Datenschutz innovativ angehen.
Nachhaltigkeit ganzheitlich denken.
Prozesse digital umsetzen.
Nachhaltigkeit und Datenschutz scheinen auf den ersten Blick nicht miteinander in Verbindung zu stehen. Doch bei genauerer Betrachtung zeigt sich das Gegenteil – Unternehmen, die beide Bereiche fest in ihrer Unternehmensstrategie verankern, legen das Fundament für langfristigen Erfolg.
Wir helfen Ihnen dabei, dass der sowieso schon stressige Alltag durch neue Gesetze und Vorschriften nicht noch mehr aus der Balance gerät. Deshalb streben wir danach, komplexe Anforderungen einfach und verständlich umzusetzen, um den Fokus immer auf Ihr Kerngeschäft zu richten.
Dabei setzen wir sowohl auf eigene Softwareanwendungen, als auch auf Wissen und Leidenschaft unserer Fachexperten.
Sprechen Sie uns an, um die digitale und nachhaltige Transformation erfolgreich anzugehen.
Unsere Leistungen
Unsere Marken
Wir beraten, vernetzen und entwickeln – so finden wir Lösungen für Ihre Probleme und unterstützen Ihr nachhaltiges Wachstum. 23 Jahre Inproma stehen für Erfahrung bei der Entwicklung von Softwarelösungen, der Einrichtung von Webportalen und dem Design von digitalen Prozessen. Diese Leistungen bilden wir mit unseren Marken ab. Wir selber sind immer auch Anwender unseres Portfolios und daher Praktiker und keine Theoretiker – sondern jeder für sich ein Experte.
Unsere Software-Lösungen
Unsere Software-Lösung
Unsere Datenschutzmanagement-Software PRO-DSGVO Guide automatisiert und digitalisiert die administrativen Prozesse des Datenschutzes in Ihrem Unternehmen. Das klar strukturierte Dashboard führt den internen Datenschutzkoordinator oder -beauftragte verständlich durch die Anforderungen, die sich aus der Datenschutz-Grundverordnung für Ihr Unternehmen ergeben. Schritt für Schritt wird der zuständige Mitarbeiter angeleitet, die erforderlichen Prozesse zu beschreiben. Die dafür bereitgestellten Formulare sind mit Beispieltexten vorausgefüllt und müssen i.d.R. nur noch angepasst werden. Wichtige Dokumente werden im internen Dokumentenmanagement gespeichert. Der Informationsverpflichtung, der die Datenschutzverantwortlichen im Unternehmen unterliegen, wird über das integrierte PRO-DSGVO Onlineportal entsprochen. Dossiers und eine Online-Akademie mit Mustervorlagen und E-Learningmodulen sowie regelmäßige Infomailings versorgen die Verantwortlichen mit den nötigen Informationen.
Ansprechpartner
Eberhard Fiedler
Geschäftsführer der Inproma GmbH,
Online- und IT-Sachverständiger
Unsere Software-Lösung
Seit dem 01.07.2023 sind alle Unternehmen ab 250 Beschäftigten verpflichtet, ein internes Hinweisgebersystem einzurichten. Organisationen mit 50 bis 249 Mitarbeitenden wird eine Übergangsfrist bis zum 17. Dezember 2023 eingeräumt.
Mit unserem digitalen Hinweisgebersystem PRO-DSGVO Whistle bieten wir Ihnen eine 3 in 1 Lösung an, die es ermöglicht, verschiedene Meldekanäle einzurichten und in einem Dashboard zu verwalten:
- Hinweisgeberkanal (Hinweisgeberschutzgesetz)
- Beschwerdekanal (Lieferkettengesetz)
- Datenschutz Auskunftsersuchen (DSGVO)
Unternehmen mit 50 bis 249 Mitarbeiter ist es erlaubt, sich einer Sammelmeldestelle anzuschließen. In unserer eigenen Sammelmeldestelle dataRanger können Sie sich mit verschiedenen Hinweisgeberkanälen einmieten. Ihr Unternehmen kann dort verschiedene Benutzer buchen, die Zugriff auf die eingegangenen Hinweise haben. In unseren Leistungspaketen bieten wir Ihnen auch die Dienstleistung einer Ombudsperson.
PRO-DSGVO Whistle für Partner und Ombuspersonen
Aufgrund seiner Mandantenfähigkeit bieten wir Partnermodelle für jede Art von Ombudspersonen (Anwälte, Datenschutzbeauftragte, Consulting-Unternehmen) an.
Mit PRO-DSGVO Whistle reduzieren Sie den Umsetzungsaufwand für Ihre interne Meldestelle auf ein Minimum. Wir helfen Ihnen bei der Implementierung, insbesondere beim Rechtemanagement, und stellen die notwendigen Infos für Ihre Webseite zur Verfügung. Der Umgang mit der Whistleblower Software ist absolut sicher und leicht zu händeln, weil wir die Funktionalität auf das Notwendigste reduziert haben. Hinweisgeber, die den Tor Browser anwenden, sind vollständig sicher und können nicht nachverfolgt werden.
Ansprechpartner
Matti Fiedler
TÜV-zertifizierter Datenschutzbeauftragter
Unsere Software-Lösung
Behalten Sie die Datenhoheit über Ihre DOIs (Double-Opt-Ins) und die Cookie Consent-Dokumentation. Unser DOI- und Cookie Consent Manager dokumentiert die Aktivitäten Ihres Cookie Banners DSGVO-konform. Das Dashboard ermöglicht es Ihnen, die Datenhoheit über Ihre eingegangenen DOI-Mails zu behalten. Hierbei dokumentiert die Software die DOI-Mailings, die als Transaktionsmail über Ihre Formularseiten (u.a. Ihrer Newslettersoftware, z.B. sendinblue, Optimizely, Mautic) an den Kunden versendet werden.
Über den DOI-Manager haben Sie online Zugriff auf Ihre DOIs und auch auf DOIs, die vom Kunden nicht abgeschlossen worden sind.
Ein Button E-Mail senden ermöglicht das manuelle Auslösen einer zweiten DOI-Mail direkt aus dem Dashboard heraus, wenn der Kunde den Bestätigungslink im ersten DOI Mailing nicht geklickt hat.
Ansprechpartner
Matti Fiedler
TÜV-zertifizierter Datenschutzbeauftragter
Unsere Kunden
Aktuelles
Datenschutz-
management
Unsere Marke
Seit Einführung der Datenschutz-Grundverordnung sollte der Schutz Ihrer (personenbezogenen) Daten im Unternehmen einen hohen Stellenwert einnehmen. Damit Sie die Herausforderungen rund um Ihren Datenschutz zeitgemäß und anschaulich bewältigen können, stellen wir Ihnen sowohl unsere Datenschutzmanagement-Software PRO-DSGVO Guide, als auch unser TÜV-zertifiziertes Expertenteam an die Seite.
Mit nur 5 Schritten nehmen Sie Ihren verantwortlichen Mitarbeitern die Sorge, das Thema Datenschutz rechtssicher bewältigen zu können:
- Schritt 1: Bedarfsermittlung
- Schritt 2: Angebotserstellung
- Schritt 3: Vertragsabschluss
- Schritt 4: Basis Audit
- Schritt 5: Datenschutz-Betreuung im laufenden Geschäft
Als interner oder externer Datenschutzbeauftragte, Anwaltskanzlei, Agentur oder Dienstleister können Sie natürlich unsere Datenschutzmanagement-Lösung bzw. unsere Software-Tools auch einzeln und ohne weitere Dienstleistungen erwerben. Sprechen Sie uns gerne zu unseren Partner-Angeboten an.
Mit einem einfachen und transparenten Preismodell bieten wir folgendes an:
- Datenschutzmanagement-Software PRO-DSGVO Guide
- Hinweisgebersystem PRO-DSGVO Whistle
- Datenschutzmanagement Online Portal
- Cookie Banner PRO-DSGVO Consent Management
- Datenschutz-Generator
- TÜV-zertifizierte Datenschutzbeauftragte (DSB)
Ansprechpartner
Eberhard Fiedler
Geschäftsführer der Inproma GmbH,
Online- und IT-Sachverständiger
Mehr Infos zum Datenschutzmanagement und unseren DSGVO Leistungspaketen finden Sie auf dem >> PRO-DSGVO Portal.
Experten-
Portal
Unsere Marke
Experten-Portal für Nachhaltigkeit und digitale Transformation
Seit mehr als 25 Jahren informiert unser Redaktionsteam um unsere Chefredakteurin Miriam Grothe die Entscheider der Branchen Hotellerie und Gastronomie. Unsere vielfältigen Dossiers und die wöchentlichen Newsletter mit einer Reichweite von über 25.000 Entscheidern dienen als Entscheidungshilfen und bieten Anregungen für die digitale Transformation.
- Experten-Portal für Nachhaltigkeit und digitale Transformation
- wöchentlicher Newsletter
- Gastgewerbe Scout
- HORECA Scout
- Mediadaten und -planung
Ansprechpartnerin
Miriam Grothe
Chefredakteurin des Gastgewerbe-Magazins
Hier geht's direkt zum >> Gastgewerbe-Magazin.
Digitale
Denkräume
Unsere Community
Digitale Denkräume für die Hospitality
HospitalityPioneers ist eine Community Plattform für Experten, Startups, Entrepreneure, die die Zukunft ökonomisch, ökologisch und sozial nachhaltig gestalten möchten. Das Netzwerk steht allen Pioneers im Hospitality Markt offen. Nachhaltigkeit, Klimaneutralität und Digitalisierung müssen wichtige Maxime Ihres Handelns sein. Sie wagen Ungewohntes und suchen Partnerschaften, die über den eigenen Horizont hinausgehen.
Das Ziel
Hospitality Pioneers unterstützen Gleichgesinnte dabei, Prozesse zu optimieren und Digitalisierung voranzutreiben, wo es Sinn macht. Ziel ist, einen Prozess zum Umdenken für mehr Nachhaltigkeit anzuregen. Hierfür stehen digitale Denkräume bereit, in denen Lösungspartner unkompliziert vermittelt werden, um praxisnahes Know-how auszutauschen.
- Speed Dating
- Hospitality Talk
- Hospitality Award
Ansprechpartner
Christian Fiedler
Founder HospitalityPioneers
Hier geht's direkt zu den >> HospitalityPioneers.
Nachhaltigkeits-
management
Unsere Marke
Im September 2015 haben alle 193 Mitgliedstaaten der UN die Agenda 2030 für nachhaltige Entwicklung verabschiedet. Das gemeinsame Ziel ist dabei die Transformation hin zu einer Welt, in der jeder Einzelne ökologisch verträglich, sozial gerecht und wirtschaftlich leistungsfähig handelt. In diesem Zuge wurden 17 globale Ziele (Sustainable Development Goals, SDGs) für die nachhaltige Entwicklung definiert, die bis 2030 von allen Industrie- und Entwicklungsländern erreicht werden sollen.
Um diese Ziele zu erreichen, werden nicht zuletzt an Unternehmen immer mehr und schärfere regulatorische Anforderungen formuliert, die es umzusetzen gilt. Aber auch die Stakeholder stellen zunehmend höhere Erwartungen an die Unternehmen hinsichtlich der Nachhaltigkeit in den Unternehmensprozessen.
Wir helfen Ihnen dabei, ein geeignetes Nachhaltigkeitsmanagement aufzubauen und Ihr Unternehmen langfristig erfolgreich aufzustellen. Dahingehend beraten und begleiten wir Sie gerne mit unseren zertifizierten Nachhaltigkeitsmanagern und IT-Experten zu folgenden Themen:
- Daten- und Prozessmanagement
- Lieferkettenmanagement mit KI- und Blockchain-Lösungen
- Beschwerdemanagement
- Nachhaltigkeitsberichterstattung
Ansprechpartner
Matti Fiedler
Founder Core Spot
Nachhaltigkeitsmanager
Social
Engagement
Unsere Marke
Umweltmanagement und Social Engagement – mit dem WaterRanger® leisten wir Aufklärungsarbeit zu spannenden Forschungs- und Umwelt-Projekten. Mit einem stetig wachsenden Netzwerk an Gleichgesinnten aus Industrie und Wirtschaft wollen wir ein Zeichen setzen und langfristig mit Kunden und Partnern dem Klimawandel entgegenwirken.
- Portal für nachhaltiges Engagement
- sauberes Trinkwasser
- Umweltprojekte
- Lieferkette
Ansprechpartner
Eberhard Fiedler
Founder WaterRanger©
Hier geht's direkt zum >> WaterRanger®.
Aufgepasst bei der Einrichtung eines Hinweisgebersystems – hohe Bußgelder bei Gesetzesverstößen
Am 2. Juli ist das HinSchG in Kraft getreten und zieht bei Verstößen hohe Bußgelder nach sich. Wer noch kein Hinweisgebersystem im Betrieb etabliert hat, sollte jetzt aktiv werden. Bieten Sie Ihren Beschäftigten die Möglichkeit, Verstöße oder Informationen diskret unter Wahrung ihrer Identität zu melden, ohne mit Konsequenzen oder Repressalien rechnen zu müssen.
Welche Betriebe müssen ein Hinweisgebersystem einrichten?
Seit dem 2. Juli 2023 sind Unternehmen mit mehr als 250 Mitarbeitern verpflichtet, ein Hinweisgeberschutzsystem in ihrem Unternehmen einsatzbereit zur Verfügung zu stellen.
Für Unternehmen mit mehr als 50 und weniger als 250 Beschäftigten gibt es einen Aufschub und das HinSchG gilt erst ab dem 17. Dezember 2023. Betriebe dieser Größe können sich auch zusammenschließen und eine gemeinsame Meldestelle mit einem Hinweisgebersystem etablieren (§ 14 Abs. 2 HinSchG-E).
Wer weniger als 50 Beschäftigte hat, muss eine Meldestelle einrichten, sofern er diesem Arbeitsumfeld angehört: Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger, Kredit- und Wertpapierinstitute, Kapitalverwaltungsgesellschaften sowie Unternehmen des Versicherungsaufsichtsgesetzes.
Details finden sich im Entwurf unter § 12 (2) Punkt 1 bis 7. Die externe Meldestelle soll vom Bundesamt für Justiz eingerichtet werden und unabhängig vom sonstigen Zuständigkeitsbereich operieren.
Zum vollständige Bundesgesetzblatt
Welche Strafen erwarten Unternehmen, die das Hinweisgeberschutzgesetz nicht umsetzen?
Verstöße gegen das HinSchG gelten als Ordnungswidrigkeit und ziehen eine Geldstrafe nach sich. Wie hoch das Bußgeld ausfällt, hängt von der Art des Verstoßes ab. Unter Abschnitt 5 § 40 sind im Gesetz die Bußgeldvorschriften festgelegt und sehen Beträge von 10.000 bis 50.000 Euro vor.
Wer kein Hinweisgebersystem einrichtet, muss mit einer Strafe von bis zu 20.000 Euro rechnen – jedoch erst ab dem 1. Dezember 2023 (Absatz 2, Nummer 2).
Wer die Meldung oder Kommunikation absichtlich behindert oder zu Repressalien gegenüber dem Meldenden greift, kann mit einer Geldbuße von bis zu 50.000 Euro belegt werden (Absatz 2, Nummer 1 und 3). Der gleiche Betrag kann fällig werden, wenn die Vertraulichkeit vorsätzlich oder leichtfertig nicht bewahrt wird (Absatz 3).
Auch wer entgegen § 32 Absatz 2 eine unrichtige Information offenlegt oder durch Fahrlässigkeit das Vertraulichkeitsgebot missachtet, muss mit einer Geldstrafe rechnen, die laut Gesetz mit bis zu 10.000 Euro zu Buche schlägt.
Aufgepasst: Der Bußgeldrahmen bis 50.000 Euro gilt für die Verantwortlichen des Unternehmens. Unternehmen selbst hingegen (juristische Personen und Personenvereinigungen) können je nach Konstellation im Zusammenhang mit Verhinderung der Meldung oder Verstößen gegen das Vertraulichkeitsgebot mit Verweis auf § 30 Absatz 2 Satz 3 des OWiG (Gesetz über Ordnungswidrigkeiten) mit Bußgeldern in zehnfacher Höhe, also bis zu 500.000 Euro belegt werden.
Es ist noch nicht bekannt, ob bei Verstößen vorab schriftliche Abmahnungen versendet werden. Wie es nach dem Gesetzesentwurf aussieht, werden umgehend die entsprechenden Bußgelder fällig.
Was ist das Hinweisgeberschutzgesetz?
Das Hinweisgeberschutzgesetz (HinSchG) dient dem Schutz von Personen, die während der Ausübung ihres Berufes Informationen über Verstöße erlangen und diese an interne oder externe Meldestellen weitergeben. Die sogenannte Whistleblower Richtlinie soll EU-weit ein einheitliches Schutzsystem für die Hinweisgeber gewährleisten. Es geht dabei vor allem darum, dass keine beruflichen Nachteile für die hinweisgebenden Beschäftigten entstehen dürfen.
Die Meldungen von Verstößen sollen entweder an entsprechend verantwortliche interne Stellen oder an öffentliche, externe Meldestellen erfolgen.
Welche Daten müssen erfasst und verarbeitet werden?
Der wichtigste Faktor innerhalb der Meldestelle ist die Gewährleistung der Vertraulichkeit. Anonymen Meldungen muss laut Entwurf nicht nachgegangen werden, umso relevanter ist die Wahrung der Diskretion hinsichtlich der Daten des Hinweisgebers.
Bei einer Meldung werden der Name des Hinweisgebers und der betroffenen, bzw. beschuldigten Personen erfasst und entsprechend den Vorgaben verarbeitet. So muss der Vorfall schriftlich dokumentiert werden und dauerhaft abrufbar sein. Bei einer telefonisch erfolgten Meldung genügt ein Inhaltsprotokoll. Die Ablage einer Tonaufzeichnung oder des genauen Wortlautes des Gespräches muss vom Anrufer schriftlich genehmigt werden. Wenn eine Abschrift der Tonaufnahme erfolgt ist, muss selbige gelöscht werden.
Selbstverständlich können Ausnahmen von der Wahrung der Vertraulichkeit gemacht werden, wenn dies auf Wunsch des Hinweisgebers geschieht. Diese Einwilligung muss schriftlich geschehen und gespeichert werden. Hier würde auch eine entsprechende E-Mail genügen.
Die Aufbewahrungspflicht sieht vor, dass die Daten erst zwei Jahre nach Abschluss des Verfahrens gelöscht werden dürfen.
Gelten für die Daten in einem Hinweisgebersystem besondere Vorkehrungen?
Da es sich bei den gesammelten Informationen um äußerst sensible Daten mit hoher Brisanz für Personen und Unternehmen handelt, greift nach DSGVO Art. 32 der Einsatz erhöhter Anforderungen an die technischen und organisatorischen Maßnahmen. Neben einem Berechtigungskonzept, einer Passwortrichtlinie ist eine hohe Verschlüsselung oder Anonymisierung der Daten erforderlich. Es sollte also möglichst frühzeitig der Datenschutzbeauftragte in eine Ermittlung einbezogen werden.
Es muss an alle nötigen Auftragsdatenverarbeitungsverträge gedacht werden, von Hosting-Unternehmen bis zu externen Anbietern, auch die besonderen Anforderungen bei cloudbasierten Systemen hinsichtlich des Datentransfers in Drittländer müssen Beachtung finden.
Die Weitergabe der personenbezogenen Daten und Inhalte aus einer Meldung ist selbstverständlich nicht gestattet, Ausnahmen bilden mögliche Einsichten in Akten, wenn es zu einem Strafprozess kommen sollte. Ist es zur Nachverfolgung einer Straftat notwendig, Daten der beschuldigten Person an Dritte weiterzugeben, so ist dies nach Art. 6 Abs. 1 lit. f DS-GVO in Verbindung mit § 24 Abs. 1 Nr. 1 BDSG gestattet.
Welche Meldungen fallen unter das Hinweisgeberschutzgesetz?
Der Kollege klaut immer den letzten Rest Milch oder Chef kommt zu spät zur Arbeit? Das sind keine Vorfälle, die unter das Hinweisgeberschutzgesetz fallen. Hier geht es um gravierende Verstöße, die laut Gesetzentwurf wie folgt definiert werden:
- Verstöße, die strafbewehrt sind
- Verstöße, die bußgeldbewehrt sind „soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dient“
- Verstöße gegen Rechtsvorschriften des Bundes und der Länder sowie unmittelbar geltende Rechtsakte der Europäischen Union und der Europäischen Atomgemeinschaft, die im Entwurf unter § 2 (1) 3. detailliert nach Gebieten aufgelistet werden und zum Beispiel Umweltschutz, Luft- und Straßenverkehrssicherheit oder Lebensmittelsicherheit beinhalten.
Nach Verabschiedung des Gesetzes werden wir alle dort verankerten Verstöße für euch zusammenfassen.
Welche Vorteile entstehen für Unternehmen durch die Einrichtung eines Hinweisgeberschutzssystems?
Die Vorteile eines internen Hinweisgeberschutzssystems wurden von der Wirtschaftsprüfungsgesellschaft pwc treffend zusammengefasst:
- Blinde Flecken erkennen: Mit einem Hinweisgebersystem lassen sich Missstände aufdecken, die ansonsten möglicherweise unentdeckt geblieben wären.
- Prozesse optimieren: Unternehmen können Schwachstellen und Fehler identifizieren und beseitigen.
- Finanzielle Schäden vermeiden: Mit einem Hinweisgebersystem lassen sich Strafzahlungen oder Gerichtskosten sowie Aktienkurs- oder Verkaufseinbußen verhindern oder verringern.
- Reputationsschäden verhindern: Dank Hinweisgebersystemen können Unternehmen negative Meldungen in der Presse und sozialen Medien vermeiden.
- Betrüger abschrecken: Hinweisgebersysteme helfen, Betrugsfälle zu verhindern.
- Vertrauen aufbauen: Ein Hinweisgebersystem stärkt die Integrität des Unternehmens und damit das Vertrauen der Mitarbeiter und weiterer Stakeholder.
Was passiert, wenn nach der Meldung eines Verstoßes Benachteiligungen im Job die Folge sind?
Hat ein Arbeitnehmer nach der Meldung eines Verstoßes den Eindruck, dass Druck auf ihn ausgeübt oder Vergeltungsmaßnahmen ergriffen werden, gilt die sogenannte Vermutungswirkung, dass es sich um eine Repressalie handelt und der Arbeitgeber muss beweisen, dass die ergriffenen Maßnahmen aus berechtigten Gründen erfolgt sind und nicht in Zusammenhang mit der Verstoßmeldung stehen.
Wann tritt das Hinweisgeberschutzgesetz in Kraft?
Nachdem das Hinweisgeberschutzgesetz als Adaption der EU-Whistleblower-Richtlinie am 11. Mai vom Deutschen Bundestag und am 12. Mai vom Bundesrat verabschiedet wurde, steht dem Inkrafttreten am 2. Juli 2023 nichts mehr im Weg.
Doch der Weg bsi zu diesem Schritt war lang: Die Hinweisgeber-Richtlinie der EU (2019/1937) sollte bereits bis zum 17.12.2021 EU-weit in nationales Recht umgesetzt werden. Da die Umsetzung jedoch in 24 Mitgliedsstaaten entweder gar nicht oder nur unvollständig erfolgte, wurde im Januar 2022 ein Aufforderungsschreiben an die 24 Regierungen gesendet. In Deutschland wurde im Juli dann ein Regierungsentwurf der Hinweisgeberrichtlinie veröffentlicht und im September wurde über selbigen beraten. Am 10. Februar 2023 hat der Bundesrat keine Zustimmung zum Gesetzesentwurf des Hinweisgeberschutzgesetzes gegeben. Mitte März 2023 wiederum wurde der neue Ansatz zur Umsetzung der EU-Whistleblower-Richtlinie vom Deutschen Bundestag angenommen und folgend im Rechtsausschuss besprochen. Die für den 30. März geplanten 2. und 3. Lesung im Bundestag wurde von der Tagesordnung genommen – auf Entschluss der Bundesregierung wurde dann ein Vermittlungsausschuss einberufen.
Quellen
pwc.de
Datenschutzpanne im Unternehmen – jetzt richtig handeln
Auch bei aller Vorsicht kann es passieren, dass zu schützende Daten in die falschen Hände gelangen oder bei der Verarbeitung personenbezogener Daten ein Fehler unterlaufen ist. Wichtig ist hier, einen kühlen Kopf zu bewahren und sich an einem idealerweise vorliegenden Reaktionsplan zu halten.
Meldepflicht bei Datenschutzpannen
Wenn es zu einem Verlust oder einer unerlaubten Verwendung personenbezogener Daten kommt, muss gemäß Artikel 33 der DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Behörde erfolgen. Wird die Frist nicht eingehalten, muss dieses Versäumnis später zusammen mit der Meldung begründet werden.
Eine Meldung ist nur dann nicht erforderlich, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Das LfD Niedersachsen hat einige Beispiele aufgeführt, bei denen keine Meldung erfolgen muss:
- Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar. Hier ist jedoch zu bedenken, ob es auch zu einer Verletzung der Verfügbarkeit gekommen ist: Wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an: die verlorene Geburtstagliste der Abteilung dürfte nur ein geringes Risiko darstellen (keine Meldepflicht), der Verlust sämtlicher Kundenkontaktdaten jedoch wenigstens ein mittleres (Meldepflicht).
- Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Sollte allerdings lediglich ein einfacher Zugriffschutz aktiviert sein, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor.
- Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
- Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering. Anders zu beurteilen ist der Fall, wenn der Brief bzw. die Anlage die vollständigen Anschriften oder gar Bankverbindungen der betroffenen Personen enthält – dann ist nicht von einem nur geringen Risiko auszugehen und die Meldepflicht besteht.
Wenn Daten wie Bankverbindungen oder sensible Krankenakten an unbefugte Dritte weitergegeben wurden, besteht auf jeden Fall eine Meldepflicht.
Die Meldepflicht bei Datenschutzpannen soll sicherstellen, dass Verantwortliche für die Verarbeitung personenbezogener Daten geeignete Maßnahmen ergreifen, um Datenschutzverletzungen zu verhindern und die Auswirkungen von Datenschutzverletzungen zu minimieren. Darüber hinaus sollen betroffene Personen schnellstmöglich informiert werden, damit sie geeignete Maßnahmen ergreifen können, um sich vor möglichen Schäden zu schützen.
Die einzelnen Schritte des Reaktionsplans
Umgehende Kenntnis über eine vorliegende Datenpanne
Wer im Unternehmen Kenntnis von einer Datenschutzpanne erlangt oder diese verursacht, muss den Umstand umgehend an den Verantwortlichen und den Datenschutzbeauftragten melden. So soll sichergestellt werden, dass eine mögliche Meldung der Panne innerhalb der vorgeschriebenen 72 Stunden erfolgen kann.
Die Bewertung der Datenpanne
Gemeinsam mit dem Verantwortlichen untersucht der Datenschutzbeauftragte die gemeldete Panne und stellt eine Bewertung zusammen. Bei der Ermittlung des Risikos sind zum Beispiel die Kategorien der betroffenen Daten oder die Art der Verletzung von Relevanz.
Ergreifung von Gegenmaßnahmen
Die Ergreifung geeigneter Gegenmaßnahmen erfolgt direkt aus der Bewertung der Datenpanne von DSB und Verantwortlichem. Die ergriffenen Maßnahmen sollen den entstandenen Schaden effektiv reduzieren und eine Ausweitung verhindern.
Entscheidung über die Notwendigkeit der Meldung an die Behörde
Die durch Bewertung und Gegenmaßnahmen erlangten Erkenntnisse führen zu der Entscheidung, ob eine Meldung an die zuständige Datenschutzbehörde vonnöten ist oder darauf verzichtet werden kann. An dieser Stelle sollte auch die Geschäftsführung des Unternehmens eingebunden werden. Sofern die Panne meldepflichtig ist, erfolgt die Meldung umgehend und in vorgegebenen Rahmen an die Behörde und / oder die Betroffenen.
Meldung der Datenschutzpanne
Um den Verantwortlichen die Meldung einer Datenschutzpanne zu erleichtern, bieten zahlreiche Behörden die Möglichkeit einer Online-Meldung. Auch wenn der Verantwortliche die Meldung abgeben muss, sollte dies immer in Rücksprache mit dem Datenschutzbeauftragten geschehen.
Die nötigen Angaben bei der offiziellen Meldung einer Datenschutzpanne
Wer eine Datenpanne online meldet, sollte folgende Informationen parat halten, um eine schnelle Abwicklung zu gewährleisten.
- Wer erstattet Meldung?
- Was ist passiert?
- Beschreibung der Datenpanne
- Welche Datenarten sind betroffen?
- Wie viele Personen sind betroffen?
- Risikoeinschätzung
Wer Interesse hat, kann sich unter folgenden Links die Fragebögen der Bundesländer anschauen
Quellen:
7 Abmahngründe für den Internetauftritt – von Google Fonts bis Serverstandort
Die eigene Webseite soll vor allem eines: Kunden und Gäste informieren und vom eigenen Betrieb überzeugen. Doch gibt es einige Aspekte beim Handling der Internetseite zu beachten, um nicht Empfänger eines Mahnschreibens zu werden. In diesem Beitrag werden die Abmahnrisiken erläutert und im kostenlosen Klickberater kann die eigene Webseite in wenigen Minuten überprüft werden.
Täglich werden hunderte Mahnschreiben von Anwälten versendet, die Betreiber von Internetseiten über die Mängel selbiger aufklären und ein Bußgeld fordern. Auch wenn es ein paar schwarze Schafe gibt, die hier das schnelle Geld wittern, so besteht doch stets akuter Handlungsbedarf.