Als externer Datenschutzberater unterstützen wir Sie bei der Umsetzung rechtssicherer und individueller Datenschutzlösungen für Ihr Unternehmen. Mit maßgeschneiderten Leistungspaketen bieten wir umfassende Beratung, Datenschutzaudits und Schulungen, um sicherzustellen, dass Ihre Datenverarbeitung stets DSGVO-konform ist. Vertrauen Sie auf unsere Expertise und lassen Sie uns gemeinsam Lösungen entwickeln, die auf die speziellen Anforderungen Ihres Unternehmens abgestimmt sind.
Preise
Wir haben verschiedene Modelle zur Verfügung, die wir im Folgenden erläutern möchten
Basis
/Monat
- Inkl. externen Datenschutzbeauftragten für 20-50 Mitarbeiter
- Für Unternehmen mittlerer Größe
- 12 Stunden pro Jahr für individuelle Fragen
Unsere Empfehlung
Medium
/Monat
- Inkl. externen Datenschutzbeauftragten von 50-150 Mitarbeiter
- Für größere Unternehmen
- 24 Stunden pro Jahr für individuelle Fragen
Premium
/Monat
- Inkl. externen Datenschutzbeauftragten ab 150 Mitarbeiter
- Für große Unternehmen oder Konzerne
- 36 Stunden pro Jahr für individuelle Fragen
Leistungen im Detail
Offizielle Benennung zum externen Datenschutzbeauftragten
Wir stellen für Sie den Datenschutzbeauftragten gem. Art. 37 DSGVO.
Persönlicher Ansprechpartner für Sie bei Fragen zu Datenschutz
Für Ihr Unternehmen steht ein persönlicher Ansprechpartner zur Verfügung. Dieser wird regelmäßig in Ihrem Unternehmen Kontrollhandlungen durchführen und für Ihre Mitarbeiter zur Verfügung stehen.
Erfassen und Bewerten der vorhandenen Verarbeitungstätigkeiten
inkl. Risiko-Schwellenwertanalyse gemäß Art. 30 DSGVO
Gemeinsam sichten wir die Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Auf dieser Basis erstellen wir gemeinsam das vorgeschriebene Verzeichnis der Verarbeitungstätigkeiten.
Erstellen eines Löschkonzepts für Daten
Im Rahmen der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten entsteht parallel ein fachliches und technisches Löschkonzept.
Erfassen und Prüfen der technischen und organisatorische Maßnahmen (TOM)
gemäß Art. 32 DSGVO
Im Rahmen der ersten Vor-Ort Termine, werden gemeinsam die Maßnahmen erfasst und dokumentiert, die zum Schutz personenbezogener Daten im Unternehmen eingerichtet sind.
Prüfen der Datenschutzerklärung und des Impressums auf Ihrer Webseite
Mithilfe technischer Expertise überprüfen wir den Quellcode Ihrer Webseite, um die eingebundenen Hintergrundtools zu analysieren. Anschließend erfolgt eine gemeinsame Bewertung und kritische Prüfung dieser Tools. Basierend auf diesen Erkenntnissen entwickeln wir individuell zugeschnittene Umsetzungsempfehlungen. Zudem erstellen wir eine maßgeschneiderte Datenschutzerklärung, die exakt auf Ihre Webseite und die aktuellen Anforderungen abgestimmt ist.
Erarbeiten eines Schulungspakets für Beschäftigte
Ebenso hier setzen wir auf eine kooperative Vorgehensweise. Gestützt auf Ihre spezifischen geschäftlichen Anforderungen ermitteln wir den Bedarf an Schulungsmaßnahmen und entwickeln ein individuell angepasstes Schulungsprogramm. Unsere Angebotspalette reicht von einfachen Schulungsunterlagen bis hin zu Präsenzschulungen – alles genau auf Sie zugeschnitten. Unter den Schulungsoptionen erfreut sich das Online-Seminar größter Beliebtheit. Es zeichnet sich durch Effizienz aus, erfüllt seinen Zweck in kürzester Zeit und trägt somit zur Einsparung von Ressourcen, Zeit und Kosten bei.
Online – Datenschutzmanagementsoftware
Die grundsätzliche Dokumentation der unternehmensinternen Prozesse erfolgt üblicherweise auf traditionelle Art und Weise mittels Word- und Excel-Dateien.
Als Antwort auf den digitalen Wandel setzen auch wir seit langem ein System ein, das die gesamte Datenschutzdokumentation online abbildet. Dadurch erhalten Unternehmen und wir die Möglichkeit, stets auf aktuelle Daten zuzugreifen. Diese Herangehensweise ist sowohl benutzerfreundlich als auch zeit- und ressourceneffizient.
In diesem Zusammenhang liegt unser besonderes Augenmerk auf höchster Sicherheit. Wir nutzen ausschließlich deutsche Hochsicherheitsrechenzentren, um die Integrität der Daten zu gewährleisten.
Statusgespräche bei Ihnen vor Ort pro Jahr
Um ein umfassendes Verständnis für die Gegebenheiten in Ihrem Unternehmen zu entwickeln, betrachten wir regelmäßige Statusgespräche als essenziell. Diese Gespräche ermöglichen es uns, Rückschlüsse auf die Datensicherheit und die verwendeten Systeme zu ziehen.
Ebenso gewährleisten Sie Ihren Mitarbeitern die wichtige Gelegenheit, direkte Fragen zu stellen und Klärungen herbeizuführen.
Darüber hinaus nutzen wir diese Gespräche, um die nächsten Schritte und Datenschutzmaßnahmen zu planen und zu definieren. Dies trägt dazu bei, eine klare Ausrichtung für die Zukunft festzulegen.
Ablauf vom Vertragsabschluss bis Audit / Zusammenarbeit
Wie sieht die Zusammenarbeit mit der ad hoc datenschutz GmbH aus?
Nach einem unverbindlichen und kostenfreien Beratungsgespräch erstellen wir gerne ein individuelles Angebot, das speziell auf Ihr Unternehmen zugeschnitten ist. Das Angebot wird zusammen mit unserem Dienstleistungsvertrag und einer Versicherungsbestätigung direkt an Sie übermittelt. Dadurch erhalten Sie alle erforderlichen Unterlagen, um das Angebot und die vertraglichen Grundlagen bewerten zu können.
Unser Ziel ist es, unseren Interessenten gegenüber äußerst transparent aufzutreten. Wir sind uns bewusst, dass Datenschutz eine Vertrauenssache ist, und wir leben dieses Prinzip von Anfang an in unserer Zusammenarbeit.
Wenn unser Angebot für Sie ansprechend ist und die Rahmenbedingungen passen, können wir eine Vereinbarung zur Übernahme der Funktion des externen Datenschutzbeauftragten für Ihr Unternehmen abschließen.
Unmittelbar danach informieren wir gemeinsam die zuständige Datenschutzaufsichtsbehörde über die Ernennung und geben Ihren Mitarbeitern bekannt, dass wir, die ad hoc Datenschutz GmbH, nun als Ansprechpartner für Datenschutzfragen zur Verfügung stehen.
In beiden Mitteilungen wird Ihr persönlicher Ansprechpartner namentlich genannt.
Als nächstes planen wir die Bestandsaufnahme bzw. das Datenschutz-Audit. Vor dem Audit übermitteln Sie uns bitte alle relevanten Unterlagen, die in Bezug auf den Datenschutz stehen. Dies können Arbeitsverträge, Verschwiegenheitserklärungen oder Datenschutzerklärungen sein. Auch Dokumente wie Betriebsanweisungen, technische und organisatorische Maßnahmen (TOM) oder das Verzeichnis der Verarbeitungstätigkeiten (VVT) sind für eine erste Bewertung wichtig. Mit diesen Unterlagen erhalten wir einen Überblick über Ihre Prozesse. Wir analysieren die Dokumente und notieren die wichtigsten Fragen.
Am Tag des Datenschutz-Audits führen wir Einzelgespräche mit vorher festgelegten Mitarbeitern/Abteilungen durch. Dabei geht es nicht darum, Mitarbeiter bloßzustellen, sondern vielmehr darum zu sehen, ob die festgelegten Richtlinien eingehalten werden und wie der Datenschutz im Unternehmen gelebt wird. Darüber hinaus bitten wir darum, bestimmte Prozesse vorzuführen oder zu erklären, um ein besseres Verständnis dafür zu bekommen, wie Ihr Unternehmen mit Daten umgeht. Bei allen Fragen steht immer die fachliche Umsetzung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) im Vordergrund.
Im Anschluss an das Audit erhalten in der Regel die Verantwortlichen, wie Geschäftsleitung oder Abteilungsleiter, eine kurze Zusammenfassung. Dadurch erhalten Sie bereits eine erste Einschätzung des aktuellen Datenschutzstandes.
Nach dem Datenschutz-Audit fassen wir alle Informationen nochmals zusammen und bewerten diese umfassend. Hieraus entsteht der Auditbericht. Der Bericht gibt Ihnen einen aktuellen Überblick über den IST-Zustand in Ihrem Unternehmen und enthält unsere Empfehlungen für Maßnahmen.
So haben Sie sofort einen Überblick über den Umsetzungsstatus der DSGVO. Sie wissen genau, wo Handlungsbedarf besteht und welche Maßnahmen wir empfehlen.
Der Auditbericht dient uns als Leitfaden für unsere weitere Zusammenarbeit. Jeder im Unternehmen weiß, was in den nächsten Monaten auf ihn zukommt. Wir möchten Sie jedoch nicht überfordern und geben Ihnen Aufgaben in kleinen, gut bewältigbaren Schritten, die innerhalb kurzer Zeit abgeschlossen sind.
FAQ
häufig gestellten Fragen
Was versteht man unter einem Verzeichnis der Verarbeitungstätigkeit?
Das Verzeichnis der Verarbeitungstätigkeiten spielt eine zentrale Rolle bei der strukturierten Dokumentation des Datenschutzes und unterstützt den Verantwortlichen also das Unternehmen dabei, gemäß Art. 5 Abs. 2 DS-GVO die Einhaltung der Vorgaben der DSGVO nachzuweisen.
Es ist ein essenzielles Element für die Einführung und Bewertung eines umfassenden Datenschutz -Managementsystems.
Das Verzeichnis der Verarbeitungstätigkeiten ist somit eine Übersicht über Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Es dient dazu, einen strukturierten Überblick über alle Datenverarbeitungsvorgänge zu erhalten.
Was gehört in das Verzeichnis der Verarbeitungstätigkeiten?
Im Art. 30 DSGVO gibt Aufschluss darüber, was alles in das vorgeschriebene Verzeichnis der Verarbeitungstätigkeiten gehört.
- Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten, falls vorhanden.
- Zwecke der Verarbeitung, also warum die Daten verarbeitet werden.
- Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die verarbeitet werden.
- Angaben zu Empfängern oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden sollen, einschließlich Empfänger in Drittländern oder internationalen Organisationen.
- Gegebenenfalls Angaben zu Datenübermittlungen an Drittländer oder internationale Organisationen, sowie Dokumentation geeigneter Garantien, sofern die Daten in Drittländer übermittelt werden.
- Geplante Fristen für die Löschung der verschiedenen Datenkategorien, sofern möglich.
- Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 zur Sicherstellung des Datenschutzes.
Was sind technische und organisatorische Maßnahmen?
Es sind Maßnahmen, die ein Unternehmen umgesetzt hat, um Daten von Personen (Mitarbeitern, Kunden, Lieferanten etc.) zu schützen.
Dabei gibt es die technischen Maßnahmen wie zum Beispiel:
- Technische Vorgaben für die Passwortkomplexität (vom System erzwungen).
- Fenster- und Türsicherungen (Fenster Vergitterung).
- Alarmanlagen.
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Der Einsatz von Benutzerkonten mit entsprechenden Passwort-Regelungen oder anderen Multifaktoridentifizierungen.
- Eine automatische Erstellung von Protokollen zur Nachverfolgung von Zugriffen und Aktivitäten.
Was können organisatorische Maßnahmen sein?
- Das Vier-Augen-Prinzip zum Beispiel. Bestimmte Abläufe, Aufgaben oder Entscheidungen können nur von mindestens zwei verantwortlichen Personen durchgeführt werden dürfen, um eine zusätzliche Kontrolle zu gewährleisten.
- Die Erstellung und Umsetzung von Richtlinien für die Besucheranmeldung, um den Zugang von betriebsfremden Personen zu kontrollieren und zu überwachen.
- Die Erstellung von Richtlinien für die Nutzung der Unternehmens-IT, des Internets oder mobilen Geräte, um den verantwortungsvollen Umgang mit diesen Medien zu gewährleisten und Datenlecks zu verhindern.
- Die Erstellung von Arbeitsanweisungen zur datenschutzkonformen Entsorgung von Dokumenten mit personenbezogenen Daten, um sicherzustellen, dass sensible Informationen ordnungsgemäß vernichtet werden.
- Die Durchführung von Verpflichtung auf das Datengeheimnis und das Geschäftsgeheimnis, die von Mitarbeitern und anderen berechtigten Personen unterzeichnet wird, um sicherzustellen, dass sie vertrauliche Daten nur für legitime Zwecke nutzen und keine unberechtigten Dritten zugänglich machen.
Im Art. 32 der DSGVO wird unter anderem von nachfolgenden Maßnahmenbereichen gesprochen:
- Pseudonymisierung personenbezogener Daten.
- Verschlüsselung personenbezogener Daten.
- Gewährleistung der Integrität und Vertraulichkeit der Systeme und Dienste.
- Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste.
- Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs nach einem physischen oder technischen Zwischenfall.
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der genannten Maßnahmen.
Weitere empfohlene Maßnahmenbereiche aus der DSGVO:
- Gewährleistung der Zweckbindung personenbezogener Daten (Art. 5 Abs. 1 lit. b) DSGVO).
- Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen
(Art. 5 Abs. 1 lit. a) DSGVO). - Gewährleistung der Betroffenenrechte (Art. 13 ff. DSGVO).
Die Umsetzung der technischen und organisatorischen ist entscheidend. Es bringt nichts, wenn man alles dokumentiert hat, aber die technische Umsetzung ausbleibt!
Um einer Datenschutzaufsichtsbehörde und auch Kunden aufzuzeigen welche Maßnahmen getroffen und umgesetzt werden, ist die Auflistung dieser Maßnahmen notwendig.
Welches Ziel haben technische und organisatorische Maßnahmen?
Das Ziel technisch organisatorischer Maßnahmen (TOM) besteht darin, personenbezogene Daten, die von Unternehmen erhoben, verarbeitet und gespeichert werden, bestmöglich zu schützen.
Diese Maßnahmen dienen insbesondere dazu, unbefugten Dritten den Zugriff auf die Daten zu verhindern, die Daten vor unberechtigten Änderungen zu schützen und sie vor unbefugter Kopie oder Löschung zu bewahren.
Die TOM‘s sind somit das zentrale Element, um die Sicherheit und Integrität der verarbeiteten personenbezogenen Daten zu gewährleisten.