Datenschutz Service

In dieser Phase (Sammelphase) schaffen wir die Grundlage für die nachfolgenden Phasen. Sie ist ausschlaggebend für das Gelingen der Umsetzung. Es geht um folgende Aufgaben:

• Ermittlung aller datenschutzrechtlich relevanten Prozesse (d.h. Prozesse, im Rahmen derer personenbezogene Daten verarbeitet werden) im Unternehmen, inklusive der Prüfung welche Daten durch welche Systeme, wo (geografisch) und von wo (Quelle) erhoben werden,
• Ermittlung (im Hinblick auf sich ändernde Informationspflichten) aller datenschutzrechtlichen Hinweise an außenstehende betroffene Personen (vormals: Betroffene) oder Arbeitnehmer sowie der aktuellen Datenschutzerklärung,
• Ermittlung aller datenschutzrechtlich relevanter Verträge (insb. betreffend Auftragsverarbeitung (vormals: Auftragsdatenverarbeitung) und Auslagerungen/Outsourcing), dabei empfiehlt es sich Verträge, im Rahmen derer personenbezogene Daten in Drittländer übermittelt werden, besonders zu kennzeichnen,

Darüber hinaus sind diese beiden weiteren Punkte zur Umsetzung möglich:

• Ermittlung aller übrigen datenschutzrechtlich relevanten Dokumente, wie beispielsweise der datenschutzrechtlichen Einwilligungen,

• Ermittlung der datenschutzrechtlich relevanten Stakeholder, wie z.B. Lieferanten.

In einer zweiten Umsetzungsphase werden wir dann die ermittelten Prozesse, Verträge und Dokumente an der DSGVO neu ausgerichteten. Es geht in einem ersten Schritt darum, den Ist-Stand und den Soll-Stand nach der DSGVO zu ermitteln. In einem zweiten Schritt sind dann die erforderlichen Anpassungen vorzunehmen. Folgende Aufgaben müssen umgesetzt werden:

• Für alle datenschutzrechtlich relevanten Prozesse ist eine Datenschutz-Folgenabschätzung (löst die alte Vorabkontrolle ab) durchzuführen, dabei sind insb. die ausführlichen Dokumentationspflichten zu beachten,
• für die datenschutzrechtlich relevanten Prozesse ist zu ermitteln, ob sie auf Erlaubnistatbeständen der DSGVO beruhen (in Art. 6, 8, 9, 22),
• die datenschutzrechtlichen Hinweise an betroffene Personen innerhalb und außerhalb des Unternehmens sind an Anforderungen der DSGVO anzupassen, insb. an die Informationspflichten aus Art. 13 (Direkterhebung der Daten bei der betroffenen Person) oder 14 (Erhebung nicht direkt bei der betroffenen Person),
• Verträge über die Auftragsverarbeitung sind an die geringfügigen Änderungen in Art. 28 DSGVO anzupassen,
• vorhandene Einwilligungen sind an die erhöhten Anforderungen der DSGVO anzupassen, um sicherzugehen, dass sie auch nach Wirksam-werden der DSGVO fortgelten, insb. ist ausdrücklich auf die Möglichkeit des Widerrufs und die Rechtsfolgen eines Widerrufs hinzuweisen
• die vorhandenen technischen und organisatorischen Maßnahmen (TOM) sind anhand des Art. 32 Abs. 1 DSGVO zu überarbeiten,
• die übrigen Verträge und Dokumente sind ebenfalls dahingehend zu prüfen, ob sie nach der DSGVO angepasst werden müssen,
• soweit Betriebs- oder Dienstvereinbarungen angepasst werden müssen, ist frühzeitig der Betriebsrat (sofern firmenintern vorhanden) zu informieren und in den Abstimmungsprozess einzutreten.

In der dritten Phase dreht sich dann alles um die Finalisierung der zuvor angestoßenen und/oder bereits implementierten Veränderungen. In dieser Phase ist vor allem zu prüfen, ob die Anpassungen tatsächlich vorgenommen worden sind und neue bzw. veränderte Prozesse erfolgreich implementiert wurden. Die Kontrollen beinhalten im Wesentlichen die folgenden Aufgaben:

• Im Rahmen eines internen „Audits“ sind die umgestellten Prozesse, Dokumente, Verträge und TOM daraufhin zu überprüfen, ob die Anpassungen an die DSGVO tatsächlich vorgenommen worden sind,
• im Rahmen von externen Audits sind insb. Auftrags Verarbeiter und Dienstleister daraufhin zu überprüfen, ob sie ebenfalls die geforderten Änderungen vorgenommen haben, die durch die Umstellung auf die DSGVO notwendig waren,
• in einem allumfassenden Abschlussbericht sollten dann zu Dokumentations- und Beweiszwecken die vorgenommenen Anpassungen und Änderungen (nach vorheriger Prüfung) aufgeführt werden, um stets nachweisen zu können, dass eine Anpassung an die DSGVO erfolgt ist und die Umsetzung erfolgreich nachgeprüft worden ist.

Wir setzten die Punkte 1. Bis 3. Erfolgreich und umsetzend für Sie um z.B. durch unser buchbareres Datenschutz Premium Packet:

Datenschutz Paket Premium (mtl.)

- Offizielle Benennung eines Datenschutzbeauftragten

- Ansprechpartner für Verantwortliche, Betroffene und Behörden

- Datenschutz-Bestandsaufnahme

- Jährlicher Tätigkeitsbericht

- Einmalige Mitarbeiterschulung bis zu 50 MA (ganzen Tag)

- Datenschutzexperte-Siegel

- Umfangreiche Datenschutzvorlagen

- Erstellung von Technische und organisatorische Maßnahmen (TOM)

- Individuelle Anpassung der Datenschutzerklärung auf Ihrer Webseite

- Inklusiv Leistungen 2 Stunde pro Monat

- Prüfung & Beratung bei Verträgen zur Auftragsverarbeitung (AV)

- Laufzeit 12 Monate

Bitte fragen Sie uns nach unseren verschiedenen Servicepaketen. Wir beraten Sie gerne individuell.

Bis zum Wirksam-werden der DSGVO ist darüber hinaus zu beobachten, welche delegierten Rechtsakte und Leitlinien verabschiedet bzw. veröffentlicht werden sowie von welchen Öffnungsklauseln in welchem Umfang Gebrauch gemacht wird.

Sollten Sie Unterstützung bei der Anwendung des Umsetzungsplans benötigen, sei es betreffend Teilaspekte oder die Umsetzung in ihrer Gesamtheit, helfen wir Ihnen gerne. Insbesondere die Anpassung der Verträge über die Auftragsverarbeitung oder der datenschutzrechtlichen Einwilligungen können wir Ihnen bei Bedarf helfen, Anleitungen oder Vorlagen zu erstellen.