DSGVO–Assessment mit Empfehlungen zur weiteren schrittweisen DSGVO-Umsetzung

Ihr Nutzen aus der DSGVO-Stage-Review:

Sie legen selbst fest, ob Ihre Organisation ein DSGVO-Vorzeige-Unternehmen sein will oder DSGVO-compliance unter Berücksichtigung Ihrer Verarbeitungstätigkeiten, von Implementierungskosten und der Risiken für Betroffene und Ihre Organisation[1] anstrebt.

Das Ergebnis der Review ist der DSGVO-Stage-Review-Bericht. Er besteht aus dem Management-Summary und dem Detail-Bericht.

Sie erhalten damit:

a) Einen Überblick über Ihre DSGVO-Compliance

b) Einen Überblick über ihre DSGVO-Haftungs-Risiken (Bußgeld, Schadenersatz, behördliche Verbote etc.)

c) Einen Stufen-Plan für nach Dringlichkeit geordnete Arbeits-Erfordernisse, um DSGVO-Compliance in Ihrer Organisation zu erreichen

d) Informationen und Empfehlungen zu deren konkreter Umsetzung, um Compliance-Lücken und Haftungen zu vermeiden bzw. zu minimieren.

Die DSGVO-Stage-Review ist zur Erreichung von DSGVO-compliance sinnvoll, gleichgültig ob Ihre Organisation derzeit kein Management-System[2] errichten will, ein solches gerade vorbereitet, zertifiziert ist oder etwa ein QMS um Datenschutz-Belange erweitert.

Ablauf einer DSGVO-Stage-Review:

  1. Der Kunde beantwortet einen 1-seitigen Fragebogen mit Erst-Informationen.
  2. CIS legt ein individuell abgestimmten Anbot.
  3. Nach Auftragserteilung erhält der Kunde eine Liste mit zu übersendenden Unterlagen – soweit beim Kunden vorhanden – und einen detaillierteren Fragekatalog, der bereits die Erst-Informationen berücksichtigt.
  4. Anschließend werden Interviews mit Mitarbeitern und ev. auch externen Beratern des Kunden durchgeführt. Persönliche Gespräche vor Ort beim Kunden sind sinnvoll, Video-Konferenzen aber auch möglich.
  5. Nach Klärung weiterer offener Fragen erhält der Kunden den DSGVO-Stage-Review-Bericht.

 

Dauer der DSGVO-Stage-Review:

Die Dauer – ein bis mehrere Tage – sollte abhängig sein von Anzahl, Größe und Komplexizität der Datenverarbeitungen in der Organisation, der IT-Infrastruktur sowie der bisherigen DSGVO-Umsetzungen.

Der für Ihre Organisation sinnvolle Mindest-Aufwand für die DSGVO-Stage-Review wird nach kurzer Informationsaufnahme über relevante Umstände und Ziele mit dem Kunden geklärt, sodass ein individuelles Angebot für Sie erstellt werden kann.

Warum Sie die Datenschutz-Maßnahmen JETZT prüfen und ergänzen sollten:

Vorübergehend eingeschränkte Auslastungen in vielen Branchen können genutzt werden, um Rückstände aufzuarbeiten.

Aufgeschoben ist nicht aufgehoben: Die DSGVO wird wohl nicht „entschärft“ werden.

Zuwarten mit der DSGVO-Umsetzung vergrößert den künftigen Aufwand und erschwert künftige Compliance. So können z.B. (Bewerber-)Daten später meist nur dann wieder einfach gelöscht werden, wenn sie schon bei der Erfassung speziell gekennzeichnet wurden.

Bußgeld: Betrachtet man das gesamte Gebiet der Europäischen Union, werden jetzt fast schon täglich Bußgelder wegen Verstößen gegen die DSGVO verhängt. Die „Schonfrist“ läuft langsam ab. Je mehr Rechtssicherheit bei der Auslegung der DSGVO seit 2016 (Kundmachung der DSGVO) bzw. 2018 (Wirksamwerden der DSGVO) entstanden ist, desto eher sind Verstöße dagegen grob fahrlässig und daher strafverschärfend. Bußgelder können auch gegen verantwortliche Manager persönlich verhängt werden.

Schadenersatzforderungen: Jüngst wurde einzelnen Betroffenen EUR 500.-[3] bzw. sogar EUR 5.000.-[4] an Schadenersatz wegen Verletzung ihrer Rechte gemäß DSGVO (hier: Recht auf Auskunft) zugesprochen. Multiplizieren Sie diese Beträge mit den potentiell Betroffenen aus einem möglichen Data-Breach oder einem sonstigen DSGVO-Verstoß in Ihrem Unternehmen.

Rechtsanwaltliche Verschwiegenheit:

Alle Ergebnisse der DSGVO-Stage-Review unterliegen strengster Geheimhaltung. Der Rechtsanwalt hat nicht nur die Pflicht zur Verschwiegenheit, sondern auch das gesetzlich gewährleistete Recht, den Mandanten betreffende Informationen auch gegenüber Behörden geheim zu halten.

Weitere Information:

Schreiben Sie mir gern eine e-mail an office@frank-law.at oder rufen Sie mich unverbindlich an unter 0676 5347060.

Wien, am 2.9.2020

RA Dr Markus Frank, CIPP/E

 

[1] siehe v.a. Art 24 und 25 DSGVO sowie Art 32 DSGVO

[2] ISO 27701 Datenschutz-Management-System, ISO 27001/02 für Informationssicherheit, ISO 9001 Qualitäts-Management, BS 10012:2017; speziell für kleinere Organisationen VdS 10010, ISIS 12 etc.

[3] LG ZRS Wien am 30.6.2020, 3 Cg 52/14k – 91 (Rechtskraft?)

[4] AG Düsseldorf am 5.3.2020, 9 Ca 6557/18 (Rechtskraft?)

DSGVO–Assessment mit Empfehlungen zur weiteren schrittweisen DSGVO-Umsetzung , letzte Aktualisierung: .

02.09.2020