Ihr Weg zur DSGVO-konformen Datenschutzorganisation
Nachfolgend haben wir beispielhaft skizziert, wie ein Auftrag in der Regel abläuft, wenn wir von einem Unternehmen zum externen Datenschutzbeauftragten bestellt werden und gleichzeitig den Auftrag erhalten, die datenschutzrechtlichen Pflichten des Unternehmens vollständig zu ermitteln und anschließend deren Umsetzung zu übernehmen bzw. zu begleiten. Nähere Erläuterungen finden Sie im Anschluss an die Übersicht.
Schritt 1: Projektstart
TO-DO’s Kunde
➢ Auftragserteilung
➢ Übermittlung Bestellungserklärung
TO DO’s KDSB
➢ Bestätigung Vertragsschluss
➢ Bereitstellung verschiedener Unterlagen
(Formular Website, Vorlage Verpflichtung
Mitarbeiter auf Datengeheimnis, Formular
Verarbeitungstätigkeiten etc.)
➢ Vorbereitung Audit-Katalog
Termin
bis 3 Tage
nach Start
Schritt 2: Sofortmaßnahmen
TO-DO’s Kunde
➢ Ausfüllen und Zurückreichen der
übermittelten Formulare
➢ Verpflichtung von Mitarbeitern auf
Datengeheimnis bzw. Erneuerung
bereits vorhandener Verpflichtung
TO-DO’s KDSB
➢ Prüfen/Erstellen einer Datenschutz-Erklärung für
Website
➢ Benennung als externer Datenschutzbeauftragter
bei Aufsichtsbehörde
➢ Veranlassung sonstiger individuell erforderlicher
Sofortmaßnahmen
➢ Musterformulierung für Informationspflichten gem.
Art. 13 DSGVO
➢ Übermittlung eines ausführlichen Audit-
Fragenkatalogs
Termin
bis 10 Tage
nach Start
Schritt 3: Audit-Bestandsaufnahme
TO-DO’s Kunde
➢ Prüfen und Anpassen des
erhaltenen VVZ
➢ Beantworten Audit-Fragenkatalog
TO-DO’s KDSB
➢ Bereitstellung eines vorausgefüllten
Verarbeitungsverzeichnisses (VVZ)
Termin
bis 4 Wochen
nach Start
Schritt 4: Audit-Auswertung
TO-DO’s Kunde
—
TO-DO’s KDSB
➢ Auswerten des Audit-Fragebogens
➢ Evtl. Nachfragen zum Audit-Katalog
➢ Erstellung von Audit-Bericht mit Maßnahmenplan
/ Umsetzungskonzept
➢ Übermittlung Audit-Bericht mit Umsetzungsplan
sowie notwendigen Mustern & Vorlagen
Termin
bis 8 Wochen
nach Start
Schritt 5: Umsetzung DS-Maßnahmen
TO-DO’s Kunde
➢ Umsetzen des Maßnahmenplans
aus dem Datenschutz-Audit
anhand der übermittelten
Muster & Vorlagen
TO-DO’s KDSB
➢ Beantwortung evtl. Nachfragen
➢ Durchführung evtl. notwendiger Maßnahmen aus
Audit-Bericht (Datenschutz-Folgenabschätzung,
Mitarbeiter-Schulung etc.)
Termin
ab 8 Wochen
nach Start
Schritt 6: Dauerhafte Betreuung
TO-DO’s Kunde
➢ Vollzugsmeldung zu Maßnahmen
aus dem Audit-Bericht
TO-DO’s KDSB
➢ kontinuierliche Beratung und Betreuung,
Hinweise auf Anpassungsbedarf
➢ Bearbeitung der Anfragen von Behörden +
Betroffenen
Termin
kontinuierlich
Datenschutz ist Maßarbeit!
Lösungen „von der Stange“, die auf Anhieb rundherum optimal passen, gibt es im Datenschutz nicht. Zwar können die von uns bereitgestellten Vorlagen, Muster und Konzepte oft 1:1 oder mit nur geringen Anpassungen sofort verwendet werden, was den individuellen Beratungsaufwand ganz erheblich reduziert. Was konkret zur Gewährleistung einer rechtskonformen und sicheren Datenschutzorganisation konkret zu veranlassen ist, hängt aber auch hier immer von den individuellen Umständen ab, die zunächst genau zu erfassen sind. Deshalb wird zu Beginn in aller Regel ein Datenschutz-Audit durchgeführt.
Schritt 1:
Mit unserem Angebot erhalten Sie einen Vertrag und ein Formular, mit dem Sie uns als Ihren Datenschutzbeauftragten bestellen können. Reichen Sie diese Unterlagen unterzeichnet zurück, bestätigen wir Ihnen den Vertragsschluss in der Regel binnen drei Tagen. Mit der Bestätigung erhalten Sie gleichzeitig erste Datenschutz-Unterlagen. Dazu gehören regelmäßig:
- ein Formular zu Ihrer Website, das von Ihnen oder Ihrem Web-Dienstleister auszufüllen ist (Die darin abgefragten Informationen ermöglichen es uns, Ihre Website möglichst schnell rechtssicher auszugestalten);
- ein Formular zur Ermittlung der in Ihrem Unternehmen verwendeten Verarbeitungstätigkeiten (Nach der DSGVO sind Sie verpflichtet, ein Verzeichnis mit allen Verarbeitungstätigkeiten zu führen, die in Ihrem Unternehmen zur Verarbeitung personenbezogener Daten eingesetzt werden. Das Verzeichnis muss der Aufsichtsbehörde jederzeit vorgelegt werden können. Damit diese Verpflichtung möglichst kurzfristig erfüllt wird, erhalten Sie von uns ein Formular, in dem zahlreiche Verarbeitungstätigkeiten aufgeführt sind);
- ein Muster zur Verpflichtung Ihrer Beschäftigten auf das Datengeheimnis (Aufgrund der Einführung neuer Datenschutzregelungen durch die DSGVO ist die Vertraulichkeitsverpflichtung Ihrer Mitarbeiter zu erneuern bzw. – sofern noch nicht erfolgt – erstmals durchzuführen. Ein entsprechendes Muster stellen wir Ihnen in diesem Schritt zur Verfügung).
Schritt 2:
Ihre erste Aufgabe besteht darin, die erhaltenen Muster anzuwenden und die Formulare auszufüllen bzw. von Ihrem zuständigen Dienstleister ausfüllen zu lassen und anschließend an uns zurückzureichen.
Die Meldung als Ihr externer Datenschutzbeauftragter gegenüber der zuständigen Aufsichtsbehörde übernehmen wir. Üblicherweise ist dies binnen weniger Tage nach Auftragserteilung erledigt.
Eine ganz wesentliche Vorgabe des neuen Datenschutzrechts ist die Verpflichtung zur Information gemäß Art. 13 oder 14 DSGVO bei jeglicher Datenerhebung. Damit Sie diese Verpflichtung möglichst kurzfristig erfüllen können, stellen wir Ihnen ein entsprechendes Muster bereit.
Auf Grundlage der von Ihnen erhaltenen Informationen erstellen bzw. überarbeiten wir die Datenschutzerklärung für Ihre Website und geben – sofern vorhanden – weitere Hinweise zu erforderlichen Anpassungen an ihrer Website.
Schließlich erhalten Sie innerhalb der ersten zehn Tage nach Auftragserteilung von uns den für Sie erstellten, ausführlichen Audit-Fragenkatalog.
Schritt 3:
Anhand der von Ihnen erhaltenen Informationen zu den genutzten Verarbeitungstätigkeiten bereiten wir ein individuell für Ihr Unternehmen passendes Verarbeitungsverzeichnis vor, in dem die wesentliche Angaben bereits mit den insoweit üblichen Angaben vorausgefüllt sind, um den Bearbeitungsaufwand für Sie möglichst gering zu halten. Die vorausgefüllten Punkte werden von Ihnen durchgesehen und – sofern erforderlich – vervollständigt bzw. berichtigt.
Den von uns bereitgestellten Audit-Fragenkatalog sollten Sie möglichst innerhalb der ersten vier Wochen nach Auftragserteilung durcharbeiten und ausgefüllt an uns zurückreichen.
Schritt 4:
Nachdem wir von Ihnen den vollständig ausgefüllten Audit-Fragenkatalog zurückerhalten haben, werten wird diesen aus und erstellen einen Audit-Bericht. Dieser Bericht führt alle Maßnahmen auf, die bei Ihnen umzusetzen sind, um eine rechtskonforme Datenschutzorganisation vorweisen und die sichere Verarbeitung personenbezogener Daten gewährleisten zu können. Zudem wird Ihnen eine Anleitung vorgeschlagen, wie Sie die aufgeführten Maßnahmen Schritt für Schritt umsetzen können. Mit dem Audit-Bericht erhalten Sie auch Muster und Vorlagen zur Umsetzung der im Bericht als notwendig oder empfehlenswert angesehenen Maßnahmen.
Schritt 5:
Die bei Ihnen notwendigen Maßnahmen für eine rechtskonforme Datenschutzorganisation sind nun bekannt. Ein Umsetzungsplan liegt Ihnen vor. Ihre Aufgabe ist es ab sofort, die einzelnen Maßnahmen organisatorisch und/oder technisch umzusetzen.
Schritt 6:
Geschafft! Nach Umsetzung aller Maßnahmen steht Ihre neue, rechtskonforme Datenschutzorganisation. Sobald Sie uns den Vollzug aller von uns vorgegebenen Maßnahmen anzeigen, bestätigen wir Ihnen, dass Ihr Unternehmen im Ergebnis unserer Prüfungen alle Vorgaben des Datenschutzrechts, insbesondere der DSGVO erfüllt. Im Anschluss werden Sie kontinuierlich von uns betreut. Über alle Entwicklungen in Datenschutzrecht und Datenschutzpraxis sowie die dadurch evtl. notwendigen Anpassungen werden Sie informiert.