Wie laufen die Audits ab?
Das initiale Datenschutz-Audit – die datenschutzrechtliche Bestandsaufnahme – führen wir bequem mit Ihnen online und telefonisch durch. Zunächst füllen Sie und Ihre Ansprechpartner Online-Fragenkataloge zu den jeweiligen Bereichen (Einkauf, Finanzen, Personal, IT & Sicherheit und Vertrieb) aus und geben uns Informationen zu Ihren firmenspezifischen Datenverarbeitungstätigkeiten (sog. Kernprozesse). Ihr persönlicher Datenschutzbeauftragter wertet Ihre Angaben aus und führt im Anschluss Telefonate mit Ihren Ansprechpartnern. Für jedes Audit-Telefonat erarbeiten wir ein korrespondierendes Audit-Protokoll, das Ihnen zugeht. Auf Basis des Audits werden dann Handlungsempfehlungen und die datenschutzrechtlich notwendigen Dokumentationen erstellt (Verzeichnis von Verarbeitungstätigkeiten, TOM).
Wie laufen die Schulungen für Mitarbeiter ab?
Ihre Mitarbeiter werden online via der WBT Plattform geschult. Zunächst lernen sie unverzichtbare Inhalte zum Thema Datenschutz und führen im Anschluss einen Test dazu durch. Wird dieser erfolgreich bestanden, erhält der jeweilige Mitarbeiter ein Zertifikat. Ansonsten kann der Mitarbeiter den Test erneut durchführen. Der Gesamtaufwand beträgt je Mitarbeiter ca. 30-45 Minuten.
Wer erstellt die Datenschutz-Dokumentation?
Die Datenschutz-Dokumentation erstellt jeder Verantwortliche (natürliche oder juristische Person, die über die Zwecke und Mittel dieser Verarbeitung von personenbezogenen Daten entscheidet) bzw. der Auftragsverarbeiter (verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen). Diese Datenschutz-Dokumentation (bestehend aus dem Verarbeitungsverzeichnis und den TOM) erstellen wir gemeinsam mit Ihnen und gehen dabei über die gesetzlichen Pflichten eines DSB hinaus, da gesetzlich lediglich die Unterrichtung und Beratung durch diesen vorgesehen ist.
Was ist der Unterschied zwischen Standard-Verarbeitungstätigkeit und firmenspezifischer Verarbeitungstätigkeit?
Bei den Standard-Verarbeitungstätigkeiten handelt es sich um Sekundärprozesse im Unternehmen (z.B. in den Bereichen Einkauf, Finanzen, Personal, Sicherheit, Vertrieb), wobei die firmenspezifischen Verarbeitungstätigkeiten den wertschöpfenden Kernprozess eines Unternehmens abbilden. Auf Grundlage Ihrer Angaben im Datenschutz-Audit zu allen Prozessen, bei denen personenbezogene Daten verarbeitet werden, entwerfen wir die datenschutzrechtlich notwendige Dokumentation dieser Prozesse im Verzeichnis der Verarbeitungstätigkeiten (VVT).
Was sind technisch-organisatorische Maßnahmen (TOM)?
“TOM” steht für technische und organisatorische Maßnahmen. Damit werden alle Aktivitäten bezeichnet, die in einer Organisation standardmäßig vorgenommen werden, um personenbezogene Daten zu schützen. Der Begriff ist sehr breit gefächert und kann in verschiedenen Unternehmen vollkommen unterschiedliche Dinge bedeuten. Wie der Begriff schon sagt, können diese Maßnahmen sowohl technische Vorgänge umfassen oder auch organisatorische Prozesse. Die technischen und organisatorischen Maßnahmen einer Organisation müssen im Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert werden. Im Rahmen der technisch-organisatorischen Maßnahmen werden Ihre Sicherheitsmechanismen (sowohl offline als auch online) dokumentiert und Ihnen Ratschläge zur Einhaltung der für Sie geltenden rechtlichen Vorgaben erteilt.
Ab wie vielen Mitarbeitern ist ein Verarbeitungsverzeichnis Pflicht?
Ab 250 Mitarbeitern stets; bei weniger als 250 Mitarbeitern nur, wenn die von Ihnen vorgenommene Verarbeitung nicht nur gelegentlich erfolgt, die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, eine Verarbeitung besonderer Datenkategorien vorliegt oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt.
Was sind Auftragsverarbeitungsverträge (AVV)?
Werden Datenverarbeitungsvorgänge an einen externen Dienstleister ausgelagert, ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Der AVV regelt Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte der Vertragspartner. Durch diesen Vertrag stellt das beauftragende Unternehmen (der sogenannte Verantwortliche) sicher, dass das andere Unternehmen (der sogenannte Auftragsverarbeiter) an seine Weisungen gebunden ist. So liegt häufig bereits eine Auftragsverarbeitung vor, wenn Unternehmen z. B. die Lohn- und Gehaltsabrechnung durch andere Unternehmen durchführen lassen oder Fernwartung durch externe IT-Dienstleister erfolgt.
Was wird bei der Datenschutz-Folgenabschätzung (DSFA) durchgeführt?
Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bergen, in denen umfangreich besondere Kategorien personenbezogener Daten verarbeitet werden, neue Technologien und Profiling- und Scoring-Verfahren zum Einsatz kommen oder eine systematische und umfassende Überwachung öffentlich zugänglicher Bereiche erfolgt. Sie soll es ermöglichen, frühzeitig Schutzmaßnahmen für die Rechte der Betroffenen zu ergreifen.
Wofür kann ich die zusätzlichen Beratungsstunden verwenden?
Die Beratung kann beispielsweise genutzt werden für Bearbeitung der Anfragen von Behörden und Betroffenen, Prüfung von Dokumenten für Mitarbeiter sowie Kunden, Prüfung der Konformität von Software/Hardware mit dem Datenschutz und für externe Audits.
Wie viel Aufwand hat mein Unternehmen beim Thema Datenschutz?
Das neue Datenschutzrecht führt zu einem höheren Verwaltungsaufwand und mehr Arbeit. Beauftragen Sie einen externen Datenschutzbeauftragten, nimmt dieser einen Großteil des Aufwandes und der bürokratischen Hürden ab und Sie können sich weiterhin auf Ihre Kerntätigkeiten konzentrieren.
Wie beauftrage ich Sie?
Nach einem ersten Gespräch mit einem unserer Spezialisten werden Sie in das für Ihr Unternehmen passende Leistungspaket (Basis, Medium, Premium) eingestuft und unterzeichnen den Ihnen per Email zugesandten Vertrag, den sie uns unterschrieben eingescannt gerne per Email zurücksenden können.
Was sind die nächsten Schritte nach Unterzeichnung des Vertrages?
An ersten Tag teilen wir Ihnen Ihren persönlichen Datenschutzbeauftragten zu und senden Ihnen die DSB-Benennungsurkunde sowie die Zugangsdaten zu unserer Plattform zu. Sie unterzeichnen diese Benennungsurkunde und teilen uns die Basisinformationen zu Ihrem Unternehmen mit. Anschließend bereiten wir die Datenschutz-Audits vor, erstellen die Datenschutzerklärung auf Ihrer Webseite und führen die Mitarbeiterschulungen durch. Sie leiten die Kontaktdaten des DSB an die entsprechende Aufsichtsbehörde weiter. Alle weiteren Schritte entnehmen Sie bitte unserer Webseite.
Wann ist Vertragsstart?
Der Vertragsstarrt ist jeweils der Tag der Unterzeichnung des Vertrages. Die Abrechnung erstreckt sich auf den Tag laufenden Monat/Jahr (z. B. 12.02.2018-11.02.2019)
Wie lange ist die Vertragslaufzeit?
Die Laufzeiten entnehmen Sie den jeweiligen Paketen. Ebenso sind dort die Kündigungsfristen geregelt.
Kann ich ein Paket während der Vertragslaufzeit upgraden?
Ja! Sie können ein Paket während der Vertragslaufzeit upgraden, ohne dass sich die vereinbarte Vertragslaufzeit verlängert. Bitte beachten Sie, dass ein Downgrade jedoch nicht möglich ist. Ferner berechtigen gesetzliche Änderungen nicht zur Vertragsänderung/-Kündigung.
Welche Möglichkeit habe ich, Stunden hinzuzubuchen?
Sie können jederzeit Stunden hinzubuchen. Jedoch wird Ihr Bedarf bereits im ersten Beratungsgespräch ermittelt, sodass die passende Einordnung in eines unserer Pakete erfolgt und somit im Regelfall ein ausreichendes Stundenkontingent inkludiert ist. Möglich wäre bei Bedarf auch ein Upgrade Ihres Leistungspakets.
Ab wann gilt die DSGVO?
Die neue Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 unmittelbar und verbindlich.
Ab wie vielen Mitarbeitern benötigt man einen Datenschutzbeauftragten?
Soweit sich in der Regel mindestens zehn (zwanzig) Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, ist die Benennung eines Datenschutzbeauftragten (DSB) in Deutschland Pflicht. Die Beschäftigung erfasst auch externe Dienstleister, z. B. wenn Sie eine externe Buchhaltung beauftragen. Nehmen Sie Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung unterliegen oder verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, dann haben Sie einen Datenschutzbeauftragten zu benennen, unabhängig davon wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. Das Gleiche gilt z. B. für Gemeinschaftspraxen im medizinischen Umfeld.
Über welche Kompetenzen muss ein Datenschutzbeauftragter verfügen?
Viele Unternehmen entscheiden sich für das vermeintlich naheliegende, nämlich dafür, einen Mitarbeiter aus der eigenen Belegschaft zu benennen. Dies ist jedoch nicht ohne Weiteres möglich. Es gilt, einiges zu beachten. Über folgende Kompetenzen muss ein Datenschutzbeauftragter verfügen: – Genaue Kenntnis folgender Gesetze: DSGVO, BDSG, TMG, TKG, SGB – Juristisches Verständnis – Umfangreiche technische Fachkunde – Kenntnis der IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) – Idealerweise entsprechende Zertifizierungen – Zuverlässigkeit und persönliche Integrität
Wer darf als Datenschutzbeauftragter eingesetzt werden?
Folgende Personen dürfen nicht als Datenschutzbeauftragter benannt werden: – Geschäftsführer – Oberes Management (insbesondere Leitung der IT-Abteilung) – Unqualifizierte und unzureichend erfahrene Personen Hintergrund hierfür ist, dass der Gesetzgeber Interessenkonflikte sowie mögliche Fehlerquellen vermeiden möchte.
Welche Konsequenzen hat ein Verstoß gegen die DSGVO?
Es drohen Bußgelder bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Viele Verstöße, beispielsweise die Nichtbestellung eines Datenschutzbeauftragten, gelten als grob fahrlässiges Verhalten. Geschäftsführer haften unter Umständen unbeschränkt mit ihrem Privatvermögen. Nicht einmal ein halbes Jahr dauerte es, bis das erste Unternehmen die Folgen der DSGVO zu spüren bekam: Aufgrund einer Sicherheitslücke musste der Karlsruher Chatanbieter Knuddels 20.000 Euro Strafe zahlen. Mit den ersten Urteilssprüchen ist die Schonfrist für Unternehmen abgelaufen. Die Aufsichtsbehörden gehen Verstößen nun konsequent nach.
Wer sind wir?
HSP ADVICE ist ein Datenschutz-Unternehmen mit Hauptsitz in Hannover und München. Seit unserer Gründung Ende 2006 beschäftigen wir uns bundesweit mit Datenschutz und Datensicherheit. Mit unserer selbst entwickelten Learning-Lösung (WBT) „Privacy-as-a-Service“-Lösung – einem Hybrid aus persönlicher Beratung und Software-as-a-Service – betreuen wir unsere Mandanten in ganz Deutschland/EU und aus unterschiedlichen Kern-Branchen. Zu unserem Kundenportfolio zählen neben kleinen und mittleren Unternehmen auch internationale Großkonzerne (Industrie, Finanz und Handel), Parteien, Schulen, Sportvereine sowie öffentliche Institutionen. Unser Partnernetzwerk umfasst einige der wichtigsten und namhaftesten Experten auf diesem Gebiet.
Was ist unser „Privacy-as-a-Service“?
Persönliche Betreuung + Plattform/Software-Unterstützung: Ein interdisziplinäres Team – darunter Juristen, Informatiker, Ingenieure, Betriebswirte etc. – betreut in Teams aus qualifizierten Datenschutzbeauftragten unsere Mandanten persönlich bei den Themen Datenschutz und IT-Security. Durch die intensive Nutzung unserer Plattform/Software sind wir keine Beratung, sondern ein Legal-Technology-Unternehmen mit skalierbarem Ansatz. Die individuelle Beratung unserer Mandanten wird durch eine eigens programmierte Webplattform unterstützt. Sie digitalisiert und automatisiert Prozesse und verarbeitet Daten-Input u.a. mit WBT. Die Plattform wird von unseren Mandanten und unserem Team genutzt.
Muss der Datenschutzbeauftragte vor Ort sein
Nein! Wichtig ist, dass dem Datenschutzbeauftragten alle erforderlichen Informationen vorliegen, die er zur Erfüllung seiner Aufgaben benötigt und dass er für die Unternehmensleitung, die Mitarbeiter, Kunden und Behörden unmittelbar ansprechbar ist. All diese Punkte können wir Ihnen bieten, denn wir sind persönlich für Sie per Telefon oder Email von Montag bis Freitag während der Bürozeiten von 9 bis 17 Uhr erreichbar. Der Vorteil für Sie ist, dass eine Terminierung vor Ort entfällt und Sie und Ihre Mitarbeiter sich auf Ihr Tagesgeschäft konzentrieren können, sodass sich im Ergebnis eine Zeitersparnis ergibt, die Sie für Ihre betrieblichen Belange produktiv nutzen können.
Was treibt uns an und motiviert uns?
Wir lieben Datenschutz und Datensicherheit! Unsere Motivation ist Ihr Erfolg und der Anspruch eines jeden Bürgers, dass seine Daten nur in verantwortungsbewusste Hände gegeben werden.
Sprechen Sie uns an
Wir helfen Ihnen gerne zu allen Fragen des Datenschutzes weiter.
Stephan Boettger
Geschäftsführung
Revisior und zertifizierter Datenschutzbeauftragter (DSC)
Dipl.-Wirtschaftsjurist (FH)
Telefon: 0511 – 22 00 13 – 0
s.boettger@zertifizierter-datenschutzbeauftragter.com
Jens-Uwe Beyrodt
Berater
Dipl.-Ing. (FH)
Datensicherheitsberater
Telefon: 0511 – 22 00 13 – 0
j.beyrodt@zertifizierter-datenschutzbeauftragter.com
IT/K
Lösungen für die IT/K BrancheLesen Sie mehr…
IT/K
In der IT/K-Branche ist die Verarbeitung personenbezogener Daten Teil der Kernprozesse. Profitieren Sie hierbei von unserer Expertise: Von der Übermittlung von Daten in Drittländer bis hin zur Prüfung der Anwendung von Software-Tools. Ebenso bei datenschutzrechtlichen Fragen zur Fernwartung beziehungsweise Remote-Zugriffen stehen wir Ihnen gerne zur Verfügung.
Finanzen
Lösungen für die Finanz BrancheLesen Sie mehr…
Finanzen
Der Schutz personenbezogener Daten im Finanz- und Rechtswesen stellt eine besonders große Herausforderung dar: Als Berufsgeheimnisträger verarbeiten Sie sensitive Daten. Hinzu kommen Spezifika der einzelnen Bundesländer. Wir sind Spezialisten auf diesem Gebiet und haben Antworten auf Ihre Fragen.
Konzerne
Lösungen für KonzerneLesen Sie mehr…
Konzerne
In der int. Vernetzung von Konzernen und Gruppen ist der rechtskonforme Umgang mit personenbezogenen Daten schwer zu überblicken – erst recht im Umgang mit Drittländern. Mit unserer Erfahrung im Datenschutz für int. Unternehmen verstehen wir Ihre Herausforderung und begleiten Sie dabei, die geeigneten technischen und organisatorischen Maßnahmen zu implementieren.
Handwerk
Lösungen für das Handwerk & BaugewerbeLesen Sie mehr…
Handwerk
Ob bei der Zusammenarbeit mit Hausverwaltungen, der Datenübergabe an Sub-Unternehmer oder dem Umgang mit WhatsApp – wir kennen die Herausforderungen der Handwerks- und Baubranche. Pragmatisch und lösungsorientiert begleiten wir Ihren Betrieb zur DSGVO-Konformität.
Medien
Lösungen für die Medien BrancheLesen Sie mehr…
Medien
In Ihrer Branche gehört die Verarbeitung großer Mengen personenbezogener Daten zum Alltag. Doch an wen darf ein Newsletter tatsächlich versandt werden? Wie lassen sich alte Adressbestände in Zeiten der DSGVO weiterhin verwenden? Wir haben die Antworten und stehen Ihnen als externer Datenschutzbeauftragter pragmatisch zur Seite.
Öffentliche Einrichtungen
Lösungen für öffentliche EinrichtungenLesen Sie mehr…
Öffentliche Einrichtungen
Als öffentlicher Einrichtung haben Sie einen Sonderstatus sowohl in der DSGVO als auch im BDSG, was viel Komplexität mit sich bringt. Hinzu kommen landesspezifische Rechtsgrundlagen, denen sie gerecht werden müssen. Als Spezialisten auf diesem Gebiet begleiten wir Sie souverän und kompetent.
Industrie
Lösungen für die IndustrieLesen Sie mehr…
Industrie
Mit unserer Expertise in der Industrie- und Fertigungsbranche begleiten wir Sie bei der DSGVO-konformen Verarbeitung von Personal- und Kundendaten. Wir stehen Ihnen bei der Übermittlung von Daten an Auftragsverarbeiter, wie Lieferanten oder Sub-Unternehmer zur Seite. Mit uns können Sie den Datenschutz gegenüber Ihren Auftraggebern gewährleisten.
Gesundheitswesen
Lösungen für die Gesundheits BrancheLesen Sie mehr…
Gesundheit
In keiner anderen Branche ist die Verarbeitung von personenbezogenen Daten so risikobehaftet wie in der Medizin- und Gesundheitsbranche. Mit unserer jahrelangen Erfahrung in diesem Sektor begleiten wir Sie beim rechtskonformen Umgang mit Daten besonderer Kategorien.
Vereine
Lösungen für VereineLesen Sie mehr…
Vereine
Wir sind Ihre Experten in der Umsetzung der DSGVO in Vereinen. Gerade Vereine mit Publikumsbezug (z. B. Reitvereine) stehen wir bei allen Fragen im Datenschutz zur Seite. Mitglieder, Bildmaterial/Verwendung, Veröffentlichungs-/Sozial-Media-Fragen in Bezug auf die Regelungen auch zu minderjährigen Mitgliedern sind zu klären.