Unsere berufliche Erfahrung zeigt, dass die Erwartungshaltung der Unternehmen, Behörden und Einrichtungen an die Bestellung eines gesetzlichen Datenschutzbeauftragten und die tatsächliche Leistungserbringung meist weit auseinander liegen. Erwartet wird zumeist, dass auch die Umsetzung der Datenschutzaufgaben Teil der Bestellung ist. Dies stimmt mit den gesetzlichen Aufgaben eines Datenschutzbeauftragten jedoch nicht überein.
Mit unserem Beratungskonzept wollen wir diese Lücke schließen. Unsere Berater unterstützen Sie aktiv bei der Ausgestaltung der Datenschutzaufgaben und übernehmen nach Möglichkeit deren Umsetzung.
Datenschutz-Management
Ein Datenschutz-Management-System (DMS) ist essenziell für die Ausgestaltung eines effektiven und zielgerichteten Datenschutzes im Unternehmen. Gemeinsam mit Ihnen erfassen wir Ihre Prozesse und Geschäftsziele, um das Datenschutz-Management sinnvoll in Ihre bestehenden Arbeitsabläufe und Entscheidungswege zu integrieren.
Ziel des DMS ist es, Prozesse, Verantwortlichkeiten und Ziele im Datenschutz zu definieren, um gesetzliche und betriebliche Anforderungen erfüllen zu können.
Ausgerichtet am PDCA-Zyklus überwachen wir das DMS regelmäßig und überprüfen dessen Wirksamkeit, um sicherzustellen, dass auch bei Veränderung der unternehmerischen Ziele oder Gegebenheiten eine Weiterentwicklung erfolgt, die auch diese Zielerreichung unterstützt.
Datenschutzgrundsätze/Rechenschaftspflicht
Die Einhaltung der Datenschutzgrundsätze nach Art. 5 DSGVO muss nachweisbar erfolgen. Hierzu zählen Vorgaben zur:
- Rechtmäßigkeit
- Treu und Glaube
- Transparenz
- Zweckbindung
- Richtigkeit
- Datenminimierung
- Speicherbegrenzung
- Integrität
- Vertraulichkeit
Wir entwickeln mit Ihnen Prozesse, um diese Nachweispflicht erfüllen zu können und erstellen für Sie erforderliche Dokumentationen.
Betroffenenrechte
Betroffene einer Datenverarbeitung können unterschiedliche Rechte gegen einen Datenverarbeiter geltend machen, die je nach Sachverhalt innerhalb unterschiedlicher Fristen umzusetzen sind. Zudem haben Betroffene das Recht, dass der Datenverarbeiter selbständig ihre Rechte bspw. auf Information oder auf Löschung sicherstellt.
Wir erstellen für Sie erforderliche Informationen und Dokumente, und unterstützen Sie bei der Ausgestaltung und Umsetzung von „Notfallprozessen“, die die Umsetzung der Betroffenenrechte innerhalb der Fristen gewährleisten.
Technische und organisatorische Schutzmaßnahmen
Wir erfassen die von Ihnen bereits eingesetzten Schutzmaßnahmen und prüfen deren Wirksamkeit. Zudem gleichen wir ab, ob diese die Anforderungen an den „Stand der Technik“ erfüllen und die Risiken in ausreichendem Maß minimieren.
Anhand von Risikobewertungen werden Maßnahmenpläne erstellt und regelmäßig weiterentwickelt, um das erforderliche Schutzniveau gewährleisten und aufrechterhalten zu können.
Richtlinienmanagement
Um den Schutz von Datenverarbeitungen gewährleisten zu können ist es erforderlich, klare und eindeutige Spielregeln für Beschäftigte zu definieren; bspw. zum Umgang mit Passwörtern und Zugangsmitteln, mobilen Endgeräten wie Smartphones und Tablets, Homeoffice und Telearbeit oder aber auch zur Privatnutzung betrieblicher Mittel.
Wir erarbeiten mit Ihnen die für Ihren Betriebsablauf relevanten Richtlinien und Regelungen und prüfen diese regelmäßig auf Aktualität und Anwendbarkeit.
Schulung
Zum Datenschutz-Management gehört es auch, ein Schulungskonzept zu entwickeln, welches sicherstellt, dass Beschäftigte regelmäßig zu relevanten Regelungen des Datenschutzes geschult und sensibilisiert werden.
Ob online oder offline, unsere Berater übernehmen die Schulungen für Sie und erstellen erforderliche Schulungsmaterialien. Zudem schulen sie fachspezifisch zu den Gegebenheiten und Bedürfnissen Ihres Unternehmens sowie zu speziellen Themen der einzelnen Fachbereiche (Personalwesen, Vertrieb, Marketing etc.).
Datenschutz-Incident-Management
Datenschutzvorfälle, die durch einen Beschäftigten erkannt werden, müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden, wenn Risiken für Betroffene bestehen. Auftragsverarbeiter müssen je nach vertraglicher Regelung ihre Auftraggeber ggf. auch innerhalb kürzerer Fristen informieren. Sind hohe Risiken aus dem Datenschutzvorfall für Betroffene ersichtlich, müssen zudem diese hierrüber in Kenntnis gesetzt und Maßnahmen vorgeschlagen werden, die diese zur Risikominimierung ergreifen können.
Wir erstellen mit Ihnen Notfallpläne, damit Datenschutzvorfälle intern gemeldet werden und relevante Stellen hiervon Kenntnis erhalten. Zudem verpflichten wir uns, Sie bei der Behandlung der Vorfälle zu unterstützen und erforderliche Dokumentationen und Informationsschreiben zu erstellen, so dass die Aufgaben innerhalb der Fristen umgesetzt werden können. Zudem übernehmen wir die Meldung und Kommunikation mit den Aufsichtsbehörden.
Auftragskontrollen und Softwareprüfungen
Externe Dienstleister, die personenbezogene Daten verarbeiten, müssen erforderliche Garantien liefern, dass sie ein dem Risiko angemessenes Datenschutz-Management betreiben und ausreichende Schutzmaßnahmen getroffen haben. Diese Garantien müssen regelmäßig auch im laufenden Vertragsverhältnis kontrolliert werden.
Wir übernehmen für Sie diese Kontrollen. Sind Sie selbst Auftragsverarbeiter, führen wir, wie im DMS definiert, mit Ihnen regelmäßige Überprüfungen durch und erstellen hierzu Berichte, die Sie ihren Kunden zum Nachweis zur Verfügung stellen können. Zudem unterstützen wir bei der Beantwortung individueller Anfragen Ihrer Kunden.
Sind Sie Auftraggeber, führen wir, wie im DMS definiert, Kontrollen der Auftragnehmer durch, um die Aufrechterhaltung der erforderlichen Garantien sicherstellen zu können.
Wie bei Dienstleistern auch, dürfen nach der DSGVO nur Softwareprodukte zum Einsatz kommen, die mit den Datenschutzanforderungen der EU vereinbar sind. Gerne prüfen unsere Berater ihre Softwareanwendungen und beraten Sie, wie diese datenschutzkonform einsetzt werden können.
Risiko-Analysen und Datenschutz-Folgenabschätzungen
Im Gegensatz zu klassischen Risikoanalysen, die die Bewertung eigener Risiken in den Vordergrund stellen, sind Datenschutzrisikoanalysen für alle Datenverarbeitungen eines Unternehmens aus Sicht der Betroffenen durchzuführen. Werden hohe Risiken für Betroffene gesehen, sind zudem Datenschutz-Folgeabschätzungen durchzuführen, die eine erweiterte Betrachtung der einzelnen Datenverarbeitungen nach sich ziehen.
Wir entwickeln mit Ihnen Konzepte, um eine realistische Bewertung von Risiken zu ermöglichen und begleiten und unterstützen Sie mit unserer Expertise bei der Durchführung der Analysen.
Bereitstellen und Erstellen erforderlicher Datenschutzdokumente
Die Datenschutzgesetze fordern eine Vielzahl unterschiedlichster Dokumente, unter anderem:
- ein Verzeichnis von Verarbeitungstätigkeiten als Verantwortlicher
- ein Verzeichnis von Verarbeitungstätigkeiten als Auftragnehmer
- Informationspflichten für Betroffene
- Einwilligungserklärungen
- Verpflichtungserklärungen zur Vertraulichkeit der Beschäftigten
Wir stellen Ihnen erforderliche und allgemeingültige Unterlagen bereit oder erstellen angepasst Dokumente für Ihre Datenverarbeitungen.
Datenschutzverträge (Auftragsverarbeitung, Joint Controller etc.)
Je nach Zusammenarbeit mit Kunden, Lieferanten, Dienstleistern oder Partner, können unterschiedlichste Datenschutzverträge erforderlich werden. Unsere Berater erstellen individuelle, an Ihre Datenverarbeitung angepasste Vertragsmuster, die Sie zur Ausgestaltung ihrer Beziehungen mit Externen verwenden können. Zudem beraten wir Sie zu individuellen Verträgen, die Ihnen für Vertragsabschlüsse zur Verfügung gestellt werden.