Merentis Datasec GmbH –
Datenschutz, IT-Sicherheit & Compliance
Willkommen bei der Merentis DataSec GmbH
Informieren Sie sich hier über unsere Dienstleistungen
Datenschutz
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten, möchten Ihr Unternehmen im Datenschutz auditieren lassen oder benötigen Hilfe bei Auseinandersetzungen mit der Datenschutz Aufsichtsbehörde?
Wir haben den richtigen Experten für Sie – sprechen Sie uns an!
IT-Sicherheit
Identitäts- oder Datendiebstahl, Wirtschaftsspionage, Malwareangriffe und Cybercrime – all diese Gefahren stehen in der heutigen Zeit für ernst zu nehmende Aspekte in der Welt der digitalen Transformation und Digitalisierung. Unsere IT-Sicherheitsexperten analysieren Schwachstellen und erarbeiten Präventivkonzepte.
Compliance
Wir übernehmen für Sie die Implementierung und Pflege eines Hinweisgebersystems (Whistle Blowing System) und kümmern uns um die Umsetzung von Compliance Regeln in Ihrem Unternehmen.
Datenschutzauditor TÜV
Unsere vom TÜV ausgebildeten und zertifizierten Datenschutzauditoren übernehmen sowohl die Planung als auch die Durchführung des Datenschutzaudits, um Ihnen im Anschluss einen detaillierten Bericht mit priorisierten Maßnahmenempfehlungen zur Verfügung zu stellen.
Über uns
MERENTIS Datasec ist Ihr strategischer Partner
.01
Aus der Praxis
.02
Auf den Punkt
.03
An Ihrer Seite
Unsere Rechtsanwälte sowie Datenschutz- und Sicherheitsexperten gehen individuell auf Ihre betrieblichen und persönlichen Belange ein.
In Zusammenarbeit mit den anderen Geschäftsbereichen der MERENTIS Group realisieren wir IT-Lösungen und -Produkte im Umfeld revisionssicherer ECM-Lösungen wie z.B. M/Risikomanagement oder auch die datenschutzkonforme Einführung von Office 365.
MERENTIS Datasec Blog
Hier teilen wir Informationen zum Thema Datenschutz.
MERENTIS DataSec FAQ
Was bedeutet Awareness?
Übersetzt meint Awareness „Bewusstsein“, „Gewahrsein“ oder auch „Aufmerksamkeit“. Zur Erhöhung des Sicherheits- und Datenschutz-Niveaus in einer Organisation gehört neben Maßnahmen auf technischer und organisatorischer Ebene auch die Sensibilisierung der Mitarbeiter für die Themen Informationssicherheit und Datenschutz. Dazu muss den Mitarbeitern vermittelt werden, mit Informationen nicht unbekümmert umzugehen und technische und organisatorische Sicherheitsmaßnahmen nicht nur als Störung des Arbeitsflusses wahrzunehmen. Menschen, die sich der Sicherheits- und Datenschutzaspekte ihrer Arbeit bewusst sind („Awareness“) und sich mit den Werten („Assets“) der Organisation identifizieren, sind weniger anfällig für „Social Engineering“-Angriffe (soziale Manipulation) und verantwortungsvoller im Umgang mit personenbezogenen Daten.
Wo ist der Unterschied zwischen dem BDSG und der DSGVO?
Die DSGVO ist ein EU-Recht, welches unmittelbar in jedem Mitgliedsstaat gilt. Die DSGVO enthält jedoch zahlreiche Klauseln, die den Mitgliedstaaten Handlungsverpflichtungen oder -optionen einräumen. Diese wurden in Deutschland im BDSG hinterlegt. Die DSGVO z.B. regelt die Rechte der betroffenen Personen und das BDSG sieht lediglich ergänzende Einschränkungen vor. Daher müssen beide Gesetze gleichzeitig beachtet werden.
Was ist ein Datenschutz-Management?
Datenschutzmanagement meint einen bestimmten Ablauf in der Organisation eines Unternehmens, bzw. einer öffentlichen oder nicht-öffentlichen Stelle, mit bestimmten festzulegenden Prozess-Schritten, die notwendig sind, um die datenschutzrechtlichen Anforderungen bei der Planung, Einrichtung, dem Betrieb und nach Aufgabe eines Verfahrens zur Datenverarbeitung zu gewährleisten. Hierbei sind z.B. Verantwortlichkeiten oder auch einzuhaltende Hierarchien zu berücksichtigen. Hierzu gehört das Erstellen einer Risiko-, Bestands- und Bedarfsanalyse sowie die Entwicklung und der Aufbau einer Datenschutzkonzeption.
Was sind die Aufgaben eines Datenschutz-Beauftragten?
Welche Informationen über eine Verarbeitung müssen erteilt werden?
Es entstehen keine rückwirkenden Informationspflichten.
Die Informationen müssen zum Zeitpunkt der Erhebung gegeben werden in schriftlicher oder elektronischer Form. Das inkludiert auch das aktive Hinweisen auf diese beim persönlichen Kontakt oder am Telefon. Dazu sollten diese Informationen in Aushängen, auf Homepage, u.ä. zugänglich gemacht werden.
Was ist überhaupt der Sinn des Datenschutzrechts?
Dies hat einen besonders hohen Stellenwert, da Datenschutz zeitgleich Grundrechtsschutz ist.
Auf europäischer Ebene ist der Datenschutz in Art. 8 der EU-Grundrechtecharta verankert.
Wer ist überhaupt vom Datenschutzrecht betroffen?
Das Datenschutzrecht betrifft grundsätzlich alle Daten, welche mit einer Person in Verbindung stehen. Es werden also grundsätzlich alle personenbezogenen Daten geschützt.
Damit sind nicht nur Kunden, sondern auch Mitarbeiter, Führungskräfte und selbst die Geschäftsführung betroffene im Sinne des Datenschutzrechts.
All diese Daten gilt es zu schützen.
Welche Pflichten hinsichtlich des Datenschutzes treffen mich als Unternehmer?
Besonders hinsichtlich der Ausgestaltung des Verarbeitungsvorgangs an sich und der damit verbundenen Risikobewertung bestehen hinreichende Dokumentationspflichten.
Selbiges gilt für die Informationspflichten gegenüber betroffenen Personen.
Was bedeutet Informations-Sicherheit?
Ab wann braucht ein Unternehmen einen Datenschutz-Beauftragten?
Gibt es Ausnahmen von der DSGVO?
Eine Ausnahme der DSGVO liegt dann vor, wenn personenbezogene Daten ausschließlich im persönlichen, beziehungsweise familiären Bereich „verarbeitet“ werden.
Aber auch bei Ermittlungen zur Strafverfolgung durch die zuständigen Behörden gilt die DSGVO nicht, um die öffentliche Sicherheit zu schützen und vor möglichen Gefahren zu warnen.
Warum müssen personenbezogene Daten überhaupt geschützt werden?
Im Zusammenspiel können diese personenbezogenen Daten empfindliche Kenntnisse über Ihre Person aussagen. Dies könnte ohne die Maßnahmen der DSGVO zu Datenmissbrauch, beispielsweise durch Identitätsdiebstahl führen.
Welche Daten zählen zu den personenbezogenen Daten im Sinne der DSGVO?
Welche Grundsätze zum Datenschutz sind in der DSGVO hinterlegt?
- Rechtmäßigkeit: Verarbeitung personenbezogener Daten muss auf rechtmäßige Art und Weise und nach Treu und Glauben erfolgen. Außerdem muss der Betroffene den (legitimen) Zweck kennen.
- Zweckbindung: Die Daten dürfen nur zum angegebenen Zweck verarbeitet werden.
- Datenminimierung: Nur für den Zweck notwendige Daten dürfen verarbeitet werden.
- Richtigkeit: Daten müssen richtig sein und aktuell gehalten werden.
- Speicherbegrenzung: Personenbezogene Daten müssen nach Entfall des Verarbeitungszwecks oder wenn sie für diesen Zweck nicht mehr benötigt werden, gelöscht werden.
- Integrität und Vertraulichkeit: IT-Systeme sollen von Anfang an so programmiert sein, dass nur das Mindestmaß an personenbezogenen Daten erhoben und verarbeitet wird (Privacy by design).
- Rechenschaftspflicht: Das verarbeitende Unternehmen ist verantwortlich für den Datenschutz und die Umsetzung der DSGVO.
Auf welche Art und Weise und bei welcher Stelle können sich Bürger über Datenschutz-Verletzungen beschweren?
Die Aufsichtsbehörde ist außerdem verpflichtet den Beschwerdeführer über den Stand der Ermittlungen zu informieren.
Seit Dezember 2021 sind zumindest größere Unternehmen verpflichtet ein Hinweisgebersystem („Whistle Blowing“) einzurichten. Hier können Betroffene eine Meldung/ Beschwerde abgeben und die mögliche Datenschutzverletzung kann zunächst intern geprüft werden, ohne dass direkt behördliche Ermittlungen erfolgen.