Datenschutz-Compliance in drei Schritten

Dabei gilt es nicht nur, die Vorschriften der Europäischen Datenschutzgrundverordnung (DSGVO) oder des neuen Bundesdatenschutzgesetzes (BDSG-neu) zu beachten. Datenschutzvorschriften finden sich auch in zahlreichen Nebengesetzen, in denen branchenspezifisch besondere Aspekte des Datenschutzes oder überschneidende Themen geregelt werden, wie z.B. im Telekommunikationsgesetz, in Sozialgesetzbüchern, dem Geldwäschegesetz oder dem Gesetz über die Beaufsichtigung von Zahlungsdiensten. Dazu kommt in Kürze noch die sogenannte ePrivacy-Verordnung, die den Datenschutz im E-Commerce konkretisiert.

Wesentliche Aufgabe durch die Regelungen der DSGVO ist es nunmehr, ein Konzept für die Einhaltung des Datenschutzes in Ihrer Einrichtung nicht nur „zu leben“ – wie es durchaus im Zeitalter des alten Bundesdatenschutzgesetzes häufig praktiziert wurde –, sondern ein solches Konzept auch jederzeit aktiv nachweisen zu können im Rahmen der sogenannten Rechenschaftspflicht (engl. Accountability).

Die Datenschutzexperten von WINHELLER beraten branchenübergreifend im In- und Ausland Unternehmen und Nonprofit-Organisationen und schaffen dabei passgenaue Compliance-Konzepte für den Datenschutz je nach Unternehmensart, -größe und -ausrichtung.

Dabei gehen wir grundsätzlich in drei Schritten vor:

• Analyse der bisherigen Datenschutzorganisation vor Ort und remote durch Interviews mit Verantwortlichen sowie Prüfung von Dokumenten und Verträgen
• ggf. Revision und Bewertung eines bestehenden Datenschutzkonzepts
• Identifizieren von Mängeln und Schwachstellen
• Risikobewertung auf Basis identifizierter Schwachstellen, Berücksichtigung der rechtspolitischen Entwicklungen, des Fokus der Aufsichtsbehörden und der Marktsituation
• Empfehlung konkreter Handlungsmaßnahmen zur Minderung des Risikos für Betroffene der Datenverarbeitung und des daraus folgenden Haftungsrisikos für die verantwortliche Stelle

• Erstellung eines auf Ihre Erfordernisse ausgerichteten Datenschutzkonzepts
• Beratung zur Umsetzung der Dokumentationspflichten
• Erstellung von Informationen zur Datenverarbeitung gegenüber den Betroffenen nach Art. 13, 14 DSGVO, insbesondere Erstellung rechtssicherer Datenschutzerklärungen für Websites
• Unterstützung bei Erstellung und Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO für Verantwortliche und Auftragsverarbeiter
• Umsetzung bzw. Anpassung des Vertragsmanagements
  (Erstellung von Auftragsverarbeitungsverträgen, EU-Standardvertragsklauseln, Verträgen über die gemeinsame Verantwortlichkeit/Joint-Control-Agreements, Konzernverträgen, Shared-Service-Agreements, Verschwiegenheitsvereinbarungen/Non-Disclosure-Agreements, Verpflichtungserklärungen auf das Datengeheimnis etc.); Prüfung und ggf. Überarbeitung von Klauseln mit Datenschutzrelevanz in Verträgen und Satzungen, Allgemeinen Geschäftsbedingungen etc.
• ggf. Erstellung oder Anpassung von Betriebsvereinbarungen zum Datenschutz oder zur Einführung und Aufrechterhaltung technischer Systeme
• Beratung zur Umsetzung der technischen und organisatorischen Maßnahmen (TOM) nach der DSGVO
• Erstellung von rechtssicheren Einwilligungserklärungen und Beratung in der praktischen und technischen Umsetzung von Opt-in-/Opt-out-Lösungen
• Sicherstellung insbesondere der Datensparsamkeit durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Privacy by Design/Default)
• Erstellung eines Konzepts für die Archivierung bzw. Löschung von Daten
• Beratung hinsichtlich erforderlicher Datenschutzfolgenabschätzungen nach Art. 35 DSGVO (Data Protection Impact Assessment)
• Einführung eines Prozesses zur Sicherstellung und Umsetzung von Betroffenenrechten (Auskunft, Berichtigung, Löschung, Sperren von Daten, Widerrufsrecht, Widerspruchsrecht)
• Einführung eines Prozesses zur Meldung von Datenschutzverletzungen und Datenpannen (Data Breach Management)
• Erstellen eines Schulungskonzepts zur Mitarbeiter-Sensibilisierung

• Stellung des externen Datenschutzbeauftragten für Ihre Einrichtung bzw. Beratung und Unterstützung des betrieblichen Datenschutzbeauftragten im Einzelfall
• Beratung bei Verträgen mit Kunden und externen Dienstleistern oder beim Datenaustausch innerhalb eines Konzerns, national wie international
• Übernahme von Betroffenenbeschwerden
• Unterstützung in der Kommunikation mit der zuständigen Aufsichtsbehörde
• Schulung von Beschäftigten oder Führungskräften
• Machbarkeitsstudien und Gutachten zu geplanten Projekten
• Koordination des Datenschutzkonzepts mit Ihrem IT-Sicherheitsbeauftragten
• Beratung von Betriebsräten und Personalräten

Wenn auch Sie Unterstützung suchen, Ihr Unternehmen/Ihre NPO fit für den Datenschutz zu machen, steht Ihnen unser Team zur Verfügung. Gern erstellen wir Ihnen ein individuelles Angebot für Ihre Organisation.