Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen DEMO
Home > Sicherheits- und Compliance-Blog > DSGVO-Compliance > Wie man DSGVO-konforme Formulare erstellt
Wie man DSGVO-konforme Formulare erstellt

Wie man DSGVO-konforme Formulare erstellt

von Robert Dougherty updated Juli 21, 2023 DSGVO-Compliance
Lesezeit: 6 Minuten

Wenn Sie Daten über ein Webformular sammeln und Geschäfte in der EU tätigen, müssen Sie sicherstellen, dass Ihre Organisation beim Senden, Empfangen und Speichern der übermittelten Informationen DSGVO-conform ist.

Für welche Organisationen gilt die DSGVO? Die DSGVO gilt für jede Organisation, die Geschäfte in der Europäischen Union tätigt. Selbst wenn Sie Ihr Geschäft in den Vereinigten Staaten betreiben, wenn Sie Waren oder Dienstleistungen an Kunden in der EU verkaufen, muss Ihr Geschäft die DSGVO einhalten.

Was ist die DSGVO?

Die Allgemeine Datenschutzverordnung ist eine Reihe von Cybersicherheits- und Datenschutzgesetzen, die von der Europäischen Union verabschiedet und geregelt werden, um die Rechte der Verbraucher in Bezug auf ihre persönlichen Daten zu definieren. Die DSGVO beansprucht die Zuständigkeit über jedes Unternehmen, das in einem Land der EU tätig ist, einschließlich Unternehmen aus anderen Ländern, die digitale Geschäfte innerhalb der EU-Grenzen betreiben.

Das Herzstück dieser Gesetzgebung ist der Schutz von Daten. Seit der Verabschiedung der DSGVO haben andere Regierungsstellen nachgezogen und ähnliche Datenschutz-Gesetze verabschiedet, wie das Gesetz zum Schutz persönlicher Informationen und elektronischer Dokumente (PIPEDA) in Kanada, das California Consumer Privacy Act (CCPA), und das Datenschutzgesetz 2018 (DPA).

Einige der kritischen Aspekte der DSGVO, die die Datenerhebung und Geschäftstätigkeiten beeinflussen, umfassen:

  • Datensubjekte und Datenbesitz: Die DSGVO definiert “Datensubjekte” als einzelne Verbraucher mit privaten Daten, die für Geschäftszwecke genutzt werden können. Diese Subjekte sind die Grundlage des Gesetzes, und alle Rechte auf Datenschutz und Privatsphäre leiten sich aus den Rechten dieser Personen ab (statt, sagen wir, dem Recht eines Unternehmens auf Datenerhebung).
  • Offenlegungen und faire Nutzung: Alle Unternehmen, die in der EU tätig sind, müssen bei der Datenerhebung aus beliebigen Gründen klar und deutlich den Grund für ihre Datenerhebung dem betroffenen Datumsubjekt offenlegen. Darüber hinaus müssen sie sowohl dem betroffenen Datumsubjekt als auch jeder GDPR-Audit nachweisen, dass die von ihnen gesammelten Daten mit gut definierten Geschäftspraktiken in Verbindung stehen, die auf Produkte und Dienstleistungen ausgerichtet sind. Unternehmen dürfen Benutzerdaten nicht einfach nach Belieben an Dritte verkaufen.
  • Sicherheit: Alle privaten Daten müssen mit modernen Cybersicherheitsmaßnahmen geschützt werden. Dies beinhaltet die Daten selbst und alle Daten, die als Ergebnis der Nutzung dieser Informationen entstehen – nämlich Daten wie Audit-Protokolle, IP-Adressen usw.
  • Lokalität: Unternehmen, die Informationen von EU-Bürgern sammeln, dürfen diese Informationen nicht außerhalb der EU-Grenzen übertragen, um rechtliche Herausforderungen zu vermeiden. Beispielsweise kann ein Unternehmen keine Informationen von französischen Servern auf US-Server übertragen, um Strafen gemäß der GDPR zu vermeiden.
  • Zustimmung: Alle Datenerhebungsmaßnahmen müssen eine klare, eindeutige und unerzwungene Zustimmung des betroffenen Datumsubjekts beinhalten.

Diese Ansätze können für Einzelpersonen und Unternehmen außerhalb der EU restriktiv und komplex erscheinen. Sie erfordern jedoch im Wesentlichen einen neuen Ansatz zur Verwaltung von Online-Daten. Organisationen müssen sicherstellen, dass diese Datenschutzkontrollen Teil ihrer integrierten Risikomanagement Strategie sind.

Was sagt die DSGVO zur Zustimmung?

Die Zustimmung ist oft der wichtigste und herausforderndste Teil der DSGVO-Konformität, da sie von Unternehmen verlangt, dass sie klar und spezifisch über ihre Geschäftspraktiken sind.

Die DSGVO macht jedoch die Verpflichtungen eines jeden Unternehmens in Bezug auf die Zustimmung klar:

  • Die Notwendigkeit der Datenerhebung: Zunächst muss ein Unternehmen einen gerechtfertigten Grund für die Datenerhebung haben. Es ist eine Frage der Rechtskonformität, dass Organisationen ihre Datenerhebungsaktivitäten auf das beschränken, was direkt mit ihren Betriebsabläufen und der Bereitstellung von Dienstleistungen für die betroffenen Datumsubjekte zusammenhängt.
  • Freiwillig gegeben: Die Zustimmung darf nicht erzwungen oder unter falschem Vorwand erlangt werden. Obwohl Sie die Datenanfrage zu einer Voraussetzung für Produkte und Dienstleistungen machen können, dürfen Sie den Benutzern keine Härten oder Strafen auferlegen, wenn sie die Bereitstellung oder den Widerruf bereitgestellter Daten verweigern.
  • Spezifisch und einzigartig: Es gibt keine allgemeingültigen Hinweise zur Zustimmung unter der DSGVO. Jede Anfrage muss spezifisch für ihr Medium und ihren Zweck sein, und jede Anfrage muss einen individuellen Zustimmungsmechanismus vorsehen. Wenn Sie also beispielsweise die Erlaubnis zur Verwendung von Cookies zur Datenerhebung sowie die Erlaubnis zum Versenden von E-Mails anfordern, müssen dies getrennte Anfragen sein.
  • Informiert und eindeutig: Unabhängig davon, wie viele Anfragen Sie stellen, muss jede eine detaillierte Beschreibung dessen liefern, welche Daten gesammelt werden, warum die Daten gesammelt werden, zu welchem Zweck und in welchem Umfang. Dies dient zwei Zwecken: Erstens ermöglicht es den betroffenen Personen, eine informierte Zustimmung zur Freigabe ihrer Daten zu erteilen, und zweitens zwingt es die sammelnde Organisation, die Grenzen ihrer Datennutzung streng zu definieren.
  • Widerruf: Der Betroffene kann jederzeit die zuvor gegebene Zustimmung widerrufen. Dies beinhaltet das Einstellen des Versands von E-Mails oder das Entfernen von Cookies oder anderen Formen der Datenerfassung.

Benutzer außerhalb der EU beginnen bereits, die Auswirkungen dieser Regeln zu spüren, mit immer ausführlicheren und allgegenwärtigen Anfragen nach Cookies und Tracking auf E-Commerce- und Nachrichten-Websites.

Was macht ein DSGVO-konformes Formular aus?

Ein wesentlicher Teil der Aufrechterhaltung der DSGVO-Konformität besteht darin, sicherzustellen, dass Ihre Informationsanfragen den oben genannten Anforderungen entsprechen. Dies bedeutet wiederum, dass man über konforme Formulare und Datenschutzwerkzeuge verfügen muss, die diesen regulatorischen Compliance-Bemühungen entsprechen. Organisationen müssen sicherstellen, dass ihre Richtlinien zur Risikomanagement von Dritten Richtlinien zur Verwendung von Webformularen enthalten.

Allgemein gesprochen, beinhalten DSGVO-konforme Zustimmungs- und Informationsformulare einige der folgenden Best Practices:

  • Vermeiden Sie vorausgefüllte Formulare: Die Implementierung eines Formulars mit bereits vorausgefüllten Zustimmungskästchen verstößt gegen Regeln, die eine eingeschränkte, nicht erzwungene Zustimmung verbieten. Der Versuch, Verbraucher zu etwas zu überreden, dem sie sonst möglicherweise nicht zustimmen würden, kann wie Täuschung wirken. Noch schlimmer, es könnte als eine Möglichkeit interpretiert werden, Verbraucher auszunutzen, die das eigentliche Kontrollkästchen möglicherweise nicht bemerken.
  • Bereitstellung individueller Einwilligungsformulare: Organisationen sollten keine massiven Webformulare erstellen, die von den Befragten eine lange Liste von Zustimmungen verlangen. Zunächst einmal ist dies eine schlechte Benutzererfahrung. Aber es verstößt auch gegen mehrere Aspekte der DSGVO. Es ist wichtig, verschiedene, sehr aussagekräftige Formulare zu verwenden, die klar definieren, zu was der Empfänger genau einwilligt.
  • Granulieren Sie Zustimmungsoptionen: Jede einzelne Form der Zustimmung muss ihre eigene Beschreibung und ihre eigenen Mechanismen zur Anzeige der Zustimmung haben. Wenn Sie etwas wie die Zustimmung für Marketing-E-Mails neben anderen Arten der Datenerhebung einbeziehen, dann sollte das sein eigener Abschnitt sein, mit seinen eigenen Kontrollkästchen oder Schaltern. Im Zweifelsfall sollten Sie es granular gestalten.
  • Opting Out leicht machen: Die DSGVO ist ein “Opt-In”-System, das bedeutet, dass die Benutzer sich für die Datenerhebung anmelden müssen. Organisationen müssen es auch einfach und intuitiv machen, sich von dieser Datenerhebung oder Kommunikation abzumelden.
  • Zustimmungen in sicheren Systemen speichern: Alle Aufzeichnungen über die Zustimmung des Subjekts müssen in sicheren Systemen für die Prüfung und den Datenschutz aufgezeichnet werden. Daher muss das Backend-System einer Organisation Sicherheitsmechanismen enthalten, um die Zustimmungsaufzeichnungen zu schützen, indem es DSGVO-konforme Sicherheit und Verschlüsselung einsetzt.

Starten und pflegen Sie DSGVO-Formulare mit Kiteworks

Organisationen, die Operationen in der EU durchführen oder planen, müssen DSGVO-konforme Systeme haben, die die Datenspeicherung und -erhebung unterstützen können, die sowohl den Sicherheits- als auch den Zustimmungsgesetzen entsprechen.

Die Plattform von Kiteworks bietet eine Webformularfunktion, die diesen Anforderungen gerecht wird. Kiteworks’ Datei- und Dokumentenmanagementsystem bietet eine umfangreiche und flexible Cloud-Infrastruktur mit einfach zu erstellenden Formularen, die die DSGVO-Konformität von der Nutzereinbindung bis zur Server-Speicherung ermöglichen können.

Kiteworks beinhaltet auch Folgendes:

  • Sicherheit und Compliance: Kiteworks nutzt AES-256-Verschlüsselung für Daten im Ruhezustand und TLS 1.2+ für Daten während der Übertragung. Seine gehärtete virtuelle Appliance, granulare Kontrollen, Authentifizierung, andere Sicherheits-Stack-Integrationen und umfassendes Logging und Audit-Berichterstattung ermöglichen es Organisationen, einfach und schnell die Einhaltung von Sicherheitsstandards nachzuweisen. Es bietet out-of-the-box Compliance-Berichterstattung für Industrie- und Regierungsvorschriften und -standards, wie HIPAA, PCI DSS, SOC 2 und die DSGVO.
     

    Darüber hinaus wirbt Kiteworks mit Zertifizierung und Compliance mit verschiedenen Standards, die unter anderem FedRAMP, FIPS (Federal Information Processing Standards), FISMA (Federal Information Security Management Act), CMMC (Cybersecurity Maturity Model Certification) und IRAP (Information Security Registered Assessors Program) einschließen.

  • Audit-Logging: Mit den unveränderlichen Audit-Logs der Kiteworks-Plattform können Organisationen darauf vertrauen, dass Angriffe früher erkannt werden und die korrekte Beweiskette für Forensikarbeiten aufrechterhalten wird. Da das System Einträge aus allen Komponenten zusammenführt und standardisiert, sparen sein einheitliches Syslog und seine Alarme Sicherheits-Operationscenter-Teams entscheidende Zeit und helfen Compliance-Teams bei der Vorbereitung auf Audits.
  • SIEM-Integration: Kiteworks unterstützt die Integration mit großen Security Information and Event Management (SIEM)-Lösungen, einschließlich IBM QRadar, ArcSight, FireEye Helix, LogRhythm und anderen. Es verfügt auch über den Splunk Forwarder und beinhaltet eine Splunk App.
  • Sichtbarkeit und Management: Das CISO Dashboard in Kiteworks gibt Organisationen einen Überblick über ihre Informationen: wo sie sich befinden, wer darauf zugreift, wie sie genutzt werden und ob Sendungen, Freigaben und Übertragungen von Daten den Vorschriften und Standards entsprechen. Das CISO Dashboard ermöglicht es Unternehmensleitern, informierte Entscheidungen zu treffen und gleichzeitig einen detaillierten Überblick über die Compliance zu haben.
  • Einzeln gemietete Cloud-Umgebung: Dateiübertragungen, Dateispeicherung und Benutzerzugriff erfolgen auf einer dedizierten Kiteworks-Instanz, die vor Ort, auf den Infrastructure-as-a-Service-Ressourcen einer Organisation oder als private Einzeltenant-Instanz von Kiteworks in der Cloud vom Kiteworks Cloud Server gehostet wird. Das bedeutet, dass es keine gemeinsame Laufzeit, gemeinsame Datenbanken oder Repositories, gemeinsame Ressourcen oder ein Potenzial für Cloud-übergreifende Verstöße oder Angriffe gibt.

Um mehr über die Kiteworks-Plattform und ihre sicheren Webformularfunktionen zu erfahren, planen Sie eine individuelle Demo, die auf Ihre spezifischen GDPR-Anforderungen zugeschnitten werden kann.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Teilen
Twittern
Teilen
Get A Demo