Ihre Vorteile

Der DataAgenda Datenschutz Manager wurde in Zusammenarbeit mit der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) entwickelt. Die GDD ist einer der größten Fachverbände in der Informations- und Kommunikationsbranche. Sie gilt als das Kompetenzzentrum für einen praxisorientierten und ausgewogenen Datenschutz.

Zum Entwicklerteam gehört ein ausgesprochener Experte aus der Praxis: Dipl.-Kfm. Günther Otten, langjähriger Konzern-Datenschutz-Beauftragter der Gothaer in Köln, langjähriges Mitglied der Datenschutz-Kommission des GDV und des PKV-Verbandes, Mitglied der GDD sowie des AWV. Seit 2010 selbstständiger Datenschutz-Berater und externer Datenschutz-Beauftragter. Sein weitreichender Erfahrungsschatz mit Blick auf pragmatische Umsetzung, die die Unternehmensorganisation nicht überfordert, fließt weiterhin in die Software ein.

Der DataAgenda Datenschutz Manager ist „mandantenfähig“, das heißt Sie können mehrere Mandanten gleichzeitig verwalten und müssen sich dafür nur einmal authentifizieren. Natürlich sind die Daten der Mandanten getrennt voneinander abgelegt.

Konkretisierung des Lizenzumfangs: Als Unternehmen oder auch als externer Datenschutzbeauftragter benötigen Sie für jede rechtlich selbstständige Einheit Ihres Kunden 1 Mandantenlizenz. Die Anzahl der Personen auf  Seite des jeweiligen Mandanten ist nicht limitiert.

Alle Datenschutzmaßnahmen werden in einer Datenbank gebündelt erfasst und logisch getrennt, revisionssicher archiviert. Jedes Dokument ist für Sie jederzeit einseh-/ und downloadbar.

Die übersichtliche Menüführung erleichtert Ihnen die systematische Datenerfassung. Mit praktischen Vorlagen haben Sie den persönlichen Aufwand stets im Griff und die Zusammenarbeit im Datenschutz-Team ist einfach wie nie zuvor. Im Falle von Fragen helfen Ihnen außerdem zahlreiche Beispiele und Erläuterungen weiter.

Der DataAgenda Datenschutz Manager führt Sie wie ein Guide durch alle wichtigen Themengebiete der DS-GVO:

• Stammdaten des Mandanten

In diesem Basis-Dokument erfassen Sie einmalig:
– Kontaktdaten Ihres Mandanten
– Sowie sämtlicher Mitglieder Ihrer Datenschutz-Organisation

Anschließend weisen Sie jedem Mitglied individuelle, abgestufte Zugriffsrechte auf die im Unternehmen vorhandenen Verarbeitungstätigkeiten zu.

Last but not least wählen Sie die für die Dokumentation zu nutzende Sprache deutsch/englisch aus. Somit haben Sie die Dokumentationspflicht im Sinne des Art. 30 (1) lit. a) DS-GVO erfüllt und können in jedem folgenden Modul auf diese Daten zugreifen.

• technisch-organisatorische Maßnahmen (TOMs)

Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss diese mit technisch-organisatorischen Maßnahmen nach Art. 32 (1) DS-GVO schützen, unter anderem gegen unberechtigte Zugriffe Dritter. Die konkret vorgesehenen Einzelmaßnahmen technischer oder organisatorischer Art gilt es nach Art. 5 (2) DS-GVO zu dokumentieren. 

Genau hierbei unterstützt Sie der DataAgenda Datenschutz Manager. Wählen Sie hierfür aus dem umfassenden Katalog an Muster-Beispielen das für Sie zutreffende per Mouse-Klick aus. 

Mit einem Klick auf „Vorlage öffnen“ bestimmen und erfassen Sie die jeweils zutreffende Maßnahme. Sie möchten zusätzlich eigene Maßnahmen anlegen? Kein Problem, hierfür ist die Funktion „Neu Anlegen“ gedacht.

• allgemeines Löschkonzept

Für jedes Unternehmen gilt nach Art. 17 DS-GVO: Personenbezogene Daten sind zu löschen, wenn die Rechtsgrundlage für ihre Speicherung entfallen ist und keine gesetzlichen Aufbewahrungsfristen nach HGB oder AO dem entgegenstehen.

Mit dem DataAgenda Datenschutz Manager können Sie ganz unkompliziert unterschiedliche Aufbewahrungsfristen für die verschiedenen Datensätze festlegen. Kontoauszüge, Abmahnungen, Debitorenbuchhaltung … Zahlreiche Beispiele aus der Praxis sind als Vorlagen vorhanden. 

Stellen Sie per Mouse-Klick so schnell und einfach Ihr allgemeines Löschkonzept zusammen. Individuelle Löschfristen können Sie bei Bedarf natürlich ebenso hinzufügen, um auch unternehmensspezifische Löschvereinbarungen zu erfassen.

Der anschließende Report für Ihre Auswahl der Aufbewahrungsfristen enthält einen detaillierten Entwicklungsplan für die Umsetzung des Ihres Löschkonzeptes.

• Verzeichnis der Verarbeitungstätigkeiten/VVT 

Das VVT ist ein wichtiger Baustein jeder Dokumentation im Sinne des Art. 30 DS-GVO. Es enthält die Beschreibung aller Verarbeitungstätigkeiten, bei denen es im Unternehmen im Zusammenhang mit der Verarbeitung personenbezogener Daten kommt. Gleichzeitig beinhaltet es auch die Datenbasis für die sich hierauf aufbauenden Folge-Module:
– Schwellwert-Analyse
– Datenschutz-Folgenabschätzung (DSFA)

Der DataAgenda Datenschutz Manager listet Ihnen die gängigen Verarbeitungstätigkeiten verständlich und übersichtlich auf. Wählen Sie mühelos relevante Verfahren aus oder legen Sie eigene an – ganz individuell. 

Wir haben eine Vielzahl an vorbereiteten Praxis-Verfahren aufgelistet, die als Beispiele genutzt werden können. Bitte prüfen Sie, ob die Inhalte mit Ihren konkreten Anforderungen übereinstimmen oder passen Sie diese einfach an. 

Gleichzeitig haben Sie auch die Möglichkeit, davon abweichende neue Verarbeitungstätigkeiten zu erfassen. 

Zur Spezifizierung einer konkreten Verarbeitungstätigkeit stehen Ihnen zahlreiche Funktionen zur Verfügung: 

– Bearbeitungsstatus, verantwortliche Personen, Zweckbestimmung und einiges mehr. Bitte berücksichtigen Sie: Diese Angaben werden später auch für die Schwellwert-Analyse und ggf. bei der Durchführung der Datenschutz-Folgenabschätzung benötigt. 
– Um Ihnen das Ausfüllen zu erleichtern, wird automatisch auf bereits eingegebene Daten aus den Stammdaten zurückgegriffen. Bei der Risiko-Beschreibung und -Bewertung für die jeweilige Verarbeitungstätigkeit steht Ihnen zur Einschätzung des Schadensausmaßes ein praktischer Slider zur Verfügung.

• VVT für Auftragsverarbeiter

Außerdem ist zu beachten, dass auch Auftragsverarbeiter nach Art. 30 (2) DS-GVO ein VVT zu führen hat. Demnach muss jeder Auftragsverarbeiter und ggfs. sein Vertreter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitungen führen, die folgende Angaben enthält:

– Den Namen und die Kontaktdaten des/der Auftragsverarbeiter;
– Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
– Die Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation;
– Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen;

Sollten Sie diese Funktion benötigen, übernimmt der DataAgenda Datenschutz Manager weitgehend die im eigenen VVT enthaltenen Daten.

• standardisierte Schwellwert-Analyse

Eine Schwellwert-Analyse im Kontext des Art. 35 DS-GVO zur Datenschutz-Folgenabschätzung soll die Entscheidung begründen, ob für eine Verarbeitungs-tätigkeit ein normales oder hohes Risiko vorliegt.
Mit dem DataAgenda Datenschutz Manager können Sie bequem eine standardisierte Schwellwert-Analyse im Rahmen des 9-Punkte-Katalogs auf Basis des Working Paper 248 rev. 01 des europäischen Datenschutz-Ausschusses vom 04.10.2017, III B a) 1.-9. durchführen. 

Das System teilt Ihnen nach Abarbeitung des Katalogs sofort mit, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss oder nicht.

• Datenschutz-Folgenabschätzung/DSFA

Für eine Verarbeitungstätigkeit aus Ihrem VVT ist nach Durchführung der Schwellwert-Analyse eine Datenschutz-Folgenabschätzung erforderlich. 

Kein Problem, auch durch diesen Prozess begleitet Sie der DataAgenda Datenschutz Manager systematisch in kleinen Schritten. 

Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Die betroffenen Verarbeitungstätigkeiten sind automatisch in der entsprechenden Übersicht aufgeführt. Durch die eigentliche Datenschutz-Folgenabschätzung werden Sie schrittweise mittels verschiedener Reiter geführt. 

Unter „Überblick“ sind bereits alle geplanten Verarbeitungsvorgänge der jeweiligen Verarbeitungstätigkeit dokumentiert. Der Bereich „Grundlagen“ stellt die Verhältnismäßigkeit und Notwendigkeit sowie die Maßnahmen zum Schutz der Persönlichkeitsrechte der betroffenen Personen dar. Unter „Risiken“ erfassen Sie zum einen die bestehenden und auch geplanten Sicherheitsmaßnahmen, wie z. B. den Einsatz von Antiviren-Software oder Firewalls. 

Zum anderen dokumentieren Sie die tatsächlichen Risiken, also etwa die Folgen bei unrechtmäßigem Zugriff auf Daten oder bei Datenverlust. 

Abschließend erhalten Sie unter „Risikoübersicht“ eine konkrete Einschätzung zum Risiko bei der Datenverarbeitung. Sie sehen im direkten Vergleich, ob die Einführung der zusätzlichen Maßnahmen ausreicht oder nicht. 

Wenn die vorhandenen sowie die zusätzlich geplanten TOMs ausreichen, um das hohe Risiko der geplanten Verarbeitungstätigkeit zu reduzieren, dann ist der risikobasierte Ansatz erfolgreich abgeschlossen und es bedarf nur noch der Bestätigung des DSB. Im anderen Falle wäre im Rahmen eines iterativen Prozesses die DSFA mit ergänzenden TOMs zu durchlaufen, um das gewünschte Ergebnis zu erzielen.

Damit wäre der Bereich Verzeichnis der Verarbeitungstätigkeiten revisionssicher erfasst und dokumentiert. 

• Vereinbarung zur Auftragsverarbeitung

Voraussetzung für eine Auftragsverarbeitung ist grundsätzlich ein entsprechender Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Sinne des Art. 28 (3) DS-GVO. 

Im DataAgenda Datenschutz Manager sind für Sie verschiedene Musterverträge der GDD hinterlegt. Wählen Sie einfach den für Sie passenden Vertrag aus, beispielsweise eine Vereinbarung zur Auftragsverarbeitung im Gesundheitswesen. 

Sie können aber auch gerne eigene Muster hochladen und nutzen.

• Joint Controllership

In vielen Fällen findet eine Datenverarbeitung mit Unterstützung eines anderen Unternehmens statt. Um die Rechtmäßigkeit der Verarbeitung zu gewährleisten, ist es von großer Bedeutung, solche Sachverhalte korrekt einzuordnen. Beteiligte müssen wissen, ob sie Verantwortliche, Auftragsverarbeiter oder Joint Controller sind.

Auch für das „Joint Controllership“-Verfahren im Sinne des Art. 26 DS-GVO bietet der DataAgenda Datenschutz Manager Lösungen: 

Sind mehrere Parteien für die Verarbeitung von Daten gemeinsam verantwortlich, so bedarf es gemäß DS-GVO einer entsprechenden Vereinbarung, als Alternative zur Auftragsverarbeitung. Dazu steht Ihnen eine Auswahl von Praxishilfen und vorgefertigten Muster-Vereinbarungen zur Verfügung.

Die Datenübermittlung erfolgt grundsätzlich verschlüsselt. Das Hosting erfolgt über ein zertifiziertes Rechenzentrum in Deutschland. Ihre Daten sind nach höchsten Standards geschützt.

Gemeinsam Datenschutz gestalten:
Der DataAgenda Datenschutz Manager unterstützt Sie dabei, Datenschutz gemeinsam im Sinne der DS-GVO zu gestalten. Das webbasierte System erleichtert die Zusammenarbeit aller verantwortlichen Stellen im Unternehmen und sorgt durch ein klares Rollen- und Rechtekonzept für Transparenz. Sie vergeben die entsprechenden Zugangsberechtigungen, um gemeinsam die einzelnen Themen online mit den Fachabteilungen oder Ihren Kunden zu bearbeiten.