VERORDNUNG (EU) 2016/679
Die Verordnung, operativ umgesetzt
DSGVO-Teams müssen wissen, welche personenbezogenen Daten sie verarbeiten, auf welcher Rechtsgrundlage, wo die Daten liegen und ob Betroffenenrechte und Datenpannen fristgerecht bearbeitet werden. Rizzqo übersetzt jede Pflicht in konkrete Aufgaben mit klarer Verantwortung – verankert in den Systemen, die personenbezogene Daten tatsächlich verarbeiten.
ARTIKEL 6
Jede Verarbeitungstätigkeit braucht eine Rechtsgrundlage
Ohne eine der sechs Grundlagen aus Artikel 6 ist keine Verarbeitung personenbezogener Daten rechtmäßig. Rizzqo hält für jede Verarbeitungstätigkeit eine Rechtsgrundlage samt Begründung fest – so bleibt die Rechtmäßigkeit nie eine offene Frage.
Einwilligung
Die betroffene Person hat klar und freiwillig für einen bestimmten Zweck eingewilligt.
Vertrag
Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich.
Rechtliche Verpflichtung
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der Sie unterliegen.
Lebenswichtige Interessen
Die Verarbeitung schützt lebenswichtige Interessen der betroffenen Person oder einer anderen Person.
Öffentliche Aufgabe
Die Verarbeitung erfolgt im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.
Berechtigte Interessen
Die Verarbeitung dient einem berechtigten Interesse, abgewogen gegen die Rechte der betroffenen Person.
ARTIKEL 15–22
Betroffenenrechte, jederzeit erfüllbar
Macht jemand ein Betroffenenrecht geltend, bleibt Ihnen ein Monat für die Antwort. Jedes Recht führt auf dieselbe Frage zurück: In welchen unserer Systeme liegen die Daten dieser Person? Rizzqo hält diese Zuordnung aktuell – so wird aus jeder Anfrage ein geordneter Workflow statt einer hektischen Suchaktion.
Auskunft
Auskunft geben, welche Daten Sie verarbeiten, und eine Kopie bereitstellen.
Berichtigung
Unrichtige oder unvollständige Daten korrigieren.
Löschung
Daten löschen, wenn kein überwiegender Aufbewahrungsgrund besteht.
Einschränkung
Verarbeitung aussetzen, solange eine Beanstandung geprüft wird.
Datenübertragbarkeit
Daten in einem strukturierten, maschinenlesbaren Format exportieren.
Widerspruch
Verarbeitung für Direktwerbung oder auf Basis berechtigter Interessen beenden.
Automatisierte Entscheidungen
Menschliche Prüfung rein automatisierter Entscheidungen mit erheblicher Wirkung.
Einwilligung widerrufen
Einwilligung so einfach widerrufen, wie sie erteilt wurde.
SO SETZT RIZZQO DIE DSGVO UM
Was Rizzqo DSGVO-Teams bietet
Rizzqo führt Ihr Datenschutzprogramm auf demselben System-Inventar, auf dem auch Ihr Sicherheitsprogramm aufbaut. Verzeichnis, Rechtsgrundlagen und Rechte-Mapping bleiben dort verankert, wo personenbezogene Daten tatsächlich liegen – statt in einer Tabelle nebenher.
Verarbeitungsverzeichnis, das automatisch aktuell bleibt
Artikel 30 verlangt ein Verzeichnis aller Verarbeitungstätigkeiten – Zweck, verarbeitete Daten, Speicherfristen und Empfänger. Rizzqo hält Ihres aktuell, direkt aus den Systemen, die Sie ohnehin betreiben – genau in dem Moment vorlegbar, in dem Sie es brauchen.
- Immer aktuell, nie ein Jahr veraltet
- Aus echten Systemen erstellt, nicht aus einer statischen Datei
- Drittlandübermittlungen erfasst, nicht vergessen
Betroffenenanfragen beantworten, ohne zu raten
Eine Betroffenenanfrage sollte nicht heißen, jedes Team einzeln zu fragen, wer was gespeichert hat. Rizzqo liefert ein präzises Bild davon, wo die Daten dieser Person liegen – damit Sie sicher antworten, innerhalb des Monats, den Sie haben.
- Genau die betroffenen Systeme benennen, nicht raten
- Innerhalb der Monatsfrist antworten
- Mit vollem Kontext an das zuständige Team übergeben
Nachweise, die vor der Aufsichtsbehörde bestehen
Rechenschaftspflicht heißt, Compliance nachweisen zu können – nicht nur zu behaupten. Fragt eine Aufsichtsbehörde, ob eine Verarbeitungstätigkeit zu einem bestimmten Datum rechtmäßig war, liegt die Antwort bereits dokumentiert vor – statt dass Sie sie im Nachhinein mühsam rekonstruieren.
- Nachweise mit echten Systemen verknüpft, nicht im Aktenordner
- Ein datierter Nachweis, was wann galt
- DSFAs bleiben Teil desselben Gesamtbilds
ARTIKEL 32
Sicherheit der Verarbeitung ist eine Datenschutzpflicht
Artikel 32 verlangt geeignete technische und organisatorische Maßnahmen: Verschlüsselung, Belastbarkeit, Zugriffskontrolle und regelmäßige Tests. Das sind dieselben Kontrollen, die Ihr Informationssicherheitsprogramm bereits betreibt. Rizzqo führt Datenschutz und Sicherheit auf einer gemeinsamen Nachweisbasis zusammen – eine einmal nachgewiesene Kontrolle zählt für beide.
Mehr zur Informationssicherheit mit ISO 27001- Verschlüsselung und Pseudonymisierung personenbezogener Daten
- Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
- Regelmäßige Überprüfung und Bewertung der Maßnahmen
- Verknüpft mit den Kontrollen aus ISO 27001 und 27002, die Sie bereits betreiben
ARTIKEL 33
Bereit für die 72-Stunden-Frist
Eine Datenpanne setzt eine Meldefrist von 72 Stunden in Gang. Ob Sie kontrolliert reagieren oder ein Bußgeld riskieren, hängt davon ab, ob Sie sofort wissen, welche Systeme und welche Daten betroffen sind.
Erkennen & eingrenzen
Betroffene Systeme und die darin verarbeiteten personenbezogenen Daten im stets aktuellen Inventar identifizieren.
Risiko beurteilen
Voraussichtliche Folgen für die betroffenen Personen einschätzen und entscheiden, ob die Meldeschwelle erreicht ist.
Meldung an die Aufsichtsbehörde
Art, Umfang und Behebung an die Behörde melden – die Dokumentation liegt bereits vor.
Betroffene Personen benachrichtigen
Bei hohem Risiko auch die betroffenen Personen selbst informieren (Artikel 34) – lückenlos dokumentiert, wer wann benachrichtigt wurde.
Machen Sie die DSGVO nachweisbar
Verbinden Sie jede Pflicht mit den Systemen, die personenbezogene Daten verarbeiten – und das nächste Audit oder die nächste Betroffenenanfrage wird zum Export auf Knopfdruck.