Datenschutz mit Fördermitteln

Das Bundesamt für Wirtschaft und Ausfuhrkontrolle hat für kleine und mittlere Unternehmen ein Programm zur Förderung der Unternehmensberatung eingerichtet. Dieses Programm verwende ich ausschließlich für Beratungen im Datenschutz. Innerhalb der Geltungsdauer der Förderrichtlinie (bis 31. Dezember 2026) kann jedes förderberechtigte Unternehmen maximal fünf in sich abgeschlossene Beratungen gefördert bekommen, jedoch nicht mehr als zwei pro Jahr. Ausschlaggebend ist hierbei der Zeitpunkt der Antragstellung.

Sie können Ihre Anträge auf Gewährung eines Zuschusses zu den Kosten einer geplanten Unternehmensberatung nur online über die Antragsplattform des BAFA stellen (siehe Reiter „Formulare“). Dort geben Sie lediglich Ihre Firmendaten ein und schicken den Antrag online ab. Weitere Unterlagen benötigen Sie nicht. Die eingeschaltete und von Ihnen gewählte Leitstelle sowie das BAFA prüfen vorab die formalen Fördervoraussetzungen sowie das Vorliegen der notwendigen Beratereigenschaft im Sinne der Förderrichtlinie Ihres gewählten Beratungsunternehmens und informieren Sie über das Ergebnis, die Bedingungen für eine Förderung sowie die Vorlagefrist für das Einreichen Ihres Verwendungsnachweises. Erst nach Erhalt dieses unverbindlichen Informationsschreibens dürfen Sie mit der Beratung beginnen. Bitte beachten Sie, dass als Beginn der Beratung bereits der Abschluss eines Vertrages über die zu erbringende Beratung gilt.

Ich helfe Ihnen - senden Sie mir einfach eine E-Mail!

Bereits während meiner Zeit als Unternehmensberater zur marktorientierten Unternehmensberatung habe ich neben anderen Fördermitteln meinen Kunden auch recht häufig das BAFA-Programm angeboten. Seit dem Sommer 2017 bin ich nun im Datenschutz tätig und habe das Programm vernachlässigt. 

Das soll sich nun ändern. Ich habe meinen BAFA-Account wieder aktiviert und alle erforderlichen Daten aktualisiert. Beispiele meiner Arbeit als Management Consultant sind auch hier schon zu finden und die Nachweise meiner Fortbildung im Datenschutz sind auszugsweise hier. Dazu habe ich eine ganze Reihe von Büchern rezensiert, wie man hier lesen kann. Ich weiß also, wovon ich rede.

Datenschutz ist Chefsache, also beginne ich ganz oben mit einer Bestandsaufnahme im Betrieb:

  1. Verarbeitung von Kundendaten, Beschäftigtendaten, Daten von Kindern, Daten für Auftragsverarbeiter
  2. Informationen
    1. zur Rechenschaftspflicht über die Einhaltung der Grundsätze der Datenverarbeitung (Art. 5 Absatz 2 DSGVO)?
    2. zu den Informationspflichten gegenüber den Betroffenen, deren Daten Sie verarbeiten (Art. 12 - 14 DSGVO)?
    3. zu den Rechten der Betroffenen auf Datenübertragbarkeit (Art. 20 DSGVO)?
    4. zur technischen und organisatorischen Sicherheit der Datenverarbeitung Art. 32 DSGVO?
    5. zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO)?
    6. zur Meldung von Datenschutzverstößen (Art. 33 DSGVO)
  3. Zulässigkeit der Verarbeitung
    1. Haben Sie für alle Verarbeitungen (s.o. Nr. 2) eine Rechtsgrundlage nach der neuen Rechtslage (Art. 6 bis 11 DSGVO sowie § 26 BDSG neu)?
    2. Haben Sie dies dokumentiert?
    3. Haben Sie Ihre Muster für Einwilligungserklärungen für Kunden, Interessenten usw. an die Anforderungen von Art. 7 und 13 DSGVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?
  4. Einhaltung der Betroffenenrechte
    1. Recht auf Auskunft
    2. Recht auf Berichtigung
    3. Recht auf fristgemäße Löschung der verarbeiteten Daten
    4. Recht auf Einschränkung der Verarbeitung
    5. Recht auf Datenübertragbarkeit
  5. Sicherheit der Verarbeitung
    1. Setzen Sie oder Ihre Dienstleister technische und organisatorische Maßnahmen ein, die ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO)? Haben Sie Ihre diesbezügliche Schutzbedarfsklassifizierung dokumentiert?
    2. Setzen Sie Pseudonymisierungs- oder Verschlüsselungsverfahren ein? In welchen Fällen?
    3. Haben Sie für die von Ihnen eingesetzten IT-Anwendungen jeweils ein dokumentiertes Rollen- und Berechtigungskonzept?
    4. Wie stellen Sie sicher, dass bei der Beschaffung von IT, Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Art. 25 DSGVO)

Bereits die Bestandsaufnahme kann vollständig gefördert werden. Auch der darauf resultierende Maßnahmenkatalog kann noch im geförderten Teil sein. Danach sollte eine Rangfolge der Arbeiten erstellt werden, nach der wir gemeinsam vorgehen. Außerdem haben Sie das Recht auf eine zweite geförderte Beratung, wenn Sie die noch nicht ausgeschöpft haben.

Als Datenschutzberater darf ich übrigens keine Beratung zum Datenschutzrecht anbieten. Diese Tätigkeit darf gemäß Rechtsdienstleistungsgesetz nur eine Anwältin oder ein Anwalt ausüben oder ich doch, wenn ich als Datenschutzbeauftragter benannt worden bin.