dsgvo health check banner

Services

DSGVO Health Check

Eine zielgerichtete und konsequente Standortbestimmung

Seit 25. Mai 2018 sind Unternehmen verpflichtet, die umfassenden Anforderungen im Bereich des Datenschutzes, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) einzuhalten. Eine entsprechende Standortbestimmung nach Umsetzung aller relevanten Verpflichtungen und das frühe Erkennen allfälliger Verbesserungspotenziale unterstützt eine erfolgreiche „DSGVO Compliance“.

Vier Pfeiler der „DSGVO Compliance“

Basierend auf unserer bewährten DSGVO-Methodik und unseren Erfahrungswerten aus zahlreichen DSGVO-Umsetzungsprojekten stellt der DSGVO Health Check die folgenden vier Pfeiler eines umfassenden Datenschutz-Programms in den Vordergrund:

  • Datenschutzorganisation und Dokumentation
  • Datenschutzrelevante Prozesse
  • Vertragsmanagement, Einwilligungen und Datenschutzhinweise
  • Datensicherheit unter Berücksichtigung der IT-Architektur sowie technischer und organisatorischer Maßnahmen.
DSGVO-Health-Check Produktblatt

Datenschutzorganisation und Dokumentation

Die adäquate Ausgestaltung der Datenschutzorganisation ist die Drehscheibe eines funktionierenden Datenschutz-Management-Systems.

Der Schwerpunkt der Analyse der Datenschutzorganisation liegt auf der aufbauorganisatorischen Ausgestaltung, wobei insbesondere die Etablierung und Positionierung sowie die Erfüllung
der relevanten Aufgaben durch den/die Datenschutzbeauftragte(n) als auch die korrespondierende Ressourcenausstattung evaluiert werden.

Darüber hinaus liegt der Fokus auf der Einschätzung des „Datenschutz-Awareness-Programms“ (wie Trainings, Schulungsmaßnahmen) zur Sicherstellung der organisationsweiten Einhaltung der Datenschutzanforderungen.
Notwendiger Bestandteil der Datenschutzorganisation ist zudem die Etablierung erforderlicher interner und externer Kommunikation, um unter anderem eine zeitnahe und funktionierende Kunden- und Behördenkommunikation
sicherzustellen.

Ergänzend erfolgt eine Durchsicht der datenschutzrelevanten Dokumente, vorwiegend der internen Datenschutzrichtlinien bzw. -handbücher und jeglicher ergänzender Dokumentation (u.a. ITSicherheitshandbuch).
Die zusätzliche Durchführung von Interviews mit relevanten Entscheidungsträgern (u.a. Datenschutzbeauftragte(r), IT-Sicherheitsbeauftragter, HR, Legal, Marketing) vervollständigt die umfassende Erhebung des Status quo.

Datenschutzrelevante Prozesse

Neben der Organisation ist ein weiterer Kernbestandteil der „DSGVO Compliance“ die Etablierung funktionierender Datenschutzprozesse zur Gewährleistung der Einhaltung der zentralen Datenschutzprinzipien und Anforderungen. Dies insbesondere zur Erfüllung der Verpflichtungen in Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten, den Rechten der Betroffenen, dem Umgang mit potenziellen Datenschutzverletzungen
(„Data Breaches“) sowie der Datenschutz-Folgenabschätzung.

Verzeichnis der Verarbeitungstätigkeiten
  • Die nachweisliche Einhaltung der datenschutzrechtlichen Anforderungen beginnt mit der Qualität des Verzeichnisses der Verarbeitungstätigkeiten.
Betroffenenrechte
  • Unternehmen haben geeignete Maßnahmen zu treffen, um den betroffenen Personen zeitgerecht alle erforderlichen Informationen zur Verarbeitung ihrer Daten zur Verfügung stellen zu können sowie geeignete Prozesse zu etablieren, um Datenschutzanfragen zeitnah und vollständig beantworten zu können.
Data Breach Management/ Notifications
  • Unternehmen sind verpflichtet, bei Datenschutzverletzungen eine entsprechende Risikoeinschätzung vorzunehmen und risikobasiert Meldungen an die Datenschutzbehörde bzw. an betroffene Personen durchzuführen sowie (Sofort-)
    Maßnahmen zur Minderung der Auswirkung und zur zukünftigen Vorbeugung umzusetzen.
Datenschutz-Folgenabschätzung
  • Unternehmen sind verpflichtet, eine eigenverantwortliche Evaluierung der Verarbeitungstätigkeiten durchzuführen,
    womit Risiken, Auswirkungen und Folgen der Verarbeitungstätigkeiten für betroffene Personen analysiert und abgeschätzt sowie geeignete (risikominimierende) Maßnahmen evaluiert und implementiert werden.

Neben der Umsetzung der datenschutzrelevanten Kernprozesse bedarf es einer umfassenden Prozessdokumentation, welche die Einhaltung der relevanten regulatorischen Anforderungen im Sinne der Rechenschaftspflicht nachweist und dokumentiert.

Vertragsmanagement und rechtliche Aspekte

Ein wesentlicher und unumgänglicher Bestandteil einer umfassenden „DSGVO Compliance“ ist die Abbildung datenschutzrechtlicher Anforderungen in relevanten – internen sowie externen – Verträgen (u.a. mit Auftrags-verarbeitern) und in Dokumentationen mit Außenwirkung (u.a. Datenschutz-hinweise oder Einwilligungserklärungen).
Unsere enge Kooperation mit Deloitte Legal (Jank Weiler Operenyi Rechtsanwälte GmbH) ermöglicht eine konkrete Analyse der datenschutzrechtlichen Aspekte und eine rechtliche Beurteilung der datenschutzrelevanten
Dokumente. Darüber hinaus stellt unsere Kooperation die ad hoc Beantwortung (datenschutz)rechtlicher Fragen sicher.

Datensicherheit und technische Aspekte

Der sichere und ordnungsgemäße Umgang mit personenbezogenen Daten und die Umsetzung technischer und
datensicherheitsrelevanter Maßnahmen sind zentraler Bestandteil eines funktionierenden Datenschutz-Management-
Systems. Eine zentrale Rolle spielt die Etablierung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), einschließlich „Privacy by design“ und „Privacy by default“ Maßnahmen sowie korrespondierender Richtlinien zur Datenaufbewahrung bzw. -löschung (wie Löschkonzepte). Unter Berücksichtigung der
IT-Infrastruktur und verwendeter IT-Tools ermöglicht die High-Level-Analyse unserer IT-Experten ein rasches Erfassen
der Vollständigkeit und Angemessenheit der implementierten Maßnahmen in den jeweiligen Systemen.

Unser DSGVO Health Check dient der Analyse und Evaluierung der „DSGVO Compliance“ im Sinne einer Standortbestimmung. Überdies ist die Behandlung datenschutzrelevanter Spezialfragen und kritischer Sachverhalte mit Deloitte als „Sparring“ Partner fester Bestandteil unserer Unterstützung.

Deloitte verfügt über ein interdisziplinäres Expertenprofil (Regulatory, Prozesse, Legal, IT) und bündelt profundes Fachwissen mit konkreten Erfahrungswerten im Bereich des Datenschutzes und der Datensicherheit.

Wir unterstützen Sie mit diesen Leistungen beim Thema DSGVO

  • Modulartige Analyse, Durchsicht und Evaluierung der vier Pfeiler einer
    funktionierenden „DSGVO Compliance“ sowie ergänzendes „mystery shopping“(durch „walk throughs“, „test runs“)
  • Erkennen wesentlicher Schwachstellen, Risiken und Verbesserungspotenziale – aufbereitet in einem finalen „Assessment
    Report“ – sowie gemeinsame Definition von pragmatischen Lösungsansätzen
  • Benchmarking unter Hinzuziehung gängiger Marktpraxis einschließlich
    Peergroup-Erfahrungen
  • Durchführung von gezielten und adressatengerechten Trainings und Schulungen
  • Einsatz bewährter vielfach eingesetzter Deloitte DSGVO Tools (u.a.
    standardisierte TOMs-Checkliste, DPIATemplate

Ihre Ansprechpartner

MMag. Dominik Damm

MMag. Dominik Damm

Partner Risk Advisory | Deloitte Österreich

Dominik Damm leitet die von ihm gegründete Deloitte FSI Advisory Österreich seit 2002. Er hat in den vergangenen mehr als 15 Jahren erfolgreich eine breite Palette von Management-Lösungen und Service ... Mehr

Mag. Sascha Jung

Mag. Sascha Jung

Partner bei Jank Weiler Operenyi Rechtsanwälte

Sascha Jung ist Partner bei Jank Weiler Operenyi Rechtsanwälte (JWO), dem österreichischen Mitglied des globalen Anwaltsnetzwerkes Deloitte Legal, und leitet das IP/IT, Data Protection Team. Durch sei... Mehr

Kerstin Kiefer, MA

Kerstin Kiefer, MA

Manager Risk Advisory

Kerstin Kiefer ist seit 2014 Mitarbeiter der Deloitte FSI Advisory. Ihre Beratungsschwerpunkte liegen in den Bereichen Bankenaufsichtsrecht (insbesondere AML/KYC/Sanctions und Compliance), Governance ... Mehr

Mag. Andreas Niederbacher

Mag. Andreas Niederbacher

Senior Manager Risk Advisory

Andreas Niederbacher ist für die Beratung im Bereich Risk Advisory für den Standort Linz verantwortlich. Er verfügt über branchenübergreifende Erfahrung in den Bereichen Datenschutz, Interner Kontroll... Mehr