Seitenhierarchie
Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Datenschutz ist nicht erst seit Einführung der DSGVO (https://dsgvo-gesetz.de/) ein wichtiges Thema für DIVERA 24/7. Die DSGVO (Datenschutz-Grundverordnung 2016/679) existiert bereits seit dem 24.05.2016, ist jedoch erst ab dem 25.05.2018 in jedem Land der EU anzuwenden.

Mit Einführung der neue Datenschutzgrundverordnung ist es aber auch stärker in den Fokus vieler Einsatzkräfte gerückt und es kommen Fragen auf die wir gerne beantworten möchten. In einigen Punkten gibt es auch Änderungen die von uns als Betreiber und auch von den Nutzern beachtet werden müssen. Damit wir stets auf dem aktuellen Stand sind, haben wir einen externen Datenschutzbeauftragten bestellt um sicherzustellen, dass alle datenschutzrechtlichen Vorgaben eingehalten werden.

Zu den vornehmlichen Aufgaben eines externen Datenschutzbeauftragten gehören u.a.

  • die Beratung und Betreuung der Geschäftsführung in Datenschutzfragen
  • die Beratung und Betreuung der Mitarbeiter
  • die Schulung und schriftliche Verpflichtung der Mitarbeiter auf das Datengeheimnis
  • die Beratung, Schulung und fortlaufende Sensibilisierung zu Datensicherungsmaßnahmen
  • die Überwachung und bei Bedarf Vorabkontrolle der ordnungsgemäßen Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten
  • die Mitwirkung bei der gesetzlich vorgeschriebenen Dokumentation (Verfahrensverzeichnisse, Protokolle etc.)
  • die Unterstützung bei der datenschutzgerechten Ausgestaltung von Verträgen bei externer Auftragsdatenverarbeitung

Das wichtigste Ziel der DSGVO ist es die Rechte der Betroffenen zu stärken und Transparenz zu schaffen über Kontrolle und Verantwortlichkeit von personenbezogenen Daten. Ziel ist hier vor allem Kinder, Minderjährige, Beschäftigte und besonders sensible Daten von einzelnen Personen besser zu schützen. Unser Dienst richtet sich nicht an Minderjährige, (https://www.divera247.com/nutzungsbedingungen.html).

 

Das folgende Dokument (Link Datenschutzerläuterungen) erläutert ausführlich welche Daten wir erheben, welche Daten wir speichern und was wir mit den Daten machen. Der Vertrag zur Auftragsverarbeitung ergänzt diese Ausführungen und macht nochmal konkretere Angaben zum Hosting (ISO zertifiziertes Rechenzentrum) und zu eingesetzten Unterauftragsnehmern.

Der vorliegenden Artikel kann nicht die DSGVO erklären. Wir möchten aber einige wichtige Punkte erläutern.

  • Auftragsverarbeitung
  • Datensparsamkeit
  • Pseudonymisierung und Anonymisierung

Was ist Auftragsdatenverarbeitung?

Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (Auftragnehmer, also DIVERA 24/7). Der Dienstleister ist an die Weisungen des Auftragsgebers (Das sind unsere Kunden die sich bei uns registrieren) gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (ADV-Vertrag). Maßgeblich für diese Auftragsdatenverarbeitung war der § 11 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der  Artikel 28 DSGVO regelt die ADV künftig jedoch wesentlich detaillierter und führt einige neue Begriffe ein.

  • Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung.
  • Dementsprechend heißt ein ADV-Vertrag künftig wohl nur noch AV-Vertrag.
  • Sie als Auftraggeber werden durch die DSGVO zum „für die Verarbeitung Verantwortlichen“ – kurz Verantwortlichen
  • Der Auftragsnehmer wird zum Auftragsverarbeiter.

 

ADV-Verträge müssen künftig nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs. 9 DSGVO). Dies setzen wir im Verwaltungsbereich des jeweiligen Kundenaccounts auch so um. Der Admin einer Einheit kann im Reiter Datenschutz diesen Vertrag elektronisch abschließen. Erf folgt dazu diesem Link

 

Bisher waren die Kunden als Auftraggeber vollständig und so gut wie allein verantwortlich und auch haftbar für die Verarbeitung der Daten, selbst wenn ein Dienstleister als Auftragnehmer im Spiel ist. Der Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) verteilt die Last der Verantwortung ab dem 25. Mai 2018 auf beide Schultern von Auftraggeber und Auftragnehmer: Durch die DSGVO wachsen Auftraggeber und Auftragnehmer also mehr zusammen, wenn es darum geht, die Verantwortung zum Schutz der personenbezogenen Daten zu übernehmen.

Die Datenverarbeitung im Auftrag als gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer, Joint Control genannt, regelt der Artikel 26 der DSGVO. Dabei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten transparent fest. Diese neue Möglichkeit der beiderseitigen Verantwortung kannte das BDSG nicht.

AV-Vertrag abschließen durch Administrator der Einheit

Wir legen daher jedem Administrator nah, diesen Vertrag abzuschließen.

Datensparsamkeit

Ein Grundsatz des Datenschutzes ist die Datensparsamkeit. Datenvermeidung und Datensparsamkeit ist ein Konzept im Bereich Datenschutz. Die Grundidee ist, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind und auch nur solange gespeichert werden wie erforderlich.

In DIVERA 24/7 können Löschfristen hier eingestellt werden, um Alarmierungen, Mitteilungen und Termine automatisch zu löschen. Diese gelöschten Daten sind unwiederbringlich gelöscht und können somit auch nicht wiederhergestellt werden.

Im Bereich der Alarmierung kann festgelegt werden, welche Daten übertragen werden. Wir empfehlen nur die notwendigen Daten zu übertragen.

Pseudonymisierung und Anonymisierung

DIVERA 24/7 bietet verschiedene Möglichkeiten personenbezogenen Daten zu minimieren. Dies sind ganz einfache Maßnahmen, wie das automatische Abkürzen von Namen und/oder Vorname. Dabei wird aus Klaus Mustermann z.B. Klaus M., K. Mustermann oder K.M.

Im Extremfall benötigt DIVERA 24/7 keine personenbezogenen Daten. Es reicht eine fiktive Mailadresse für den Login und ein Pseudonym. Wichtig ist die Angabe der Qualifikation.