Skip to content

Datenschutz

DS-GVO-konform werden und bleiben: ein recht sicheres Gefühl!

Wann muss ich handeln?

Sobald Ihr Unternehmen personenbezogene Daten von Kunden, Endkunden oder Mitarbeitern verarbeitet, müssen Sie die Regelungen und Vorgaben des Datenschutzrechts beachten. Das Datenschutzrecht betrifft insoweit also branchenübergreifend und unabhängig von der betriebseigenen Kerntätigkeit jedes Unternehmen.

Zur Vermeidung von Bußgeldern, Schadensersatzforderungen und Imageschäden beraten wir Unternehmen aus dem In- und Ausland zu allen Fragen des deutschen und europäischen Datenschutzrechts. Im Bereich des Beschäftigtendatenschutzes und an der Schnittstelle zum Wettbewerbsrecht arbeiten unsere als Datenschutzbeauftragte zertifizierten Experten interdisziplinär mit Spezialisten aus anderen Dezernaten unserer Kanzlei zusammen, um Ihnen möglichst praktikable Lösungsvorschläge unterbreiten zu können.

Dabei helfen wir nicht nur punktuell bei der Klärung komplexer Rechtsfragen, sondern begleiten Ihren Geschäftsbetrieb bei Bedarf auch langfristig, um das erreichte Datenschutzniveau dauerhaft zu halten. 

Wir verfügen über umfangreiche Erfahrung bei der Beratung kleiner Unternehmen bis hin zu internationalen aufgestellten Konzernen mit einer Vielzahl von Unternehmen.

Dokumentation ist alles!

Unabhängig davon, ob eine langfristige Beratung gewünscht ist oder nicht, stellen wir auf Anfrage den datenschutzrechtlichen Status quo in Ihrem Unternehmen fest. Auf Grundlage einer Vorabanalyse mittels Fragebögen und / oder Interviews priorisieren wir alle datenschutzrechtlich relevanten Prozesse Ihres Unternehmens nach Höhe der Risiken für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen.

Unter Beachtung der in Ihrem Unternehmen festgestellten, technischen und organisatorischen Maßnahmen helfen wir Ihnen dabei, erkannte Schwachstellen zu verbessern und dadurch die Datenverarbeitung rechtskonform zu gestalten.

Weiterhin erstellen wir für Sie das gesetzlich regelmäßig vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten. Vorab prüfen wir, ob für Ihr Unternehmen ausnahmsweise kein Verzeichnis führen muss. Das Verzeichnis fasst die wesentlichen Informationen zu den gesamten Datenverarbeitungstätigkeiten zusammen und muss der Aufsichtsbehörde auf Anforderung vorgelegt werden. Neben dem Ziel, dass die Aufsichtsbehörde die Verarbeitungsvorgänge anhand des Verzeichnisses prüfen kann, dient es dem Unternehmen auch als Basis für Pflicht-Informationstexte. Diese sowie weitere Dokumente, wie etwa das Datenschutzmanagementsystem, erstellen wir für Sie. 

Datenschutzbeauftragter

Wir stellen für Sie auf Wunsch den externen Datenschutzbeauftragten für Ihr Unternehmen und stellen damit sicher, dass die erforderlichen Maßnahmen ergriffen werden. Dabei berechnen wir eine Grundvergütung und ein weiteres Honorar für den Zeitaufwand der laufenden Unterstützung. Dabei haben Sie es in der Hand, Arbeiten selbst zu übernehmen oder durch uns übernehmen zu lassen. Gerne arbeiten wir mit Ihrem Datenschutzkoordinator oder der Datenschutzkoordinatorin zusammen. 

Vertreter

Gerne fungieren wir als Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern nach Art. 27 DS-GVO. Diesen Dienst erbringen wir auch isoliert für Unternehmen, die weitere Leistungen nicht benötigen.

Vorfälle

Bei Datenschutzvorfällen beraten wir Sie dabei zu entscheiden, ob und wie Behörden und Betroffene zu informieren sind und welche Maßnahmen unternehmensintern zu treffen sind, um ein Haftungs- und Reputationsrisiko zu minimieren.

Unser Beratungsansatz

Unser Beratungsansatz macht Ihnen das Thema DS-GVO leicht. Wir haben ihn mit Comics visualisiert, die Sie unter gdpr.ninja finden.

Um die vom europäischen Gesetzgeber erwünschte Transparenz zu wahren, sind einige Informationspflichten bezüglich der Datenverarbeitung einzuhalten. Wir helfen Ihnen dabei, den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) und den nationalgesetzlichen Bestimmungen zu genügen.

Gemeinsam mit unserem arbeitsrechtlichen Dezernat erstellen unsere Datenschutzspezialisten für Ihr Unternehmen maßgeschneiderte Betriebsvereinbarungen zum Datenschutz.

Da die Datenverarbeitung oft komplex und aufwändig ist, lagern Verantwortliche häufig die Datenverarbeitung an externe Dienstleister aus, welche dann in der Regel als Auftragsverarbeiter agieren, Art. 4 Nr. 8 DS-GVO. Der Verantwortliche und der Auftragsverarbeiter müssen entsprechend der gesetzlichen Vorgabe eine Auftragsverarbeitungsvereinbarung abschließen. Gern erstellen wir Ihrem Unternehmen einen Mustervertrag oder unterstützen Sie bei der Verhandlung von zu unterzeichnenden Vereinbarungen. Vorab prüfen wir für Sie, ob der geschilderte Sachverhalt tatsächlich eine Auftragsverarbeitung darstellt.

Sind bestimmte Verarbeitungsprozesse geplant, hat der für die Verarbeitung Verantwortliche eine sogenannte Datenschutzfolgenabschätzung durchzuführen. Gemeinsam mit Ihnen nehmen wir Datenschutzfolgenabschätzungen gemäß Art. 35 Abs. 1 DS-GVO vor und prüfen, ob eine Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Der Datenschutz-Grundverordnung sollte ursprünglich eine weitere EU-Verordnung zur Seite gestellt werden. Diese sich nach wie vor im Entwurfsstadium befindliche e-Privacy-Verordnung soll den Schutz personenbezogener Daten bei der elektronischen Kommunikation sicherstellen. Wir behalten für Ihr Unternehmen im Auge, welche Bestimmungen bald für die Verarbeitung von Daten im Zusammenhang mit Over-The-Top-Diensten (OTT-Services) und Online-Tracking gelten werden.

Wir erstellen für Ihre Unternehmen geeignete Vertragswerke, um den Transfer von personenbezogenen Daten innerhalb Ihrer Unternehmensgruppe in einer den gesetzlichen Vorgaben genügenden Form abzusichern.

Viele Unternehmen setzen auf Cloud-Dienstleister mit Sitz in sogenannten Drittländern, also in außerhalb der EU/des EWR befindlichen Staaten. Für diese haben die Datenschutz-Aufsichtsbehörden teilweise kein angemessenes Datenschutzniveau festgestellt. Wir unterstützen Sie nun beim grenzüberschreitenden Datenverkehr, um alle datenschutzrechtlichen Anforderungen umzusetzen und die Datenübermittlung sicher zu gestalten.

Neben der unabdingbar zu leistenden IT-Sicherheit sieht die DS-GVO vor, dass der Verantwortliche in nachweisbarer Form geeignete organisatorische Maßnahmen trifft, um die Einhaltung der Vorschriften aus der DS-GVO sicherzustellen und Verstößen bestmöglich vorzubeugen. Dazu haben Unternehmen klare Prozesse zu dokumentieren, aus welchen neben Ablaufbeschreibungen insbesondere persönliche Zuständigkeiten hervorgehen. In enger Zusammenarbeit mit Ihnen entwickeln wir zur Wahrung dieser Dokumentations- und Rechenschaftspflichten und somit zur Risikominimierung etwaiger Bußgelder ein Datenschutz-Management-System.

Betrieblicher Datenschutz funktioniert nur dann, wenn Mitarbeiter hinreichend auf den Schutz personenbezogener Daten sensibilisiert und über im Unternehmen relevante Datenschutzprozesse aufgeklärt werden. Gern unterstützen wir Sie dabei, Ihren Beschäftigten im Rahmen regelmäßiger Inhouse- oder Fern-Schulungen die Grundzüge des Datenschutzrechts nahezubringen und persönliche Pflichten zu erläutern.

Im Falle der „Verletzung des Schutzes personenbezogener Daten“ nach Art. 33 DS-GVO ist keine Zeit zu verlieren, um die knappen Reaktionsfristen der DS-GVO einzuhalten. Eine Datenpanne liegt vor bei einer Verletzung der Datensicherheit, indem Unberechtigte Zugriff auf eine Datensammlung bekommen. Hierbei ist unerheblich, ob die Sicherheitslücke auf einen technischen oder organisatorischen Missstand zurückzuführen ist oder ob sie absichtlich oder unbeabsichtigt erfolgte.

Geht mit der Verletzung ein „Risiko“ für die Rechte und Freiheiten der Betroffenen einher, hat der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden ab Bekanntwerden des Vorfalls an die zuständige Aufsichtsbehörde zu melden. Lässt die Datenpanne ein „hohes Risiko“ für die Rechte und Freiheiten der Betroffenen erwarten, informiert der Verantwortliche diese unverzüglich über den Vorfall.

Wir helfen Ihnen dabei, Risiken einzuordnen und die mit Datenpannen einhergehenden Pflichten zügig und möglichst rechtssicher zu bearbeiten. Auf Wunsch übernehmen wir für Sie die Kommunikation mit Aufsichtsbehörden und/oder Betroffenen.

Insbesondere für Unternehmen mit einem Schwerpunkt in der Auftragsverarbeitung ist Vertrauen ein Verkaufsargument. Deshalb lassen Unternehmen vielfach zertifizieren. Wir beraten Sie bei der Auswahl einer für Ihr Unternehmen geeigneten Zertifizierungsstelle. Auf Wunsch bereiten wir Ihr Unternehmen auf die anstehende Zertifizierung vor und begleiten zur Wahrung Ihrer Interessen Audit-Termine.

Betroffenen steht nach Art. 82 DS-GVO das Recht auf Schadensersatz zu. Sollten Ihnen wegen des Verstoßes gegen Bestimmungen aus der DS-GVO materielle oder immaterielle Schäden entstanden sein, helfen wir Ihnen dabei, Ihre Schadensersatzforderungen außergerichtlich oder gerichtlich geltend zu machen.

Haben Sie oder ein mit Ihrem Unternehmen verbundenes Unternehmen Ihrerseits gegen die Bestimmungen der DS-GVO verstoßen und werden Sie nunmehr auf Schadenersatz nach Art. 82 DS-GVO in Anspruch genommen, unterstützen wir Sie auch dabei, sich gegen diese Forderungen außergerichtlich oder gerichtlich zu verteidigen. Ist der ersatzfähige Schaden hierbei auf die Handlung eines gemeinsam Verantwortlichen oder Auftragsverarbeiters zurückzuführen, prüfen wir, ob Ihrem Unternehmen Regressansprüche zustehen und setzen diese für Sie durch.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

GDPR.Ninja

GDPR steht für: General Data Protection Regulation und bezeichnet die Datenschutz-Grundverordnung, welche seit dem 25.05.2018 unmittelbare Geltung in allen EU-Mitgliedsstaaten entfaltet. Wir möchten für Sie kurz die wesentlichen Aspekte der neuen Regelungen hervorheben und Ihnen unseren Beratungsansatz vorstellen.