Zurück zur Startseite

Fallbeispiele aus der Praxis

Echte Ergebnisse.
Für echte Unternehmen.

Kein Marketingversprechen. Nur dokumentierte Fälle aus unserer täglichen Arbeit als externer Datenschutzbeauftragter für KMU in Tirol, Salzburg, München und Rosenheim.

Alle Angaben anonymisiert · Namen und Details geändert

100 %
der betreuten Bußgeldverf., bei denen wir rechtzeitig einbezogen wurden, konnten abgewendet oder reduziert werden
48 h
durchschnittliche Reaktionszeit bei akuten Datenschutzvorfällen und Bußgeldbescheiden
0
Beanstandungen bei Behördenprüfungen von Mandanten, die wir vollständig betreut haben
6 Wo.
typische Dauer bis zur vollständigen DSGVO-Compliance bei einem neuen KMU-Mandat

Dossiers

So arbeiten wir.
So schützen wir Ihr Unternehmen.

Ein externer Datenschutzbeauftragter bringt unabhängige Expertise ohne Betriebsblindheit. Er kennt die aktuellen Behördenpraktiken, spricht die Sprache der Aufsicht und sichert Ihr Unternehmen genau dort ab, wo interne Lösungen regelmäßig scheitern.

Datenschutz Kroes Beratung
DOSSIER 01 Handwerk

Installationsbetrieb aus dem Zillertal · 28 Mitarbeitende

Ausgangslage

Bußgeldbescheid über 12.800 € wegen fehlender Auftragsverarbeitungsverträge mit drei Software-Anbietern. Widerspruchsfrist: 4 Wochen.

Unsere Maßnahme

AVV mit allen Anbietern innerhalb von 72 Stunden nachgereicht. Schriftlicher Widerspruch mit vollständiger Dokumentation an die Behörde.

Bußgeld vollständig abgewendet. Verfahren eingestellt.

DOSSIER 02 Handwerk

Schreinerei aus dem Unterinntal · 14 Mitarbeitende

Ausgangslage

Kundendaten wurden über eine private WhatsApp-Gruppe weitergegeben. Ein Kunde entdeckte dies und erstattete Beschwerde bei der österreichischen Datenschutzbehörde.

Unsere Maßnahme

Unzulässigen Kommunikationskanal sofort geschlossen. DSGVO-konforme Alternative eingerichtet. Schulung aller 14 Mitarbeitenden. Stellungnahme an die Behörde verfasst.

Beschwerde eingestellt. Kunde schriftlich informiert und zufrieden.

DOSSIER 03 Handwerk

Malerbetrieb in Rosenheim · 22 Mitarbeitende

Ausgangslage

Neue Mitarbeitende ohne Verpflichtungserklärung auf das Datengeheimnis. Betriebsprüfung legte fehlende Datenschutzdokumentation offen. Behörde kündigte Nachkontrolle an.

Unsere Maßnahme

Verpflichtungserklärungen für alle 22 Mitarbeitenden eingeholt. Vollständiges Verarbeitungsverzeichnis erstellt. Datenschutzbeauftragter offiziell bestellt und gemeldet.

DSGVO-konforme Struktur in 4 Wochen. Nachkontrolle ohne Beanstandungen.

DOSSIER 04 Handwerk

Sanitär- und Heizungsbetrieb aus dem Chiemgau · 31 Mitarbeitende

Ausgangslage

Einbruch in einen Firmen-Transporter. Auf dem gestohlenen Dienst-Laptop: die vollständige Kundendatenbank mit Namen, Adressen, Telefonnummern sowie Zugangsdaten und Gebäudelängsschnitte von über 340 Kundenobjekten. Zusätzlich: handschriftliche Notizen zu medizinischen Geräten einzelner Kunden (Heimdialyse, Beatmung). Das Gerät war weder verschlüsselt noch fernlöschbar. Der Geschäftsführer wollte die Sache intern klären. Keine Meldung an die Behörde.

Unsere Maßnahme

Datenpanne als meldepflichtig nach Art. 33 DSGVO eingestuft. Meldung an die Datenschutzbehörde innerhalb der 72-Stunden-Frist nachgeholt und begründet, warum die Meldung verzögert erfolgte. Betroffenenbenachrichtigung für alle 340 Kunden koordiniert. Sofortmaßnahmen dokumentiert: Fernlöschung aller verbleibenden Endgeräte aktiviert, Festplattenverschlüsselung (BitLocker) auf dem gesamten Fuhrpark eingerichtet, Zugangsberechtigungen zu Objekten als kompromittiert eingestuft und Kunden proaktiv informiert.

Kein Bußgeld. Behörde würdigte die kooperative Haltung und die sofortigen technischen Maßnahmen. Ohne unsere Intervention hätte die versäumte Meldefrist allein ein Risiko von bis zu 80.000 € bedeutet. Zusätzlich hätten betroffene Kunden Schadenersatzansprüche geltend machen können.

DOSSIER 05 Steuerberatung

Steuerberatungskanzlei in München · 12 Mitarbeitende

Ausgangslage

Ankündigung einer Behördenprüfung durch den Bayerischen Landesbeauftragten für Datenschutz. Vorlaufzeit: 3 Wochen. Keine aktuelle Dokumentation vorhanden.

Unsere Maßnahme

Vollständiges Verarbeitungsverzeichnis gem. Art. 30 DSGVO erstellt. Datenschutzrichtlinien für Mandantendaten aktualisiert. Mitarbeiterschulung durchgeführt.

Prüfung ohne Beanstandungen abgeschlossen. Behörde zufrieden.

DOSSIER 06 Steuerberatung

Wirtschaftstreuhänder in Salzburg · 8 Mitarbeitende

Ausgangslage

Steuererklärungen und Jahresabschlüsse wurden unverschlüsselt per E-Mail versandt. Nach einem Datenleck beim Empfänger beschwerte sich ein Mandant bei der DSB.

Unsere Maßnahme

E-Mail-Verschlüsselung via S/MIME eingeführt. Datenschutzrichtlinie für Mandantenkommunikation erstellt. Alle Mitarbeitenden geschult. Stellungnahme an Behörde eingereicht.

Beschwerde eingestellt. Mandant weiter aktiv. Verschlüsselung jetzt Standard.

DOSSIER 07 Arztpraxen

Allgemeinmedizinische Praxis in Innsbruck · 6 Mitarbeitende

Ausgangslage

Datenpanne: USB-Stick mit unverschlüsselten Patientendaten verloren gegangen. Meldepflicht gem. Art. 33 DSGVO innerhalb von 72 Stunden.

Unsere Maßnahme

Sofortmeldung an die österreichische Datenschutzbehörde in Stunde 50. Information der betroffenen Patienten gem. Art. 34 DSGVO. Notfallprotokoll erstellt.

Kein Bußgeld. Behörde bestätigte ordnungsgemäße Reaktion.

DOSSIER 08 Arztpraxen

Zahnarztpraxis in München · 4 Mitarbeitende

Ausgangslage

Patientenanamnese-Formulare in Papierform wurden nicht DSGVO-konform entsorgt. Alte Patientenakten ohne Löschkonzept seit über 15 Jahren in Archivkartons gelagert.

Unsere Maßnahme

Löschkonzept mit gesetzlicher Aufbewahrungsfrist erstellt. Aktenvernichter gem. DIN 66399 beschafft. Digitale Patientenformulare mit verschlüsselter Übertragung eingeführt.

Vollständige Compliance hergestellt. Keine Behördenmaßnahme.

Alle dargestellten Fälle basieren auf realen Mandaten. Namen, Standorte und charakteristische Merkmale wurden zum Schutz unserer Mandanten verändert oder zusammengeführt. Vergangene Ergebnisse sind keine Garantie für künftige Verfahrensausgänge.

Bereit für den nächsten Schritt?

Ihr Unternehmen verdient denselben Schutz.

In 30 Minuten klären wir, wo Ihr größtes Datenschutzrisiko liegt und welche zwei Schritte den größten Hebeleffekt haben. Kostenlos. Unverbindlich. Ohne Verkaufsdruck.