Kund:innen von heyData bekommen das Beste aus der Verbindung einer hilfreichen Datenschutz-Software und ganz persönlicher Experten-Unterstützung. Mit der digitalen heyData-Plattform bekommst du deinen Datenschutz einfach und zuverlässig unter Kontrolle. Gleichzeitig sind unsere Datenschutz-Anwälte wahre Experten in ihrem Feld.

Datenschutz ist keine Frage der Unternehmensgröße. Die Datenschutzvorgaben - und leider auch die Bußgelder - treffen Selbstständige genauso wie Konzerne. Wenn du frühzeitig mit dem Thema Datenschutz anfängst, wächst es mit deinem Unternehmen und nachträglich sind keine schmerzhaften Änderungen nötig.

Eine Kostenschätzung bekommst du über hier in unserer Preisübersicht.

Hier findest du eine Übersicht zu unseren Paketen und wie sie sich unterscheiden.

Die heyData-Plattform hilft dir insgesamt, deinen Datenschutz für dein Unternehmen in den Griff zu bekommen - von der Auditierung über den Abruf wichtiger Dokumente bis zur Schulung von Mitarbeitenden.

Onboarding: Einführung aller relevanter Mitarbeitenden in heyData-Plattform. 

Digitales 360°-Audit: Durchleuchtung deiner Abteilungen auf Datenschutzkonformität 

Dokumentation: automatisierte Erstellung aller datenschutzrelevanter Dokumente, die über die heyData Plattform mitsamt Hinweisen zur Verbesserung deines Datenschutz-Levels zur Verfügung gestellt werden‍.

Kontinuierliche Betreuung: Proaktives Monitoring zu allen Datenschutzthemen über unsere Plattform mit persönlichem Ansprechpartner.

Wir arbeiten komplett auf Deutsch und Englisch. Weitere Sprachen sind auf Anfrage verfügbar.

17 deutsche Aufsichtsbehörden kontrollieren die Einhaltung der Datenschutzbestimmungen. Dein Datenschutzbeauftragter ist gemäß Art. 39 Abs. 1 DSGVO verpflichtet, die Wahrung dieser datenschutzrechtlicher Vorschriften sicherzustellen.

Dein Unternehmen erwarten Bußgelder von bis zu 20 Mio. Euro oder 4% des jährlichen Umsatzes. Außerdem musst du mit Einbußen deiner Reputation und des Kundenvertrauens in dein Unternehmen rechnen.

Brauche ich überhaupt einen Datenschutzbeauftragten?
Auch wenn du keinen Datenschutzbeauftragten brauchst, muss dein Unternehmen trotzdem alle Datenschutzvorgaben einhalten. Einen Datenschutzbeauftragten brauchst du aber auf jeden Fall, wenn eines oder mehrere der folgenden Kriterien auf dein Unternehmen zutreffen:
 

• du beschäftigst mehr als 20 Mitarbeitende
• du verarbeitest umfassend besondere Kategorien von personenbezogenen Daten (wie Daten zur ethnischen Herkunft, politischen Meinung, religiösen Überzeugung oder Gesundheit einer Person)
• du nutzt Videoüberwachung oder setzt neue Techniken, z.B. Algorithmen oder künstliche Intelligenz, ein
• bei fast allen Unternehmen, die einen Bezug zu Personal haben: es werden geschäftsmäßig personenbezogene Daten übermittelt, erhoben, verarbeitet oder genutzt und dies stellt eine Kerntätigkeit des Unternehmens dar‍

Im Allgemeinen ist es nicht nur eine Frage der Mitarbeiterzahl. Auch dann, wenn Du nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet bist, muss Dein Unternehmen trotzdem alle Datenschutzanforderungen einhalten. Ein Datenschutzbeauftragter ist in jedem Fall erforderlich, wenn eines oder mehrere der folgenden Kriterien auf Dein Unternehmen zutreffen:

• Du hast mehr als 20 Beschäftigte
• Du verarbeitest in großem Umfang besondere Kategorien personenbezogener Daten (z. B. Daten über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder Gesundheit einer Person)
• Du nutzt Videoüberwachung oder setzt neue Techniken, z.B. Algorithmen oder künstliche Intelligenz, ein
• Bei fast allen Unternehmen, die einen Bezug zu Personal haben: es werden geschäftsmäßig personenbezogene Daten übermittelt, erhoben, verarbeitet oder genutzt und dies stellt eine Kerntätigkeit des Unternehmens dar‍

Der Datenschutzbeauftragte hat folgende Aufgaben:

• Beratung und Schulung von Verantwortlichen, Auftragsverarbeitern und Mitarbeitern zur Einhaltung von Datenschutzbestimmungen
• Überwachung der Einhaltung von Datenschutzbestimmungen und Strategien zum Schutz personenbezogener Daten, sowie Durchführung von Datenschutz-Folgenabschätzungen
• Datenschutz-Audit deines Unternehmens
• Zusammenarbeit und Kontakt mit der Datenschutzbehörde
• Beratung von Geschäftsleitung und Fachabteilungen
• Erstellung der Pflichtdokumente
   

Ein interner Datenschutzbeauftragter in Teilzeit investiert 20% seiner Arbeitszeit in Datenschutz-Aufgaben. Das kann das Unternehmen jährlich zwischen 5.000 und 15.000 Euro kosten, je nach Aufwand.

Wenn man einen internen Datenschutzbeauftragten in Vollzeit einstellt, fallen die gleichen Kosten an wie beim Teilzeit-Datenschutzbeauftragte, jedoch ohne anteilige Gehaltsberechnung. Die Kosten für Vollzeit-Datenschutzbeauftragte können zwischen 45.000 und 65.000 Euro pro Jahr liegen, je nach Unternehmen und Aufgaben. Die durchschnittliche Investitionssumme beträgt 55.000 Euro.

Die Kosten für externe Datenschutzbeauftragte sind sehr unterschiedlich und hängen von vielen Faktoren ab. Rechtsanwälte und Anwaltskanzleien können Stundensätze von 250 Euro und mehr verlangen, während externe Datenschutzbeauftragte mit einem Fachkundenachweis oft etwas weniger verdienen.

Wichtig zu erwähnen ist, dass ein externer Datenschutzbeauftragter viele Kostenpunkte, wie z. B. Fortbildungen, Arbeitsmaterialien, selbst übernimmt, und für Fehler in der Beratung grundsätzlich haftbar ist.

Unsere Datenschutzlösung bietet Deinem Unternehmen unter anderem:

• Unterstützung als externer Datenschutzbeauftragter
• Unterstützung bei der Erstellung & Prüfung von Datenschutzerklärungen, Auftragsverarbeitungsverträgen (AVV), dem Verzeichnis von Verarbeitungstätigkeiten (VVT), technisch organisatorischen Maßnahmen (TOM) und den wichtigsten Datenschutzdokumenten
• Ein umfassendes digitales Audit zur Identifikation von Datenschutzrisiken
• Online-Mitarbeiterschulungen
• Ein Expertenteam von Rechtsanwalt:innen und Jurist*innen, das dir bei der Einhaltung der Datenschutzbestimmungen zur Seite steht

Auf der Basis deiner Bedürfnisse erstellen wir ein maßgeschneidertes Angebot und teilen es dir auf transparente Weise mit (keine versteckten Extra-Gebühren). Für weitere Informationen siehe unsere Preisseite.

Wenn du auf der Suche nach einem externen Datenschutzbeauftragten (DSB) bist, gibt es ein paar Punkte, auf die du achten solltest.  Hier sind die wichtigsten Punkte, die du auf deiner Checkliste abhaken solltest:

• Rechtliche Kenntnisse: Verfügt der externe DSB über solide Erfahrung im Bereich des Datenschutzes? Ist er/sie ein Experte in Bezug auf die DSGVO und/oder andere lokale Vorschriften?
• Branchenkenntnisse: Hat der externer Datenschutzbeauftragter Erfahrung in deiner speziellen Branche? Dies kann besonders hilfreich sein, wenn deine Branche spezielle Datenschutzanforderungen hat.
• Eine Person oder ein Team von Experten: Ist der DSB Teil eines Expertenteams? Wenn ja, bedeutet dies nicht nur zusätzliches Fachwissen, sondern auch erhöhte Verfügbarkeit.
• Soft Skills: Im besten Fall sollte der DSB auch über interdisziplinäre Fähigkeiten wie gute Kommunikation und Teamarbeit verfügen. Dies erleichtert die Zusammenarbeit erheblich.
• Schulung und Zertifizierung für deine Mitarbeiter: Kann der externer DSB deine Mitarbeiter ausreichend schulen? Und darf er ihnen eine Zertifizierung über den Abschluss der Kurse ausstellen?
• Preis und Transparenz: Sind die Kosten klar und transparent? Gibt es verschiedene Paketoptionen, die zu deinem Budget passen?
• Digitalisierung und Vereinfachung: Verwendet der externe DSB moderne, digitale Instrumente wie Software und Integrationen?Dies kann die Prozesse beschleunigen und die Effizienz steigern.
• Aktualisierungen und Flexibilität: Kann sich der externe DSB an veränderte Anforderungen anpassen? Im Bereich des Datenschutzes ist es oft entscheidend, auf dem Laufenden zu bleiben, da sich Gesetze und Vorschriften ändern können.

Bei Fragen zum Datenschutz gibt es verschiedene Ansprechpartner.

• Für private Unternehmen oder Organisationen kann in erster Linie der betriebliche Datenschutzbeauftragte (DSB), sowie ein externer Datenschutzbeauftragter, oder bei kleineren Betrieben eine interne Person, die sich mit Datenschutz auskennt, weiterhelfen. 
   
• Für öffentliche Stellen, wie beispielsweise Behörden oder Schulen, gibt es in der Regel einen behördlichen Datenschutzbeauftragten, der als Ansprechpartner für Fragen zum Datenschutz fungiert.
   
• Weitere Anlaufstellen für Fragen zum Datenschutz können auch Verbraucherzentralen oder Datenschutzbeauftragte der jeweiligen Bundesländer sein. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine Beratung für Fragen zum Datenschutz an.

Wir bieten den Einsatz eines Teams von staatlich geprüften Juristen und Rechtsanwälten, die auf Unternehmen unterschiedlicher Größe und Branchen spezialisiert sind. 

Ein Datenschutzberater, auch Datenschutzbeauftragter (DSB) genannt, ist eine Person, die Unternehmen und Organisationen bei der Umsetzung von Datenschutzbestimmungen unterstützt. Seine Aufgabe ist die Einhaltung von Datenschutzgesetzen und -vorschriften zu überprüfen und der Schutz der persönlichen Daten von Kunden, Mitarbeitern und anderen Personen.

Konkret kann ein Datenschutzberater folgende Aufgaben übernehmen:

• Beratung: Der Datenschutzberater berät Unternehmen und Organisationen zu den Anforderungen des Datenschutzes und gibt Empfehlungen für die Umsetzung.
   
• Schulung: Der Datenschutzberater schult Mitarbeiter und Führungskräfte im Umgang mit personenbezogenen Daten.
   
• Überwachung: Der Datenschutzberater überwacht die Einhaltung der Datenschutzbestimmungen und prüft die technischen und organisatorischen Maßnahmen zur Sicherung von personenbezogenen Daten.
   
• Dokumentation: Der Datenschutzberater erstellt und überprüft häufig auch datenschutzrelevanten Dokumenten.Teilweise übernehmen diese Tätigekeit aber auch Datenschutzkoordinatoren.

Der Datenschutzberater ist also eine wichtige Schnittstelle zwischen Unternehmen und Datenschutzbehörden und trägt dazu bei, dass personenbezogene Daten sicher und rechtskonform verarbeitet werden.

Wir kümmern uns um all das und bieten darüber hinaus eine Software an, die sowohl das Leben des Arbeitnehmers als auch das des Arbeitgebers vereinfacht.

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) können von den zuständigen Datenschutzbehörden mit erheblichen Bußgeldern geahndet werden. Die Höhe der Bußgelder richtet sich dabei nach der Schwere des Verstoßes und dem wirtschaftlichen Schaden, der dadurch verursacht wurde.

Im Einzelnen können folgende Sanktionen bei Verstößen gegen die DSGVO verhängt werden:

• Verwarnung: Bei einem ersten Verstoß oder bei einem geringfügigen Verstoß kann die Datenschutzbehörde zunächst eine Verwarnung aussprechen.
   
• Bußgelder: Bei schwerwiegenden Verstößen gegen die DSGVO können Bußgelder verhängt werden. Die Höhe der Bußgelder richtet sich nach verschiedenen Faktoren, wie etwa dem Umsatz des Unternehmens oder der Art und Schwere des Verstoßes. Die maximale Höhe der Bußgelder liegt bei bis zu 4 % des weltweiten Jahresumsatzes der Unternehmensgruppe oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist).
   
• Unterlassungs- oder Beseitigungsanordnung: Die Datenschutzbehörde kann eine Anordnung erlassen, mit der das Unternehmen aufgefordert wird, den Verstoß zu beseitigen oder zukünftig zu unterlassen.
   
• Öffentliche Bekanntmachung: Bei besonders schweren Verstößen kann die Datenschutzbehörde die Verstöße öffentlich bekannt machen.
   
• Untersagung der Datenverarbeitung: Im Falle besonders schwerwiegender Verstöße gegen die DSGVO kann die Datenschutzbehörde die Datenverarbeitung des Unternehmens untersagen.

Zusätzlich können Personen, deren Rechte durch Verstöße gegen die DSGVO verletzt wurden, auch Schadenersatzansprüche gegen das Unternehmen geltend machen. Es ist außerdem möglich, dass Wettbewerber oder Verbraucherschutzzentralen Abmahnungen an ein verstoßendes Unternehmen senden, für die das Unternehmen zahlen muss.

Es ist daher wichtig, dass Unternehmen und Organisationen die Anforderungen der DSGVO einhalten und ihre Prozesse und Systeme auf Datenschutzkonformität überprüfen.

Verstöße gegen den Datenschutz können an verschiedene Stellen gemeldet werden, je nachdem wo der Verstoß stattgefunden hat und welche Art von Verstoß es ist. Hier sind einige mögliche Anlaufstellen:

• Bei der betreffenden Organisation: Wenn Du den Verdacht hast, dass ein Unternehmen oder eine Organisation gegen Datenschutzvorschriften verstoßen hat, solltest Du zuerst versuchen, mit der betreffenden Organisation direkt in Kontakt zu treten, um das Problem zu lösen.
   
• Bei der zuständigen Datenschutzbehörde: In Deutschland ist das die Landesdatenschutzbehörde des Bundeslandes, in dem sich das Unternehmen oder die Organisation befindet, das gegen Datenschutzvorschriften verstoßen hat. Die Kontaktdaten der jeweiligen Behörden kannst Du hier finden.
   
• Bei der Polizei: Wenn es sich um einen schweren Verstoß gegen den Datenschutz handelt, der auch strafrechtliche Konsequenzen haben kann, solltest Du die Polizei informieren.
   
• Bei Verbraucherzentralen: Die Verbraucherzentralen können ebenfalls bei Datenschutzverstößen helfen und gegebenenfalls rechtlichen Beistand leisten.

Es ist wichtig zu betonen, dass es in jedem Bundesland unterschiedliche Ansprechpartner gibt, daher macht es Sinn, wenn  Du Dich im Vorfeld über die Zuständigkeiteninformierst.
 

Nein, es gibt keine offizielle Pflicht, die in der Datenschutz-Grundverordnung (DSGVO) steht. Es besteht jedoch eine indirekte Verpflichtung, denn ein Unternehmen muss sicherstellen, dass personenbezogene Daten im Einklang mit den Anforderungen der DSGVO verarbeitet werden, und sollte selbstverständlich auch seine Mitarbeiter in diesem Sinne schulen.

Ziel solcher Schulungen ist es, die Mitarbeiter für den sorgsamen Umgang mit personenbezogenen Daten zu sensibilisieren und ihnen das nötige Wissen und die Fähigkeiten zu vermitteln, um Datenschutzverletzungen zu vermeiden. Datenschutz-Schulungen sollten daher regelmäßig stattfinden, insbesondere für neue Mitarbeiter und bei Änderungen der Datenschutzvorschriften.

Die genauen Anforderungen an Datenschutz-Schulungen können je nach Land und Branche unterschiedlich sein. In der Europäischen Union gibt es jedoch einige Vorgaben, die für alle Unternehmen gelten, die personenbezogene Daten verarbeiten.

Gemäß Artikel 39 der Datenschutz-Grundverordnung (DSGVO) gehört es zu den Aufgaben eines Datenschutzbeauftragten für Unternehmen sicherzustellen, dass die Mitarbeiter regelmäßig geschult werden, um sicherzustellen, dass sie in der Lage sind, ihre Datenschutzpflichten zu erfüllen. Die Schulungen sollten entsprechend den spezifischen Aufgaben und Bedürfnissen der Mitarbeiter angepasst werden.

Mitarbeiter, die personenbezogene Daten verarbeiten, sollten regelmäßig geschult werden. Darüber hinaus kann es erforderlich sein, bei Änderungen der Datenschutzvorschriften oder bei der Einführung neuer Technologien oder Verfahren, die sich auf die Verarbeitung personenbezogener Daten auswirken, noch häufiger Schulungen durchzuführen.

Die Kosten für eine Datenschutzschulung können je nach Umfang und Inhalt der Schulung variieren.

Für Kunden, die sich für das Professional- oder Enterprise-Paket entscheiden, sind Datenschutz-Schulungen selbstverständlich bereits im Preis enthalten; im Basic-Paket können die Schulungen dagegen jederzeit individuell gebucht werden. Die genauen Preise können jedoch je nach individuellem Bedarf variieren.

Es ist jedoch wichtig, darauf hinzuweisen, dass der Preis für die Datenschutzschulung nur ein Teil der von heyData angebotenen Gesamtdienstleistung ist. Für Unternehmen, die mit uns zusammenarbeiten, übernehmen wir auch die Rolle des externen Datenschutzbeauftragten und liefern Unterstützung bei der Umsetzung technischer und organisatorischer Maßnahmen, ein umfassendes digitales Audit und viele weitere Vorteile.

Technische und organisatorische Maßnahmen (TOMs) sind im Datenschutz ein wichtiger Bestandteil, um die Sicherheit personenbezogener Daten zu gewährleisten und Datenschutzverletzungen zu vermeiden.

Technische Maßnahmen beziehen sich auf technische Verfahren und Tools, die dazu dienen, personenbezogene Daten zu schützen. Dazu zählen beispielsweise der Einsatz von Firewalls, Verschlüsselung, Zugangskontrollen und Datensicherung. Technische Maßnahmen sollen sicherstellen, dass personenbezogene Daten vor unbefugtem Zugriff, Manipulation, Verlust oder Zerstörung geschützt werden.

Organisatorische Maßnahmen hingegen umfassen Verfahren und Prozesse, die sicherstellen sollen, dass personenbezogene Daten gemäß den Datenschutzgesetzen verarbeitet werden. Hierzu zählen beispielsweise Richtlinien und Verfahrensanweisungen für den Umgang mit personenbezogenen Daten, die Schulung von Mitarbeitern und die Überwachung der Einhaltung von Datenschutzbestimmungen. Organisatorische Maßnahmen sollen sicherstellen, dass personenbezogene Daten in Übereinstimmung mit den geltenden Gesetzen und Verordnungen verarbeitet werden und dass die Einhaltung der Datenschutzrichtlinien von allen beteiligten Parteien gewährleistet wird.

Wenn du technische und organisatorische Maßnahmen in deinem Unternehmen einführen möchtest, gibt es einige Schritte, denen du folgen solltest:

• Eine Liste von internen Ansprechpartnern erstellen: Wenn du selbst nicht alle technischen Abläufe im Unternehmen kennst, solltest du eine Liste mit Ansprechpartnern erstellen, die dir dabei helfen kann.
   
• TOMs in einer Liste zusammenfassen: Du kannst eine eigene Liste geeigneter Maßnahmen erstellen, die du verwenden kannst, oder du kannst dich auf Experten wie die aus unserem Team verlassen, die dich bei der korrekten Erstellung dieser Dokumentation unterstützen.
   
• Prüfung der Liste: Die Liste sollte regelmäßig darauf überprüft werden, welche TOMs bereits umgesetzt wurden und ob sie angemessen sind. Man soll auch analysieren, welche Maßnahmen fehlen und welche hinzugefügt werden müssen.
   
• Andere Ansprechpartner, intern oder extern, einbeziehen: Wenn du Hilfe brauchst oder unsicher bist, beziehe andere Verantwortliche ein und bespreche die Angemessenheit von Maßnahmen.
   
• Die Maßnahmen dem für die Verarbeitung Verantwortlichen vorstellen: Wenn du nicht selbst die Verantwortung im Rahmen der DSGVO übernimmst, solltest du die entwickelten Maßnahmen der verantwortlichen Person vorstellen und mit ihr besprechen.
   
• Regelmäßige Überprüfung der Maßnahmen: Es sollte mindestens einmal im Jahr überprüft werden, ob die Maßnahmen noch angemessen sind. Dann müssen sie gegebenenfalls aktualisiert werden.

Die Erstellung von TOM kann in der Regel von internen Teams durchgeführt werden, wie IT-Abteilungen oder Datenschutzbeauftragten. Alternativ können Verantwortliche und Auftragsverarbeiter auch externe Datenschutzbeauftragte wie heyData hinzuziehen, um bei der Erstellung und Umsetzung geeigneter TOM zu unterstützen.

mattersOut ist dein Hinweisgebersystem, um beobachtete Rechtsverstöße an eine Vertrauensperson im Unternehmen zu melden. Unternehmen sind nach dem Hinweisgeberschutzgesetzt verpflichtet, eine Möglichkeit zum Melden bestimmter Verstöße anzubieten. Wenn es dich ganz genau interessiert, findest du die komplette Liste möglicher Themen für Deutschland in § 2 Abs. 1 Hinweisgeberschutzgesetz. Es steht dem Unternehmen natürlich frei, eine Whistleblowing-Lösung auch für andere Themen zu öffnen.

Außerdem habt ihr die Möglichkeit, eine Meldung über bei der externen Meldestelle des Bundes abzugeben Als Mitarbeiter:innen solltet ihr euch aber zunächst über mattersOut an euer Unternehmen wenden, wenn innerhalb eures Unternehmens wirksam gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind.

Am 12. Mai 2023 hat der Bundesrat das Hinweisgeberschutzgesetz verabschiedet, welches die nationale Umsetzung der EU-Whistleblower-Richtlinie ist. Es tritt voraussichtlich Mitte Juni 2023 in Kraft. Dieses Gesetz wurde verabschiedet, um Hinweisgeber besser zu schützen und ihnen eine sichere Möglichkeit zu bieten, Missstände bei ihren Arbeitgebern zu melden.

Zunächst müssen Unternehmen ab 250 Beschäftigten interne Hinweisgebersysteme einrichten. Diese Systeme sollen es den Mitarbeitern ermöglichen, Missstände sicher und vertraulich zu melden. Unternehmen mit 50-249 Mitarbeitenden haben eine Übergangszeit bis zum 17. Dezember 2023.

Du kannst eine breite Palette von Fehlverhalten an deine Vertrauensperson melden. Die unten aufgeführten Begriffe kannst du auch im Betreff deiner Meldung nutzen, um den Prozess zu vereinfachen.

• Diskriminierung: Wenn jemand aufgrund bestimmter Merkmale wie Geschlecht, Religion oder ethnischer Herkunft unfair behandelt wird.
• Bestechung: Das Anbieten oder Annehmen von Geld oder Geschenken, um in geschäftlichen Angelegenheiten einen Vorteil zu erzielen.
• Sexuelle Belästigung: Jedes unerwünschte Verhalten mit sexuellem Bezug, das eine andere Person unangenehm berührt oder belästigt.
• Kartellabsprachen: Voreingenommene Entscheidungsfindung zum eigenen Vorteil, etwa bei der Auswahl von Lieferanten oder Partnern.
• Korruption: Der Missbrauch von Macht oder Position für persönlichen Gewinn, oft mit finanziellen oder anderen Vorteilen verbunden.
• Diebstahl: Die unbefugte Entnahme oder Verwendung von Firmeneigentum.
• Machtmissbrauch: Die Nutzung von Macht oder Autorität für persönliche Vorteile, meist auf Kosten der Organisation oder anderer Personen.
• Dokumentenfälschung: Das Manipulieren von Dokumenten, um andere zu täuschen, sei es durch Hinzufügen oder Ändern von Informationen.

Nutze diese Begriffe im Betreff deiner Meldung, um eine schnelle und effektive Bearbeitung sicherzustellen. Mit MattersOut kannst du all diese Vorfälle sicher und anonym melden.
 

Ein anonymes Hinweisgeberschutzsystem bietet den Hinweisgebenden die Möglichkeit, Missstände sicher und vertraulich zu melden, ohne befürchten zu müssen, dass ihre Identität preisgegeben wird. Dies kann dazu beitragen, dass mehr Mitarbeiter bereit sind, Missstände zu melden, da sie sich sicher fühlen und keine negativen Konsequenzen fürchten müssen. Ein solches System kann dazu beitragen, dass Unternehmen schneller auf Missstände reagieren und diese beheben können, was letztendlich dazu beitragen kann, das Vertrauen der Mitarbeiter und der Öffentlichkeit in das Unternehmen zu stärken.

Ja, denn wir als heyData sind ein Compliance Unternehmen, das sich vor allem auf Datenschutz spezialisiert hat und wir verstehen, wie persönliche Daten am besten geschützt werden. Diese Erfahrung und unser Wissen haben wir auch hier einfließen lassen.

Ja, unsere Whistleblowing-Lösung mattersOut ist auch als eigenständiges Produkt buchbar. Sprecht uns einfach an.

Unternehmen im öffentlichen Dienst sowie Städte und Kommunen mit mehr als 10.000 Einwohnerinnen und Einwohnern fallen unter das Gesetz und müssen ab Mitte Juni 2023 Hinweisgebersysteme anbieten. Diese Systeme sollen es den Bürgern ermöglichen, Missstände sicher und vertraulich zu melden.

Das Verfahren der Meldungsabgabe muss mündlich oder schriftlich und auf Wunsch auch persönlich möglich sein.

Die interne Meldestelle muss Hinweisgebenden innerhalb von sieben Tagen den Eingang der Meldung bestätigen.

Innerhalb von drei Monaten muss die Meldestelle die hinweisgebende Person darüber informieren, welche Maßnahmen in Folge ergriffen wurden. Z.B. die Einleitung interner Untersuchungen oder die Weitergabe der Meldung an die zuständige Behörde.

Im Whistleblower-System werden die Meldungen in der Regel von Case Managern, Vertrauenspersonen oder Ombudspersonen entgegengenommen. 

Als potenzielle Case Manager sollten Personen in Betracht gezogen werden, die keine Konflikte mit anderen Tätigkeiten haben. Das bedeutet, dass beispielsweise verantwortliche Positionen in Datenschutzangelegenheiten (DSB), der Geldwäschebekämpfung oder in anderen ähnlichen Bereichen für diese Rolle perfekt geeignet sind.

Idealerweise sollte der Case Manager über Fachkenntnisse im Bereich des Hinweisgeberschutzgesetzes verfügen oder bereit sein, sich in diesem Bereich fortzubilden. Personen mit Erfahrung in der Bearbeitung von sensiblen Informationen und der Gewährleistung der Vertraulichkeit könnten besonders geeignet sein.

Für die Besetzung der Position des Case Managers bietet es sich an, jemanden aus der Personalabteilung oder der Rechtsabteilung in Betracht zu ziehen, sofern sie nicht in einer leitenden Position sind. Personen in diesen Abteilungen haben oft ein Verständnis für Compliance-Fragen und rechtliche Aspekte, die bei der Behandlung von Whistleblower-Meldungen relevant sind.

Ja, es ist wichtig, den Case Manager regelmäßig zu schulen. Wir empfehlen eine Schulung mindestens einmal im Jahr, um sicherzustellen, dass der Case Manager über die erforderliche Fachkunde verfügt und mit den neuesten Entwicklungen im Bereich des Hinweisgeberschutzgesetzes vertraut ist. Durch regelmäßige Schulungen bleiben Case Manager auf dem aktuellen Stand und können effektiv und kompetent mit den eingehenden Meldungen umgehen.

Eine Schulung für Mitarbeitende zum Thema Whistleblowing ist eine empfehlenswerte Maßnahme, um die Nutzung der Whistleblower-Software bekannt zu machen und attraktiv zu gestalten. Es besteht jedoch keine gesetzliche Verpflichtung für Mitarbeitende, die Software zu nutzen, da es ihnen gesetzlich erlaubt ist, sich direkt an staatliche Meldestellen zu wenden. Unternehmen bevorzugen jedoch in der Regel, dass interne Missstände intern behandelt werden.

Auf Anfrage stellen wir Schulungen für Mitarbeitende bereit, um sie über das Whistleblowing-Verfahren, die Vorteile der internen Meldung von Missständen und den sicheren Umgang mit der Whistleblower-Software zu informieren. In solchen Schulungen werden in der Regel die Bedeutung von Whistleblowing für die Unternehmensintegrität, die Vertraulichkeit der Meldungen, der Schutz vor Repressalien sowie die möglichen Konsequenzen von Missbrauch oder Falschmeldungen behandelt.

Die Schulungen sollen Mitarbeitende dazu ermutigen, potenzielle Missstände oder illegales Verhalten intern zu melden, anstatt externe Stellen aufzusuchen. Durch die Schulung erhalten die Mitarbeitenden das notwendige Wissen und die Sensibilisierung, um mögliche Risiken und Missstände frühzeitig zu erkennen und angemessen zu handeln.

Es wird nicht empfohlen, eine Datenschutzerklärung einfach von einer anderen Website zu kopieren. Jede Website hat ihre eigenen Anforderungen und Praktiken im Umgang mit personenbezogenen Daten. Eine generische Datenschutzerklärung könnte nicht euren spezifischen Bedürfnissen entsprechen und rechtliche Konsequenzen haben. Es ist ratsam, eine maßgeschneiderte Datenschutzerklärung für eure Website zu erstellen.

Es ist wichtig, eure Datenschutzerklärung regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie den aktuellen gesetzlichen Anforderungen entspricht und eure Geschäftspraktiken widerspiegelt. Änderungen in der Art und Weise, wie ihr personenbezogene Daten erfasst oder verwendt, sollten in eurer Datenschutzerklärung transparent kommuniziert werden.

Wenn du Google Analytics verwenden möchtest, um Daten über deine Website-Besucher zu sammeln, gibt es einige Datenschutzaspekte, die du beachten solltest. Hier sind einige wichtige Punkte:

• Datenschutzerklärung aktualisieren: Stelle sicher, dass du klar und transparent darlegst, welche Arten von Daten du mit Google Analytics erhebst, wie du sie verwendest und wie Besucher:innen ihre Datenschutzrechte ausüben können.
• Anonymisierung der IP-Adresse: Google Analytics erfasst standardmäßig die IP-Adressen der Besucher:innen. Um die Anonymität der Nutzer:innen zu gewährleisten, musst du die IP-Anonymisierungsfunktion in Google Analytics aktivieren. Diese Funktion entfernt einen Teil der IP-Adresse vor der Verarbeitung.
• Auftragsverarbeitungsvertrag: Wenn du Google Analytics nutzt, bist du als Betreiber der Website für die Verarbeitung der Daten verantwortlich. Vergewissere dich, dass du eine Auftragsverarbeitungsvertrag mit Google hast, um sicherzustellen, dass deine Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden.
• Schränke die Datenübermittlung ein: Vermeide die Übermittlung personenbezogener Daten an Google Analytics. Stelle sicher, dass keine sensiblen Daten gesammelt oder an Google Analytics gesendet werden.
• Datenspeicherung begrenzen: Überprüfe die Einstellungen deines Google-Analytics-Kontos und stelle sicher, dass du die Daten nur so lange speicherst, wie es für deine Analysezwecke notwendig ist.

Ein Datenschutz-Audit ist notwendig, um sicherzustellen, dass Organisationen personenbezogene Daten in rechtmäßiger und sicherer Weise verarbeiten. Die DSGVO schreibt erhebliche Verpflichtungen vor, um personenbezogene Daten zu schützen. Durch die Durchführung eines Datenschutz-Audits kannst du die Einhaltung der Vorschriften sicherstellen, Risiken erkennen und notwendige Verbesserungen umsetzen.

Ein Datenschutz-Audit kann intern durch den Datenschutzbeauftragten oder das Datenschutzteam einer Organisation durchgeführt werden. Alternativ kann die Organisation auch externe Auditoren oder Datenschutzbeauftragte engagieren, die sich auf Datenschutz und DSGVO-Konformität spezialisiert haben. Die Wahl hängt von den Ressourcen, der Expertise der Organisation und den spezifischen Anforderungen ab.

Ein Datenschutz-Audit umfasst in der Regel folgende wesentliche Bestandteile:

• Überprüfung der Datenschutzrichtlinien und -verfahren.
• Bewertung der Datenverarbeitungsaktivitäten und der rechtlichen Grundlage für die Verarbeitung.
• Prüfung der Datenschutz- und Sicherheitsmaßnahmen.
• Auswertung der Verfahren zur Wahrung der Rechte betroffener Personen und zur Einhaltung der DSGVO.
• Analyse des Managements von Datenschutzverletzungen und des Benachrichtigungsprozesses.
• Bewertung von Verträgen zur Auftragsverarbeitung mit Dienstleistern und Dritten.
• Identifizierung von Lücken oder Nichtkonformitäten.

Die Häufigkeit von Datenschutz-Audits hängt von verschiedenen Faktoren ab, wie beispielsweise der Größe der Organisation, Art der Datenverarbeitungsaktivitäten und dem mit der Datenverarbeitung verbundenen Risiko. Obwohl die DSGVO keine spezifische Frequenz vorschreibt, wird empfohlen, regelmäßige Audits durchzuführen, mindestens jährlich wie bei heyData oder bei wesentlichen Änderungen der Datenverarbeitungsoperationen.

Nach einem Datenschutz-Audit erhält die Organisation einen detaillierten Bericht über die Ergebnisse, Empfehlungen und identifizierten Nichtkonformitäten. Basierend auf diesem Bericht kann die Organisation einen Aktionsplan entwickeln, um die während des Audits festgestellten Probleme anzugehen. Die erforderlichen Änderungen und Verbesserungen sollten dann umgesetzt werden, um den Datenschutz zu stärken und die Einhaltung der DSGVO sicherzustellen.

Ja, die Missachtung der Datenschutz-Grundverordnung kann zu erheblichen Geldstrafen führen. Abhängig von Art und Schwere des Verstoßes können Organisationen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Jahresumsatzes belegt werden – je nachdem, welcher Betrag höher ist. Es ist für Organisationen entscheidend, den Datenschutz zu priorisieren und regelmäßige Audits durchzuführen, um das Risiko von Datenschutzverstößen zu minimieren.

Die regelmäßige Durchführung von Datenschutz-Audits zeigt das Engagement einer Organisation, personenbezogene Daten zu schützen und den Datenschutzbestimmungen gerecht zu werden. Dadurch wird das Vertrauen von Partnern und Kunden gestärkt, da garantiert wird, dass ihre Daten verantwortungsvoll und sicher behandelt werden. Durch die Durchführung von Audits und die Demonstration der DSGVO-Konformität können Organisationen ihren Ruf verbessern und stärkere Beziehungen zu ihren Interessengruppen aufbauen.

Obwohl die DSGVO keinen spezifischen Rahmen für Audits vorgibt, gibt es Leitlinien und bewährte Verfahren, die Organisationen bei der Durchführung von Datenschutzaudits unterstützen. So hat beispielsweise die Internationale Organisation für Normung (ISO) die Norm ISO/IEC 27701 entwickelt, die Leitlinien für die Prüfung von Datenschutzmanagementsystemen enthält. Darüber hinaus können nationale Datenschutzbehörden und Datenschutzorganisationen spezifische Leitlinien anbieten, die an die lokalen Anforderungen angepasst sind.

Ja, Organisationen können externe Experten wie Datenschutzbeauftragte oder Auditoren hinzuziehen, die sich auf DSGVO-Richtlinien und Datenschutz-Themen spezialisiert haben. Diese Experten können wertvolle Einblicke und Fachkenntnisse liefern und eine gründliche und unabhängige Bewertung der Datenschutzpraktiken einer Organisation gewährleisten.

Die Häufigkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von mehreren Faktoren ab, darunter die Art der Datenverarbeitung, das Auftreten von Änderungen oder neuen Risiken und die Relevanz der Verarbeitung für die Privatsphäre. Generell ist es ratsam, die DSFA regelmäßig zu überprüfen und zu aktualisieren.

Artikel 35 Absatz 2 der DSGVO bestimmt, dass der „Verantwortliche“ die DSFA durchführt.
In der Regel ist der für die Datenverarbeitung Verantwortliche dafür zuständig, die Datenschutz-Folgenabschätzung durchzuführen und den Rat des Datenschutzbeauftragten, intern oder extern, einzubeziehen.

Das Versäumnis, eine erforderliche Datenschutz-Folgenabschätzung durchzuführen, kann zu erheblichen Strafen nach der DSGVO führen, einschließlich Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Die DSFA besteht in der Regel aus drei Hauptteilen:

• Eine systematische Beschreibung der geplanten Datenverarbeitungsvorgänge und der Zwecke der Verarbeitung.
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die vorgesehenen Abhilfemaßnahmen, Garantien und Mechanismen zur Minderung dieser Risiken.

Eine Datenschutzfolgenabschätzung ist notwendig, wenn Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bergen, wie z. B. bei sensiblen Daten. Die Verarbeitung sensibler Daten erfordert eine sorgfältige Bewertung der damit verbundenen Gefahren und potenziellen Auswirkungen auf die Privatsphäre, um die Einhaltung der Datenschutzvorgaben zu gewährleisten wie zum Beispiel:

• Umfassende Verarbeitung biometrischer Daten zur eindeutigen
• Identifizierung natürlicher Personen
• Umfassende Verarbeitung genetischer Daten
• Umfassende Verarbeitung von Daten zu dem Aufenthaltsort der betroffenen Personen.

Der Datenschutzbeauftragte spielt eine wesentliche Rolle bei der Durchführung der DSFA. Er oder sie berät den Verantwortlichen oder Auftragsverarbeiter hinsichtlich der Durchführung der DSFA, überprüft die Ergebnisse und stellt sicher, dass die DSFA in Übereinstimmung mit der DSGVO durchgeführt wird.

Nicht alle Unternehmen sind zur Durchführung einer DSFA verpflichtet. Die Pflicht zur Durchführung einer DSFA ergibt sich aus Art. 35 DSGVO und betrifft nur Verarbeitungsvorgänge, die insbesondere unter Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Obwohl es möglich ist, eine DSFA selbst durchzuführen, ist es aufgrund der Komplexität der Anforderungen der DSGVO oft empfehlenswert, einen Experten für Datenschutzrecht oder einen Datenschutzbeauftragten zu Rate zu ziehen.

Die DSGVO bietet eine Reihe von Leitlinien für die Durchführung einer DSFA. Es ist wichtig, dass du dich mit diesen Leitlinien vertraut machst und sie in deine DSFA einbeziehst. Darüber hinaus kann die Beratung durch einen externen Datenschutzexperten oder Datenschutzbeauftragten helfen, die Konformität sicherzustellen.

Das DSG gilt für alle datenschutzrechtlichen Fragen, die "Auswirkungen auf die Schweiz haben, auch wenn sie im Ausland ausgelöst werden".
Daher ist dieses Gesetz für alle Unternehmen weltweit relevant, die z.B. Daten von Schweizer Bürgern verarbeiten.

Im Gegensatz zur DSGVO ist die Datenverarbeitung nach dem DSG generell erlaubt und bedarf keiner Genehmigung oder Zustimmung, sofern sie rechtmäßig erfolgt. Das schweizerische Datenschutzgesetz stellt strikte Anforderungen an die Bearbeitung von personenbezogenen Daten. Vor allem darf die Datenbearbeitung die Persönlichkeit der betroffenen Person nicht unzulässig verletzen (Art. 30 DSG).

In solchen Fällen muss ein Vertreter in der EU benannt werden, wenn personenbezogene Daten von Personen in der EU betroffen sind. Ebenso muss ein Vertreter in der Schweiz ernannt werden, wenn ein ausländisches Unternehmen Daten in der Schweiz verarbeitet.

Welches sind weitere Unterschiede und Gemeinsamkeiten zwischen der europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen schweizerischen Bundesgesetz über den Datenschutz (DSG)?

Nachfolgend werden die wichtigsten Unterschiede und Gemeinsamkeiten zwischen der europäischen Datenschutz-Grundverordnung (DSGVO) und dem neuen schweizerischen Bundesgesetz über den Datenschutz (DSG) aufgeführt.

• Geltungsbereich: Die DSGVO gilt für alle Unternehmen, die in der EU ansässig sind, sowie für Unternehmen außerhalb der EU, die Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern überwachen. Das DSG gilt analog nur für Unternehmen, die in der Schweiz ansässig sind oder Daten von Personen in der Schweiz verarbeiten.
• Datenschutzbeauftragter: Die DSGVO verlangt von Unternehmen, die bestimmte Arten von Datenverarbeitung durchführen, einen Datenschutzbeauftragten zu benennen. Das DSG hat keine explizite Anforderung für einen Datenschutzbeauftragten, obwohl es empfiehlt, dass Organisationen, die regelmäßig Personendaten verarbeiten, einen ernennen.
• Rechte der betroffenen Personen: Beide Gesetze gewähren den betroffenen Personen ähnliche Rechte, einschließlich des Rechts auf Zugang, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.
• Einwilligung: Bei beiden Gesetzen ist eine informierte, spezifische, freiwillige und unmissverständliche Einwilligung als Voraussetzung für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten möglich, wobei sowohl das DSG als auch die DSGVO besondere Anforderungen an die Verarbeitung besonderer Kategorien von Daten stellen.
• Datentransfer außerhalb der Schweiz/EU: Beide Gesetze enthalten Vorschriften für den Transfer personenbezogener Daten außerhalb der Schweiz bzw. der EU. Die Länder, in die Personendaten auf Grundlage von Angemessenheitsbeschlüssen übermittelt werden dürfen, können jedoch voneinander abweichen, wobei beide Gesetze Standardvertragsklauseln als Instrument der Datenübermittlung vorsehen.

Zum Schluss sei noch bemerkt, dass trotz der Unterschiede zwischen der DSGVO und dem DSG, die Schweiz bemüht ist, ein Datenschutzniveau zu gewährleisten, das dem in der EU vergleichbar ist, um den freien Datenverkehr zwischen der Schweiz und der EU zu erleichtern. Die genauen Details und Unterschiede können sich jedoch je nach genauer Auslegung und Anwendung der Gesetze in bestimmten Situationen unterscheiden.

Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Rechtsrahmen, der den Schutz personenbezogener Daten in Unternehmen und Organisationen regelt. Sie trat am 25. Mai 2018 in Kraft und enthält Regeln für die Verarbeitung, Speicherung und Übermittlung personenbezogener Daten von in der EU ansässigen Personen.

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig davon, ob das Unternehmen seinen Sitz innerhalb oder außerhalb der EU hat. Es betrifft sowohl kleine und mittlere Unternehmen als auch große Konzerne.

Die DSGVO gewährt den Personen eine Reihe von Rechten, darunter das Recht auf Auskunft über ihre gespeicherten Daten, das Recht auf Berichtigung falscher Daten, das Recht auf Löschung ihrer Daten („Recht auf Vergessenwerden“), das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch gegen die Verarbeitung ihrer Daten.

Unternehmen müssen verschiedene Maßnahmen ergreifen, um die DSGVO einzuhalten. Dazu gehören die Benennung eines Datenschutzbeauftragten (falls erforderlich), die Durchführung von Datenschutz-Folgenabschätzungen, die Implementierung angemessener technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, die Einholung der Einwilligung der betroffenen Personen für die Datenverarbeitung und die Meldung von Datenschutzverletzungen.

Bei Verstößen gegen die DSGVO können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Die tatsächliche Höhe der Strafe hängt von der Art, Schwere und Dauer des Verstoßes ab.

Ein Auftragsverarbeiter ist eine Person oder Organisation, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Der Auftragsverarbeiter handelt nach den Anweisungen des Verantwortlichen und unterliegt bestimmten rechtlichen Verpflichtungen gemäß der DSGVO.

Die Dauer, für die personenbezogene Daten gespeichert werden dürfen, hängt vom Zweck der Datenverarbeitung ab. Unternehmen müssen personenbezogene Daten so lange speichern, wie es zur Erfüllung des Verarbeitungszwecks erforderlich ist. In einigen Fällen können spezifische Aufbewahrungsfristen durch andere Gesetze oder Vorschriften vorgegeben sein.

Eine Datenpanne bezieht sich auf einen Sicherheitsvorfall, bei dem personenbezogene Daten unbeabsichtigt oder rechtswidrig zugänglich gemacht, offengelegt, verändert oder zerstört werden. Wenn eine Datenpanne auftritt und hohe Risiken für die betroffenen Personen zu erwarten sind, besteht die Verpflichtung, diese zu bewerten und der zuständigen Aufsichtsbehörde und in einigen Fällen den betroffenen Personen zu melden.

Intern ist es eine wichtige Aufgabe eines internen oder externen Datenschutzbeauftragten nach Art. 39 Abs. 1 DSGVO, auf die Einhaltung der Datenschutzbestimmungen hinzuweisen. 17 Aufsichtsbehörden überwachen die Einhaltung der Datenschutzbestimmungen auf staatlicher Seite.

Kunden von heyData bekommen das Beste aus der Verbindung einer hilfreichen Datenschutz-Software und ganz persönlicher Experten-Unterstützung. Mit der heyData-Plattform bekommst du deinen Datenschutz unter Kontrolle. Gleichzeitig sind unsere Fachanwälte wahre Experten in ihrem Feld und kennen sich auch mit den Besonderheiten deines Unternehmens aus.

Es ist empfehlenswert, ein Verarbeitungsverzeichnis (VVT) so früh wie möglich zu erstellen, idealerweise bereits bei Beginn deiner Geschäftstätigkeit. Dadurch kannst du sicherstellen, dass du von Beginn an die DSGVO-Vorschriften erfüllst und so das Risiko von Verstößen erheblich reduzierst.

Ein Verarbeitungsverzeichnis bietet einige entscheidende Vorteile. Es hilft, Datenschutzverletzungen zu minimieren, was potenzielle finanzielle Strafen und Reputationsverluste verhindert. Außerdem fördert es das Vertrauen deiner Kunden und Partner, was langfristige Beziehungen und eine positive Unternehmensreputation begünstigt. Darüber hinaus sorgt es für eine klare interne Dokumentation, die für Datenschutz-Audits und die Zusammenarbeit mit Datenschutzbehörden von Vorteil ist.

Die Komplexität hängt von der Größe und dem Umfang des Unternehmens ab. Für kleine und mittlere Unternehmen kann er überschaubar sein, während größere Unternehmen mehr Aufwand betreiben müssen. Aus diesen Gründen wenden sich unsere Kunden sehr oft an uns, wenn sie schnelle und effektive Unterstützung benötigen, damit sie nicht Wochen mit der Erstellung dieser Dokumente verbringen müssen.

Ja, ein Verarbeitungsverzeichnis sollte regelmäßig aktualisiert werden. Da sich Geschäftsprozesse ändern können und neue Datenschutzanforderungen entstehen, ist es wichtig, das Verzeichnis auf dem neuesten Stand zu halten. Eine regelmäßige Überprüfung und Aktualisierung gewährleistet, dass Datenschutzrisiken weiterhin angemessen bewertet und verwaltet werden.

Obwohl die Begriffe “Verzeichnis von Verarbeitungstätigkeiten“ und „Verfahrensverzeichnis“ oft synonym verwendet werden, gibt es einen feinen Unterschied zwischen beiden.

Ein Verarbeitungsverzeichnis, wie bereits beschrieben, ist eine detaillierte Auflistung aller Verarbeitungstätigkeiten von personenbezogenen Daten in einem Unternehmen gemäß den Anforderungen der DSGVO. Es enthält Informationen über den Zweck der Datenverarbeitung, die beteiligten Personen und die vorgesehenen Aufbewahrungsfristen, um nur einige zu nennen.

Ein Verfahrensverzeichnis hingegen stammt aus der Zeit vor der DSGVO und war eine Anforderung des Bundesdatenschutzgesetzes (BDSG). Es hatte einen ähnlichen Zweck wie das Verarbeitungsverzeichnis, war jedoch weniger detailliert und umfassend.

Gemäß Artikel 4 - Nummer 12 - der Datenschutz-Grundverordnung ist eine Datenschutzverletzung eine Verletzung der Sicherheit, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt.

Es kann komplex sein, eine Datenschutzverletzung zu identifizieren. Anzeichen können ungewöhnliche Systemaktivitäten, Berichte über gestohlene oder verlorene Geräte oder unerklärlicher Datenverlust sein. Gemäß Artikel 33 Absatz 1 der DSGVO ist eine regelmäßige Überwachung erforderlich, um solche Vorfälle zu identifizieren.

Gemäß Artikel 33 Absatz 1 der Datenschutz-Grundverordnung müssen Sie, wenn Sie eine Datenschutzverletzung entdecken, die zuständige Datenschutzbehörde unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informieren. Dies sollte auch Maßnahmen zur Schadensbegrenzung umfassen, wie die Änderung von Passwörtern oder die Sperrung des Zugangs.

Die Nichtmeldung einer Datenschutzverletzung kann gemäß Artikel 83 der DSGVO zu erheblichen Bußgeldstrafen führen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Als betroffene Person hast du in erster Linie das Recht, gemäß Artikel 34 der DSGVO über die Verletzung des Datenschutzes informiert zu werden, sowie das Recht, gemäß Artikel 77 der DSGVO eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Schließlich hast du möglicherweise auch Anspruch auf eine finanzielle Entschädigung.

Der Verantwortliche ist die Person oder Organisation, die die Zwecke und Mittel der Datenverarbeitung festlegt. Der Auftragsverarbeiter ist die Person oder Organisation, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Ein AVV ist immer dann erforderlich, wenn ein Verantwortlicher personenbezogene Daten an einen Auftragsverarbeiter übermittelt, um diese verarbeiten zu lassen. Das gilt für Dienstleistungen wie Cloud-Speicher, IT-Support, Zahlungsabwicklung und andere Verarbeitungstätigkeiten für personenbezogene Daten.

Ja, gemäß Artikel 28 Absatz 9 der Datenschutz-Grundverordnung können AVVs schriftlich oder in elektronischer Form abgeschlossen werden.

Das Fehlen eines rechtmäßigen AVV zwischen Verantwortlichem und Auftragsverarbeiter kann eine Verletzung der DSGVO darstellen und zu rechtlichen Konsequenzen führen, einschließlich Bußgelder.

Der AVV sollte so lange aufbewahrt werden, wie die Datenverarbeitung zwischen Verantwortlichem und Auftragsverarbeiter andauert und darüber hinaus für einen angemessenen Zeitraum, um die Einhaltung der DSGVO nachzuweisen.

Ja, aber dies erfordert die ausdrückliche Genehmigung des Verantwortlichen und klare Regelungen über die Verantwortlichkeiten und Datenschutzpflichten des Sub-Auftragsverarbeiters.

• Landesdatenschutzbeauftragter: Diese Person ist eine vom Landtag ernannte Behörde, die für die Überwachung und Durchsetzung der Datenschutzgesetze in einem bestimmten Bundesland in Deutschlandzuständig ist. Sie bieten Beratung, führen Kontrollen durch und sind die ersten Ansprechpartner bei Beschwerden von Bürgern. Sie sind nicht direkt mit einem bestimmten Verein oder Unternehmen verbunden.
• Datenschutzbeauftragter im Verein: Dies ist eine Person, die von einem Verein ernannt wird, um sicherzustellen, dass die Organisation die Datenschutzgesetze einhält. Diese Person ist für die Schulung der Mitarbeiter, die Überwachung der Datenverarbeitung und die Kommunikation mit der Aufsichtsbehörde verantwortlich.

Die Antwort darauf ist kompliziert, da sie von verschiedenen Faktoren abhängt. Artikel 5, Absatz 1 der DSGVO spricht von einer "angemessenen" Dauer, die sich nach dem Zweck der Datenverarbeitung richtet. Unabhängig davon müssen gesetzliche Aufbewahrungsfristen beachtet werden.

Ja, du darfst, aber nicht uneingeschränkt. Nach dem Wettbewerbsgesetz ist oft eine Einwilligung notwendig.Diese sollte eingeholt werden und die Datenschutzerklärung des Vereins sollte hierüber transparent informieren.

Vereine sind verpflichtet, alle Personen, deren Daten sie verarbeiten, umfassend zu informieren. Dazu gehört, welche Daten erfasst werden, warum sie erfasst werden und wie lange sie gespeichert werden.

In konkreten Fällen, wenn keine andere Rekordzugrundlage einschlägig ist, muss der Verein, wenn er personenbezogene Daten für bestimmte Zwecke nutzen möchte, die ausdrückliche, informierte und eindeutige Einwilligung der betroffenen Personen einholen.

In Fällen, in denen die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen könnte, ist eine Datenschutz-Folgenabschätzung erforderlich. Diese bewertet die Risiken und legt Maßnahmen zur Minderung fest.

In der Regel ist der Steuerberater selbst für die Einhaltung der DSGVO verantwortlich. Dies gilt auch dann, wenn der Steuerberater die personenbezogenen Daten im Auftrag eines Dritten verarbeitet, z. B. eines Unternehmens oder einer Privatperson. Der Steuerberater kann sich jedoch von einem externen Datenschutzbeauftragten, wie die von heyData angebotenen Experten, unterstützen lassen.

Steuerberater dürfen nur solche personenbezogenen Daten verarbeiten, die zur Erfüllung ihrer berufsrechtlichen Aufgaben erforderlich sind. Dazu gehören insbesondere Daten, die zur Erstellung von Steuererklärungen, zur Prüfung von Jahresabschlüssen und zur Beratung von Mandanten erforderlich sind. 

Steuerberater müssen die Mandanten über die Verarbeitung ihrer personenbezogenen Daten umfassend informieren. Dazu müssen sie den Mandanten insbesondere die folgenden Informationen zur Verfügung stellen:

• die Zwecke der Datenverarbeitung
• die Kategorien der personenbezogenen Daten, die verarbeitet werden
• die Empfänger der personenbezogenen Daten
• die Dauer der Speicherung der personenbezogenen Daten
• die Rechte der Mandanten

Steuerberater müssen den Mandanten die in der DSGVO vorgesehenen Rechte gewährleisten. Dazu gehören insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit.

Bei der Übermittlung personenbezogener Daten in Drittländer müssen Steuerberater sicherstellen, dass ein angemessenes Schutzniveau für die Daten besteht. Dies kann durch eine vertragliche Vereinbarung mit dem Empfänger der Daten oder durch die Anwendung eines dem EU-Datenschutzniveau vergleichbaren Rechtssystems in dem Drittland erreicht werden.

Bei Verstößen gegen die DSGVO müssen Steuerberater die zuständigen Aufsichtsbehörden informieren. Darüber hinaus müssen sie in einigen Fällen auch die betroffenen Personen informieren.

Bei Verstößen gegen die DSGVO können empfindliche Sanktionen verhängt werden. So kann beispielsweise ein Bußgeld von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden.

Nein, heyAcademy ist kein eigenständiges Produkt, sondern ein Add-on unserer All-in-One Compliance-Lösung. Es wurde speziell entwickelt, um in die bestehende Compliance-Lehrumgebung integriert zu werden und eine nahtlose, zentralisierte Lernerfahrung sowohl für Administratoren als auch für Nutzer zu bieten. Als Erweiterung unserer Compliance-Lösung ermöglicht es heyAcademy, Datenschutzschulungen effizienter und zielgerichteter zu gestalten.

Ja, heyAcademy ist als Add-on verfügbar, unabhängig vom bestehenden Paket, das du bei heyData hast. Bestehende heyData-Admins können heyAcademy für ihre Mitarbeiter:innen direkt in der Plattform aktivieren oder deaktivieren, wodurch eine flexible und nahtlose Erweiterung deines Datenschutzmanagements ermöglicht wird.

Falls du weitere Fragen hast oder an einer Demo von heyAcademy interessiert bist, zögere nicht, uns zu kontaktieren. Wir helfen dir gerne weiter, um die Datenschutzkompetenz in deinem Unternehmen auf das nächste Level zu heben.

Mit heyAcademy kannst du einfach und intuitiv Kurse erstellen, Inhalte auswählen und sie direkt bestimmten Personen oder Teams zuweisen. Die Plattform bietet eine zentrale Verwaltungsoberfläche, die die Organisation von Schulungen vereinfacht.

Unsere Preisstruktur ist flexibel und basiert auf der Größe deines Teams. Wir bieten jährliche und monatliche Zahlungsoptionen, um dir mehr Flexibilität zu bieten. Die Preise reichen ab 399 € pro Jahr (es gibt auch monatliche Zahlungsoptionen mit entsprechenden Preisen).

Der Zugang erfolgt über die Kursverwaltungsseite in der heyData Plattform. Sobald heyAcademy für dein Unternehmen aktiviert ist, erscheint ein „Kurs erstellen“-Button.

Nach Abschluss eines Kurses erhalten die Teilnehmer*innen ein einzigartiges Zertifikat, das du in heyAcademy erstellen kannst, das ihr erworbenes Wissen bestätigt und auf Plattformen wie LinkedIn geteilt werden kann.

In der Datenschutzerklärung sollten die Informationen über Cookies kurz und klar die folgenden Punkte enthalten:

• Was sind Cookies? Kurze Erklärung ihrer Funktion (Speicherung von Nutzerpräferenzen, Verbesserung des Nutzererlebnisses).
• Cookie-Typen: Unterscheidung zwischen notwendigen, Leistungs-, Funktions- und Werbe-Cookies.
• Wahlmöglichkeiten der Nutzer: Anweisungen, wie die Nutzer Cookies annehmen oder ablehnen oder ihre Einstellungen anpassen können.
• Einverständnis: Beschreibung, wie die Zustimmung der Nutzer*innen eingeholt wird.
• Änderungen mitteilen: Hinweis auf mögliche Aktualisierungen der Cookie-Richtlinie.
• Kontakt: Kontaktinformationen für Rückfragen.

Diese Punkte sollten den Nutzern helfen, deine Cookie-Praktiken schnell zu verstehen und ihre Datenschutzeinstellungen effektiv zu verwalten.

Der Auditbericht informiert über notwendige Angaben im Cookie-Banner, Implementierungsvorschläge und enthält einen Beispieltext für das Cookie-Banner.

Bei Anfragen hilft heyData Kunden bei der Kategorisierung von Cookies und weist auf damit verbundene Risiken hin.

Nein, heyData übernimmt nicht die Kategorisierung von nicht notwendigen Cookies oder die vollständige technische Einrichtung des Cookie-Banners.

Cookies für Spracheinstellungen, Warenkorb, Suchbegriffe, Log-in-Daten und Zahlungsabwicklung (ohne die Analyse des Nutzerverhaltens) sowie Flash-Cookies für Medieninhalte dürfen ohne Einwilligung gesetzt werden. Dies sind Cookies, die für den Betrieb einer Website und deren grundlegende Funktionen unerlässlich sind.

Ein Löschkonzept unter der DSGVO ist ein systematischer Plan, der festlegt, wie personenbezogene Daten, die nicht mehr benötigt werden oder deren Aufbewahrungsfrist abgelaufen ist, sicher und datenschutzkonform gelöscht werden. Es gewährleistet, dass Daten nur so lange wie nötig gespeichert werden und unterstützt die Einhaltung der Datenschutzprinzipien der DSGVO.

Eine Löschfrist ist einfach der Zeitraum, der für das endgültige Löschen bestimmter Datentypen oder personenbezogener Informationen festgelegt wird. Dieser Zeitraum wird durch den Beginn der Datenverarbeitung und die festgelegte Aufbewahrungsfrist bestimmt. Rechtliche Verpflichtungen für bestimmte Datentypen können auch zur Definition von Löschfristen beitragen.

Um die Dokumentations- und Rechenschaftspflichten zu erfüllen, ist es entscheidend, das Löschkonzept regelmäßig zu überprüfen und zu aktualisieren. Regelmäßige Überprüfungen stellen sicher, dass die Fristen für die Löschung personenbezogener Daten nicht nur eingehalten werden, sondern auch auf dem neuesten Stand bleiben.

Eine unzureichende Datenverarbeitung in deinem Unternehmen gemäß den DSGVO-Standards kann schwerwiegende Folgen haben. Eine anfängliche Nichteinhaltung kann zu einer Verwarnung führen, aber wenn die unzureichenden Praktiken fortgesetzt werden, kann dies zu ernsteren Konsequenzen führen, einschließlich möglicher Verweise, vorübergehender oder dauerhafter Verbote der Datenverarbeitung und erheblicher finanzieller Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens.

Zu einem wirksamen Löschkonzept gehören die Identifizierung aller personenbezogenen Daten, die dein Unternehmen verarbeitet, die Festlegung von Aufbewahrungsfristen auf der Grundlage der gesetzlichen Bestimmungen und des Zwecks der Verarbeitung sowie die Implementierung sicherer Löschverfahren. Wichtig sind auch regelmäßige Schulungen für die Beschäftigten und die Einrichtung von Verfahren zur Überprüfung und Aktualisierung des Konzepts.

Ja, die DSGVO schreibt vor, dass personenbezogene Daten sowohl in digitaler als auch in physischer Form sicher gelöscht werden müssen. Digitale Daten sollten so gelöscht werden, dass sie nicht wiederhergestellt werden können, und physische Dokumente sollten so vernichtet werden, dass die Informationen nicht mehr lesbar sind.

Prüfe den Antrag sorgfältig, ermittle alle Orte, an denen die betreffenden Daten gespeichert sind, und lösche die Daten gemäß deinem Löschkonzept. Dokumentiere den Vorgang und informiere den Antragsteller, dass die Löschung durchgeführt wurde.
 

Ein Datenschutz-Siegel ist wie ein Zertifikat, das an Unternehmen vergeben wird, die nachweislich hohe Datenschutzstandards einhalten und DSGVO-konform sind. Es dient als sichtbares Zeichen für dein Engagement zum Schutz der personenbezogenen Daten deiner Kunden und Partner.

Die Dauer des Prozesses kann variieren und hängt vom aktuellen Stand deiner Datenschutzmaßnahmen und der Größe deines Unternehmens ab. heyData ist bestrebt, den Prozess so effizient und reibungslos wie möglich zu gestalten und arbeitet mit dir zusammen, um einen realistischen Zeitplan zu erstellen.

Ja, das Siegel ist an die laufende Einhaltung der DSGVO-Standards gebunden. heyData bietet laufende Überwachung und Unterstützung, um sicherzustellen, dass dein Unternehmen auch nach Erhalt des Siegels die Vorschriften einhält.

Das Datenschutz-Siegel stärkt das Vertrauen deiner Kunden, da es zeigt, dass du ihre personenbezogenen Daten ernst nimmst. Das kann die Kundenbindung verbessern und potenzielle Kunden ermutigen, sich für deine Dienstleistungen oder Produkte zu entscheiden.

Nein, heyData stellt die Werkzeuge für die Erlangung der Datenschutz-Siegel zur Verfügung und bietet sie dir kostenlos an, wenn du eines unserer Professional- oder Enterprise-Pakete erwirbst, in denen wir bereits ein umfassendes Paket anbieten, um dein Unternehmen datenschutzkonform aufzustellen.

• Immer verfügbar: Keine Codes mehr in E-Mails oder Dokumenten. Dein Siegelcode ist jetzt direkt auf der heyData-Plattform verfügbar.
• Erinnerungsfunktion: Du hast das Siegel vergessen? Wir erinnern dich daran, es hinzuzufügen, damit du nichts verpasst.
• Mehrsprachige Optionen: Wähle zwischen Englisch und Deutsch. Du brauchst eine andere Sprache? Sag uns einfach Bescheid.
• Unterstützung für mehrere Niederlassungen: Du hast mehr als eine Geschäftseinheit? Kein Problem, wir haben für jede von ihnen eine eigene Versiegelungslösung.

Ja, eine Datenverarbeitungsvereinbarung ist für alle deine Anbieter erforderlich, um sicherzustellen, dass deine Anbieter die DSGVO einhalten, und um den Austausch personenbezogen Daten zwischen euch und den Anbieter zu regeln.

• Datenübertragungen der Dienste
• Risiken bei der Datenverarbeitung
• Mögliche Unterauftragsverarbeiter
• Datenverarbeitungsverträge, sowie Datenschutz- und Sicherheitsinformationen
   

Mit unserem Vendor Risk Management kannst du sicherstellen, dass deine Dienstleister und Auftragsverarbeiter die Anforderungen der DSGVO erfüllen und jederzeit ein angemessenes Datenschutzniveau gewährleisten. Wir behalten deine Dienstleister regelmäßig im Auge, sodass du dir keine Sorgen über unvorhergesehene Änderungen machen musst.

Unser Vendor Risk Management ist nahtlos in unsere Plattform und andere Funktionen integriert, daher kann es derzeit nicht separat erworben werden.

Ja, in den Basis- und Professional-Paketen ist die Nutzung des Tools allerdings eingeschränkt.

Das EU-KI-Gesetz ist eine neue Verordnung, die die Entwicklung, den Einsatz und die Nutzung von Systemen der Künstlichen Intelligenz (KI) in der Europäischen Union regelt. Sie zielt darauf ab, ein Gleichgewicht zwischen der Förderung der Vorteile von KI und der Abschwächung potenzieller Risiken für Sicherheit, Grundrechte und Fairness zu schaffen.

Verstöße gegen das Gesetz können zu erheblichen Bußgeldern (bis zu 35 Millionen Euro oder 7 % deines weltweiten Umsatzes) und einem möglichen Verbot bestimmter KI-Systeme führen. Dies könnte deinen Geschäftsbetrieb erheblich stören und deinen Ruf schädigen.

Ja, das EU-KI-Gesetz kann trotzdem Auswirkungen auf dein Unternehmen haben, wenn:

• Du dein KI-Modell in der EU verkaufst.
• Du ein B2B-Produkt anbietest, bei dem deine Kunden das System in der EU nutzen.
   

Das EU-KI-Gesetz teilt KI-Systeme in vier Kategorien ein, je nach ihren Auswirkungen auf die Sicherheit und die Grundrechte:

1. Unannehmbares Risiko: Verboten aufgrund von schwerwiegenden Bedrohungen, wie z.B. soziales Scoring durch Regierungen.
2. Hochrisiko-KI-Systeme: Erfordert strenge Vorschriften, einschließlich Gesichtserkennung und Strafverfolgungsinstrumente.
3. Begrenztes Risiko: birgt einige Risiken, ist aber im Allgemeinen sicher, z. B. Spamfilter und Chatbots.
4. Minimales oder kein Risiko: Weitgehend risikofrei, wie unkritische Spiele und Filter.

AI Comply hilft bei der Risikoklassifizierung und erleichtert den Weg durch die Anforderungen der einzelnen Kategorien.

Eine niedrige Risikoeinschätzung ist zwar ein positives Zeichen, aber es kann trotzdem sinnvoll sein, dies mit AI Comply nachzuweisen. Es zeigt, dass du dich für eine verantwortungsvolle KI-Entwicklung einsetzt, und trägt zusätzlich dazu bei, Vertrauen bei Aufsichtsbehörden und Kunden aufzubauen.

Ja, das Gesetz gilt auch für den Einsatz von KI-Systemen.  AI Comply kann dich über deine Pflichten als Entwickler informieren.

Ja, die Bußgelder für Verstöße sind hoch und können bis zu 35 Millionen Euro oder 7 % deines weltweiten Umsatzes betragen. Hier sind einige mögliche Folgen der Nichteinhaltung:

• Bußgelder: Die Aufsichtsbehörden können erhebliche Geldstrafen verhängen.
• Marktverbote: Dein KI-System kann vom EU-Markt verbannt werden.
• Rufschädigung: Die Nichteinhaltung von Vorschriften kann das Vertrauen der Kunden erschüttern.
• Verlorene Geschäftsmöglichkeiten: Unternehmen, die die Vorschriften nicht einhalten, können sich Chancen in der EU entgehen lassen.

AI Comply vereinfacht den Weg deines Unternehmens zur Einhaltung des EU-KI-Gesetzes, indem es verschiedene Rollen wie Anbieter, Einführer, Händler und Produkthersteller unterstützt:

• Anbieter (Entwickler): Klassifiziert das Risiko, hilft bei der Bewertung, Dokumentation und Registrierung.
• Einführer: Stellt sicher, dass die Systeme den Anforderungen entsprechen, bevor sie auf den EU-Markt kommen.
• Händler: Versteht die Verpflichtungen der Händler für einen konformen Vertrieb.
• Produkthersteller: Leitfäden für die Pflichten der Verteiler und die konforme Nutzung von KI-Systemen.

AI Comply vereinfacht die Einhaltung von KI-Richtlinien, indem es auf die Risikokategorie deines Systems zugeschnittene Roadmaps, automatisierte Dokumentation für die Erstellung spezifischer Compliance-Berichte, Schulungen für die verantwortungsvolle Umsetzung von KI-Praktiken und fortlaufende, nicht-rechtliche Unterstützung durch KI-Compliance-Experten bietet, die dich kontinuierlich unterstützen.

*Bitte beachte, dass möglicherweise nicht alle Funktionen verfügbar sind, da wir diese Lösung noch entwickeln.

Ja! AI Comply bietet eine maßgeschneiderte Lösung für Unternehmen jeder Größe. Für Start-ups und kleine und mittlere Unternehmen (KMU), die oft mit begrenzten Ressourcen für die Einhaltung von Vorschriften konfrontiert sind, bietet AI Comply einen zugänglichen und budgetfreundlichen Ansatz, der die Einhaltung von Vorschriften vereinfacht. Größere Unternehmen profitieren ebenfalls von den Dienstleistungen von AI Comply, da sie den Compliance-Prozess rationalisieren und sicherstellen, dass alle KI-Systeme die erforderlichen Standards effizient einhalten.

• Kunden: Die Kunden sind zunehmend besorgt über den ethischen Einsatz von KI. Das KI Trust-Siegel zeigt, dass du dich für eine verantwortungsvolle Entwicklung und Nutzung von KI einsetzt, was dir einen Wettbewerbsvorteil bei der Gewinnung von Kunden verschaffen kann.
• Partner und Investoren: Auch Partner und Investoren suchen nach Unternehmen, die verantwortungsvolle KI-Praktiken in den Vordergrund stellen. Das KI Trust-Siegel kann dir dabei helfen, dich abzuheben und wertvolle Partnerschaften und Investitionen zu sichern.
• Aufsichtsbehörden: Das KI Trust-Siegel kann ein positives Signal an die Regulierungsbehörden sein, das zukünftige Interaktionen vereinfachen kann.

heyData unterstützt die Integration mit einer Vielzahl von HR-Systemen, um deren Kompatibilität zu verbessern und ein nahtloses Datenmanagement zu gewährleisten. Zu den wichtigsten Plattformen gehören:

• Die wichtigsten HR-Lösungen: ADP iHCM, RUN Powered by ADP, ADP Workforce Now
• Fachspezifische HR-Tools: AlexisHR, CharlieHR, Deel
• Enterprise-Systeme: Microsoft Dynamics 365, SAP SuccessFactors, Workday
• Aufstrebende Plattformen: Lucca, Paylocity, Rippling

Eine vollständige Liste und weitere Details findest du auf auf dieser Integrations-Seite.

Wenn du deine HR-Systeme direkt mit heyData verbindest, wird das Hinzufügen oder Entfernen von Mitarbeitern automatisiert, sodass die manuelle Dateneingabe entfällt. Das spart nicht nur Zeit, sondern verringert auch die Wahrscheinlichkeit von Fehlern und steigert so die Gesamteffizienz.

Zusätzlich zu den aktuellen Funktionen wird es in Zukunft noch Funktionen für Schulungen und Dokumentenmanagement geben. Diese Funktionen sollen die Personalprozesse weiter straffen und die organisatorischen Möglichkeiten verbessern.

Die HR-Integrationsfunktion ist für alle Professional- und Enterprise-Kunden verfügbar.

Ja, bei der Entwicklung unserer Integrationen haben Sicherheit und Compliance oberste Priorität. heyData stellt sicher, dass alle HR-Daten, die über unsere Plattform verarbeitet werden, sicher und vollständig konform mit den DSGVO-Vorschriften sind.

Der Synchronisationsprozess mit heyData erfolgt automatisch. Sobald dein HR-System angebunden ist, werden Änderungen wie z.B. das Hinzufügen oder Entfernen von Mitarbeitern in Echtzeit auf unsere Plattform übertragen, sodass deine Daten immer auf dem neuesten Stand sind, ohne dass du manuell eingreifen musst.

Ja, natürlich! Du kannst eine Demo buchen, um zu sehen, wie unsere HR-Integration funktioniert und ihre Funktionen aus erster Hand kennenzulernen. So bekommst du einen Eindruck von den Vorteilen und der Benutzerfreundlichkeit unserer Plattform für die effiziente Verwaltung von Mitarbeiterdaten.

heyData bietet umfassenden Support für die Einrichtung und Nutzung der HR-Integrationsfunktion. Unser Team hilft dir bei der Einrichtung der Integration, bei der Fehlerbehebung und bei allen Fragen, die du zur effektiven Nutzung dieser Funktion hast.

Gesundheitsdaten umfassen alle Informationen, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Hier ist eine Liste von Gesundheitsdaten, die häufig erfasst und analysiert werden:

Medizinische Vorgeschichte

• Frühere Diagnosen
• Frühere Behandlungen und Operationen
• Allergien
• Familienanamnese (Erbkrankheiten)

Aktuelle Gesundheitsdaten

• Aktuelle Diagnosen
• Medikamente
• Symptome
• Vitalwerte (z.B. Blutdruck, Herzfrequenz)

Labor- und Testergebnisse

• Bluttests
• Urintests
• Bildgebende Verfahren (z. B. Röntgen, MRT)
• Genetische Tests

Behandlungsinformationen

• Art der Behandlung
• Behandlungsverlauf
• Therapiemaßnahmen
• Rehabilitationsdaten

Lebensstil- und Verhaltensdaten

• Ernährung
• Bewegung
• Rauchen
• Alkoholkonsum

Psychische Gesundheitsdaten

• Psychologische Diagnosen
• Therapieverlauf
• Psychopharmaka

Notfallkontakte

• Informationen über bestehende Erkrankungen, die im Notfall wichtig sind (z. B. Diabetes, Asthma)
• Patientenverfügung

Versicherungsdaten

• Krankenversicherungsinformationen
• Abrechnungsdaten
• Leistungsansprüche
   

Nur Daten, die für die Behandlung und Abrechnung notwendig sind, dürfen gespeichert werden. Weitere Daten dürfen nur mit ausdrücklicher Einwilligung des Patienten erhoben werden.

Durch die Implementierung eines umfassenden Datenschutzkonzepts, regelmäßige Schulungen und die Zusammenarbeit mit erfahrenen Datenschutzbeauftragten wie z. B. heyData.

Im Kindergarten werden viele persönliche Daten von Kindern gesammelt, wie Namen, Geburtsdaten oder Gesundheitsinformationen. Diese Daten sind besonders schützenswert, da Kinder als besonders schutzbedürftige Personen gelten. Die DSGVO sorgt dafür, dass diese Daten sicher und verantwortungsbewusst behandelt werden.

Kindergärten dürfen nur Daten sammeln, die für die Betreuung und Bildung der Kinder notwendig sind. Dazu gehören Kontaktinformationen der Eltern, Gesundheitsinformationen für Notfälle oder Informationen über Allergien. Alle Daten müssen mit Einwilligung der Eltern gesammelt werden und dürfen nur für festgelegte Zwecke verwendet werden.

Ja, die Eltern müssen umfassend darüber informiert werden, welche Daten gesammelt werden, zu welchem Zweck und wie lange sie gespeichert bleiben. Diese Information muss in einer klaren und verständlichen Form erfolgen, oft in einem Datenschutz-Formular, das die Eltern unterschreiben.

Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck, für den sie erhoben wurden, notwendig sind. Das bedeutet, dass Daten, die für die Betreuung eines Kindes während seiner Zeit im Kindergarten notwendig sind, in der Regel mit dem Austritt des Kindes aus dem Kindergarten gelöscht werden sollten.

Verstöße gegen die Datenschutzbestimmungen können ernste Folgen haben, einschließlich Bußgeldern, die von den Datenschutzbehörden verhängt werden. Es ist wichtig, dass Kindergärten ihre Datenschutzpraktiken regelmäßig überprüfen und sicherstellen, dass sie den Anforderungen der DSGVO entsprechen.

Kindergärten müssen folgende Hauptanforderungen der DSGVO erfüllen:

• Verzeichnis von Verarbeitungstätigkeiten: Erfassung aller Datenverarbeitungsvorgänge, einschließlich Art der gesammelten Daten, Verarbeitungszweck, Speicherort und Aufbewahrungsfristen.
• Datenschutzhinweise: Eltern müssen klar und verständlich über die Verarbeitung der Daten ihrer Kinder informiert werden.
• Einwilligung: Für bestimmte Datenverarbeitungen, wie z. B. Fotos oder Videos, muss eine ausdrückliche Einwilligung der Eltern eingeholt werden.
• Datenschutz-Folgenabschätzungen (DSFA): Wenn hohe Risiken für die Rechte und Freiheiten der Kinder bestehen, muss eine DSFA durchgeführt werden.
• Technische und organisatorische Maßnahmen: Sicherheitsmaßnahmen wie verschlüsselte Speicherung und Zugangskontrollen sind notwendig.

heyData unterstützt dabei durch maßgeschneiderte Compliance-Lösungen, die Bereitstellung von Dokumentationen und die Beratung zur Einholung und Verwaltung von Einwilligungen.

Die NIS2-Richtlinie ist die aktualisierte Gesetzgebung der EU, die darauf abzielt, die Cybersicherheit in den Mitgliedsstaaten zu verbessern. Sie ersetzt 2024 die ursprüngliche NIS-Richtlinie und führt strengere Sicherheitsmaßnahmen, eine breitere Abdeckung von Branchen und strengere Anforderungen an die Einhaltung der Vorschriften ein, um den zunehmenden Cyber-Bedrohungen zu begegnen.

Zu den wichtigsten Anforderungen gehören Risikomanagementmaßnahmen und Business Continuity Management (Art. 21).
Dazu gehört z. B. der Einsatz technischer Maßnahmen wie z. B. 

• Kryptografie
• Verschlüsselung
• Multi-Faktor-Authentifizierung
• Meldepflichten (Art. 23)
• Registrierungspflicht (Art. 3 Abs. 4, Art. 27)
• Unterrichtungspflichten (Art. 23)
• Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleiter (Art. 20 Abs. 2)

Die NIS2-Richtlinie unterstreicht die Bedeutung der Sicherung von miteinander verbundenen Netzwerken und verlangt von den Unternehmen, die Cybersicherheitsrisiken innerhalb ihrer Prozesse und Lieferketten zu bewerten und zu mindern. Dazu gehört auch die Bewertung der Sicherheitspraktiken von Lieferanten und Dienstleistern.

Große und mittlere Unternehmen aus den folgenden Branchen sind betroffen:

Branchen mit hoher Kritikalität:

• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasser
• Abwasser
• Digitale Infrastruktur
• Verwaltung von IKT-Diensten B2B
• öffentliche Verwaltung
• Weltraum

Andere kritische Bereiche:

• Post- und Kurierdienste
• Abfallbewirtschaftung
• Chemie
• Lebensmittel
• verarbeitendes/herstellendes Gewerbe
• Anbieter digitaler Dienste
• Forschung

Unternehmen müssen erhebliche Cybersicherheitsvorfälle innerhalb von 24 Stunden nach ihrer Entdeckung an die zuständigen Behörden melden. Dazu gehört eine erste Meldung, gefolgt von detaillierten Aktualisierungen, sobald mehr Informationen verfügbar sind. Die Richtlinie schreibt auch Zwischen- und Abschlussberichte über Vorfälle vor, um eine gründliche Dokumentation und Reaktion sicherzustellen.
​​
Es kann ratsam sein, einen Experten wie heyData an deiner Seite zu haben, um im Fall des Falles schnell und kompetent reagieren zu können.

Die NIS2-Richtlinie wurde am 16. Januar 2023 verabschiedet und die Mitgliedsstaaten haben bis zum 17. Oktober 2024 Zeit, die Maßnahmen in nationales Recht umzusetzen. Es wird erwartet, dass die Organisationen die Anforderungen ab diesem Datum erfüllen.

Um sich auf die Einhaltung von NIS2 vorzubereiten, sollten Organisationen:

1. feststellen, ob sie in den Geltungsbereich der Richtlinie fallen.
2. Eine umfassende Risikoanalyse durchführen.
3. Verbindliche Cybersicherheitsmaßnahmen umsetzen.
4. Einen Plan zur Reaktion auf Vorfälle entwickeln.
5. Sicherstellen, dass die oberste Führungsebene einbezogen wird und Verantwortung übernimmt.
6. Stärkung der Sicherheitspraktiken in der Lieferkette.

Durch die hohen Anforderungen an IT- und Netzwerksicherheit soll eine uneingeschränkte Verfügbarkeit und ein hohes Schutzniveau wichtiger Dienste sichergestellt werden. Unternehmen und Bewohner in der EU sollen sich darauf verlassen können, dass die IT-Infrastruktur ein hohes Maß an Vertraulichkeit und Integrität aufweist. Durch die Standardisierung der Anforderungen wird es Unternehmen leicht gemacht, diese zu erfüllen und für die Zusammenarbeit abstimmen zu können. So werden Innovation, Stabilität und Wettbewerbsfähigkeit in der EU gefördert und wirtschaftliche Schäden vermieden. 

Die NIS-2-Richtlinie ist eine EU-Cybersicherheitsrichtlinie, die am 16. Januar 2023 wirksam geworden ist. Sie folgt der NIS-Richtlinie, die im Jahr 2016 eingeführt wurde. Network and Information Security, auch bekannt als NIS, ist die Abkürzung für diese Begriffe. Die NIS-2-Richtlinie, wie auch ihre Vorgängerin, zielt darauf ab, große und mittelgroße Einrichtungen in vielen Sektoren in den Mitgliedstaaten der EU zu verpflichten, sich vor Cyberangriffen zu schützen und ein einheitliches Schutzniveau in ganz Europa zu etablieren.  

Die NIS-2-Richtlinie führt neue Anforderungen und Pflichten für Organisationen in vier übergreifenden Bereichen ein: Risikomanagement, Unternehmensverantwortung, Berichtspflichten und Geschäftskontinuität. Dies dient der Stärkung der Widerstandsfähigkeit Europas gegen gegenwärtige und zukünftige Cyberbedrohungen.

Große und mittlere Unternehmen aus den folgenden Branchen sind betroffen:

Branchen mit hoher Kritikalität:

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten B2B
öffentliche Verwaltung
Weltraum

Andere kritische Bereiche:

Post- und Kurierdienste
Abfallbewirtschaftung
Chemie
Lebensmittel
verarbeitendes/herstellendes Gewerbe
Anbieter digitaler Dienste
Forschung

Unternehmen müssen den zuständigen Behörden innerhalb von 24 Stunden nach deren Entdeckung erhebliche Vorfälle im Bereich der Cybersicherheit mitteilen. Dazu zählt zunächst eine Ankündigung, gefolgt von detaillierten Updates, sobald weitere Informationen vorliegen. Um eine umfassende Dokumentation und Reaktion zu gewährleisten, legt die Richtlinie auch Zwischen- und Abschlussberichte über Vorfälle fest.
​​
Es kann ratsam sein, einen Experten wie heyData an deiner Seite zu haben, um im Fall des Falles schnell und kompetent reagieren zu können.

Um sich auf die Einhaltung der NIS-2-Richtlinie und deren nationale Umsetzung vorzubereiten, sollten Organisationen:

1. Feststellen, ob sie in den Geltungsbereich der Richtlinie fallen.
2. Eine umfassende Risikoanalyse durchführen.
3. Verbindliche Cybersicherheitsmaßnahmen umsetzen.
4. Einen Plan zur Reaktion auf Vorfälle entwickeln.
5. Sicherstellen, dass die oberste Führungsebene einbezogen wird und Verantwortung übernimmt.
6. Stärkung der Sicherheitspraktiken in der Lieferkette.

Eine uneingeschränkte Verfügbarkeit und ein hohes Schutzniveau wichtiger Dienste sollen durch die hohen Anforderungen an Netzwerk- und IT-Sicherheit gewährleistet werden. Bewohnern und Unternehmen in der EU sollte gewährleistet sein, dass die IT-Infrastruktur eine hohe Vertraulichkeit und Integrität bietet. Die Standardisierung der Anforderungen erleichtert es Unternehmen, sie zu erfüllen und sich für eine Kooperation zu entscheiden. Auf diese Weise unterstützt dies die Förderung von Innovation, Stabilität und Wettbewerbsfähigkeit in der EU und verhindert wirtschaftliche Schäden. 

Die zweite Version der NIS-2-Richtlinie (Richtlinie über Netzwerk- und Informationssicherheit) trat Anfang 2023 in der gesamten EU in Kraft. Die Richtlinie muss bis zum 17. Oktober 2024 von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Schon jetzt hat das Bundesinnenministerium in Deutschland einen Referentenentwurf zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) vorgelegt.