VERORDNUNG (EU) 2016/679

Die Verordnung, operativ umgesetzt

DSGVO-Teams müssen wissen, welche personenbezogenen Daten sie verarbeiten, auf welcher Rechtsgrundlage, wo die Daten liegen und ob Betroffenenrechte und Datenpannen fristgerecht bearbeitet werden. Rizzqo übersetzt jede Pflicht in konkrete Aufgaben mit klarer Verantwortung – verankert in den Systemen, die personenbezogene Daten tatsächlich verarbeiten.

ARTIKEL 6

Jede Verarbeitungstätigkeit braucht eine Rechtsgrundlage

Ohne eine der sechs Grundlagen aus Artikel 6 ist keine Verarbeitung personenbezogener Daten rechtmäßig. Rizzqo hält für jede Verarbeitungstätigkeit eine Rechtsgrundlage samt Begründung fest – so bleibt die Rechtmäßigkeit nie eine offene Frage.

01
Art. 6(1)(a)

Einwilligung

Die betroffene Person hat klar und freiwillig für einen bestimmten Zweck eingewilligt.

02
Art. 6(1)(b)

Vertrag

Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich.

03
Art. 6(1)(c)

Rechtliche Verpflichtung

Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der Sie unterliegen.

04
Art. 6(1)(d)

Lebenswichtige Interessen

Die Verarbeitung schützt lebenswichtige Interessen der betroffenen Person oder einer anderen Person.

05
Art. 6(1)(e)

Öffentliche Aufgabe

Die Verarbeitung erfolgt im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.

06
Art. 6(1)(f)

Berechtigte Interessen

Die Verarbeitung dient einem berechtigten Interesse, abgewogen gegen die Rechte der betroffenen Person.

ARTIKEL 15–22

Betroffenenrechte, jederzeit erfüllbar

Macht jemand ein Betroffenenrecht geltend, bleibt Ihnen ein Monat für die Antwort. Jedes Recht führt auf dieselbe Frage zurück: In welchen unserer Systeme liegen die Daten dieser Person? Rizzqo hält diese Zuordnung aktuell – so wird aus jeder Anfrage ein geordneter Workflow statt einer hektischen Suchaktion.

Art. 15

Auskunft

Auskunft geben, welche Daten Sie verarbeiten, und eine Kopie bereitstellen.

Art. 16

Berichtigung

Unrichtige oder unvollständige Daten korrigieren.

Art. 17

Löschung

Daten löschen, wenn kein überwiegender Aufbewahrungsgrund besteht.

Art. 18

Einschränkung

Verarbeitung aussetzen, solange eine Beanstandung geprüft wird.

Art. 20

Datenübertragbarkeit

Daten in einem strukturierten, maschinenlesbaren Format exportieren.

Art. 21

Widerspruch

Verarbeitung für Direktwerbung oder auf Basis berechtigter Interessen beenden.

Art. 22

Automatisierte Entscheidungen

Menschliche Prüfung rein automatisierter Entscheidungen mit erheblicher Wirkung.

Art. 7

Einwilligung widerrufen

Einwilligung so einfach widerrufen, wie sie erteilt wurde.

Antwort innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

SO SETZT RIZZQO DIE DSGVO UM

Was Rizzqo DSGVO-Teams bietet

Rizzqo führt Ihr Datenschutzprogramm auf demselben System-Inventar, auf dem auch Ihr Sicherheitsprogramm aufbaut. Verzeichnis, Rechtsgrundlagen und Rechte-Mapping bleiben dort verankert, wo personenbezogene Daten tatsächlich liegen – statt in einer Tabelle nebenher.

ARTIKEL 30 · VVT

Verarbeitungsverzeichnis, das automatisch aktuell bleibt

Artikel 30 verlangt ein Verzeichnis aller Verarbeitungstätigkeiten – Zweck, verarbeitete Daten, Speicherfristen und Empfänger. Rizzqo hält Ihres aktuell, direkt aus den Systemen, die Sie ohnehin betreiben – genau in dem Moment vorlegbar, in dem Sie es brauchen.

  • Immer aktuell, nie ein Jahr veraltet
  • Aus echten Systemen erstellt, nicht aus einer statischen Datei
  • Drittlandübermittlungen erfasst, nicht vergessen
ARTIKEL 15–20 · BETROFFENENANFRAGEN

Betroffenenanfragen beantworten, ohne zu raten

Eine Betroffenenanfrage sollte nicht heißen, jedes Team einzeln zu fragen, wer was gespeichert hat. Rizzqo liefert ein präzises Bild davon, wo die Daten dieser Person liegen – damit Sie sicher antworten, innerhalb des Monats, den Sie haben.

  • Genau die betroffenen Systeme benennen, nicht raten
  • Innerhalb der Monatsfrist antworten
  • Mit vollem Kontext an das zuständige Team übergeben
ARTIKEL 5 ABS. 2 · RECHENSCHAFTSPFLICHT

Nachweise, die vor der Aufsichtsbehörde bestehen

Rechenschaftspflicht heißt, Compliance nachweisen zu können – nicht nur zu behaupten. Fragt eine Aufsichtsbehörde, ob eine Verarbeitungstätigkeit zu einem bestimmten Datum rechtmäßig war, liegt die Antwort bereits dokumentiert vor – statt dass Sie sie im Nachhinein mühsam rekonstruieren.

  • Nachweise mit echten Systemen verknüpft, nicht im Aktenordner
  • Ein datierter Nachweis, was wann galt
  • DSFAs bleiben Teil desselben Gesamtbilds

ARTIKEL 32

Sicherheit der Verarbeitung ist eine Datenschutzpflicht

Artikel 32 verlangt geeignete technische und organisatorische Maßnahmen: Verschlüsselung, Belastbarkeit, Zugriffskontrolle und regelmäßige Tests. Das sind dieselben Kontrollen, die Ihr Informationssicherheitsprogramm bereits betreibt. Rizzqo führt Datenschutz und Sicherheit auf einer gemeinsamen Nachweisbasis zusammen – eine einmal nachgewiesene Kontrolle zählt für beide.

Mehr zur Informationssicherheit mit ISO 27001
Art. 32(1): Technical & organisational measures
  • Verschlüsselung und Pseudonymisierung personenbezogener Daten
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
  • Regelmäßige Überprüfung und Bewertung der Maßnahmen
  • Verknüpft mit den Kontrollen aus ISO 27001 und 27002, die Sie bereits betreiben

ARTIKEL 33

Bereit für die 72-Stunden-Frist

Eine Datenpanne setzt eine Meldefrist von 72 Stunden in Gang. Ob Sie kontrolliert reagieren oder ein Bußgeld riskieren, hängt davon ab, ob Sie sofort wissen, welche Systeme und welche Daten betroffen sind.

Stunde 0

Erkennen & eingrenzen

Betroffene Systeme und die darin verarbeiteten personenbezogenen Daten im stets aktuellen Inventar identifizieren.

Stunde 0–24

Risiko beurteilen

Voraussichtliche Folgen für die betroffenen Personen einschätzen und entscheiden, ob die Meldeschwelle erreicht ist.

Bis Stunde 72

Meldung an die Aufsichtsbehörde

Art, Umfang und Behebung an die Behörde melden – die Dokumentation liegt bereits vor.

Unverzüglich

Betroffene Personen benachrichtigen

Bei hohem Risiko auch die betroffenen Personen selbst informieren (Artikel 34) – lückenlos dokumentiert, wer wann benachrichtigt wurde.

Machen Sie die DSGVO nachweisbar

Verbinden Sie jede Pflicht mit den Systemen, die personenbezogene Daten verarbeiten – und das nächste Audit oder die nächste Betroffenenanfrage wird zum Export auf Knopfdruck.

Stets aktuelle VerzeichnisseRechte den Systemen zugeordnetAuditbereite Nachweise