FALL 15Banking & FS
DORA über 11 IKT-Funktionen, termingerecht.
→
FALL 14DSGVOVERÖFFENTLICHT · 2026
Auditfähiges DSGVO-Programm in vier Monaten aufgesetzt.
Elf priorisierte Befunde. Sechs Monate Frist. Wir haben die DSB-Funktion am ersten Tag übernommen, das Programm rund um besondere Kategorien personenbezogener Daten neu aufgebaut und der Aufsichtsbehörde in vier Monaten ein vollständiges Antwortpaket geliefert.
Sektor
Pharma
Größe
4.000 Mitarbeitende
Region
CEE + DACH
Regulierung
DSGVO
Dauer
4 Monate
Team
7 Praktiker
AUF EINEN BLICK
UMFANG
DSB-Funktion und Aufsichtskommunikation
Verzeichnis nach Art. 30 und DSFA-Programm
Besondere Kategorien in 7 Jurisdiktionen
Lieferantenbestand, ~80 Verarbeiter
ERGEBNIS
Alle 11 priorisierten Befunde bis zur Frist geschlossen
Antwortpaket bei erster Prüfung angenommen
Programm termingerecht an internen DSB übergeben
01 / DAS BRIEFING
Was auf unserem Tisch landete.
Eine Pharmagruppe hat eine durch die Aufsichtsbehörde ausgelöste Selbstbewertung nicht bestanden — elf priorisierte Befunde, sechs davon zu Datenflüssen besonderer Kategorien zwischen juristischen Personen in sieben Jurisdiktionen.
Die Aufsichtsbehörde setzte eine Frist von sechs Monaten für die Abgabe eines Maßnahmenpakets. Die interne Datenschutzfunktion war seit vier Monaten unbesetzt. Es gab kein DSFA-Inventar, kein aktuelles Verzeichnis nach Art. 30 und einen unkartierten Bestand von rund 80 Auftragsverarbeitern.
02 / WAS WIR GETAN HABEN
Fünf Arbeitsstränge, ein Programm.
01
DSB-Funktion ab Tag eins
Übernahme der Rolle des benannten Datenschutzbeauftragten für alle Konzerngesellschaften. Einheitliche Verantwortung gegenüber der Aufsicht für die Dauer des Mandats.
02
Aufbau um besondere Kategorien
Zuerst klinische, HR-Gesundheits- und Pharmakovigilanz-Flüsse kartiert. Rechtsgrundlagen unter Art. 9 neu fundiert. Konzerninterne Transfers nach Art. 46 neu vertraglich geregelt.
03
Auftragsverarbeiter triagiert
Achtzig Verarbeiter nach Risiko und Kategorie klassifiziert. AVV nach Art. 28 wo erforderlich neu verhandelt. Sub-Auftragsverarbeiter-Ketten vollständig dokumentiert.
04
Aufsichtskommunikation
Antwortpaket erstellt und eingereicht. Zwei formale Sitzungen mit der Aufsicht geführt. Alle elf Befunde ohne Auflagen geschlossen.
05
Programmübergabe
Zwei erfahrene interne Mitarbeitende für den Betrieb eingearbeitet. Dokumentation mit Betriebshandbuch übergeben, das die Aufsicht bereits akzeptiert hatte.
03 / ERGEBNISSE
Was sich geändert hat, in Zahlen.
● VERIFIZIERT · KUNDENBESTÄTIGT11 / 11
Priorisierte Befunde geschlossen
alle bis zur Frist
4 Mo.
Zeit bis Antwortpaket
bei 6-Monats-Frist
Angenommen
Aufsichtsbescheid
erste Einreichung, keine Auflagen
7 T.
DSAR-Zykluszeit
von 24 T. zu Beginn
63 / 63
AVV neu verhandelt
Art. 28 in Kraft
Termingerecht
Programmübergabe
interner DSB übernommen
04 / STIMME
“Sie sind reingegangen, haben den Vorgang übernommen und blieben verantwortlich, bis die Aufsicht ihn geschlossen hat. Wir mussten nie hinterherlaufen.
— KONZERN-GENERALJUSTIZIAR
05 / MANDAT
Wie das Mandat aufgesetzt war.
ARBEITSUMFANG
DSGVO-ProgrammDSFALieferantenrisikoKonzerntransfersExterner DSBAufsichtskommunikation
DAUER
4 Monate
7 Praktiker
ABDECKUNG
CEE + DACH
4.000 Mitarbeitende · Pharma
BEAUFTRAGEN SIE UNS
Gleiche Form, Ihr Problem.
Senior Partner im Erstgespräch, Mandatsvertrag innerhalb von zwei Wochen, benannter DSB ab Tag eins, falls das die Aufgabe ist.
Verwandte Fallstudien.
Alle Fallstudien →FALL 13Enterprise-SaaS
EU AI Act: Klassifizierung von 7 Produktionsmodellen.
→
FALL 10Energie
NIS2-Programm für wesentliche Einrichtungen bei Aufsicht bestanden.
→