarbeitungsverzeichnis
Öffnen Sie im Konfigurationsmenü den Tab „Systemkonfiguration“. Unter dem Aufklappmenü „Datenschutz DSGVO“ finden Sie ein weiteres Menü für die Konfiguration des Verarbeitungsverzeichnisses.
Deckblatt
Speichern Sie das Deckblatt in einer Datei und integrieren Sie es in Ihre Contactbox, indem Sie die Datei per drag&drop auf das grau hinterlegte Feld ablegen.
Alternativ dazu öffnen Sie durch einen Klick in das graue Feld Ihren Dateibrowser und wählen dort Ihre gespeicherte Datei zur Integration in CONTACTBOX aus.
Im Sinne der DSGVO Art. 30 Abs. 1 S. 2 muss ein Verarbeitungsverzeichnis immer den Namen und die Kontaktdaten des Verantwortlichen enthalten sowie ggf. seiner Vertretung und die etwaiger Datenschutzbeauftragter.
Da sich die Verantwortlichkeiten in Ihrer Unternehmung nur selten ändern, empfiehlt es sich, einmal ein Deckblatt anzulegen, das übergeordnet für alle Verarbeitungstätigkeiten gleichermaßen gilt.
Nutzen Sie dazu die Vorlage der Contactbox, die Sie über die Schaltfläche „Vorlage herunterladen“ auf der rechten Seite herunterladen und bearbeiten können oder verwenden Sie ein eigenes Dokument, auf dem Sie die Kontaktdaten des/der Verantwortlichen notieren. Beachten Sie, immer die postalische, elektronische und telefonische Erreichbarkeit des Kontakts anzugeben, um zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege und in Eilfällen auch über verschiedene Kanäle erreichen kann. Bei juristischen Personen sind nicht zwingend die Kontaktdaten der Leitungspersonen zu nennen. In diesem Fall reicht ein Kontakt zu dem operativ verantwortlichen Ansprechpartner.
Eine neue Verarbeitungstätigkeit anlegen
Legen Sie über die Schaltfläche „+ Verarbeitungstätigkeit anlegen“ eine neue Verarbeitungstätigkeit an. Es öffnet sich eine Übersicht mit allen für die Tätigkeit wichtigen Datenfeldern. Im Folgenden wird Anhand des Beispiels „Mitarbeiterverwaltung“ beschrieben, wie diese Felder auszufüllen sind.
Verarbeitungstätigkeit
Notieren Sie in dieses Feld die Art der Verarbeitungstätigkeit. Beispielsweise „Mitarbeiterverwaltung“.
Zweck
Hier wird der Zweck der Verarbeitungstätigkeit notiert. Durch die Beschreibung des Verarbeitungszwecks entspricht Ihre Datenpflege dem Zweckbindungsgrundsatz nach DSGVO.
Verarbeitungszwecke können bspw. wie folgt aussehen:
- Personalaktenführung
- Lohn-, Gehalts- & Bezügeabrechnung
- Arbeitszeiterfassung
- Nutzungsprotokollierungen
- Bewerbungsverfahren
- Telefondatenerfassung
- Beschaffung/Einkauf Finanzbuchhaltung
- Kundenregisterführung
Für das in diesem Kapitel beschriebene Beispiel wird „Personalaktenführung“ in das Feld eingetragen.
Betroffene
In dieses Feld ist die für den Verarbeitungszweck betroffene Personengruppe einzutragen. z.B. Kunden oder Beschäftigte.
Für das Beispiel in diesem Kapitel wird in dieses Feld „Beschäftigte“ eingetragen.
Datenkategorie
In dieses Feld sind die Kategorien personenbezogener Daten einzufügen, die Sie für den jeweiligen Verarbeitungszweck benötigen.
Im Detail könnten das sein:
- Mitarbeiter Stammdaten
- Mit Adressdaten, Geburtsdatum, Bankverbindung, Steuermerkmale, Lohngruppe. Arbeitszeit, bisherige Tätigkeitsbereiche, Qualifikationen, Bewerbungen, Arbeitszeugnisse, Leistungs- und Beurteilungsdaten, Betriebsarztuntersuchungen, Abmahnungen etc.
- Kundendaten
- Kunden-Kontaktdaten mit Adressdaten, Ansprechpartnern, Zahlungsdaten, Kundenkategorien, Umsatzdaten, Kundeninteresse, etc.
Für das Beispiel der Mitarbeiterverwaltung in diesem Kapitel, werden Mitarbeiter-Stammdaten sowie Arbeitszeugnisse & Abmahnungen mit Adressdaten als auch Beurteilungsdaten mit Daten zum Leistungsverhalten der Mitarbeiter benötigt. Dies wird so in das Feld eingetragen.
Empfängerkategorien
In dieses Feld sollten die Kategorien der Empfänger_innen eingetragen werden, denen die Daten offengelegt werden. Diese können auch Teilbereiche eines Unternehmens sein und jeder, der Zugriff auf die Daten hat (Zugriffsberechtigte.)
Berechtigte und Empfänger werden ohne namentliche Angabe in Form ihrer Rolle oder Funktion genannt, z.B.:
- Mitarbeiter der Lohnbuchhaltung/Personalwesen/Akquise
- Banken und Finanzinstitute
- Sozialversicherungsträger
- Muttergesellschaft
Für das hier beschriebene Beispiel notieren Sie folgende Empfängerkategorien: Unternehmensleitung, Personalrat, Mitarbeiter im Personalwesen.
Drittlandübermittlung:
Empfänger_innen in Drittländer außerhalb der EU oder internationale Organisationen stellen keine Empfänger im Sinne von Empfängerkategorien dar und müssen dementsprechend gesondert dokumentiert werden.
Geben Sie in dieses Feld also ein, an welche Drittländer oder internationale Organisationen die Daten übermittelt werden. Sollten Sie die mit der Verarbeitungstätigkeit verbundenen Daten nicht an Drittländer oder internationale Organisationen übermitteln, notieren Sie zur Dokumentation ein „Nein“ in dieses Feld.
TOM – Technische und Organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen beschrieben das Schutzkonzept, mit denen Sie die von Ihnen gespeicherten Daten vor unautorisierten Zugriffen schützen. Nach Artikel 5 Abs. 2 und Art. 32 Abs. 1 lit. DSGVO sind Verantwortliche dazu verpflichtet, Sicherheitsmaßnahmen zu beschreiben und deren Umsetzung regelmäßig zu überprüfen.
Personenbezogene Daten, die Sie mit der Contactbox pflegen, sind bspw. durch eine SSL-Verschlüsselung vor Fremdzugriffen geschützt sowie mit einem Log für eine Ereignissteuerung versehen.
Weitere technische und organisatorische Maßnahmen können sein:
- Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit (z.B. Schutz vor unberechtigten physischen Zugang, einschließlich Schutz von Mobilgeräten, Inventarisierung der Informationstechnik, Sensibilisierung und Schulung des Personals zum Sicherheitskonzept, Management von Informationssicherheitsvorfällen).
- Maßnahmen der Betriebssicherheit (z.B. eine zuverlässige Authentisierung von Personen gegenüber der Informationstechnik).
- Maßnahmen zur Kommunikationssicherheit (z.B. Netzwerksicherheitsmanagement, Einrichtung von Sicherheitszonen, Kontrolle und Einschränkung des Datenverkehrs, Sichere Gestaltung von Informationsübertragung).
IT-System
Tragen Sie in dieses Feld ein, welches System Sie zur elektronischen Verarbeitung ihrer Daten nutzen.
Löschfrist
Contactbox sieht vor, dass Sie als Administrator_in jeder Verarbeitungstätigkeit eine Löschfrist je nach ihrem Zwecke zuordnen können. Eingepflegte Daten, die von einem Benutzenden einer Verarbeitungstätigkeit mit Löschfrist zugeordnet werden, werden mit Ablauf der Frist automatisch auf eine Sperrliste gesetzt und können von anderen Benutzenden nicht mehr eingesehen werden.
In Art. 30 Abs. 1 S. 2 lit. f DSGVO fordert der Gesetzgeber präzise Angaben zur Speicherdauer von personenbezogenen Daten. Ein allgemeiner Verweis auf Aufbewahrungspflichten genügt nicht mehr. Beachten Sie, dass je nach Art und Verarbeitungszweck der personenbezogenen Daten verschiedene Aufbewahrungs- bzw. Löschfristen gelten. So ergeben sich etwa gesetzliche Vorgaben aus dem Steuer- oder Handelsrecht. Nicht alle Datensätze unterliegen jedoch einer Löschfrist. Hat Ihnen bspw. Ein Kunde seine personenbezogenen Daten für den Versand einen Newsletters zur Verfügung gestellt, dürfen Sie seine Daten zu diesem Zweck so lange speichern, bis der Kunde seine Einwilligung widerruft.
Mehr zum Thema „Sperrlisten“ siehe hier
Um eine Löschfrist einzustellen, entfernen Sie das kleine Häkchen im blauen Feld neben „keine Löschfrist“ und geben Sie in den leeren Feldern neben „Jahre“ und „Monate“ die entsprechende Zahl ein, nach der die zugehörigen Datensätze automatisch auf die Sperrliste gesetzt werden sollen.
In manchen Fällen ist es nicht ratsam, eine automatische Löschfrist einzustellen. Für das Beispiel der Personalaktenführung gilt eine gesetzliche Aufbewahrungspflicht von drei Jahren ab Austritt des Mitarbeiters.
Durch einen Klick auf die Schaltfläche „+ Verarbeitungstätigkeit anlegen“ speichern Sie die Einstellungen.
Verarbeitungsverzeichnis Exportieren
Durch einen Klick auf die Schaltfläche „Verarbeitungsverzeichnis Exportieren“ erstellt Ihnen Contactbox automatisch eine ausdruckbare Tabelle mit ihrem Verarbeitungsverzeichnis.
Gesperrte Kontakte
In dieser Liste werden alle Kontakte aufgeführt, die von Contactbox-Benutzenden gesperrt wurden. Die Kontakte dieser Liste können nur von Benutzenden mit Administrationsrechten eingesehen und verarbeitet werden.
Die Liste zeigt die Kontakt-ID, den Namen des Kontaktes sowie den Namen des Benutzenden an, der den Kontakt gesperrt hat und das Datum der Sperrung.
1. Gesperrte Kontakte löschen
Über das Tonnen-Symbol können Sie als Administrator_in einen Kontakt endgültig löschen.
2. Gesperrte Kontakte wiederherstellen
Mit dem Pfeil können Sie Kontakte der Sperrliste wiederherstellen.
3. Gesperrte Kontakte filtern
Die Eingabefelder unter den Spalten geben Ihnen die Möglichkeit, die Liste der gesperrten Kontakte zu filtern und konkret nach Kontakten zu suchen.
Die Sperrliste gilt als Löschung eines Kontaktes nach der DSGVO, da ihre Informationen nicht mehr zugänglich sind. Sie ist somit eine Art Archiv, mit der Sie Kontakte auf der einen Seite ofiziell gelöscht haben, auf der anderen Seite jedoch gleichzeitig Ihrer Aufbewahrungspflicht nachkommen können, z.B. wenn es sich um ehemalige Kunden hält, deren Informationen Sie eventuell für das Finanzamt noch einmal brauchen.
Gelöschte Kontakte
Kontakte werden in Contactbox nicht sofort endgültig glöscht, um Fehler zu vermeiden. Unter „Konfiguration“ - „Systemkonfiguration“ - „Allgemein“ finden Sie im Punkt „Gelöschte Informationen“ Ihre gelöschten Kontakte.
Gelöschte Kontakte - Aufbewahrungszeit
Im unteren Feld, können Sie eine Anzahl an Tagen angeben, nach der Kontakte automatisch endgültig gelöscht werden. Klicken Sie zum Speichern auf “Änderung übernehmen”.
Gelöschte Kontakte einsehen
Klicke Sie auf die Schaltfläche “Kontakte anzeigen” um Ihre gelöschten Kontakte einzusehen und folgendes Fenster zu erhalten.
1. Gelöschte Kontakte - Benutzerfilter
Hier können Sie einen Benutzer Ihrer Contactbox auswählen, um nur jene gelöschten Kontakte anzuzeigen, die von diesem Benutzenden gelöscht wurden.
2. Gelöschte Kontakte - Zeitfilter
Über die Filterfunktion in der Kopfleiste der Tabelle können Sie die gelöschten Kontakte nach einem Zeitraum filtern.
3. Gelöschte Kontakte endgültig löschen
Über das Tonnen-Symbol können Sie gelöschte Kontakte aus der Liste endgültig löschen.
4. Gelöschte Kontakte - Einen Kontakt wiederherstellen
Mit dem Pfeil-Symbol können Sie den gelöschten Kontakt aus der Zeile wiederherstellen.
5. Gelöschte Kontakte - Kontakfilter
Die Filteroptionen am unteren Ende der Liste gibt Ihnen die Möglichkeit, gelöschte Kontakte nach Datum, Benutzenden, Adressbuch, ID oder Namen zu filtern.
6. Gelöschte Kontakte durchblättern
Mit den Pfeilen am unteren Rand der Tabelle können Sie Ihre gelöschten Kontakte durchblättern.
7. Gelöschte Kontakte - Alle gefilterten Löschen
Die Schaltfläche gibt Ihnen die Möglichkeit, alle angezeigten gelöschten Kontakte der Tabelle forciert endgültig zu löschen.
8. Gelöschte Kontakte - Alle gefilterten wiederherstellen
Mit dieser Schaltfläche können Sie alle angezeigten gelöschten Kontakte der Tabelle forciert wiederherstellen.
Benutzer Log
Im “Benutzer-Log” können Sie zwei Jahre rückwirkend die einzelnen Verarbeitungen aller Kontakte mit den Angaben: “Datum”, “Benutzer”, “Kontakt-ID” und “Art” der Aktion, einsehen.
Innerhalb der Liste können Sie über die Kopfzeile der jeweiligen Spalte die Einträge sortieren bzw. über das jeweilige Suchfeld unterhalb der Spalten die Listeneinträge filtern. Ebenfalls steht Ihnen in der rechten oberen Ecke eine globale Suche über das Log zur Verfügung.