Menü

Datenschutz ist Ihre Investion in die Zukunft

Die EU Datenschutzgrundverordnung (DSGVO) gilt für alle Unternehmensgrößen, Behörden, Verbände und Vereine.

Seit 25. Mai 2018 ist für viele Unternehmen geradezu May-Day, denn seitdem ist die neue EU Datenschutzverordnung (EU DSGVO) in Kraft. Sie hat für Unternehmen - egal welcher Größe - weitreichende Auswirkungen. Wer sie ignoriert, riskiert sehr hohe Geldstrafen. Unsere Experten unterstützen Sie praxisnah.

Beratung

Fordern Sie uns an, um sich zügig und sehr gut auf die neuen Anforderungen vorzubereiten.

Zum Kontakt

Höchste Zeit, die DSGVO umzusetzen

Jedes Unternehmen, das Daten, die einer Person zugeordnet werden können, verarbeitet, verarbeiten lässt (Auftragsverarbeitung), online kommuniziert, Online-Marketing oder e-commerce betreibt, kommt mit dem neuen EU Gesetz zwangsläufig in Berührung. Wenn in Ihrer Organisation (dazu gehören auch Universitäten, Schulen, Verbände, Vereine und Behörden) mit Mobiltelefonen, Tablets, Laptops, Servern oder Cloud-Lösungen gearbeitet wird, können personenbezogene Daten in unbefugte Hände gelangen oder zum Datenverlust führen. Auch Papiere mit entsprechend sensiblen Daten unterliegen dem Gesetz. Statt Datensammelwut ist jetzt Datenminimierung angesagt. Das kommt für viele Unternehmen einem Kulturwandel gleich.

Immer mehr Unternehmer nutzen die Umsetzung der DSGVO als Markt- und Standortvorteil. Sie optimieren ihre Strukturen, denn Ordnung in der Datenhaltung und Datensicherheit sichern Know-how und sind Basis für Innovationen. A. Göbel

Man kann das Gesetz ignorieren, doch das ist nicht zu empfehlen. Das Datenschutzrecht wird seit Mai in Wirksamkeit und Relevanz zum Beispiel dem Steuerrecht oder Kartellrecht gleichgestellt. Bei Verletzung der Vorschriften kann es zu sehr hohen Geldstrafen oder Gefängnisstrafen kommen: Wurden bisher bei Datenschutzverstößen Bußgelder von meist 10.000 EUR, maximal 300.000 EUR verhängt, so gilt seit Mai je Verstoß ein Höchstbetrag von bis zu 20 Millionen EUR oder 4 % des gesamten Jahresumsatzes weltweit, je nachdem, was höher ist.

Wer denkt, die Umstellung betreffe nur Unternehmen ab 250 Mitarbeitern, der irrt. Denn die Rechenschaftspflicht gilt für alle Unternehmen, vom 1-Personen-Betrieb bis zum Konzern. Aufsichtsbehörden werden sie einfordern und prüfen und haben dazu bereits kräftig ihr Personal aufgestockt. Sie wollen Präzedenzfälle schaffen, die wiederum EU-weit gelten werden.

Von Mai an steigt das Risiko zu Prüfungen exponentiell an. Die Aufsichtsbehörden werden dazu digitale Möglichkeiten nutzen. Rufen Sie uns an, wir begleiten Sie zur schnellstmöglichen Umsetzung der Anforderungen!

Unser TÜV-zertifiziertes Team aus Fachbereichs-, IT-Experten und Juristen

unterstützt Sie praxisorientiert, effektiv und effizient:

  • als externer Datenschutzbeauftragter für Ihr Unternehmen
  • als Berater in Ihrer Organisation, damit Sie DSGVO konform aufgestellt sind. Wir starten mit Abweichungsanalysen oder Audits und planen mit Ihnen zusammen die weiteren Schritte.

Kontaktieren Sie uns - wir geben Orientierung und Struktur!

Neuerungen und Vorteile

Das Neue an der DSGVO ist, dass alle Organisationen und ihre Dienstleister Rechenschaft darüber ablegen müssen, wie personenbezogene Daten in ihren Systemen hin- und herfließen. Nur: Welcher Manager weiß tatsächlich wo die in seinem Unternehmen gesammelten Daten hingehen? Das wissen meist nur datengetriebene Unternehmen, z.B. IT-Dienstleister.

Diese Rechenschafts- und Dokumentationspflicht verpflichtet Unternehmen zu Transparenz in eigener Sache, zu Ordnung in der Datenhaltung und auch zum Schutz gegen Datenverlust. Das wiederum kann auch ein Standortvorteil sein.

Das alles zu richten ist schon sehr schwierig, steckt ein Unternehmen noch dazu in der digitalen Transformation, ist das Desaster komplett. Projektleitern fehlt oft das Bewusstsein für Datenschutz und -sicherheit. Und: Durch schlecht geordnete Daten kann auch Know-how verloren gehen.

Haben Sie einen Überblick darüber, welche Daten wo genau anfallen, ob das Sammeln personenbezogener Daten eine Rechtsgrundlage hat und ob diese Datenerhebung überhaupt relevant ist?

Das tun wir für Sie:

Gesetzlich verpflichtende Dokumente

Die Rechenschaftspflicht gilt für jede Unternehmensgröße. Wir unterstützen Sie praxisnah bei der Prüfung der Existenz/Notwendigkeit, Erstellung, Aktualisierung und Optimierung z.B. nachfolgender Dokumente und bei Bedarf eines geeigneten Software-Tools.

  • Wir erstellen mit Ihnen zusammen ein Datenschutz-Handbuch mit allen notwendigen Dokumenten, z.B.:

  • Datenschutz-Richtlinie für Ihr Unternehmen

  • Aushänge in Ihrem Unternehmen

  • Verzeichnis mit Verantwortlichen, ggf. Auftragsverarbeitern (auch in Drittländern) und Datenschutzbeauftragten

  • Verschwiegenheitserklärung für Ihre Mitarbeiter

  • Verzeichnis von Verarbeitungstätigkeiten (VVT)
    Prozessdarstellung inkl. Systeme und Applikationen, in denen personenbezogener Daten verarbeitet werden und die zur Identifizierung einer Person auch nur annäherungsweise führen können. Auflistung der Zweckbindung, Identifizierung der Rechtsgrundlage der Datenverarbeitung, inkl. Interessensabwägung, Mittel der Datenverarbeitung, Datenkategorien, Datenquellen etc.

  • Kein Datenschutz ohne Informationssicherheit: Ermittlung Technischer und organisatorischer Maßnahmen (TOM) gem. ISO 2700x

  • Datenschutz-Folgeabschätzung (DSFA) - sofern notwendig -
    Identifizierung und Managen von Risiken für die Betroffenen. Zugangs- und Zutrittskontrolle, die Einsichtnahme Unberechtigter und auch der Verlust von Daten sind z.B. solche Risiken. Feststellung des Schutzbedarfs von Daten.

  • Richtlinie bei Verstößen gegen die Datensicherheit, inkl. Register von Datenschutzverstößen

  • Einwilligungs- und Widerspruchserklärungen zum Speichern und Aufbewahren persönlicher Daten z.B. bei e-commerce, Direktmarketing, Recruiting.

  • Auskunftsrecht betroffener Personen
  • Nachweis zu Datenschutz-Trainings Ihrer Mitarbeiter
    Wir beraten Sie bei der Konzeption und Durchführung von Trainings Ihrer Mitarbeiterinnen und Mitarbeiter im Datenschutz.

Unser Vorgehen / Ihre Organisation

Ist-Analyse:

  • Durchführung von Abweichungs-/Gap-Analysen bzw. Initial-Audits (Quick-Checks) im Datenschutz

Aufbau klarer Strukturen im Datenschutz:

  • Definition von Rollen und Verantwortlichkeiten sowie Hauptaufgaben im Datenschutz
  • Erstellung/Optimierung/Aktualisierung eines Datenmanagementsystems
  • Definition des Umgangs mit Auftragsverarbeitern und deren Standorte
  • Erstellung/Aktualisierung von Aushängen und Betriebsvereinbarungen
  • Beratung zur Datenminimierung und Interessensabwägung
  • Beratung zur Benachrichtigungspflicht bei Datenpannen
  • Beratung zur Identifizierung von Aufbewahrungsfristen von Dokumenten
  • Schulungspflicht: Vorbereitung/Organisation und Durchführung von Datenschutz-Trainings Ihrer Mitarbeiter (Präsenz-Trainings, e-learnings, Blended Learnings, Webinare). Mit oder ohne Verständnisfragen/Erfolgskontrolle.

Sicherstellung der Nachhaltigkeit:

  • Konzeption/Einführung eines für ihre Belange maßgeschneiderten integrierten plattformunabhängigen Managementsystems
  • Durchführung von Datenschutz-Audits
  • Erstellung eines Qualitätsmanagement- (QMS) und Auditsystems zur DSGVO
  • Benennung eines unserer TÜV zertifizierten Teammitglieder als externer Datenschutzbeauftragter

Auskunftsrecht betroffener Personen:

  • Wissen Sie, welche Daten einer Person wo bei Ihnen gespeichert sind und wie verarbeitet werden, ohne dass diese Anfrage im Unternehmen eine Katastrophe auslöst? Es gibt klare Regeln, wann und wie Sie b gemäß DSGVO geeignet Auskunft geben.

Notwendige IT-Dokumente und -Strukturen

Beratung z.B. zu diesen Themen:

  • Gap-Analysen
  • Erstellung von Richtlinien, z.B.: Informationssicherheit, Mobile Device Management und Telearbeitsplätze
  • Erstellung/Einführung eines Datenmanagementsystems zur computergestützten Erfassung, Speicherung, Pflege, Verarbeitung, Analyse und Visualisierung von Daten
  • Datenflussmanagement personenbezogener Daten
  • Informationssicherheits-Managementsystem (ISMS), ISO 2700x, BSI IT Grundschutz 2018, Umsetzung des IT Sicherheitsgesetz (IT-SiG) und der pragmatischen Umsetzung der Standards, Kompendien und Gesetze
  • Berechtigungskonzepte
  • Verschlüsselung von Daten / Identifizierung zu verschlüsselnder Daten
  • Pseudonymisierung / Anonymisierung
  • Datenspeicherung und Datensicherung (verpflichtende Datenhaltung auf Servern in Deutschland oder der EU, Cloudlösungen);
  • Privacy by Design; Privacy by Default Maßnahmen
  • Schutz vor Datenverlust
  • Löschkonzepte
  • Notfallkonzepte
  • Disaster-Recovery-Plan (DRP) / Business Continuity Plan (BCP)
  • Penetrationstests
  • Cyber-Security Checks (inkl. Simulationen von Hacker-Angriffen)

Prüfung Ihrer Vertragsdokumente

Unsere Juristen im Team prüfen gerne Ihre Vertragsdokumente in Bezug auf die DSGVO und BDSG 2018, z.B.:

  • Arbeitsverträge
  • AGB/AVB
  • Impressum und Datenschutzerklärungen für Ihren Internetauftritt
  • Einwilligungserklärungen zur Verarbeitung personenbezogener Daten, z.B. bei e-commerce, Recruiting
  • Double Opt-in/Opt-out Verfahren, z.B. bei Direktmarketing.
  • Service Level Agreements (SLAs)
  • Verträge mit Auftragsverarbeitern
  • Betriebsvereinbarungen / Aushänge
  • Datenschutzverpflichtungen
  • Beratung zum Marktortprinzip / Garantien aus Drittländern
  • Standard-Vertragsklauseln
  • IT Sicherheitsgesetz (IT-SiG)

Bereitstellung eines ext. Datenschutzbeauftragten (TÜV zert.)

Unsere Datenschutzbeauftragten (DSB) verfügen über IT und juristisches Know-How und halten sich auf aktuellem Stand. Wir stellen Ihnen TÜV zertifizierte externe DSB zur Seite und sind dem Code of Practice für Datenschutzbeauftragte (BvD e.V.) verpflichtet.

Das tun wir für Sie im Sinne der DSGVO:

Managementaufgaben:

  • Einbindung durch den Verantwortlichen in datenschutzrelevante Managementsysteme
  • Beratung zu Zielen und Aufgaben sowie der Fortschreibung des Datenschutzmanagementsystems
  • Review des Datenschutzmanagementsystems

Beratung:

  • Beratung der Unternehmensleitung
  • Beratung der Bereiche, insbesondere der Fachabteilungen
  • Beratung der betroffenen Personen (Beschäftigte, Kunden, Geschäftspartner)
  • Beratung in Zusammenhang mit der Datenschutzfolgeabschätzung
  • Beratung der Mitarbeitervertretung

Überwachen:

  • Risikoorientierte Festlegung datenschutzrelevanter Prüfungen
  • Veranlassen, Begleiten oder Durchführen von Auditierungen und Prüfungen inkl. erforderlicher Dokumentation
  • Überwachung der Prüfungen
    - der datenverarbeitenden Geschäftsprozesse und Regelungen
    - von IT-Systemen
    - der datenschutzrelevanten Verträge
    - der Dokumentation von Verarbeitungsvorgängen inkl. deren Risiko, insbesondere des Verzeichnisses von Verarbeitungstätigkeiten
    - der Angenmessenheit und Einhaltung der technischen und organisatorischen Maßnahmen
    - von Verfahren, die einer Datenschutzfolgeabschätzung unterliegen
    - von Garantien externer Dienstleister (Auftragsverarbeiter)
    - Überwachung der Bearbeitung von Beschwerden und sicherheitsrelevanten Vorfällen

Berichten und Informieren:

  • Regelmäßige Unterrichtung der Unternehmensleitung
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Regelmäßige Tätigkeitsberichte an den Verantwortlichen

Interner versus externer Datenschutzbeauftragter

Interner DSB

  • Der interne DSB steht wie ein Betriebsrat unter Kündigungsschutz.
  • Zeit- und kostenintensive Weiterbildungsmaßnahmen um die Fachkunde zu erhalten. Wird ein interner DSB bestellt, der nicht die geforderte Fachkenntnis hat, wird er gesetzlich so behandelt, als ob kein DSB im Unternehmen existent ist. Eine Kündigung ist nur sehr schwer erreichbar.
  • Es besteht ein rechtlicher Anspruch auf eigene Ausstattung, Literatur, Weiterbildungen.
  • Für einen Stellvertreter sorgt der Arbeitgeber.
  • Beschränkte Arbeitnehmerhaftung, der Arbeitgeber haftet gesamthaft.
  • Sicht auf das Unternehmen / unabhängige Aufgabenwahrnehmung: Gefahr von Gefälligkeitsberatungen und subjektiver Beeinflussung.
  • Geringere Akzeptanz im Unternehmen. Mitarbeiter reagieren oft nur verzögert oder gar nicht.
  • Höhere Einarbeitungszeit beim Entwerfen von Richtlinien, Verträgen, Aushängen, Erklärungen.

Externer DSB:

  • Externe DSB haben im Sinne des Gesetzes in der Regel mindestens Zwei-Jahres-Verträge mit Verlängerungsoption. Eine fristgerechte Kündigung ist möglich.
  • Unsere DSB verfügen über eine zertifizierte, bereits vorhandene, sofort abrufbare Expertise. Das Entwerfen von Richtlinien, Aushängen, Erklärungen ist Teil der täglichen Arbeit.
  • Transparente Kostenstruktur durch vorher festgelegte Preise.
  • Für einen Stellvertreter sorgen wir.
  • Der externe DSB haftet für eine korrekte Beratung. Das bedeutet Risikominimierung für Ihr Unternehmen.
  • Wir haben wine neutrale Sicht und Position im Unternehmen, sowohl nach innen (Geschäftsführung, Mitarbeiter) als auch nach außen und einen hohen Durchgriff.
  • Wir bringen bereichs- und branchenübergreifendes Wissen ein.