_________________________ (Adresse)
Sehr geehrte/r Herr/Frau _________________________,
vielen Dank für Ihre Anfrage. Gerne unterstützen wir Sie dabei, die aktuelle Datenschutz-Compliance der _________________________ GmbH zu bewerten und beraten Sie – wenn nötig – mit Blick auf die Schritte, die zur Erreichung eines Standards erforderlich sind, die aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) für Ihr Unternehmen resultieren.
Im Folgenden möchten wir in aller Kürze das übliche Vorgehen erläutern und darstellen, welcher organisatorische Aufwand daraus resultiert, da ein solches Beratungsmandat nur im Dialog funktionieren kann.
1. |
Bestandsaufnahme: Zunächst ist es erforderlich, im Rahmen einer Bestandsaufnahme festzustellen, ob und in welchem Umfang datenschutzrechtlich relevante Dokumentation und welche Verträge bei Ihnen vorhanden sind. Diese Analyse ist für die Einschätzung des weiteren Beratungsumfangs wichtig. Wir werden den Ist-Zustand mit dem Soll-Zustand vergleichen und eine Liste von Tätigkeiten erstellen, die umgesetzt werden müssen. Im Rahmen der Bestandsaufnahme ist Ihre und die Mitwirkung Ihrer Beschäftigten elementar und eine engmaschige Abstimmung nötig. |
2. |
Verarbeitungsverzeichnis und Liste der Datenempfänger: Im Rahmen der Bestandsaufnahme wird sich gezeigt haben, an welche Empfänger (etwa Software-Anbieter) personenbezogene Daten, z.B. von Kunden, Lieferanten oder Mitarbeitern, übermittelt werden und ob es sich hierbei aus Sicht des Datenschutzes um Verantwortliche oder Auftragsverarbeiter handelt. Diese Informationen sind wichtig, wenn für Ihr Unternehmen die gesetzliche Verpflichtung besteht, diese in einem Verarbeitungsverzeichnis niederzulegen, das (themenbezogen) einen Überblick über alle Verarbeitungstätigkeiten bietet. |
3. |
Erstellung von Datenschutzerklärungen: Da alle Verarbeitungen personenbezogener Daten transparent gegenüber den Betroffenen offengelegt und beschrieben werden müssen, ist die Erstellung von Datenschutzerklärungen wichtig. Sofern bereits Datenschutzerklärungen existieren, sind diese nach Erstellung des Verarbeitungsverzeichnisses auf Richtigkeit und Aktualität zu prüfen. Regelmäßig müssen Datenschutzerklärungen für Bewerber/innen, Beschäftigte, Kunden, Lieferanten und, wenn vorhanden, die Website und Social Media-Auftritte vorgehalten werden. |
4. |
Datenschutzkonformität der Website: Es empfiehlt sich auch, die Unternehmenswebsite als "digitales Aushängeschild" einer datenschutzrechtlichen Prüfung zu unterziehen, insbesondere ob bestimmte Datenverarbeitungsvorgänge (z.B. die Nutzung von Statistik-Tools und die Versendung von Newslettern) auf Grundlage freiwilliger Einwilligungen beruhen. |
5. |
Notwendigkeit zur Bestellung einer/eines Datenschutzbeauftragen: Abhängig von der Größe des Unternehmens und der Datenverarbeitungsvorgänge muss gegebenenfalls ein/e Datenschutzbeauftragte/r bestellt werden, der personell unabhängig und qualifiziert sein muss. Sollten wir zu dem Ergebnis kommen, dass die Bestellung notwendig ist, müssen wir die jeweiligen Vor- und Nachteile von internen und externen Datenschutzbeauftragten besprechen. |
6. |
Prüfung bestehender Prozesse auf Datenschutzkonformität und Datensicherheit: Neben der "richtigen" Dokumentation müssen die im Unternehmen vorhandenen Prozesse gegebenenfalls korrigiert und datenschutzkonform ausgestaltet werden (z.B. Absicherung von IT-Systemen, Einrichtung eines Zugriffsmanagements). Etwaiger Handlungsbedarf in dieser Hinsicht wird meistens bereits nach Durchführung der Bestandsaufnahme deutlich. |
7. |
Sicherstellung von Betroffenenrechten: Es müssen Standardprozeduren festgelegt und implementiert werden, die im Fall von sog. Betroffenenanfragen (z.B. auf Datenauskunft, Art. 15 DSGVO) durchgeführt werden können. Dies ist deshalb besonders wichtig, weil nach Art. 12 DSGVO nur eine in der Praxis kurze Zeitspanne von maximal einem Monat für die Beantwortung derlei Anfragen besteht, die nur in Ausnahmefällen verlängert werden kann. |
8. |
Datenschutzverträge mit Dritten: Soweit Datenverarbeitungsvorgänge ausgelagert werden (z.B. bei der Nutzung von externen IT-Dienstleistern oder bei der Verwendung von Cloud-Services) müssen standardisierte Datenschutzvereinbarungen mit den Anbietern geschlossen werden. Es muss geprüft werden, ob diese Vereinbarungen vorliegen (z.B. bei bereits erfolgtem Abschluss im Rahmen allgemeiner Geschäftsbedingungen) und erforderlichenfalls der Abschluss initiiert werden. Diese Verträge sind anschließend geordnet zu dokumentieren. |
Die vorgenannte Aufzählung stellt den "Standardfall" dar, im Einzelnen kann es Abweichungen sowohl in Form einer Verringerung, aber auch in Form einer Ausweitung des Umfangs kommen. Regelmäßig wird dies nach Durchführung des ersten Schritts deutlich.
Bitte haben Sie Verständnis dafür, dass der Zeitaufwand im Vorh...