DSGVO Datenschutzbeauftragter: Externen Datenschutzbeauftragten bestellen

Externer Datenschutzbeauftragter: Bundesweit vom Anwalt
✔ Kostenfreie Erstberatung
✔ Rund um Betreuung - zum Festpreis
✔ Seit 2012 mehr als 30.000 Fälle im Unternehmensrecht

Externen DSGVO Datenschutzbeauftragten bestellen

Seit 2018 ist die EU-DSGVO (Datenschutz-Grundverordnung) in Kraft. Die unmittelbar geltende europarechtliche Verordnung novelliert den Datenschutz für den gesamten europäischen Raum. Die Mehrheit der Verbraucher begrüßt diesen Wandel.

Für Unternehmen bedeutet die Anpassung an die neuen strikten Anforderungen allerdings einen deutlichen organisatorischen Mehraufwand. Gleichzeitig bietet die DSGVO aber die Chance, sich als verantwortungsbewusstes Unternehmen zu positionieren.

Hohe Sanktionen bei Versäumnissen

Bei Missachtung der neuen Datenschutzgesetze drohen allerdings hohe Bußgelder, bis zu 20 Mio. € oder 4% des weltweiten Umsatzes. Schon deshalb sollten Unternehmen einen Datenschutzbeauftragten beauftragen und die Anforderungen umsetzen.

Für bestimmte Unternehmen ist es verpflichtend, einen Datenschutzbeauftragen (DSB) einzustellen. In der Regel ist dies abhängig von:

der Anzahl der Mitarbeiter
dem Geschäftsfeld
der Art der Daten.

Kaum ein anderes Gesetz im digitalen Bereich hat so viel Aufmerksamkeit erregt wie die DSGVO. Dennoch waren einige Unternehmen bis heute untätig. Wer seiner Pflicht zur Bestellung eines Datenschutzbeauftragen nicht nachkommt, dem droht eine empfindliche Geldbuße durch die zuständige Datenschutzbehörde.

Inhalt

Datenschutzbeauftragter
Datenschutz Schritt für Schritt
Was ist ein DSB?
Wer braucht einen DSB?
Ab wann wird ein DSB benötigt?
Bestellung eines DSB
Dauer
Vorteile
Neuerungen EU DSGVO
Strafen, Bußgelder, Abmahnungen
Förderung
Kunden, Mitarbeiter, Patienten
Datenschutzrecht
Prinzipien
Nach Bestellung des DSB
Fragen unserer User

Andre Kraus, Rechtsanwalt und Gründer der Anwaltskanzlei, ist Ihr Ansprechpartner in Sachen Gründung, Markenrecht, Reputationsschutz und Unternehmensrecht.

Datenschutzbeauftragter für viele Unternehmen

Pflicht

Unternehmen, welche die entsprechenden Voraussetzungen nach der EU-DSGVO erfüllen, sind zur Bestellung eines Datenschutzbeauftragen verpflichtet. Er übernimmt die Verantwortung für die Einhaltung der Datenschutzvorschriften und haftet bei verfehlter Einhaltung. Die Person kann aus den Kreisen der Mitarbeiter oder aber extern bestellt werden.

Dabei muss der Datenschutzbeauftrage die erforderlichen Maßnahmen nicht selbst umsetzen. Vielmehr berät er die Geschäftsführung hinsichtlich der Umsetzung bestimmter Maßnahmen. Letztendlich muss er die rechtskonforme Verarbeitung der Daten gewährleisten.

Externer Datenschutzbeauftragter schont personelle Ressourcen

Der Datenschutzbeauftragte muss nicht zwangsläufig ein Mitarbeiter des Unternehmens sein. Die EU-DSGVO räumt die Möglichkeit ein, einen externen Datenschutzbeauftragten zu bestellen.

Wird ein interner Mitarbeiter bestellt, werden seine zeitlichen Ressourcen für die Zusatz-Aufgaben in Anspruch genommen. Kontinuierliche Weiterbildungsmaßnahmen sind notwendig und es können Interessenkonflikte entstehen. Bei externen Lösungen wird ein fachkundiger Dienstleister engagiert, sodass die internen Mitarbeiter sich ihren gewohnten Aufgaben widmen können.

Datenschutz vom Fachmann schützt Sie vor Abmahnungen und Sanktionen

Die drastischen Geldbußen sind ein zentrales Element der DSGVO. Unternehmen sollen sich dadurch ihrer enormen Verantwortung bewusst werden und den Datenschutz als wichtigen Bestandteil einer jeden unternehmerischen Tätigkeit wahrnehmen. Durch die Verschärfung der Sanktionen, die nun in Höhe von 20 Mio. € verhängt werden können, werden Unternehmen gezwungen, die hohen Anforderungen der DSGVO umzusetzen.

Für viele Unternehmen bedeutet die Anpassung eine erhebliche Umstrukturierung bestehender Prozesse. Die Bestellung eines externen Datenschutzbeauftragten ist eine wirtschaftliche Lösung. Die reguläre Personalstruktur bleibt bestehen, während ein unabhängiges Kontrollorgan die Geschäftsführung zum Thema berät und konkrete Handlungsvorschläge vorbereitet. Ein externer Datenschutzbeauftragter wird der Rolle des überwachenden, beratenden und unabhängigen Kontrolleurs am ehesten gerecht.

Ziele der Datenschutzberatung

Rechtssicherheit
Als im Unternehmensrecht erfahrene Kanzlei können wir Sie umfangreich zum Thema Datenschutzgrundverordnung beraten. Neben der Umsetzung der Anforderungen ist zunächst die Interpretation der Verordnung für betriebliche Prozesse relevant sowie die praktische Umsetzung der Maßnahmen in Ihrem Unternehmen. Wir beraten Sie umfassend und helfen Ihnen bei der Umsetzung der Gesetzevorgaben in praktische Maßnahmen, um Rechtssicherheit zu gewährleisten.
Abmahnsicherheit
Die Missachtung der Vorschriften der DSGVO kann erhebliche wirtschaftliche Folgen für Ihr Unternehmen haben. Doch das Risiko geht nicht nur von den Datenschutzbehörden aus. Wo immer neue Gesetze entstehen und rechtliche Unsicherheit herrscht, entsteht akute Abmahngefahr durch Wettbewerber.

Für die Rechtsmäßigkeit einer Abmahnung muss ein datenschutzrechtlicher Verstoß wettbewerbsrechtliche Relevanz haben. Auch wenn nicht alle Abmahnungen gerechtfertigt sind, nimmt die juristische Verteidigung Zeit und finanzielle Ressourcen in Anspruch. Die erforderliche Umsetzung der gesetzlichen Datenschutzanforderungen lässt sich durch eine anwaltliche Datenschutzberatung und Bestellung eines Datenschutzbeauftragten sicherstellen.
Bußgeldschutz
Verstöße gegen die geltenden Datenschutzgesetze wurden schon vor der DSGVO geahndet. Bisher enthielt der Bußgeldkatalog Sanktionen von 50.000 bis 300.000 €. Allerdings musste der Verstoß billigend in Kauf genommen oder sogar bewusst vollzogen worden sein. Die neue EU-DSGVO sieht deutlich drastischer Geldbußen vor. Da das Gesetz auch darauf abzielt, internationale Großkonzerne, wie Facebook und Google, zur DSGVO-Compliance anzuhalten, wurden die Sanktionen dementsprechend angepasst.

In Abhängigkeit vom Ausmaß des Verstoßes können 10 Mio. oder sogar 20 Mio. € Bußgeld verhängt werden. Ist das Unternehmen als Konzern zu kategorisieren, so kann die Geldbuße in Höhe von 2 bis 4 % des weltweiten Jahresumsatzes verhängt werden. Die Investition in einen gesetzeskonformen Datenschutz schützt Sie vor den drastischen Bußgeldern der DSGVO.
Outsourcing an externen Datenschutzbeauftragen
Um personelle Ressourcen zu schonen und den fortlaufenden Weiterbildungsaufwand für einen internen Mitarbeiter zu minimieren, empfehlen wir die Bestellung eines externen Datenschutzbeauftragen. Im Rahmen unserer rechtlichen Beratung übernehmen wir den formalen Prozess der Bestellung sowie die juristische und formale Vorbereitung und Durchführung.
Steigerung des Kundenvertrauens
Die hohen Anforderungen des neuen Datenschutzgesetzes können als Wettbewerbsvorteil genutzt werden. Auch wenn die DSGVO Unternehmer zur Umstellung zwingt, wünschen sich die meisten Verbraucher mehr Kontrolle über den Umgang mit den eigenen Daten. Unternehmen müssen eine transparente und verantwortungsvolle Verarbeitung von personenbezogenen Daten ihrer Kunden und Mitarbeiter praktizieren. Eine frühzeitige Positionierung als verantwortungsbewusstes und zukunftsweisendes Unternehmen in Sachen Datenschutz, verschafft Ihnen einen klaren Wettbewerbsvorteil. Einen externen Datenschutzbeauftragten zu benennen ist der erste Schritt zur Anerkennung der neuen Anforderungen.
Weiterbildung Ihrer Mitarbeiter
Die Weiterbildung der Mitarbeiter wird für die Umsetzung des Datenschutzes notwendig. Der externe Datenschutzbeauftragte verfügt von Beginn an über das entsprechende Fachwissen und kann Ihre Mitarbeiter im gesetzeskonformen Umgang mit Daten schulen. Die Sensibilisierung aller Mitarbeiter ist erforderlich, damit fortlaufende datenschutzrechtliche Verstöße vermieden werden.
Förderfähige Datenschutzberatung
Unsere vom Bundesamt für Wirtschaft und Ausfuhrkontrolle geprüften Datenschutzbeauftragen verfügen über vertiefte Fachkenntnisse und juristische Vorerfahrung. Unsere Datenschutzberatung erfüllt die hohen Standards, die erforderlich sind, um eine staatliche Förderung zu erhalten. Bis zu 75% der Kosten lassen sich so sparen. Die Förderfähigkeit ist fester Bestandteil unserer Beratung.
Keine Formalitäten
Die Umsetzung der DSGVO ist ein formal aufwändiger und komplizierter Prozess. Viele Unternehmer beschweren sich über den zeitlichen Aufwand und die Ablenkung vom operativen Tagesgeschäft, die mit der Umsetzung der Richtlinie einhergehen. Mit unserer Beauftragung lagern Sie den formalen Prozess der Bestellung und Schulung eines Datenschutzbeauftragten an uns aus und können sich auf Ihr Kerngeschäft fokussieren. Der externe Datenschutzbeauftragte analysiert Ihre Geschäftsabläufe und entwirft ein individuelles Datenschutzkonzept für die Umsetzung der DSGVO in Ihrem Unternehmen

Anleitung zur Umsetzung Ihres DSGVO – Datenschutzkonzepts Schritt für Schritt

So gehen wir für Sie vor

1 KOSTENLOSE ERSTBERATUNG
Im Rahmen unserer anwaltlichen kostenlosen Erstberatung können wir Ihnen grundlegende Fragen zum Thema Datenschutz beantworten. Sie erfahren, ob Sie einen Datenschutzbeauftragten benötigen und welche individuellen Anforderungen an Ihr Datenschutzkonzept bestehen.
2 BESTELLUNG DES EXTERNEN DATENSCHUTZBEAUFTRAGEN
Verlangt die DSGVO von Ihnen die Bestellung eines Datenschutzbeauftragten, so weisen wir Ihnen einen erfahrenen Fachmann zu, dessen berufliche Qualifikationen auf die Datenschutzbedürfnisse Ihres Unternehmens zugeschnitten sind.
3 DATENSCHUTZBERATUNG
Es erfolgt die umfangreiche Datenschutzberatung durch Ihren Datenschutzbeauftragten. Alle Fragen zum Thema Datenschutz-Compliance werden hier beantwortet, sofern dies ohne Analyse Ihrer aktuellen Prozesse möglich ist. Im Anschluss haben Sie einen detaillierten Überblick über die Anforderungen an die Rechtskonformität.
4 ANALYSE DES IST-ZUSTANDS IHRES DATENSCHUTZKONZEPTS
Ihr Datenschutzbeauftragter wird Ihr aktuelles Datenschutzkonzept, falls vorhanden, analysieren und hinsichtlich der DSGVO-Compliance überprüfen.
5 DATENSCHUTZ-AUDIT
Im Anschluss an die Analyse erfolgt der Datenschutz-Audit. Ihr externer Datenschutzbeauftragter wird in Ihrem Unternehmen alle betrieblichen Prozesse bezüglich ihrer datenschutzrechtlichen Relevanz untersuchen.
6 ERSTELLUNG EINES AUDITBEREICHTS UND MAßNAHMENKATALOGS
Die Ergebnisse des Audits werden Ihrer Geschäftsführung in einem detaillierten Auditbericht präsentiert. Gleichzeitig schlägt der Datenschutzbeauftragte Maßnahmen vor, die zur Erreichung der Gesetzeskonformität durchgeführt werden müssen.
7 ERSTELLUNG IHRES DATENSCHUTZKONZEPTS
Basierend auf den Ergebnissen des Auditberichts und dem Maßnahmenkatalog wird ein individuelles Datenschutzkonzept ausgearbeitet. Es umfasst sowohl einmalige Maßnahmen zur Erreichung des gewünschten Zustands als auch konkrete Handlungsanweisen für den laufenden Betrieb.
8 HANDLUNGSANWEISUNGEN; MAßNAHMEN; SCHULUNGEN
Um das Datenschutzkonzept umzusetzen, arbeitet Ihr Datenschutzbeauftragter konkrete Handlungsanweisungen aus, die Sie an Ihre Mitarbeiter weiterleiten können. Er nimmt die technisch-organisatorischen Maßnahmen vor, schult Ihre Mitarbeiter, setzt Standardprozesse auf und optimiert Ihre firmenspezifischen Verarbeitungstätigkeiten in datenschutzrechtlicher Hinsicht. Er ergreift alle erforderlichen Maßnahmen und gibt Ihnen konkrete Handlungsanweisungen an die Hand.
9 UMSETZUNG DES KONZEPTES
Die komplette Umsetzung des Datenschutzkonzeptes nimmt schätzungsweise ein Jahr in Anspruch. Ihr Datenschutzbeauftragter überwacht fortlaufend die Umsetzung des Konzeptes und hilft Ihnen, den Geschäftsbetrieb kontinuierlich an die neuen Anforderungen anzupassen. Er prüft laufend Dokumente, die Konformität der eingesetzten Software und schult Ihre Mitarbeiter.
10 LAUFENDE BETREUUNG
Der Datenschutzbeauftragte begleitet Sie fortlaufend und handelt entsprechend seinen Pflichten. Zu den wiederholenden Aufgaben gehört die Beratung der Mitarbeiter und der Geschäftsführung, die kontinuierliche Prüfung und Kontrolle der DSGVO-Compliance, die Kommunikation mit Behörden und Betroffenen sowie die Fortentwicklung und Anpassung Ihres Datenschutzkonzeptes an aktuelle Entwicklungen.

Mehr zum Datenschutzkonzept

Was ist ein Datenschutzbeauftragter?

Überblick Datenschutzbeauftragter

Der Datenschutzbeauftragte ist eine fachkundige Person, welche die Einhaltung der Datenschutzgesetze bei betrieblichen Prozessen zu verantworten hat. Die Aufgabe kann durch einen internen Mitarbeiter oder einen externen Dienstleister wahrgenommen werden.
Schon durch das alte Bundesdatenschutzgesetz waren Unternehmen zur Bestellung eines Datenschutzbeauftragten angehalten. Mit der EU-Datenschutz-Grundverordnung, die 2018 europaweit in Kraft getreten ist, nahm der Druck auf Unternehmen zu.
Der Datenschutzbeauftragte ist nicht weisungsgebunden und hat keine Weisungsbefugnis im Unternehmen. Er tritt vielmehr als Mediator zwischen der Geschäftsleitung und dem Datenschutz auf. In manchen Anliegen wendet er sich beratend an die Datenschutzbehörde.
Aufgrund der hohen fachlichen Anforderungen an den DSB empfiehlt es sich, einen externen Dienstleister für die Aufgabe zu engagieren. Die Schulung eines internen Mitarbeiters ist in der Praxis häufig zu aufwändig und zeitlich ineffizient.

Die Bestellung eines Datenschutzbeauftragen ist bereits seit Einführung des Bundesdatenschutzgesetzes (BDSG) verpflichtend für einige Unternehmen. Mit dem Inkrafttreten der EU-DSGVO wurden die Anforderungen an den Datenschutzbeauftragten sowie die Sanktionen bei Missachtung drastisch erhöht. Unternehmen, die mehr als zehn Mitarbeiter haben und automatisiert Daten verarbeiten, haben einen Datenschutzbeauftragten einzustellen. Wenn Sie es noch nicht getan haben, sollten Sie schnellstmöglich einen Datenschutzbeauftragten benennen.

Aufgaben und Arten von Datenschutzbeauftragten

Allgemein gefasst soll der Datenschutzbeauftragte dafür sorgen, dass alle datenschutzrechtlichen Anforderungen an ein Unternehmen eingehalten werden, während es personenbezogene Daten verarbeitet. Obwohl Unternehmen ihn selbst bestellen und bezahlen müssen, soll er als unabhängiges Kontrollorgan fungieren. Er überprüft die Prozesse der Verarbeitung personenbezogener Daten. Stellt er Verstöße gegen das Bundesdatenschutzgesetz (BDSG) oder die EU-DSGVO fest, so muss er Maßnahmen entwickeln, um Abhilfe zu schaffen.

Es gibt unterschiedliche Arten von Datenschutzbeauftragten. Zunächst kann zwischen der Organisation unterschieden werden, für die er tätig ist. Behörden müssen Datenschutzbeauftragte ebenso bestellen wie Unternehmen.

Die grundlegende Frage, die sich für Unternehmen stellt, ist zudem, ob ein Angestellter als Datenschutzbeauftragter ausgebildet oder ein externer Datenschutzbeauftragter bestellt wird.

Mehr zu Aufgaben & Arten

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Datenschutzbeauftragter Pflicht: Wer braucht einen DSB?

Grundsätzlich wird zwischen dem Datenschutzbeauftragen für öffentliche und nichtöffentliche Stellen unterschieden. Öffentliche Stellen müssen einen behördlichen Datenschutzbeauftragen anmelden.

Nichtöffentliche Stellen, wozu Unternehmen und Vereine zählen, haben einen Datenschutzbeauftragen zu beauftragen, sobald die Voraussetzungen des § 38 BDSG erfüllt sind. Unterschieden wird zwischen drei unterschiedlichen Konstellationen:

Es werden mindestens neun Mitarbeiter beschäftigt und personenbezogene Daten automatisiert verarbeitet. Die Art der Mitarbeiter ist dafür irrelevant. Eine Vollbeschäftigung oder Festanstellung sind nicht erforderlich, um als Mitarbeiter eingestuft zu werden. Die Automatisierung ist bereits dann erfüllt, wenn die Verarbeitung am Computer vollzogen wird ( 4f Abs. 1 Satz 3 BDSG).
Die automatisierte Erhebung und Verarbeitung von personenbezogenen Daten gehört zum Geschäftsmodell des Unternehmens. Typische Beispiele sind Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Bei dieser Art von Geschäftsmodell ist die Anzahl der Mitarbeiter irrelevant ( 4f Abs. 1 Satz 5 BDSG).
Jedes Unternehmen, das sensible personenbezogene Daten verarbeitet, muss einen Datenschutzbeauftragten bestellen. Die Sensibilität liegt vor, wenn etwa Daten bezüglich der Bonität oder Gesundheit einer Person verarbeitet werden ( 4f. Abs. 1 Satz 5 BDSG).

Ab wann wird ein Datenschutzbeauftragter benötigt?

Überblick Stichtag

Grundsätzlich muss ein Datenschutzbeauftragter schon seit der Einführung des Bundesdatenschutzgesetzes bestellt werden.
Durch die Einführung der neuen Datenschutz-Grundverordnung der EU (DSGVO) steigt der Druck auf Unternehmen, den datenschutzrechtlichen Verpflichtungen nachzukommen.
Spätestens seit dem 25.05.2018 sollten Unternehmen, die dazu verpflichtet sind, einen Datenschutzbeauftragten bestellen. Andernfalls drohen hohe Bußgelder, bis zu 20 Mio. €

Unternehmen, die generell aufgrund ihrer Größe, ihres Geschäftsmodells oder ihrer Verarbeitung von personenbezogenen Daten zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, benötigen genau betrachtet schon seit Längerem einen solchen. In vielen Betrieben hat der Datenschutz allerdings bisher nur eine untergeordnete Rolle gespielt. Die Einführung der EU-Datenschutz-Grundverordnung soll diesen Umstand beseitigen und Unternehmen zur Compliance bewegen.

Deutlich höhere Bußgelder drohen

Wurde ab dem Stichtag des endgültigen Inkrafttretens der DSGVO kein Datenschutzbeauftragter bei der zuständigen Datenschutzbehörde angemeldet, so laufen Unternehmen Gefahr, Subjekt von drastischen Sanktionen der DSGVO zu werden. Es können bei Missachtung der Vorschriften Bußgelder in Höhe bis zu 20 Mio. € verhängt werden.

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Bestellung des Datenschutzbeauftragten

Überblick Bestellung eines Datenschutzbeauftragten

Unter der Bestellung des Datenschutzbeauftragten versteht man die offizielle Ernennung, Anmeldung oder Beauftragung einer verantwortlichen Person. Ist die Bestellung vollzogen, so ist er der Verantwortliche für alle datenschutzrechtlich-relevanten Anliegen im Unternehmen
Neben dem Unterschreiben eines Vertrags, wird eine offizielle Datenschutzurkunde ausgestellt und die Kontaktdaten der benannten Person werden an die zuständige Datenschutzbehörde übermittelt.
Vor der Bestellung muss ein qualifizierter Kandidat für das Amt des Datenschutzbeauftragten gefunden werden. Wenn Sie einen externen Dienstleister dafür engagieren, wird der Auswahlaufwand deutlich reduziert.

Die Bestellung bezeichnet im Endeffekt nichts anderes als die Benennung eines Datenschutzbeauftragten. Durch die offizielle Ernennung werden die Pflichten und Verantwortungen an diese Person juristisch übertragen. Fortan ist der Datenschutzbeauftragte dazu verpflichtet, die Aufgaben vollumfassend zu erfüllen und die Datenschutzgesetze im Unternehmen durchzusetzen.

Wie bereits eingangs erwähnt, muss er nicht aus dem Unternehmen selbst stammen. Die Bestellung eines externen Datenschutzbeauftragten ist möglich. Die interne Bestellung hat zur Folge, dass der Mitarbeiter geschult werden muss. Ein externer Beauftragter ist bereits ausgebildet. Er muss lediglich mit den Prozessen im Betrieb vertraut gemacht werden.

Bestellung wird durch Urkunde festgehalten

Da dem Datenschutzbeauftragten anspruchsvolle und juristisch relevante Aufgaben übertragen werden, sollte die Bestellung offiziell durch eine Urkunde festgehalten werden.

Die Frage nach der Geeignetheit bei interner Bestellung
Entscheiden Sie sich für die Bestellung eines internen Datenschutzbeauftragten, ist die Frage der Geeignetheit von enormer Bedeutung. Als unabhängiges Kontrollorgan ist der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt und erhält Einblicke in die Planung des operativen Betriebs. Er muss geeignet sein, die anstehenden Schulungsmaßnahmen eigenverantwortlich zu durchlaufen und die fachlichen Kenntnisse zu erwerben. Im Optimalfall besteht bereits eine juristische Vorbildung, insbesondere im Hinlick auf Datenschutzgesetze.

Umfangreiche Lernbereitschaft nötig

Einen internen Mitarbeiter zum Datenschutzbeauftragten umzuschulen verlangt die Eignung und die Bereitschaft des Mitarbeiters. Zukünftig wird sein Aufgabenfeld durch neue Tätigkeiten erweitert und das bisherige Aufgabenfeld eventuell drastisch beschränkt. In jedem Fall muss die Bereitschaft vorliegen, die enorme Verantwortung zu übernehmen. Schließlich kann ein Verstoß gegen das Datenschutzgesetz zu einer Geldbuße in Millionenhöhe für das Unternehmen führen.

Überblick über geschäftliche Prozesse vorausgesetzt

Zudem muss der Mitarbeiter einen Überblick über die internen Datenverarbeitungsprozesse haben. Einen Mitarbeiter zu schulen, der weder die Prozesse kennt noch datenschutzrechtliche Kenntnisse hat, ist doppelt unwirtschaftlich. Ein externer Beauftragter hat bereits die juristischen Fähigkeiten und muss lediglich an die Prozesse der Datenverarbeitung im Unternehmen herangeführt werden.

Kommunikationsfähigkeiten von großer Bedeutung

Neben den fachlichen Kenntnissen benötigt Ihr Mitarbeiter Kommunikationsfähigkeiten. Er ist für die Umsetzung der Anforderungen, Einhaltung der Richtlinien und Schulung der Mitarbeiter verantwortlich. Dadurch steht er sowohl mit der Geschäftsführung als auch mit einzelnen Mitarbeitern im Kontakt. Ein externer Datenschutzbeauftragter erfüllt bereits alle Anforderungen. Zudem fällt dann kein interner Mitarbeiter für den alltäglichen operativen Geschäftsbetrieb weg.

Erlernen der Datenschutzanforderungen umfangreicher als Einarbeitung in interne Prozesse

Ein externer Datenschutzbeauftragter ist nur selten in einem einzelnen Unternehmen tätig. Häufig organisiert er den Datenschutz in zahlreichen ähnlichen Betrieben. Auch wenn jedes Unternehmen individuelle Prozesse und Strukturen hat, ist die technische Varianz der datenverarbeitenden Prozesse nicht besonders groß. Da externe Datenschutzbeauftragte es gewohnt sind, in unterschiedlichen Unternehmen mit unterschiedlichen Prozessen zu arbeiten, ist ihre Einarbeitung deutlich weniger zeitintensiv als die komplette Schulung eines Internen im Hinblick auf den Themenkomplex Datenschutz.

Bestellung eines externen Datenschutzbeauftragten meist wirtschaftlicher

In der überwiegenden Mehrheit der Fälle ist es für Unternehmen deutlich wirtschaftlicher, einen externen Datenschutzbeauftragten zu bestellen. Nur ein Bruchteil der Unternehmen verarbeitet personenbezogene Daten in derart technisch-komplizierter Weise, dass ein externer Datenschutzbeauftragter sich nicht einarbeiten kann. Lediglich in diesem Szenario sollten Unternehmen einen internen Datenschutzbeauftragten suchen.

Dauer bis zur Umsetzung Ihres DSGVO – Datenschutzkonzepts

Bestellung des externen Datenschutzbeauftragten - i.d.R. 1 Tag
Wir bestellen meist innerhalb eines Tages einen geeigneten externen Datenschutzbeauftragten, der den Anforderungen Ihres Unternehmens gerecht ist. Er verfügt über vertiefte Fachkenntnisse in der betrieblichen Umstellung und der DSGVO-Compliance. Durch eine fachgerechte Ausbildung und praktische Erfahrung verhilft er Ihnen zur erstmaligen und dauerhaften Anpassung an die Anforderungen der DSGVO.
Analyse des Ist-Zustandes Ihres Datenschutzkonzeptes – circa 1 Woche
Nach der Bestellung des externen Datenschutzbeauftragten wird er Ihr aktuelles Datenschutzkonzept analysieren. Dabei geht er insbesondere auf akute Gefahren und Risiken ein, die durch schwerwiegende Datenschutzverstöße drohen. Er benötigt dafür i.d.R. circa 1 Woche.
Datenschutz-Audit, Erstellung eines Auditberichts und Maßnahmenkatalogs sowie Erstellung des Datenschutzkonzeptes – 1 Monat
Im Anschluss an die Analyse wird der Datenschutzbeauftragte einen umfangreichen Datenschutz-Audit vornehmen. Dabei werden alle Prozesse nach datenschutzrechtlicher Relevanz überprüft. Nach dem Audit steht fest, welche Prozesse in Ihrem Unternehmen an die neuen gesetzlichen Anforderungen angepasst werden müssen. Der Geschäftsführung werden die Ergebnisse in Form eines Auditberichts präsentiert. Zudem legt der Datenschutzbeauftragte einen Maßnahmenkatalog, der zur Umsetzung eines gesetzlich-konformen Datenschutzkonzeptes geeignet ist, vor.
Umsetzung Ihres Datenschutzkonzeptes – 1 Jahr Ihres Datenschutzkonzeptes
Die Umsetzung des Datenschutzkonzeptes ist ein umfangreicher Prozess, der in den meisten Fällen eine grundlegende Anpassung oder Umstellung Ihres Betriebs erfordert. Der realistische Zeitraum zur Erreichung der DSGVO-Konformität beträgt circa ein Jahr. Der Datenschutzbeauftragte wird Sie in diesem Zeitraum begleiten und intensiv beraten. Durch die Gewährung der besonderen Stellung in Ihrem Unternehmen, die gesetzlich vorgeschrieben ist, plant und optimiert er mit der Geschäftsführung gemeinsam die datenerhebenden Prozesse und die sonstigen formalen Anforderungen nach der DSGVO. Innerhalb eines Jahres wird Ihr Unternehmen datenschutzkonform.
Laufende Betreuung Ihres Datenschutzkonzeptes
Die Prinzipien der DSGVO sehen vor, dass sich Unternehmen kontinuierlich um die Verbesserung und Optimierung ihres eigenen Datenschutzkonzeptes bemühen. So muss der technische Datenschutz beispielsweise mit den technologischen Entwicklungen Schritt halten. Ihr Datenschutzbeauftragter kontrolliert und überwacht die juristischen und technologischen Entwicklungen und passt Ihr Datenschutzkonzept fortlaufend an die veränderten Anforderungen an.

Vorteile eines externen Datenschutzbeauftragten

Vorteile

Rechtssicherheit
Die drohenden Sanktionen bei Datenschutzverstößen sind enorm und gefährden selbst die Existenz großer Unternehmen. Durch die Beratung durch eine erfahrene Kanzlei verlassen Sie sich auf versierte juristische Fachleute. Die professionelle Umsetzung eines stichhaltigen Datenschutzkonzeptes bewahrt Sie vor Sanktionen und garantiert Rechtssicherheit.
Abmahnsicherheit
Werden Datenschutzvorgaben der DSGVO ignoriert oder unzulänglich umgesetzt, droht nicht nur eine Sanktion durch die Datenschutzbehörde. Eine weitere Gefahr geht von teuren Abmahnungen aus, die aus unterschiedlichen Gründen erfolgen können. Liegt ein wettbewerbsrechtlicher Verstoß Versäumnisse bei der Umsetzung eines Datenschutzkonzeptes vor, kann ein Wettbewerber abmahnen. Zudem können Abmahnungen durch Anwaltskanzleien oder Verbraucherschutzverbände ergehen. Die ganzheitliche Umsetzung der Datenschutzanforderungen mit anwaltlicher Betreuung schützt Sie vor teuren Abmahnungen.
Bußgeldschutz
Auch vor dem Inkrafttreten der EU-DSGVO bestand die Gefahr von Bußgeldern wegen Datenschutzverstößen. Allerdings bewegten diese sich um Rahmen von 50.000 bis 300.000 Euro. Mit der DSGVO wurde die Höhe drastisch verschärft. So können 10 bis 20 Mio. Euro verhängt werden, alternativ 4 % des Jahresumsatzes, wenn es sich um größere Konzerne handelt. Bei der Bemessung wird die gesamte wirtschaftliche Einheit herangezogen, sodass der Verstoß eines Tochterunternehmens ausreicht, um den Umsatz des Konzerns heranzuziehen. Einen externen Datenschutzbeauftragten zu bestellen schützt Sie vor derartigen Bußgeldern.
Outsourcing und Enthaftung
Ein externer Datenschutzbeauftragter entbindet den Geschäftsführer von der Notwendigkeit, sich tiefgehend mit dem Thema Datenschutz zu befassen. Der Datenschutzbeauftragte hält mit aktuellen Entwicklungen Schritt und entwickelt mit Ihnen gemeinsam die richtigen Maßnahmen. Gleichzeitig ist er für die Überwachung der Einhaltung der Gesetze zur jeder Zeit verantwortlich. Liegt ein Verstoß im Unternehmen vor, auf den er nicht aufmerksam macht, haftet er. Bei Bestellung eines externen Datenschutzbeauftragten obliegt diese Haftung somit keinem Mitarbeiter, dessen Fehlverhalten aufgrund der innerbetrieblichen Haftung das Unternehmen selbst haftbar machen würde.
Aufbau von Kundenvertrauen
Unternehmen mit einem externen Datenschutzbeauftragten kommunizieren, dass sie den Schutz der teils sensiblen Informationen der Kunden ernst nehmen. Das Thema Datenschutz gegenüber seinen Kunden zu kommunizieren verschafft Vertrauen, da Verbraucher und Unternehmen sich zunehmend um die eigenen Daten, vor allem im Internet, sorgen.
Sensibilisierung Ihrer Mitarbeiter
Die EU-DSGVO ist erst der erste Schritt. Zukünftig wird die e-Privacy-Richtlinie erwartet, welche bestimmte Anliegen der DSGVO konkretisieren. Die frühzeitige Sensibilisierung der Mitarbeiter für diesen Prozess sorgt für eine rechtzeitige Anpassung. Der externe Datenschutzbeauftragter wird Ihre Mitarbeiter schulen und mit den notwendigen Grundkenntnissen ausstatten, um mit dieser Entwicklung Schritt zu halten.
Förderfähige Datenschutzberatung
Wird die Datenschutzberatung durch einen akkreditieren Datenschutzbeauftragten durchgeführt, besteht die Möglichkeit, die Kosten mit einer Beteiligung bis zu 75% fördern zu lassen.

Die EU-DSGVO – Was hat sich geändert?

Überblick DSGVO

Die DSGVO orientiert sich in vielen Bereichen an dem alten BDSG. Dennoch weitet sie die Verantwortung für den Umgang mit personenbezogenen Daten für verantwortliche Stellen aus. Neben den alten Rechten werden für betroffene Personen neue geschaffen.
Zudem wurden die Sanktionen der Datenschutzbehörden drastisch verschärft. Es sind Geldbußen in Höhe von bis zu 20 Mio. € möglich.
Die DSGVO macht deutlich, dass der Datenschutz nun ein elementarer Bestandteil einer jeden unternehmerischen Organisation ist und dementsprechend ernstgenommen werden sollte.

Jedes Unternehmen, das personenbezogene Daten automatisiert verarbeitet und mehr als zehn Personen beschäftigt, muss einen Datenschutzbeauftragten bestellen. Dasselbe gilt für Unternehmen, die besonders sensible personenbezogene Daten verarbeiten, die etwa über Gesundheit, Bonität, Sexualleben, Religion oder politischer Meinung einer Personen Auskunft geben könnten oder deren Kerngeschäft aus der Verarbeitung personenbezogener Daten besteht. Mit Inkrafttreten der EU-DSGVO wurden die Pflichten deutlich ausgeweitet.

Für deutsche Unternehmen galt bereits vor der EU-DSGVO das BDSG, welches Rechte von Nutzern und Kunden definierte. Während zahlreiche Neuerung die Nutzer mit zusätzlichen Rechten ausstatten, wurden bereits bestehende Rechte erweitert. Unternehmen müssen ihre datenverarbeitenden Prozesse so einrichten, dass die betroffenen Personen ihre Rechte geltend machen können.

Mehr zur DSGVO

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Strafen, Bußgelder und Abmahnungen

Überblick Strafen, Bußgelder, Abmahnungen

Die EU-DSGVO vereinheitlich auch die Geldbußen und Sanktionen, die von Datenschutzbehörden verhängt werden können. Datenschutzbehörden haben die Möglichkeit, Geldbußen in Höhe von bis zu 20 Mio. Euro oder bei Konzernen 4% des weltweiten Umsatzes zu verhängen
Die Sanktionen betreffen nicht nur Unternehmen, die ihren Sitz in der EU haben. Auch internationale Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, können hiervon betroffen sein.
Die Anzeige eines Datenschutzverstoßes kann von vielen Stakeholdern eines Unternehmens ausgehen. Das beste Mittel zum Vorbeugen ist die DSGVO-Compliance und die Ernennung eines Datenschutzbeauftragten.
Abmahnungen sind die zweite Gefahr bei Verstößen gegen die DSGVO. Abgemahnt zu werden ist sogar wahrscheinlicher, als von einer Datenschutzbehörde sanktioniert zu werden. Der Verstoß gegen die DSGVO muss dafür aber wettbewerbsrechtliche Relevanz haben.
Folge der Abmahnungen ist meistens der Zwang zum Unterschreiben einer Unterlassungserklärung.

Sanktionen

Um die neuen strengeren Anforderungen der DSGVO an datenverarbeitende Unternehmen durchzusetzen, wurde die Einführung drastischer Bußgelder beschlossen. Die Höhe der Sanktionen wurde derart ausgestaltet, dass die Verhängung eines Bußgeldes sogar die Existenz eines Unternehmens bedrohen kann.

Die rechtliche Grundlage für Geldbußen finden sich in Art. 83, 84 DSGVO. Darüber hinaus bestimmen die einzelnen Mitgliedsstaaten die strafrechtlichen Sanktionen selbst.

Begeht ein Unternehmen einen Verstoß gegen das Datenschutzrecht, besteht die Gefahr der Anzeige gegenüber der zuständigen Datenschutzbehörde. Jeder kann Verstöße anzeigen, u.a. Datenschutzbehörden, Mitarbeiter oder Kunden.

Abmahnungen

Gefahr droht nicht nur von Datenschutzbehörden. Sie haben überwiegend eine Beratungsfunktion und vergeben nach eigener Aussage zunächst eine Verwarnung, bevor sie von dem drastischen Bußgeldkatalog Gebrauch machen. Die größere Gefahr geht von Abmahnungen auf nationaler Ebene aus, die ebenfalls von unterschiedlichen Akteuren erfolgen können.

Datenschutzrechtliche Abmahnungen werden dann versendet, wenn der Verstoß gegen das Datenschutzgesetz dem Unternehmen einen wettbewerblichen Vorteil verschafft hat.

Im Gegensatz zu vielen anderen EU-Ländern, hat Deutschland ein Verbandsklagerecht bei Datenschutzverstößen durchgeführt. Somit besteht nicht nur für direkte Wettbewerber, sondern auch für Verbraucherschutz- oder Wettbewerbsverbände ein Recht zur Abmahnung.

Sollte tatsächlich ein wettbewerbsrechtlicher Datenschutzverstoß vorliegen und die Abmahnung somit berechtigt sein, so müssen abgemahnte Unternehmen mit teuren Folgen rechnen. Bei Abmahnungen droht der Zwang zum Unterschreiben einer Unterlassungserklärung, die Begleichung der Rechtskosten des Abmahners, die Zahlung von Schadensersatz (§ 9 UWG) oder im schlimmsten Fall die Gewinnabschöpfung der Gewinne, die der Verantwortliche durch die Missachtung der Datenschutzanforderungen erwirtschaftet hat.

Wir helfen Ihnen, sich gegen drohende Bußgelder, Strafen und Abmahnungen zu wehren.

Mehr zu Bußgeldern & Abmahnungen

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Förderung der Datenschutzberatung

Überblick Förderung

Das Bundesamt für Wirtschaft und Ausführkontrolle fördert die Datenschutzberatung mit einem Zuschuss.
Junge, mittelständische und Unternehmen in schwierigen Situationen sind zur Förderung berechtigt.
Die Höhe des Zuschusses ist abhängig von der Unternehmensart und der Region des Standortes.

Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) fördert die Unternehmensberatung von Startups und etablierten Unternehmen im Auftrag des Bundesministeriums für Wirtschaft (BMWi). Hinsichtlich des Datenschutzes und der neuen DSGVO bestehen umfangreiche Fördermöglichkeiten, um die Umstellung zu einem gesetzeskonformen Umgang mit Daten vergünstigt durchzuführen. Teile der Leistungen in den Bereichen Datenschutz und Datensicherheit sind förderfähig.

Staatliche Förderung des Datenschutzes

Die Datenschutzbeauftragten, die wir Ihnen im Rahmen unserer Datenschutzberatung zuteilen, erfüllen die Anforderungen an die staatlichen Förderungen. Erfüllt Ihr Unternehmen die Voraussetzungen, ist eine Förderung für Sie möglich. Wir unterstützen Sie bei der Antragsstellung.

Unterschiedliche Unternehmen antragsberechtigt

Der Beratungszuschuss zur „Förderung unternehmerischen Knowhows“ wird über die BAFA organisiert. Beratungsrichtlinien dazu wurden 2016 erlassen, sodass seitdem folgende Unternehmen antragsberechtigt sind:

Startups: Nicht älter als zwei Jahre
Etablierte Unternehmen: Im dritten Bestandsjahr
Unternehmen in Schwierigkeiten: Finanzielle schwierige Situation

Um von der Förderung zu profitieren, muss der Sitz des Unternehmens innerhalb der Bundesrepublik liegen. Zudem zielt die Förderung auf kleine und mittelständische Unternehmen ab, die dem Bild der EU-Mittelstandsdefinition entsprechen.

Juristische, öffentliche und insolvente Unternehmen sind ausgeschlossen

Freiberufler und Unternehmen, die als Unternehmens-, Wirtschafts- oder Steuerberatung oder anderweitig im Rechtswesen oder der Insolvenzverwaltung tätig sind, sind von der Förderung ausgeschlossen. Dasselbe gilt für Unternehmen, die sich im Insolvenzverfahren befinden oder die Voraussetzungen zur Eröffnung erfüllen sowie für Unternehmen, die an religiösen Gemeinschaften, juristischen Personen öffentlichen Rechts oder deren Eigenbetrieben beteiligt sind. Vereine und gemeinnützige Unternehmen sind ebenfalls von der Förderung ausgeschlossen.

Höhe der Förderung abhängig von Region und Unternehmensart

Die Förderung erfolgt in Form eines Zuschusses zu den Beratungskosten. Er wird aus der maximal förderbaren Summe in Abhängigkeit vom Unternehmensstandort ermittelt. Die Bemessungsgrundlage für Startups beträgt maximal 4.000 €, für etablierte Unternehmen 3.000 € und für Unternehmen in Schwierigkeiten ebenfalls 3.000 €. Unternehmen in den neuen Bundesländern erhalten dabei den Zuschuss in Höhe von 80% (außer Berlin und Leipzig), also maximal 3,200 Euro. Betriebe der Region Lüneburg in Höhe von 60% und in den sonstigen Regionen in Höhe von 50%. Unternehmen in schwierigen finanziellen Situation können unabhängig vom Standort mit 90% gefördert werden.

Umfangreiche Beratung zur Förderung und Antragsstellung

Im Rahmen unserer Datenschutzberatung können wir Sie umfangreich zur Förderbarkeit Ihres Unternehmens beraten. Wir helfen Ihnen bei der Vorbereitung des Antrags sowie der Erstellung der notwendigen Unterlagen.

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Datenschutz gegenüber Kunden, Mitarbeitern, Patienten

Überblick

Nach Inkrafttreten der DSGVO müssen Unternehmen auf die stärkeren Anforderungen des Datenschutzes gegenüber Kunden und Interessenten reagieren. Neben den bereits bestehenden Rechten durch das deutsche BDSG-alt, wurden neue Rechte für EU-Bürger aus dem gesamten EU-Raum geschaffen. Der Verstoß gegen den gesetzlichen Datenschutz gegenüber Kunden kann in einer hohen Geldstrafe oder einer Abmahnung münden. Für Unternehmen besteht ein bedeutsamer Mehraufwand, sowie die Pflicht zur Anmeldung eines Datenschutzbeauftragten.
Neben der erforderlichen Neuausrichtung der Behandlung personenbezogener Daten von außen, müssen Unternehmen auch intern erhöhte Anforderungen an den Datenschutz erfüllen. Die Anforderungen betreffen auch den Umgang mit Daten von Mitarbeitern sowie die IT-Infrastruktur.
Auch Arztpraxen müssen sich auf erhöhte Anforderungen einstellen. Allgemein unterliegen sie denselben Anforderungen wie Unternehmen. Die DSGVO sieht die sensiblen Patientendaten allerdings als besonders schutzwürdig und verlangt zusätzliche Maßnahmen.

Datenschutz bei Kunden

Die EU-DSGVO räumt Verbrauchern und Kunden von Unternehmen umfangreiche Rechte zur Kontrolle ihrer Daten ein. Die meisten Unternehmen und Freiberufler werden mindestens an einer Stelle von den gesetzlichen Änderungen berührt. Rechten der Betroffenen münden in zahlreichen Pflichten zum Datenschutz gegenüber Kunden.

Datenschutz bei Mitarbeitern

Die DSGVO beschränkt sich aber nicht nur auf den Umgang mit personenbezogenen Daten von Kunden. Unternehmen müssen auch intern umfangreiche Anpassungen vornehmen, um hohe Bußgeldern oder Abmahnungen zu vermeiden. Das Aufgabenfeld eines Datenschutzbeauftragten erstreckt sich nicht nur auf den externen Umgang, sondern auch auf interne Prozesse der Datenverarbeitung. Die Persönlichkeitsrechte der Arbeitnehmer sind ebenso zu wahren, wie die der Kunden.

Datenschutz bei Patienten

Die DSGVO sieht vor, dass besonders sensible Daten besonders schutzbedürftig sind (Art. 9 DSGVO). Da Ärzte in der Regel Daten von Personen bearbeiten, die Rückschlüsse auf den Gesundheitszustand einer Person zulassen, wird der Datenschutz in der Arztpraxis von dieser besonderen Schutzbedürftigkeit erfasst. Generell ist die Verarbeitung derartiger Daten untersagt (Art. 9 Abs. 1 DSGVO), es sei denn der Betroffene hat eingewilligt (Art. 9 Abs. 2 lit.) a DSGVO). Durch die besondere Sensibilität der Daten sind Ärzte zu einer Datenschutz-Folgeabschätzung verpflichtet (Art. 35 DSGVO). Dabei werden voraussichtliche Risiken bei der Verarbeitung der sensiblen Daten abgeschätzt, um geeignete Maßnahmen zu treffen.

Mehr zu Kunden, Mitarbeitern, Patienten

Datenschutzrecht und Datenschutz

Überblick Datenschutzrecht

Mit zunehmender Technologisierung wurde der Datenschutz in der zweiten Hälfte das 20. Jahrhunderts erstmals thematisiert. Durch zunehmende Ansammlung von personenbezogenen Daten entstand das Bedürfnis nach mehr Regulierung im Umgang mit diesen.

Interessanterweise ist der Datenschutz ein deutsches Konzept. Im Jahr 1970 verabschiedete Hessen das erste Datenschutzgesetz weltweit. Im Jahr 1977 wurde das deutsche Bundesdatenschutzgesetz (BDSG) eingeführt.

Das deutsche und europäische Datenschutzrecht reguliert heute den Umgang mit Daten von Privatpersonen und Unternehmen für Behörden, Unternehmen und Organisationen. Spätestens seit Inkrafttreten der DSGVO rückt das Thema Datenschutz in den Mittelpunkt einer jeden Unternehmenstätigkeit. Zu den Grundlagen und wichtigsten Aspekten des Datenschutzrechts gehören:

der Begriff Datenschutz
der Begriff Persönlichkeitsrecht
die EU-DSGVO
das deutsche BDSG
der Begriff personenbezogene Daten
Datenverarbeitung und DSGVO
Datenweitergabe und DSGVO
Auftragsdatenverarbeitung

Mehr dazu erfahren Sie über den nachfolgenden Link

Mehr zum Datenschutzrecht

Rechte und Pflichten

Überblick Rechte und Pflichten

Die europäische Datenschutzgrunverordnung räumt umfangreiche Pflichten für Betroffene ein. Gleichzeitig legt sie datenverarbeitenden Unternehmen Pflichten auf, deren Einhaltung in den Aufgabenbereich des Datenschutzbeauftragen fällt. Betroffenen werden genaue Handlungsspielräume für die Wahrnehmung ihrer Rechte eingeräumt.
Neben altbekannten Rechten, die im Sinne der Betroffenen ausgeweitet werden, kommen neue Rechte hinzu. Dazu gehören etwa das Recht auf Datentransportabilität (Art. 20 DSGVO), das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht und das Recht auf Unbetroffenheit.
Die Realisierung der Rechte von Betroffenen münden gleichzeitig in Pflichten der datenverarbeitenden Unternehmen.
Zudem werden Unternehmen weitere Pflichten auferlegt, welche die Organistation des inneren Betriebs und die Umsetzung des technischen Datenschutzes betreffen.

Die EU-DSGVO räumt Betroffenen umfangreiche Rechte zur Kontrolle ihrer personenbezogenen Daten ein. Auch wenn einige dieser Rechte schon im BDSG verankert waren, werden sie durch die DSGVO konkretisiert und neue Rechte hinzugefügt. Gleichzeitig müssen Unternehmen sich höheren Pflichtanforderungen im Umgang mit personenbezogenen Daten stellen. Neben der Ausweitung der Rechte kommen vor allem drastischere Sanktionen hinzu, die Unternehmen zu einer genauen Umsetzung anhalten sollen.

Rechte für Betroffene

Im datenschutzrechtlichen Sinne versteht man unter dem Betroffenen eine Privatperson, deren personenbezogene Daten erhoben wurden. Durch die Erhebung der Daten erhält der Betroffene einige Rechte, die für Verantwortliche, in diesem Falle Unternehmen, die Entstehung von Pflichten zur Folge haben.

Auskunftsrecht (Art. 15 DSGVO): Schon das BDSG-alt, räumte den Betroffenen nach Datenerhebung ein Auskunftsrecht ein. Das neue Auskunftsrecht der DSGVO übersteigt das Maß des alten BDSG allerdings bei Weitem. So kann der Betroffene Auskunft zu folgenden Details der Datenerhebung verlangen, unabhängig davon, ob diese nach Einwilligung oder auf gesetzlicher Grundlage erhoben wurden:

Zweck der Verarbeitung
Kategorien der Daten
Empfänger oder Kategorien von Empfängern
Geplante Dauer oder Kriterien für die Festlegung der Dauer
Bestehen eines Rechts zur Löschung oder Berichtigung
Bestehen eines Beschwerderechts bei Auskunftsbehörden
Falls nicht vom Verantwortlichen erhoben, die Herkunft der Daten
Bestehen einer automatisierten Entscheidungsfindung (Profiling)

Der Verantwortliche hat die Informationen innerhalb eines Monats bereitzustellen (Art. 15 Abs. 3 DSGVO). Um sie auf angemessene Weise darstellen zu können, sollte ein Verfahrensverzeichnis geführt werden.

Berichtigungs- und Löschungsrecht (Art. 16, 17 DSGVO): Der Betroffene hat jederzeit die Möglichkeit, eine Berichtigungs- oder Löschanfrage an den Verantwortlichen zu stellen. Die Berichtigung muss durchgeführt werden, wenn unrichtige Daten erhoben wurden. Der Löschanfrage hingegen ist Rechnung zu tragen, sobald

der Zweck der Datenverarbeitung erreicht wurde und die Speicherung nicht mehr erforderlich ist
die Einwilligung zur Erhebung widerrufen wurde
der Betroffene Widerspruch eingelegt hat (Art. 21 DSGVO)
die Daten unrechtsmäßig erhoben wurden, also die Erhebung nicht von Art. 6 DSGVO gedeckt war
der Betroffene die Daten als Minderjähriger abgegeben hat (Art. 8 DSGVO).

Recht auf Einschränkung der Verarbeitung: Die DSGVO räumt neuerdings mit Art. 18 DSGVO dem Betroffenen das Recht ein, die Verarbeitung der Daten einzuschränken. Dies kommt in Frage wenn:

die Richtigkeit der Daten bestritten wird
die Verarbeitung unrechtsmäßig erfolgt is.
die Daten für den vereinbarten Zweck nicht mehr benötigt werden
Widerspruch gegen die Verarbeitung im Sinne des Art. 21 Abs. 1 DSGVO eingelegt wurde.

Recht auf Datenübertragbarkeit: Mit Art. 20 DSGVO entsteht das Recht auf Datenübertragbarkeit. Damit soll dem Betroffenen die Möglichkeit eingeräumt werden, beispielsweise seine Daten von einem Anbieter zu einem anderen übertragen zu lassen. In der Praxis wurde die fehlende Möglichkeit vorher oft als Wettbewerbshindernis wahrgenommen, da viele Verbraucher aufgrund des Aufwands der Datenübertragung nicht zu einem günstigeren Anbieter wechselten.

Der Betroffene kann verlangen, dass seine Daten in einem Format ausgegeben werden, das die Übertragbarkeit begünstigt. Die direkte Übermittlung an einen Dritten kann ebenfalls verlangt werden. Allerdings wird die Pflicht zur Übertragbarkeit auf die Fälle beschränkt, in denen die Daten durch Einwilligung erhoben wurden, keine Einwilligung erforderlich war oder die Einwilligung automatisch erfolgt ist.

Widerspruchsrecht: Durch Art. 21 DSGVO wird dem Betroffenen das Recht eingeräumt, gegen Datenerhebungen, die aufgrund einer gesetzlichen Grundlage oder des Vorliegens eines berechtigten Interesses ohne Einwilligung erfolgt, Widerspruch einzulegen. Für den Besuch von Internetseiten bedeutet dies vor allem, dass Nutzern die Möglichkeit zum Austragen aus Cookie-Sammlungen zu Marketingzwecken gegeben werden muss.

Hier wird die Rechtsprechung zeigen, welcher Cookie-Einsatz unter berechtigtes Interesse fällt und daher eines Widerspruchs (Opt-Out) bedarf und welcher eine explizite Einwilligung benötigt (Opt-In).

Recht auf Unbetroffenheit: Ein dem BDSG-alt unbekanntes Recht räumt Art. 22 DSGVO Betroffenen ein. Es betrifft insbesondere die Einbeziehung von Auskunfteien in die Entscheidung, ob ein Rechtsverhältnis zwischen einem Betroffenen und einem Unternehmen zustande kommt. So würde nach Art. 22 Abs. 1 DSGVO ein Verbot für einen automatischen Verarbeitungsprozess als Entscheidungsgrundlage bestehen, wenn dieser aufgrund der erhobenen Daten eine Entscheidung für oder gegen einen Vertragsschluss träfe.

Somit dürfen etwa Banken oder Online-Händler nicht mehr aufgrund einer automatisierten Bonitätsprüfung einem Kredit oder einem Kaufvertrag ab- oder zusagen. Ist die Entscheidung allerdings für die Vertragsverfüllung erforderlich, besteht kein Recht auf Unbetroffenheit. Welche Verträge hiervon erfasst sind, wird die zukünftige Rechtsprechung zeigen.

Pflichten für Unternehmen

Neben den personenbezogenen Rechten von Betroffenen, welche für die Unternehmen mit Pflichterfüllungen einhergehen, existieren weitere Unternehmenspflichten. Sie entstehen nicht durch datenschutzrechtliche Beziehungen zu Kunden (Betroffenen), sondern werden durch die DSGVO oder teilweise schon durch das BDSG-alt, Unternehmen direkt auferlegt.

Was ist ein Verantwortlicher?

Verantwortlicher im Sinne der DSGVO bezeichnet eine juristische Person, wie ein Unternehmen, eine Behörde, eine Einrichtung, eine Personengesellschaft oder eine Einzelperson, die personenbezogene Daten erhält und über die Zwecke und Mittel entscheidet, die dazu eingesetzt werden. Im Folgenden werden wir uns auf die Datenschutzpflichten für Unternehmen fokussieren.

DSGVO-Datenschutzbeauftragter

Jedes Unternehmen benötigt in Zukunft einen Datenschutzbeauftragten. Ob dies eine besonders eigesetzte Person sein muss oder ob der Geschäftsführer selber als Verantwortlicher verstanden werden kann, hängt von der Größe und Art des Betriebes ab.

Unternehmen, die neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Er kann ein interner oder externer Datenschutzbeauftragter sein. Es reicht der Einsatz eines Computers, um die Anforderungen der Automatisierung zu erfüllen.
Unternehmen, die automatisiert personenbezogene Daten als großen Bestandteil ihres Geschäftsmodells erheben, müssen einen Datenschutzbeauftragten bestellen. Dazu gehören Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Die Zahl der Mitarbeiter ist hier irrelevant.
Unternehmen, die als Bestandteil ihres Geschäftsmodells mit sensiblen Daten von Privatpersonen umgehen. Solche Daten können beispielsweise die Gesundheit, die politische Meinung, die Bonität oder die sexuelle Orientierung einer Person betreffen.

Technischer Datenschutz

Ein weiteres Gebiet des Datenschutzes, mit dem sich Unternehmen auseinandersetzen müssen, ist der technische Datenschutz. Nach Art. 24 DSGVO sind Unternehmen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Persönlichkeitsrechte der Betroffenen nach Datenerhebung zu gewährleisten. Seit 2018 müssen Unternehmen sich auf neue Anforderungen an den technischen Datenschutz nach der DSGVO und dem BDSG-Neu einstellen.

Keine konkreten Maßnahmen aber Schutzziele

Die DSGVO formuliert Schutzziele für den technischen Datenschutz, die maßgebend für die technischen und organisatorischen Maßnahmen sein sollen:

Pseudonymisierung und Verschlüsselung (statt Klarnamen, Zeichenfolgen)
Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten technischen Systeme (moderne Sicherheitsstandards)
Verfahren zur Wiederherstellung der Verfügbarkeit bei physischen oder technischen Zwischenfällen (Datensicherung)
Regelmäßige Überprüfung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Die genaue Umsetzung der Maßnahmen fällt in den Aufgabenbereich Ihres Datenschutzbeauftragten und ist stark abhängig von der Ausrichtung Ihres Betriebs. Die Bestellung eines externen Datenschutzbeauftragten garantiert das Einbringen eines Fachmanns, der sich kontinuierlich hauptberuflich zum Thema weiterbildet und die juristischen Entwicklungen verfolgt.

Auftragsdatenverarbeitung (Art. 28 DSGVO)

Datenerhebende Unternehmen werden in vielen Fällen mit einem externen Dienstleister zusammenarbeiten, der Zugriff auf die Daten hat und sie selbst verarbeitet. Dies könnte beispielsweise ein Host oder ein Dienstleister zur Vernichtung von Akten sein. Der Verantwortliche, hier das Unternehmen, ist dazu angehalten, mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung abzuschließen (Art. 28 DSGVO).

Durch den Vertrag garantiert der Dienstleister, dass er die weitergeleiteten Daten im Sinne des verantwortlichen Auftraggebers verarbeitet und auch dazu technische und organisatorische Maßnahmen trifft, um die Pflichten des Verantwortlichen im Sinne der DSGVO zu wahren. Der Dienstleister darf die Verarbeitung nur auf Weisung des Verantwortlichen verarbeiten (Art. 29 DSGVO).

Inhaltsanforderungen an die Auftragsdatenverarbeitung bleibt unverändert

Faktisch herrscht bereits jetzt durch das BDSG der Zwang zum Abschluss eines Vertrags über die Auftragsdatenverarbeitung. Aufgrund der nun drohenden höheren Sanktionen beschäftigen sich viele Unternehmen jetzt eindringlicher mit dem Thema. Die Anforderungen aus dem Inhalt ergeben sich aus Art. 28 Abs. 3 EU-DSGVO:

Form und Zweck der Datenverarbeitung
Umfang der Weisungsbefugnisse
Sicherstellung der technischen & organisatorischen Maßnahmen
Vertraulichkeitsverpflichtung der beteiligten Personen
Regulierung bei weiteren Subunternehmern
Unterstützung bei datenschutzrechtlich-relevanten Anfragen
Rückgabe oder Löschung der Daten
Kontrollrechte des Verantwortlichen gegenüber dem Dienstleister
Informationspflicht bei Datenschutzverstößen gegenüber dem Verantwortlichen

Die genaue Ausarbeitung des Vertrags zur Auftragsdatenverarbeitung ist ein Fall für den Datenschutzbeauftragten. Aufgrund der hohen Unterschiedlichkeit und Ausprägung der externen Datenverarbeitung in der Praxis, würde eine tiefergehende Beschreibung den Rahmen dieses Artikels sprengen.

Neben den typischen Beispielen des Hostings oder des Aktenvernichtungsdienstleisters, fällt für die meisten Unternehmen wohl eine Pflicht zur vertraglichen Regelung der Auftragsdatenverarbeitung mit Google an.

Wer haftet bei externer Auftragsdatenverarbeitung?

Mit der DSGVO verschärft sich die potenzielle Haftung bei Verstößen für den Dienstleister. Art. 83 DSGVO sieht vor, dass nicht nur mehr der Verantwortliche, sondern auch der Auftragsverarbeiter zur Rechenschaft gezogen werden kann, wenn aus dem Verstoß materielle oder moralische Schäden entstehen.

Zusätzliche Pflichten für Auftragsverarbeiter

Zusätzlich werden auch Auftragsverarbeitern Pflichten auferlegt, wenn sie im Auftrag eines Verantwortlichen tätig sind. Nach Art. 30 Abs. 2 DSGVO müssen auch sie ein Verfahrensverzeichnis führen, was nach dem alten BDSG nur für Auftraggeber (Verantwortliche) notwendig war.

Zwang des nachträglichen Vertragsabschlusses

Unternehmen sollten auch mit ihren bisherigen Datenverarbeitungsdienstleistern einen Vertrag zur Auftragsdatenverarbeitung abschließen (Art. 30 Abs. 3 DSGVO). Die Schriftform ist nicht mehr zwingend dafür erforderlich, sondern es genügt die digitale Form.

Datenschutzfolgeabschätzung

Verantwortliche Unternehmen und Organisationen, die mit besonders sensiblen Daten umgehen, müssen eine Datenschutzfolgeabschätzung erstellen (Art. 35 EU-DSGVO). Auch beim Einsatz neuartiger Technologien entsteht diese Pflicht. Allgemein zusammengefasst, bedarf es einer Datenschutzfolgeabschätzung, wenn für die erhobenen Daten ein erhöhtes Risiko besteht. Die Folgeabschätzung kann als eine Art Vorabkontrolle verstanden werden.

Welche neuen Technologien und Daten sind erfasst?

Die Datenschutzfolgeabschätzung ist beim Einsatz bestimmter Technologien verpflichtend. Nach dem Wortlaut der DSGVO gehören dazu:

Systeme zur Bewertung persönlicher Aspekte einer natürlichen Person durch automatische Verarbeitung.
Verarbeitung besonders sensibler Kategorien von personenbezogenen Daten oder Daten über strafrechtliche Anliegen einer Person.
Systeme zur flächendeckenden Überwachung öffentlicher Orte.

Mindestanforderungen nach Art. 35 Abs. 7 DSGVO

Die strukturierte Risikoanalyse und deren Aufbau im Detail ist stark abhängig von der jeweiligen Datenverarbeitung in Ihrem Betrieb. Art. 35 Abs. 7 DSGVO sieht allerdings allgemeine Mindestanforderungen vor:

Beschreibung der Verarbeitungsvorgänge sowie deren Zweck und berechtigte Interessen.
Notwendigkeit und Verhältnismäßigkeit der Maßnahmen
Risiken sowie die beschnittenen Freiheiten und Rechte der Betroffenen.
Abhilfemaßnahmen zur Eindämmung der Risiken und Beschneidung der Rechte.

Ein komplexes Aufgabenfeld für Datenschutzbeauftragte

Die Datenschutz-Risikofolgeabschätzung ist eines der komplexesten Themen bei der Umsetzung eines DSGVO-konformen Datenschutzprinzips. Sie behandelt die riskanten Themen des Schutzes sensibler Daten und umstrittener Technologien. Ohne einen fachmännischen externen Datenschutzbeauftragten ist die rechtskonforme Umsetzung nur schwer zu realisieren. Sollte die juristische Datenschutzprüfung etwa ergeben, dass die angestrebten Maßnahmen enorm riskant sind, so ist die Datenschutzbehörde zu konsultieren (Art. 36 DSGVO). Durch die Ernennung eines externen Datenschutzbeauftragten delegieren Sie dieses Aufgabenfeld an einen Fachmann.

Verarbeitungsverzeichnis

Ein Verfahrensverzeichnis bezeichnet die Dokumentation aller Tätigkeiten, die personenbezogene Daten von Personen verarbeiteten.

Schon nach dem bisherigen Datenschutzrecht benötigten Unternehmen ein Verfahrensverzeichnis für die datenschutzrelevanten Anliegen. Durch Art. 30 DSGVO wurde die bisherige Regelung ersetzt und die Anforderungen an das Verzeichnis konkretisieret.

Wer muss ein Verfahrensverzeichnis führen?

Nach Art. 30 DSGVO muss jeder Verantwortliche eine Dokumentation über seine datenverarbeitenden Tätigkeiten führen. Generell ist damit jede Stelle gemeint. Aus Art. 30 Abs. 5 DSGVO ergeben sich allerdings Erleichterungen. So können Betriebe mit weniger als 250 Mitarbeitern auf die Verzeichnisführung verzichten, wenn von der Verarbeitung der personenbezogenen Daten

keine Risiken für die Rechte und Freiheiten des Betroffenen ausgehen,
die Erhebung nur gelegentlich erfolgt oder
keine sensiblen Daten nach Art. 9 Abs. 1 u. 10 DSGVO betroffen sind.

Rechtliche Anforderungen an den Aufbau

Die rechtlichen Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten ähneln stark denen der Anforderungen des BDSG. Unterschieden wird nur zwischen dem Verzeichnis des Verantwortlichen oder eines beauftragten Dienstleisters, dem Auftragsverarbeiter. Beide Verzeichnisse bedürfen der Beschreibung aller technischen und organisatorischen Maßnahmen zu Art. 32 Abs. 1 DSGVO. Der Verantwortliche muss darüber hinaus den Zweck der Verarbeitung, die Datenkategorien, den Kreis der betroffenen Personen und den Datenempfänger auflisten.

Hohe Bußgelder drohen

Unternehmen sollten dem Verarbeitungsverzeichnis Aufmerksamkeit widmen und die Umsetzung mit einem fachmännischen Datenschutzbeauftragten durchführen. Mit Einführung der DSGVO wurden die Bußgelder für derartige Verstöße deutlich angehoben. Während zuvor ein maximaler Verstoß von 350.000 € möglich war, können nun Bußgelder bis zu 20 Mio. Euro verhängt werden. Mit uns müssen Sie keinen Aufwand betreiben, um den richtigen Datenschutzbeauftragten zu finden.

Informations- und Dokumentationspflicht

Die DGSVO sieht für Unternehmen eine umfangreiche Informations- und Dokumentationspflicht nach Art. 13, 14 DSGVO vor. Sowohl die Datenerhebung als auch die Löschungen (Art. 17 DSGVO) sind zu dokumentieren.

Einwilligung bei Datenerhebung

Schon vorher bedurfte es der Einwilligung oder einer gesetzlichen Vorschrift nach § 4 BDSG-alt, um die Erhebung von personenbezogenen Daten rechtskonform durchzuführen. Die DSGVO erweitert die Informationspflichten für Verantwortliche jedoch drastisch. Generell wird zwischen der Informationspflicht bei Erhebung personenbezogener Daten (Art. 13 DSGVO) und der Erhebung, die nicht direkt beim Betroffenen stattfindet, unterschieden.

Informationspflichten bei direkter Erhebung (Art. 13 DSGVO)

Findet eine Datenerhebung im direkten Kontakt mit dem Betroffenen statt, etwa beim Besuch einer Webseite oder bei einem Kaufvertrag, so fallen folgende Pflichten an:

Identität des Verantwortlichen: Hier muss der Datenschutzbeauftragte explizit erwähnt werden (Art. 27 DSGVO).
Kontaktdaten des Verantwortlichen: Der Betroffene muss direkten Kontakt zum DSB aufnehmen können
Rechtliche Grundlage und Zweck der Verarbeitung: Der Verantwortliche hat den Betroffenen bei Erhebung über den Sinn der Datenerhebung und die rechtliche Grundlage, bzw. dem genauen Erlaubnistatbestand nach Art. 6 DSGVO zu informieren.
Bei bestehen eines berechtigten Interesses ist faktisch keine Einwilligung erforderlich. Dennoch muss der der Verantwortliche den Betroffenen über das berechtigte Interesse in Kenntnis setzen.
Bei Übermittlung der Daten an Drittstaaten müssen Betroffene darüber explizit informiert werden. Zudem muss kommuniziert werden, ob der Auftragsverarbeiter im Drittland ein Datenschutzniveau herstellen kann, das dem der DSGVO angemessen ist.

Außerdem müssen Informationen übermittelt werden, die kommunizieren, dass die Verarbeitung im Rahmen der notwendigen Fairness und Transparenz stattfindet (Art. 13 Abs. 2 DSGVO):

Die geplante Dauer der Speicherung
Das Rechte des Betroffenen
Die Möglichkeit zum Widerruf
Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
Bestehen einer Verpflichtung des Verantwortlichen der Bereitstellung der Daten gegenüber Betroffenen
Vorliegen einer automatisierten Entscheidungsfindung

Informationspflichten bei indirekter Erhebung personenbezogener Daten (Art. 14 DSGVO)

Unter Umständen können personenbezogene Daten erhoben werden, ohne direkten Kontakt zum Betroffenen zu haben, etwa wenn ein Kreditinstitut sich bei einer Auskunftei über die Bonität eines Kunden informiert. Im Prinzip fallen hier dieselben Informationspflichten an. Zudem muss der Betroffene jedoch darüber informiert werden, woher die Daten stammen und ob es sich um eine öffentliche Quelle handelt.

Die Form der Bereitstellung von Informationen

Art. 12 DSGVO sieht vor, dass die Informationen dem Betroffenen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form übermittelt werden. Sowohl die schriftliche als auch die elektronische Form ist dabei zulässig.

Zeitpunkt der Übermittlung der Informationen

Nach Art. 13 Abs. 1 DSGVO ist der Betroffene zum Zeitpunkt der Erhebung zu informieren. Findet die Erhebung nicht direkt beim Betroffenen statt, so besteht ein Zwang zur Erfüllung der Informationspflicht innerhalb eines Monats (Art. 14 Abs. 3 DSGVO).

Grenzen der Informationspflicht

Die Informationspflicht bei der direkten Erhebung gilt uneingeschränkt. Bei indirekter Erhebung (Art. 14 Abs. 5 DSGVO) ist der Betroffene nicht zu informieren, wenn:

die Mitteilung unmöglich oder unverhältnismäßig aufwendig ist.
die Erhebung gesetzlich vorgeschrieben ist.
ein Berufsgeheimnis oder eine sonstige Geheimhaltungspflicht dagegenspricht.

Sensibles und zentrales Thema der DSGVO

Die Informationspflichten sind ein zentrales Thema der DSGVO und sollten von Verantwortlichen ernstgenommen werden. Aufgrund der stetigen Verpflichtung zum Informieren über die Datenerhebung, ist die mangelnde Informationspflicht eine einfache Angriffsstelle bei Unternehmen. Betroffene können Datenschutzverstöße direkt an die Datenschutzbehörde oder an Verbraucherverbände melden, die entweder Sanktionen verhängen oder abmahnen können.

Die individuelle Erfüllung der Informationspflichten variiert stark nach der Art des Geschäftsbetriebs und der Form der Datenerhebung. In der Praxis könnte ihr durch eine Cookie-Erklärung auf einer Webseite oder durch einen schriftlichen Vertrag nachgekommen werden.

Ihr Datenschutzbeauftragter wird die Informations- und Dokumentationspflicht zu einem wichtigen Element Ihres Datenschutzkonzeptes machen. Hier droht besondere Gefahr des Verstoßes. Da die genaue Ausgestaltung in der Praxis durch die Rechtsprechung rechtssicher gemacht wird, wird Ihr DSB dem Thema kontinuierlich Aufmerksamkeit widmen.

Meldepflicht (Art. 33 DSGVO)

Schon nach alten Datenschutzrecht mussten Unternehmen bei Verletzungen des Schutzrechtes der Betroffenen, etwa bei einem Hacker-Angriff oder einen sonstigen Datenleck, eine Meldung bei der zuständigen Datenschutzbehörde tätigen (§ 42a BDSG). Mit Art. 33 DSGVO wurden die Kategorien der Ereignisse ausgeweitet, die eine Meldung erforderlich machen.

Meldung innerhalb von 72 Stunden

Ist dem verantwortlichen Unternehmen ein Verstoß bekannt, der durchaus auch aufgrund eines internen Fehlers im Datenschutzkonzept entstanden sein kann, muss dieser innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Kann die Frist nicht eingehalten werden, muss eine zusätzliche Erklärung geliefert werden.

Meldepflicht auch für Auftragsverarbeiter

Unterläuft dem Auftragsverarbeiter des Verantwortlichen ein datenschutzrechtlicher Verstoß, so hat er den Verstoß an den Verantwortlichen zu melden. Die Gesamtverantwortung obliegt weiterhin dem verantwortlichen Unternehmen, das seinerseits den Verstoß an die Datenschutzbehörde zu melden hat.

Inhaltliche Anforderungen

Nach Art. 33 Abs. 1 DSGVO unterliegt die Meldung des Verstoßes bestimmten inhaltlichen Anforderungen. In jedem Fall muss die Erklärung:

eine Beschreibung der Art der Schutzverletzung gegenüber der Betroffenen Person,
Namen und Kontaktdaten des Datenschutzbeauftragten,
eine Einschätzung möglicher Folgen,
eine Beschreibung der ergriffenen Maßnahmen oder Vorschläge zum Ergreifen von Maßnahmen zur Behebung oder Milderung der schädlichen Auswirkungen

enthalten.

Bei sensiblen Daten Meldung an betroffene Einzelpersonen erforderlich

Zudem sieht Art. 34 DSGVO vor, dass eine Meldung an die betroffenen Einzelpersonen zu erfolgen hat, wenn durch die „Datenpanne“ deren persönliche Rechten und Freiheiten betroffen sind.

Einrichtung eines Notfallplans angemessen

Ein Verstoß gegen das Datenschutzrecht in dieser Form ist durchaus durch Fremdverschulden möglich. Die jüngste Datenpanne von Yahoo ist ein praktisches Beispiel dafür. Ihr Datenschutzbeauftragter wird im Rahmen der Ausarbeitung Ihres Datenschutzkonzeptes die Risiken Ihrer Datenverarbeitung analysieren und bereits im Voraus einen geeigneten Plan zur Umsetzung der erforderlichen Maßnahmen entwickeln.

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Datenschutzerklärung

Überblick Datenschutzerklärung

Die Datenschutzerklärung Ihrer Website enthält Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR.
Das Telemediengesetz (TMG) verpflichtet Webseitenbetreiber zur Bereitstellung einer Datenschurzerklärung,
Eine Pflicht zur Datenschutzerklärung ist bei fast jedem Onlineauftritt gegeben. Sobald Daten verwendet und verarbeitet werden – beispielsweise bei einem Kontaktformular oder der Verwendung von Google Analytics – ist eine Datenschutzerklärung Pflicht.
Bei einer fehlenden oder fehlerhaften Datenschutzerklärung setzt das TMG Geldbußen fest. Insbesondere drohen aber Abmahnungen von Konkurrenten.

Betreiber einer Website sind nach Telemediengesetz (TMG) verpflichtet, neben einem Impressum eine Datenschutzerklärung einzubinden (§ 13 TMG). Der Diensteanbieter sollte darin den Nutzer seiner Website zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.

Form der Datenschutzerklärung

Die Datenschutzerklärung sollte jederzeit abrufbar sein muss. Dazu bietet es sich an, die Datenschutzerklärung – wie das Impressum – in einem eigenen Reiter als feste Seite zu implementieren.

Darüber hinaus muss die Datenschutzerklärung allgemein verständlich sein. Technische oder juristische Fachbegriffe und Formulierungen sollten vermieden werden.

Inhalt der Datenschutzerklärung

Die Datenschutzerklärung muss die Information enthalten, welche Daten von den Seitenbesuchern erhoben werden und zu welchem Zweck sie verwendet werden. Bei der Erstellung oder Prüfung einer Datenschutzerklärung legen wir deshalb besonderes Augenmerk auf:

Gewinnspiele
Newsletter-Abos
Kontaktformulare
Weitergabe der Daten an Paketdienste
Weitergabe der Daten an Wirtschaftsauskunfteien
Datenverarbeitung von Kreditkarteninformationen
Nutzung von Tracking-Tools wie Google Analytics oder Piwik
Nutzung von Social Media Plugins wie Facebook, Twitter, Google+ etc.

Muster-Datenschutzerklärung

Eine universelle Muster-Datenschutzerklärung kann es wegen der vielen Unterschiede bei Onlineshops und sonstigen Internetseiten nicht geben. Eine rechtssichere Datenschutzerklärung wird jeweils an das Geschäftsmodell eines Mandanten individuell angepasst.

Folge bei Verstößen

Werden Besucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, liegt darin eine Ordnungswidrigkeit (§ 16 TMG), die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus ist eine Datenerhebung ohne eine ausreichende Datenschutzerklärung ein Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) und kann damit abgemahnt werden (OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12).

Lesen Sie mehr in unserem weiterführenden Artikel zu Impressum, Widerrufsbelehrung und Datenschutzerklärung

Datenschutzbeauftragten bestellen mit Rechtsanwalt

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Über

30000

geprüfte Fälle im
Unternehmensrecht.

Termin anfragen

Offene Fragen? – Einfach anrufen:

0221 – 6777 00 55

(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)

Ihr Unternehmensrechtsteam

Andre Kraus
Fachanwalt für Insolvenzrecht

Ahaliya Kapilan
Rechtsanwältin

Oksana Enns
Dipl. Wirtschaftsjuristin

Sara Garcia Corraliza
Rechtsanwältin

und ein Team
von juristischen Beratern, Diplom Juristen und weiteren Rechtsanwälten

Prinzipien

KOSTENFREIE ERSTBERATUNG & PRÜFUNG
Kostenfreie Erstberatung oder Überprüfung Ihrer Angelegenheit und Ersteinschätzung Ihres Falls – BUNDESWEIT.
SCHNELL & EINFACH
Wir kümmern uns um Ihren Unternehmensrechtsfall – Sie konzentrieren sich alleine auf Ihr Geschäft. Eine Wartezeit oder lange Bearbeitungsdauer sehen wir nicht vor.
RECHTSSICHERHEIT
Ihre Rechtssicherheit steht für uns an erster Stelle. Wir erfüllen den anwaltlichen Vorbehalt der Rechtsberatung (§ 2 Abs. 1 RDG) und übernehmen die volle anwaltliche Gewähr.
PREISTRANSPARENZ
Im Falle eines Pauschalhonorars begleiten wir Sie zu einem feststehenden Festpreis – ohne komplexe Gebühren oder indirekt umgelegte Kosten von Vermittlungsportalen.
SPEZIALISIERUNG
Durch unsere Spezialisierung auf bestimmte Kerngebiete und den Verzicht auf alle anderen Rechtsgebiete bieten wir Ihnen eine besonders hohes Fachniveau zu einem verhältnismäßig geringen Festpreis.
LANGFRISTIGKEIT
Die Betreuung Ihres Falls ist unsere Investition in eine langfristige Zusammenarbeit auf dem Gebiet des Unternehmensrechts.

Sie haben eine Frage zum Thema? Wir beantworten sie hier gerne!

The last comment and 11 other comment(s) need to be approved.

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreiben Sie einen Kommentar Antworten abbrechen

Erfahrungen & Bewertungen zu KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei

Unsere Mandanten vertrauen uns auch in folgenden Fachgebieten

DSGVO Datenschutzbeauftragter: Externen Datenschutzbeauftragten bestellen

Externer Datenschutzbeauftragter: Bundesweit vom Anwalt

Externen DSGVO Datenschutzbeauftragten bestellen

Hohe Sanktionen bei Versäumnissen

Inhalt

Datenschutzbeauftragter für viele Unternehmen

Pflicht

Externer Datenschutzbeauftragter schont personelle Ressourcen

Datenschutz vom Fachmann schützt Sie vor Abmahnungen und Sanktionen

Ziele der Datenschutzberatung

Anleitung zur Umsetzung Ihres DSGVO – Datenschutzkonzepts Schritt für Schritt

So gehen wir für Sie vor

Was ist ein Datenschutzbeauftragter?

Überblick Datenschutzbeauftragter

Aufgaben und Arten von Datenschutzbeauftragten

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Datenschutzbeauftragter Pflicht: Wer braucht einen DSB?

Ab wann wird ein Datenschutzbeauftragter benötigt?

Überblick Stichtag

Deutlich höhere Bußgelder drohen

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Bestellung des Datenschutzbeauftragten

Überblick Bestellung eines Datenschutzbeauftragten

Bestellung wird durch Urkunde festgehalten

Umfangreiche Lernbereitschaft nötig

Überblick über geschäftliche Prozesse vorausgesetzt

Kommunikationsfähigkeiten von großer Bedeutung

Erlernen der Datenschutzanforderungen umfangreicher als Einarbeitung in interne Prozesse

Bestellung eines externen Datenschutzbeauftragten meist wirtschaftlicher

Dauer bis zur Umsetzung Ihres DSGVO – Datenschutzkonzepts

Vorteile eines externen Datenschutzbeauftragten

Vorteile

Die EU-DSGVO – Was hat sich geändert?

Überblick DSGVO

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Strafen, Bußgelder und Abmahnungen

Überblick Strafen, Bußgelder, Abmahnungen

Sanktionen

Abmahnungen

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Förderung der Datenschutzberatung

Überblick Förderung

Staatliche Förderung des Datenschutzes

Unterschiedliche Unternehmen antragsberechtigt

Juristische, öffentliche und insolvente Unternehmen sind ausgeschlossen

Höhe der Förderung abhängig von Region und Unternehmensart

Umfangreiche Beratung zur Förderung und Antragsstellung

✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER

Datenschutz gegenüber Kunden, Mitarbeitern, Patienten

Überblick

Datenschutz bei Kunden

Datenschutz bei Mitarbeitern

Datenschutz bei Patienten

Datenschutzrecht und Datenschutz

Überblick Datenschutzrecht

Rechte und Pflichten

Überblick Rechte und Pflichten

Rechte für Betroffene

Pflichten für Unternehmen

Was ist ein Verantwortlicher?

DSGVO-Datenschutzbeauftragter

Technischer Datenschutz

Keine konkreten Maßnahmen aber Schutzziele

Auftragsdatenverarbeitung (Art. 28 DSGVO)

Inhaltsanforderungen an die Auftragsdatenverarbeitung bleibt unverändert

Wer haftet bei externer Auftragsdatenverarbeitung?

Zusätzliche Pflichten für Auftragsverarbeiter

Zwang des nachträglichen Vertragsabschlusses

Datenschutzfolgeabschätzung

Welche neuen Technologien und Daten sind erfasst?

Mindestanforderungen nach Art. 35 Abs. 7 DSGVO

Ein komplexes Aufgabenfeld für Datenschutzbeauftragte

Verarbeitungsverzeichnis

Wer muss ein Verfahrensverzeichnis führen?

Rechtliche Anforderungen an den Aufbau

Hohe Bußgelder drohen

Informations- und Dokumentationspflicht

Einwilligung bei Datenerhebung

Informationspflichten bei direkter Erhebung (Art. 13 DSGVO)

Informationspflichten bei indirekter Erhebung personenbezogener Daten (Art. 14 DSGVO)