Auf Wunsch analysieren wir Ihr Unternehmen im Hinblick auf die Erfordernisse der neuen Datenschutzgrundverordnung (EU-DSGVO) und machen gemeinsam mit Ihnen ein Datenschutz-Audit. Sie erhalten anschließend eine Auswertung und eine Risikoeinschätzung von uns. Dies beinhaltet z.B: auch, ob Sie einen Datenschutzbeauftragten benennen müssen, oder nicht.

Bereiche des Audits:

  1. Struktur und Verantwortlichkeit im Unternehmen
  2. Übersicht über Verarbeitungen
  3. Einbindung externer Auftragsverarbeiter
  4. Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte
  5. Verantwortlichkeit, Umgang mit Risiken
  6. Datenschutzverletzungen

Darüber hinaus überprüfen wir

  1. Erhebung, Verarbeitung und Nutzung von
  2. Arbeitnehmerdaten
  3. Kundendaten
  4. Sicherheit der Speicherung personenbezogener Daten
  5. Zulässigkeit grenzüberschreitenden Datenaustausches

Hinweis: wir bieten keine Rechtsberatung an!

Das Datenschutzmanagementsystem mit seinen einzelnen Bausteinen ist das zentrale Dokumentensystem in Ihrer Datenschutzorganisation. Wir empfehlen folgende Inhalte:

  1. Datenschutzbeauftragter (sofern benannt)
  2. Datenschutzkonzeption
  3. Datenschutzorganisation in Ihrem Unternehmen
  4. Verantwortlichkeit der Datenverarbeitung
  5. Verzeichnis der Verarbeitungstätigkeiten
  6. Datenschutzfolgeabschätzungen
  7. Verzeichnis der Auftragsverarbeiter / Dienstleister
  8. Datenschutzschulungskonzept
  9. Prozess zur Wahrung von Betroffenenrechten (incl. Löschkonzept)
  10. Nachweis der Datensicherheit (technische und organisatorische Maßnahmen)
  11. IT-Inventarisierung

Alle Punkte sich wichtig und Sie sollten bei Anfragen der Datenschutzbehörden diese Unterlagen vorweisen können! Leider hilft es nichts, sich erst bei Anfragen mit dem Thema zu befassen, da die Erstellung des Datenschutzmanagementsystem einige Zeit in Anspruch nimmt und Sie die gesetzten Fristen mit hoher Wahrscheinlichkeit nicht einhalten können.

Beispielhaft finden Sie nachstehend Details der Inhalte eines Verzeichnisses der Verarbeitungstätigkeiten:

Wer muss ein Verarbeitungsverzeichnis führen? Gem. Art. 30 Abs. 5 EU-DSGVO ist diese Pflicht zwar beschränkt auf Unternehmen mit einer Größe ab 250 Mitarbeitern oder mit einem besonderem Risiko bei der Verarbeitung oder mit Verarbeitung von sensiblen Daten (Art. 9 und 10 EU-DSGVO) oder einer nicht nur gelegentlichen Verarbeitung. Dies dürfte nicht zuletzt wegen des letzten Passus "einer nicht nur gelegentlichen Verarbeitung" alle betreffen. Dabei wird das Verarbeitungsverzeichnis zum zentralen Bestandteil der Dokumentation unabhängig davon, ob ein DSB benannt werden muss, oder nicht.

Die Inhalte des Verarbeitungsverzeichnisses für Verantwortliche ergeben sich aus Art. 30 Abs. 1 DS-GVO und umfassen u.a.:

  • den Namen und die Kontaktdaten des Verantwortlichen
  • ggf. des gemeinsam mit ihm Verantwortlichen
  • ggf. des Vertreters in der EU
  • ggf. des Datenschutzbeauftragten beim Verantwortlichen
  • die Zwecke der Verarbeitung
  • die Kategorien betroffener Personen
  • die Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation
  • bei den in Art. 49 Abs. 1 UAbs. 2 EU-DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 EU-DSGVO

Es können ggf. weitere Informationen im Verarbeitungsverzeichnis vermerkt werden, jedoch ist auch hier der Grundsatz der Datensparsamkeit zu beachten. Das Verarbeitungsverzeichnis verlässt ggf. Ihr Unternehmen in Richtung Aufsichtsbehörde. Es sollte also so viel wie nötig und so wenig wie möglich beinhalten.

Sie wissen nicht, wie Sie Ihr Datenschutzmanagementsystem erstellen sollen?

Fragen Sie uns.

Hinweis: wir bieten keine Rechtsberatung an!

Mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (EU-DSGVO) wird es erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 35 ff. DSGVO). Diese ist bindend sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen oder sich extern in Bezug auf datenschutzrechtliche Fragen beraten lassen. Ein externer Datenschutzbeauftragter kann eine kostengünstige Lösung für Ihren Betrieb darstellen.

Es sprechen Gründe für und gegen die Benennung eines internen oder eines externen Datenschutzbeauftragten. Wir stehen Ihnen als externer Datenschutzbeauftragter zur Verfügung. Sollten Sie sich für einen internen DSB entscheiden, führen wir den betreffenden Mitarbeiter an seine künftige Tätigkeit heran und stellen entsprechendes Fachwissen zur Verfügung. Sie sollten jedoch bedenken, dass ein interner DSB seine bisherigen Aufgaben nicht mehr zu 100% erfüllen kann, da das Thema Datenschutz zeitintensiver sein kann, als angenommen. Sie binden damit Arbeitskraftressourcen und müssen Zeit und Geld in die Aus- und Weiterbildung des internen DSB investieren. Außerdem genießen interne Datenschutzbeauftragte umfangreichen Kündigungsschutz.

Externe Datenschutzbeauftragte sind innerhalb eines Dienstvertrages für Sie tätig, es ist die Stellvertretung geregelt. Er verfügt über zertifiziertes Fachwissen und  Umfangreiches Know-How in der effizienten Umsetzung. Sie haben die volle Kostenkontrolle und eine Kündigung ist jederzeit unter Berücksichtigung der Vertragslaufzeit möglich. Es bestehen keine Interessenskonflikte und kein Risiko der Scheinbenennung eines DSB. Der externe DSB ist unparteiisch, unvoreingenommen und hat 100% Zeit für Datenschutz. In unserer Tätigkeit bieten wir keine Rechtsberatung an, sondern arbeiten mit den Firmenanwälten zusammen.

Bestellen Sie hier unser EBook zum Thema DSGVO für Versicherungsmakler über den Makler-Nachfolger-Club e.V. gratis!