Branchenlösungen

Nicht jedes Unternehmen, jede Praxis oder Agentur ist verpflichtet, einen Datenschutzbeauftragten zu bestellen. Der Schwellenwert gem. Bundesdatenschutzgesetz liegt bei 20 Mitarbeitern. Andere Unternehmen haben einen eigenen Mitarbeiter zum Datenschutzbeauftragten bestellt, dieser muss sich jedoch erst mit dem umfangreichen Thema vertraut machen. Das erfordert Ressourcen an Zeit und Geld. Seine eigentliche Tätigkeit kann der Mitarbeiter mitunter ganz oder teilweise nicht mehr ausüben.

Wir können Ihnen helfen!

Für Unternehmer, Inhaber oder betriebliche Datenschutzbeauftragte, denen der Datenschutz zu komplex ist und wertvolle Arbeitszeit raubt, haben wir ein Datenschutzpaket zusammengestellt. Mit unseren Tools und unserem Know-how können wir Sie unterstützen, Ihre Aufgaben umzusetzen und gesetzliche Vorgaben effektiv zu erfüllen. Für Branchen, die aus unserer Erfahrung risikobehaftet sind, was den Verstoß gegen datenschutzrechtliche Anforderungen, in Verbindung mit zu erwartenden Sanktionen und Bußgeldern, betrifft, bieten wir unsere Tools und Vorlagen an, um insbesondere den Dokumentationspflichten nachzukommen.

Grundpaket

  • individueller Account auf unser Datenschutz-Management-System
  • individueller Account auf unser Onlineschulungstool zum Datenschutz
  • Bereitstellung von branchenspezifischen Unterlagen (Richtlinien, Arbeitsanweisungen, Vereinbarungen, …) als Entwurf
  • branchenspezifische Vorlagen für Verzeichnis für Verarbeitungstätigkeiten
  • Verzeichnis zu branchenspezifische Auftragsdatenverarbeiter

optional

  • Webseiten-Check inkl. Prüfung/Anpassung Datenschutzerklärung
  • Bereitstellung eines Consent Manager Tools (umgangssprachlich Cookiebanner) für die eigene Webseite (über Kooperationspartner)
  • Prüfung von Datenschutzvereinbarungen (AVV) und Unterstützung bei der Kommunikation mit den Dienstleistern
  • individuelle Beratung zu Datenschutzthemen auf Anfrage (Probleme, die Sie nicht lösen können oder wollen) via Telefon oder Video
  • Durchführung von Datenschutzaudits vor Ort oder online inkl. Bericht

Preis

vertragliche Mindestlaufzeit
Grundpaket 3 Jahre 5 Jahre
Monatspauschale        98,00           84,80
Jahr*   1.176,00      1.017,60
* 10 % Rabatt bei vorab Zahlung des jährlichen Gesamtbetrags
optional
jeder zusätzliche Account ZDMS        25,00  monatlich
Webseitencheck    100,00  einmalig pro URL
Consent-Manager        15,00  pro Monat
Coaching        75,00  pro Stunde
Datenschutzaudit  auf Anfrage

Sie haben die Möglichkeit, unsere Tools 1 Monat kostenfrei zu testen. Wenden Sie sich dazu bitte an uns.

Alle Preiseangaben in EURO zzgl. der gesetzlichen Mehrwertsteuer.

Wir betreuen über 50 Hotels in Deutschland und Österreich. Profitieren Sie von unseren Erfahrungen! Ob Einzelhotel oder Hotelgruppe, wir kennen die Lösung.

Gastdaten in der Hotellerie zeichnen sich insbesondere durch drei Dinge aus: Das Hotel erhält die Daten auf den unterschiedlichsten Wegen, viele Daten werden während eines Hotelaufenthaltes automatisch erfasst und es handelt sich bei den gespeicherten Daten meist um sehr persönliche und sensible Informationen über den Gast.

Der Rund-um-Check für Ihre Sicherheit
Wir überprüfen Ihre internen Prozesse, damit Ihre Gäste besser schlafen und Sie sich darauf konzentrieren können, ein guter Gastgeber zu sein. Von der Gastdatenverwaltung bis zum Onlinebuchungssystem, von der Reservierung bis zum elektronischen Meldeschein, von der E-Mail bis zum Newsletter, vom Webauftritt bis zum Hotelbewertungstool schauen wir auf alle wichtigen Aspekte, damit Sie alle gesetzlichen Anforderungen erfüllen. Wichtig ist aber auch, dass alle Mitarbeiter über die datenschutzrechtlichen und datensicherheitstechnischen Anforderungen Kenntnis haben. Minimieren Sie Ihr geschäftliches Risiko und sorgen Sie durch ein hohes Maß an Sicherheit für die Zufriedenheit Ihrer Gäste!

Als externer Datenschutzbeauftragter unterstützen wir die Hotelleitung bei der Umsetzung von Datenschutzmaßnahmen. Gern begleiten wir auch den eigenen betrieblichen Datenschutzbeauftragten und bauen zusammen mit ihm ein Datenschutzmanagement System (DSMS) auf. Kontaktieren Sie uns!

Kleinen und mittleren Hotels, wo ein Mitarbeiter die Aufgaben des Datenschutzbeauftragen neben der täglichen Arbeit mit erledigt oder wo kein Datenschutzbeauftragter bestellt werden muss, da nicht mehr als 20 Mitarbeiter im Hotel tätig sind, bieten wir auch unsere Unterstützung an. Diesen Hotels, Pensionen aber auch Restaurants bieten wir unsere Softwarelösungen (Datenschutz-Management-System und Onlineschulung Datenschutz) zusammen mit vorgefertigten, hotelspezifischen Dokumenten und dem Verfahrensverzeichnis an.

Erfahren Sie oben mehr.

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich die Daten meiner Gäste nach den gesetzlichen Anforderungen?
  • Reichen meine Sicherheitsvorkehrungen im Hotel aus, um die Daten ausreichend zu schützen?
  • Beachte ich die Vorgaben des PCI-DSS Standards der Kreditkartenindustrie?
  • Was muss ich bei der Aufbewahrung von Reservierungsunterlagen, Meldescheinen und Kreditkartenabrechungen beachten?
  • Sind die vertraglichen Beziehungen zu Dienstleistern, die der Auftragsdatenverarbeitung unterliegen, ausreichend geregelt?
  • Darf ich in einem Hotelverbund einfach die Gastdaten weitergeben?
  • Ist meine IT ausreichend geschützt?
  • Erfüllt mein Webauftritt die gesetzlichen Anforderungen?
  • Entsprechen meine Werbemaßnahmen den Anforderungen des Wettbewerbs- und Datenschutzgesetzes?
  • Ist die Erteilung von Auskünften von Daten ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Datenschutz in der Arztpraxis

Die Verarbeitung von Gesundheitsdaten gehört zum sensibelsten Bereich des Datenschutzes. An die Verarbeitung von personenbezogenen Gesundheitsdaten stellt die  DSGVO sehr hohe Anforderungen, um das Risiko eines möglichen Datenmissbrauches oder Datenverlustes zu minimieren. Die Verantwortung für die Daten von Patienten liegt beim Arzt oder Praxisbetreiber. Sie sind immer für den Schutz und die Sicherheit der Patientendaten verantwortlich, die in der Praxis erhoben oder verarbeitet werden.

Sie möchten die Sicherheit im Umgang mit den Patientendaten erhöhen und datenschutzrechtliche Anforderungen zielgerichtet umsetzten? Dann können Sie sich vertrauensvoll an uns wenden.

Der Rund-um-Check für Ihre Sicherheit
Das Vertrauen zwischen Arzt und Patient ist eine wichtige Voraussetzung für eine erfolgreiche Behandlung. Schützen und bestärken Sie das Vertrauen der Patienten durch optimale interne Prozesse. Von der Patientenverwaltung bis hin zum E-Mail-System, vom Webauftritt bis zum WLAN schauen wir auf alle wichtigen Aspekte, damit Sie alle gesetzlichen Anforderungen erfüllen und Kriminelle keine Chance haben. Minimieren Sie Ihr geschäftliches Risiko und sorgen Sie durch ein hohes Maß an Sicherheit für die Zufriedenheit Ihrer Patienten!

Arztpraxen haben ganz eigene Herausforderungen an den Umgang mit Patientendaten, denn diese unterliegen einem besonderen Schutzbedürfnis. Neben einem verantwortungsvollem Umgang mit der Patientenakte und den im Computer gespeicherten Daten liegt auch der Schwerpunkt auf eine sichere Weitergabe von Patientendaten an andere behandelnde Ärzte oder andere Gesundheitseinrichtungen.

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich Patientendaten nach den gesetzlichen Anforderungen?
  • Reichen meine Sicherheitsvorkehrungen in der Arztpraxis aus, um die Patientendaten ausreichend zu schützen?
  • Ist meine IT ausreichend geschützt?
  • Erfüllt mein Webauftritt die gesetzlichen Anforderungen?
  • Reichen meine Schutzmechanismen bei der Übermittlung von Patientendaten an Dritte aus?
  • Ist die Erteilung von Auskünften ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Die Beratung von Arztpraxen im Hinblick auf Datenschutz und Datensicherheit mit all ihren Farcetten ist unsere Bestimmung. Dabei unterstützen wir (neue) interne Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben oder sind als externe Datenschutzbeauftragte tätig.

Seit 2006 beraten wir erfolgreich rund um die Themen Datenschutz und Datensicherheit. Maßgeschneiderte Lösungen, welche die gesetzlichen Bestimmungen erfüllen, aber individuell auf die Arztpraxis abgestimmt sind, stehen dabei für uns im Vordergrund. Dadurch wird das Vertrauen der Patienten gestärkt, das Risiko einer Datenpanne gesenkt und die Akzeptanz bei den Mitarbeitern erhöht.

Start Up’s – Unternehmen und Datenschutz gehören von Anfang an zusammen!

Jung, dynamisch, innovativ und auf Wachstum ausgerichtet, das sind Start up – Unternehmen. Aus einer Idee wird eine geschäftliche Grundlage. Dabei muss der Datenschutz bei Start up’s kein Widerspruch sein. Bringen Sie Ihr Unternehmen in Einklang mit den relevanten Datenschutzgesetzen und vermeiden Sie so Haftungs- und Reputationsschäden. Datenschutz gehört zu den wichtigsten Verantwortungsbereichen eines Geschäftsführers, welcher persönlich bei Datenschutzverletzungen haftet. Der Schutz der Kundendaten spielt gerade im Technologiesektor eine immer wichtigere Rolle und kann ein entscheidender Wettbewerbsvorteil gegenüber der Konkurrenz darstellen. Zeigen Sie Ihren Kunden wie wichtig Sie den Schutz der persönlichen Daten nehmen. In der Startphase des Unternehmens ist die Implementierung von Datenschutzmaßnahmen noch einfach und mit relativ geringem Aufwand verbunden. Wir wachsen mit Ihnen, nutzen Sie unsere Potenziale! Eingefahrene Prozesse zu ändern ist aufwendig und teuer.

Zentrale Datenschutzthemen bei Startup’s

Werbeautritt
Das Aushängeschild eines jeden Unternehmens und besonders der Startup-Unternehmen ist der Webauftritt. Ob nun in den sozialen Medien oder als klassische Website sind vielfältige rechtliche Vorgaben zu beachten, wie z.B. die korrekte Hinterlegung des Impressums. Schaffen Sie Vertrauen zu Ihren Kunden durch transparente Aufklärung zur Erhebung, Speicherung und Nutzung der persönlichen Daten in einer Datenschutzerklärung. Cookies, Google Analytics & Co. sind nützliche Instrumente bei der Analyse der Webseitenbesucher, allerdings nur, wenn diese richtig und datenschutzgerecht eingesetzt werden. Sonst drohen Abmahnungen, die mit hohen Kosten verbunden sein können.

Wir prüfen Ihren Webauftritt aus Datenschutzsicht, damit Sie unbesorgt durchstarten können.

Werbung und Marketing
Besonders in der Startphase kann fehlendes oder unzureichendes Marketing das Aus bedeuten. Die potentiellen Kunden müssen schnell auf das Produkt oder die Dienstleistung aufmerksam gemacht werden, um das erste Geld zu verdienen. Viele Menschen sind schnell genervt, wenn sie von allen Seiten beworben werden – denn Sie sind nicht die Einzigen.

Vermeiden Sie die Verbraucherschutzfallen bei der Werbung per Brief, E-Mail oder SMS!

Werbliche Ansprachen sind in der Datenschutzgrundverordnung und im Gesetz gegen den unlauteren Wettbewerb geregelt. Halten Sie sich an die gesetzlichen Vorgaben? Unter welchen Voraussetzungen kann man Ausnahmeregelungen nutzen? Setzen Sie Ihre Werbungs- und Marketingmaßnahmen gezielt und rechtlich abgesichert ein. Fragen Sie uns!

IT Security
Das Thema IT-Security ist auch für Startup‘s von großer Bedeutung, gerade wenn sie sich im online-Umfeld bewegen. Startups können es sich im wahrsten Sinne nicht leisten, sich für zu klein zu halten und deswegen das Thema IT-Sicherheit zu ignorieren. Es ist daher entscheidend die IT-Sicherheit von Anfang an als erfolgskritische Investition zu betrachten, die so selbstverständlich ist, wie einen Bürostuhl oder Rechner zu kaufen. Schaffen Sie Vertrauen zu Ihren Kunden durch ausreichende Verschlüsselung, starken Authentifizierungsverfahren und anderen sicherheitserhöhenden Mitteln.

Zusammen mit unseren Partnern überprüfen wir Ihre IT-Organisation und unterstützen Sie bei der Absicherung Ihrer IT.

Outsourcing
Zunächst einmal kann der Einkauf von Services bei externen Dienstleistern gerade für Startup’s sehr vorteilhaft sein, insbesondere, wenn Ressourcen wie Kapital, Knowhow und Manpower begrenzt sind und die Unternehmensentwicklung flexibel bleiben soll. Keinesfalls darf das Outsourcing von Leistungen wie IT-Services, Controlling und Marketing als reine Bestell- und Bezahlleistung verstanden werden. Es handelt sich eher um einen sich entwickelnden Prozess und eine enge Partnerschaft zwischen Auftraggeber und Auftragnehmer. Dabei ist zu beachten, dass mitunter wichtige, wenn nicht essentielle Unternehmens- und Kundendaten in die Hände der Dienstleister gegeben werden, die zum Teil auch weit weg im Ausland ihren Sitz haben. Die sorgfältige Auswahl der Dienstleister und die vertragliche Gestaltung sind entscheidend für eine erfolgreiche Zusammenarbeit. Da es sich meist um eine Auftragsverarbeitung handelt sind hier datenschutzrechtliche Voraussetzungen zu schaffen, um auch den gesetzlichen Ansprüchen im Umgang mit personenbezogenen Daten zu genügen. Das Dienstleistungsmanagement ist eine mitunter sehr komplexe Aufgabe, bei der wir Sie gern unterstützen.

Datenschutz für Onlineshop-Betreiber

Kunden die in einem Onlineshop einkaufen, müssen zum Vertragsabschluss Daten zu ihrer Person angeben. Dabei speichert der Shop-Betreiber Daten wie den vollständigen Namen, die Rechnungs- und Lieferanschrift, die Email-Adresse, eventuell die Handynummer sowie je nach angebotenen Zahlungsarten auch Bankdaten. Auch wenn der Datenschutz für viele Betreiber von Onlineshops eine lästige Angelegenheit ist, sollten die jeweiligen gültige Rechtgrundlagen wie das Telemediengesetz und Bundesdatenschutzgesetz beachtet und umgesetzt werden. Anderenfalls können Abmahnungen oder sogar Schadensersatzforderungen die Folge sein, wenn die gespeicherten Daten anderweitig missbraucht oder sogar gestohlen wurden. Datenschutzverstöße oder die Missachtung des Auskunftsrechts können so schnell die Existenzgrundlage gefährden, und das nicht nur bei reinen Onlineshops sondern auch bei Unternehmen, die über ihre Webseite Produkte verkaufen.

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich die Daten meiner Kunden nach den gesetzlichen Anforderungen?
  • Beachte ich die Vorgaben des PCI-DSS Standards der Kreditkartenindustrie?
  • Sind die vertraglichen Beziehungen zu Dienstleistern, insbesondere beim Auslagern von Online-Diensten und Hosting, ausreichend geregelt?
  • Erfüllt mein Webauftritt die sicherheitstechnischen und gesetzlichen Anforderungen?
  • Entsprechen meine Werbemaßnahmen den Anforderungen des Wettbewerbs- und Datenschutzgesetzes?
  • Ist die Erteilung von Auskünften von Daten ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Bildungsträger & Datenschutz

Wir beraten private Bildungseinrichtungen wie Hochschulen, Berufsschulen und Bildungsträger. Seit vielen Jahren sind wir bei unterschiedlichen Bildungsträgern als externe Datenschutzbeauftragte tätig.

Die datenschutzrechtlichen Anforderungen an Bildungsträgern sind sehr umfangreich. Der Umgang mit personenbezogenen Daten gehört bei ihnen zum Tagesgeschäft. Dabei werden oft neben den vertraglich notwendigen Daten umfangreiche Sozialdaten, die einer hohen Vertraulichkeit unterliegen, gespeichert. Bei der Speicherung und Nutzung von Schüler-, Studenten- oder Teilnehmerdaten sind neben den Datenschutzgesetzen viele zusätzliche Gesetzgebungen zu beachten.

Der Rund-um-Check für Ihre Sicherheit
Wir überprüfen Ihre internen Prozesse. Von der Verwaltung der Schüler-, Studenten- und Teilnehmerdaten bis hin zum E-Mail-System, vom Webauftritt bis zum online-Lernportal schauen wir auf alle wichtigen Aspekte, damit Sie alle gesetzlichen Anforderungen erfüllen. Wichtig ist aber auch, dass alle Mitarbeiter über die datenschutzrechtlichen und datensicherheitstechnischen Anforderungen Kenntnis haben. Minimieren Sie Ihr geschäftliches Risiko und sorgen Sie durch ein hohes Maß an Sicherheit für die Zufriedenheit aller Vertragsparteien!

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich die Daten der Schüler, Studenten oder Teilnehmer an Aus- und Weiterbildungsmaßnahmen nach den gesetzlichen Anforderungen?
  • Reichen meine Sicherheitsvorkehrungen in der Schule aus, um die Daten ausreichend zu schützen?
  • Ist meine IT ausreichend geschützt?
  • Erfüllt mein Webauftritt die gesetzlichen Anforderungen?
  • Reichen meine Schutzmechanismen bei der Übermittlung von personenbezogenen Daten an Dritte aus?
  • Ist die Erteilung von Auskünften und Offenbarung von Daten ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Sie möchten die Sicherheit im Umgang mit den personenbezogenen Daten erhöhen und datenschutzrechtliche Anforderungen zielgerichtet umsetzten? Dann können Sie sich vertrauensvoll an uns wenden!

Kontaktnachverfolgung – Chance für Lockerungen im Lockdown

Die Corona-Pandemie fordert nicht nur von der Politik, sondern auch von der Wirtschaft und jedem Unternehmer bis dahin unbekannte Aufgaben anzugehen und zu lösen. Begriffe wie Home Office, Home Schooling, Videokonferenzen kamen schnell im Alltag dazu. Um mit der Pandemie auch das öffentliche Leben wieder aus dem Lockdown zu holen, beschäftigen sich aktuell viele innovative Unternehmen, mit dem Thema Kontaktdatenerfassung und Schnelltest.

Es ist egal welche Form der Kontakterhebung die Betreiber nutzen, die Anforderungen der Politik sind gleichgeblieben. Es muss schnellstmöglich nachvollziehbar sein, welche Person sich in welchem Zeitraum an welchem Ort mit anderen Personen befunden hat. Die Gesundheitsämter übernehmen dabei eine zentrale Aufgabe, denn ihnen obliegt die Nachverfolgung der Kontakte einer Person nach Bekanntwerden einer Infektion bzw. nach einem positiven Corona-Test. Für die Umsetzung von Maßnahmen zur Eindämmung der Pandemie spielen die Erfassung der korrekten Personendaten und die Übermittlung von präzisen Aufenthaltsdaten an die Gesundheitsämter eine entscheidende Rolle. Mit der Einführung einer digitalen Kontakterfassung besteht gleichzeitig die Möglichkeit einer Verifizierung der Personen mittels einer E-Mail-Adresse und einer Handynummer.

Zurzeit nutzen die Anbieter von Systemen für Kontaktnachverfolgung unterschiedlichste Lösungen für die Erfassung und Übermittlung der Daten an die Gesundheitsämter. Die Tatsache, dass sich die Anforderungen an die Systeme zur Kontaktnachverfolgung ständig ändern und erhöhen, nahmen wir zum Anlass, genauer hinzuschauen.

Anfang März 2021 führten wir eine direkte Befragung von 33 Systemanbietern zur Kontaktnachverfolgung auf Basis eines QR-Codes durch, etwa die Hälfte beantworteten unsere Fragen. Die Befragung nutzten wir zur Durchführung einer datenschutzrechtlichen Bewertung, um Restaurants, Hotels, Händlern, Vereinen und vielen anderen Betrieben eine Entscheidungshilfe zu geben.

Schwerpunkt der Bewertung waren Funktionalität und Erfüllung der Anforderungen der DSGVO (datenschutzkonforme Einstellungsmöglichkeiten, Löschkonzept, Integrität und Vertraulichkeit). Bei der Bewertung der Angebote zur Kontaktnachverfolgung haben wir Kriterien festgelegt, die unserer Meinung nach jedes System anbieten sollte. Hier die wichtigsten Fragen:

  • Wie erfolgt die Verifizierung der Person (Mobilnummer, E-Mail)?
  • Wie erfolgt die Erfassung?
  • Wie können dem Gesundheitsamt die Anwesenheitsdokumente zur Verfügung gestellt werden?
  • Wie können die Rechte der Betroffenen (Transparenzpflicht, Recht auf Auskunft, Löschung, Einschränkung und Änderung) erfüllt werden?
  • Wo befinden sich die Daten?
  • Welche zusätzlichen Sicherheiten in der IT bieten die Systeme?
  • Welche vertraglichen Grundlagen, wie eine Vereinbarung zur Datenverarbeitung im Auftrag (AVV) oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit (Joint Controller Agreement) bieten die Anbieter an?

Im Ergebnis unserer Bewertung kommen wir zu folgender Rangfolge in Abhängigkeit der wichtigsten von uns bewerteten Kriterien. Ausschlaggebend waren die Möglichkeiten zur Verifikation der Kontaktdaten, also der Prüfung der E-Mail-Adresse und/oder Mobilnummer.

 

Verifizierung E-Mail/ Telefon Rechte der Betroffenen Systemanforderungen Summe
1 BEVENTIO Check-In www.beventio-checkin.de 2 11 9 20
2 guestident www.guestident.de 2 10 9 19
3 bomcoha® www.bomocha.de 2 8 10 18
4 SmartMeeting Kontakte www.cosynus.de 2 9 9 18
5 Besuchsheld / Easy2Track www.crowdsoft.net/produkte/easy2track/ 2 8 10 18
6 Dish Guest www.dish.co 2 7 8 15
7 COMeIN www.scopevisio.com 1 14 9 23
8 Hygiene-Ranger www.hygiene-ranger.de 1 13 9 22
9 eregister www.corona-eregister.de/ 1 11 10 21
10 VIDA www.vida-app.info 1 8 7 15
11 LamaPoll www.lamapoll.de 0 12 10 22
12 shapefruit MeldeApp www.shapefruit.de 0 10 9 19
13 spotlay www.spotlay.de 0 10 8 18
14 Darfichrein www.darfichrein.de 0 8 9 17
15 kontakterfassung.de www.kontakterfassung.de 0 6 10 16
16 2FDZ www.2fdz.de 0 9 7 16
17 CoronaAssist:PRESENCE www.corona-presence.de 0 9 5 14
18 NotifyMe www.notify-me.ch 0 6 1 7

Alle Lösungsansätze sind derzeit Insellösungen. Durch die luca-App wurde ein zentraler Ansatz thematisiert, was im Grunde auch der richtige Weg ist. So vereinen sich viele Systemanbieter unter der Überschrift „Wir für Digitalisierung“, um im Kampf in der Pandemie einen gemeinsamen Weg zu gehen. Ziel aller Bemühungen ist es, den Gesundheitsämter schnellstmöglich die Informationen zu positiv getesteten Personen und deren Risikobegegnungen bereitzustellen. Ein zentraler Ansatz der Zusammenführung von Kontaktdaten unter Berücksichtigung aller datenschutzrechtlichen Anforderungen scheint hier ein erfolgsversprechender Weg zu sein. Einige Anbieter wie eregister gehen bereits darüber hinaus und informieren die Personen mit einer Risikobegegnung systemseitig. Seitdem die Bundesregierung kostenlose Schnelltests zur Eindämmung der Pandemie beschlossen hat, beschäftigen sich auch hier die Systemanbieter zur Kontaktnachverfolgung mit dem Thema, den persönlichen QR-Code mit einem Corona-Schnelltest zu verknüpfen, um sicherzustellen, dass mit dem Scan des Gastes ein geringes Infektionsrisiko für andere Personen besteht. Die Ergebnisse der ersten Pilotprojekte, wie in Rostock und Tübingen aber auch in den sächsischen Gemeinden Oberwiesenthal und Augustusburg, welche über Ostern ihre Hotels und Restaurants öffnen wollen, werden zeigen, ob uns der eingeschlagene Weg zu einer Normalität zurückführen kann.

Nehmen wir Bezug auf unsere oben gestellten Fragen.

Zunächst sei festzuhalten, dass sich die meisten System insbesondere für Restaurants, Kantinen, Hotels, dem Handel, Bildungseinrichtungen, Vereinen und ihren Sportstätten, Betriebe allgemein, Verkehr oder im privaten Bereich anbieten. Die Erfassung der Daten über den QR-Code erfolgt bei den meisten Anbietern zunächst über die Webseite, wenige Anbieter geben die Möglichkeit, sich über eine App zu registrieren.

Bei der Übermittlung von Kontaktdaten an die Gesundheitsämter bieten eine Großzahl der Anbieter die Generierung von Anwesenheitslisten an, sei es als Ausdruck oder einer CSV-Datei zur Übermittlung an das Gesundheitsamt. Wichtig bei der Betrachtung zur Übermittlung der Daten an die Gesundheitsämter ist, dass nur das jeweils zuständige Gesundheitsamt die erforderlichen Daten aus seinem Zuständigkeitsbereich erhält. Die Übermittlung einer kompletten Anwesenheitshistorie, auch wenn diese zeitlich eingeschränkt werden kann, ist unzulässig. Bei der Übermittlung von elektronisch aufbereiteten Daten ist darauf zu achten, dass dieses verschlüsselt erfolgt. Eine einfache Transportverschlüsselung per E-Mail (TLS) reicht hier nicht aus.

Zur Wahrung der Persönlichkeitsrechte und zur informationellen Selbstbestimmung regelt die DSGVO in Kapitel III die Rechte von Personen. Die Rechte auf Auskunft, Löschung und Berichtigung spielen eine genauso große Rolle wie die Bereitstellung von Informationen zur Datenverarbeitung. Mit Ausnahme eines Anbieters werden die gespeicherten Daten entsprechend den gesetzlichen Vorgaben gelöscht. Bei der Dauer der zu speichernden Daten ist darauf zu achten, dass die Daten schnellstmöglich gelöscht werden. So sind die Aufenthaltsdaten spätestens nach 28 Tagen zu löschen. Bei der Auswahl eines Systems ist darauf zu achten, welche Regelungen es zum Erteilen von Auskünften zu den gespeicherten Daten, sowie der Bearbeitung von Anträgen zur Löschung oder Korrektur gibt. Es sollte vertraglich klar geregelt sein, ob der Systemanbieter, der Betreiber oder beide zusammen dafür verantwortlich sind.

Alle Anbieter speichern ihre Daten auf Servern in Deutschland oder innerhalb der EU. Als verantwortliche Stelle haben Sie als Betreiber sich davon zu überzeugen, dass bei der Nutzung von Nachunternehmen (Hoster) aus einem Drittland (hier Amazon AWS und Microsoft Azure) ausreichende Garantien zugesichert werden. Dabei sind insbesondere die Anforderungen aus dem EuGH Urteil Schrems II aus dem Sommer 2020 zu berücksichtigen.

Für die sichere Verarbeitung der Daten sind die Systemanbieter zu fragen, ob sie ein Datenschutz- und Datensicherheitskonzept zur Verfügung stellen können. Hierin sollten Schwerpunktthemen wie Datenbankarchitektur, Verschlüsselung, Pseudonymisierung und datenschutzfreundliche Voreinstellungen für Apps beschrieben sein. Bei Systemen, die neben den Kontaktdaten auch die Corona-Testergebnisse verarbeiten, wird eine Datenschutz-Folgenabschätzung erforderlich sein.

Bei den meisten Vertragsverhältnissen ist von einer Datenverarbeitung im Auftrag auszugehen. Der Betreiber hat in diesem Fall ein ausschließliches Weisungsrecht gegenüber dem Systemanbieter. Zwei Systemanbieter bieten eine Vereinbarung zur gemeinsamen Verantwortlichkeit an. Dieser Vertragstyp, auch Art. 26 Vereinbarung oder Joint Controller Agreement genannt, wird insbesondere dann erforderlich sein, wenn das System von sich aus eine Meldung an die Gesundheitsämtern macht und/oder die Risikobegegnungen informiert. Dem Betreiber sollten allerdings in diesem Fall noch die Anwesenheitslisten zur Erfüllung der gesetzlichen Anforderungen bereitgestellt werden, solange die landesspezifische, gesetzliche Grundlage nicht etwas anderes zulässt. Anderenfalls ist davon auszugehen, dass der Systembetreiber nur noch selbst als verantwortliche Stelle agiert, und somit eine Vereinbarung zum Datenschutz entbehrlich ist.

 

Mittlerweile gibt es ca. 40 Anbieter von Kontaktnachverfolgungssystemen mit ganz unterschiedlichen Funktionalitäten. Auf Grundlage einer Befragung bei den Anbietern konnten wir ihnen einen Überblick aus datenschutzrechtlicher Sicht geben. Leider haben wir bis heute noch nicht alle Rückmeldungen erhalten. Aus diesem Grund konnten wir diese hier auch nicht berücksichtigen.

Stand | 27.04.2021

Das EuGH-Urteil und die Auswirkungen auf die Nutzung von Dienstleistern für den Datentransfer

Am 16.Juli 2020 sprach der EuGH ein richtungsweisendes Urteil im sogenannten „Schrems II“–Verfahren. Das EuGH stellt mit dem Urteil klar, dass Daten von EU Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn die Daten in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH das Privacy Shield für unwirksam erklärt. Zudem müssen die Länder oder auch Dienstleister zusätzliche Sicherheiten garantieren.

Anbieter aus Drittländern sind dabei Unternehmen, die ihren Hauptsitz außerhalb der EU/EWR haben. Länder, welche aus Sicht der Europäischen Kommission einen ausreichenden Schutz garantieren können, werden in einer Liste der Angemessenheitsbeschlüsse veröffentlicht. Die Europäische Kommission hat bisher Andorra, Argentinien, Kanada (Handelsorganisationen), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay als ausreichenden Schutz anerkannt. Am 30. März 2021 wurden Gespräche mit Südkorea abgeschlossen. Die Europäische Kommission wird für Südkorea das Beschlussfassungsverfahren zur Annahme des Angemessenheitsbeschlusses einleiten.

Was muss bei den benannten „sicheren“ Ländern beachtet werden?

Mit Dienstleistern, die ihren Hauptsitz in „sicheren Drittländern“ haben, ist wie mit Vertragspartnern aus der EU/EWR zu verfahren. Im Vorfeld ist zu prüfen, ob die Verarbeitung der Daten bei oder durch den Dienstleister den Anforderungen der DSGVO entspricht. Wenn dies der Fall ist, ist eine Vereinbarung zur Datenverarbeitung im Sinne Art. 28 DSGVO oder eine Vereinbarung in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO abzuschließen. Genutzt werden können auch die am 04. Juni 2021 von der EU-Kommission veröffentlichten Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeiter. Hier der deutsche oder englische Vertragstext. Die Standardvertragsklauseln zur Auftragsverarbeitung sind allerdings nicht verpflichtend. Es können natürlich immer noch eigene Auftragsverarbeitungsverträge (AVV) verwendet und geschlossen werden. In Anbetracht eines Datentransfers in Drittstaaten bietet dieser Entwurf allerdings Sicherheiten in der Vertragsgestaltung für die Parteien.

Was ist mit allen anderen Ländern?

Diese Länder sind als „unsichere“ Drittstaaten anzusehen. Zu ihnen gehören neben den USA auch Staaten wie China, Russland, Indien. Wie sich der künftige Datentransfer nach Großbritannien nach dessen Austritt aus der EU entwickelt, ist momentan noch nicht absehbar. Die Tendenz geht dahin, dass ein Verfahren für ein Angemessenheitsbeschluss eingeleitet wird.

Für jedes Unternehmen, das als verantwortliche Stelle personenbezogene Daten verarbeitet, ergeben sich aus der neuen Rechtslage eine Vielzahl von Prüfschritten. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat hierzu ein Prüfschema Drittstaatentransfer veröffentlicht.

Im ersten Schritt ist zu prüfen, ob beauftragte Dienstleister aus den unsicheren Drittstaaten direkt oder indirekt (Einbindung von Subunternehmer) genutzt werden. Oftmals nutzen auch europäische Dienstleister Rechenzentren bei Amazon AWS und Microsoft Azure oder auch andere Dienste. Auch wenn die Daten auf europäischen Servern gespeichert werden, so sind es doch amerikanische Anbieter, die den Gesetzen der USA unterliegen. Zu prüfen ist also, ob auf die übermittelten personenbezogenen Daten im Drittland beim Zugriff durch Sicherheitsbehörden ein im Wesentlichen gleichwertiges Schutzniveau besteht (für die USA vom EuGH verneint).

Im nächsten Schritt ist zu prüfen, unter welchen Voraussetzungen Dienstleister trotz dessen genutzt werden können. Neben den abzuschließenden Standarddatenschutzklauseln sind weitere geeignete Garantien durch die Dienstleister sicherzustellen. Dabei spielt die Verschlüsselung der Server und der Datenbank eine wichtige Rolle.

AKTUELLE ÄNDERUNGEN: Am 04. Juni 2021 hat die EU-Kommission die langerwarteten neuen EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer veröffentlicht. Mittlerweile ist allerdings auch der englische Begriff der „Standard Contractual Clauses“ (SCC) in Deutschland fast gebräuchlicher als die deutsche Variante der Bezeichnung. Die entsprechende Pressemitteilung der Kommission finden Sie hier. Die SCC liegen in verschiedenen Sprachen vor, wobei es immer den eigentlichen Durchführungsbeschluss der EU-Kommission und dann den in der Praxis wichtigen Annex mit dem eigentlichen Vertragstext gibt.

Unsere Empfehlung

Prüfen Sie sämtliche Dienstleister ggf. durch einen Datenschutzbeauftragten! Bei der Auswahl neuer Dienstleister beachten Sie die aktuelle Rechtslage. Die SCC sind umgehend anzuwenden bzw. dort erneut abzuschließen, wo die Standardvertragsklauseln mit Stand von 2010 abgeschlossen wurden. Mit anderen Worten, alle! Für bestehende Verträge gilt eine Übergangsfrist bis Dezember 2022.

Stellen Sie sicher, dass die Dienstleister weitere geeignete Garantien zusichern. Sofern die Daten in einem unsicheren Drittland gespeichert werden, empfehlen wir das Gespräch zum Dienstleister zu suchen, um über einen Datenumzug auf dem Territorium der EU/EWR zu sprechen. Dies ist nicht immer leicht umzusetzen, je mehr allerdings auf die Dienstleister zugehen werden, desto eher werden sie ihr Datenverarbeitungskonzept ändern.

Bei einem Dienstleister, der zwar die Daten innerhalb der EU/EWR speichert, allerdings seinen Hauptsitz in einem unsicheren Drittstaat hat, kommt zusätzlich die Möglichkeit von Verschlüsselungstechniken in Betracht. Beachten Sie, dass Sie als verantwortliche Stelle den alleinigen Zugriff auf den Schlüssel besitzen sollten. Große Cloud-Anbieter wie Amazon AWS, Microsoft Azure oder Google Suites bieten hierzu schon Lösungen an, welche in der Regel kostenfrei sind. Weiterhin gibt es Tendenzen, dass große Anbieter eigene Entities in Europa ausgründen, die eine Datenverarbeitung unabhängig von der Muttergesellschaft vornehmen. Damit entfällt die Drittlandsübertragung.

Führen Sie eine Risikobewertung der genutzten Dienste, übermittelten Daten und der von den Dienstleistern zugesicherten Garantien durch. Sollten Ihre Bewertung und Gespräche zu keinem Konsens führen, empfehlen wir einen Anbieterwechsel. Als Verantwortlicher haften Sie für die Datenverarbeitung genauso wie der Auftragsverarbeiter. Es ist Ihre Pflicht, eine rechtskonforme Datenverarbeitung sicherzustellen. Ein Datenverarbeiter in einem unsicheren Drittland wird schwer dafür haftbar zu machen sein, wenn die Anforderungen der DSGVO nicht eingehalten und umgesetzt werden. Es ist davon auszugehen, dass die Schonfrist zur Prüfung durch die Aufsichtsbehörden für Datenschutz abgelaufen ist.