hello@tulos.de0221 54812 944Kontaktformular
Downloads

TOM EXCEL Template (DSGVO)

Auf Wunsch, erhalten Sie eine E-Mail mit einer praktischen Vorlage in EXCEL. Damit können Sie einfach die erforderlichen DSGVO Dokumentation erstellen.

Wir freuen uns Ihnen mit diesem Dokument bei der Umsetzung der DSGVO oder der ISO 27001 zu helfen. Für weitere Informationen oder eine Terminabsprache stehen wir Ihnen gerne zur Verfügung.

By |27. November 2023|Categories: white paper|0 Comments
Read More

Meldestelle gemäß HinSchG im Unternehmen einrichten

Meldestelle gemäß HinSchG im Unternehmen einrichten

Das neue HinSchG gilt jetzt für alle Unternehmen, Vereine und staatliche Organisationen.

Der Tulos Blog erklärt was dieses Gesetz beinhaltet. Hier erläutern wir, was gemacht werden muss und wie das geht, Schritt für Schritt.

Was muss gemacht werden?

Unternehmen, Vereine und staatliche Organisationen müssen Hinweisgebern eine Möglichkeit geben anonym Hinweise zu geben. Sprich: jede Person muss in der Lage sein, eine Meldung zu machen, ohne dass sie die Identität preisgibt. Neudeutsch, ein „Whistleblower“, daher heist dieses Gestz auch „Whistleblowergesetz“

Es muss also ein Kommunikations-Kanal her, über den man den Hinweis kommunizieren kann. Dieser Hinweis muss auch von einer realen Person empfangen werden, also kein Chatbot.

Hinweise können fahrlässiger Umgang mit vertraulichen Informationen (Daten) oder ein persönlicher Missbrauch sein. Beispiele: verbotenes Personenprofiling im Marketing, Mobbing oder sexueller Missbrauch.

Wer darf Hinweise empfangen?

 Eine unparteiische Bearbeitung und Kommunikation müssen installiert werden.

 Um sicherzustellen, dass eingehende Hinweise fair und neutral behandelt werden, muss eine unparteiische Person ernannt werden. Diese ist für die Bearbeitung des Hinweises und die Kommunikation mit dem Hinweisgeber verantwortlich. Dadurch wird gewährleistet, dass Hinweisgeber Vertrauen in den Meldemechanismus haben und ihre Informationen in sicheren Händen wissen. Die unparteiische Person kann sowohl ein unparteiischer Beschäftigter als auch eine externe Person sein. Für die meisten Organisationen bieten sich Datenschutzbeauftragte an, denn Datenschutzbeauftragte haben Fachwissen im Umgang mit vertraulichen Informationen und sind neutral. Hilfreich ist auch, dass Datenschutzbeauftragte die Organisation und die Menschen kennen, für die sie mandatiert sind.

Wie setzt man die Anforderung des HinSchG um?

In jedem Fall ist sicherzustellen, dass die Vertraulichkeit der Identität des Whistleblowers und in der Meldung erwähnter Dritter gewahrt bleibt. Wichtig ist insofern die Implementierung wirksamer Verschlüsselungstechnologien sowie eines Rollen- und Berechtigungskonzepts.

Zeitnahe Reaktion und Feedback

Innerhalb von sieben Tagen muss dem Hinweisgeber eine Eingangsbestätigung gesendet werden, um ihn über den Eingang seines Hinweises zu informieren. Anschließend sind konkrete Folgemaßnahmen zu ergreifen. Das Unternehmen muss den Hinweis überprüfen und Nachforschungen über den gemeldeten Missstand anstellen. Schließlich ist dem Hinweisgeber innerhalb von drei Monaten nach Meldungseingang Feedback über die ergriffenen Maßnahmen zu geben.

Dokumentation und Nachweis

Alle eingegangenen Hinweise sowie die ergriffenen Maßnahmen sind zu dokumentieren. Eine lückenlose Dokumentation ist essenziell, um den Nachweis zu erbringen, dass das Unternehmen die erforderlichen Schritte unternommen hat und seine Unternehmensintegrität ernst nimmt.

Konkrete Umsetzung, Schritt für Schritt

  1. Kontaktformular auf den jeweiligen Webseiten der Organisation installieren. Das Formular muss so gestaltet werden, dass die Herkunft des Meldenden nicht nachvollziehbar ist. Das werden wir mit dem Webdesigner abstimmen.
  2. Kontakt-E-Mail-Adresse einrichten, z.B. Datenschutz@xyz-Unternehmen.de, mit dem Hinweis, dass dieser Kontakt nachvollziehbar und demzufolge nicht anonym ist.
  3. Telefon-Nummer einrichten.
  4. Die Meldung muss dokumentiert und berichtet werden.

Ein Tulos Datenschutzbeauftragter begleitet bei der Umsetzung und prüft, ob alle Erfordernisse korrekt umgesetzt wurden.

Ein Tulos Datenschutzbeauftragter kann auch als Ansprechpartner mandatiert werden.

 

By |15. Juni 2023|Categories: Uncategorized|0 Comments
Read More

Hinweisgeberschutzgesetz (HinSchG)

Das neue HinSchG: Ein Meilenstein für den Datenschutz und Unternehmensintegrität

Mit dem kürzlich verabschiedeten Whistleblower-Gesetz (HinSchG) hat der Datenschutz eine neue Dimension erreicht. In diesem Blogpost beleuchten wir, was das HinSchG für Unternehmen bedeutet und wie sie den neuen Anforderungen gerecht werden können.

Tulos erklärt, was das für Unternehmen bedeutet und was man jetzt machen muss.

Welche Unternehmen sind betroffen?

Alle Unternehmen müssen gemäß HinSchG Hinweisgebern einen Kanal bieten, um Missstände zu melden.

Bei Unternehmen mit weniger als 50 Mitarbeitern ist dieser Kanal eine externe Meldestelle, in der Regel bei einer Bundes- oder Landesbehörde, wie beispielsweise die BaFin, das Bundeskartellamt oder das Bundesamt für Justiz.

Unternehmen mit mindestens 50 Mitarbeitern müssen dagegen eine interne Meldestelle einrichten. Die Einrichtung einer internen Meldestelle muss für Unternehmen mit 50-249 Mitarbeitern bis zum 2. Dezember 2023 erfolgen. Unternehmen ab 250 Mitarbeitern sind zur Einrichtung einer Meldestelle mit Inkrafttreten des HinSchG am 2. Juli 2023 verpflichtet.

Unparteiische Kontaktperson muss erreichbar sein

Um sicherzustellen, dass eingehende Hinweise fair und neutral behandelt werden, müssen Unternehmen eine unparteiische Person ernennen. Diese ist für die Bearbeitung des Hinweises und die Kommunikation mit dem Hinweisgeber verantwortlich. Dadurch wird gewährleistet, dass Hinweisgeber Vertrauen in den Meldemechanismus haben und ihre Informationen in sicheren Händen wissen. Die unparteiische Person kann sowohl ein unparteiischer Beschäftigter als auch ein externer Spezialist sein. Für viele Unternehmen bietet sich aufgrund des speziellen Know-Hows sowie Wirtschaftlichkeit und Risikoabwägungen ein externer Betreiber an.

In jedem Fall ist sicherzustellen, dass die Vertraulichkeit der Identität des Whistleblowers und in der Meldung erwähnter Dritter gewahrt bleibt. Wichtig ist insofern die Implementierung wirksamer Verschlüsselungstechnologien sowie eines Rollen- und Berechtigungskonzepts.

Tulos stellt erfahrene Datenschutzbeauftragte, die als Kontaktperson anerkannt sind

Zeitnahe Reaktion und Feedback sind erforderlich

Innerhalb von sieben Tagen muss dem Hinweisgeber eine Eingangsbestätigung gesendet werden, um ihn über den Eingang seines Hinweises zu informieren. Anschließend sind konkrete Folgemaßnahmen zu ergreifen. Das Unternehmen muss den Hinweis überprüfen und Nachforschungen über gemeldeten Missstand anstellen. Schließlich ist dem Hinweisgeber innerhalb von drei Monaten nach Meldungseingang Feedback über die ergriffenen Maßnahmen zu geben.

Tulos richtet alle technischen Massnahmen ein, die eine Meldestelle benötigt.

Dokumentation und Nachweis

Unternehmen sind verpflichtet, alle eingegangenen Hinweise sowie die ergriffenen Maßnahmen zu dokumentieren. Eine lückenlose Dokumentation ist essenziell, um den Nachweis zu erbringen, dass das Unternehmen die erforderlichen Schritte unternommen hat und die Unternehmensintegrität ernst nimmt.

Tulos erstellt alle erforderlichen Dokumentationen und Nachweise

Vermeiden Sie Verstöße und Bußgelder

Das HinSchG sieht unterschiedliche Bußgelder für Verstöße vor. Wenn beispielsweise kein Meldekanal zur Verfügung gestellt wird, beträgt das Bußgeld bis zu 20.000 €. Wer versucht, eine Meldung zu verhindern, wird mit einem Bußgeld von bis zu 50.000 € belegt. In bestimmten Konstellationen sind für das Unternehmen im schlimmsten Fall bis zu 500.000,00 € fällig.

Fazit

Das HinSchG markiert einen bedeutenden Fortschritt im Datenschutz und der Unternehmensintegrität. Unternehmen sollten sich der neuen Anforderungen bewusst sein und angemessene Maßnahmen ergreifen, um den Meldemechanismus zu implementieren. Eine offene Unternehmenskultur, in der Hinweisgeber geschützt werden und Missstände konsequent angegangen werden, ist entscheidend. Durch die Umsetzung des HinSchG können Unternehmen nicht nur ihren gesetzlichen Verpflichtungen nachkommen, sondern auch das Vertrauen ihrer Mitarbeiter und Kunden stärken.

By |8. Juni 2023|Categories: Uncategorized|Tags: , , , , , , , , , |0 Comments
Read More

Windows 11 Datenschutz-Konforme Einstellung für Mitarbeiter

Laptops und PC´s für Angestellte dürfen keine personenbezogenen Daten übertragen.

Windows 11 für Angestellte muß datenschutzkonform  konfiguriert sein. Unternehmen haften für Datenschutz-Verletzungen. Tulos zeigt wie das geht, Schritt für Schritt.

Seit Windows 10, achten die Datenschutz Behörden zunehmend auf eine korrekte Installation, denn Windows 10 und nun auch Windows 11 sind nicht mehr nur Betriebssysteme, sie haben zahlreiche Apps und Dienstleistungen standardmäßig integriert.

Einige dieser neuen Funktion können die Arbeitsweise der Nutzer erkennen und übertragen personenbezogene Daten auf die Server von Microsoft.

Die Verarbeitung von p.b. Daten ist ohne ausdrückliche Einwilligung des oder der Betroffenen verboten.

Installation von Windows 11 für Angestellte, Schritt für Schritt:

Schritt 1:

Auswahl einer geeigneten Version von Windows 11.
Windows 11 kommt, wie sein Vorgänger, in mehrere Versionen.

  1. Windows 11 Home: Die Basisversion von Windows 11 für den Heimgebrauch.
    Diese ist für Privatpersonen möglich. Privatpersonen können selbstverständlich wirksame Einwilligungen zur Datenübertragung geben. Das müssen Sie auch bei der Home Version, weil hier keine Einstellungen vorgenommen werden können, die das Übertragen von personenbezogenen Daten auf die Server von Microsoft unterbindet. Privatnutzer bezahlen mit ihrem persönlichen Daten, wenn sie die preisgünstigere Windows 11 Home erwerben.
  1. Windows 11 Pro: Diese Version ist für Unternehmen vorgesehen. Diese Version erlaubt das Einstellen von Übertragungen personenbezogener Daten. Zusätzlich kann man Remotedesktopverbindungen herstellen und Gruppenrichtlinien zu verwalten.
  2. Windows 11 Enterprise: Eine erweiterte Version von Windows 11 Pro mit weiteren Sicherheitsfunktionen und erweiterten Geräteverwaltungsfunktionen.
  3. Windows 11 Education: Eine Version für Bildungseinrichtungen, die Tools zur Bereitstellung von Inhalten und zur Verwaltung, z.B. von Klassenzimmern, bietet. Und selbstverständlich kann man, wie bei der „Enterprise Version“, die Übertragung von personenbezogenen Daten regeln.

Schritt 2
Einstellungen anpassen

  1. Am sichersten, man meldet jedes Endgerät auf die Organisation an Angestellte dürfen nur mit eingeschränkten Nutzungsrechten arbeiten.
  2. Deaktivieren der Option „Empfohlene Einstellungen“. Das macht man bereits bei der Installation von Windows 11.
  3. In den Einstellungen zu „Datenschutz“ nur die Daten zur Übertragung an Microsoft freigeben die erlaubt sind.
  4. Sicherstellen, dass die Option „Diagnose- und Nutzungsdaten“ auf „Basis“ oder „Nur Erforderliche Daten“ eingestellt ist.
  5. Deaktivieren Sie die Option „Personalisierte Werbung in mithilfe einer App Id verwenden“. Das macht man in den Einstellungen unter „Datenschutz &Sicherheit“.
  6. „Microsoft Edge personalisiert“ auf „Nein“ stellen.
  7. Unter „Hintergrund-Apps“ wählen, welche Apps im Hintergrund laufen sollen und welche nicht.
  8. Die Option „Erfassen von Freihandeingabe“ und „Eingabe“ deaktivieren.
  9. Die Option „Mein Gerät finden“ unter „Geräte suchen“ nur dann aktivieren, wenn. Das Gerät auf die Firma registriert ist.

Fazit:
Windows 10 und 11 übertragen in den Standardeinstellungen personenbezogene Daten
Für so eine Datenverarbeitung ist eine Einwilligung erforderlich.
Da Angestellte keine wirksame Einwilligung geben können, müssen die Endgeräte so eingerichtet werden, dass personenbezogene Daten von Angestellten nicht übertragen werden.
Diese Regel gilt selbstverständlich für jede Applikation, die auf Dienstgeräten eingerichtet sind.

Ein Datenschutzbeauftragter sollte die Installation von Windows 11 sowie allen Applikationen auf den Dienstgeräten nach Datenschutzkonformität überprüfen.

Viel Aufwand erspart man sich, wenn man vor der Installation die richtigen Parameter bereitstellt.

By |17. März 2023|Categories: Uncategorized|Tags: , , |0 Comments
Read More

Datenschutz bei der Nutzung von Social Media

Im Social-Media-Marketing werden die Anforderungen der DSGVO oft missachtet, teure Abmahnungen sind die Folgen.

Häufige Fehler beim Einsatz von Social Media.

  1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart
  2. Nutzer werden unzureichend informiert
  3. Die Anforderungen des TTDSG werden nicht erfüllt
  4. Missachtung der DSGVO bei der Übermittlung von Daten an Drittländer

Dieser Blog nennt häufige Beispiele aus der Praxis für Social-Media-Marketing und die hierfür geltenden Datenschutz-Vorschriften

Zu 1. Datenschutzrechtliche Verträge werden nicht korrekt vereinbart.
Auftragsverarbeitung für die Verarbeitung von personenbezogenen Informationen (AVV), (Art. 28 DSGVO).

3 Beispiele von Datenverarbeitung, welche in die AVV´s gehören und für die Betroffene einwilligen müssen.

Erstes Beispiel: Custom Audiences über Datendatei mit Facebook

Als Custom Audiences bezeichnet man Zielgruppen, die Werbetreibende für Marketing-Maßnahmen bei Facebook erstellen können. Durch dieses Targeting wird eine zielgerichtete Ansprache vereinfacht; die Nutzer profitieren von der Einblendung relevanter Anzeigen.

Die Daten, mit denen die Zielgruppen definiert werden, lädt der Werbetreibende selbst hoch.

Durch diese Möglichkeit ist Facebook als Werbeplattform wesentlich interessanter geworden – zuvor waren Anzeigen breit gestreut, das einzige Targeting war die Teilhabe der Nutzer an der Plattform selbst.

Zweites Beispiel:  Messungen und Analysen

Messung der Performance und Reichweite einer Werbekampagne.

Drittes Beispiel: Workplace by Meta (Facebook)

Workplace ist ein von Meta Platforms entwickeltes kollaboratives Online-Softwaretool. Es erleichtert die Online-Gruppenarbeit, Instant Messaging, Videokonferenzen und den Austausch von Nachrichten.

Zu beachten ist auch, ob die Verantwortung für die Datenverarbeitung andere Unternehmen mit einbezieht.

Gemeinsame Verantwortung

Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der Verarbeitung fest sowie deren Mittel, so sind sie gemeinsam Verantwortliche (Art. 26 DSGVO).

Urteil zu Facebook Insights
EuGH vom 5. Juni 2018 (Az. C-210/16):
Mit Facebook-Insights kann der Betreiber der Fanpage anonymisierte statistische Daten der Page-Nutzung einsehen, wobei Facebook aber die Möglichkeit hat, die Besucher zu identifizieren.

Gemeinsame Verantwortlichkeit. Auf die richtige Einstellung bzw. die richtige Formulierung kommt es an.

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und vereinbaren Sie entsprechend datenschutzrechtlichen Verträge mit den Social Media Unternehmen.

Für die meisten liegen fertige Vertrags-Texte vor.

Fazit: Sobald ein Unternehmen die Verarbeitung eines anderen Verantwortlichen veranlasst und dadurch von den Ergebnissen profitiert, ist auch ohne Zugang zu den verarbeiteten Informationen eine gemeinsame Verantwortlichkeit gegeben!

zu 2: Nutzer wird unzureichend informiert

Bei der Direkterhebung von personenbezogenen Daten, müssen die Betroffenen informiert werden. Diese Informationen müssen für die Betroffenen klar formuliert werden:

  • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters, ggf. Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszweck und Rechtsgrundlage
  • Bestehen einer gesetzlichen oder vertraglichen Pflicht zur 
Bereitstellung der Daten,

ggf. Empfänger
ggf. Drittlandübermittlung
ggf. berechtigtes Interesse
ggf. Speicherdauer
ggf. Betroffenenrechte
ggf. Widerrufsrecht

  • Beschwerderecht gegenüber Aufsichtsbehörde
  • Automatisierte Entscheidungsfindung („Profiling“)

Bei Dritterhebung müssen diese Informationen zusätzlich gegeben werden:

  • Kategorien der verarbeiteten Daten
  • Herkunft der Daten

 Tulos Experten können prüfen welche Informationen erhoben und verarbeitet werden und dafür Mustertexte für die Informationen zur Verfügung stellen.

 zu 3. Die Anforderungen des TTDSG werden nicht erfüllt

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist seit dem 1. Dezember 2021 in Kraft, sie gilt für alle.
Also jede natürliche oder juristische Person die Telemedien anbieten, zum Beispiel auf Webseiten. Relevant sind eigene oder fremde Telemedien sein. Auch bei der Mitwirkung an der Erbringung oder die Vermittlung eines Zugangs zur Nutzung von eigenen oder fremden Telemedien fällt unter die Regelung der TTDSG.

Beispiel: Betreiber/innen von Facebook‐Fanpages sind als Telemedienanbieter zu betrachten.

Das Speichern und Auslesen von Cookies im Endgerät des Nutzers ist nur mit einer Einwilligung erlaubt.

 Wenn Sie Betreiber einer Facebook-Fanpage sind, sind Sie für Cookie-Banner mitverantwortlich. Wenn dieser nicht die Anforderungen des TTDSG erfüllt, riskiert das Unternehmen hohe Strafen. Ein Verstoß kann zum Beispiel die Erschwerung für Nutzer, den Einsatz von Cookies auf den Webseiten abzulehnen sein.

zu 4. Bei der Übermittlung von Daten an Drittländer

Ein Drittland ist ein Land in dem die DSGVO kein geltendes Recht ist. Also Länder wie USA, Großbritannien, Indien, wo viele Anbieter von „Software-as-a-Service (SAAS)“ ihre Server haben.
Die Regel ist einfach: Das europäische Schutzniveau muss auch bei Datenübermittlungen in Drittländer eingehalten werden.

Das ist bei großen amerikanischen Social Media Konzernen oft ein Problem, denn

  1. Neue Standardvertragsklauseln der EU-Kommission müssen bis 27.12.2022 abgeschlossen sein. Sie werden aber nicht von allen Social Media Anbietern zur Verfügung gestellt.
  2. Viele Social Media Anbieter stellen keine Informationen zu durchgeführten Transfer Impact Assessment (TIA) zur Verfügung.

Social-Media-Plattformen mit Drittlandübermittlung

Fazit

Prüfen Sie genau, welche personenbezogene Informationen in Ihren Social-Media-Aktivitäten verarbeitet werden und erledigen Sie die hierfür alle Maßnahmen, welche die DSGVO und TTDSG vorschreiben. Das ist in vielen Fällen gar nicht so schwierig. Für die meisten liegen fertige Vertrags-Texte vor.

By |24. Oktober 2022|Categories: Uncategorized|Tags: , , , |0 Comments
Read More

DSGVO im Marketing richtig angewendet

Wirksame Marketing mit Datenschutz-Vorschriften umsetzten

Für viele im Marketing bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen. Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder für Customer-Relationship-Management (CRM).

Kunden wollen zwar möglichst individuell betreut werden, sie erwarten aber einen vertrauenswürdigen und datenschutzkonformen Umgang mit ihren Daten. Siehe hierzu auch unseren Blog Künstliche Intelligenz und der Datenschutz.

Dieser Blog richtet sich an Online-Händler und Marketingverantwortliche, die wissen wollen, was geht und was riskant ist.

Die meisten Regelverstöße werden bei den Kontaktformularen auf den Webseiten und im Bereich CRM- Systemen gemacht.

Ähnlich wie im Vertrieb sind die häufigsten relevanten Gesetze das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Siehe hier auch den Tulos Blog „Datenschutz im Vertrieb richtig angewendet“.

Grundsätzlich ist die Verarbeitung und Speicherung von personenbezogenen Daten ohne vereinbarten Zweck verboten, 39 BDSG und DSGVO. Hinzu kommt die Pflicht zur Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO.

CRM und das Kontaktformular auf den Webseiten dienen aber sehr oft eher dem Anbieter und nicht dem Kunden. Denn der Anbieter möchte Informationen zum Kunden sammeln und aufbereiten. Zweck ist hierbei, die Bedürfnisse des Kunden zu ermitteln, um ihn erfolgreicher anzusprechen oder zu bedienen. Von Datenminimierung kann keine Rede sein. Den Kunden nach dessen Bedürfnissen besser zu bedienen, mag ein edler Zweck sein, die Datenschutzbehörden sehen dies aber oft anders. Amtliche Datenschützer sehen meistens das Interesse des Kunden weniger berücksichtigt als jenes der Anbieter.

Typisches Beispiel: Online-Shops.

Online-Shops verlangen nicht selten die Registrierung eines Käufers für einen Warenkauf. Das ist verboten. Denn nach dem Kauf, der Bezahlung und der Lieferung ist der Geschäftszweck erloschen. Die Daten des Kunden, die für den Kauf nötig waren, z.B. Name, Adresse und Bezahlfunktion, werden nach dem Kauf nicht mehr benötigt. Sie müssen gelöscht werden. Eine Registrierung ist also wegen der Datenminimierung und wegen mangelnden Zwecks nicht erlaubt.

Der Online-Shop muss so gestaltet werden, dass der Warenkauf auch ohne Registrierung möglich ist. Dieser typische Fehler wird gerne von der „Abmahn-Liga“ moniert, weil er leicht zu entdecken ist.

Also, liebe Online-Händler, bitte den Online-Shop gleich richtig erstellen, um unnötige Strafen zu vermeiden. Konkrete Hilfe finden Sie in der Tulos Checkliste für Online-Shops.

Die Lösung für die Kommunikation mit dem Kunden wäre, beim Kaufprozess eine Einwilligung zur Datenverarbeitung und Speicherung einzuholen. Wenn diese Einwilligung freiwillig ist, also auch ohne diese der Kauf zustande kommen kann, kann man Kundendaten für CRM sammeln.

Aber Achtung! Dem Kunden muss bei der Einwilligung klar gemacht werden, welche seiner Daten verarbeitet und gespeichert werden und wie dies geschieht.

Komplizierte und lange Einwilligungs-Texte nerven, sie werden von Verbrauchern auch selten gelesen. Im Falle einer Abmahnung kann es passieren, dass Verbraucherschützer die Einwilligung für nicht gültig erachten, weil sie für die Zielgruppe zu kompliziert und unverständlich ist.

Tulos Experten wissen nicht nur, was erlaubt ist und was nicht. Wir können auch kundenfreundliche Texte formulieren, die der DSGVO entsprechen.

Für Online-Händler finden Sie auch wertvolle Informationen im Tulos-Blog „DSGVO für Online Shops im Jahr 2022“.

Marketingverantwortliche und Marketingagenturen müssen aufpassen.

Denn hier werden mit Hilfe von CRM-Systemen systematisch personenbezogene Daten gesammelt, aufbereitet und gespeichert. Dies ist, aus oben genannten Gründen, nicht erlaubt.

Viele CRM Systeme speichern die Daten auf Cloud-Systeme, deren Server außerhalb der EU stehen. Das ist grundsätzlich nicht schlimm, wenn die entsprechenden Vorsichtsmaßnahmen und Regelungen beachtet und umgesetzt werden.

Wenn die Aufbereitung mit Hilfe von künstlicher Intelligenz (KI) geschieht, gelten weitere Regeln, siehe Tulos-Blog „Künstliche Intelligenz und der Datenschutz.

Tulos Experten kennen Tools wie Salesforce, darunter Pardot und Salescloud. Auch Hubspot und Microsoft Dynamics CRM sind uns geläufig.

Mit diesen Systemen kann man Kunden aufbereiten, Personen profilieren und über „Sales-Automation“ den Vertrieb vorantreiben.

Die Regeln sind oben genannt, sie gelten für internes Marketing wie für Agenturen, welche im Auftrag arbeiten.

Agenturen

Agenturen sollten darauf achten, dass ihre Verantwortlichkeit klar von der des Auftraggebers abgegrenzt ist. Das vereinbart man im Dienstleistungs- und Auftragsdatenvereinbarungsvertrag (AVV).

Wenn man Adressen verarbeitet, die man nicht selbst eingeholt hat, also gekaufte Kontakte, muss sichergestellt sein, dass jede dieser Personen eine Einwilligung gegeben hat. Die Einwilligung muss klar darstellen, dass die Art, wie mit den Daten umgegangen wird, dem Betroffenen bekannt ist.

Im Tulos-Blog „Datenschutz im Vertrieb richtig angewendet“ finden Sie ein typisches Beispiel, wie ein kleiner Verstoß, für den nur 10,00€ Strafe verhängt wurde, sich schnell zu einer sehr hohen Strafe aufgeblasen hat. Dann nämlich, wenn man tausende Adressen ohne klare Einwilligung verarbeitet und sich die – auf den ersten Blick klein erscheinenden 10,00€ – zu einer sechsstelligen Summe multiplizieren.

Fazit

Datensammeln und Aufbereitung ist verboten. Hier muss man besonders auf die Gesetze achten, damit eine gut gemeinte Kampagne nicht in einer teuren juristischen Auseinandersetzung endet.

Bei jeder Marketingkampagne und der Erstellung von Webseiten lohnt es sich, einen Datenschutzbeauftragten hinzuzuziehen. Denn der kennt die Linien zwischen legaler und illegaler Datenverarbeitung. Tulos Experten kennen sich zudem auch mit den technischen Systemen aus und können bei der Umsetzung fachlich zur Seite stehen.

By |2. September 2022|Categories: Tulos Blog|Tags: , , , , |0 Comments
Read More

IT-Sicherheit & Datenschutz aus Köln

Tulos Consulting GmbH
Christophstraße 15-17, 50670 Köln NRW
 0221 54812 944‬
  hello@tulos.de https://tulos.de/wp-content/uploads/2022/01/logo-tulos-280px.png
0221 54812 944‬
hello@tulos.de
Zum Kontaktformular
Tulos IT-Sicherheit und Datenschutz aus Köln

5 von 5 Sterne bei 10 Bewertungen auf Google.

Von Tulos erbrachte Leistungen werden vom Staat gefördert

Besondere Branchenkentnisse

Datenschutz für Hausverwaltung & Immobilienwirtschaft | Datenschutz für Online-Shops | Datenschutz für M&A-Berater | Datenschutz für Arztpraxis

2025 Tulos Consulting GmbH|Impressum|Datenschutz

Erfahren Sie mehr zu unseren Services & Angeboten

Interesse an: *

Mit * markierte Felder sind Pflichtfelder.

Mehr Kundenvertrauen durch Tulos Secured Siegel

Wirksamer Schutz vor teuren Datenschutz-Abmahnungen

Mehr Sicherheit in den digitalen Wertschöpfungsketten

Datenschutz und Informations-Sicherheit schützen Unternehmen vor DSGVO Strafen und Cyber Schäden. IT-Sicherheit ist hiervon ein wichtiger Bestandteil, denn die Digitalisierung entwickelt sich rasant in alle Bereiche unseres Lebens und in den Unternehmen. Daher ist ein kontrollierbarer Umgang mit vertraulichen  Daten nicht nur gesetzlich vorgeschrieben, er ist auch Erfolgsfaktor. Der richtige Umgang mit Informationstechnologie hat direkten Einfluss auf die Betriebskosten und selbstverständlich auch auf den Schutz unternehmens-wichtiger-Daten. Das gilt für alle Formen der Datenverarbeitungen, egal ob analoge Archive, eigene Server oder vernetzte Cloud-Systeme.

Für die Umsetzung der Datenschutzgesetzte und Datensicherheit arbeiten die DSGVO und Standards für Informationssicherheit Hand in Hand. Daher ist, für eine wirksame Umsetzung, Expertise in beiden Bereichen wichtig, nämlich Erfahrung in der DSGVO und ISO 27001 und BSI. Ein gut eingeführtes Informations-Sicherheits-Management-System (ISMS), verhindert nicht nur wirtschaftliche Schäden. Standardisierte Abläufe für Betrieb und Technik reduzieren auch die Kosten.

Der Umgang mit Daten muss beherrschbar sein. Cyber-Schäden oder Strafen durch DSGVO-Verstöße können schnell zu teuren Aufwänden führen oder Kunden-Vertrauen beschädigen. Kalkulierbare Risiken sollten daher integraler Bestandteil im Unternehmen sein, nicht nur bei  digitalen Betriebsprozessen.

Tulos-Berater sind zertifizierte Datenschutzbeauftragte nach DSGVO, Lead Auditoren nach ISO 27001 sowie erfahrene Projektleiter mit PMP/ Six Sigma Master Blackbelt.

Unsere „Best Practice-Methoden“ sind auf das Zusammenspiel von operativen Geschäftsprozessen, Technologie und betriebswirtschaftlichen Erfordernissen ausgerichtet.

Bei Tulos erhalten Sie Datenschutz und Informationssicherheit aus einer Hand, für eine wirksame Umsetzung aller wichtigen Erfordernisse.

Go to Top