Datenschutz- & DSGVO-Beratung

Der Datenschutz und die Datenschutz-Grundverordnung (DSGVO) spielen seit über 6 Jahren im Alltag der Unternehmen und ihrer Kunden direkt oder indirekt eine große Rolle. Für die Unternehmen, weil sie umfangreiche Hinweis- und Dokumentationspflichten erfüllen müssen, und für die Kunden, weil sie sich auf den sicheren Umgang mit ihren Daten verlassen wollen und müssen. Gleichzeitig häufen sich die Meldungen von schweren Datenpannen, Hacker-Angriffen und Spam-Attacken auf alle Nutzer, die nach Angaben des BSI im Jahr 2023 einen Schaden von rd. 200 Mrd. EUR allein in Deutschland verursacht haben – Tendenz steigend.

Mehr Sicherheit für die Unternehmensdaten und personenbezogene Daten setzen eine gemeinsame und integrierende Sicht von Datenschutz und IT-Sicherheit voraus.

Auch wenn die DSGVO alle Formen der Verarbeitung von personenbezogenen (oder beziehbaren) Daten betrifft, stehen doch die IT-technischen Nutzungen im Vordergrund. Je nach Größe der Unternehmen werden die Aufgaben zur Bereitstellung und dem Betrieb der IT-Infrastrukturen und der Fachabteilungen auf spezielle Bereiche übertragen. Zusätzlich werden gesetzliche oder regulative Vorgaben für den Aufbau und Betrieb der IT und für die Organisation der Funktionsbereiche aufgestellt, die ebenfalls nur mit Unterstützung der IT gewährleistet werden können.

Zum Vergößern bitte klicken

Leider ist die getrennte Erstellung und Pflege solcher Regelungsrahmen in vielen Unternehmen noch häufig anzutreffen – oft wegen der zeitlichen Abfolge einzelner Umsetzungstermine. Damit verschenken die betroffenen Unternehmen wichtige Vorteile einer gemeinsamen Ausrichtung ihrer Organisation auf diese Anforderungen:

gesetzliche Anforderungen orientieren sich immer mehr am Modell der Management-Systeme, also dem Konzept der PDCA-Zyklen, die eine regelmäßige, systematische Weiterentwicklung der Organisation einfordern
die Anforderungen an die Nachweisbarkeit und Dokumentation der Entscheidungen ist jeweils zentraler Bestandteil für das Management, um eine etwaige Haftung bei Defiziten und Fehlern zu minimieren und Professionalität im Umgang mit Risiken zu belegen
all das setzt auch voraus, dass präventive Maßnahmen zur Risiko-Identifikation und –Vermeidung nach einem systematischen Verfahren (“Risiko-Management”) verfolgt werden
und die beteiligten Mitarbeitenden zu den möglichen Risiken, den Vermeidungsstrategien und ihren Lösungswegen geschult werden.

Die DSGVO setzt daher ebenfalls voraus, dass die zuvor genannten Grundlagen zuverlässig umgesetzt und im Sinne der Unternehmen (des Verantwortlichen) und der betroffenen Personen wirksam und effektiv funktionieren.

Eine regelmäßige Kontrolle durch eine neutrale Stelle sollte eine Überlegung wert sein, um Silo-Denken und Fehlentwicklungen oder Defizite rechtzeitig aufzudecken, bevor es ein Kunde oder die Datenschutzbehörde tun.

CIRCLE OF LIFE: PDCA-KREISLAUF FÜR IHRE DATENSCHUTZ-ORGANISATION UND IHR DATENSCHUTZ-MANAGEMENT-SYSTEM (DSMS)

Es ist für die Geschäftsleitung in ihrer Rolle als Verantwortliche Person unverzichtbar, den Leistungsstand und die Wirksamkeit der bisher erreichten Strukturen für das Management der Datenschutz-Anforderungen zu kennen. Der regelmäßige Bericht des Datenschutzbeauftragten (DSB) oder interner Datenschutz-Koordinatoren reicht nur dann, wenn er hinreichend kritisch auf Missstände eingeht (eingehen darf) und dabei einen vergleichenden Blick in den Stand der eigenen Branche oder ggf. auch auf die internationalen oder technologiebedingten Einflüsse eingehen kann.

Diese Schritte zu mehr Sicherheit unterstützen wir maßgeschneidert mit folgenden Services:

Status-Audit zum Datenschutz in Anlehnung an die Prüfhilfe des Institutes der deutschen Wirtschaftsprüfer IDW PH 9.860.1 und/oder interner Prüf-Vorgaben / Routinen
Daraus abgeleitete Maßnahmenplanung mit Prioritäten, Termin- und Ressourcen-Planung sowie auf Wunsch Verfolgung der Umsetzungen
Regelmäßige Informations- und Diskussions-Veranstaltungen zu aktuellen Themen aus der Datenschutz-Landschaft oder Fachthemen aus dem Kreis unserer Mandanten
Hotline-Funktionen zum Datenschutz und den Umfeld-Themen der Informationssicherheit und verbundener Detailbereiche (BCM, Zertifizierungen, uvm.)
Entwicklung von Modellen / Konzepten zur Verknüpfung zur Integration beteiligter Management-Systeme (ISMS, BCM, Risiko-Management, IKS)

DATENSCHUTZ – DIE UNENDLICHE GESCHICHTE

Zugegeben – die gesetzlichen und technischen Rahmenbedingungen entwickeln sich immer weiter und stellen Unternehmen immer wieder vor große Herausforderungen, wie die Inhalte nun umgesetzt werden könnten. In diesen Situationen ist es immer hilfreich, über den eigenen Tellerrand zu schauen und das Rad nicht alleine (und ggf. neu) zu erfinden.

Auch 6 Jahre nach Einführung der DSGVO greifen viele Unternehmen nur auf rudimentäre Prozesse und Regeln der Anfangszeit zurück, die einer Bewertung nach heutigen Standards nicht (mehr) gerecht werden und damit Unzufriedenheiten mit Kunden oder Bußgeldrisiken herausfordern. Die Lösung liegt in integrierenden IT-Tools, die mehrere Ziele unterstützen.

Zu den häufigsten Lücken und Fehlerquellen sollten Sie daher unbedingt Kontrollen vorsehen:

das Verzeichnis der Verarbeitungstätigkeiten (“VVT”) ist unvollständig bzw. nicht aktuell
die Auflistung der Verarbeitungstätigkeiten ist nicht vollständig, weil neue Verarbeitungen eingeführt wurden (Einsatz z.B. von M365, Whistleblower-Hotline, KI-basierte Tools, uvm.)
die gesetzlich vorgeschriebenen Bestandteile sind schlecht dokumentiert (Schwellenwert-Analysen, ggf. Datenschutzfolgenabschätzung, DSFA, Löschkonzepte, uva.)
die Unternehmensorganisation und Zuständigkeiten haben sich weiterentwickelt (Verlagerungen, Ausgründungen, Holding-Modelle, IT-Infrastrukturen, Lieferanten- und Auftragsverarbeiter, uvm.)
die Pflicht als Verantwortlicher, die Partner mit Auftragsverarbeitungsverträgen (AVV) regelmäßig zur Einhaltung der vertraglichen Pflichten (Sicherheit TOMs, Meldung Prozessänderungen, Schulung der Mitarbeiter, uvm.) zu kontrollieren.
eigene Schulungs- und Meldepflichten termingerecht nachzuhalten (Betroffenenrechte, Anpassung der Dokumente zur Wahrung der Informationspflicht nach Art. 13 / 14 DSGVO, Aktualisierung der Datenschutz-Information von Webseiten zu gesetzlichen Anpassungen, uvm).
Review bestehender Risiko-Bewertungen bei den TOMs, zur Validität der Aussagen älterer DSFA-Reports, sowie Schnittstellen zur IT-Sicherheit und dem Informationssicherheitsmanagementsystem (ISMS)