So gehen wir gemeinsam vor:

Erstgespräch

In einem persönlichen oder telefonischen Gespräch wird erfragt, wie Ihr Unternehmen im Datenschutz aufgestellt ist und welches konkrete Ziel erreicht werden soll. Auf dieser Basis erstellen wir Ihnen ein Angebot. In den meisten Fällen erscheint eine ausführliche Bestandsaufnahme sinnvoll.

Bestandsaufnahme

Auf Basis eines Fragebogens, vorhandener Dokumentationen / Arbeitsanweisungen, einer Vor-Ort-Besichtigung in Ihrem Unternehmen und von Interviews wird ein Soll- / Ist-Abgleich durchgeführt. Als Ergebnis erhalten Sie einen Audit-Bericht mit ganz konkreten risikoorientierten Empfehlungen.

Konzept und Umsetzung

In Abhängigkeit von den Empfehlungen bzw. dem individuellen Datenschutzniveau werden die Datenschutzanforderungen in einem Konzept bzw. Tool dokumentiert. Wir beraten Sie gerne bei der Umsetzung in die betrieblichen Prozesse, so dass die gesetzlichen Anforderungen erfüllt werden.

Sie haben die Wahl zwischen folgenden Paketen:

Basis

  • Benennung eines externen Datenschutzbeauftragten
20000

monatlich

Medium

  • Benennung eines externen Datenschutzbeauftragten
  • Bereitstellung der entsprechenden Vertragsformulare und Templates
30000

monatlich

Premium

  • Benennung eines externen Datenschutzbeauftragten
  • Bereitstellung der entsprechenden Vertragsformulare und Templates
  • Beratungsleistung (1 x Manntag monatlich)
50000

monatlich

Unsere Leistungen im Detail

Aufgrund der Komplexität der Datenschutzthematik inkl. laufender Veränderungen sind aufkommende Fragen nicht zu vermeiden. Sie können sich mit allen aufkommenden Fragen bzw. Problemen an uns jederzeit wenden.

Wir unterstützen gerne auch Ihren evtl. vorhandenen Datenschutzbeauftragten. Vielleicht haben Sie Spezialthemen in Ihrem Unternehmen oder keine ausreichende Zeit, um sich nebenbei effizient in die Datenschutzthematik einzuarbeiten.

Wir übernehmen gerne die Funktion des externen Datenschutzbeauftragten für Sie. Nach einer Bestandsaufnahme der datenschutzrechtlichen Situation in Ihrem Unternehmen beraten und unterstützen wir Sie gerne bei der Umsetzung evtl. erforderlicher Maßnahmen. Hierbei können Sie von unserer langjährigen Erfahrung im Datenschutz profitieren. Als benannter Datenschutzbeauftragter bieten wir Ihnen mehr als die gesetzlichen Aufgaben. Sie erhalten Muster-Verträge und -Dokumente, Formulare und sofern gewünscht unterstützen wir Sie darüber hinaus gern bei der Finalisierung, Anpassung dieser Muster und Formulare und füllen diese mit Ihnen gemeinsam aus.

Entscheidender Vorteil gegenüber einem internen Datenschutzbeauftragten ist dabei unter anderem, dass wir bereits über die erforderliche Expertise verfügen und es keiner gesonderten Schulung mehr bedarf. Darüber hinaus vermeidet man die Begründung eines besonderen Kündigungsschutzes. Wenn sich zwei Verantwortliche die Verarbeitung der Daten teilen, muss zudem transparent festgehalten werden, wer die Verantwortung für die Verarbeitung welcher Daten übernimmt, wer die Betroffenen über die Verarbeitung der Daten informiert und wer die Daten wann wieder löscht. Das Verhältnis beider Parteien in dieser Vereinbarung muss der betroffenen Person sichtbar widergespiegelt werden, da die betroffene Partei regelmäßig ein Recht auf Einblick in diese Vereinbarung hat. Grundsätzlich können sich Verantwortliche und Auftragsverarbeiter in ihrer Funktion auch vertreten lassen, diese Vertretung sollte im selben Mitgliedstaat der Europäischen Union eine Niederlassung wie der jeweilige Verantwortliche bzw. Auftragsverarbeiter haben. Von dieser Regel (z.B. außereuropäische Datenverarbeitung) kann abgewichen werden, wenn es sich bei den zu verarbeitenden Daten nicht um Daten besonderer Kategorien nach Artikel 9 DS-GVO oder um Daten zur Verfolgung von Straftaten handelt.

Wenn personenbezogene Daten durch Ihren Dienstleister im Auftrag verarbeitet werden ist einiges zu berücksichtigen. Gemäß Artikel 28 DS-GVO ist ein datenschutzkonformer Vertrag nach bestimmten Regeln abzuschließen, müssen die technischen und organisatorischen Maßnahmen dokumentiert werden und das Ganze kontrolliert werden. In diesem Zusammenhang führen wir für Sie gern Datenschutz Audits bei dem Auftragsverarbeiter durch.

Um den Rechenschaft- bzw. Nachweispflichten nach der DS-GVO nachzukommen sind verschiedene Dokumentationen erforderlich. Nachfolgende Dokumentationen sind wichtig, um mehr Sicherheit im Bereich Datenschutz zu erzielen:


Abschluss von Auftragsverarbeitungsvereinbarungen
Das Unternehmen als Verantwortliche ist dazu verpflichtet die Sicherheit der Daten von Betroffenen zu gewährleisten, indem die geeigneten technischen und organisatorischen Maßnahmen (TOM) getroffen werden. Wie diese technischen und organisatorischen Maßnahmen genau auszusehen haben, wird in der DS-GVO nicht näher erläutert. Wenn sich Verantwortlicher und Auftragsverarbeiter die Verarbeitung der Daten teilen, muss zudem transparent festgehalten werden, wer die Verantwortung für die Verarbeitung welcher Daten übernimmt, wer die Betroffenen über die Verarbeitung der Daten informiert und wer die Daten wann wieder löscht. Das Verhältnis beider Parteien in dieser Vereinbarung muss der betroffenen Person sichtbar widergespiegelt werden, da die betroffene Partei regelmäßig ein Recht auf Einblick in diese Vereinbarung hat.

Der Auftragsverarbeiter verarbeitet die Daten im Auftrag des Verantwortlichen.

Auftragsverarbeiter dürfen nur Stellen sein, die geeignete technische und organisatorische Maßnahmen gewährleisten können. Bei der Suche nach dem geeigneten Verarbeiter trägt der Verantwortliche die Verantwortung. Wenn die Beauftragung jedoch erfolgt ist, geht die Verantwortung mit auf den Verarbeiter über (Artikel 28 DS-GVO).

Die Zusammenarbeit zwischen Verantwortlichem und Verarbeiter muss dokumentarisch erfasst werden. Die DS-GVO ist hier ausnahmsweise relativ spezifisch, wenn es darum geht wie die Zusammenarbeit gestaltet werden soll (Auszug, näheres regelt Artikel 28, Abs. 3 DS-GVO):

  • Daten sollen nur auf Weisung des Verantwortlichen weiterverarbeitet werden.
  • Die mit der Verarbeitung befassten Personen müssen der Vertraulichkeit verpflichtet sein und dürfen nur auf Weisung des Verantwortlichen handeln.
  • Der Verantwortliche muss vor Beginn der Zusammenarbeit sicherstellen, dass die beauftragten Verarbeiter die erforderlichen technischen und organisatorischen Maßnahmen sicherstellen können.
  • Der Vertrag über die Zusammenarbeit bzw. die Verarbeitung der Daten kann schriftlich oder elektronisch erfolgen.

 

Der Auftragsverarbeiter kann einen Dritten damit beauftragen die Daten zu verarbeiten. Dabei müssen dieselben technischen und organisatorischen Maßnahmen umgesetzt werden wie beim Auftragsverarbeiter. Bei Verstößen haftet der Auftragsverarbeiter gemeinsam mit weiteren Auftragsverarbeitern gegenüber dem Verantwortlichen. Der Vertrag zwischen Verarbeiter und einem Dritten muss schriftlich abgefasst sein.

Anforderungen an das Verzeichnis über Verarbeitungstätigkeiten
Jeder Verantwortliche und ggf. seine Vertreter müssen ein Verzeichnis über die Verarbeitungstätigkeiten führen, das auf Anfrage der Datenschutzaufsichtsbehörde zur Verfügung gestellt werden muss. Mit Verarbeitungstätigkeit sind Prozesse und IT-Systeme gemeint, in denen personenbezogene Daten verarbeitet werden. Zum Beispiel ist die Lohn- und Gehaltsabrechnung eine solche Verarbeitungstätigkeit. Dieses Verzeichnis kann sowohl schriftlich als auch elektronisch geführt werden und muss folgende Mindestangaben enthalten (Artikel 30 Abs. 1 DS-GVO ):

  • Name und Kontaktdaten des Verantwortlichen, ggf. dessen Vertreter und deren Datenschutzbeauftragte
  • Den Zweck der Verarbeitung
  • Eine Beschreibung der Kategorien betroffener Personen sowie die Kategorien personenbezogener Daten
  • Die Kategorien von Empfängern denen die Daten der Betroffenen bereits offengelegt wurden bzw. voraussichtlich offengelegt werden, inkl. aller Drittländer
  • Dokumentation über Übermittlung der Daten in ein Drittland
  • sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Daten-Kategorien
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

 

Übrigens: Der Verantwortliche trägt die Verantwortung dafür, dass die Daten beim Verarbeiter gelöscht werden. Dies ist nicht explizit in der DS-GVO aufgeführt, gehört aber ebenso zu den Pflichten des Verantwortlichen.

Für Verarbeiter gelten ähnlich strenge Auflagen. Verarbeiter und ggf. deren Vertreter und Weiterverarbeiter müssen sich beim wahlweise schriftlichen oder elektronischen Verfahrensverzeichnisses an folgende Richtlinien halten (Artikel 30 Abs. 2 DS-GVO):

  • Name und Kontaktdaten des Verantwortlichen und ggf. dessen Vertreters und deren Datenschutzbeauftragten sind enthalten.
  • Die Kategorien der Verarbeitung die im Auftrag des Verantwortlichen durchgeführt werden müssen benannt sein.
  • sofern zutreffend die Übermittlung personenbezogener Daten in ein Drittland sowie die Dokumentierung geeigneter Garantien.
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.


Datenschutzfolgenabschätzung
Die Datenschutzaufsichtsbehörden habe eine Liste von Verarbeitungstätigkeiten festgelegt für die eine Datenschutzfolgenabschätzung zwingend durchgeführt werden muss. Hiervon unabhängig haben jedoch sämtliche Unternehmen auf Basis des Verzeichnisses der Verarbeitungstätigkeiten zu entscheiden, welche Datenverarbeitungen vermutlich ein hohes Risiko für die betroffenen Personen beinhalten. Insoweit kann man sich die Datenschutzfolgenabschätzung als eine Art Risikobewertung vorstellen, dessen Durchführung der Datenschutzbeauftragte überwacht.


Datenschutzkonzept (technische und organisatorische Maßnahmen)
Jedes Unternehmen hat ein Datenschutzkonzept zu erstellen und auf Verlangen den Behörden vorzulegen. In diesem Datenschutzkonzept werden alle datenschutzrechtlichen Aspekte in einem Unternehmen zusammenfassend beschrieben und es sollte nachfolgenden Mindestinhalt haben:

  • Datenschutzpolitik und Verantwortlichkeiten im Unternehmen.
  • Rechtliche Rahmenbedingungen im Unternehmen.
  • Dokumentation des Schutzbedarfs der Daten inkl. interner und externer Überprüfungen.
  • Bestehende technische und organisatorische Maßnahmen bzgl. Vertraulichkeit, Verfügbarkeit und Integrität.
  • Organisatorische Mindestregelungen.