Consulting

Consulting
Photo by Scott Graham / Unsplash

Mit über drei Jahrzehnten Erfahrung in Compliance, Datenschutz und Informationssicherheit biete ich Consulting für Organisationen jeder Größe in den folgenden Themenfeldern:

Externer Datenschutzbeauftragter sowie DSGVO Beratung

Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 (DSGVO) veröffentlicht und gilt seit ihrem Inkrafttreten am 25. Mai 2018 als verpflichtende Rechtsgrundlage für alle Datenverarbeitungen in Europa. Mit ihr kam auch die Rolle des Datenschutzbeauftragten (DSB) in den Fokus, geregelt in Art. 37 bis 39 DSGVO.

Pflicht oder strategische Entscheidung?

Art. 37 DSGVO definiert klar, in welchen Fällen ein DSB zwingend zu bestellen ist: bei Behörden, bei umfangreicher systematischer Überwachung als Kerntätigkeit oder bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten. In allen anderen Fällen steht es dem Unternehmen frei, einen DSB zu bestellen. Aus meiner Beratungspraxis zeigt sich allerdings: Auch dort, wo die Bestellung nicht obligatorisch ist, lohnt sich die Investition in vielen Fällen.

Warum ein freiwilliger DSB Sinn macht

Die DSGVO ist kein statisches Regelwerk. EuGH-Rechtsprechung, Leitlinien des EDSA, neue Anforderungen aus dem AI Act, dem Data Act und sektorspezifischen Vorgaben verändern die Auslegung laufend. Wer ohne fachliche Begleitung agiert, läuft Gefahr, blinde Flecken zu übersehen, bis sie zum Problem werden, etwa bei einem Audit, einer Datenpanne oder einer Anfrage der Datenschutzbehörde.

Ein freiwillig bestellter DSB bringt mehrere Vorteile:

  • Rechtssicherheit auf Augenhöhe mit größeren Wettbewerbern, oft entscheidend bei Ausschreibungen, B2B-Verträgen und Auftragsverarbeitungsvereinbarungen
  • Frühwarnsystem für regulatorische Entwicklungen, bevor sie zur Compliance-Lücke werden
  • Vertrauenssignal gegenüber Kunden, Geschäftspartnern und Beschäftigten, dokumentiert durch eine klar benannte Ansprechperson
  • Effizientere interne Prozesse, weil Datenschutzfragen nicht ad hoc von wechselnden Personen gelöst werden, sondern strukturiert beim DSB landen
  • Schutz der Geschäftsführung durch fachkundige Beratung und nachweisbare Sorgfaltspflicht
  • Kostenkontrolle, gerade in der externen Variante, die ohne fixe Personalkosten auskommt und nach Bedarf skaliert

Externer DSB als pragmatische Lösung

Für KMU und mittelständische Unternehmen ist der externe DSB häufig die wirtschaftlichste Variante. Sie erhalten geballtes Fachwissen, ohne intern eine Vollzeitstelle aufbauen zu müssen, und vermeiden Interessenkonflikte, die bei interner Bestellung schnell entstehen können. Als externer DSB übernehme ich dabei die volle Funktion gemäß Art. 39 DSGVO: Beratung, Schulung, Überwachung der Einhaltung, Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für Betroffene.

Meine Beratung unterstützt Sie dabei:

  • rechtliche Risiken und mögliche Strafen durch DSGVO-Verstöße zu vermeiden
  • Vertrauen bei Kunden, Partnern und Mitarbeitenden durch transparente und sichere Prozesse aufzubauen
  • effiziente und praxistaugliche Abläufe im IT-Umfeld zu etablieren
  • Wettbewerbsvorteile durch nachweislich datenschutzkonforme Strukturen zu erzielen

So stellen Sie sicher, dass Ihr Unternehmen rechtlich abgesichert ist, effizient arbeitet und gleichzeitig Reputation und Kundenbindung gestärkt werden, unabhängig davon, ob die Bestellung eines DSB für Sie verpflichtend ist oder eine bewusste strategische Entscheidung.

Beratung und Schulung im Bereich Informationssicherheit

Die DSGVO verankert Informationssicherheit als zentrale Säule ihrer Umsetzung, Art. 32 verlangt explizit "geeignete technische und organisatorische Maßnahmen". Doch was "geeignet" bedeutet, lässt sich nicht aus dem Gesetzestext ableiten. Hier kommt es auf eine pragmatische Auslegung an, die etablierte Best Practices berücksichtigt und zu Ihrem Unternehmen passt.

Pragmatik vor Perfektion

Ich unterstütze Sie bei der Konzeption und Überprüfung technisch-organisatorischer Maßnahmen mit einem klaren Anspruch: Datenschutz und Informationssicherheit sind kein Selbstzweck, sondern müssen einen messbaren Mehrwert für Ihr Unternehmen liefern. Statt Maßnahmen aus Angst vor Aufsichtsbehörden zu überdimensionieren oder im Gegenteil aus Kostengründen zu unterdimensionieren, setze ich auf eine risikobasierte Vorgangsweise: angemessen, nachvollziehbar und im Einklang mit dem Stand der Technik.

Orientierung an etablierten Standards

Das Rad muss nicht neu erfunden werden. Anerkannte Frameworks bieten erprobte Antworten auf wiederkehrende Fragestellungen, und meine Beratung knüpft konsequent daran an:

  • ISO/IEC 27001 und 27002 als internationaler Maßstab für Managementsystem und Controls
  • ISO/IEC 27701 für die Erweiterung um datenschutzspezifische Anforderungen
  • BSI IT-Grundschutz als bewährte Methodik im DACH-Raum
  • CIS Controls und NIST Cybersecurity Framework als ergänzende Referenzen für die operative Umsetzung
  • ENISA-Empfehlungen und Leitlinien des Europäischen Datenschutzausschusses für die regulatorische Einbettung

Informationssicherheit ist mehr als IT-Sicherheit

Ein professionelles ISMS verbindet technische und organisatorische Maßnahmen zu einem ganzheitlichen Ansatz mit Fokus auf nachhaltige Wirksamkeit. Meine Leistungen umfassen unter anderem:

  • Aufbau einer effizienten Organisationsstruktur für Informationssicherheit, abgestimmt auf bestehende Rollen und Verantwortlichkeiten
  • gezielte Awareness- und Schulungsmaßnahmen, die im Alltag tatsächlich ankommen
  • risikobasierte Auswahl und Umsetzung der Sicherheitsmaßnahmen, mit klarer Priorisierung nach Schutzbedarf
  • kontinuierliche Verbesserung über messbare Kennzahlen und regelmäßige Reviews
  • Anschlussfähigkeit an angrenzende Regelwerke wie NIS2, DORA und branchenspezifische Vorgaben

Das Ergebnis für Ihre Organisation ist Qualität

Höhere Rechtssicherheit, reduzierte Risiken, mehr Vertrauen bei Kunden und Partnern und ein nachhaltiger Wettbewerbsvorteil. Vor allem aber: ein Sicherheitsniveau, das im Audit standhält und im Tagesgeschäft funktioniert.

Unterstützung bei der Implementierung von Compliance

Ein wirksames Compliance-Management-System (CMS) ist kein Selbstzweck. Es ist das organisatorische Rückgrat, mit dem Unternehmen Risiken frühzeitig erkennen, Regelverstöße systematisch verhindern und eine gelebte Compliance-Kultur verankern. Mit meiner langjährigen Erfahrung im Aufbau solcher Systeme unterstütze ich Sie dabei, klare, belastbare und revisionssichere Strukturen zu etablieren, ohne unnötige Komplexität.

Mein Ansatz: pragmatisch, risikoorientiert, anschlussfähig

Statt jede Organisation in dieselbe Schablone zu pressen, beginne ich mit einer fundierten Risiko- und Reifegradanalyse. Daraus leite ich ab, welche Elemente eines CMS für Ihr Unternehmen tatsächlich relevant sind und in welcher Tiefe. Das spart Aufwand, vermeidet Doppelstrukturen und sorgt dafür, dass jede Maßnahme einen erkennbaren Nutzen hat.

Wo bereits Strukturen bestehen, etwa ein ISMS nach ISO 27001 oder ein Datenschutzmanagement nach DSGVO, baue ich darauf auf. Anlehnung an etablierte Standards wie ISO 37301 (Compliance Management Systems) sorgt für internationale Anschlussfähigkeit und erleichtert spätere Zertifizierungen oder Prüfungen.

Die Kernelemente, die ich gemeinsam mit Ihnen umsetze:

  • klare Verantwortungs- und Rollenverteilung
  • verbindliche Richtlinien und interne Vorgaben
  • wirksame Schulungs- und Awareness-Maßnahmen
  • Verfahren zur Risikoanalyse und -bewertung
  • interne Kontrollmechanismen und unabhängige Prüfprozesse
  • nachvollziehbares Dokumentations- und Berichtswesen

Effizienz durch Integration

Compliance-Anforderungen aus DSGVO, NIS2, DORA, dem Lieferkettengesetz und sektorspezifischen Regelwerken überschneiden sich in zentralen Punkten. Wer diese Anforderungen isoliert abarbeitet, verbrennt Ressourcen. Mein Ansatz integriert die jeweiligen Pflichten in ein einheitliches Steuerungsmodell. Das reduziert Audit-Aufwand, erleichtert die Berichterstattung an die Geschäftsführung und schafft ein stimmiges Gesamtbild gegenüber Aufsichtsbehörden und Geschäftspartnern.

Ein robustes CMS bringt mehr als Rechtssicherheit. Es stärkt die Unternehmenskultur, erhöht die Transparenz und trägt maßgeblich zum Vertrauen von Geschäftspartnern, Mitarbeitenden und Aufsichtsbehörden bei. Mit der richtigen Umsetzung wird Compliance vom Kostenfaktor zum Wettbewerbsvorteil.

Unterstützung im Bereich der Digitalisierung

Die Digitalisierung bildet die Grundlage für die digitale Transformation jeder Organisation. Sowohl Inhalte wie Dokumente als auch Prozesse und Abläufe müssen heute digital abgebildet und weiterentwickelt werden, um die Wettbewerbsfähigkeit nachhaltig zu sichern. Digitalisierung ist längst nicht mehr nur Treiber neuer digitaler Geschäftsmodelle, sondern stellt auch für klassische Geschäftsmodelle eine unverzichtbare Säule dar.

Doch Digitalisierung allein reicht nicht. Die eigentliche Herausforderung liegt in der umfassenden digitalen Transformation: der Neugestaltung von Strukturen, Abläufen und Wertschöpfungsketten. Und sie liegt zunehmend in einer Frage, die in den vergangenen Jahren von einem Nischenthema ins Zentrum strategischer Entscheidungen gerückt ist: der digitalen Souveränität.

Wer heute Cloud-Plattformen auswählt, KI-Systeme einführt oder Datenflüsse mit Drittstaaten gestaltet, trifft Entscheidungen, die weit über die Technik hinausreichen. DSGVO, NIS2, DORA, der EU AI Act, das Data Governance Framework und die Diskussion rund um souveräne Cloud-Plattformen verlangen nach einer integrierten Betrachtung von Compliance, Informationssicherheit, Datenschutz und Geschäftsmodell. Genau an dieser Schnittstelle setzt meine Beratung an.

Mit über drei Jahrzehnten Erfahrung in Informationssicherheit und Datenschutz, fundierter Expertise in ISO 27001/27002, DSGVO, NIS2 und DORA sowie laufender praktischer Begleitung von Unternehmen aus Softwareentwicklung, Pharma, Gewerbe und dem Gaming-Sektor begleite ich Organisationen auf dem Weg zur digitalen Transformation und digitalen Souveränität.

Von der Auswahl europäischer, datenschutzkonformer Infrastrukturen über die Implementierung tragfähiger Compliance-Strukturen bis zur strategischen Verankerung von Sicherheits- und Souveränitätsanforderungen in der Unternehmensführung.

Mein Ansatz ist praxisnah, regulatorisch fundiert und an europäischen Werten ausgerichtet. Verantwortung umgesetzt, nicht nur dokumentiert.

Hinweisgebersystem Beratung

Hinweisgebersysteme dienen dazu, Schaden von Organisationen abzuwenden und Missstände sowie Rechtsverstöße frühzeitig aufzuzeigen. Mit der Whistleblower-Richtlinie (RL 2019/1937), die für alle Unternehmen mit mindestens 50 Beschäftigten gilt, hat die Europäische Union EU-weite Mindeststandards definiert. Ein zentraler Schwerpunkt liegt dabei im Schutz der Hinweisgeberinnen und Hinweisgeber.

In Österreich wurde die Richtlinie durch das HinweisgeberInnenschutzgesetz (HSchG) umgesetzt. Daraus ergeben sich konkrete Pflichten: ein interner Meldekanal, der Vertraulichkeit und Identitätsschutz sicherstellt, definierte Bearbeitungsfristen, eine zuständige unparteiische Stelle und eine nachvollziehbare Dokumentation. Wer hier nachlässig agiert, riskiert nicht nur Verwaltungsstrafen, sondern auch Reputationsschäden und den Verlust von Vertrauen innerhalb der Organisation.

Die gute Nachricht: Eine rechtskonforme Umsetzung muss weder aufwändig noch teuer sein. Standardisierte technische Lösungen, klare organisatorische Vorlagen und ein pragmatischer Implementierungsansatz machen es möglich, die gesetzlichen Anforderungen mit überschaubarem Ressourceneinsatz und in kurzer Zeit zu erfüllen, auch für KMU.

Ich unterstütze Sie bei der Umsetzung organisatorisch und technisch:

  • Schlanke Konzeption des internen Meldekanals, abgestimmt auf Ihre Unternehmensgröße und Branche
  • Auswahl und Einrichtung einer geeigneten technischen Plattform, mit Fokus auf europäische, datenschutzkonforme Lösungen
  • Erstellung der notwendigen Dokumente wie Verfahrensrichtlinien, Datenschutzinformationen und Mitarbeiterkommunikation
  • Übernahme der Funktion der internen Stelle auf Wunsch, als externe und unabhängige Anlaufstelle für Ihre Beschäftigten
  • Schulung der Verantwortlichen und Sensibilisierung der Belegschaft

Der Vorteil meiner Begleitung liegt in der Kombination aus Präzision und pragmatischer Umsetzungskompetenz: Sie erhalten ein System, das die gesetzlichen Anforderungen erfüllt, im Alltag funktioniert und keine unnötigen Kosten verursacht.