Unsere Leistungen im Datenschutz

Von der strategischen Beratung bis zur operativen Umsetzung: Wir begleiten Ihr Unternehmen auf dem gesamten Weg zur DSGVO-Konformität.

badge
Externer Datenschutzbeauftragter Art. 37, 38, 39 DSGVO · §38 BDSG
expand_more

Externer Datenschutzbeauftragter

Art. 37, 38, 39 DSGVO · §38 BDSG

Details

  • check_circleBenannter DSB mit Fachkunde
  • check_circleMeldung an die Aufsichtsbehörde
  • check_circleLaufende Überwachung und Beratung
  • check_circleAnlaufstelle für Betroffene
  • check_circleSchulung Ihrer Mitarbeitenden

Was bedeutet „externer Datenschutzbeauftragter“ rechtlich?

Die DSGVO verpflichtet in Art. 37 bestimmte Unternehmen zur Benennung eines Datenschutzbeauftragten (DSB). In Deutschland gilt nach §38 BDSG zusätzlich: Sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein DSB Pflicht. Der DSB kann intern bestellt oder extern beauftragt werden.

Als externer DSB übernehmen wir sämtliche Aufgaben, die Art. 39 DSGVO dem Datenschutzbeauftragten zuweist: Unterrichtung und Beratung des Verantwortlichen, Überwachung der Einhaltung der DSGVO, Beratung bei der Datenschutzfolgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und die Funktion als Anlaufstelle für betroffene Personen.

Vorteile gegenüber einem internen DSB

Ein interner DSB genießt nach §38 Abs. 2 i.V.m. §6 Abs. 4 BDSG einen besonderen Kündigungsschutz. Dieser besteht während der Bestellung und ein Jahr nach der Abberufung. Das macht die interne Lösung unflexibel. Bei einem externen DSB entfällt dieser Kündigungsschutz vollständig, da es sich um ein Dienstvertragsverhältnis handelt.

Darüber hinaus vermeidet ein externer DSB Interessenkonflikte, die Art. 38 Abs. 6 DSGVO ausdrücklich untersagt. Geschäftsführer, IT-Leiter, Personalverantwortliche und Marketingleiter können wegen inhärenter Rollenkonflikte nicht als DSB bestellt werden. Ein externer Beauftragter ist per Definition frei von solchen Konflikten.

Hinzu kommt: Ein externer DSB bringt Erfahrung aus zahlreichen Mandaten und Branchen mit. Dieses breit gefächerte Wissen fließt direkt in die Beratung Ihres Unternehmens ein.

Wie sieht die tägliche Arbeit aus?

Als Ihr externer DSB sind wir fester Bestandteil Ihrer Organisation. Konkret bedeutet das: regelmäßige Beratungsgespräche mit der Geschäftsleitung, Prüfung neuer Verarbeitungstätigkeiten vor der Einführung, Bewertung von Auftragsverarbeitungsverträgen (AVV), Unterstützung bei Betroffenenanfragen und die laufende Aktualisierung Ihrer Datenschutzdokumentation.

Wir sind per Telefon und E-Mail erreichbar, führen jährliche Vor-Ort-Audits durch und stehen bei Datenpannen sofort zur Verfügung. Die Benennung gegenüber der Aufsichtsbehörde und die Veröffentlichung der Kontaktdaten gemäß Art. 37 Abs. 7 DSGVO übernehmen wir ebenfalls.

gavel

Konsequenzen bei Nichtbenennung

Wer trotz Pflicht keinen DSB benennt, riskiert ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Außerdem fehlt ein zentraler Ansprechpartner für die Aufsichtsbehörde, was bei Prüfungen erhebliche Nachteile mit sich bringt.

fact_check
DSGVO Audit Art. 5 Abs. 2, Art. 24 DSGVO
expand_more

DSGVO Audit

 5 Abs. 2, Art. 24 DSGVO (Rechenschaftspflicht)

Details

  • check_circleDetaillierte Gap-Analyse
  • check_circlePriorisierter Maßnahmenplan
  • check_circleRisikobewertung aller Prozesse
  • check_circleManagement-Summary
  • check_circleNachverfolgbare Dokumentation

Was wird geprüft?

Unser DSGVO-Audit erfasst alle datenschutzrelevanten Bereiche Ihres Unternehmens. Dazu gehören: sämtliche Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden, die IT-Infrastruktur einschließlich Server, Cloud-Dienste, Endgeräte und Netzwerksicherheit, alle Verträge mit Auftragsverarbeitern (AVV nach Art. 28 DSGVO) sowie gemeinsam Verantwortlichen (Art. 26 DSGVO), und Ihre Web-Präsenz (Datenschutzerklärung, Cookie-Consent, Kontaktformulare, Tracking).

Wir prüfen auch die organisatorischen Maßnahmen: Besteht ein Löschkonzept? Gibt es Prozesse für Betroffenenanfragen? Werden Mitarbeitende geschult? Gibt es eine Datenpannen-Meldekette?

Wie läuft das Audit ab?

Das Audit gliedert sich in drei Phasen. In der ersten Phase führen wir strukturierte Interviews mit den verantwortlichen Abteilungen, um alle Verarbeitungstätigkeiten zu erfassen und organisatorische Abläufe zu verstehen.

In der zweiten Phase erfolgt die Dokumentenprüfung. Wir analysieren bestehende Datenschutzerklärungen, AVV, Einwilligungserklärungen, Betriebsvereinbarungen und interne Richtlinien auf Vollständigkeit und Rechtskonformität.

Die dritte Phase umfasst technische Prüfungen: Wir kontrollieren Zugriffsrechte, Verschlüsselungsstandards, Backup-Konzepte, die Konfiguration von Cloud-Diensten und die technische Umsetzung von Datenschutzmaßnahmen auf Ihrer Website.

Was erhalten Sie konkret?

Am Ende steht ein umfassender Auditbericht. Dieser enthält eine Gap-Analyse, die den Soll-Zustand (DSGVO-Anforderungen) dem Ist-Zustand gegenüberstellt. Jede Abweichung wird dokumentiert und nach Risiko bewertet: kritisch, hoch, mittel oder gering.

Daraus leiten wir einen priorisierten Maßnahmenplan ab. Sie sehen auf einen Blick, welche Themen sofort angegangen werden müssen und welche mittelfristig gelöst werden können. Eine Management-Summary fasst die wichtigsten Erkenntnisse für die Geschäftsleitung zusammen.

gavel

Warum ein Audit unverzichtbar ist

Art. 5 Abs. 2 DSGVO verlangt, dass Sie die Einhaltung aller Datenschutzgrundsätze nachweisen können (Rechenschaftspflicht). Ohne systematische Überprüfung fehlt dieser Nachweis. Im Ernstfall tragen Sie die Beweislast, dass Ihr Unternehmen DSGVO-konform arbeitet.

list_alt
Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO
expand_more

Verzeichnis von Verarbeitungstätigkeiten

 30 DSGVO

Details

  • check_circleVollständiges VVT nach Art. 30
  • check_circleDokumentation aller Verarbeitungen
  • check_circleRegelmäßige Aktualisierung
  • check_circleSofort vorlagefähig für Behörden

Was muss im VVT stehen?

Art. 30 Abs. 1 DSGVO definiert den Mindestinhalt des Verzeichnisses von Verarbeitungstätigkeiten. Für jede Verarbeitung müssen dokumentiert werden: Name und Kontaktdaten des Verantwortlichen und ggf. des DSB, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und Datenkategorien, die Kategorien von Empfängern (auch in Drittländern), geplante Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 Abs. 1 DSGVO.

In der Praxis umfasst ein gut geführtes VVT je nach Unternehmensgröße zwischen 15 und über 100 einzelne Verarbeitungstätigkeiten, von der Lohnbuchhaltung über das CRM bis zum Website-Tracking.

Warum betrifft die Pflicht nahezu jedes Unternehmen?

Art. 30 Abs. 5 DSGVO enthält zwar eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten. Diese Ausnahme greift jedoch nur, wenn die Verarbeitung kein Risiko für Betroffene birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien nach Art. 9 oder Art. 10 DSGVO betrifft.

In der Realität erfüllt praktisch kein Unternehmen alle drei Bedingungen gleichzeitig. Bereits eine regelmäßige Lohnabrechnung, ein Newsletter-Versand oder eine Kundendatenbank macht die Verarbeitung „nicht nur gelegentlich“. Die Aufsichtsbehörden stellen deshalb klar: Nahezu jedes Unternehmen muss ein VVT führen.

Wie erstellen und pflegen wir Ihr VVT?

Wir beginnen mit einer systematischen Bestandsaufnahme. In Interviews mit allen relevanten Abteilungen erfassen wir jede Verarbeitungstätigkeit, identifizieren die Rechtsgrundlage (Art. 6 DSGVO) und dokumentieren Datenflüsse, Empfänger und Löschfristen.

Anschließend überführen wir alles in ein strukturiertes, digitales Verzeichnis. Dieses ist jederzeit vorlagefähig, falls die Aufsichtsbehörde eine Einsicht nach Art. 30 Abs. 4 DSGVO verlangt. Die laufende Pflege stellen wir sicher, indem wir bei jeder Änderung Ihrer Prozesse, neuen Tools oder neuen Geschäftsfeldern das VVT aktualisieren.

gavel

Fehlendes VVT als Risiko

Ein fehlendes oder unvollständiges VVT verstößt gegen Art. 30 DSGVO und kann nach Art. 83 Abs. 4 lit. a mit Bußgeldern von bis zu 10 Millionen Euro geahndet werden. Zudem ist das VVT die Grundlage für viele weitere Datenschutzpflichten: Ohne VVT können Sie weder Löschfristen einhalten noch Betroffenenanfragen korrekt beantworten.

school
Mitarbeiterschulungen Art. 39 Abs. 1 lit. a DSGVO
expand_more

Mitarbeiterschulungen

 39 Abs. 1 lit. a DSGVO · Art. 32 DSGVO

Unsere Formate

  • check_circleOnline-Schulungen (flexibel)
  • check_circlePräsenzschulungen vor Ort
  • check_circleInteraktive Workshops
  • check_circleTeilnahmebestätigungen
  • check_circleRegelmäßige Auffrischungen

Warum Schulungen unverzichtbar sind

Menschliches Fehlverhalten ist die häufigste Ursache für Datenschutzverletzungen. Ein versehentlich weitergeleitetes E-Mail, ein Klick auf einen Phishing-Link oder ein ungesperrter Bildschirm reichen aus, um eine meldepflichtige Datenpanne auszulösen. Technische Maßnahmen allein können diese Risiken nicht beseitigen.

Art. 39 Abs. 1 lit. a DSGVO weist dem DSB ausdrücklich die Aufgabe zu, Mitarbeitende zu sensibilisieren und zu schulen. Außerdem gehören Schulungen zu den organisatorischen Maßnahmen nach Art. 32 DSGVO, die jeder Verantwortliche umsetzen muss.

Formate für jede Unternehmensstruktur

Online-Schulungen eignen sich besonders für Unternehmen mit verteilten Standorten oder flexiblen Arbeitszeiten. Die Teilnehmenden können die Schulung zeitunabhängig absolvieren. Am Ende steht ein kurzer Test, dessen Bestehen dokumentiert wird.

Präsenzschulungen bieten den Vorteil des direkten Austauschs. Wir kommen in Ihr Unternehmen und schulen Teams, Abteilungen oder die gesamte Belegschaft. Fragen aus dem Arbeitsalltag können sofort besprochen werden.

Interaktive Workshops gehen über die reine Wissensvermittlung hinaus. Hier analysieren wir gemeinsam echte Szenarien aus Ihrem Unternehmen, bewerten Risiken und erarbeiten praxistaugliche Lösungen.

Themen im Überblick

phishing

Phishing-Erkennung

Gefälschte E-Mails und Websites erkennen, richtiges Verhalten im Verdachtsfall, Meldewege im Unternehmen.

password

Passworthygiene

Sichere Passwörter erstellen, Passwortmanager nutzen, Zwei-Faktor-Authentifizierung aktivieren.

folder_shared

Datenhandhabung

Korrekte Speicherung, Übertragung und Löschung personenbezogener Daten, Umgang mit Papierdokumenten.

report

Vorfallmeldung

Wann liegt ein Datenschutzvorfall vor? Wie melden Mitarbeitende intern? Warum ist schnelles Handeln entscheidend?

gavel

Dokumentationspflicht

Schulungen müssen dokumentiert werden, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Wir stellen Teilnahmebestätigungen aus und dokumentieren Inhalte sowie Termine, sodass Sie jederzeit gegenüber der Aufsichtsbehörde nachweisen können, dass Ihre Belegschaft geschult ist.

assessment
Datenschutzfolgenabschätzung Art. 35, 36 DSGVO
expand_more

Datenschutzfolgenabschätzung

 35, 36 DSGVO

Details

  • check_circleVorabprüfung der DSFA-Pflicht
  • check_circleVollständige DSFA-Dokumentation
  • check_circleRisikobewertung und Abhilfemaßnahmen
  • check_circleBegleitung bei der Vorabkonsultation

Wann ist eine DSFA erforderlich?

Art. 35 Abs. 1 DSGVO verlangt eine Datenschutzfolgenabschätzung, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Art. 35 Abs. 3 DSGVO benennt drei Fälle, in denen eine DSFA jedenfalls durchzuführen ist:

  • 1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage automatisierter Verarbeitung einschließlich Profiling, wenn darauf Entscheidungen beruhen, die rechtliche Wirkung entfalten oder die Person in ähnlicher Weise erheblich beeinträchtigen.
  • 2. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO oder von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO.
  • 3. Systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Zusätzlich veröffentlicht die Datenschutzkonferenz (DSK) eine sogenannte Positivliste (Muss-Liste), die konkrete Verarbeitungstätigkeiten benennt, für die eine DSFA zwingend erforderlich ist. Dazu gehören beispielsweise umfangreiche Verarbeitung von Beschäftigtendaten mittels Tracking, Profiling oder biometrische Zugangskontrollen.

Was muss die DSFA enthalten?

Art. 35 Abs. 7 DSGVO gibt den Mindestinhalt vor. Die DSFA muss enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke (einschließlich der berechtigten Interessen, falls Art. 6 Abs. 1 lit. f als Rechtsgrundlage dient), eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen sowie die geplanten Abhilfemaßnahmen (Garantien, Sicherheitsvorkehrungen, Verfahren) zum Schutz personenbezogener Daten.

Wir strukturieren die DSFA nach dem von den Aufsichtsbehörden empfohlenen Muster und dokumentieren jeden Schritt nachvollziehbar.

Vorabkonsultation nach Art. 36 DSGVO

Ergibt die DSFA, dass die Verarbeitung trotz aller Abhilfemaßnahmen weiterhin ein hohes Risiko darstellt, ist der Verantwortliche nach Art. 36 Abs. 1 DSGVO verpflichtet, vor der Verarbeitung die Aufsichtsbehörde zu konsultieren. Die Behörde hat dann bis zu acht Wochen Zeit für eine Stellungnahme (verlängerbar um sechs Wochen bei komplexen Sachverhalten).

Wir begleiten Sie durch den gesamten Konsultationsprozess, bereiten die erforderlichen Unterlagen vor und kommunizieren mit der Aufsichtsbehörde in Ihrem Namen.

gavel

Konsequenzen einer unterlassenen DSFA

Wer eine erforderliche DSFA nicht durchführt, verstößt gegen Art. 35 DSGVO. Art. 83 Abs. 4 lit. a sieht dafür Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. Die Aufsichtsbehörde kann zudem die Verarbeitung nach Art. 58 Abs. 2 lit. f untersagen, bis die DSFA durchgeführt und Risiken minimiert sind.

warning
Datenpannenmanagement Art. 33, 34 DSGVO
expand_more

Datenpannenmanagement

 33, 34 DSGVO

Unsere Unterstützung

  • check_circleNotfall-Reaktionsplan
  • check_circleRisikobewertung des Vorfalls
  • check_circleMeldung an die Aufsichtsbehörde
  • check_circleBenachrichtigung Betroffener
  • check_circleLückenlose Dokumentation

Was ist eine Datenpanne?

Art. 4 Nr. 12 DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt, unabhängig davon, ob dies unbeabsichtigt oder unrechtmäßig geschieht.

Konkrete Beispiele: ein verlorener USB-Stick mit Kundendaten, ein Hackerangriff auf Ihre Server, der versehentliche Versand einer E-Mail mit offenem Verteiler (CC statt BCC) an hunderte Empfänger, ein gestohlener Laptop ohne Verschlüsselung oder ein fehlgeleitetes Fax mit Patientendaten.

Die 72-Stunden-Frist nach Art. 33 DSGVO

Art. 33 Abs. 1 DSGVO schreibt vor: Der Verantwortliche muss eine Datenpanne unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Diese Pflicht entfällt nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens enthalten: eine Beschreibung der Art der Verletzung (einschließlich der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze), den Namen und die Kontaktdaten des DSB, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen.

Wird die 72-Stunden-Frist überschritten, muss die Verspätung begründet werden. In der Praxis werten Aufsichtsbehörden verspätete Meldungen als erschwerenden Umstand.

Benachrichtigung betroffener Personen nach Art. 34 DSGVO

Wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, müssen diese nach Art. 34 Abs. 1 DSGVO unverzüglich benachrichtigt werden. Die Mitteilung muss in klarer, einfacher Sprache verfasst sein und die Betroffenen in die Lage versetzen, sich selbst zu schützen (etwa durch Passwortänderung oder Überwachung ihrer Konten).

Ausnahmen bestehen nach Art. 34 Abs. 3 DSGVO, etwa wenn die Daten verschlüsselt waren, nachträgliche Maßnahmen das hohe Risiko beseitigt haben oder die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde (dann ist eine öffentliche Bekanntmachung möglich).

Wie wir Sie im Ernstfall unterstützen

Präventiv: Wir erstellen gemeinsam mit Ihnen einen Notfall-Reaktionsplan (Incident Response Plan). Dieser definiert klare Zuständigkeiten, Meldewege und Eskalationsstufen, damit im Ernstfall jeder Handgriff sitzt.

Im Ernstfall: Sobald ein Vorfall bekannt wird, bewerten wir gemeinsam das Risiko, entscheiden über die Meldepflicht und erstellen die Meldung an die Aufsichtsbehörde fristgerecht. Falls erforderlich, formulieren wir die Benachrichtigung an betroffene Personen.

Nachbereitung: Jeder Vorfall wird lückenlos dokumentiert (Art. 33 Abs. 5 DSGVO). Wir analysieren die Ursache und leiten Maßnahmen ab, um eine Wiederholung zu verhindern.

gavel

Bußgelder bei Verstößen

Die Nichtmeldung oder verspätete Meldung einer Datenpanne kann nach Art. 83 Abs. 4 lit. a DSGVO mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Hinzu kommen mögliche Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO. Ein vorbereiteter Reaktionsplan ist daher keine Option, sondern eine Notwendigkeit.

Lassen Sie uns über Ihren Datenschutz sprechen

Ob Sie einen externen DSB suchen, ein Audit benötigen oder Ihre Mitarbeitenden schulen möchten: Wir beraten Sie unverbindlich und finden die passende Lösung für Ihr Unternehmen.

Erstgespräch vereinbaren