Beratungsablauf

Der grobe Ablauf unserer Datenschutzberatung teilt sich in mehrere Abschnitte, die jeweils individuell auf die Bedürfnisse unserer Kunden angepasst werden. Dabei greifen alle Komponenten ineinander und es findet ein stetiger Wechsel zwischen Terminen vor Ort und begleitender Unterstützung im Backoffice statt. Gesammelte Informationen und ergriffene Maßnahmen werden über den gesamten Zeitraum der Beratung hinweg ergänzt, korrigiert und vervollständigt, damit das Unternehmen am Ende datenschutzrechtlich vollständig erfasst ist und alle Pflichten der DS-GVO einhält. Ab diesem Zeitpunkt muss der Datenschutz jedoch weiterhin aktiv gelebt und gepflegt werden – denn der datenschutzkonforme Umfang mit personenbezogenen Daten ist kein statischer Istzustand, den es einmalig zu erreichen gilt.

Vor dem ersten Termin

Bevor die eigentliche Datenschutzarbeit beginnt, erfolgt die Benennung zum Datenschutzbeauftragten und die Meldung an die zuständige Aufsichtsbehörde. Ist dieser Schritt erfolgt, wird für jeden unserer Kunden der digitale Datenschutzmanager eingerichtet und ein individuelles Datenschutzhandbuch erstellt. Dieses enthält unter anderem wichtige allgemeine Hinweise zum Thema Datenschutz und DS-GVO sowie Hilfestellungen und Erklärungen zum Umgang mit dem digitalen Datenschutzmanager. Weiterhin überprüft unser Innendienst die Firmenhomepage auf Datenschutzkonformität und erstellt einen umfangreichen Prüfbericht, der Änderungsempfehlungen enthält, um die betreffende Homepage datenschutzkonform zu gestalten.

Erste Bestandsaufnahme vor Ort

Nach dieser Vorarbeit findet die erste Bestandsaufnahme im Unternehmen statt. Bei diesem Vororttermin wird der Homepage-Check mit Ihnen detailliert besprochen und wichtige Themen wie der Umgang mit Betroffenenanfragen und Datenschutzvorfällen erläutert. Zudem wird das im Vorfeld angelegte Profil des Unternehmens im digitalen Datenschutzmanager erweitert, indem die Unternehmensstruktur erfasst und unser Kundenfragebogen ausgefüllt wird. Der Fragenkatalog umfasst allgemeine Informationen über Ihr Unternehmen, die Betriebsstätten und bestimmte Betriebsabläufe. Weiterhin verschafft sich unser Außendienst im Rahmen eines Betriebsrundganges einen ersten Überblick über Ihr Unternehmen. Dabei werden die technisch-organisatorischen Maßnahmen, mit denen Sie personenbezogene Daten schützen, erstmals gesichtet. Zusätzlich wird die gesetzlich vorgeschriebene Mitarbeiterschulung vorbereitet, wozu unter anderem Verpflichtungserklärungen für Mitarbeiter und die EDV-Nutzungsvereinbarung durchgesprochen werden. Die Schulung selbst findet während des zweiten Vororttermins statt.

Nach dem ersten Vororttermin

Im nächsten Schritt wird der Vororttermin von uns nachbereitet. Sie erhalten im Anschluss eine Reihe von Unterlagen von uns, wozu u. a. ein umfangreiches Protokoll, eine detaillierte Rückmeldung sowie erste dringende Handlungsempfehlungen und Aufgaben für Sie gehören. Die ersten dringenden Handlungsempfehlungen und Aufgaben, das heißt, erforderliche Maßnahmen zum rechtskonformen Umgang mit personenbezogenen Daten, die unser Außendienst bei der ersten Sichtung der technisch-organisatorischen Maßnahmen erkannt hat, werden von uns zudem in den Datenschutzmanager übertragen. Auch stellen wir Ihnen alle notwendigen Dokumente im digitalen Datenschutzmanager zur Verfügung.
Im nächsten Schritt setzen wir uns mit Ihrem Datenschutzkoordinator in Verbindung und sprechen mit ihm das weitere Vorgehen und den vorläufigen Maßnahmenplan ab. Parallel dazu bereiten wir mit Ihrem IT-Dienstleister das IT-Audit vor, wofür der zugehörige Fragebogen ausgefüllt werden muss.

Zweite Bestandsaufnahme vor Ort

Die zweite Bestandsaufnahme in Ihrem Haus setzt sich aus zwei großen Blöcken zusammen: der IT-Inventarisierung und der Mitarbeiterschulung. Dieser Termin ist deutlich komplexer, da wir für den ersten Teil den IT-Dienstleister vor Ort und für den zweiten Teil die Mitarbeiter benötigen. Geschult werden müssen alle Mitarbeiter, die mit personenbezogenen Daten arbeiten. Im Rahmen der IT-Inventarisierung wird die gesamte IT erfasst und dokumentiert sowie ein TOM-Audit durchgeführt. Außerdem zeigen wir Ihnen genau, wie Sie das gesetzlich vorgeschriebene Verzeichnis der Verarbeitungstätigkeiten in Ihrem digitalen Datenschutzmanager erstellen.

Nach der zweiten Bestandsaufnahme

Nach der zweiten Bestandsaufnahme erfolgt von unserer Seite aus wiederum eine umfassende Nachbereitung des Termins. Spätestens nach diesem zweiten Termin gibt es für Sie einige Hausaufgaben zu erledigen, denn Sie müssen die Mängel aus dem TOM-Audit beheben, das Verzeichnis der Verarbeitungstätigkeiten erstellen und fehlende Informationen im digitalen Datenschutzmanager ergänzen.
Liegen alle Informationen vor, wird die datenschutzrechtliche Ist-Situation Ihres Unternehmens von uns umfassend analysiert und ein detaillierter Maßnahmenplan erstellt. In diesem Plan sind alle notwendigen Maßnahmen erfasst, die erforderlich sind, um sämtliche Geschäftsabläufe und Prozesse in Ihrem Unternehmen datenschutzkonform zu gestalten.

Dritte Bestandsaufnahme

Diesen finalen Maßnahmenplan besprechen wir gemeinsam mit Ihnen vor Ort im Rahmen der dritten Bestandsaufnahme. Zusätzlich werden bei diesem Termin auch spezielle Verfahren wie die Videoüberwachung, die E-Mail-Archivierung und das Geo-Tracking gecheckt. Ebenfalls besprochen und geprüft werden die Konzepte des Unternehmens zur Löschung und zur Berichtigung personenbezogener Daten. Zudem wird von unserem Außendienst stichprobenartig kontrolliert, ob und auf welche Weise die empfohlenen Maßnahmen im Unternehmen umgesetzt wurden.

Nach der dritten Bestandsaufnahme

Im Anschluss an die dritte Bestandsaufnahme müssen Sie die besprochenen Maßnahmen umsetzen. Hierbei steht Ihnen unser Innendienst unterstützend zur Seite.

Schlussaudit

Den letzten großen Abschnitt auf dem Weg hin zu einem rechtskonformen Umgang mit personenbezogenen Daten im Unternehmen bildet das Schlussaudit vor Ort. Hierbei wird die Umsetzung der im Maßnahmenplan enthaltenen Handlungsempfehlungen von unserem Außendienst überprüft. Weiterhin werden neu eingeführte Verfahren und technische und organisatorische Maßnahmen sowie Änderungen an der IT-Hard- und -Software gesichtet. Bei Bedarf findet eine Nachschulung von Mitarbeitern zur Sensibilisierung für Datenschutz statt und noch offene Fragen seitens des Unternehmens werden geklärt. Die Dokumentation im digitalen Datenschutzmanager wird von unserem Innendienst auf Vollständigkeit geprüft. Danach reduziert sich unsere Datenschutzberatung auf eine laufende Unterstützung bei datenschutzrelevanten Fragen und regelmäßige Kontrollen des Datenschutzes.