search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

DSGVO: 6 wichtige Schritte und 3 Tools, um die Einhaltung der Vorschriften zu erreichen

DSGVO: 6 wichtige Schritte und 3 Tools, um die Einhaltung der Vorschriften zu erreichen

Von Grégory Coste.

Am 28. Oktober 2024

Die Vorbereitung auf die Einhaltung der DSGVO als verantwortungsbewusstes Unternehmen wirft viele Fragen auf, die sich um die Sicherheit, Vertraulichkeit und Nachverfolgbarkeit personenbezogener Daten drehen.

Möchten Sie die am 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung verstehen, was sich für Gewerbetreibende ändert und wie Sie Ihren neuen Verpflichtungen nachkommen können?

appvizer gibt die von der CNIL empfohlenen Schritte wieder und reichert sie mit Lösungen zur Einhaltung der GDPR (General Data Protection Regulation) an:

GDPR-Konformität: Was sagt das Gesetz?

Betroffene Unternehmen in Europa und anderswo

Die Allgemeine Datenschutzverordnung verteidigt die Rechte der europäischen Bürger und gilt natürlich für jedes Unternehmen, das in einem oder mehreren Mitgliedsländern der Europäischen Union eine Datenverarbeitung betreibt.

Die DSGVO verlangt von Unternehmen auch, die Rechte einer Person zu respektieren, die nicht aus der EU stammt, deren Daten aber in der EU gesammelt und verarbeitet werden.

Daher müssen Auftragsverarbeiter, die außerhalb der EU ansässig sind, die DSGVO einhalten :

  • wenn sie von der Verarbeitung von Daten von EU-Bürgern betroffen sind,
  • wenn sie von der Verarbeitung von Daten eines Nicht-EU-Bürgers betroffen sind, deren Daten jedoch innerhalb der Europäischen Union gesammelt werden.

Alle außerhalb der EU gegründeten Websites, die sich an EU-Bürger richten, müssen die GRPD einhalten, insbesondere Websites, die Versionen in französischer, deutscher, italienischer oder spanischer Sprache anbieten und dabei Preise in Euro anzeigen. Stattdessen wird verlangt, dass persönliche Daten innerhalb von Ländern gehostet werden, die das gleiche Garantieniveau wie die Europäische Union bieten.

In Bezug auf das Hosting personenbezogener Daten gibt es keine territoriale Anwendung, die beachtet werden muss. Jeder Hosting-Anbieter, ob in der EU oder außerhalb, muss jedoch sehr genaue Anforderungen erfüllen und sich an den von der DSGVO vorgegebenen Rahmen halten. Das Privacy Shield, ein Vertrag mit den USA, gewährleistet beispielsweise das sehr hohe Sicherheits- und Vertraulichkeitsniveau, das von der europäischen Verordnung gefordert wird.

Die Hauptverantwortlichen für die Einhaltung der Vorschriften

Die europäische Verordnung geht davon aus, dass alle Akteure, die an einer oder mehreren Datenverarbeitungen beteiligt sind, gemeinsam für den Datenschutz verantwortlich sind:

  • Der für die Verarbeitung Verantwortliche : Dies ist das Unternehmen, das die personenbezogenen Daten verwendet. Es ist verpflichtet, Prozesse einzuleiten und Dokumente zu erstellen, in denen sein Verhaltenskodex, seine interne Datenschutzpolitik und Zertifizierungen erläutert werden ;
  • Der Datenschutzbeauftragte: Er ist ein Fachmann, der mit den Gepflogenheiten und Sicherheitsmaßnahmen im Zusammenhang mit Informations- und Kommunikationstechnologien vertraut ist. Er ist einer der Garanten für den Datenschutz. Er ist in der Lage, das Unternehmen zu guten Praktiken anzuleiten, damit das Unternehmen die Verordnung einhält. Wir werden die Funktion des Datenschutzbeauftragten weiter unten näher erläutern ;
  • Die CNIL ist die Aufsichtsbehörde in Frankreich: Sie bescheinigt den Unternehmen die Einhaltung der Verordnung und sorgt dafür, dass die Verordnung über die Verarbeitung personenbezogener Daten eingehalten wird. Sie kann auf Antrag die dokumentarischen Nachweise anfordern, die die Unternehmen bereithalten müssen (weiter unten ausführlich beschrieben). Bei Nichteinhaltung drohen dem Unternehmen Sanktionen ;
  • Auftragsverarbeiter : In dem Moment, in dem sich ein Dienstleister, ein Lieferant, auf Wunsch des für die Verarbeitung verantwortlichen Unternehmens in den Datenverarbeitungsprozess einbringt, wird der Auftragsverarbeiter zum Verantwortlichen. Er muss daher ein genaues Pflichtenheft erfüllen, um ebenfalls die Sicherheit, Vertraulichkeit und Löschung der Daten zu gewährleisten, d. h. er muss der DSGVO entsprechen.

Ein Rechtsanwalt erklärt Ihnen die Konformität des Auftragsverarbeiters mit der DSGVO und 8 Pflichten, die es zu beachten gilt, in einem zusätzlichen Artikel.

Die Kriterien für eine rechtmäßige Datenverarbeitung

Artikel 8 der Richtlinie 2016/680 des Europäischen Parlaments und des Rates über die DSGVO legt zwei Punkte fest:

(1) Die Mitgliedstaaten sehen vor, dass die Verarbeitung nur rechtmäßig ist, wenn und soweit sie für die Wahrnehmung einer Aufgabe durch eine zuständige Behörde für die in Artikel 1 Absatz 1 genannten Zwecke erforderlich ist und auf dem Unionsrecht oder dem Recht eines Mitgliedstaats beruht ;

2. In einer Bestimmung des Rechts eines Mitgliedstaats, die die in den Anwendungsbereich dieser Richtlinie fallende Verarbeitung regelt, sind zumindest die Zwecke der Verarbeitung, die zu verarbeitenden personenbezogenen Daten und die Zwecke der Verarbeitung festgelegt.


Um diese Elemente des offiziellen Textes zu ergänzen, präzisiert Artikel 6 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, der von der CNIL auf ihrer Website erwähnt wird, die Rechtmäßigkeit der Verarbeitung:

Die Verarbeitung ist nur dann rechtmäßig, wenn und soweit mindestens eine der folgenden Bedingungen erfüllt ist:

a) Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt ;

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen ;

c) Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt ;

d) Die Verarbeitung ist für die Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ;

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde ;

f) die Verarbeitung ist für die Zwecke der berechtigten Interessen erforderlich, die von dem für die Verarbeitung Verantwortlichen oder einem Dritten verfolgt werden, sofern nicht die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt.


Unterabsatz 1 Buchstabe f gilt nicht für die Verarbeitung durch Behörden zur Erfüllung ihrer Aufgaben.


Zur Veranschaulichung von Buchstabe "d": Krankenhausinformationssysteme müssen Gesundheitsinformationen über einen Patienten sammeln, um ihn zu behandeln. Diese Datenverarbeitung ist daher rechtmäßig.

6 Schritte, um die Compliance seines Unternehmens herzustellen

Schritt 1: Ernennen Sie einen DPO, Ihren Datenschutzbeauftragten.

Als für die Datenverarbeitung verantwortliches Unternehmen sind Sie verpflichtet, einen Datenschutzbeauftragten zu ernennen, der auch DPO, Data Protection Officer, auf Englisch genannt wird.

Die Rolle des DSB besteht darin, Ihre Organisation zu begleiten, indem er die Governance der personenbezogenen Daten, die Ihrer Verantwortung unterstehen, steuert.

Dieser Datenschutzbeauftragte ist ein unparteiischer Referent, ein Dirigent, der alles daran setzt, Sie zu informieren, zu beraten und die Einhaltung der Vorschriften intern zu überwachen.

Er beaufsichtigt, indem er unabhängig arbeitet. Es ist möglich, diese Funktion zu internalisieren, wie in öffentlichen Einrichtungen, oder sie auszulagern :

  • bei einem spezialisierten Dienstleister wie einem Rechtsanwalt oder einem unabhängigen DSB,
  • der derzeitige CIL (Correspondant Informatique et Libertés) kann zum DSB werden und seinen Aufgabenbereich erweitern.

Die Aufgaben des DSB :

  • Information und Beratung aller beruflichen Interessengruppen: des für die Verarbeitung verantwortlichen Unternehmens, seiner internen Mitarbeiter, aber auch externer Personen wie Auftragsverarbeiter ;
  • Bewertung und Überprüfung der Einhaltung der Verpflichtungen aus der DSGVO ;
  • Empfehlungen zur Durchführung Ihrer Folgenabschätzung ;
  • Kontrolle der Durchführung dieser Studie ;
  • Zusammenarbeit mit der Aufsichtsbehörde: Der DSB ist der dedizierte Ansprechpartner.

Seine Pflichten:

  • Sich über alle rechtlichen Zwänge und Entwicklungen auf dem Laufenden halten,
  • untersuchen und beobachten, welche Daten wie verarbeitet werden,
  • eine Bestandsaufnahme bereitstellen,
  • die Führungskräfte für alle Auswirkungen der EU-Verordnung zu sensibilisieren,
  • Maßnahmen einführen, um die Verantwortlichen zu verpflichten,
  • die Umsetzung der Compliance zu steuern und im Laufe der Zeit nachzuverfolgen.

Ihre Kompetenzen:

  • Beherrschung der IT- und Freiheitsrechte,
  • Die Funktionsweise von Informations- und Kommunikationstechnologien verstehen,
  • wissen, wie man verhandelt,
  • eine kommunikative Ader,
  • Erfahrung im Projektmanagement.

Eine Zertifizierung seines Fachwissens ist im Hinblick auf die Rechenschaftspflicht ratsam: Es handelt sich um das Prinzip der Verantwortlichkeit, das von einem Unternehmen verlangt, dass es in der Lage ist, seine Konformität mit der DSGVO durch verschiedene Dokumente und eingesetzte Mittel zu beweisen.

Schritt 2: Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten und bewerten Sie die Auswirkungen der DSGVO.

Es ist eine Pflicht und ein gesetzlicher Nachweis: Ihr Register der Datenverarbeitung kann auf einfache Anfrage von der CNIL eingesehen werden.

Dieses Register beweist seinen Nutzen, denn es ermöglicht einem Unternehmen :

  • Die Verarbeitung personenbezogener Daten zu kartografieren,
  • einen klaren Überblick über die Datensicherheit zu erhalten,
  • eine vollständige und detaillierte Bilanz der Verfahren zu erstellen,
  • zu bestimmen, welche Maßnahmen ergriffen werden müssen, um den Schutz der Privatsphäre zu gewährleisten.

Das Register der Datenverarbeitungen ist ein Kompass: Es ermöglicht dem Unternehmen, die Auswirkungen der DSGVO auf seine Organisation abzuschätzen und die erforderlichen Maßnahmen zu ermitteln.

Die Aufsichtsbehörde muss über eine transparente Lesbarkeit Ihres Registers verfügen.

Ihr Register muss daher zwingend die folgenden Fragen beantworten:

  • Wer? Das Register benennt die Akteure, die in jeder Phase für die Datenverarbeitung verantwortlich sind, z. B. den für die Verarbeitung Verantwortlichen, interne Mitarbeiter oder externe Dienstleister wie Auftragsverarbeiter ;

  • Was? Sie müssen die Art der verwendeten personenbezogenen Daten angeben und sie kategorisieren (Familienstand, beruflicher Werdegang usw.): Dadurch können sensible Daten wie Gesundheitsinformationen und somit Risiken identifiziert werden ;

  • Zu welchem Zweck? Geben Sie die Zwecke an, beschreiben Sie die Ziele, zu welchen Zwecken Informationen verwendet werden: Umfrage, Einstellung, Überwachung, Erstellung von Kundenprofilen usw. ;

  • Wie? Ordnen Sie Ihre Datenverarbeitungen z. B. nach Zwecken und beschreiben Sie detailliert, welche Maßnahmen zur Sicherung der Daten ergriffen wurden;

  • Wo? Der Leser Ihres Registers muss in der Lage sein, die Herkunft und den Bestimmungsort der Daten, die Übermittlungen zu identifizieren. Das Land und die Adresse des Hosts müssen identifizierbar sein. Die Rückverfolgbarkeit, der Verlauf und die Ströme, die außerhalb der Europäischen Union fließen, müssen angegeben werden.

  • Bis wann müssen die Daten gespeichert werden? Legen Sie fest, wie lange jede Information aufbewahrt werden soll.

In einem zusätzlichen Artikel erklärt Ihnen ein DSGVO-Experte anhand eines Beispiels, wie Sie ein Register der Verarbeitungstätigkeiten führen.


Schritt 3: Bestimmen Sie die vorrangigen Maßnahmen, die Sie ergreifen müssen.

Ihr Verarbeitungsverzeichnis spiegelt Ihre Situation in Bezug auf die Grundprinzipien der DSGVO wider:

  • Einwilligung,
  • die Achtung der Privatsphäre,
  • das Recht auf Vergessenwerden (Deindexierung von Webseiten, auf denen ihre Daten erwähnt werden),
  • das Recht auf Übertragbarkeit (seine Informationen abrufen und sie an eine andere Organisation weitergeben).

Risiken sind gegeben, sobald die Rechte und Freiheiten von Personen in Frage gestellt werden.

Die Wachsamkeitspunkte :

  • Die Menge und Qualität der erhobenen und verarbeiteten Daten sind angemessen, notwendig und sicher im Hinblick auf den Zweck der Verarbeitung,
  • Die Rechtsgrundlage der Verarbeitung ist identifiziert (gesetzliche Verpflichtung, Einwilligung, Vertrag usw.),
  • die Informationshinweise und rechtlichen Hinweise erfüllen die Anforderungen der DSGVO,
  • Sie haben Ihre Auftragsverarbeiter informiert und diese zeigen, dass sie in der Lage sind, ein hohes Maß an Vertraulichkeit und Sicherheit zu gewährleisten,
  • Sie geben den Personen die Mittel an die Hand, um ihre Rechte auf Berichtigung von Informationen, Zugang, Löschung, Zustimmung und Übertragbarkeit auszuüben.

Je nach Ihren Versäumnissen müssen Sie alles tun, um die Vorschriften einzuhalten, aber auch in der Lage sein, zu beweisen, dass Sie sich auf den richtigen Weg begeben haben.

Schritt 4: Führen Sie eine Folgenabschätzung durch, um die Risiken zu bewältigen.

Sie haben ein Risiko festgestellt: Sie sind gesetzlich verpflichtet, für jede betroffene Verarbeitung eine Datenschutz-Folgenabschätzung durchzuführen.

Diese Folgenabschätzung, auch DPIA( Data Protection Impact Assessment ) genannt, besteht aus einer umfassenden Untersuchung, um :

  • Die Ursache eines Risikos zu ermitteln und das Potenzial für die Nichteinhaltung von Vorschriften abzuschätzen,
  • eine Datenverarbeitung so zu verbessern, dass sie die Rechte von Personen respektiert,
  • die notwendigen technischen und organisatorischen Voraussetzungen zu schaffen,
  • zu beweisen, dass ein Risiko beseitigt wurde.

Die Folgenabschätzung für eine risikobehaftete Verarbeitung ermöglicht es, die beste Lösung zu finden, um den Verlust von sensiblen oder nicht sensiblen Daten auszuschließen.

Ihr DPIA dient dazu, die Auswirkungen einer Verarbeitung auf die Privatsphäre zu bewerten. Diese Analyse muss die Verarbeitung und ihre Zwecke beschreiben, die Angemessenheit der Verarbeitung unter Berücksichtigung ihres Zwecks einschätzen, Risiken identifizieren und die Maßnahmen zur Behebung dieser Risiken im Einzelnen beschreiben.

Eine Folgenabschätzung ist ein hervorragendes Mittel, um die Konformität einer Verarbeitung zu überprüfen, und ermöglicht es, vor einem Risiko zu warnen, bevor die Daten offengelegt werden: Aus diesem Grund wird dringend empfohlen, eine Folgenabschätzung vor der Einrichtung der Verarbeitung durchzuführen.

Die Verarbeitung sensibler Daten ist ein Beispiel für eine Verarbeitung, die eine Analyse erfordert: politische oder religiöse Meinungen, alle gesundheitsbezogenen Informationen, Rassenzugehörigkeit, Informationen über Minderjährige etc.

Andere Risikoquellen:

  • schlechte Verfahren für die Datensicherung oder das Hosting von Daten,
  • veraltete oder defekte Computerhardware, die Anfälligkeit von Software,
  • Cyberangriffe, Malware,
  • fehlende Verschlüsselung von Daten.

Alle von der Verarbeitung betroffenen Akteure müssen an der Folgenabschätzung teilnehmen: der für die Verarbeitung Verantwortliche, der Verantwortliche für die Sicherheit der Informationssysteme, der Datenschutzbeauftragte, die Auftragsverarbeiter.

Wichtig: Die Personen, die Gegenstand einer Verarbeitung sind, können von großem Nutzen sein, indem sie ihre Meinung über ihre Erfahrungen mit der Verarbeitung äußern.

Schritt 5: Setzen Sie angemessene interne Verfahren ein.

Um den bestmöglichen Datenschutz zu gewährleisten und auf Dauer aufrechtzuerhalten, müssen Sie alle Ihre Ressourcen mobilisieren, Ihre Mitarbeiter sensibilisieren, bewährte Verfahren integrieren und schließlich umsetzen.


3 Prozesse garantieren die Einhaltung und bestimmen, ob Sie eine vollständige oder teilweise Neugestaltung Ihrer internen Organisation in Betracht ziehen sollten:

  • Ihre technologischen Möglichkeiten,
  • die Ausbildung Ihrer Mitarbeiter,
  • die Mittel, die es den Personen ermöglichen, ihre Rechte auszuüben.

Seine Technologien unter die Lupe nehmen :

  • Vorfälle in Betracht ziehen und ihre Reaktionsmöglichkeiten auf Risiken wie einen Wechsel des Hosting-Anbieters, eine Sicherheitslücke, einen Antrag auf Richtigstellung usw. einschätzen ;
  • einen Privacy-by-Design-Ansatz (Datenschutz durch Design oder Privacy by Design) verfolgen. Dabei geht es darum, bereits bei der Konzeption einer Technologie zur Datenverarbeitung ein hohes Maß an Sicherheit und Datenschutz zu integrieren und zu gewährleisten;
  • eine ständige technologische und rechtliche Überwachung durchführen.

Ihre Teams schulen:

  • Compliance beginnt mit der Bewusstseinsbildung. Jeder Mitarbeiter muss durch einen Schulungsplan informiert und sensibilisiert werden;
  • Eine reibungslose und kommunikationsfördernde Organisation ist erforderlich, um wichtige Informationen in Echtzeit weiterzuleiten;
  • eine Charta bewährter Praktiken, in der Sanktionen, angemessenes Verhalten und nützliche Ratschläge spezifiziert werden, ermöglicht es, die Mitarbeiter besser anzuleiten und ihnen Verantwortung zu übertragen.

Den Dateneigentümern die Mittel an die Hand geben, um über ihre Rechte zu verfügen:

  • Jede Person muss auf ihre Informationen zugreifen und sie berichtigen können, sich ihrer Verwendung widersetzen können, das Recht auf Übertragbarkeit in Anspruch nehmen können (...); Sie müssen in der Lage sein, alle diese Anfragen zu bearbeiten;
  • jede Person kann ihre Rechte insbesondere per Internet-Mail ausüben, indem sie die Modalitäten und den Ansprechpartner klar identifiziert ;
  • im Falle einer Datenverletzung muss der Eigentümer so schnell wie möglich, die Aufsichtsbehörde (CNIL) innerhalb von 72 Stunden benachrichtigt werden.

Schritt 6: Nachweis der Einhaltung durch Dokumentation erbringen

Der für die Verarbeitung Verantwortliche muss die Einhaltung der DSGVO nachweisen, indem er einen dokumentarischen Nachweis über alle eingerichteten Verfahren erbringt.

Dies ist das Prinzip der Accountability: Verantwortung auf Französisch. Es geht darum, das Unternehmen in die Verantwortung zu nehmen und es dazu zu bewegen, sich zur Einhaltung des gesetzlichen Rahmens zu verpflichten, der durch die Allgemeine Verordnung zum Schutz personenbezogener Daten vorgegeben ist.

Die unten stehende Tabelle enthält eine lange Liste von Dokumenten, die erstellt und aufbewahrt werden müssen.

Die Dokumentation, die den Nachweis der Einhaltung der DSGVO belegt.
Art der Dokumente Besonderheit Ziele
Die Verarbeitung personenbezogener Daten

Register der Verarbeitungen

 Erstellen Sie eine Bestandsaufnahme.
Erfassen Sie die zu ergreifenden Maßnahmen.

Folgenabschätzungen (DPIA).

 Bewerten Sie die Auswirkungen jeder Verarbeitung auf die Privatsphäre.
Finden Sie Lösungen, um den Schutz und die Vertraulichkeit der Daten zu gewährleisten.

Datenübermittlung außerhalb der Europäischen Union.

 Den DSGVO-Standard durch Vertragsklauseln und den Verhaltenskodex des Unternehmens einrahmen und sicherstellen.
Informationen über den europäischen Bürger. Informationsvermerke Nachweis, dass der Dateneigentümer transparent über die Informationen verfügt.
Vorlagen für die Sammlung von Einwilligungen. Nachweis, dass die Einwilligung der Personen in seinen Verfahren beachtet wird.
Verfahren zur Ausübung der Rechte der Person. Beweisen Sie, dass der Dateneigentümer über die Mittel zur Durchsetzung seiner Rechte auf Privatsphäre verfügt.
Verträge, die die Verantwortung und die Rolle jedes an einer Verarbeitung beteiligten Akteurs regeln. Verträge mit Auftragsverarbeitern Nachweis der Fähigkeiten von Auftragsverarbeitern und ihrer Verpflichtung zur Mitverantwortung. Aktualisierung der Lieferantenverträge.
Interne Verfahren im Falle von Datenverletzungen. Nachweis der Fähigkeit und Geschwindigkeit, die betroffene Person und die Aufsichtsbehörde innerhalb von 72 Stunden zu benachrichtigen.
Nachweis der Zustimmung der Personen. Erbringen Sie den Nachweis, dass alle Prozesse eingehalten wurden.



DSGVO und Marketing: Ein Experte erklärt Ihnen, warum die Zustimmung eine Chance ist, eine qualitativ hochwertigere Kundenbeziehung aufzubauen und Daten aufzuwerten.

Lösungen und Technologien für die Einhaltung der Vorschriften.

Ihr DSGVO-Audit

Um Ihren digitalen Übergang erfolgreich zu gestalten, finden Sie hier vier Arten von "freundlichen" DSGVO-Audits, die einige Anbieter wie ein ausgelagerter DSB bereits auf dem Markt anbieten :

  • Das CNIL-Audit: Experten kartografieren Ihre Datenverarbeitung, vergleichen sie mit den Anforderungen der CNIL und erstellen einen Aktionsplan zur Einhaltung der Vorschriften;

  • Compliance-Audit: Dieses Audit stellt die CNIL-Anforderungen zusammen und empfiehlt außerdem Maßnahmen und Begriffe für die Sicherheit des IT-Systems, die auf Tests basieren;

  • Prüfung eines Unterauftragnehmers: Ein Fachmann untersucht den Ruf eines Unterauftragnehmers bei seinen Kunden, stellt sicher, dass er die Vorschriften einhält, bewertet die Risiken der Datenübertragung und erstellt einen Bericht mit Empfehlungen;

  • Prüfung Ihrer Website: Bei dieser Prüfung werden anfällige Aspekte aufgedeckt, z. B. müssen die Allgemeinen Geschäftsbedingungen und Formulare aktualisiert werden, und es wird geprüft, ob die Marketinginstrumente den Anforderungen entsprechen.

Jeder DSB, der diesen Namen verdient, wird Ihre Anfragen nach Dokumentationen antizipieren.

Tipps: Da Sie Ihre Einhaltung der Vorschriften und die eingesetzten Mittel nachweisen müssen, sollten Sie erwägen, Verpflichtungsklauseln über die eingesetzten Mittel sowie eine Dokumentation zu verlangen (die Sie der Aufsichtsbehörde nach jedem Audit vorlegen können müssen).

Gut zu wissen: Nach Meinung eines Experten hängt der Erfolg eines DSGVO-Audits von dem Verhaltenskodex ab, den das Unternehmen angenommen hat.

Bewährte Verfahren: Sicherheitstechniken

Angesichts der Bedrohung durch Datenlecks oder -verluste können der IT-Sicherheitsbeauftragte oder der DSB dem für die Datenverarbeitung verantwortlichen Unternehmen Licht ins Dunkel bringen.

Gemäß der Europäischen Datenschutzverordnung müssen sensible Daten durch Verschlüsselung, Pseudonymisierung oder Anonymisierung behandelt werden.

Wir haben einige technische Lösungen notiert, die Ihnen helfen sollen, über Ihren Aktionsplan zur Erreichung eines Sicherheitsniveaus nachzudenken, das die Anforderungen der DSGVO erfüllt:

  • Sie können ein Verfahren zur automatischen Erkennung personenbezogener Daten in Ihrem Informationssystem einrichten und die Daten sofort durch Verschlüsselung, Anonymisierung, Pseudonymisierung verschlüsseln ;

  • Die Verordnung schreibt die Rückverfolgbarkeit von Daten vor: Sie müssen unbedingt eine permanente Historie der mit den Identitäten verbundenen Anwendungen vorsehen, um den Zugriff besser zu kontrollieren oder beispielsweise E-Mail-Adressen zu schützen ;

  • Der IT-Prozess PAM (Pluggable Authentification Modules) ermöglicht eine sichere Zugriffsverwaltung, da er vom Prozess der Software, die eine Authentifizierung verlangt, getrennt ist;

  • Um den Verlust sensibler Daten zu verhindern und einzuschränken, eignen sich DLP-Techniken (Data Loss Prevention), die die Möglichkeit bieten, alle Daten zu erkennen, zu kontrollieren und zu schützen, indem sie diese analysieren;

  • Das Prinzip des SIEM (security information and event management) anwenden, um Ereignisse im Zusammenhang mit Informationen sicher zu verwalten (sammeln, normalisieren, korrelieren usw.).

Das Ende der CNIL-Labels und Zertifizierungen

Am 23. Februar 2018 kündigte die CNIL das Ende der CNIL-Labels und die schrittweise Einführung von Zertifizierungen und Referenzsystemen an:

Die CNIL führt ein neues Compliance-Instrument, die Zertifizierung, ein und stellt ihre Labeling-Tätigkeit schrittweise ein. (...)

Die Zertifizierungen werden von Zertifizierungsorganismen ausgestellt, die von der CNIL zugelassen oder von der nationalen Akkreditierungsstelle (COFRAC) akkreditiert sind. (...)

So wird derzeit eine Zertifizierung von Datenschutzbeauftragten entwickelt: Von der CNIL zugelassene Zertifizierungsstellen werden auf der Grundlage eines von der CNIL verfassten Bezugssystems Zertifizierungen für Datenschutzbeauftragte ausstellen.


Fachleute und Unternehmen, die mit den folgenden Standards vertraut sind - oder die bereits einen Prozess eingeleitet haben , der ihre Herangehensweise an den Schutz personenbezogener Daten professionalisiert - bieten daher klare Vorteile für Datenverantwortliche, die Hilfe bei der Einhaltung der DSGVO benötigen:

  • Anwälte , die Experten in den Bereichen Informationssicherheit und Datenschutzrecht sind ;

  • Die AFAQ-Zertifizierung Schutz personenbezogener Daten der AFNOR , mit der die Mittel nachgewiesen werden können, die zur Einhaltung der DSGVO auf technischer und organisatorischer Ebene eingesetzt wurden ;

  • Die Inhaber des CNIL-Labels Governance Informatique et Libertés belegen einen hervorragenden Ansatz für den Umgang mit personenbezogenen Daten ;

  • Die AFNOR-Zertifizierung ISO/IEC 27001 beweist Ihre Kompetenz bei der Identifizierung sensibler Daten und Ihre Durchsetzungskraft bei der Suche nach sicheren Lösungen.

Datenschutzspezialisten, Fachleute oder Unternehmen, die anspruchsvolle Zertifizierungen oder Labels im Bereich der digitalen Sicherheit und des digitalen Vertrauens erhalten haben, zeugen ebenfalls von einem bereits eingeleiteten "freundlichen" GRPD-Ansatz:

  • Vertrauensanbieter, die nach AINSSI zertifiziert sind und auf der Liste der von der französischen Nationalagentur für die Sicherheit von Informationssystemen anerkannten Anbieter stehen ;

  • Vertrauensdiensteanbieter, die ein eIDAS-Konformitätszertifikat erhalten haben ;

  • Das Label France Cybersecurity stellt eine Garantie in Bezug auf das digitale Vertrauen dar, mit einer besonderen Anforderung an die Qualität der Funktionen für die Nutzer ;

  • Unternehmen, die das von der Konformitätsbewertungsstelle LSTI ausgestellte Sicherheitslabel erhalten haben, das die Einhaltung französischer, europäischer und internationaler Sicherheitsstandards belegt ;

  • Organisationen, die nach Cloud Confidence zertifiziert sind, der Referenz für Datenschutztransparenz ;

  • Hosting-Anbieter, die den zertifizierten Standard ISO 27001:2013 (internationale Referenz) erhalten haben, der die Integrität, Vertraulichkeit und Rückverfolgbarkeit von Daten garantiert ;

  • Unternehmen, die das TRUSTe-Zertifikat vorweisen können, bieten eine Garantie für die Vertraulichkeit von Daten im Internet.

Hinweis: Alle genannten Zertifizierungen können sich ändern, und einige werden sicherlich ihren Namen ändern, um von der CNIL offiziell anerkannt zu werden und den Rahmen der DSGVO genau einzuhalten.

Software zur Einhaltung der DSGVO

Compliance Booster: eine komplette Plattform, die mit oder ohne DSB geliefert wird.

Die Online-Software (SaaS) Compliance Booster erfüllt alle Anforderungen der EU-Verordnung.

Sie vereint alle notwendigen Werkzeuge und Ressourcen innerhalb einer Plattform, um DSGVO-konform zu werden:

  • eine computergestützte Dokumentation, um Ihre eingeleiteten Prozesse zu belegen,
  • Führung eines Verzeichnisses der Verarbeitungsvorgänge und Daten,
  • eine integrierte Rechtsabteilung,
  • die Dienste eines Datenschutzbeauftragten (DPO),
  • die Bereitstellung des Nachweises der Einwilligung wird innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde in jedem europäischen Land weitergeleitet (vorgeschriebene Frist insbesondere in Frankreich),
  • ein Hosting der Daten in Frankreich,
  • eine Absicherung des finanziellen Risikos von bis zu 90 Mio. € im Falle eines Fehlers von Compliance Booster.

Entdecken Sie die Plattform zur Einhaltung der DSGVO im Video :


Compliance Booster bietet auch die Möglichkeit, sein DSGVO-Audit wie seine Folgenabschätzung durchzuführen : Risikobewertung, Erfassung von Verarbeitungen und Daten, einschließlich sensibler Daten, um die einzuführenden Lösungen besser antizipieren zu können und Datenverluste oder -lecks zu vermeiden.

Die Lösung Compliance Booster deckt das gesamte Spektrum der Einhaltung der DSGVO ab und ermöglicht es, seinen Datenschutzbeauftragten auszulagern und sich dabei auf die Dienste spezialisierter Anwälte zu stützen.

Haben Sie Ihren DSB schon gefunden? Die Plattform ist perfekt auf den datenschutzkompetenten Nutzer zugeschnitten!

Übrigens wurde die Konzeption von Compliance Booster im Vorfeld von Datenschutzbeauftragten für Unternehmen durchdacht : Die Gründer können auf 30 Jahre Praxis in den Bereichen Datenschutz, Informationssicherheit und Einhaltung der Datenschutzgesetze verweisen.

Axeptio: Das Opt-in, das das Marketing DSGVO-konform macht

  • die Daten der Nutzer werden anonym, sicher und zertifiziert gespeichert,
  • behalten Sie den Nachweis der Einwilligung mit zeitlicher Nachvollziehbarkeit,
  • die Lösung liefert die gesamte Dokumentation über die Schutzmaßnahmen und -verfahren,
  • die Daten werden in Frankreich gehostet.

Die Lösung bietet insbesondere ein System zur Verschlüsselung von Daten und Einwilligungen, das die Daten der Nutzer schützt :

Nur der für die Verarbeitung Verantwortliche besitzt den Schlüssel, um zu wissen, welcher Nutzer zu einer Einwilligung passt.

Vorteile für alle, die sich mit Marketing beschäftigen :

  • eine DSGVO-konforme Opt-in-Lösung, mit der sie Informationen von ihren potenziellen Kunden sammeln können,
  • die Lösung kommuniziert mit Ihrem CRM, ERP und Ihrer Marketingautomatisierungssoftware,
  • Axeptio gibt es als Plugin, das mit CMS und E-Commerce-Plattformen wie PrestaShop, WordPress, Drupal, Magento, Shopify kompatibel ist.

Captain DPO: Eine kollaborative Plattform für den DSB.

Die kollaborative Arbeit wird in Captain DPO großgeschrieben: Der Datenschutzbeauftragte (DSB) kann alle vom Datenschutz betroffenen Interessengruppen mobilisieren.

Captain DPO ist ein kollaboratives Tool, das es dem Datenschutzbeauftragten ermöglicht, ein reibungsloses Projektmanagement einzurichten.

Captain DPO bietet eine Palette an kollaborativen Funktionen, die für den Garanten der Einhaltung von Vorschriften wertvoll sind.

Alle Akteure, die Verantwortung übernehmen, arbeiten zusammen: der Sicherheitsbeauftragte für Informationssysteme, Auftragnehmer, der für die Verarbeitung Verantwortliche etc.

Der DSB kann Beweise sammeln und in der Lösung seine Anweisungen erteilen.

Entdecken Sie Captain DPO in einem Video :


In die Software integrierte Tools :

  • DSGVO-Audit und Folgenabschätzung,
  • Kartierung von Anwendungen, die mit Daten verbunden sind,
  • Register der Verarbeitungen und Daten,
  • Dokumentenmanagement,
  • umfassende Verwaltung von Benutzerrechten,
  • Benachrichtigungen und Warnungen in Echtzeit,
  • verpflichtende Dokumentation inbegriffen,
  • Versicherung, die Datenverluste abdeckt,
  • Hosting der Daten in Frankreich.

Die Strafen, wenn Sie die GDPR nicht einhalten.

Die gesetzlichen Bußgeldbestimmungen haben weitreichende Konsequenzen für jede Organisation, die die GDPR nicht einhält.

Denn jede Datenerhebung - und auch jede Nutzung, Verarbeitung etc. - die nicht den Regeln der Datenschutz-Grundverordnung entspricht, zieht eine Strafe nach sich.

Jede Einrichtung, die die GRPD nicht einhält, kann mit einer Geldstrafe belegt werden, die bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen kann.

Im Falle eines Verstoßes gegen die EU-Verordnung in Bezug auf seine Daten kann jeder Bürger seine Rechte geltend machen und eine Entschädigung für den oder die erlittenen Schäden verlangen. Wenn ein Verstoß gegen die DSGVO nachgewiesen wird, kann der Schadensersatz schwerwiegende Folgen haben: Neben einer "gesalzenen" Geldstrafe ist es ein schlechtes Image, das den Ruf der betreffenden Einrichtung schädigen wird.

In einem Kontext, in dem das für die Datenverarbeitung verantwortliche Unternehmen alle Beweise wie das Verarbeitungsverzeichnis, die Folgenabschätzung, den Nachweis der Einwilligungen (...) vorlegen können muss, bietet eine Lösung zur Einhaltung der DSGVO sowohl dem Unternehmen als auch dem Datenschutzbeauftragten eine wertvolle Unterstützung.

Artikel übersetzt aus dem Französischen