Warum gibt es ein DSGVO-Spezial?

Weil es Situationen gibt, in denen es schnell gehen soll...

Auch in 2024 gibt es noch viele Organisationen, die mit uns Kontakt aufnehmen, weil sie wissen oder befürchten, dass die bereits getroffenen Maßnahmen zum Datenschutz unzureichend sind. Oft wurden zur Einführung der DSGVO einfache Dokumente eingekauft und angepasst, haben aber nie der betrieblichen Realität entsprochen, waren unvollständig und haben ggfs. bereits zu Rückfragen geführt. Spätestens wenn Betroffene Rechte geltend machen wollen und im Unternehmen unklar ist, wie reagiert werden muss, ist Eile geboten. 

Unser Paket DSGVO-Spezial ist daher speziell auf Unternehmen zugeschnitten, die immer noch große Defizite im Datenschutz haben und schnell und fokussiert die Anforderungen erfüllen möchten. Mit unserem Quick Start bieten wir Ihnen eine erprobte und umfassende Unterstützung bei der Umsetzung von verpflichtenden Maßnahmen. Schnell, einfach und persönlich führen wir Sie durch die wichtigsten Schritte zu Ihrer individuellen Datenschutzdokumentation.

Beispielhafter Ablauf eines Projekts "DSGVO Spezial"

Im Folgenden beschreiben wir, wie ein Projekt „DSGVO Spezial“ ablaufen kann, wenn ein Unternehmen schnell zu nachweisfähigen Ergebnissen kommen möchte. 

Achtung: Wenn Sie diesen Text lesen, weil Sie bereits wegen eines Datenschutzvorfalls mit Betroffenen oder gar der Aufsichtsbehörde in Kontakt sind und wissen, dass Sie gravierende Defizite haben, empfehlen wir Ihnen stattdessen dringend anwaltliche Betreuung durch Ihren Rechtsberater. 

---

Phase 1:  Grundlagen sammeln und dokumentieren

Die Phase 1 beginnt unmittelbar nach Auftragseingang: Überprüfung der Touchpoints, Datenerfassung und Dokumentenerstellung teilen wir sinnvoll auf. Wir arbeiten gemeinsam und parallel mit Ihnen als Kunden, nutzen unsere Erfahrung im Datenschutz und Ihre Kenntnisse des eigenen Unternehmens, um schnell zu nachweisbaren Ergebnissen zu gelangen. Unser Ziel ist es, so schnell wie möglich sicher zu werden und auf Anfragen der Aufsichtsbehörden reagieren zu können. Sobald die Basisdokumente vorliegen, reden wir weiter: Zeitpläne, Aufgaben, Details. 

 Workshop „Klarheit zur DSGVO“ (Parallel oder auf Wunsch vorab)

• Teilnehmer: Geschäftsleitung und leitende Angestellte
• Grundverständnis zur EU-DSGVO
• Vermittlung der notwendigen Kenntnisse zu den Pflichten des Verantwortlichen
• Erläuterung des Projekt-Fahrplans und aller geplanten Maßnahmen, Terminplanung

Überprüfung und Optimierung der „Touchpoints“

• Prüfung auf Pflicht zur Benennung eines Datenschutzbeauftragten,
• Benennung des Datenschutzbeauftragten bei der zuständigen Landesdatenschutz­aufsichts­behörde,
•  Kurzbegehung des Unternehmens durch eine Datenschutz-Fachkraft
• Sichtung der Website und Beratung zu ktisischen Punkten: Datenschutzerklärung, Cookies, Plugins, Informationspflichten und Einwilligungs (Consent. 
•  Umsetzung der Informationspflicht bei der Verarbeitung gem. Art. 13 und 14 DSGVO für relevante Gruppen.
•  Sensibilisierung Ihrer Mitarbeiter zu Anfragen zu Betroffenenrechten

Erfassung der grundlegenden Daten Ihres Unternehmens (per Onlineportal, telefonisch, vor Ort)

• Bewertung zum Datenschutz und Erfassung der wichtigsten Daten
• Erfassung der Verarbeitungstätigkeiten in 3 Stufen
• Identifizierung der Auftragsverarbeitungen
• Risikoeinschätzung zur Notwendigkeit von Datenschutzfolgenabschätzungen (Art. 35 DSGVO)
• Erfassung der technisch-organisatorischen Maßnahmen (TOM)

Auswertung des Datenpools und Anfertigen der Basisdokumente

• Erstellung des „Verzeichnis der Verarbeitungstätigkeiten“ gem. Art. 30 DSGVO mit allen Pflichtangaben
• Dokumentation der technisch-organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO
• Prüfung und Dokumentation der Auftragsverarbeitungen nach Art. 28 DSGVO
• Prüfung und Dokumentation der Datenübermittlung in Drittstaaten nach Art. 44 ff. DSGVO
• Dokumentation der Risikoabschätzung zur Vorbereitung der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO

Parallel: Datenschutzschulung und Verpflichtung der Mitarbeiter 

• Durchführung einer Schulung zum Datenschutz und den Maßnahmen nach DSGVO für alle Mitarbeiter
• Verpflichtung der Mitarbeiter auf den Datenschutz nach DSGVO
• Dokumentation zur Erfüllung der Nachweispflicht des Verantwortlichen
• Einweisung in die Dokumente und Handlungsempfehlungen für den Verantwortlichen

---

Phase 2 – Vertiefung des Datenschutzes im Unternehmen

Sobald Phase 1 abgeschlossen ist, haben Sie das Nahziel „schnell und effizient zu nachweisfähigen Dokumenten“ erreicht. Sie haben die wichtigsten Dokumente für Ihr Datenschutzmanagementsystem erstellt, und könnten ggfs. einer Aufsichtsbehörde Nachweise dazu erbringen. Phase 2 gibt Ihrem System nun Tiefe und mehr Details, erweitert die Angaben in den Nachweisunterlagen und erzeugt weitere, wichtige Dokumente:

Datenschutzaudit, Prüfung der Auftragsverarbeitungen, Drittstaatenübermittlung oder Risiko­einschätzung – dazu Ihr individuelles und umfangreiches Datenschutz-Handbuch als wesentliches Nachweisdokument. Wir erarbeiten gemeinsam die notwendigen Leit- und Richtlinien für Datenschutz und Informationssicherheit und schaffen, auf Wunsch, auch die Grundlagen für eine weiterführende Zertifizierung Ihrer IT-Sicherheit. Datenschutz wird zu einem echten Qualitätsmerkmal Ihres Unternehmens.

Datenschutz-Audit

• Ausführliche Begehung des Unternehmens durch eine Datenschutz-Fachkraft
• Überprüfung der Dokumentation der technisch-organisatorischen Maßnahmen (TOM) aus Phase 1
•  Erstellung von Empfehlungen zur Verbesserung der Sicherheit der Verarbeitung nach Art. 32 DSGVO

Optional: Durchführung einer IT-Sicherheits-Basisprüfung ITQ inkl. Gütesiegel: Wahlweise bieten wir ein erweitertes Audit in Form einer ITQ-Basisprüfung zur IT-Sicherheit an: Sie erhalten dadurch die Grundlagen für eine spätere Zertifizierung gem. „Zertifikat IT-Sicherheit ITQ“. Sie nutzen ab dem Moment der Auditierung das Siegel „ITQ Basisprüfung“ als Zeichen (z. B. auf Ihrer Website oder Briefpapier) dafür, dass sich Ihr Unternehmen für IT-Sicherheit einsetzt und bereits aktiv Maßnahmen durchführt. 

Überprüfung und Ergänzung der Dokumentation aus Phase 1

• Ergänzungen zu den Dokumenten aus Phase 1 (z. B. Erfassung und Dokumentation zusätzlicher Angaben im Verzeichnis der Verarbeitungstätigkeiten)
• Überprüfung der Risikoeinschätzung aus Phase 1
• Überprüfung auf notwendige Datenschutzfolgenabschätzungen
• Überprüfung der Auftragsverarbeitungen aus Phase 1
• Überprüfung der Datenübermittlung in Drittstaaten aus Phase 1
• Überprüfung auf Wirksamkeit der Umsetzung der Informationspflichten

Sichtung und Empfehlungen für Richtlinien für die Mitarbeiter

• Prüfung von notwendigen oder bereits vorliegenden Dokumenten (keine Rechtsberatung), z.B.:
  • Information zur Regelung der privaten Nutzung von E-Mail und Internet
  • Verschiedene Einwilligungen, z. B. Fotonutzung, Speicherung privater Kontaktdaten
  •  Bei Bedarf Information zu Verschwiegenheitserklärung und Verpflichtung nach § 203 StGB
  • Erstellung der Leit- und Richtlinien für Datenschutz und Informationssicherheit

Erstellung des Datenschutzhandbuchs mit IT Benutzer-Richtlinien:

Ca. 80-seitiges, individuelles Handbuch als Ihr Regelwerk für den Datenschutz in Ihrem Unternehmen.
Das Handbuch enthält u. a. folgende Abschnitte:

• Unternehmensleitlinien zum Datenschutz und Informationssicherheit
• Richtlinien zur Umsetzung von Datenschutzmaßnahmen
• Richtlinien zur Umsetzung von Betroffenenrechten
• IT-Richtlinien für Nutzer
• Richtlinien für Störungen und Ausfälle
• Notfallplan und Richtlinien für Sicherheitsvorfälle

Abschlussbesprechung zum DSGVO Spezial 

• Gemeinsames Abschlussgespräch mit Ihrem Datenschutzteam
• Fragerunde mit unseren Datenschutz-Experten
• Übergabe an den Datenschutzbeauftragten