Ihr Weg zur DSGVO-konformen Datenschutzorganisation

Nachfolgend haben wir beispielhaft skizziert, wie ein Auftrag in der Regel abläuft, wenn wir von einem Unternehmen zum externen Datenschutzbeauftragten bestellt werden und gleichzeitig den Auftrag erhalten, die datenschutzrechtlichen Pflichten des Unternehmens vollständig zu ermitteln und anschließend deren Umsetzung zu übernehmen bzw. zu begleiten. Nähere Erläuterungen finden Sie im Anschluss an die Übersicht.

Schritt 1: Projektstart

TO-DO’s Kunde​
➢ Auftragserteilung
➢ Übermittlung Bestellungserklärung

TO DO’s KDSB
➢ Bestätigung Vertragsschluss
➢ Bereitstellung verschiedener Unterlagen
(Formular Website, Vorlage Verpflichtung
Mitarbeiter auf Datengeheimnis, Formular
Verarbeitungstätigkeiten etc.)
➢  Vorbereitung Audit-Katalog

Termin
bis 3 Tage
nach Start

Schritt 2: Sofortmaßnahmen

TO-DO’s Kunde
➢ Ausfüllen und Zurückreichen der
     übermittelten Formulare
➢ Verpflichtung von Mitarbeitern auf
     Datengeheimnis bzw. Erneuerung 
     bereits vorhandener Verpflichtung

TO-DO’s KDSB
➢ Prüfen/Erstellen einer Datenschutz-Erklärung für
     Website
➢ Benennung als externer Datenschutzbeauftragter
     bei Aufsichtsbehörde
➢ Veranlassung sonstiger individuell erforderlicher
     Sofortmaßnahmen
➢ Musterformulierung für Informationspflichten gem.
     Art. 13 DSGVO
➢ Übermittlung eines ausführlichen Audit-
     Fragenkatalogs

Termin
bis 10 Tage
nach Start

Schritt 3: Audit-Bestandsaufnahme

TO-DO’s Kunde
➢ Prüfen und Anpassen des
     erhaltenen VVZ
➢ Beantworten Audit-Fragenkatalog

TO-DO’s KDSB
➢ Bereitstellung eines vorausgefüllten 
     Verarbeitungsverzeichnisses (VVZ)

Termin
bis 4 Wochen
nach Start

Schritt 4: Audit-Auswertung

TO-DO’s Kunde

TO-DO’s KDSB
➢ Auswerten des Audit-Fragebogens
➢ Evtl. Nachfragen zum Audit-Katalog
➢ Erstellung von Audit-Bericht mit Maßnahmenplan
     / Umsetzungskonzept
➢ Übermittlung Audit-Bericht mit Umsetzungsplan
     sowie notwendigen Mustern & Vorlagen

Termin
bis 8 Wochen
nach Start

Schritt 5: Umsetzung DS-Maßnahmen

TO-DO’s Kunde
➢ Umsetzen des Maßnahmenplans
     aus dem Datenschutz-Audit
     anhand der übermittelten
     Muster & Vorlagen

TO-DO’s KDSB
➢ Beantwortung evtl. Nachfragen
➢ Durchführung evtl. notwendiger Maßnahmen aus
     Audit-Bericht (Datenschutz-Folgenabschätzung,
     Mitarbeiter-Schulung etc.)

Termin
ab 8 Wochen
nach Start

Schritt 6: Dauerhafte Betreuung

TO-DO’s Kunde
➢ Vollzugsmeldung zu Maßnahmen
     aus dem Audit-Bericht

TO-DO’s KDSB
➢ kontinuierliche Beratung und Betreuung,
    Hinweise auf Anpassungsbedarf
➢ Bearbeitung der Anfragen von Behörden +
     Betroffenen

Termin
kontinuierlich

Datenschutz ist Maßarbeit!

Lösungen „von der Stange“, die auf Anhieb rundherum optimal passen, gibt es im Datenschutz nicht. Zwar können die von uns bereitgestellten Vorlagen, Muster und Konzepte oft 1:1 oder mit nur geringen Anpassungen sofort verwendet werden, was den individuellen Beratungsaufwand ganz erheblich reduziert. Was konkret zur Gewährleistung einer rechtskonformen und sicheren Datenschutzorganisation konkret zu veranlassen ist, hängt aber auch hier immer von den individuellen Umständen ab, die zunächst genau zu erfassen sind. Deshalb wird zu Beginn in aller Regel ein Datenschutz-Audit durchgeführt.

Schritt 1:

Mit unserem Angebot erhalten Sie einen Vertrag und ein Formular, mit dem Sie uns als Ihren Datenschutzbeauftragten bestellen können. Reichen Sie diese Unterlagen unterzeichnet zurück, bestätigen wir Ihnen den Vertragsschluss in der Regel binnen drei Tagen. Mit der Bestätigung erhalten Sie gleichzeitig erste Datenschutz-Unterlagen. Dazu gehören regelmäßig:

  • ein Formular zu Ihrer Website, das von Ihnen oder Ihrem Web-Dienstleister auszufüllen ist (Die darin abgefragten Informationen ermöglichen es uns, Ihre Website möglichst schnell rechtssicher auszugestalten);
  • ein Formular zur Ermittlung der in Ihrem Unternehmen verwendeten Verarbeitungstätigkeiten (Nach der DSGVO sind Sie verpflichtet, ein Verzeichnis mit allen Verarbeitungstätigkeiten zu führen, die in Ihrem Unternehmen zur Verarbeitung personenbezogener Daten eingesetzt werden. Das Verzeichnis muss der Aufsichtsbehörde jederzeit vorgelegt werden können. Damit diese Verpflichtung möglichst kurzfristig erfüllt wird, erhalten Sie von uns ein Formular, in dem zahlreiche Verarbeitungstätigkeiten aufgeführt sind);
  • ein Muster zur Verpflichtung Ihrer Beschäftigten auf das Datengeheimnis (Aufgrund der Einführung neuer Datenschutzregelungen durch die DSGVO ist die Vertraulichkeitsverpflichtung Ihrer Mitarbeiter zu erneuern bzw. – sofern noch nicht erfolgt – erstmals durchzuführen. Ein entsprechendes Muster stellen wir Ihnen in diesem Schritt zur Verfügung).

Schritt 2:

Ihre erste Aufgabe besteht darin, die erhaltenen Muster anzuwenden und die Formulare auszufüllen bzw. von Ihrem zuständigen Dienstleister ausfüllen zu lassen und anschließend an uns zurückzureichen.

Die Meldung als Ihr externer Datenschutzbeauftragter gegenüber der zuständigen Aufsichtsbehörde übernehmen wir. Üblicherweise ist dies binnen weniger Tage nach Auftragserteilung erledigt.

Eine ganz wesentliche Vorgabe des neuen Datenschutzrechts ist die Verpflichtung zur Information gemäß Art. 13 oder 14 DSGVO bei jeglicher Datenerhebung. Damit Sie diese Verpflichtung möglichst kurzfristig erfüllen können, stellen wir Ihnen ein entsprechendes Muster bereit.

Auf Grundlage der von Ihnen erhaltenen Informationen erstellen bzw. überarbeiten wir die Datenschutzerklärung für Ihre Website und geben – sofern vorhanden – weitere Hinweise zu erforderlichen Anpassungen an ihrer Website.

Schließlich erhalten Sie innerhalb der ersten zehn Tage nach Auftragserteilung von uns den für Sie erstellten, ausführlichen Audit-Fragenkatalog.

Schritt 3:

Anhand der von Ihnen erhaltenen Informationen zu den genutzten Verarbeitungstätigkeiten bereiten wir ein individuell für Ihr Unternehmen passendes Verarbeitungsverzeichnis vor, in dem die wesentliche Angaben bereits mit den insoweit üblichen Angaben vorausgefüllt sind, um den Bearbeitungsaufwand für Sie möglichst gering zu halten. Die vorausgefüllten Punkte werden von Ihnen durchgesehen und – sofern erforderlich – vervollständigt bzw. berichtigt.

Den von uns bereitgestellten Audit-Fragenkatalog sollten Sie möglichst innerhalb der ersten vier Wochen nach Auftragserteilung durcharbeiten und ausgefüllt an uns zurückreichen.

Schritt 4:

Nachdem wir von Ihnen den vollständig ausgefüllten Audit-Fragenkatalog zurückerhalten haben, werten wird diesen aus und erstellen einen Audit-Bericht. Dieser Bericht führt alle Maßnahmen auf, die bei Ihnen umzusetzen sind, um eine rechtskonforme Datenschutzorganisation vorweisen und die sichere Verarbeitung personenbezogener Daten gewährleisten zu können. Zudem wird Ihnen eine Anleitung vorgeschlagen, wie Sie die aufgeführten Maßnahmen Schritt für Schritt umsetzen können. Mit dem Audit-Bericht erhalten Sie auch Muster und Vorlagen zur Umsetzung der im Bericht als notwendig oder empfehlenswert angesehenen Maßnahmen.

Schritt 5:

Die bei Ihnen notwendigen Maßnahmen für eine rechtskonforme Datenschutzorganisation sind nun bekannt. Ein Umsetzungsplan liegt Ihnen vor. Ihre Aufgabe ist es ab sofort, die einzelnen Maßnahmen organisatorisch und/oder technisch umzusetzen.

Schritt 6:

Geschafft! Nach Umsetzung aller Maßnahmen steht Ihre neue, rechtskonforme Datenschutzorganisation. Sobald Sie uns den Vollzug aller von uns vorgegebenen Maßnahmen anzeigen, bestätigen wir Ihnen, dass Ihr Unternehmen im Ergebnis unserer Prüfungen alle Vorgaben des Datenschutzrechts, insbesondere der DSGVO erfüllt. Im Anschluss werden Sie kontinuierlich von uns betreut. Über alle Entwicklungen in Datenschutzrecht und Datenschutzpraxis sowie die dadurch evtl. notwendigen Anpassungen werden Sie informiert.

Noch Fragen?

Schreiben Sie uns!​

KDSB Service GmbH
Sie erreichen uns unter folgenden Kontaktdaten:

Wir sind Teilnehmer der Allianz für Cybersicherheit sowie Mitglied des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V. (BvD) und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)