Anfang August 2021 wurde bekannt, dass die österreichische Aufsichtsbehörde ein Bußgeld in Höhe von 2 Millionen Euro gegen die jö Bonus Club GmbH erlassen hat. Bei der jö Bonus Club GmbH handelt es sich um ein österreichisches Kundenbindungsprogramm. Hier können sich Kunden registrieren und bei mitmachenden Märkten Prämien sammeln oder Aktionscoupons erstehen.

Wie ist es zu dem Bußgeld gekommen? Die jö Bonus Club GmbH möchte über ihre Kunden ein möglichst genaues Profil erstellen. Dafür möchte sie, dass die Kunden in das „Profiling“ einwilligen, so dass sie individualisierte und stimmige Werbung bekommen. Die Umsetzung dieser Idee ließ laut der österreichischen Aufsichtsbehörde zu wünschen übrig. Die Einwilligungen auf der Homepage und auch im gedruckten Flyer erweckten den Eindruck, dass allein in den Eintritt des Clubs eingewilligt wird. Die Nutzer wurden über das Profilig nicht ausreichend bzw. gar nicht informiert. Die Aufsichtsbehörde sieht im Profiling ein großes Risiko für die betroffenen Personen. Es werden Verhaltensweisen ausgewertet und komplette Profile der Personen erstellt. Auf diesen Missstand in den Einwilligungen ist der Bonus Club bereits vorab durch die Aufsichtsbehörde hingewiesen worden und verbesserte das Einwilligungsmanagement.

Nach der Nachbesserung wurden dennoch 2,3 Millionen Kundendaten auf Grundlage der fehlerhaften Einwilligung weiterhin verarbeitet. Es gab allerdings keine Rechtsgrundlage, die diese Verarbeitung gerechtfertigt hat. Daher hätte eine weitere Nutzung der Daten nicht geschehen dürfen. Die betroffenen Personen hätten informiert werden müssen und es hätten neue rechtmäßige Einwilligungen eingeholt werden müssen. Daher wurde dem Club ein Bußgeld von 2 Millionen Euro auferlegt. Bei der Summe wurde die Corona-Krise sowie die schlechten Umsatzzahlen berücksichtigt. Die jö Bonus Club GmbH wird gegen den Bescheid Einspruch einlegen.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

Eine kurze Pressemitteilung des LDI NRW finden Sie hier: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Brexit-Angemessenheitsbeschluss/Brexit-Angemessenheitsbeschluss.html

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Aufsichtsbehördliche Kontrollen der Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen

Der Europäische Gerichtshof (EuGH) hat im Juli letzten Jahres eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten aus Europa in die USA für nichtig erklärt, indem er die entsprechende Angemessenheitsentscheidung 2016/1250 der EU-Kommission mit Urteil in der Rechtssache C-311/18 für ungültig erklärte. Diese Entscheidung beinhaltete massive Auswirkungen auf die Praxis.

Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU oder des EWR ist nur dann zulässig, wenn das betreffende Land für diese Daten ein angemessenes Schutzniveau gewährleistet. Ein angemessenes Schutzniveau könnte ein Angemessenheitsbeschluss sicherstellen. Der Angemessenheitsbeschluss zum EU-US Privacy Shield wurde jedoch für nichtig erklärt, da dieser in der derzeitigen Ausgestaltung keine hinreichenden Schutzmechanismen aufweist. Somit könnten nun für die Übermittlung in die USA die Standardvertragsklauseln in Betracht kommen.

Generell müssen Standardvertragsklauseln ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist. Dies ist – laut EuGH - vorliegend nicht unbedingt garantiert, daher bedarf es gegebenenfalls der Schließung weiterer Regelungen und/oder die Ergänzung weiterer Maßnahmen, um ein angemessenes Datenschutzniveau im Drittland garantieren zu können.

Bereits letztes Jahr hat ds² wichtige Informationen für den Umgang mit diesem Urteil herausgegeben.

Abgestimmte Kontrollen 

Die deutschen Aufsichtsbehörden haben nun bekannt gegeben, dass sie gemeinsam abgestimmte Kontrollen durchführen wollen, um die Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen zu überprüfen.

Es gibt fünf Fragenkataloge aus fünf verschiedenen Themenbereichen: Mailhoster, Webhoster, Tracking, Bewerberportale und Konzerninterner Datenverkehr.

Aus Art. 31 DSGVO ergibt sich die Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden und damit mindestens die Pflicht, Tatsachen die abgefragt werden, wahrheitsgemäß zu beantworten und Beweismittel vorzulegen.

Sofern Sie Fragen haben oder weitere Unterstützung benötigen, melden Sie sich gerne bei uns.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die von SAP und der Telekom entwickelte Corona-Warn-App steht seit dem 16.06.2020 zum Download bereit. Die Bluetooth-gestützte App dient der Nachverfolgung von Infektionsrisiken. Dabei wird durch Bildung eines Dauer- und Entfernungsprofils nach statistischen Berechnungsvorschriften ein individueller Risiko-Score ermittelt.

Wie funktioniert die App?

Treffen sich zwei App-Nutzer, können sich die Geräte gegenseitig erkennen und tauschen bestimmte Zahlenfolgen aus (ID). Alle paar Minuten generiert jedes Gerät eine neue Zufalls-ID. Der Abstand zwischen zwei Personen wird durch Signalstärke ermittelt und ist der Abstand für eine gewisse Dauer gering genug, speichern die Geräte die fremde ID lokal ab. Bei einer festgestellten Covid-19 Infektion kann ein Nutzer seine Daten via Scan eines QR-Codes, den er vom Arzt erhalten hat oder per Telefon-Tan-Verfahren freischalten. Sodann werden sämtliche IDs, die die App innerhalb der letzten Tage erzeugt und ausgesendet hat, an einen zentralen Server gesendet. Dort können sie von allen anderen App-Benutzern heruntergeladen werden. Durch Abgleich der auf dem Server hinterlegten Daten mit dem lokal auf den Smartphones gespeicherten IDs ist feststellbar, ob der Benutzer mit einem Covid-19 Patienten Kontakt hatte. Je nach Abstand und Begegnungsdauer zu dem Covid-19-Kontakt wird ein individueller Risiko-Score ermittelt. Der App-Nutzer erhält Benachrichtigung über den Kontakt und Verhaltenshinweise.

Neue Funktionen

Die neue Version der Corona-Waran-App soll eine verbesserte Risikoberechnung enthalten. Dabei wird insbesondere auch die höhere Infektiosität durch die mutierten Virusvarianten berücksichtigt.

Kurze Kontaktzeiten mit später positiv getesteten Personen werden laut den Entwicklern nicht mehr herausgefiltert, sondern individuell bewertet und über den Tag summiert. Neben den Abständen bis 1,5 Meter fließen auch Kontaktzeiten in einem Abstand bis 2,5 Meter mit 50 % in die neuen Berechnungen mit ein.

Zudem soll eine QR-Code Check-In Funktion eingebaut werden, mit der sich die Nutzer beim Betreten eines Restaurants oder einer Veranstaltung für die Kontaktverfolgung registrieren können. Ein solches Feature bietet bereits die „Luca-App“. Bisher müssen Nutzer diese Informationen freiwillig und manuell im Kontakttagebuch der App anlegen.

Neben der Event-Registrierung soll auch ermöglicht werden, dass Nutzer der App die Ergebnisse ihrer Schnelltests in der Corona-Warn-App hinterlegen können und dem Kontakt-Tagebuch hinzufügen können. Über die App können die Nutzer dann künftig auch alle ihre Kontakte warnen, sobald sie bei einem Schnelltest positiv auf Corona getestet worden sind.

Wie sieht es datenschutzrechtlich aus?

Verantwortlichkeiten sind klar geregelt. So wird beispielsweise beschrieben, dass das RKI Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die mit dem Betrieb der Corona-Warn-App einhergehende Verarbeitung von personenbezogenen Daten der Nutzer ist. Weitere Akteure und Auftragsverarbeiter werden transparent dargestellt. Die Verarbeitungszwecke sind eindeutig festgelegt und werden durch technische und organisatorische Maßnahmen sichergestellt.

Für die Nutzung der App ist keine Anmeldung erforderlich. Die erhobenen Daten lassen keine Rückschlüsse auf Identitäten und Standorte zu, da lediglich die Zufalls-IDs ausgetauscht werden.

Die Daten werden nur auf dem Smartphone gespeichert und automatisch gelöscht. Eine automatisierte Datenweitergabe an Dritte (z.B. Arbeitgeber, Gesundheitsbehörden) ist nicht vorgesehen. Infektionen und Benachrichtigungen sind von keiner Stelle nachverfolgbar, sprich weder Systembetreiber noch Veranstalter sowie deren Dienstleister können Rückschlüsse auf das Verhalten einzelner Personen, ihre Anwesenheit bei Veranstaltungen oder ihren Gesundheitszustand ziehen.

Die App enthält geeignete dem Stand der Technik entsprechende Verschlüsselungen inklusive eines geeigneten sicheren Schlüsselmanagements.

Nach dem Download und Start der App wird der Nutzer über die Zwecke und die technische Funktionsweise der App informiert und die aktuelle Datenschutzerklärung wird angezeigt. Funktionen, die einer Einwilligung bedürfen, sind zunächst deaktiviert. Die jeweils relevante Information erfolgen im Vorfeld einer Einwilligungserteilung. Die Einwilligung wird durch aktives Anklicken eines Buttons eingeholt. Für die Wirksamkeit der Einwilligung wurden die besonderen Voraussetzungen der Art. 4 Nr. 7 DSGVO in Verbindung mit Art. 6 Abs. 1 S. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO sowie Art. 7 DSGVO eingehalten und umgesetzt.

Die App ist und bleibt freiwillig. Das bedeutet, dass der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. nicht vom Vorweisen der App abhängig gemacht werden darf.

Die Gewährung von Betroffenenrechten ist transparent und eindeutig geregelt. Eine Risikoanalyse und Datenschutzfolgenabschätzung wurde für die Corona-Warn-App vorgenommen.

Die Sicherheit des Systems wird durch verschiedene Maßnahmen gewährleistet. Der Quellcode wurde veröffentlicht und ist somit auch für unabhängige Experten überprüfbar.

Die oben genannten Umsetzungen sind nicht abschließend erwähnt. Als Fazit kann jedoch angebracht werden, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, den Datenschutz in der neuen Corona-Warn-App der Bundesregierung als ausreichend berücksichtigt betrachtet.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In letzter Zeit ist zu beobachten, dass die Aufsichtsbehörden neben der Prüfung von Webseiten auch einen Fokus auf die Videoüberwachung von Unternehmen gesetzt haben. Aber warum gerade auf die Videoüberwachung?

Wie bei einer Webseite kann auch bei einer Videoüberwachung schnell von außen ohne große Umstände ein erster Eindruck eingeholt werden, ob sich das Unternehmen mit dem Thema Datenschutz auseinandergesetzt hat. Was bei der Webseite der Blick auf die Datenschutzerklärung oder den Cookie-Banner ist, ist bei der Videoüberwachung zunächst die Sichtung der Kamera an sich sowie ein kurzer Blick auf das Hinweisschild zur Videoüberwachung.

Ein Piktogramm reicht nicht aus

Wer bei der Videoüberwachung der Ansicht ist, dass ein einfaches Hinweisschild mit einem Kamera-Piktogramm und der Aufschrift „Videoüberwachung“ ausreicht, hat hier die Rechnung nicht mit dem Datenschutz gemacht. Denn die Datenschutz-Grundverordnung (DSGVO) sieht bereits in Ihren Grundsätzen der Datenverarbeitung vor, dass jede Verarbeitung personenbezogener Daten rechtmäßig und für die betroffenen Personen transparent sein muss. Um eine Transparenz herzustellen, sind den betroffenen Personen bereits vor Datenerhebung bestimmte Informationen zur Datenverarbeitung zugänglich zu machen. Im Falle der Videoüberwachung bedeutet dies, dass Personen bereits vor Betreten des Erfassungsbereichs der Kamera unter anderen darüber informiert werden, wer für die Videoüberwachung verantwortlich ist und zu welchen Zwecken und auf welcher Rechtsgrundlage diese erfolgt. Die niedersächsische Aufsichtsbehörde hat ein Muster-Hinweisschild veröffentlicht. Dieses und weitere Dokumente zur Videoüberwachung finden Sie hier.

Ist die Aufsichtsbehörde einmal auf die Videoüberwachung in einem Unternehmen aufmerksam geworden, wird sie es höchstwahrscheinlich nicht bei der Sichtung des Hinweisschildes belassen. Sicherlich wird in diesen Fällen dann auch geprüft werden, ob die Videoüberwachung überhaupt zulässig ist und ob diesbezüglich die erforderlichen Vorüberlegungen (wie die Risikobewertung und die Implementierung geeigneter technischer und organisatorischer Maßnahmen) getroffen wurden.

Sollten Sie Unterstützung bei der Implementierung einer Videoüberwachungsanlage benötigen, melden Sie sich gerne bei unserem ds²-Team.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien. 

Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.

Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.

Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.

Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben.

Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Weltweit gingen die zuständigen Aufsichtsbehörden wegen unzureichendem Datenschutz gegen Krankenhäuser vor. Die Aufsichtsbehörde Datainspektion in Schweden hat acht klinische Einrichtungen auf ein angemessenes Risikomanagement und wirksame Zugriffsbeschränkungen der Kernsysteme der Krankenhauseinrichtungen geprüft. Sieben von ihnen wurde ein Bußgeld verhängt.

Häufig fehlen Risikoanalysen für den Zugriff auf Patientendaten sowie Protokollierungen von Zugriffen. Auch Kontrollen werden oftmals versäumt und Berechtigungen für Benutzer der Krankenhausinformationssysteme werden nicht nach dem Minimalprinzip vergeben. Letzteres führt dazu, dass auch Beschäftigte Zugriff auf die Daten haben, ohne dass dies für ihre Arbeit notwendig wäre.

So auch im Falle des eingangs genannten Amsterdamer Krankenhauses. Es wurden unzureichende Kontrollen darüber vorgenommen, wer sich welche Datei angesehen hat und es gab nur eine unzureichende Sicherheit der Computersysteme.

Auch in Portugal wurde ein Bußgeld in Höhe von 400.000 € verhängt, weil viel zu viele Personen Zugriff auf Patientendaten hatten.

Die unberechtigten Zugriffe bergen neben dem Risiko, das Unbefugte die eigene Krankengeschichte kennen, weitere hohe Risiken. Patientenakten/Krankenakten können auch Informationen enthalten, die einen Identitätsbetrug und bspw. Phishing ermöglichen.

„In den letzten Jahren war das Gesundheitswesen immer unter den Top 3 der Branchen mit den meisten Datenlecks, so die Vizepräsidentin der Autoriteit Persoonsgegevens Verdier, zur Situation in den Niederlanden.

ds² ist Experte im Gesundheitsdatenschutz und hilft Ihnen gerne bei der Umsetzung von Datenschutz- und Datensicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und insbesondere von Gesundheitsdaten.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Technik der Videoüberwachung ist heute eine weit verbreitete Möglichkeit um in den betroffenen Bereichen sowohl Eigentum, als auch insbesondere Mitarbeiter und Kunden zu schützen.

Doch die Installation dieser Anlagen erfordert eine durchgehende und detaillierte Prüfung, um die Rechte der betroffenen Personen zu schützen. Durch die Erstellung eines Datenschutzkonzeptes im Rahmen der gesetzlichen Vorgaben kann die Videoüberwachung zu einem beliebten und gesetzeskonformen Überwachungstool werden, welches Unternehmen vor Diebstahl und Sachbeschädigung schützen kann. Doch die Einhaltung der Datenschutz-Bestimmungen muss sorgfältig betrachtet und überprüft werden. Denn gerade weil das Thema Videoüberwachung in den Medien so präsent ist, gerät diese Technik immer wieder in den Fokus der zuständigen Aufsichtsbehörden. Der Betrieb erfordert eine Risikoabwägung und gegebenenfalls auch eine Datenschutz-Folgenabschätzung und in Einzelfällen sogar die Hinzuziehung der zuständigen Aufsichtsbehörde. Welche Anlagen evtl. gegen die Vorschriften verstoßen und welche Vorschriften für die individuellen Fälle gelten, sollte genau von Experten untersucht werden, um das System den einschlägigen Regelungen anzupassen.

Nutzen Sie unsere Erfahrung aus zahlreichen Projekten in den unterschiedlichsten Branchen.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Wie findet man den richtigen internen Datenschutzbeauftragten (DSB)?

Ein interner DSB kennt die Unternehmensprozesse und die entsprechenden Ansprechpartner. Damit hat er einen entscheidenden Vorteil. Da der interne DSB einen gesetzlichen Kündigungsschutz erfährt, sind Unternehmen gut beraten, bei der Auswahl die richtige Person entsprechend den gesetzlichen Anforderungen zu ermitteln. Schon in diesem Auswahlprozess können wir Sie aufgrund unserer langjährigen Erfahrung unterstützen. Neben diversen Anforderungen an die Zuverlässigkeit und Fachkunde darf der DSB auch keinem Interessenskonflikt unterliegen. Gerade hier kommt es immer wieder zu Abberufungen durch die Aufsichtsbehörden.

Welche Qualifikation benötigt ein interner DSB?

Ausbildungen zum Datenschutz gibt es heute wie Sand am Meer. Gute Ausbildungen allerdings nur wenige. Wir können Ihnen bei der Auswahl der richtigen Ausbildung helfen oder Ihren Datenschutzbeauftragten direkt bezogen auf die Anforderungen in Ihrem Unternehmen ausbilden und coachen. Das Coaching und damit die stufenweise Ausbildung von internen Datenschutzbeauftragten hat sich in vielen Fällen bewährt, da der interne Datenschutzbeauftragte eine genau auf ihn skalierte Unterstützung erfährt und dabei direkt anhand der Anforderungen für die Verarbeitungsprozesse Ihres Unternehmens ausgebildet wird. Der ds²-Berater ist dabei stets als Sparringspartner für den fachlichen Austausch und die Lösung komplexer Aufgaben verfügbar. Darüber hinaus kann er bei Abwesenheiten des internen DSB als Stellvertreter fungieren.

Welche Phasen durchläuft das Coaching?

Neben der initialen Ausbildung Ihres DSB stellt das individuelle Coaching eine hervorragende Möglichkeit dar, einen internen DSB schnell und sicher in die Lage zu versetzen, die komplexen Aufgaben wahrzunehmen.

Dieses Verfahren läuft üblicherweise in 4 Schritten ab:

  1. Aufgaben ermitteln (auch phasenweise) und den jeweiligen Zeitrahmen festlegen
  2. Analyse der Rahmenbedingungen und Bearbeitung von Lösungsansätzen
  3. Lösungen ausarbeiten und umsetzen
  4. Erfolgskontrolle

Jede Phase wird durch den ds²-Berater (Coach) begleitet und unterstützt. Da diese Phasen auf immer komplexere Aufgaben angewandt werden, erwirbt der interne DSB die erforderliche Kompetenz an konkreten Beispielen und schafft gleichzeitig die gewünschte Rechtssicherheit für das Unternehmen.

Möchten Sie weitere detaillierte Informationen zu diesem Thema erhalten, rufen Sie uns gerne an unter +49 5421 308950.

Wo steht Ihr Unternehmen beim Datenschutz?

Der Einstieg in den Best-Practice-Datenschutz ist die Bestandsaufnahme. Sie dient der Ermittlung der datenschutzrechtlichen Situation im Unternehmen. Durch ihre Skalierbarkeit ist die Bestandsaufnahme für jede Art und Größe einer Organisation wirtschaftlich und effizient darstellbar. Mit der ds²-Datenschutz-Bestandsaufnahme erhalten Sie so schnell einen Überblick und eine erste Einschätzung des Handlungsbedarfes.

Wie läuft die Bestandsaufnahme ab?

Die ds²-Datenschutz-Bestandsaufnahme wird von ausgebildeten und zertifizierten ds²-Beratern durchgeführt. Sie erhalten – nach Abschluss einer Vertraulichkeitsvereinbarung – vorab einen Fragenkatalog, der uns zur Vorbereitung der Bestandsaufnahme dient. Bei Ihnen vor Ort werden unsere Berater die entsprechenden Prozesse und Datenverarbeitungen prüfen. Dies erfolgt durch Interviews und Prozess-Stichproben. Die Berater werden die Erkenntnisse vor Ort erfassen und anschließend in unseren Büros dokumentieren und zusammenfassen.

Ziel ist es, einen Überblick über die Unternehmensprozesse und die dazu gehörigen Anforderungen an den Datenschutz zu erhalten und damit einen ersten Ansatzpunkt zur Erstellung eines Maßnahmenplans zu erhalten. Im Zentrum stehen dabei die wesentlichen Risiken im Bereich Datenschutz und möglicher Schwachstellen bei der Sicherheit der Daten.

Was bringt die Bestandsaufnahme?

Im Rahmen eines Abschlusstermins werden unsere Berater Ihnen die Ergebnisse vorstellen. Je nach Skalierungsstufe gehören dazu

Diese Dokumente ermöglichen es Ihnen, den Aufwand für die Optimierung des Datenschutzes im Unternehmen besser einzuschätzen. Auf der Basis dieser Ergebnisse können die Aufgaben priorisiert und ggf. budgetiert werden. Notwendigkeit und Umfang einer Projektphase für die dringendsten Aufgaben können hierdurch ebenfalls definiert werden.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.

magnifiercrossmenu