Datenschutz-Grundverordnung

DSGVO-Compliance ist ab Mai 2018 für alle in der EU tätigen Unternehmen, unabhängig von ihrem Unternehmenssitz, verpflichtend. Sie bringt für die Verarbeitung personenbezogener Daten wesentliche Neuerungen im Hinblick auf die erforderliche Sorgfaltspflicht und angemessene Sicherheitsstandards. Die Position von betroffenen Personen wird deutlich gestärkt, die Verpflichtung zur Transparenz verschärft.

In Erfüllung der Sorgfaltspflicht müssen datenschutzrelevante Verarbeitungsvorgänge, nach den aus der Informationssicherheit bekannten Prinzipien von Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit, durch geeignete technische und organisatorische Maßnahmen gegen Risiken abgesichert werden. Der mögliche Verlust von Daten durch Systemschäden oder Crypto-Locker, oder die Veröffentlichung nach Leaks oder Hackerangriffen erzeugt eine besonders enge Verbindung zur Informationssicherheit.

Zentraler Baustein der Umsetzung ist, neben den Prozessen zur Wahrung von Betroffenenrechten, die Erfassung von Verarbeitungstätigkeiten und damit verbunden eine Datenschutz-Risikoanalyse zur Ermittlung des angemessenen Schutzniveaus für personenbezogene Daten. Diese Analyse erfolgt durch Beurteilung von Ursache, Art, Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten von natürlichen Personen, und ermöglicht so die Ausarbeitung von konkreten Maßnahmen zur Risikoeindämmung. Sie orientiert sich dabei immer an der Perspektive des Betroffenen einer Datenverarbeitung, im Gegensatz zur Risikoanalyse in der Informationssicherheit, wo die Auswirkungen für das Unternehmen im Mittelpunkt stehen.

Unsere Kernanalysen leiten sich aus der Methodik des Risikomanagements ab. Wir führen analog zur Business-Impact Analyse in der Informationssicherheit eine Datenschutz-Impact-Analyse aus Betroffenensicht, sowie GAP-Analysen und – wenn erforderlich – Datenschutz-Folgeabschätzungen durch. Dadurch können wir feststellen, inwieweit das Unternehmen Datenschutzziele bereits erfüllt, durch welche Maßnahmen insbesondere die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit von personenbezogenen Daten sichergestellt werden können, und ermitteln Verbesserungspotentiale.

Die Erhebung der Informationen erfolgt, nach Abstimmung mit der Geschäftsleitung, in Form von Interviews mit den Fachabteilungen, die im Kontext des Unternehmens eine Vergleichbarkeit der Ergebnisse gewährleisten.

Wir begleiten den Umsetzungsprozess global oder punktuell, unterstützen im Rahmen von einzelnen Analysen, oder beraten den gesamten Übergang vom Projekt zum funktionierenden Datenschutz-Managementsystem (DSMS). Diese Beratungsleistungen können, neben der Ermittlung von Verarbeitungstätigkeiten und der Risikoanalyse, auch die Beschreibung von Prozessen zur Sicherstellung von Betroffenenrechten, der Behandlung von Datenschutzverletzungen oder das Erstellen einer Datenschutzdokumentation sowie Audits und Schulungen beinhalten.

Zur Beantwortung konkreter rechtlicher Fragen außerhalb unserer Beratungskompetenz, wie beispielsweise im Hinblick auf die Rechtmäßigkeit einer konkreten Verarbeitungstätigkeit oder im Rahmen des Vertragsmanagements mit Auftragsverarbeitern oder Cloud-Anbietern, arbeiten wir gerne mit einem Rechtsberater Ihrer Wahl zusammen, oder stellen im Rahmen des Projekts die fachlich einschlägige anwaltliche Betreuung sicher.

Datenschutz-Compliance betrifft immer das gesamte Unternehmen – einzelne Geschäftsbereiche dürfen nicht von einer Umsetzung ausgenommen werden. Nach Abschluß des Projekts kann das gesamte DSMS oder einzelne kritische Prozesse, Maßnahmen und Verarbeitungstätigkeiten im Sinne eines kontinuierlichen Verbesserungsprozesses (KVP) periodisch auditiert und angepasst werden.

Beispielszenarios

Unsere Tätigkeit kann anhand von 3 beispielhaften Szenarien dargestellt werden. Diese sind jedoch keine abschließende oder umfassende Beschreibung unserer Leistungen:

Szenario 1: Im Unternehmen wurden noch keinerlei Überlegungen zur Umsetzung von Datenschutzvorschriften angestellt, nur aufgrund der gesetzlichen Umsetzungsverpflichtung und Sanktionsdrohung wird das Thema überhaupt von der Unternehmensleitung wahrgenommen.

Unser Angebot: Awareness-Workshop zur Feststellung von Kontext, involvierten Organisationsbereichen und Möglichkeiten der Governance. Überlegungen zu nächsten Schritten und Planung der konkreten Umsetzungsarbeit.

Szenario 2: Es wurde bereits begonnen, Verarbeitungstätigkeiten zu erfassen, grundlegende technische Informationssicherheitsmaßnahmen werden ad hoc oder nach Bedarf durchgeführt.

Unser Angebot:  Durchführung von Datenschutz-Risikoanalysen zur Feststellung der Angemessenheit von TOM („Wieviel Sicherheit ist genug?“) oder der Verpflichtung zur Datenschutzfolgeabschätzung. Beschreiben von Prozessen zur Wahrung der Betroffenenrechte oder zur Vorgehensweise bei Informations- und Datenschutzverletzungen.

Szenario 3: Die Umsetzung von Datenschutzvorschriften und Einführung von TOM ist bereits erfolgt und wird mittels eines DSMS nachverfolgt. Ein KVP ist etabliert.

Unser Angebot: Durchführung von Audits des DSMS oder Schwerpunktprüfungen von TOM im Rahmen des KVP. Unterstützung bei der Optimierung von Prozessen und Maßnahmen.

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close