Leistungen
Die Verordnung (EU) 2016/679 entfaltet nach Art. 3 Abs. 2 extraterritoriale Wirkung — wer EU-Betroffene beliefert oder profiliert, ist im Anwendungsbereich, unabhängig vom Sitzland. Wir liefern das VVT nach Art. 30, die DSFA nach Art. 35, AV-Verträge nach Art. 28, technisch-organisatorische Maßnahmen nach Art. 32, Breach-Response nach Art. 33–34 und das internationale Transfer-Paket (EU-SCCs 2021, TIA, ergänzende Maßnahmen) als ein integriertes technisches Umsetzungswerk — nicht als fünf separate Rechtsbinder. Prüfungsfeste Nachweise, belastbare Memos, boardtaugliches Risikoregister. Ab 6.500 EUR für das Readiness Assessment.
Geldbußen nach Art. 83 Abs. 5 DSGVO erreichen für die schwersten Verstoßkategorien 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes — Fehlende Rechtsgrundlagen, verletzte Betroffenenrechte, unzulässige internationale Transfers. Die meisten Softwareunternehmen brauchen jedoch keinen 200-seitigen Ordner; sie brauchen eine belastbare Datenkarte, ein sauberes SCC-Paket, eine funktionsfähige DSAR-Pipeline und ein Breach-Response-Runbook, das die 72-Stunden-Frist nach Art. 33 übersteht. Wir haben das für SaaS-Anbieter, Fintechs, Healthtechs und US-Unternehmen beim EU-Markteintritt umgesetzt — das Ergebnis ist operativ, gehört Ihrem Team und dient gleichzeitig als Input für SOC 2 und ISO 27001.
Lebendes Inventar jeder Verarbeitungstätigkeit: Zweck, Rechtsgrundlage nach Art. 6, besondere Kategorie-Rechtsgrundlage nach Art. 9 wo relevant, Kategorien betroffener Personen und Daten, Aufbewahrungsfristen, Empfänger, internationale Transfers. In Ihrem Tool gepflegt, kein eingefrorenes PDF.
DSFA-Vorlage plus ausgearbeitete DSFAs für risikoreiche Verarbeitungen — umfangreiche besondere Kategorien, systematische Überwachung, Profiling mit Rechtswirkung nach Art. 22, neue Technologien. Angelehnt an WP29-/EDSA-Methodik mit Risikobehandlung, die die Technik tatsächlich umsetzen kann.
Verantwortlicher-zu-Auftragsverarbeiter- und Auftragsverarbeiter-zu-Sub-Auftragsverarbeiter-AVV nach Art. 28 Abs. 3, einschließlich Prüfungsrechten, Sub-AV-Weitergabe, Lösch-/Rückgabepflichten und den acht Pflichtklauseln. Verhandlungs-Playbook für Hyperscaler-Vorlagen inklusive.
Technisch-organisatorische Maßnahmen: Verschlüsselung in Transit (TLS 1.3) und at Rest (AES-256, KMS-verwaltete Schlüssel), MFA, RBAC, Audit-Logs, Schwachstellenmanagement-SLAs, jährlicher Pentest, BCP/DRP mit gemessenen RTO/RPO-Werten. Dokumentiert als Nachweis für jeden Unterabsatz von Art. 32 Abs. 1.
EU-SCCs 2021 (richtiges Modul je nach Verhältnis), Transfer Impact Assessment nach Schrems II und EDSA-Empfehlung 01/2020, ergänzende Maßnahmen, Unterstützung bei EU-US-DPF-Zertifizierung wo relevant, und der kundenseitige Transparenzhinweis.
Betroffenenrechte-Pipeline nach Art. 12–22 in Ihrem Produkt (Auskunft, Berichtigung, Löschung, Datenportabilität, Widerspruch, Überprüfung automatisierter Entscheidungen) und Breach-Response-Runbook nach Art. 33–34 an die 72-Stunden-Meldefrist gebunden.
Woche 1: Verantwortlichen-/Auftragsverarbeiter-Rollen je Verhältnis bestätigen, alle Verarbeitungstätigkeiten inventarisieren, besondere Kategorien und grenzüberschreitende Datenflüsse identifizieren, Art.-30-VVT in Ihrem Datenkartierungstool erstellen.
Woche 2: die relevante Verarbeitung gegen Art. 5, 6, 12–22, 25, 28, 30, 32, 33–34, 35 und 44–49 prüfen, jede Lücke nach Risiko und Aufwand bewerten, einen Sanierungsfahrplan mit Verantwortlichen und Terminen erstellen.
Wochen 3–8: AV-Vertragspaket liefern, DSFA-Vorlage plus eine ausgearbeitete DSFA, Art.-32-TOMs-Härtung, DSAR-Pipeline, SCC- und TIA-Paket, Breach-Runbook, öffentliche Datenschutzhinweise. Technisch geführt, nicht nur juristisch.
Ab Monat drei: vierteljährliche Nachweiserneuerung, EDSA-/Behördenmonitoring, DSAR-Triage, Breach-Support auf Abruf, AV-Vertrags-Reviews, jährlicher Audit-Trockenlauf.
Zwei Wochen, fester Scope. Art.-30-VVT, Gap-Analyse gegen die relevanten Artikel, Sanierungsfahrplan und ein 60-minütiges Executive-Briefing mit Gründer und Rechtsberater. 6.500 EUR Festpreis.
Sechs bis acht Wochen. AV-Vertragspaket, Art.-35-DSFA-Vorlage plus eine ausgearbeitete DSFA, Art.-32-TOMs-Implementierung, DSAR-Pipeline nach Art. 12–22 in Ihrem Produkt, SCC + TIA-Paket, Breach-Runbook nach Art. 33–34, öffentliche Datenschutzhinweise. 18.000 EUR Festpreis.
Laufender Monatsretainer. Vierteljährliche Nachweiserneuerung, EDSA/ICO/CNIL/BfDI/AEPD/Garante-Monitoring, DSAR-Triage, Breach-Support, bis zu 10 AV-Vertrags-Reviews pro Monat, jährlicher Audit-Trockenlauf. 3.500 EUR/Monat.
Die Bestellung des EU-Vertreters nach Art. 27 wird separat nach Aufwand quotiert. Mindestlaufzeit drei Monate für DSB-as-a-Service, danach monatlich kündbar mit 30 Tagen Vorlauf. NDA, DPA und IP-Abtretung werden vor Projektstart unterzeichnet.
Art.-10-Datenlenkung, Art.-35-DSFA + KI-Verordnungs-FRIA, Anhang-IV-Dokumentation — aufgebaut auf Ihrer DSGVO-Basis.
Mehr erfahren →
Trust Services Criteria CC1.0–CC9.0 + Privacy P1.0–P8.0 auf Art. 25, 28 und 32 DSGVO abgebildet, sodass eine Kontrolle beide Regelwerke bedient.
Mehr erfahren →
Jährlicher Pentest als Nachweis für regelmäßige Tests nach Art. 32 Abs. 1 lit. d — OWASP ASVS L2, API Top 10, Cloud-Konfigurationsüberprüfung.
Mehr erfahren →DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · ISO/IEC 42001-konform
Wir lesen die Codebasis, die Datenpipeline und den Auth-Flow, bevor wir das VVT erstellen. Unsere DSFAs halten stand, weil sie widerspiegeln, was das System wirklich tut — nicht was eine Folienpräsentation behauptet.
DSGVO, ISO 27001, SOC 2, EU-KI-Verordnung, HIPAA — die zugrundeliegenden Kontrollen überschneiden sich. Wir bauen eine versionierte Nachweisbibliothek, die alle Pflichten erfüllt, statt parallele Ordner zu führen.
DPA und NDA vor Projektstart unterzeichnet, Repository-Zugang, Teilnahme an Ihrem Engineering-Standup und Ihrem Board-Legal-Update. Die Artefakte leben in Ihrem Stack und gehören nach der Übergabe Ihrem Team.
Für den EU-Vertreter nach Art. 27 arbeiten wir mit etablierten Kanzleien in Irland und Deutschland zusammen; für litigationsfähige DSFAs und Behördenengagements co-delivern wir mit Datenschutzanwälten Ihrer Wahl.
Ja, Art. 3 Abs. 2 DSGVO begründet extraterritoriale Anwendbarkeit. Wenn Sie Waren oder Dienstleistungen an betroffene Personen in der EU anbieten (kostenpflichtig oder kostenlos) oder deren Verhalten beobachten (Analyse, Profiling, Retargeting), sind Sie unabhängig vom Standort Ihrer Server oder Ihres Unternehmenssitzes im Anwendungsbereich. Sie benötigen einen EU-Vertreter nach Art. 27, sofern Sie nicht unter die enge Ausnahme fallen. Geldbußen nach Art. 83 Abs. 5 DSGVO erreichen 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist. Wir liefern die Bestellung des Art.-27-Vertreters, das Verzeichnis nach Art. 30, die AV-Verträge nach Art. 28 und die Sicherheitsbaseline nach Art. 32 als integriertes Paket statt als fünf separate Workstreams.
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist für fast jeden Verantwortlichen und Auftragsverarbeiter verpflichtend — ein lebendes Inventar jedes Verarbeitungszwecks, der Rechtsgrundlage nach Art. 6, der Kategorien betroffener Personen und Daten, der Aufbewahrungsfristen, der Empfänger und der Transfers. Eine DSFA nach Art. 35 ist erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten mit sich bringt — umfangreiche besondere Kategorien, systematische Überwachung, automatisierte Entscheidungen mit Rechtswirkung, neue Technologien. Eine TIA ist nach Schrems II immer dann erforderlich, wenn Sie sich für Transfers in Drittländer ohne Angemessenheitsbeschluss auf Art.-46-SCCs stützen. Wir liefern alle drei unter Verwendung einer einzigen maßgeblichen Datenkarte, sodass sie synchron bleiben.
Es gibt drei rechtmäßige Wege nach Kapitel V (Art. 44–49 DSGVO). Erstens Art. 45 Angemessenheitsbeschluss — der EU-US Data Privacy Framework ist derzeit gültig. Zweitens Art. 46 Standardvertragsklauseln (EU-SCCs 2021, vier Module) kombiniert mit einer TIA und ergänzenden Maßnahmen gemäß EDSA-Empfehlung 01/2020 — Verschlüsselung in Transit und at Rest unter Ihrer alleinigen Schlüsselkontrolle, aufgeteilte Verarbeitung, vertragliche Transparenzpflichten. Drittens Art. 49-Ausnahmen für spezifische Situationen — eng gefasst, niemals als Standard. Wir erstellen das SCC-Paket, die TIA, die ergänzenden technischen Maßnahmen und den Transparenzhinweis als ein Bündel.
Art. 32 Abs. 1 DSGVO verlangt technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, darunter (a) Pseudonymisierung und Verschlüsselung, (b) laufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, (c) die Fähigkeit, Verfügbarkeit und Zugang nach einem Vorfall rasch wiederherzustellen, (d) ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit. In der Praxis für SaaS: Verschlüsselung in Transit (mind. TLS 1.2, idealerweise 1.3), Verschlüsselung at Rest (AES-256, KMS-verwaltete Schlüssel), MFA für Admin-Zugang, RBAC mit geringstmöglichen Berechtigungen, revisionssichere Audit-Logs, Schwachstellenmanagement-SLAs, jährliche Penetrationstests, ein Incident-Response-Runbook gebunden an die 72-Stunden-Frist nach Art. 33, sowie ein BCP/DRP mit gemessenen RTO/RPO-Werten. Wir implementieren und dokumentieren dies als Nachweis der Art.-32-Konformität bei Prüfungen.
Sie überschneiden sich bei Kontrollen, unterscheiden sich aber in der Rahmung. Die ISO-27001-Anhang-A-Kontrollen (insbesondere A.5, A.8, A.18) decken sich fast 1:1 mit Art. 32 DSGVO. Die SOC-2-Trust-Services-Criteria CC6, CC7 und die optionale Datenschutzkategorie P1–P8 decken den Großteil der Anforderungen aus Art. 25 und 32 ab. Art. 10 EU-KI-Verordnung lehnt sich direkt an Art. 5, 25 und 35 DSGVO an. Wir bauen eine einzige versionierte Nachweisbibliothek, die alle vier Regelwerke bedient. Sie erledigen die Arbeit einmal; die Prüfer erhalten, was sie jeweils benötigen.
Drei Pakete. DSGVO-Readiness-Assessment für 6.500 EUR Festpreis (zwei Wochen): Scope-Bestätigung, Art.-30-VVT in Ihrem Datenkartierungstool, Gap-Analyse, Sanierungsfahrplan, Executive-Briefing. Implementierungspaket für 18.000 EUR Festpreis (sechs bis acht Wochen): AV-Vertragsvorlage, Art.-35-DSFA-Vorlage plus eine ausgearbeitete DSFA, Art.-32-TOMs-Implementierung, Betroffenenrechte-Workflows, SCC- und TIA-Paket, Breach-Runbook, Datenschutzhinweise. Laufender DSB-as-a-Service für 3.500 EUR/Monat: vierteljährliche Nachweiserneuerung, Behördenmonitoring, DSAR-Triage, Breach-Support, AV-Vertrags-Reviews bis zu 10/Monat, jährlicher Audit-Trockenlauf.
