2025 - Q3: Insights & Compliance Update

2025 - Q1: Insights & Compliance Update

Hubspot Integration

Externe Dienste mit dem DCO verbinden (API Integration)

Google Cloud Integration

Amazon Integration

Slack Integration

Informationssicherheit Überblick

Was sind die Schutzziele der Informationssicherheit?

Welche Rechtsgrundlage zur Verarbeitung personenbezogener Daten gibt es?

Was sollte man bei einem Informationssicherheitsvorfall tun?

Woran kann man einen Informationssicherheitsvorfall erkennen?

Zendesk Integration

Was mache ich, wenn bei einem Kunden der Verdacht auf Geldwäsche besteht?

Lexoffice Integration

SalesForce Integration

Überblick: Dokumentenmanager

Atlassian Integration

Wann brauche ich einen Geldwäschebeauftragten im Unternehmen?

Was ist eine Verarbeitungstätigkeit?

Jamf-Integration verbinden

Was ist ein Informationssicherheits-Managementsystem (ISMS) und was sind die wesentlichen Bestandteile?

Gusto Integration

Was ist eine Auftragsverarbeitung(svereinbarung) bzw. ein Auftragsverarbeiter?

Unter welchen Voraussetzungen muss ein Datenschutzbeauftragter benannt werden?

Welche Produkte oder Dienstleistungen eines Unternehmens sind besonders gefährdet, im Umfeld von Geldwäsche oder Terrorismusfinanzierung eine Rolle zu spielen?

Welche Optionen gibt es, um den Umgang mit privaten Geräten im beruflichen Kontext zu regeln?

Überblick: Betroffenenanfrage

Was versteht man unter der “betroffenen Person”?

Wo und für wen gilt die DSGVO?

Was versteht man unter einer Einwilligung im Sinne der DSGVO?

Wer ist “Empfänger” im Sinne der DSGVO?

Was ist Geldwäsche?

Überblick: Datenschutzvorfall

Was bedeutet Risikobewertung im Zusammenhang mit Geldwäsche?

Wer ist “Verantwortlicher” i.S.d. DSGVO?

Upload von Datenschutzverträgen

Gibt es unterschiedliche Verzeichnisse von Verarbeitungstätigkeiten?

Muss ich meine Mitarbeiter zum Thema Geldwäsche schulen? Wenn ja, was muss diese Schulung beinhalten?

Welche Risiken bestehen im Umfeld der Geldwäsche in einem Unternehmen?

BambooHR Integration

Welche Aufgaben hat der Datenschutzbeauftragte?

Überblick: Vertragsmanager

Sentry Integration

Welche Aufsichtsbehörden gibt es im Bereich der Geldwäsche?

Wie sollte ein Backup-Konzept erstellt werden und was gibt es zu berücksichtigten?

Was sind (Ereignis-)protokolle und wie funktionieren Protokolle?

Wie können mögliche Sicherheitslücken identifiziert werden?

Was ist ein Virtual Private Network (VPN)?

Was versteht man unter Single-Sign-On (SSO)?

Was ist eine demilitarisierte Zone (DMZ)?

Mitarbeiterschulung (Onboarding)

Welche Verschlüsselungsarten gibt es?

Darf ich Verbraucher ohne vorherige Einwilligung telefonisch kontaktieren, um unsere Produkte oder Leistungen vorzustellen? (Cold Calling)

Gap-Audit-Prozess

Dropbox Integration

Gitlab Integration

Wer ist für das Thema Informationssicherheit verantwortlich?

Wie kann ich mein ISMS zertifizieren lassen?

Überblick: Onboarding Prozess

Was ist Informationssicherheit? Wie unterscheidet sie sich von IT-Sicherheit und Datenschutz?

Shortcut Integration

Warum sollte sich ein Unternehmen mit dem Thema Geldwäsche beschäftigen?

Was ist eine Mandantentrennung und warum wird sie eingesetzt?

Datenschutzdokumente erstellen und hochladen

Was versteht man unter personenbezogenen Daten?

Github Integration

Suchfunktion

Online-Schulungen für Mitarbeiter

Online-Trainings nutzen

Personio Integration

Anmeldung und Login

Aufgabenmanagement im DCO von Secjur

Was ist Mobile Device Management?

Was ist ein Asset und welche Assets sollen in ein Assetregister aufgenommen werden?

VVT - Verantwortlicher

Was ist der Unterschied zwischen einem Mobile Device Management und einer Container-Lösung?

Was ist bei einem Datenschutzvorfall zu tun?

Wann spricht man von einem Datenschutzvorfall (Datenpanne)?

Was ist ein Verzeichnis von Verarbeitungstätigkeiten? (VVT)

Überblick Datenschutz

Dashboard Überblick des DCO von Secjur

Import von Dokumenten

Nutzereinstellungen

Integrationen, die mit dem DCO von Secjur arbeiten

Unterstützung und Hilfe

Asset Management

Überblick: Whistleblowing

Anti-Geldwäsche Überblick

RoPa Controller CSV Import

Mitarbeiterliste CSV-Import

CSV Import für Asset Register

CSV Import Risiken

Risiko-Behandlung im DCO

Was passiert wenn sich eine Verarbeitungstätigkeit verändert oder nicht mehr genutzt wird?

Überblick zum DCO

Wie sieht die Zusammenarbeit mit einer Aufsichtsbehörde beim Thema Geldwäsche aus?

Was versteht man unter besonderen Kategorien personenbezogener Daten?

TOM generieren

Aktuelle Compliance-News

Digital Compliance Office powered by SECJUR

Release Notes

Mitarbeiter

Integrationen

Verträge

Aufgaben

Intelligence

Erfahren Sie mehr über unser Empfehlungsprogramm.

Empfehlungsprogramm 🎁

Datenschutz

Informationssicherheit

ISMS-FAQ

<div class="raw-html-embed"><p><strong>Einwilligung: </strong></p>
<p>Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Diese Einwilligung ist grundsätzlich zu dokumentieren.</p>
<p>Bsp.: Ein Kunde teilt schriftlich mit, dass seine Telefonnummer auch für Werbeanrufe genutzt werden darf.</p>
<p><strong>Vertragserfüllung: </strong></p>
<p>Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.</p>
<p>Bsp.: Für die Lieferung eines Möbelstückes ist es notwendig, die Adresse und den Namen des Bestellers zu verarbeiten.</p>
<p><strong>Gesetzliche Verpflichtung: </strong></p>
<p>Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, die sich an den Verantwortliche richtet.</p>
<p>Bsp.: Eine Rechtsvorschrift muss eingehalten werden, die notwendigerweise die Datenverarbeitung von Kunden verlangt, bspw. eine Rechtsvorschrift aus dem Steuerrecht.</p>
<p><strong>Lebenswichtige Interessen von Personen: </strong></p>
<p>Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.</p>
<p>Bsp.:Bei einem lebensbedrohlichen Unfall wird die Blutgruppe des Betroffenen zur lebensrettenden Behandlung weitergegeben.</p>
<p><strong>Öffentliches Interesse: </strong></p>
<p>Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.</p>
<p>Bsp.: Eine Redaktion verarbeitet Daten einer bekannten und wichtigen Person.</p>
<p><strong>Berechtigtes Interesse: </strong></p>
<p>Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.</p>
<p>Diese Rechtsgrundlage ist lediglich ein sog. “Auffangtatbestand”. D.h. es sollte regelmäßig das Vorliegen einer anderen Rechtsgrundlage geprüft werden.</p>
<p>Bsp.: Die Geschäftsleitung einer Bank möchte das Gebäude mit Videokameras sichern. Geprüft wird nun, ob der Schutz vor Überfällen das Recht auf Privatsphäre in öffentlichen Räumen überwiegt.</p></div>

<div class="raw-html-embed"><p>Auf Grund der Vorschriften der DSGVO ist jedes Unternehmen verpflichtet, seine Verarbeitungstätigkeiten entsprechend dokumentieren.</p>
<p>Das betrifft alle Tätigkeiten, egal ob die Verarbeitung technologisch oder durch einen regelmäßigen manuellen Prozess durchgeführt wird.</p>
<p>Zweck der Dokumentation ist, dass sich das Unternehmen selbst über seine Verarbeitungstätigkeiten bewusst wird, der Datenschutzbeauftragte eine Übersicht über die Verarbeitungstätigkeiten hat (und hiervon weitere Maßnahmen ableiten kann) und sich zudem auch eine Aufsichtsbehörde bei Bedarf einen Überblick über die Verarbeitungstätigkeiten verschaffen kann.</p></div>

Warum müssen Verarbeitungstätigkeiten dokumentiert werden?

<div class="raw-html-embed"><p>Das Risikomanagement ist ein Prozess zur Ermittlung, Bewertung und Abschwächung bzw. Akzeptanz von Risiken, wie z. B. das Risiko, dass Mitarbeitende auf Phishing-E-Mails klicken, IT-Ausfälle oder Hacking-Angriffe.</p>
<p>Im Rahmen des Risikomanagements sind folgende Komponenten zu berücksichtigen:</p>
<ul>
<li>
<div class="intercom-interblocks-paragraph no-margin intercom-interblocks-align-left">
<p>Das <strong>Assetregister </strong>dient als Basis für das Risikomanagement.</p>
</div>
</li>
<li>
<div class="intercom-interblocks-paragraph no-margin intercom-interblocks-align-left">
<p><strong>Risikoidentifikation und -analyse</strong>: Der jeweilige Asset-Besitzer führt für sein Asset eine Analyse durch, um festzustellen, welche Bedrohungen und Schwachstellen bestehen, d.h. ob ein Risiko vorhanden ist. Wenn Risiken für ein Asset bestehen, muss der Risiko-Besitzer (ist nicht zwangsläufig der Asset-Besitzer) Schaden und Eintrittswahrscheinlichkeit jedes Risikos bewerten.</p>
</div>
</li>
<li>
<div class="intercom-interblocks-paragraph no-margin intercom-interblocks-align-left">
<p><strong>Risikobewertung</strong>: Auf der Grundlage des Schadens und der Eintrittwahrscheinlichkeit jedes Risikos sollte eine Risikobewertung durchgeführt werden.</p>
</div>
</li>
<li>
<div class="intercom-interblocks-paragraph no-margin intercom-interblocks-align-left">
<p><strong>Risikobehandlung und Risikoakzeptanz</strong>: Abhängig von der Risikobewertung muss beurteilt werden, ob die ermittelten Risiken unterhalb oder oberhalb der festgelegten Risikoakzeptanzschwelle liegen. Liegt das Risiko innerhalb der Risikoakzeptanzgrenze, müssen keine Maßnahmen ergriffen werden. Liegt das Risiko überhalb der Risikoakzeptanzgrenze, muss entschieden werden, ob das Risiko vermindert (z.B. technische und organisatorische Maßnahmen), übertragen (z. B. durch eine Versicherung) oder vermieden (z.B. bestehende Prozesse einstellen oder anpassen) werden kann. Ist eine Maßnahme zur Risikominderung teurer als der Eintritt des Risikos, gibt es auch die Möglichkeit, das Risiko zu akzeptieren, obwohl es über der Risikoakzeptanzschwelle liegt.</p>
</div>
</li>
</ul></div>

Wie funktioniert ein Risikomanagement-Prozess?

<div class="raw-html-embed"><p>Die gemeinsame Verantwortlichkeit ist neben der Stellung als datenschutzrechtlich Verantwortlicher und als Auftragsverarbeiter die dritte Konstellation einer datenschutzrechtlichen Konstellation von Verantwortlichkeiten.</p>
<p>Diese liegt dann vor, wenn zwei oder mehr Verantwortliche (Unternehmen) gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten festlegen. Wichtigste Voraussetzung für die gemeinsame Verantwortlichkeit ist also die gemeinsame Entscheidung über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.</p>
<p>Wichtigste Konsequenzen, die sich aus einer gemeinsamen Verantwortlichkeit ergeben sind:</p>
<ul>
<li>
<div class="intercom-interblocks-paragraph no-margin intercom-interblocks-align-justify">
<p>die Pflicht zur transparenten Darlegung dieser Konstellation, d.h. der Benennung der gemeinsam verantwortlichen Unternehmen bspw. in der Datenschutzerklärung der Unternehmenswebseite</p>
</div>
</li>
<li>
<div class="intercom-interblocks-paragraph no-margin intercom-interblocks-align-justify">
<p>die gemeinsame Haftung der gemeinsam verantwortlichen Unternehmen bei Datenschutzverstößen bzw. Bußgeldern.</p>
</div>
</li>
</ul></div>

Wann geht man von einer gemeinsamen Verantwortlichkeit aus?