DSGVO vereinfacht – Eine Anleitung für Ihr kleines Unternehmen
Sehen Sie sich alle unsere Inhalte für Kleinunternehmen unter Kleine Unternehmen – Hilfe und Lernen an.
Wie Sie mit Hilfe von Microsoft 365 die Anforderungen der Datenschutz-Grundverordnung erfüllen können.
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), die vorschreibt, wie eine Organisation mit personenbezogenen Daten umgehen soll. Wenn Ihr Unternehmen etwas an Bürger/innen der Europäischen Union verkauft, Dienstleistungen für diese erbringt oder diese beschäftigt, hat die DSGVO Auswirkungen auf Sie.
Als Administrator eines kleinen Unternehmens fragen Sie sich jetzt vielleicht: „wo fange ich nur an?“ Dies kann besonders dann der Fall sein, wenn die Hauptgeschäftsaktivität Ihres Unternehmens keine Verarbeitung personenbezogener Daten umfasst, oder wenn die DSGVO für Sie noch völlig unverständlich ist.
Wir wollen Ihnen mit diesem Artikel helfen. Er soll Ihnen helfen zu verstehen, was die DSGVO ist, warum sie entstanden ist und wie Microsoft 365 für Unternehmen Ihrer Organisation helfen kann, die Anforderungen der DSGVO einzuhalten.
Im weiteren haben wir auch Antworten auf häufig gestellte Fragen zur DSGVO zusammengestellt, und beschreiben die Schritte, die ein kleines oder mittelständisches Unternehmen zur Vorbereitung auf die DSGVO ausführen kann.
Wichtig
Die Lösungen und Empfehlungen von Microsoft 365 in diesem Artikel sind Werkzeuge und Ressourcen, die Ihnen helfen können, Ihre Daten zu verwalten und zu schützen. Sie sind jedoch keine Garantie für die Datenschutzkonformität. Es liegt an Ihnen, Ihren eigenen Status zu bewerten. Wenden Sie sich bei Bedarf an Ihre eigenen rechtlichen und/oder professionellen Berater. Wenden Sie sich bei Bedarf an Ihre eigenen rechtlichen und/oder professionellen Berater.
Ein kurzer Überblick über die DSGVO
Die DSGVO ist eine EU-Verordnung, welche die 1995 erstmals erlassene frühere Datenschutzrichtlinie (Data Protection Directive, DPD) aktualisiert und erweitert. Die DSGVO befasst sich mit dem Schutz der Daten einer Einzelperson, egal ob es sich dabei um einen Klienten, Kunden, Mitarbeiter oder Geschäftspartner handelt. Das Ziel der DSGVO ist es, den Schutz von personenbezogenen Daten für EU-Bürger zu stärken, unabhängig davon, ob sie in der EU ihren Wohnsitz haben oder außerhalb. Die Verordnung definiert die grundlegenden Erwartungen an den Datenschutz und gibt Ratschläge, wie diese erfüllt werden können. Organisationen müssen die geeigneten technischen und organisatorischen Maßnahmen treffen, um einen angemessenen Schutz personenbezogener Daten zu gewährleisten und damit die die Anforderungen der DSGVO zu erfüllen.
In der DSGVO geht es genau um diese Daten und wie sie verwendet werden. Stellen Sie sich vor, dass personenbezogene Daten einen Lebenszyklus haben. Der Zyklus startet, wenn Sie die Daten erfassen, geht weiter, wenn und wie Sie diese speichern und verwenden (verarbeiten), und er endet, wenn Sie die Daten vollständig von Ihren Systemen löschen.
Die DSGVO befasst sich mit folgenden Arten von Daten:
Personenbezogene Daten: Wenn Sie Daten mit einer Einzelperson in Verbindung bringen und diese damit identifizieren können, dann gelten diese Daten im Hinblick auf die DSGVO als personenbezogen. Beispiele für personenbezogenen Daten sind Name, Adresse, Geburtsdatum und IP-Adresse. Die DSGVO betrachtet sogar verschlüsselte Informationen (auch bekannt als „pseudonyme“ Informationen) als personenbezogene Daten, unabhängig davon, wie undurchsichtig oder technisch die Daten sind, solange die Daten mit einer Einzelperson verknüpft werden können.
Vertrauliche personenbezogene Daten: Dies sind Daten, die weitere sensible oder vertrauliche Details zu personenbezogenen Daten hinzufügen. Beispiele sind Religion, Mitgliedschaft in Gewerkschaften, ethnische Herkunft und so weiter. Biometrische oder genetische Daten sind ebenfalls vertrauliche personenbezogene Daten. Nach der DSGVO gelten für vertrauliche Daten strengere Schutzregeln als für personenbezogene Daten, beziehungsweise ist deren Verarbeitung ohne triftige Gründe sogar untersagt.
DSGVO-Begriffe
Sie finden hier einige Begriffe, auf in der DSGVO häufig Bezug genommen wird. Es ist wichtig, dass Sie diese Begriffe verstehen.
Zustimmung:
In der DSGVO heißt es: "Die Verarbeitung personenbezogener Daten sollte dem Menschen dienen." Die DSGVO hofft, dieses Ziel durch die Zustimmung bei der Verarbeitung personenbezogener Daten zu erreichen. Das könnte der einfache Vorgang sein, Ihre Kunden zu fragen, ob sie E-Mail-Nachrichten von Ihrem Unternehmen erhalten möchten. Es bedeutet auch, dass Sie keine Kontrollkästchen zum Ablehnen mehr auf Ihrer Website haben, wenn Sie Daten für Marketingzwecke verwenden möchten. Sie müssen die ausdrückliche Zustimmung durch eine „eindeutige bestätigende Handlung“ einholen. Außerdem müssen Sie Aufzeichnungen darüber führen, wann eine Zustimmung erteilt oder widerrufen wird.
Rechte betroffener Personen:
Die DSGVO legt Rechte von betroffenen Personen fest, was bedeutet, dass Kunden, Mitarbeiter, Geschäftspartner, Klienten, Auftragnehmer, Studenten, Lieferanten usw. in Bezug auf ihre personenbezogenen Daten folgende Rechte haben:
Über Ihre Daten informiert sein: Sie müssen Einzelpersonen darüber informieren, wie Sie deren Daten verwenden.
Auskunftsrecht: Sie müssen Einzelpersonen Zugriff auf alle ihre von Ihnen gehaltenen Daten geben (sei dies durch einen Kontozugang oder auf eine andere manuelle Weise).
Recht auf Berichtigung der Daten: Einzelpersonen können von Ihnen verlangen, dass Sie ungenaue Daten korrigieren.
Recht auf Löschung: Dieses Recht – auch als „Recht auf Vergessenwerden“ bekannt – erlaubt es einer Person, zu verlangen, dass ihre von einem Unternehmen gesammelten personenbezogene Daten in allen Systemen gelöscht werden, welche die Daten nutzen oder teilen.
Recht auf Einschränkung der Verarbeitung: Eine Einzelperson kann verlangen, dass Sie die Verarbeitung ihrer Daten einschränken. Dies ist jedoch nur unter bestimmten Umständen anwendbar.
Recht auf Datenübertragbarkeit: Eine Einzelperson kann verlangen, dass ihre Daten an eine andere Firma übertragen werden.
Widerspruchsrecht: Eine Einzelperson kann der Verwendung ihrer Daten für verschiedene Zwecke, einschließlich Direktmarketing, widersprechen.
Verlangen, keiner automatisierten Entscheidungsfindung, einschließlich Profiling, unterworfen zu werden: Die DSGVO hat strenge Regeln für die Verwendung von Daten zur Erstellung von Profilen von Personen und zur Automatisierung von Entscheidungen, die auf dieser Profilerstellung basieren.
Schritte zur Vorbereitung auf die DSGVO
In diesem Abschnitt erfahren Sie, was ein kleines Unternehmen machen kann, um sich auf die DSGVO vorzubereiten. Ein Großteil der Informationen für diese Schritte stammt aus der Veröffentlichung Sieben Schritte für Unternehmen, um sich auf die Datenschutz-Grundverordnung vorzubereiten, die vom Amt für Veröffentlichungen der Europäischen Union bereitgestellt wurde.
Eine gute Startmöglichkeit für ein kleines Unternehmen die DSGVO anzuwenden, besteht darin, bei der Erfassung personenbezogener Daten die folgenden wichtigen Prinzipien anzuwenden:
- Sammeln Sie personenbezogene Daten nur zu dem klar definierten Zweck, für den Sie sie verwenden wollen und verwenden Sie sie für nichts anderes. Wenn Sie Ihre Kund/innen beispielsweise anweisen, Ihnen ihre E-Mail-Adressen zu geben, damit sie Ihre neuen Angebote oder Werbeaktionen erhalten können, können Sie die E-Mail-Adressen nur für diesen bestimmten Zweck verwenden.
- Sammeln Sie nicht mehr Daten, als Sie benötigen. Wenn Ihr Unternehmen beispielsweise eine Postanschrift für die Lieferung von Waren benötigt, benötigen Sie die Adresse der Kund/innen und einen Namen, aber Sie müssen den Familienstand der Person nicht kennen.
Schritt 1: Führen Sie eine Inventur aller personenbezogenen Daten durch, die in Ihrem Unternehmen gesammelt und verwendet werden, und dokumentieren Sie die Gründe, wofür sie benötigt werden
Als kleines Unternehmen sollten Sie zunächst eine Bestandsaufnahme der personenbezogenen Daten erstellen, die Sie in Ihrem Unternehmen sammeln und verwenden, und die Gründe dafür, warum sie benötigt werden. Dies schließt sowohl Daten über ihre Mitarbeiter/innen als auch ihre Kund/innen ein.
Beispielsweise könnten Sie die personenbezogenen Daten Ihrer Mitarbeiter/innen basierend auf dem Arbeitsvertrag und aus rechtlichen Gründen (z. B. für die Steuererklärung) benötigen.
Außerdem könnten Sie Listen einzelner Kund/innen verwalten, um ihnen Benachrichtigungen zu Sonderangeboten zu senden, wenn diese zugestimmt haben.
Microsoft 365-Features, die in Schritt 1 helfen können
Mit Microsoft Purview Information Protection können Sie vertrauliche Informationen in Ihrem Unternehmen ermitteln, klassifizieren und schützen. Sie können trainierbare Klassifizierer verwenden, um Dokumenttypen, die personenbezogene Daten enthalten, zu identifizieren und zu bezeichnen.
Schritt 2: Informieren Sie Ihre Kund/innen, Mitarbeiter/innen und anderen Personen, wenn Sie ihre personenbezogenen Daten erfassen müssen
Einzelpersonen müssen wissen, dass Sie ihre personenbezogenen Daten verarbeiten und wozu. Wenn Kund/innen beispielsweise ein Profil erstellen müssen, um auf die Onlinewebsite Ihres Unternehmens zugreifen zu können, stellen Sie sicher, dass Sie genau angeben, wozu Sie ihre Informationen erfassen.
Es ist jedoch nicht erforderlich, Einzelpersonen zu informieren, die bereits wissen, wie Sie die Daten verwenden werden. Zum Beispiel wenn sie eine Privatadresse für die Lieferung einer Bestellung angeben.
Außerdem müssen Sie Personen auf Anfrage über die personenbezogenen Daten, die Sie über sie gesammelt haben, informieren und ihnen Zugriff auf diese Daten gewähren können. Wenn Ihre Daten gut organisiert sind, können Sie sie bei Bedarf einfacher zu Verfügung stellen.
Schritt 3: Speichern Sie personenbezogener Daten nur so lange wie nötig
Speichern Sie Mitarbeiterdaten so lange, wie das Arbeitsverhältnis besteht und für damit verbundene gesetzliche Verpflichtungen. Speichern Sie Kundendaten so lange, wie die Kundenbeziehung besteht und für damit verbundene gesetzliche Verpflichtungen (z. B. Steuerzwecke). Löschen Sie die Daten, wenn sie für die Zwecke, für die sie gesammelt wurden, nicht mehr benötigt werden.
Microsoft 365-Features, die in Schritt 3 helfen können
Mit Aufbewahrungsrichtlinien und Bezeichnungen können Sie personenbezogene Daten für einen bestimmten Zeitraum speichern und sie löschen, wenn sie nicht mehr benötigt werden.
Schritt 4: Schützen Sie die personenbezogenen Daten, die Sie verarbeiten
Wenn Sie personenbezogene Daten in einem IT-System speichern, beschränken Sie den Zugriff auf die Dateien, die die Daten enthalten, z. B. durch ein sicheres Kennwort. Aktualisieren Sie regelmäßig die Sicherheitseinstellungen Ihres Systems.
Hinweis
Die DSGVO schreibt nicht die Verwendung eines bestimmten IT-Systems vor, aber sie verlangt, dass das System über das angemessene Maß an Sicherheit verfügt. Weitere Informationen finden Sie in DSGVO Artikel 32: Sicherheit der Verarbeitung.
Wenn Sie physische Dokumente mit personenbezogenen Daten speichern, stellen Sie sicher, dass nicht autorisierte Personen nicht darauf zugreifen können.
Wenn Sie sich dafür entscheiden, personenbezogene Daten in der Cloud zu speichern, z. B. mit Microsoft 365, stehen Ihnen Sicherheitsfeatures wie das Verwalten von Berechtigungen für Dateien und Ordner, zentralisierte sichere Speicherorte zum Speichern Ihrer Dateien (OneDrive- oder SharePoint-Dokumentbibliotheken) und die Datenverschlüsselung beim Senden oder Abrufen Ihrer Dateien zu Verfügung.
Microsoft 365-Features, die in Schritt 4 helfen können
Sie können Compliancefeatures einrichten, um die vertraulichen Informationen Ihres Unternehmens zu schützen. Compliance-Manager kann Ihnen gleich bei den ersten Schritten helfen. Beispielsweise können Sie Richtlinien zur Verhinderung von Datenverlust erstellen und bereitstellen , die die DSGVO-Vorlage verwenden.
Schritt 5: Dokumentieren Sie Ihre Datenverarbeitungsaktivitäten
Bereiten Sie ein kurzes Dokument vor, in dem Sie erläutern, welche personenbezogenen Daten Sie aufbewahren und aus welchen Gründen. Möglicherweise müssen Sie diese Dokumentation bei Bedarf der entsprechenden Aufsichtsbehörde zur Verfügung stellen.
Solche Dokumente sollten die folgenden Informationen enthalten.
| Informationen | Beispiele |
|---|---|
| Zweck der Datenverarbeitung | Kund/innen über Sonderangebote wie Lieferung frei Haus benachrichtigen; Lieferant/innen bezahlen; Gehalt und Sozialversicherungsabdeckung für Mitarbeiter/innen |
| Arten der personenbezogenen Daten | Kontaktdetails von Kund/innen; Kontaktdetails von Lieferant/innen; Mitarbeiterdaten |
| Kategorien der betroffenen Personen | Mitarbeiter/innen; Kund/innen; Lieferant/innen |
| Kategorien der Empfänger | Arbeitsbehörden; Steuerbehörden |
| Speicherzeiträume | Personenbezogene Daten der Mitarbeiter/innen bis zum Ende des Arbeitsvertrags (und damit verbundene gesetzliche Verpflichtungen); personenbezogene Daten von Kund/innen bis zum Ende der Kunden-/Vertragsbeziehung |
| Technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten | IT-Systemlösungen werden regelmäßig aktualisiert; geschützter Speicherort; Zugriffssteuerung; Datenverschlüsselung; Datensicherung |
| Ob personenbezogene Daten an Empfänger außerhalb der EU übermittelt werden | Verwendung eines Prozessors außerhalb der EU (z. B. Speicher in der Cloud); Datenspeicherort des Prozessors; vertragliche Verpflichtungen |
Die vertraglichen Verpflichtungen von Microsoft im Hinblick auf die DSGVO finden Sie im Microsoft-Online Services – Nachtrag zum Datenschutz, der die Datenschutz- und Sicherheitsverpflichtungen von Microsoft, die Datenverarbeitungsbedingungen und die DSGVO-Bestimmungen für von Microsoft gehostete Dienste, die Kund/innen im Rahmen eines Volumenlizenzvertrags abonnieren, enthält.
Schritt 6: Sicherstellen, dass Ihre Subunternehmer die Regeln einhalten
Wenn Sie ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten beauftragen, engagieren Sie nur einen Dienstanbieter, der die Verarbeitung gemäß den Anforderungen der DSGVO garantiert (z. B. durch Sicherheitsmaßnahmen).
Schritt 7: Beauftragen Sie eine Person mit der Überwachung des Schutzes personenbezogener Daten
Um personenbezogene Daten besser zu schützen, müssen Organisationen möglicherweise eine/n Datenschutzbeauftragte/nbenennen. Möglicherweise müssen Sie keine/n Datenschutzbeauftragte/n benennen, wenn die Verarbeitung personenbezogener Daten nicht zu den Kernaufgaben Ihres Unternehmens gehört oder wenn Sie ein kleines Unternehmen sind. Wenn Ihr Unternehmen beispielsweise nur Kundendaten für die Lieferung frei Haus sammelt, sollten Sie keine/n Datenschutzbeauftragte/n benötigen. Selbst wenn Sie eine/n Datenschutzbeauftragte/n einsetzen müssen, können diese Aufgaben eventuell einer Person Ihres Unternehmens zusätzlich zu ihren/seinen anderen Aufgaben zuweisen. Oder Sie könnten bei Bedarf externe Berater für diese Aufgabe einstellen.
Normalerweise müssen Sie keine Bewertung der Auswirkungen auf den Datenschutz durchführen. Dies müssen nur Unternehmen, die ein größeres Risiko für personenbezogene Daten darstellen (z. B. wenn sie eine umfangreiche Überwachung eines öffentlich zugänglichen Bereichs durchführen, wie Videoüberwachung).
Wenn Sie ein kleines Unternehmen sind, das Gehälter von Mitarbeiter/innen und eine Liste von Kund/innen verwaltet, müssen Sie in der Regel keine „Bewertung der Auswirkungen auf den Datenschutz“ durchführen.
Häufige Fragen kleiner Unternehmen zur DSGVO
Ich bin ein Einzelunternehmer – muss ich mir wirklich Sorgen um die DSGVO machen?
Die DSGVO dreht sich um die Daten, die Sie verarbeiten, nicht um die Anzahl Mitarbeiter, die Sie haben. Sie betrifft Unternehmen aller Größen, selbst Einzelunternehmen. Für Unternehmen mit weniger als 250 Mitarbeitern gibt es jedoch einige Ausnahmen, wie z. B. eine reduzierte Aufzeichnungspflicht, aber nur, wenn Sie sicher sind, dass die Datenverarbeitung die Rechte der Einzelperson nicht beeinträchtigt und es sich um eine gelegentliche Verarbeitung handelt.
So wäre zum Beispiel die Verarbeitung nicht personenbezogener Daten ausgenommen oder würde reduzierte Maßnahmen benötigen. Wenn Sie jedoch Daten verarbeiten, die als „Spezialkategorie vertrauliche Daten“ angesehen werden, auch wenn dies nur gelegentlich geschieht, müssen Sie diese Datenverarbeitung protokollieren. Die Definition „gelegentliche Verarbeitung“ ist vage, soll aber für Daten gelten, die einmal oder selten verwendet werden.
Sie sollten ebenfalls sicherstellen, dass von Ihnen gesammelte personenbezogene Daten geschützt sind. Dies bedeutet, dass Sie diese verschlüsseln und sicherstellen müssen, dass der Zugriff darauf mindestens über ein Kennwort kontrolliert wird. Das Aufbewahren Ihrer Kundendaten in einer Tabellenkalkulation auf Ihrem Desktop ohne Schutz wird die Erwartungen der DSGVO nicht erfüllen.
Wie kann ich feststellen, ob unsere Unternehmenswebsite DSGVO-konform ist?
Die erste Frage, die Sie sich stellen müssen, ist diese: Sammeln Sie irgendwo auf Ihrer Website personenbezogene Daten? Sie könnten beispielsweise ein Kontaktformular haben, das nach einem Namen und einer E-Mail-Adresse fragt. Wenn Sie Marketing-E-Mails versenden möchten, fügen Sie unbedingt ein Kontrollkästchen „Zustimmung“ hinzu, das genau erklärt, wofür Sie die Daten verwenden werden. Nur wenn der Empfänger dieses Kontrollkästchen ankreuzt, können Sie seine personenbezogenen Daten für Marketingzwecke verwenden.
Überprüfen Sie ebenfalls, ob die Datenbank, welche die Daten speichert, geschützt ist. Ihr Webhosting-Unternehmen oder Ihr Cloudspeicher-Anbieter kann Sie dazu beraten. Wenn Sie Microsoft 365 für Unternehmen verwenden, ist die Datenspeicherung DSGVO-konform.
Mein Unternehmen befindet sich außerhalb von Europa. Betrifft uns die DSGVO wirklich?
Die DSGVO ist eine Verordnung, die EU-Bürger schützt. Wenn Ihr Unternehmen jetzt mit EU-Bürgern Geschäfte tätigt, oder hofft, dies in der Zukunft zu tun, dann werden Sie betroffen sein. Dies betrifft sowohl Bürger, die in einem EU-Staat leben, als auch diejenigen, die anderswo leben.
Betrachten Sie die folgenden Beispiele:
Ein US-Unternehmen, welches Autos an EU-Bürger vermietet, muss die Anforderungen der DSGVO erfüllen, wenn es die Daten des Kunden sammelt und verarbeitet. Das Unternehmen muss die Zustimmung einholen, wenn es die Daten des Kunden entgegennimmt und sicherstellen, dass die Daten sicher gespeichert werden. Es muss auch sicherstellen, dass der Kunde alle seine Rechte von betroffenen Personen anwenden kann.
Ein australisches Unternehmen verkauft Produkte online, und seine Benutzer richten Online-Konten ein. Die Rechte von betroffenen Personen nach DSGVO und die Zustimmung werden auf EU-Bürger angewendet werden, die ein Konto eröffnen. Das Unternehmen muss sicherstellen, dass der Kunde alle seine Rechte von betroffenen Personen anwenden kann.
Eine internationale Wohltätigkeitsorganisation sammelt Daten über Spender und nutzt diese, um Neuigkeiten und Spendenaufrufe zu versenden. In der DSGVO heißt es: "... die Verarbeitung personenbezogener Daten für Direktmarketingzwecke kann als aus berechtigtem Interesse durchgeführt angesehen werden." Die Verantwortung liegt jedoch beim organization, nachzuweisen, dass ihre Interessen denen der betroffenen Person überschreiben. Das Unternehmen (oder in diesem Fall die Wohltätigkeitsorganisation) sollte immer informierte, ausdrückliche, zustimmende Einwilligung erhalten.
Die DSGVO ist auch anwendbar, wenn Kundendaten Grenzen überschreiten. Wenn Sie Cloud-Computing für die Datenspeicherung verwenden, müssen Sie sicherstellen, dass der Dienst vollständig DSGVO-konform ist. Es kann kompliziert werden, wenn sich die Datenspeicherung an Orten befindet, die bezüglich Datenschutz einen schlechten Ruf haben. Wenn Sie Microsoft 365 für Unternehmen verwenden, verfügen wir über die richtige rechtliche Dokumentation, um die DSGVO-Anforderungen abzudecken.
Sicher, ich sammle Daten, aber ein anderes Unternehmen speichert sie. Bin ich deshalb von der DSGVO befreit?
Wenn Sie Daten sammeln, sind Sie nach der DSGVO in gewissem Maße betroffen. Die DSGVO kennt das Konzept eines Auftragsverarbeiters und eines für die Verarbeitung Verantwortlichen (data controller):
Verantwortlicher: Ein Individuum oder eine Organisation (Sie können gemeinsame Verantwortliche haben), die entscheidet, wie, welche und warum Daten gesammelt werden. Sie könnend die Daten auf den Cloud-Servern eines anderen Unternehmens speichern. Eine Website, welche Kundendaten sammelt, ist beispielsweise ein „Verantwortlicher“.
Auftragsverarbeiter: Ein Individuum oder eine Organisation, welche Daten im Auftrag des/der Verantwortlichen speichert und diese Daten nach Anforderung verarbeitet. Bei der Datenspeicherung in Microsoft 365 agiert Microsoft als Auftragsverarbeiter und sichert vertraglich die Einhaltung der Anforderungen an eine solchen zu.
Eine Organisation oder ein System kann sowohl als Verantwortlicher wie auch als Auftragsverarbeiter agieren. Microsoft 365 für Unternehmen agiert für ihre Kundendaten als Auftragsverarbeiter und hat entsprechend die erforderlichen technischen und organisatorischen Anforderungen der DSGVO umgesetzt.
Kann ich weiterhin Marketing-E-Mails an meine alten Kunden senden?
Sie müssen sicherstellen, dass Ihre Kunden – auch solche, die Sie schon seit Jahren haben – der Verwendung ihrer Daten für Marketingzwecke zugestimmt haben. Sie haben die Zustimmung möglicherweise früher erfasst, und haben ebenfalls eine Aufzeichnung, um dies zu belegen. Wenn ja, dann können Sie mit dem Marketing fortfahren. Wenn nein, dann müssen Sie die Einwilligung des Kunden einholen, damit Sie ihm weiterhin Marketingnachrichten senden dürfen. Dies beinhaltet in der Regel das Versenden einer E-Mail, in der die Kunden aufgefordert werden, auf Ihre Website zu gehen und eine Option auszuwählen, mit der sie dem Erhalt zukünftiger E-Mails zustimmen.
Muss ich mir Gedanken über die DSGVO machen, wenn ich neue Mitarbeiter einstelle? Wie sieht es für bestehende Mitarbeiter aus?
Die DSGVO betrifft nicht nur Kundendaten, sondern auch die Daten von Mitarbeitern. Neue Mitarbeiter werden oft über Social-Media-Plattformen wie LinkedIn gefunden. Stellen Sie sicher, dass Sie keine Daten von potenziellen Mitarbeitern ohne deren ausdrückliche Zustimmung speichern.
Was bestehende Mitarbeiter und neue Mitarbeiterverträge betrifft, so setzt eine Unterschrift am Ende eines Vertrages nicht unbedingt eine Zustimmung voraus, insbesondere dann nicht, wenn eine nicht-bejahende Klausel in einem Vertrag verwendet wird. In diesem Fall müssen Sie die Zustimmung in Verbindung mit der Klausel auf eine explizite Art und Weise erfassen. Was dies bedeutet, hängt von Ihrem Mitarbeitervertrag ab. In einigen Fällen können Sie jedoch „berechtigtes Interesse“ verwenden und einen Hinweis zur Verarbeitung von Mitarbeiterdaten hinzufügen, um sicherzustellen, dass Ihre Mitarbeiter wissen, was Sie mit ihren Daten tun werden.
Datenschutzbedenken mit Microsoft 365 für Unternehmen addressieren
DSGVO-konform zu sein bedeutet sicherzustellen, dass personenbezogene Daten geschützt sind. Die DSGVO basiert auf einem Konzept, das als „Datenschutz als Konzept und Standard“ bekannt ist. Dies bedeutet, dass der Datenschutz in ein System und ein Produkt „eingebacken“ sein sollte, so dass die Befriedigung von Datenschutzbedenken eine Selbstverständlichkeit ist.
Ein kleines Unternehmen benötigt genau gleich wie ein größeres Zweckmäßigkeit, ohne auf Sicherheit verzichten zu müssen. Microsoft 365 für Unternehmen ist für Firmen mit weniger als 300 Mitarbeitern konzipiert. Kleine Unternehmen können die cloudbasierten Werkzeuge von Microsoft einsetzen, um die Geschäftsproduktivität zu steigern. Ein kleines Unternehmen kann mit Microsoft 365 für Unternehmen E-Mails, Dokumentationen und sogar Besprechungen und Ereignisse verwalten. Es verfügt ebenfalls über integrierte Sicherheitsmaßnahmen und eine Geräteverwaltung, welche für die DSGVO-Compliance unerlässlich sind.
Microsoft 365 für Unternehmen kann Sie beim DSGVO-Prozess auf folgende Weise unterstützen:
Entdecken: Ein wichtiger Schritt hin zur DSGVO-Compliance ist es, zu wissen, welche Daten Sie haben.
Verwalten: Die Steuerung des Zugriffs auf Daten und die Verwaltung ihrer Verwendung ist ein integrierter Bestandteil der DSGVO. Microsoft 365 für Unternehmen schützt Unternehmensdaten basierend auf Richtlinien, welche Sie auf Geräte anwenden wollen. Die Geräteverwaltung ist unerlässlich in einer Zeit, in welcher Mitarbeiter mobil arbeiten. Microsoft 365 für Unternehmen enthält Geräteverwaltungsfunktionen, mit denen sichergestellt wird, dass Daten auf allen Geräten geschützt sind. Sie können beispielsweise festlegen, dass alle Windows 10-Geräte in Ihrem Unternehmen über Windows Defender geschützt werden.
Schützen: Microsoft 365 für Unternehmen ist für Sicherheit konzipiert. Die Geräteverwaltung und die Datenschutzkontrollen funktionieren in Ihrem gesamten Unternehmensnetzwerk, einschließlich Remote-Geräten, um die Datensicherheit zu gewährleisten. Microsoft 365 business bietet Steuerelemente wie Datenschutzeinstellungen in Microsoft 365-Apps und Verschlüsselung von Dokumenten. Mit Microsoft 365 für Unternehmen können Sie die DSGVO-Compliance überwachen, um sicherzustellen, dass Sie das richtige Schutzniveau festgelegt haben.
Berichte: Die DSGVO legt großen Wert auf die Berichterstellung. Selbst ein Unternehmen mit einem einzelnen Mitarbeiter muss, wenn dieses Unternehmen große Datenmengen verarbeitet, seine Abläufe dokumentieren und darüber Bericht erstellen. Microsoft 365 für Unternehmen erleichtert kleinen Organisationen die Einhaltung der Berichterstellungsanforderungen.
Werkzeuge wie Überwachungsprotokolle erlauben Ihnen, die Datenbewegung nachzuverfolgen und darüber Bericht zu erstellen. Zu den Berichten gehört die Klassifizierung der Daten, die Sie sammeln und speichern, was Sie mit den Daten machen, und die Weitergabe der Daten.
Kunden, Mitarbeiter und Klienten werden sich der Bedeutung des Datenschutzes immer bewusster und erwarten nun von einem Unternehmen oder einer Organisation, dass sie diesen Datenschutz respektieren. Microsoft 365 für Unternehmen bietet Ihnen die Werkzeuge, mit denen Sie die DSGVO-Compliance erreichen und aufrechterhalten können, ohne Ihr Unternehmen massiv umwälzen zu müssen.
Nächste Schritte
Um sich auf die DSGVO vorzubereiten, finden Sie hier einige Vorschläge für die nächsten Schritte:
Bewerten Sie Ihr DSGVO-Programm mit Prüflisten zu den Verantwortlichkeiten.
Beurteilen Sie Microsoft 365 für Unternehmen als Lösung, um die DSGVO-Compliance zu erreichen und aufrechtzuerhalten.
Wichtig
Holen Sie sich eine für Ihr Unternehmen oder Ihre Organisation geeignete Rechtsberatung.
Zusätzliche Ressourcen
Microsoft Trust Center: Überblick über die DSGVO
Der offizielle Microsoft-Blog: Microsoft-Verpflichtung zur DSGVO
Websites der Europäischen Kommission:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für