Die systematische Erfassung des Ist-Zustandes (durch Gespräche und Befragungen vor Ort) offenbarte, dass bereits einige informationssicherheits- und datenschutzrelevante Vorkehrungen getroffen wurden – u.a. ein Datensicherungskonzept und eine Alarmanlage zur Verhinderung von Diebstahl von Geräten und den damit verbundenen Daten. Es zeigte sich jedoch auch, dass einige Mandanten Daten in Papierform – vergleichsweise ungeschützt – übermitteln.
Auf Basis der Ist-Analyse konnten Verbesserungspotentiale identifiziert und entsprechende Maßnahmen konzipiert, priorisiert und umgesetzt werden. Dazu zählten insbesondere die Bestellung eines Datenschutzbeauftragten, die Erstellung und Verteilung einer Datenschutzerklärung für bzw. an die Mandanten und über die Website, die Schulung der Mitarbeitenden zu datenschutzrechtlichen Themen und die Installation eines sicheren Prozesses für die Übermittlung von Mandantenunterlagen und –informationen.