Externer Datenschutzbeauftragter: Bundesweit vom Anwalt
Externen DSGVO Datenschutzbeauftragten bestellen
Seit 2018 ist die EU-DSGVO (Datenschutz-Grundverordnung) in Kraft. Die unmittelbar geltende europarechtliche Verordnung novelliert den Datenschutz für den gesamten europäischen Raum. Die Mehrheit der Verbraucher begrüßt diesen Wandel.
Für Unternehmen bedeutet die Anpassung an die neuen strikten Anforderungen allerdings einen deutlichen organisatorischen Mehraufwand. Gleichzeitig bietet die DSGVO aber die Chance, sich als verantwortungsbewusstes Unternehmen zu positionieren.
Hohe Sanktionen bei Versäumnissen
Bei Missachtung der neuen Datenschutzgesetze drohen allerdings hohe Bußgelder, bis zu 20 Mio. € oder 4% des weltweiten Umsatzes. Schon deshalb sollten Unternehmen einen Datenschutzbeauftragten beauftragen und die Anforderungen umsetzen.
Für bestimmte Unternehmen ist es verpflichtend, einen Datenschutzbeauftragen (DSB) einzustellen. In der Regel ist dies abhängig von:
- der Anzahl der Mitarbeiter
- dem Geschäftsfeld
- der Art der Daten.
Kaum ein anderes Gesetz im digitalen Bereich hat so viel Aufmerksamkeit erregt wie die DSGVO. Dennoch waren einige Unternehmen bis heute untätig. Wer seiner Pflicht zur Bestellung eines Datenschutzbeauftragen nicht nachkommt, dem droht eine empfindliche Geldbuße durch die zuständige Datenschutzbehörde.
Inhalt
- Datenschutzbeauftragter
- Datenschutz Schritt für Schritt
- Was ist ein DSB?
- Wer braucht einen DSB?
- Ab wann wird ein DSB benötigt?
- Bestellung eines DSB
- Dauer
- Vorteile
- Neuerungen EU DSGVO
- Strafen, Bußgelder, Abmahnungen
- Förderung
- Kunden, Mitarbeiter, Patienten
- Datenschutzrecht
- Prinzipien
- Nach Bestellung des DSB
- Fragen unserer User
Andre Kraus, Rechtsanwalt und Gründer der KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei, ist Ihr Ansprechpartner in Sachen Gründung, Markenrecht, Reputationsschutz und Unternehmensrecht.
Datenschutzbeauftragter für viele Unternehmen
Pflicht
Unternehmen, welche die entsprechenden Voraussetzungen nach der EU-DSGVO erfüllen, sind zur Bestellung eines Datenschutzbeauftragen verpflichtet. Er übernimmt die Verantwortung für die Einhaltung der Datenschutzvorschriften und haftet bei verfehlter Einhaltung. Die Person kann aus den Kreisen der Mitarbeiter oder aber extern bestellt werden.
Dabei muss der Datenschutzbeauftrage die erforderlichen Maßnahmen nicht selbst umsetzen. Vielmehr berät er die Geschäftsführung hinsichtlich der Umsetzung bestimmter Maßnahmen. Letztendlich muss er die rechtskonforme Verarbeitung der Daten gewährleisten.
Externer Datenschutzbeauftragter schont personelle Ressourcen
Der Datenschutzbeauftragte muss nicht zwangsläufig ein Mitarbeiter des Unternehmens sein. Die EU-DSGVO räumt die Möglichkeit ein, einen externen Datenschutzbeauftragten zu bestellen.
Wird ein interner Mitarbeiter bestellt, werden seine zeitlichen Ressourcen für die Zusatz-Aufgaben in Anspruch genommen. Kontinuierliche Weiterbildungsmaßnahmen sind notwendig und es können Interessenkonflikte entstehen. Bei externen Lösungen wird ein fachkundiger Dienstleister engagiert, sodass die internen Mitarbeiter sich ihren gewohnten Aufgaben widmen können.
Datenschutz vom Fachmann schützt Sie vor Abmahnungen und Sanktionen
Die drastischen Geldbußen sind ein zentrales Element der DSGVO. Unternehmen sollen sich dadurch ihrer enormen Verantwortung bewusst werden und den Datenschutz als wichtigen Bestandteil einer jeden unternehmerischen Tätigkeit wahrnehmen. Durch die Verschärfung der Sanktionen, die nun in Höhe von 20 Mio. € verhängt werden können, werden Unternehmen gezwungen, die hohen Anforderungen der DSGVO umzusetzen.
Für viele Unternehmen bedeutet die Anpassung eine erhebliche Umstrukturierung bestehender Prozesse. Die Bestellung eines externen Datenschutzbeauftragten ist eine wirtschaftliche Lösung. Die reguläre Personalstruktur bleibt bestehen, während ein unabhängiges Kontrollorgan die Geschäftsführung zum Thema berät und konkrete Handlungsvorschläge vorbereitet. Ein externer Datenschutzbeauftragter wird der Rolle des überwachenden, beratenden und unabhängigen Kontrolleurs am ehesten gerecht.
Ziele der Datenschutzberatung
Rechtssicherheit
Als spezialisierte Kanzlei für Unternehmen und erfahrene Fachjuristen können wir Sie umfangreich zum Thema Datenschutzgrundverordnung beraten. Neben der Umsetzung der Anforderungen ist zunächst die Interpretation der Verordnung für betriebliche Prozesse relevant sowie die praktische Umsetzung der Maßnahmen in Ihrem Unternehmen. Wir beraten Sie umfassend und helfen Ihnen bei der Umsetzung der Gesetzevorgaben in praktische Maßnahmen, um Rechtssicherheit zu gewährleisten.
Abmahnsicherheit
Die Missachtung der Vorschriften der DSGVO kann erhebliche wirtschaftliche Folgen für Ihr Unternehmen haben. Doch das Risiko geht nicht nur von den Datenschutzbehörden aus. Wo immer neue Gesetze entstehen und rechtliche Unsicherheit herrscht, entsteht akute Abmahngefahr durch Wettbewerber.
Für die Rechtsmäßigkeit einer Abmahnung muss ein datenschutzrechtlicher Verstoß wettbewerbsrechtliche Relevanz haben. Auch wenn nicht alle Abmahnungen gerechtfertigt sind, nimmt die juristische Verteidigung Zeit und finanzielle Ressourcen in Anspruch. Die erforderliche Umsetzung der gesetzlichen Datenschutzanforderungen lässt sich durch eine anwaltliche Datenschutzberatung und Bestellung eines Datenschutzbeauftragten sicherstellen.
Bußgeldschutz
Verstöße gegen die geltenden Datenschutzgesetze wurden schon vor der DSGVO geahndet. Bisher enthielt der Bußgeldkatalog Sanktionen von 50.000 bis 300.000 €. Allerdings musste der Verstoß billigend in Kauf genommen oder sogar bewusst vollzogen worden sein. Die neue EU-DSGVO sieht deutlich drastischer Geldbußen vor. Da das Gesetz auch darauf abzielt, internationale Großkonzerne, wie Facebook und Google, zur DSGVO-Compliance anzuhalten, wurden die Sanktionen dementsprechend angepasst.
In Abhängigkeit vom Ausmaß des Verstoßes können 10 Mio. oder sogar 20 Mio. € Bußgeld verhängt werden. Ist das Unternehmen als Konzern zu kategorisieren, so kann die Geldbuße in Höhe von 2 bis 4 % des weltweiten Jahresumsatzes verhängt werden. Die Investition in einen gesetzeskonformen Datenschutz schützt Sie vor den drastischen Bußgeldern der DSGVO.
Outsourcing an externen Datenschutzbeauftragen
Um personelle Ressourcen zu schonen und den fortlaufenden Weiterbildungsaufwand für einen internen Mitarbeiter zu minimieren, empfehlen wir die Bestellung eines externen Datenschutzbeauftragen. Im Rahmen unserer rechtlichen Beratung übernehmen wir den formalen Prozess der Bestellung sowie die juristische und formale Vorbereitung und Durchführung.
Steigerung des Kundenvertrauens
Die hohen Anforderungen des neuen Datenschutzgesetzes können als Wettbewerbsvorteil genutzt werden. Auch wenn die DSGVO Unternehmer zur Umstellung zwingt, wünschen sich die meisten Verbraucher mehr Kontrolle über den Umgang mit den eigenen Daten. Unternehmen müssen eine transparente und verantwortungsvolle Verarbeitung von personenbezogenen Daten ihrer Kunden und Mitarbeiter praktizieren. Eine frühzeitige Positionierung als verantwortungsbewusstes und zukunftsweisendes Unternehmen in Sachen Datenschutz, verschafft Ihnen einen klaren Wettbewerbsvorteil. Einen externen Datenschutzbeauftragten zu benennen ist der erste Schritt zur Anerkennung der neuen Anforderungen.
Weiterbildung Ihrer Mitarbeiter
Die Weiterbildung der Mitarbeiter wird für die Umsetzung des Datenschutzes notwendig. Der externe Datenschutzbeauftragte verfügt von Beginn an über das entsprechende Fachwissen und kann Ihre Mitarbeiter im gesetzeskonformen Umgang mit Daten schulen. Die Sensibilisierung aller Mitarbeiter ist erforderlich, damit fortlaufende datenschutzrechtliche Verstöße vermieden werden.
Förderfähige Datenschutzberatung
Unsere vom Bundesamt für Wirtschaft und Ausfuhrkontrolle geprüften Datenschutzbeauftragen verfügen über vertiefte Fachkenntnisse und juristische Vorerfahrung. Unsere Datenschutzberatung erfüllt die hohen Standards, die erforderlich sind, um eine staatliche Förderung zu erhalten. Bis zu 75% der Kosten lassen sich so sparen. Die Förderfähigkeit ist fester Bestandteil unserer Beratung.
Keine Formalitäten
Die Umsetzung der DSGVO ist ein formal aufwändiger und komplizierter Prozess. Viele Unternehmer beschweren sich über den zeitlichen Aufwand und die Ablenkung vom operativen Tagesgeschäft, die mit der Umsetzung der Richtlinie einhergehen. Mit unserer Beauftragung lagern Sie den formalen Prozess der Bestellung und Schulung eines Datenschutzbeauftragten an uns aus und können sich auf Ihr Kerngeschäft fokussieren. Der externe Datenschutzbeauftragte analysiert Ihre Geschäftsabläufe und entwirft ein individuelles Datenschutzkonzept für die Umsetzung der DSGVO in Ihrem Unternehmen
Anleitung zur Umsetzung Ihres DSGVO – Datenschutzkonzepts Schritt für Schritt
So gehen wir für Sie vor
1 KOSTENLOSE ERSTBERATUNG
Im Rahmen unserer anwaltlichen kostenlosen Erstberatung können wir Ihnen grundlegende Fragen zum Thema Datenschutz beantworten. Sie erfahren, ob Sie einen Datenschutzbeauftragten benötigen und welche individuellen Anforderungen an Ihr Datenschutzkonzept bestehen.
2 BESTELLUNG DES EXTERNEN DATENSCHUTZBEAUFTRAGEN
Verlangt die DSGVO von Ihnen die Bestellung eines Datenschutzbeauftragten, so weisen wir Ihnen einen erfahrenen Fachmann zu, dessen berufliche Qualifikationen auf die Datenschutzbedürfnisse Ihres Unternehmens zugeschnitten sind.
3 DATENSCHUTZBERATUNG
Es erfolgt die umfangreiche Datenschutzberatung durch Ihren Datenschutzbeauftragten. Alle Fragen zum Thema Datenschutz-Compliance werden hier beantwortet, sofern dies ohne Analyse Ihrer aktuellen Prozesse möglich ist. Im Anschluss haben Sie einen detaillierten Überblick über die Anforderungen an die Rechtskonformität.
4 ANALYSE DES IST-ZUSTANDS IHRES DATENSCHUTZKONZEPTS
Ihr Datenschutzbeauftragter wird Ihr aktuelles Datenschutzkonzept, falls vorhanden, analysieren und hinsichtlich der DSGVO-Compliance überprüfen.
5 DATENSCHUTZ-AUDIT
Im Anschluss an die Analyse erfolgt der Datenschutz-Audit. Ihr externer Datenschutzbeauftragter wird in Ihrem Unternehmen alle betrieblichen Prozesse bezüglich ihrer datenschutzrechtlichen Relevanz untersuchen.
6 ERSTELLUNG EINES AUDITBEREICHTS UND MAßNAHMENKATALOGS
Die Ergebnisse des Audits werden Ihrer Geschäftsführung in einem detaillierten Auditbericht präsentiert. Gleichzeitig schlägt der Datenschutzbeauftragte Maßnahmen vor, die zur Erreichung der Gesetzeskonformität durchgeführt werden müssen.
7 ERSTELLUNG IHRES DATENSCHUTZKONZEPTS
Basierend auf den Ergebnissen des Auditberichts und dem Maßnahmenkatalog wird ein individuelles Datenschutzkonzept ausgearbeitet. Es umfasst sowohl einmalige Maßnahmen zur Erreichung des gewünschten Zustands als auch konkrete Handlungsanweisen für den laufenden Betrieb.
8 HANDLUNGSANWEISUNGEN; MAßNAHMEN; SCHULUNGEN
Um das Datenschutzkonzept umzusetzen, arbeitet Ihr Datenschutzbeauftragter konkrete Handlungsanweisungen aus, die Sie an Ihre Mitarbeiter weiterleiten können. Er nimmt die technisch-organisatorischen Maßnahmen vor, schult Ihre Mitarbeiter, setzt Standardprozesse auf und optimiert Ihre firmenspezifischen Verarbeitungstätigkeiten in datenschutzrechtlicher Hinsicht. Er ergreift alle erforderlichen Maßnahmen und gibt Ihnen konkrete Handlungsanweisungen an die Hand.
9 UMSETZUNG DES KONZEPTES
Die komplette Umsetzung des Datenschutzkonzeptes nimmt schätzungsweise ein Jahr in Anspruch. Ihr Datenschutzbeauftragter überwacht fortlaufend die Umsetzung des Konzeptes und hilft Ihnen, den Geschäftsbetrieb kontinuierlich an die neuen Anforderungen anzupassen. Er prüft laufend Dokumente, die Konformität der eingesetzten Software und schult Ihre Mitarbeiter.
10 LAUFENDE BETREUUNG
Der Datenschutzbeauftragte begleitet Sie fortlaufend und handelt entsprechend seinen Pflichten. Zu den wiederholenden Aufgaben gehört die Beratung der Mitarbeiter und der Geschäftsführung, die kontinuierliche Prüfung und Kontrolle der DSGVO-Compliance, die Kommunikation mit Behörden und Betroffenen sowie die Fortentwicklung und Anpassung Ihres Datenschutzkonzeptes an aktuelle Entwicklungen.
Was ist ein Datenschutzbeauftragter?
Überblick Datenschutzbeauftragter
Der Datenschutzbeauftragte ist eine fachkundige Person, welche die Einhaltung der Datenschutzgesetze bei betrieblichen Prozessen zu verantworten hat. Die Aufgabe kann durch einen internen Mitarbeiter oder einen externen Dienstleister wahrgenommen werden.
Schon durch das alte Bundesdatenschutzgesetz waren Unternehmen zur Bestellung eines Datenschutzbeauftragten angehalten. Mit der EU-Datenschutz-Grundverordnung, die 2018 europaweit in Kraft getreten ist, nahm der Druck auf Unternehmen zu.
Der Datenschutzbeauftragte ist nicht weisungsgebunden und hat keine Weisungsbefugnis im Unternehmen. Er tritt vielmehr als Mediator zwischen der Geschäftsleitung und dem Datenschutz auf. In manchen Anliegen wendet er sich beratend an die Datenschutzbehörde.
Aufgrund der hohen fachlichen Anforderungen an den DSB empfiehlt es sich, einen externen Dienstleister für die Aufgabe zu engagieren. Die Schulung eines internen Mitarbeiters ist in der Praxis häufig zu aufwändig und zeitlich ineffizient.
Die Bestellung eines Datenschutzbeauftragen ist bereits seit Einführung des Bundesdatenschutzgesetzes (BDSG) verpflichtend für einige Unternehmen. Mit dem Inkrafttreten der EU-DSGVO wurden die Anforderungen an den Datenschutzbeauftragten sowie die Sanktionen bei Missachtung drastisch erhöht. Unternehmen, die mehr als zehn Mitarbeiter haben und automatisiert Daten verarbeiten, haben einen Datenschutzbeauftragten einzustellen. Wenn Sie es noch nicht getan haben, sollten Sie schnellstmöglich einen Datenschutzbeauftragten benennen.
Aufgaben und Arten von Datenschutzbeauftragten
Allgemein gefasst soll der Datenschutzbeauftragte dafür sorgen, dass alle datenschutzrechtlichen Anforderungen an ein Unternehmen eingehalten werden, während es personenbezogene Daten verarbeitet. Obwohl Unternehmen ihn selbst bestellen und bezahlen müssen, soll er als unabhängiges Kontrollorgan fungieren. Er überprüft die Prozesse der Verarbeitung personenbezogener Daten. Stellt er Verstöße gegen das Bundesdatenschutzgesetz (BDSG) oder die EU-DSGVO fest, so muss er Maßnahmen entwickeln, um Abhilfe zu schaffen.
Es gibt unterschiedliche Arten von Datenschutzbeauftragten. Zunächst kann zwischen der Organisation unterschieden werden, für die er tätig ist. Behörden müssen Datenschutzbeauftragte ebenso bestellen wie Unternehmen.
Die grundlegende Frage, die sich für Unternehmen stellt, ist zudem, ob ein Angestellter als Datenschutzbeauftragter ausgebildet oder ein externer Datenschutzbeauftragter bestellt wird.
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Datenschutzbeauftragter Pflicht: Wer braucht einen DSB?
Grundsätzlich wird zwischen dem Datenschutzbeauftragen für öffentliche und nichtöffentliche Stellen unterschieden. Öffentliche Stellen müssen einen behördlichen Datenschutzbeauftragen anmelden.
Nichtöffentliche Stellen, wozu Unternehmen und Vereine zählen, haben einen Datenschutzbeauftragen zu beauftragen, sobald die Voraussetzungen des § 38 BDSG erfüllt sind. Unterschieden wird zwischen drei unterschiedlichen Konstellationen:
- Es werden mindestens neun Mitarbeiter beschäftigt und personenbezogene Daten automatisiert verarbeitet. Die Art der Mitarbeiter ist dafür irrelevant. Eine Vollbeschäftigung oder Festanstellung sind nicht erforderlich, um als Mitarbeiter eingestuft zu werden. Die Automatisierung ist bereits dann erfüllt, wenn die Verarbeitung am Computer vollzogen wird ( 4f Abs. 1 Satz 3 BDSG).
- Die automatisierte Erhebung und Verarbeitung von personenbezogenen Daten gehört zum Geschäftsmodell des Unternehmens. Typische Beispiele sind Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Bei dieser Art von Geschäftsmodell ist die Anzahl der Mitarbeiter irrelevant ( 4f Abs. 1 Satz 5 BDSG).
- Jedes Unternehmen, das sensible personenbezogene Daten verarbeitet, muss einen Datenschutzbeauftragten bestellen. Die Sensibilität liegt vor, wenn etwa Daten bezüglich der Bonität oder Gesundheit einer Person verarbeitet werden ( 4f. Abs. 1 Satz 5 BDSG).
Ab wann wird ein Datenschutzbeauftragter benötigt?
Überblick Stichtag
Grundsätzlich muss ein Datenschutzbeauftragter schon seit der Einführung des Bundesdatenschutzgesetzes bestellt werden.
Durch die Einführung der neuen Datenschutz-Grundverordnung der EU (DSGVO) steigt der Druck auf Unternehmen, den datenschutzrechtlichen Verpflichtungen nachzukommen.
Spätestens seit dem 25.05.2018 sollten Unternehmen, die dazu verpflichtet sind, einen Datenschutzbeauftragten bestellen. Andernfalls drohen hohe Bußgelder, bis zu 20 Mio. €
Unternehmen, die generell aufgrund ihrer Größe, ihres Geschäftsmodells oder ihrer Verarbeitung von personenbezogenen Daten zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, benötigen genau betrachtet schon seit Längerem einen solchen. In vielen Betrieben hat der Datenschutz allerdings bisher nur eine untergeordnete Rolle gespielt. Die Einführung der EU-Datenschutz-Grundverordnung soll diesen Umstand beseitigen und Unternehmen zur Compliance bewegen.
Deutlich höhere Bußgelder drohen
Wurde ab dem Stichtag des endgültigen Inkrafttretens der DSGVO kein Datenschutzbeauftragter bei der zuständigen Datenschutzbehörde angemeldet, so laufen Unternehmen Gefahr, Subjekt von drastischen Sanktionen der DSGVO zu werden. Es können bei Missachtung der Vorschriften Bußgelder in Höhe bis zu 20 Mio. € verhängt werden.
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Bestellung des Datenschutzbeauftragten
Überblick Bestellung eines Datenschutzbeauftragten
Unter der Bestellung des Datenschutzbeauftragten versteht man die offizielle Ernennung, Anmeldung oder Beauftragung einer verantwortlichen Person. Ist die Bestellung vollzogen, so ist er der Verantwortliche für alle datenschutzrechtlich-relevanten Anliegen im Unternehmen
Neben dem Unterschreiben eines Vertrags, wird eine offizielle Datenschutzurkunde ausgestellt und die Kontaktdaten der benannten Person werden an die zuständige Datenschutzbehörde übermittelt.
Vor der Bestellung muss ein qualifizierter Kandidat für das Amt des Datenschutzbeauftragten gefunden werden. Wenn Sie einen externen Dienstleister dafür engagieren, wird der Auswahlaufwand deutlich reduziert.
Die Bestellung bezeichnet im Endeffekt nichts anderes als die Benennung eines Datenschutzbeauftragten. Durch die offizielle Ernennung werden die Pflichten und Verantwortungen an diese Person juristisch übertragen. Fortan ist der Datenschutzbeauftragte dazu verpflichtet, die Aufgaben vollumfassend zu erfüllen und die Datenschutzgesetze im Unternehmen durchzusetzen.
Wie bereits eingangs erwähnt, muss er nicht aus dem Unternehmen selbst stammen. Die Bestellung eines externen Datenschutzbeauftragten ist möglich. Die interne Bestellung hat zur Folge, dass der Mitarbeiter geschult werden muss. Ein externer Beauftragter ist bereits ausgebildet. Er muss lediglich mit den Prozessen im Betrieb vertraut gemacht werden.
Bestellung wird durch Urkunde festgehalten
Da dem Datenschutzbeauftragten anspruchsvolle und juristisch relevante Aufgaben übertragen werden, sollte die Bestellung offiziell durch eine Urkunde festgehalten werden.
Die Frage nach der Geeignetheit bei interner Bestellung
Entscheiden Sie sich für die Bestellung eines internen Datenschutzbeauftragten, ist die Frage der Geeignetheit von enormer Bedeutung. Als unabhängiges Kontrollorgan ist der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt und erhält Einblicke in die Planung des operativen Betriebs. Er muss geeignet sein, die anstehenden Schulungsmaßnahmen eigenverantwortlich zu durchlaufen und die fachlichen Kenntnisse zu erwerben. Im Optimalfall besteht bereits eine juristische Vorbildung, insbesondere im Hinlick auf Datenschutzgesetze.
Umfangreiche Lernbereitschaft nötig
Einen internen Mitarbeiter zum Datenschutzbeauftragten umzuschulen verlangt die Eignung und die Bereitschaft des Mitarbeiters. Zukünftig wird sein Aufgabenfeld durch neue Tätigkeiten erweitert und das bisherige Aufgabenfeld eventuell drastisch beschränkt. In jedem Fall muss die Bereitschaft vorliegen, die enorme Verantwortung zu übernehmen. Schließlich kann ein Verstoß gegen das Datenschutzgesetz zu einer Geldbuße in Millionenhöhe für das Unternehmen führen.
Überblick über geschäftliche Prozesse vorausgesetzt
Zudem muss der Mitarbeiter einen Überblick über die internen Datenverarbeitungsprozesse haben. Einen Mitarbeiter zu schulen, der weder die Prozesse kennt noch datenschutzrechtliche Kenntnisse hat, ist doppelt unwirtschaftlich. Ein externer Beauftragter hat bereits die juristischen Fähigkeiten und muss lediglich an die Prozesse der Datenverarbeitung im Unternehmen herangeführt werden.
Kommunikationsfähigkeiten von großer Bedeutung
Neben den fachlichen Kenntnissen benötigt Ihr Mitarbeiter Kommunikationsfähigkeiten. Er ist für die Umsetzung der Anforderungen, Einhaltung der Richtlinien und Schulung der Mitarbeiter verantwortlich. Dadurch steht er sowohl mit der Geschäftsführung als auch mit einzelnen Mitarbeitern im Kontakt. Ein externer Datenschutzbeauftragter erfüllt bereits alle Anforderungen. Zudem fällt dann kein interner Mitarbeiter für den alltäglichen operativen Geschäftsbetrieb weg.
Erlernen der Datenschutzanforderungen umfangreicher als Einarbeitung in interne Prozesse
Ein externer Datenschutzbeauftragter ist nur selten in einem einzelnen Unternehmen tätig. Häufig organisiert er den Datenschutz in zahlreichen ähnlichen Betrieben. Auch wenn jedes Unternehmen individuelle Prozesse und Strukturen hat, ist die technische Varianz der datenverarbeitenden Prozesse nicht besonders groß. Da externe Datenschutzbeauftragte es gewohnt sind, in unterschiedlichen Unternehmen mit unterschiedlichen Prozessen zu arbeiten, ist ihre Einarbeitung deutlich weniger zeitintensiv als die komplette Schulung eines Internen im Hinblick auf den Themenkomplex Datenschutz.
Bestellung eines externen Datenschutzbeauftragten meist wirtschaftlicher
In der überwiegenden Mehrheit der Fälle ist es für Unternehmen deutlich wirtschaftlicher, einen externen Datenschutzbeauftragten zu bestellen. Nur ein Bruchteil der Unternehmen verarbeitet personenbezogene Daten in derart technisch-komplizierter Weise, dass ein externer Datenschutzbeauftragter sich nicht einarbeiten kann. Lediglich in diesem Szenario sollten Unternehmen einen internen Datenschutzbeauftragten suchen.
Dauer bis zur Umsetzung Ihres DSGVO – Datenschutzkonzepts
Bestellung des externen Datenschutzbeauftragten - 1 Tag
Wir bestellen innerhalb eines Tages einen geeigneten externen Datenschutzbeauftragten, der den Anforderungen Ihres Unternehmens gerecht ist. Er verfügt über vertiefte Fachkenntnisse in der betrieblichen Umstellung und der DSGVO-Compliance. Durch eine fachgerechte Ausbildung und praktische Erfahrung verhilft er Ihnen zur erstmaligen und dauerhaften Anpassung an die Anforderungen der DSGVO.
Analyse des Ist-Zustandes Ihres Datenschutzkonzeptes – 1 Woche
Nach der Bestellung des externen Datenschutzbeauftragten wird er Ihr aktuelles Datenschutzkonzept analysieren. Dabei geht er insbesondere auf akute Gefahren und Risiken ein, die durch schwerwiegende Datenschutzverstöße drohen. Er benötigt dafür ca. 1 Woche.
Datenschutz-Audit, Erstellung eines Auditberichts und Maßnahmenkatalogs sowie Erstellung des Datenschutzkonzeptes – 1 Monat
Im Anschluss an die Analyse wird der Datenschutzbeauftragte einen umfangreichen Datenschutz-Audit vornehmen. Dabei werden alle Prozesse nach datenschutzrechtlicher Relevanz überprüft. Nach dem Audit steht fest, welche Prozesse in Ihrem Unternehmen an die neuen gesetzlichen Anforderungen angepasst werden müssen. Der Geschäftsführung werden die Ergebnisse in Form eines Auditberichts präsentiert. Zudem legt der Datenschutzbeauftragte einen Maßnahmenkatalog, der zur Umsetzung eines gesetzlich-konformen Datenschutzkonzeptes geeignet ist, vor.
Umsetzung Ihres Datenschutzkonzeptes – 1 Jahr Ihres Datenschutzkonzeptes
Die Umsetzung des Datenschutzkonzeptes ist ein umfangreicher Prozess, der in den meisten Fällen eine grundlegende Anpassung oder Umstellung Ihres Betriebs erfordert. Der realistische Zeitraum zur Erreichung der DSGVO-Konformität beträgt ein Jahr. Der Datenschutzbeauftragte wird Sie in diesem Zeitraum begleiten und intensiv beraten. Durch die Gewährung der besonderen Stellung in Ihrem Unternehmen, die gesetzlich vorgeschrieben ist, plant und optimiert er mit der Geschäftsführung gemeinsam die datenerhebenden Prozesse und die sonstigen formalen Anforderungen nach der DSGVO. Innerhalb eines Jahres wird Ihr Unternehmen datenschutzkonform.
Laufende Betreuung Ihres Datenschutzkonzeptes
Die Prinzipien der DSGVO sehen vor, dass sich Unternehmen kontinuierlich um die Verbesserung und Optimierung ihres eigenen Datenschutzkonzeptes bemühen. So muss der technische Datenschutz beispielsweise mit den technologischen Entwicklungen Schritt halten. Ihr Datenschutzbeauftragter kontrolliert und überwacht die juristischen und technologischen Entwicklungen und passt Ihr Datenschutzkonzept fortlaufend an die veränderten Anforderungen an.
Vorteile eines externen Datenschutzbeauftragten
Vorteile
Rechtssicherheit
Die drohenden Sanktionen bei Datenschutzverstößen sind enorm und gefährden selbst die Existenz großer Unternehmen. Durch die Beratung durch eine erfahrene Kanzlei im Unternehmensrecht, verlassen Sie sich auf versierte juristische Fachleute. Die professionelle Umsetzung eines stichhaltigen Datenschutzkonzeptes bewahrt Sie vor Sanktionen und garantiert Rechtssicherheit.
Abmahnsicherheit
Werden Datenschutzvorgaben der DSGVO ignoriert oder unzulänglich umgesetzt, droht nicht nur eine Sanktion durch die Datenschutzbehörde. Eine weitere Gefahr geht von teuren Abmahnungen aus, die aus unterschiedlichen Gründen erfolgen können. Liegt ein wettbewerbsrechtlicher Verstoß Versäumnisse bei der Umsetzung eines Datenschutzkonzeptes vor, kann ein Wettbewerber abmahnen. Zudem können Abmahnungen durch Anwaltskanzleien oder Verbraucherschutzverbände ergehen. Die ganzheitliche Umsetzung der Datenschutzanforderungen mit anwaltlicher Betreuung schützt Sie vor teuren Abmahnungen.
Bußgeldschutz
Auch vor dem Inkrafttreten der EU-DSGVO bestand die Gefahr von Bußgeldern wegen Datenschutzverstößen. Allerdings bewegten diese sich um Rahmen von 50.000 bis 300.000 Euro. Mit der DSGVO wurde die Höhe drastisch verschärft. So können 10 bis 20 Mio. Euro verhängt werden, alternativ 4 % des Jahresumsatzes, wenn es sich um größere Konzerne handelt. Bei der Bemessung wird die gesamte wirtschaftliche Einheit herangezogen, sodass der Verstoß eines Tochterunternehmens ausreicht, um den Umsatz des Konzerns heranzuziehen. Einen externen Datenschutzbeauftragten zu bestellen schützt Sie vor derartigen Bußgeldern.
Outsourcing und Enthaftung
Ein externer Datenschutzbeauftragter entbindet den Geschäftsführer von der Notwendigkeit, sich tiefgehend mit dem Thema Datenschutz zu befassen. Der Datenschutzbeauftragte hält mit aktuellen Entwicklungen Schritt und entwickelt mit Ihnen gemeinsam die richtigen Maßnahmen. Gleichzeitig ist er für die Überwachung der Einhaltung der Gesetze zur jeder Zeit verantwortlich. Liegt ein Verstoß im Unternehmen vor, auf den er nicht aufmerksam macht, haftet er. Bei Bestellung eines externen Datenschutzbeauftragten obliegt diese Haftung somit keinem Mitarbeiter, dessen Fehlverhalten aufgrund der innerbetrieblichen Haftung das Unternehmen selbst haftbar machen würde.
Aufbau von Kundenvertrauen
Unternehmen mit einem externen Datenschutzbeauftragten kommunizieren, dass sie den Schutz der teils sensiblen Informationen der Kunden ernst nehmen. Das Thema Datenschutz gegenüber seinen Kunden zu kommunizieren verschafft Vertrauen, da Verbraucher und Unternehmen sich zunehmend um die eigenen Daten, vor allem im Internet, sorgen.
Sensibilisierung Ihrer Mitarbeiter
Die EU-DSGVO ist erst der erste Schritt. Zukünftig wird die e-Privacy-Richtlinie erwartet, welche bestimmte Anliegen der DSGVO konkretisieren. Die frühzeitige Sensibilisierung der Mitarbeiter für diesen Prozess sorgt für eine rechtzeitige Anpassung. Der externe Datenschutzbeauftragter wird Ihre Mitarbeiter schulen und mit den notwendigen Grundkenntnissen ausstatten, um mit dieser Entwicklung Schritt zu halten.
Förderfähige Datenschutzberatung
Wird die Datenschutzberatung durch einen akkreditieren Datenschutzbeauftragten durchgeführt, besteht die Möglichkeit, die Kosten mit einer Beteiligung bis zu 75% fördern zu lassen.
Die EU-DSGVO – Was hat sich geändert?
Überblick DSGVO
Die DSGVO orientiert sich in vielen Bereichen an dem alten BDSG. Dennoch weitet sie die Verantwortung für den Umgang mit personenbezogenen Daten für verantwortliche Stellen aus. Neben den alten Rechten werden für betroffene Personen neue geschaffen.
Zudem wurden die Sanktionen der Datenschutzbehörden drastisch verschärft. Es sind Geldbußen in Höhe von bis zu 20 Mio. € möglich.
Die DSGVO macht deutlich, dass der Datenschutz nun ein elementarer Bestandteil einer jeden unternehmerischen Organisation ist und dementsprechend ernstgenommen werden sollte.
Jedes Unternehmen, das personenbezogene Daten automatisiert verarbeitet und mehr als zehn Personen beschäftigt, muss einen Datenschutzbeauftragten bestellen. Dasselbe gilt für Unternehmen, die besonders sensible personenbezogene Daten verarbeiten, die etwa über Gesundheit, Bonität, Sexualleben, Religion oder politischer Meinung einer Personen Auskunft geben könnten oder deren Kerngeschäft aus der Verarbeitung personenbezogener Daten besteht. Mit Inkrafttreten der EU-DSGVO wurden die Pflichten deutlich ausgeweitet.
Für deutsche Unternehmen galt bereits vor der EU-DSGVO das BDSG, welches Rechte von Nutzern und Kunden definierte. Während zahlreiche Neuerung die Nutzer mit zusätzlichen Rechten ausstatten, wurden bereits bestehende Rechte erweitert. Unternehmen müssen ihre datenverarbeitenden Prozesse so einrichten, dass die betroffenen Personen ihre Rechte geltend machen können.
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Strafen, Bußgelder und Abmahnungen
Überblick Strafen, Bußgelder, Abmahnungen
Die EU-DSGVO vereinheitlich auch die Geldbußen und Sanktionen, die von Datenschutzbehörden verhängt werden können. Datenschutzbehörden haben die Möglichkeit, Geldbußen in Höhe von bis zu 20 Mio. Euro oder bei Konzernen 4% des weltweiten Umsatzes zu verhängen
Die Sanktionen betreffen nicht nur Unternehmen, die ihren Sitz in der EU haben. Auch internationale Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, können hiervon betroffen sein.
Die Anzeige eines Datenschutzverstoßes kann von vielen Stakeholdern eines Unternehmens ausgehen. Das beste Mittel zum Vorbeugen ist die DSGVO-Compliance und die Ernennung eines Datenschutzbeauftragten.
Abmahnungen sind die zweite Gefahr bei Verstößen gegen die DSGVO. Abgemahnt zu werden ist sogar wahrscheinlicher, als von einer Datenschutzbehörde sanktioniert zu werden. Der Verstoß gegen die DSGVO muss dafür aber wettbewerbsrechtliche Relevanz haben.
Folge der Abmahnungen ist meistens der Zwang zum Unterschreiben einer Unterlassungserklärung.
Sanktionen
Um die neuen strengeren Anforderungen der DSGVO an datenverarbeitende Unternehmen durchzusetzen, wurde die Einführung drastischer Bußgelder beschlossen. Die Höhe der Sanktionen wurde derart ausgestaltet, dass die Verhängung eines Bußgeldes sogar die Existenz eines Unternehmens bedrohen kann.
Die rechtliche Grundlage für Geldbußen finden sich in Art. 83, 84 DSGVO. Darüber hinaus bestimmen die einzelnen Mitgliedsstaaten die strafrechtlichen Sanktionen selbst.
Begeht ein Unternehmen einen Verstoß gegen das Datenschutzrecht, besteht die Gefahr der Anzeige gegenüber der zuständigen Datenschutzbehörde. Jeder kann Verstöße anzeigen, u.a. Datenschutzbehörden, Mitarbeiter oder Kunden.
Abmahnungen
Gefahr droht nicht nur von Datenschutzbehörden. Sie haben überwiegend eine Beratungsfunktion und vergeben nach eigener Aussage zunächst eine Verwarnung, bevor sie von dem drastischen Bußgeldkatalog Gebrauch machen. Die größere Gefahr geht von Abmahnungen auf nationaler Ebene aus, die ebenfalls von unterschiedlichen Akteuren erfolgen können.
Datenschutzrechtliche Abmahnungen werden dann versendet, wenn der Verstoß gegen das Datenschutzgesetz dem Unternehmen einen wettbewerblichen Vorteil verschafft hat.
Im Gegensatz zu vielen anderen EU-Ländern, hat Deutschland ein Verbandsklagerecht bei Datenschutzverstößen durchgeführt. Somit besteht nicht nur für direkte Wettbewerber, sondern auch für Verbraucherschutz- oder Wettbewerbsverbände ein Recht zur Abmahnung.
Sollte tatsächlich ein wettbewerbsrechtlicher Datenschutzverstoß vorliegen und die Abmahnung somit berechtigt sein, so müssen abgemahnte Unternehmen mit teuren Folgen rechnen. Bei Abmahnungen droht der Zwang zum Unterschreiben einer Unterlassungserklärung, die Begleichung der Rechtskosten des Abmahners, die Zahlung von Schadensersatz (§ 9 UWG) oder im schlimmsten Fall die Gewinnabschöpfung der Gewinne, die der Verantwortliche durch die Missachtung der Datenschutzanforderungen erwirtschaftet hat.
Wir helfen Ihnen, sich gegen drohende Bußgelder, Strafen und Abmahnungen zu wehren.
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Förderung der Datenschutzberatung
Überblick Förderung
Das Bundesamt für Wirtschaft und Ausführkontrolle fördert die Datenschutzberatung mit einem Zuschuss.
Junge, mittelständische und Unternehmen in schwierigen Situationen sind zur Förderung berechtigt.
Die Höhe des Zuschusses ist abhängig von der Unternehmensart und der Region des Standortes.
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) fördert die Unternehmensberatung von Startups und etablierten Unternehmen im Auftrag des Bundesministeriums für Wirtschaft (BMWi). Hinsichtlich des Datenschutzes und der neuen DSGVO bestehen umfangreiche Fördermöglichkeiten, um die Umstellung zu einem gesetzeskonformen Umgang mit Daten vergünstigt durchzuführen. Teile der Leistungen in den Bereichen Datenschutz und Datensicherheit sind förderfähig.
Staatliche Förderung des Datenschutzes
Die Datenschutzbeauftragten, die wir Ihnen im Rahmen unserer Datenschutzberatung zuteilen, erfüllen die Anforderungen an die staatlichen Förderungen. Erfüllt Ihr Unternehmen die Voraussetzungen, ist eine Förderung für Sie möglich. Wir unterstützen Sie bei der Antragsstellung.
Unterschiedliche Unternehmen antragsberechtigt
Der Beratungszuschuss zur „Förderung unternehmerischen Knowhows“ wird über die BAFA organisiert. Beratungsrichtlinien dazu wurden 2016 erlassen, sodass seitdem folgende Unternehmen antragsberechtigt sind:
- Startups: Nicht älter als zwei Jahre
- Etablierte Unternehmen: Im dritten Bestandsjahr
- Unternehmen in Schwierigkeiten: Finanzielle schwierige Situation
Um von der Förderung zu profitieren, muss der Sitz des Unternehmens innerhalb der Bundesrepublik liegen. Zudem zielt die Förderung auf kleine und mittelständische Unternehmen ab, die dem Bild der EU-Mittelstandsdefinition entsprechen.
Juristische, öffentliche und insolvente Unternehmen sind ausgeschlossen
Freiberufler und Unternehmen, die als Unternehmens-, Wirtschafts- oder Steuerberatung oder anderweitig im Rechtswesen oder der Insolvenzverwaltung tätig sind, sind von der Förderung ausgeschlossen. Dasselbe gilt für Unternehmen, die sich im Insolvenzverfahren befinden oder die Voraussetzungen zur Eröffnung erfüllen sowie für Unternehmen, die an religiösen Gemeinschaften, juristischen Personen öffentlichen Rechts oder deren Eigenbetrieben beteiligt sind. Vereine und gemeinnützige Unternehmen sind ebenfalls von der Förderung ausgeschlossen.
Höhe der Förderung abhängig von Region und Unternehmensart
Die Förderung erfolgt in Form eines Zuschusses zu den Beratungskosten. Er wird aus der maximal förderbaren Summe in Abhängigkeit vom Unternehmensstandort ermittelt. Die Bemessungsgrundlage für Startups beträgt maximal 4.000 €, für etablierte Unternehmen 3.000 € und für Unternehmen in Schwierigkeiten ebenfalls 3.000 €. Unternehmen in den neuen Bundesländern erhalten dabei den Zuschuss in Höhe von 80% (außer Berlin und Leipzig), also maximal 3,200 Euro. Betriebe der Region Lüneburg in Höhe von 60% und in den sonstigen Regionen in Höhe von 50%. Unternehmen in schwierigen finanziellen Situation können unabhängig vom Standort mit 90% gefördert werden.
Umfangreiche Beratung zur Förderung und Antragsstellung
Im Rahmen unserer Datenschutzberatung können wir Sie umfangreich zur Förderbarkeit Ihres Unternehmens beraten. Wir helfen Ihnen bei der Vorbereitung des Antrags sowie der Erstellung der notwendigen Unterlagen.
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Datenschutz gegenüber Kunden, Mitarbeitern, Patienten
Überblick
Nach Inkrafttreten der DSGVO müssen Unternehmen auf die stärkeren Anforderungen des Datenschutzes gegenüber Kunden und Interessenten reagieren. Neben den bereits bestehenden Rechten durch das deutsche BDSG-alt, wurden neue Rechte für EU-Bürger aus dem gesamten EU-Raum geschaffen. Der Verstoß gegen den gesetzlichen Datenschutz gegenüber Kunden kann in einer hohen Geldstrafe oder einer Abmahnung münden. Für Unternehmen besteht ein bedeutsamer Mehraufwand, sowie die Pflicht zur Anmeldung eines Datenschutzbeauftragten.
Neben der erforderlichen Neuausrichtung der Behandlung personenbezogener Daten von außen, müssen Unternehmen auch intern erhöhte Anforderungen an den Datenschutz erfüllen. Die Anforderungen betreffen auch den Umgang mit Daten von Mitarbeitern sowie die IT-Infrastruktur.
Auch Arztpraxen müssen sich auf erhöhte Anforderungen einstellen. Allgemein unterliegen sie denselben Anforderungen wie Unternehmen. Die DSGVO sieht die sensiblen Patientendaten allerdings als besonders schutzwürdig und verlangt zusätzliche Maßnahmen.
Datenschutz bei Kunden
Die EU-DSGVO räumt Verbrauchern und Kunden von Unternehmen umfangreiche Rechte zur Kontrolle ihrer Daten ein. Die meisten Unternehmen und Freiberufler werden mindestens an einer Stelle von den gesetzlichen Änderungen berührt. Rechten der Betroffenen münden in zahlreichen Pflichten zum Datenschutz gegenüber Kunden.
Datenschutz bei Mitarbeitern
Die DSGVO beschränkt sich aber nicht nur auf den Umgang mit personenbezogenen Daten von Kunden. Unternehmen müssen auch intern umfangreiche Anpassungen vornehmen, um hohe Bußgeldern oder Abmahnungen zu vermeiden. Das Aufgabenfeld eines Datenschutzbeauftragten erstreckt sich nicht nur auf den externen Umgang, sondern auch auf interne Prozesse der Datenverarbeitung. Die Persönlichkeitsrechte der Arbeitnehmer sind ebenso zu wahren, wie die der Kunden.
Datenschutz bei Patienten
Die DSGVO sieht vor, dass besonders sensible Daten besonders schutzbedürftig sind (Art. 9 DSGVO). Da Ärzte in der Regel Daten von Personen bearbeiten, die Rückschlüsse auf den Gesundheitszustand einer Person zulassen, wird der Datenschutz in der Arztpraxis von dieser besonderen Schutzbedürftigkeit erfasst. Generell ist die Verarbeitung derartiger Daten untersagt (Art. 9 Abs. 1 DSGVO), es sei denn der Betroffene hat eingewilligt (Art. 9 Abs. 2 lit.) a DSGVO). Durch die besondere Sensibilität der Daten sind Ärzte zu einer Datenschutz-Folgeabschätzung verpflichtet (Art. 35 DSGVO). Dabei werden voraussichtliche Risiken bei der Verarbeitung der sensiblen Daten abgeschätzt, um geeignete Maßnahmen zu treffen.
Datenschutzrecht und Datenschutz
Überblick Datenschutzrecht
Mit zunehmender Technologisierung wurde der Datenschutz in der zweiten Hälfte das 20. Jahrhunderts erstmals thematisiert. Durch zunehmende Ansammlung von personenbezogenen Daten entstand das Bedürfnis nach mehr Regulierung im Umgang mit diesen.
Interessanterweise ist der Datenschutz ein deutsches Konzept. Im Jahr 1970 verabschiedete Hessen das erste Datenschutzgesetz weltweit. Im Jahr 1977 wurde das deutsche Bundesdatenschutzgesetz (BDSG) eingeführt.
Das deutsche und europäische Datenschutzrecht reguliert heute den Umgang mit Daten von Privatpersonen und Unternehmen für Behörden, Unternehmen und Organisationen. Spätestens seit Inkrafttreten der DSGVO rückt das Thema Datenschutz in den Mittelpunkt einer jeden Unternehmenstätigkeit. Zu den Grundlagen und wichtigsten Aspekten des Datenschutzrechts gehören:
- der Begriff Datenschutz
- der Begriff Persönlichkeitsrecht
- die EU-DSGVO
- das deutsche BDSG
- der Begriff personenbezogene Daten
- Datenverarbeitung und DSGVO
- Datenweitergabe und DSGVO
- Auftragsdatenverarbeitung
Mehr dazu erfahren Sie über den nachfolgenden Link
Rechte und Pflichten
Überblick Rechte und Pflichten
Die europäische Datenschutzgrunverordnung räumt umfangreiche Pflichten für Betroffene ein. Gleichzeitig legt sie datenverarbeitenden Unternehmen Pflichten auf, deren Einhaltung in den Aufgabenbereich des Datenschutzbeauftragen fällt. Betroffenen werden genaue Handlungsspielräume für die Wahrnehmung ihrer Rechte eingeräumt.
Neben altbekannten Rechten, die im Sinne der Betroffenen ausgeweitet werden, kommen neue Rechte hinzu. Dazu gehören etwa das Recht auf Datentransportabilität (Art. 20 DSGVO), das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht und das Recht auf Unbetroffenheit.
Die Realisierung der Rechte von Betroffenen münden gleichzeitig in Pflichten der datenverarbeitenden Unternehmen.
Zudem werden Unternehmen weitere Pflichten auferlegt, welche die Organistation des inneren Betriebs und die Umsetzung des technischen Datenschutzes betreffen.
Die EU-DSGVO räumt Betroffenen umfangreiche Rechte zur Kontrolle ihrer personenbezogenen Daten ein. Auch wenn einige dieser Rechte schon im BDSG verankert waren, werden sie durch die DSGVO konkretisiert und neue Rechte hinzugefügt. Gleichzeitig müssen Unternehmen sich höheren Pflichtanforderungen im Umgang mit personenbezogenen Daten stellen. Neben der Ausweitung der Rechte kommen vor allem drastischere Sanktionen hinzu, die Unternehmen zu einer genauen Umsetzung anhalten sollen.
Rechte für Betroffene
Im datenschutzrechtlichen Sinne versteht man unter dem Betroffenen eine Privatperson, deren personenbezogene Daten erhoben wurden. Durch die Erhebung der Daten erhält der Betroffene einige Rechte, die für Verantwortliche, in diesem Falle Unternehmen, die Entstehung von Pflichten zur Folge haben.
Auskunftsrecht (Art. 15 DSGVO): Schon das BDSG-alt, räumte den Betroffenen nach Datenerhebung ein Auskunftsrecht ein. Das neue Auskunftsrecht der DSGVO übersteigt das Maß des alten BDSG allerdings bei Weitem. So kann der Betroffene Auskunft zu folgenden Details der Datenerhebung verlangen, unabhängig davon, ob diese nach Einwilligung oder auf gesetzlicher Grundlage erhoben wurden:
- Zweck der Verarbeitung
- Kategorien der Daten
- Empfänger oder Kategorien von Empfängern
- Geplante Dauer oder Kriterien für die Festlegung der Dauer
- Bestehen eines Rechts zur Löschung oder Berichtigung
- Bestehen eines Beschwerderechts bei Auskunftsbehörden
- Falls nicht vom Verantwortlichen erhoben, die Herkunft der Daten
- Bestehen einer automatisierten Entscheidungsfindung (Profiling)
Der Verantwortliche hat die Informationen innerhalb eines Monats bereitzustellen (Art. 15 Abs. 3 DSGVO). Um sie auf angemessene Weise darstellen zu können, sollte ein Verfahrensverzeichnis geführt werden.
Berichtigungs- und Löschungsrecht (Art. 16, 17 DSGVO): Der Betroffene hat jederzeit die Möglichkeit, eine Berichtigungs- oder Löschanfrage an den Verantwortlichen zu stellen. Die Berichtigung muss durchgeführt werden, wenn unrichtige Daten erhoben wurden. Der Löschanfrage hingegen ist Rechnung zu tragen, sobald
- der Zweck der Datenverarbeitung erreicht wurde und die Speicherung nicht mehr erforderlich ist
- die Einwilligung zur Erhebung widerrufen wurde
- der Betroffene Widerspruch eingelegt hat (Art. 21 DSGVO)
- die Daten unrechtsmäßig erhoben wurden, also die Erhebung nicht von Art. 6 DSGVO gedeckt war
- der Betroffene die Daten als Minderjähriger abgegeben hat (Art. 8 DSGVO).
Recht auf Einschränkung der Verarbeitung: Die DSGVO räumt neuerdings mit Art. 18 DSGVO dem Betroffenen das Recht ein, die Verarbeitung der Daten einzuschränken. Dies kommt in Frage wenn:
- die Richtigkeit der Daten bestritten wird
- die Verarbeitung unrechtsmäßig erfolgt is.
- die Daten für den vereinbarten Zweck nicht mehr benötigt werden
- Widerspruch gegen die Verarbeitung im Sinne des Art. 21 Abs. 1 DSGVO eingelegt wurde.
Recht auf Datenübertragbarkeit: Mit Art. 20 DSGVO entsteht das Recht auf Datenübertragbarkeit. Damit soll dem Betroffenen die Möglichkeit eingeräumt werden, beispielsweise seine Daten von einem Anbieter zu einem anderen übertragen zu lassen. In der Praxis wurde die fehlende Möglichkeit vorher oft als Wettbewerbshindernis wahrgenommen, da viele Verbraucher aufgrund des Aufwands der Datenübertragung nicht zu einem günstigeren Anbieter wechselten.
Der Betroffene kann verlangen, dass seine Daten in einem Format ausgegeben werden, das die Übertragbarkeit begünstigt. Die direkte Übermittlung an einen Dritten kann ebenfalls verlangt werden. Allerdings wird die Pflicht zur Übertragbarkeit auf die Fälle beschränkt, in denen die Daten durch Einwilligung erhoben wurden, keine Einwilligung erforderlich war oder die Einwilligung automatisch erfolgt ist.
Widerspruchsrecht: Durch Art. 21 DSGVO wird dem Betroffenen das Recht eingeräumt, gegen Datenerhebungen, die aufgrund einer gesetzlichen Grundlage oder des Vorliegens eines berechtigten Interesses ohne Einwilligung erfolgt, Widerspruch einzulegen. Für den Besuch von Internetseiten bedeutet dies vor allem, dass Nutzern die Möglichkeit zum Austragen aus Cookie-Sammlungen zu Marketingzwecken gegeben werden muss.
Hier wird die Rechtsprechung zeigen, welcher Cookie-Einsatz unter berechtigtes Interesse fällt und daher eines Widerspruchs (Opt-Out) bedarf und welcher eine explizite Einwilligung benötigt (Opt-In).
Recht auf Unbetroffenheit: Ein dem BDSG-alt unbekanntes Recht räumt Art. 22 DSGVO Betroffenen ein. Es betrifft insbesondere die Einbeziehung von Auskunfteien in die Entscheidung, ob ein Rechtsverhältnis zwischen einem Betroffenen und einem Unternehmen zustande kommt. So würde nach Art. 22 Abs. 1 DSGVO ein Verbot für einen automatischen Verarbeitungsprozess als Entscheidungsgrundlage bestehen, wenn dieser aufgrund der erhobenen Daten eine Entscheidung für oder gegen einen Vertragsschluss träfe.
Somit dürfen etwa Banken oder Online-Händler nicht mehr aufgrund einer automatisierten Bonitätsprüfung einem Kredit oder einem Kaufvertrag ab- oder zusagen. Ist die Entscheidung allerdings für die Vertragsverfüllung erforderlich, besteht kein Recht auf Unbetroffenheit. Welche Verträge hiervon erfasst sind, wird die zukünftige Rechtsprechung zeigen.
Pflichten für Unternehmen
Neben den personenbezogenen Rechten von Betroffenen, welche für die Unternehmen mit Pflichterfüllungen einhergehen, existieren weitere Unternehmenspflichten. Sie entstehen nicht durch datenschutzrechtliche Beziehungen zu Kunden (Betroffenen), sondern werden durch die DSGVO oder teilweise schon durch das BDSG-alt, Unternehmen direkt auferlegt.
Was ist ein Verantwortlicher?
Verantwortlicher im Sinne der DSGVO bezeichnet eine juristische Person, wie ein Unternehmen, eine Behörde, eine Einrichtung, eine Personengesellschaft oder eine Einzelperson, die personenbezogene Daten erhält und über die Zwecke und Mittel entscheidet, die dazu eingesetzt werden. Im Folgenden werden wir uns auf die Datenschutzpflichten für Unternehmen fokussieren.
DSGVO-Datenschutzbeauftragter
Jedes Unternehmen benötigt in Zukunft einen Datenschutzbeauftragten. Ob dies eine besonders eigesetzte Person sein muss oder ob der Geschäftsführer selber als Verantwortlicher verstanden werden kann, hängt von der Größe und Art des Betriebes ab.
- Unternehmen, die neun Mitarbeiter beschäftigen und personenbezogene Daten automatisiert verarbeiten, müssen einen Datenschutzbeauftragten bestellen. Er kann ein interner oder externer Datenschutzbeauftragter sein. Es reicht der Einsatz eines Computers, um die Anforderungen der Automatisierung zu erfüllen.
- Unternehmen, die automatisiert personenbezogene Daten als großen Bestandteil ihres Geschäftsmodells erheben, müssen einen Datenschutzbeauftragten bestellen. Dazu gehören Auskunfteien, Marktforschungsunternehmen oder Adressverlage. Die Zahl der Mitarbeiter ist hier irrelevant.
- Unternehmen, die als Bestandteil ihres Geschäftsmodells mit sensiblen Daten von Privatpersonen umgehen. Solche Daten können beispielsweise die Gesundheit, die politische Meinung, die Bonität oder die sexuelle Orientierung einer Person betreffen.
Technischer Datenschutz
Ein weiteres Gebiet des Datenschutzes, mit dem sich Unternehmen auseinandersetzen müssen, ist der technische Datenschutz. Nach Art. 24 DSGVO sind Unternehmen dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die Persönlichkeitsrechte der Betroffenen nach Datenerhebung zu gewährleisten. Seit 2018 müssen Unternehmen sich auf neue Anforderungen an den technischen Datenschutz nach der DSGVO und dem BDSG-Neu einstellen.
Keine konkreten Maßnahmen aber Schutzziele
Die DSGVO formuliert Schutzziele für den technischen Datenschutz, die maßgebend für die technischen und organisatorischen Maßnahmen sein sollen:
- Pseudonymisierung und Verschlüsselung (statt Klarnamen, Zeichenfolgen)
- Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten technischen Systeme (moderne Sicherheitsstandards)
- Verfahren zur Wiederherstellung der Verfügbarkeit bei physischen oder technischen Zwischenfällen (Datensicherung)
- Regelmäßige Überprüfung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Die genaue Umsetzung der Maßnahmen fällt in den Aufgabenbereich Ihres Datenschutzbeauftragten und ist stark abhängig von der Ausrichtung Ihres Betriebs. Die Bestellung eines externen Datenschutzbeauftragten garantiert das Einbringen eines Fachmanns, der sich kontinuierlich hauptberuflich zum Thema weiterbildet und die juristischen Entwicklungen verfolgt.
Auftragsdatenverarbeitung (Art. 28 DSGVO)
Datenerhebende Unternehmen werden in vielen Fällen mit einem externen Dienstleister zusammenarbeiten, der Zugriff auf die Daten hat und sie selbst verarbeitet. Dies könnte beispielsweise ein Host oder ein Dienstleister zur Vernichtung von Akten sein. Der Verantwortliche, hier das Unternehmen, ist dazu angehalten, mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung abzuschließen (Art. 28 DSGVO).
Durch den Vertrag garantiert der Dienstleister, dass er die weitergeleiteten Daten im Sinne des verantwortlichen Auftraggebers verarbeitet und auch dazu technische und organisatorische Maßnahmen trifft, um die Pflichten des Verantwortlichen im Sinne der DSGVO zu wahren. Der Dienstleister darf die Verarbeitung nur auf Weisung des Verantwortlichen verarbeiten (Art. 29 DSGVO).
Inhaltsanforderungen an die Auftragsdatenverarbeitung bleibt unverändert
Faktisch herrscht bereits jetzt durch das BDSG der Zwang zum Abschluss eines Vertrags über die Auftragsdatenverarbeitung. Aufgrund der nun drohenden höheren Sanktionen beschäftigen sich viele Unternehmen jetzt eindringlicher mit dem Thema. Die Anforderungen aus dem Inhalt ergeben sich aus Art. 28 Abs. 3 EU-DSGVO:
- Form und Zweck der Datenverarbeitung
- Umfang der Weisungsbefugnisse
- Sicherstellung der technischen & organisatorischen Maßnahmen
- Vertraulichkeitsverpflichtung der beteiligten Personen
- Regulierung bei weiteren Subunternehmern
- Unterstützung bei datenschutzrechtlich-relevanten Anfragen
- Rückgabe oder Löschung der Daten
- Kontrollrechte des Verantwortlichen gegenüber dem Dienstleister
- Informationspflicht bei Datenschutzverstößen gegenüber dem Verantwortlichen
Die genaue Ausarbeitung des Vertrags zur Auftragsdatenverarbeitung ist ein Fall für den Datenschutzbeauftragten. Aufgrund der hohen Unterschiedlichkeit und Ausprägung der externen Datenverarbeitung in der Praxis, würde eine tiefergehende Beschreibung den Rahmen dieses Artikels sprengen.
Neben den typischen Beispielen des Hostings oder des Aktenvernichtungsdienstleisters, fällt für die meisten Unternehmen wohl eine Pflicht zur vertraglichen Regelung der Auftragsdatenverarbeitung mit Google an.
Wer haftet bei externer Auftragsdatenverarbeitung?
Mit der DSGVO verschärft sich die potenzielle Haftung bei Verstößen für den Dienstleister. Art. 83 DSGVO sieht vor, dass nicht nur mehr der Verantwortliche, sondern auch der Auftragsverarbeiter zur Rechenschaft gezogen werden kann, wenn aus dem Verstoß materielle oder moralische Schäden entstehen.
Zusätzliche Pflichten für Auftragsverarbeiter
Zusätzlich werden auch Auftragsverarbeitern Pflichten auferlegt, wenn sie im Auftrag eines Verantwortlichen tätig sind. Nach Art. 30 Abs. 2 DSGVO müssen auch sie ein Verfahrensverzeichnis führen, was nach dem alten BDSG nur für Auftraggeber (Verantwortliche) notwendig war.
Zwang des nachträglichen Vertragsabschlusses
Unternehmen sollten auch mit ihren bisherigen Datenverarbeitungsdienstleistern einen Vertrag zur Auftragsdatenverarbeitung abschließen (Art. 30 Abs. 3 DSGVO). Die Schriftform ist nicht mehr zwingend dafür erforderlich, sondern es genügt die digitale Form.
Datenschutzfolgeabschätzung
Verantwortliche Unternehmen und Organisationen, die mit besonders sensiblen Daten umgehen, müssen eine Datenschutzfolgeabschätzung erstellen (Art. 35 EU-DSGVO). Auch beim Einsatz neuartiger Technologien entsteht diese Pflicht. Allgemein zusammengefasst, bedarf es einer Datenschutzfolgeabschätzung, wenn für die erhobenen Daten ein erhöhtes Risiko besteht. Die Folgeabschätzung kann als eine Art Vorabkontrolle verstanden werden.
Welche neuen Technologien und Daten sind erfasst?
Die Datenschutzfolgeabschätzung ist beim Einsatz bestimmter Technologien verpflichtend. Nach dem Wortlaut der DSGVO gehören dazu:
- Systeme zur Bewertung persönlicher Aspekte einer natürlichen Person durch automatische Verarbeitung.
- Verarbeitung besonders sensibler Kategorien von personenbezogenen Daten oder Daten über strafrechtliche Anliegen einer Person.
- Systeme zur flächendeckenden Überwachung öffentlicher Orte.
Mindestanforderungen nach Art. 35 Abs. 7 DSGVO
Die strukturierte Risikoanalyse und deren Aufbau im Detail ist stark abhängig von der jeweiligen Datenverarbeitung in Ihrem Betrieb. Art. 35 Abs. 7 DSGVO sieht allerdings allgemeine Mindestanforderungen vor:
- Beschreibung der Verarbeitungsvorgänge sowie deren Zweck und berechtigte Interessen.
- Notwendigkeit und Verhältnismäßigkeit der Maßnahmen
- Risiken sowie die beschnittenen Freiheiten und Rechte der Betroffenen.
- Abhilfemaßnahmen zur Eindämmung der Risiken und Beschneidung der Rechte.
Ein komplexes Aufgabenfeld für Datenschutzbeauftragte
Die Datenschutz-Risikofolgeabschätzung ist eines der komplexesten Themen bei der Umsetzung eines DSGVO-konformen Datenschutzprinzips. Sie behandelt die riskanten Themen des Schutzes sensibler Daten und umstrittener Technologien. Ohne einen fachmännischen externen Datenschutzbeauftragten ist die rechtskonforme Umsetzung nur schwer zu realisieren. Sollte die juristische Datenschutzprüfung etwa ergeben, dass die angestrebten Maßnahmen enorm riskant sind, so ist die Datenschutzbehörde zu konsultieren (Art. 36 DSGVO). Durch die Ernennung eines externen Datenschutzbeauftragten delegieren Sie dieses Aufgabenfeld an einen Fachmann.
Verarbeitungsverzeichnis
Ein Verfahrensverzeichnis bezeichnet die Dokumentation aller Tätigkeiten, die personenbezogene Daten von Personen verarbeiteten.
Schon nach dem bisherigen Datenschutzrecht benötigten Unternehmen ein Verfahrensverzeichnis für die datenschutzrelevanten Anliegen. Durch Art. 30 DSGVO wurde die bisherige Regelung ersetzt und die Anforderungen an das Verzeichnis konkretisieret.
Wer muss ein Verfahrensverzeichnis führen?
Nach Art. 30 DSGVO muss jeder Verantwortliche eine Dokumentation über seine datenverarbeitenden Tätigkeiten führen. Generell ist damit jede Stelle gemeint. Aus Art. 30 Abs. 5 DSGVO ergeben sich allerdings Erleichterungen. So können Betriebe mit weniger als 250 Mitarbeitern auf die Verzeichnisführung verzichten, wenn von der Verarbeitung der personenbezogenen Daten
- keine Risiken für die Rechte und Freiheiten des Betroffenen ausgehen,
- die Erhebung nur gelegentlich erfolgt oder
- keine sensiblen Daten nach Art. 9 Abs. 1 u. 10 DSGVO betroffen sind.
Rechtliche Anforderungen an den Aufbau
Die rechtlichen Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten ähneln stark denen der Anforderungen des BDSG. Unterschieden wird nur zwischen dem Verzeichnis des Verantwortlichen oder eines beauftragten Dienstleisters, dem Auftragsverarbeiter. Beide Verzeichnisse bedürfen der Beschreibung aller technischen und organisatorischen Maßnahmen zu Art. 32 Abs. 1 DSGVO. Der Verantwortliche muss darüber hinaus den Zweck der Verarbeitung, die Datenkategorien, den Kreis der betroffenen Personen und den Datenempfänger auflisten.
Hohe Bußgelder drohen
Unternehmen sollten dem Verarbeitungsverzeichnis Aufmerksamkeit widmen und die Umsetzung mit einem fachmännischen Datenschutzbeauftragten durchführen. Mit Einführung der DSGVO wurden die Bußgelder für derartige Verstöße deutlich angehoben. Während zuvor ein maximaler Verstoß von 350.000 € möglich war, können nun Bußgelder bis zu 20 Mio. Euro verhängt werden. Mit uns müssen Sie keinen Aufwand betreiben, um den richtigen Datenschutzbeauftragten zu finden.
Informations- und Dokumentationspflicht
Die DGSVO sieht für Unternehmen eine umfangreiche Informations- und Dokumentationspflicht nach Art. 13, 14 DSGVO vor. Sowohl die Datenerhebung als auch die Löschungen (Art. 17 DSGVO) sind zu dokumentieren.
Einwilligung bei Datenerhebung
Schon vorher bedurfte es der Einwilligung oder einer gesetzlichen Vorschrift nach § 4 BDSG-alt, um die Erhebung von personenbezogenen Daten rechtskonform durchzuführen. Die DSGVO erweitert die Informationspflichten für Verantwortliche jedoch drastisch. Generell wird zwischen der Informationspflicht bei Erhebung personenbezogener Daten (Art. 13 DSGVO) und der Erhebung, die nicht direkt beim Betroffenen stattfindet, unterschieden.
Informationspflichten bei direkter Erhebung (Art. 13 DSGVO)
Findet eine Datenerhebung im direkten Kontakt mit dem Betroffenen statt, etwa beim Besuch einer Webseite oder bei einem Kaufvertrag, so fallen folgende Pflichten an:
- Identität des Verantwortlichen: Hier muss der Datenschutzbeauftragte explizit erwähnt werden (Art. 27 DSGVO).
- Kontaktdaten des Verantwortlichen: Der Betroffene muss direkten Kontakt zum DSB aufnehmen können
- Rechtliche Grundlage und Zweck der Verarbeitung: Der Verantwortliche hat den Betroffenen bei Erhebung über den Sinn der Datenerhebung und die rechtliche Grundlage, bzw. dem genauen Erlaubnistatbestand nach Art. 6 DSGVO zu informieren.
- Bei bestehen eines berechtigten Interesses ist faktisch keine Einwilligung erforderlich. Dennoch muss der der Verantwortliche den Betroffenen über das berechtigte Interesse in Kenntnis setzen.
- Bei Übermittlung der Daten an Drittstaaten müssen Betroffene darüber explizit informiert werden. Zudem muss kommuniziert werden, ob der Auftragsverarbeiter im Drittland ein Datenschutzniveau herstellen kann, das dem der DSGVO angemessen ist.
Außerdem müssen Informationen übermittelt werden, die kommunizieren, dass die Verarbeitung im Rahmen der notwendigen Fairness und Transparenz stattfindet (Art. 13 Abs. 2 DSGVO):
- Die geplante Dauer der Speicherung
- Das Rechte des Betroffenen
- Die Möglichkeit zum Widerruf
- Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- Bestehen einer Verpflichtung des Verantwortlichen der Bereitstellung der Daten gegenüber Betroffenen
- Vorliegen einer automatisierten Entscheidungsfindung
Informationspflichten bei indirekter Erhebung personenbezogener Daten (Art. 14 DSGVO)
Unter Umständen können personenbezogene Daten erhoben werden, ohne direkten Kontakt zum Betroffenen zu haben, etwa wenn ein Kreditinstitut sich bei einer Auskunftei über die Bonität eines Kunden informiert. Im Prinzip fallen hier dieselben Informationspflichten an. Zudem muss der Betroffene jedoch darüber informiert werden, woher die Daten stammen und ob es sich um eine öffentliche Quelle handelt.
Die Form der Bereitstellung von Informationen
Art. 12 DSGVO sieht vor, dass die Informationen dem Betroffenen in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form übermittelt werden. Sowohl die schriftliche als auch die elektronische Form ist dabei zulässig.
Zeitpunkt der Übermittlung der Informationen
Nach Art. 13 Abs. 1 DSGVO ist der Betroffene zum Zeitpunkt der Erhebung zu informieren. Findet die Erhebung nicht direkt beim Betroffenen statt, so besteht ein Zwang zur Erfüllung der Informationspflicht innerhalb eines Monats (Art. 14 Abs. 3 DSGVO).
Grenzen der Informationspflicht
Die Informationspflicht bei der direkten Erhebung gilt uneingeschränkt. Bei indirekter Erhebung (Art. 14 Abs. 5 DSGVO) ist der Betroffene nicht zu informieren, wenn:
- die Mitteilung unmöglich oder unverhältnismäßig aufwendig ist.
- die Erhebung gesetzlich vorgeschrieben ist.
- ein Berufsgeheimnis oder eine sonstige Geheimhaltungspflicht dagegenspricht.
Sensibles und zentrales Thema der DSGVO
Die Informationspflichten sind ein zentrales Thema der DSGVO und sollten von Verantwortlichen ernstgenommen werden. Aufgrund der stetigen Verpflichtung zum Informieren über die Datenerhebung, ist die mangelnde Informationspflicht eine einfache Angriffsstelle bei Unternehmen. Betroffene können Datenschutzverstöße direkt an die Datenschutzbehörde oder an Verbraucherverbände melden, die entweder Sanktionen verhängen oder abmahnen können.
Die individuelle Erfüllung der Informationspflichten variiert stark nach der Art des Geschäftsbetriebs und der Form der Datenerhebung. In der Praxis könnte ihr durch eine Cookie-Erklärung auf einer Webseite oder durch einen schriftlichen Vertrag nachgekommen werden.
Ihr Datenschutzbeauftragter wird die Informations- und Dokumentationspflicht zu einem wichtigen Element Ihres Datenschutzkonzeptes machen. Hier droht besondere Gefahr des Verstoßes. Da die genaue Ausgestaltung in der Praxis durch die Rechtsprechung rechtssicher gemacht wird, wird Ihr DSB dem Thema kontinuierlich Aufmerksamkeit widmen.
Meldepflicht (Art. 33 DSGVO)
Schon nach alten Datenschutzrecht mussten Unternehmen bei Verletzungen des Schutzrechtes der Betroffenen, etwa bei einem Hacker-Angriff oder einen sonstigen Datenleck, eine Meldung bei der zuständigen Datenschutzbehörde tätigen (§ 42a BDSG). Mit Art. 33 DSGVO wurden die Kategorien der Ereignisse ausgeweitet, die eine Meldung erforderlich machen.
Meldung innerhalb von 72 Stunden
Ist dem verantwortlichen Unternehmen ein Verstoß bekannt, der durchaus auch aufgrund eines internen Fehlers im Datenschutzkonzept entstanden sein kann, muss dieser innerhalb von 72 Stunden an die zuständige Datenschutzbehörde gemeldet werden. Kann die Frist nicht eingehalten werden, muss eine zusätzliche Erklärung geliefert werden.
Meldepflicht auch für Auftragsverarbeiter
Unterläuft dem Auftragsverarbeiter des Verantwortlichen ein datenschutzrechtlicher Verstoß, so hat er den Verstoß an den Verantwortlichen zu melden. Die Gesamtverantwortung obliegt weiterhin dem verantwortlichen Unternehmen, das seinerseits den Verstoß an die Datenschutzbehörde zu melden hat.
Inhaltliche Anforderungen
Nach Art. 33 Abs. 1 DSGVO unterliegt die Meldung des Verstoßes bestimmten inhaltlichen Anforderungen. In jedem Fall muss die Erklärung:
- eine Beschreibung der Art der Schutzverletzung gegenüber der Betroffenen Person,
- Namen und Kontaktdaten des Datenschutzbeauftragten,
- eine Einschätzung möglicher Folgen,
- eine Beschreibung der ergriffenen Maßnahmen oder Vorschläge zum Ergreifen von Maßnahmen zur Behebung oder Milderung der schädlichen Auswirkungen
enthalten.
Bei sensiblen Daten Meldung an betroffene Einzelpersonen erforderlich
Zudem sieht Art. 34 DSGVO vor, dass eine Meldung an die betroffenen Einzelpersonen zu erfolgen hat, wenn durch die „Datenpanne“ deren persönliche Rechten und Freiheiten betroffen sind.
Einrichtung eines Notfallplans angemessen
Ein Verstoß gegen das Datenschutzrecht in dieser Form ist durchaus durch Fremdverschulden möglich. Die jüngste Datenpanne von Yahoo ist ein praktisches Beispiel dafür. Ihr Datenschutzbeauftragter wird im Rahmen der Ausarbeitung Ihres Datenschutzkonzeptes die Risiken Ihrer Datenverarbeitung analysieren und bereits im Voraus einen geeigneten Plan zur Umsetzung der erforderlichen Maßnahmen entwickeln.
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Datenschutzerklärung
Überblick Datenschutzerklärung
Die Datenschutzerklärung Ihrer Website enthält Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR.
Das Telemediengesetz (TMG) verpflichtet Webseitenbetreiber zur Bereitstellung einer Datenschurzerklärung,
Eine Pflicht zur Datenschutzerklärung ist bei fast jedem Onlineauftritt gegeben. Sobald Daten verwendet und verarbeitet werden – beispielsweise bei einem Kontaktformular oder der Verwendung von Google Analytics – ist eine Datenschutzerklärung Pflicht.
Bei einer fehlenden oder fehlerhaften Datenschutzerklärung setzt das TMG Geldbußen fest. Insbesondere drohen aber Abmahnungen von Konkurrenten.
Betreiber einer Website sind nach Telemediengesetz (TMG) verpflichtet, neben einem Impressum eine Datenschutzerklärung einzubinden (§ 13 TMG). Der Diensteanbieter sollte darin den Nutzer seiner Website zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten.
Form der Datenschutzerklärung
Die Datenschutzerklärung sollte jederzeit abrufbar sein muss. Dazu bietet es sich an, die Datenschutzerklärung – wie das Impressum – in einem eigenen Reiter als feste Seite zu implementieren.
Darüber hinaus muss die Datenschutzerklärung allgemein verständlich sein. Technische oder juristische Fachbegriffe und Formulierungen sollten vermieden werden.
Inhalt der Datenschutzerklärung
Die Datenschutzerklärung muss die Information enthalten, welche Daten von den Seitenbesuchern erhoben werden und zu welchem Zweck sie verwendet werden. Bei der Erstellung oder Prüfung einer Datenschutzerklärung legen wir deshalb besonderes Augenmerk auf:
- Gewinnspiele
- Newsletter-Abos
- Kontaktformulare
- Weitergabe der Daten an Paketdienste
- Weitergabe der Daten an Wirtschaftsauskunfteien
- Datenverarbeitung von Kreditkarteninformationen
- Nutzung von Tracking-Tools wie Google Analytics oder Piwik
- Nutzung von Social Media Plugins wie Facebook, Twitter, Google+ etc.
Muster-Datenschutzerklärung
Eine universelle Muster-Datenschutzerklärung kann es wegen der vielen Unterschiede bei Onlineshops und sonstigen Internetseiten nicht geben. Eine rechtssichere Datenschutzerklärung wird jeweils an das Geschäftsmodell eines Mandanten individuell angepasst.
Folge bei Verstößen
Werden Besucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet, liegt darin eine Ordnungswidrigkeit (§ 16 TMG), die mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Darüber hinaus ist eine Datenerhebung ohne eine ausreichende Datenschutzerklärung ein Verstoß gegen Wettbewerbsrecht (§ 4 Nr. 11 UWG) und kann damit abgemahnt werden (OLG Hamburg, Urteil vom 27.06.2013, 3 U 26/12).
Lesen Sie mehr in unserem weiterführenden Artikel zu Impressum, Widerrufsbelehrung und Datenschutzerklärung
Datenschutzberatung vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Über
geprüfte Fälle
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Unsere Prinzipien bei der Datenschutzberatung
Prinzipien
Kostenfreie anwaltliche Erstberatung
Kostenfreie anwaltliche Erstberatung zu den Anforderungen an Ihr Datenschutzkonzept und Ersteinschätzung Ihrer Risiken – BUNDESWEIT.
Schnell & einfach
Die Datenschutzbeauftragten kümmern sich um die Vorbereitung Ihres Datenschutzkonzeptes – Sie konzentrieren sich alleine auf Ihr Geschäft. Eine Wartezeit oder lange Bearbeitungsdauer ist nicht vorgesehen.
Rechtssicherheit
Ihre Rechtssicherheit steht an erster Stelle. Die Datenschutzbeauftragten erfüllen die hohen Anforderungen an ihre fachlichen Qualifikationen. Ihre Beratung erfolgt mit dem Ziel der vollständigen DSGVO-Compliance.
Preistransparenz
Die Begleitung erfolgt zu einem feststehenden Festpreis – ohne komplexe Gebühren oder indirekt umgelegte Kosten von Vermittlungsportalen.
Spezialisierung
Durch unsere Spezialisierung auf bestimmte Kerngebiete und den Verzicht auf alle anderen Rechtsgebiete bieten wir Ihnen eine besonders hohes Fachniveau zu einem verhältnismäßig geringen Festpreis.
Langfristigkeit
Die Erstellung Ihres Datenschutzkonzeptes ist eine Investition in eine langfristige Zusammenarbeit auf den Gebieten des Unternehmens– und Verbraucherrechts.
Nach der Bestellung des externen Datenschutzbeauftragten
Nach der Bestellung des externen Datenschutzbeauftragten
Die Bestellung eines externen Datenschutzbeauftragten und Herstellung der DSGVO-Compliance ist nur eine von zahlreichen rechtlichen Fragestellungen, vor denen ein Unternehmer im täglichen Geschäftsleben steht. Angefangen von der Änderung der Rechtsform oder der Gründung einer (weiteren) Firma über eine Markenanmeldung und die Erstellung von AGB bis hin zur Erstellung von Mitarbeiterverträgen und der Beschaffung neuen Kapitals können auf einen Unternehmer zahlreiche Fragestellungen zukommen.
Das können Sie als Unternehmer typischerweise erwarten:
- FIRMA GRÜNDEN
- Es wird eine UG gegründet
- Es wird eine GmbH gegründet
- Es wird eine UG & Co. KG gegründet
- Es wird eine GmbH & Co. KG gegründet
- Es wird eine andere Firma oder Gesellschaft gegründet
- PRODUKTNAMEN SCHÜTZEN
- Es wird eine deutsche DE Marke angemeldet
- Es wird eine europäische EU Marke angemeldet
- Es wird eine internationale IR Marke angemeldet
- AGB ERSTELLEN
- Es werden AGB für Ihren Webseiten-Onlineshop erstellt
- Es werden Amazon Shop AGB erstellt
- Es werden eBay Shop AGB erstellt
- Es werden AGB für andere Unternehmenszwecke erstellt
- UNTERNEHMEN FINANZIEREN
- Es wird eine stille Beteiligung erstellt
- Es wird ein partiarisches Darlehen erstellt
- MITARBEITER EINSTELLEN
- Es wird ein Arbeitsvertrag erstellt
- Es wird ein Freelancervertrag erstellt
Das erwartet Sie typischerweise als Unternehmer – im Detail:
Beschreibung | Lösung | |
---|---|---|
Fima gründen | Zur privaten Enthaftung oder zum Zusammenschluss mit anderen Unternehmern wird eine UG oder beispielsweise eine GmbH, UG & Co. KG oder GmbH Co. KG gegründet | Wir gründen für Sie eine Gesellschaft |
Produktnamen schützen | Eine DE, EU oder IR Marke schützt Ihr Produkt oder Ihre Dienstleistung vor Nachahmern. Nachdem ein Markenschutz angemeldet worden ist, dürfen Konkurrenten ihren Namen nicht mehr nutzen | Wir führen für Sie eine DE, EU oder IR Markenanmeldung durch |
AGB erstellen | Allgemeine Geschäftsbedingungen stellen sicher, dass die Abwicklung Ihrer Dienstleistung gleichmäßig und nach Ihren Regeln erfolgt. Sie kommen mit jedem Ihrer Kunden oder Auftraggeber zur Anwendung und verhindern, dass wichtige und für Sie vorteilhafte rechtliche Bestimmungen immer wieder neu verhandelt werden müssen | Wir erstellen individuelle AGB sowie Impressum und Datenschutzerklärung |
Unternehmen finanzieren | Sie benötigen zusätzliches Kapital und wollen Investoren an Ihrem Unternehmen beteiligen. Je nach Wunsch und Ihrer Verhandlungsposition können Sie den Investor mit vielen Mitbestimmungsrechten ausstatten oder lediglich am Unternehmenserfolg beteiligen | Wir erstellen eine stille Beteiligung oder ein partiarisches Darlehen |
Mitarbeiter einstellen | Sie wollen einen Mitarbeiter (beispielsweise Fest- oder Teilzeit, 450 Euro-Job, Werkstudent, AZUBI, Praktikanten) einstellen oder einen freien Mitarbeiter beauftragen | Wir erstellen einen Arbeitsvertrag oder einen Vertrag über freie Mitarbeit |
Bewertung entfernen | Sie sind bei Google, Facebook, Jameda & Co. unberechtigt schlecht bewertet worden | Wir gehen gegen die Bewertung vor |
Sie haben eine allgemeine Frage zum Thema “DSGVO Datenschutzbeauftragter: Externen Datenschutzbeauftragten bestellen”? Wir beantworten sie hier kostenlos!
Ihr Unternehmensrechts-Team

Andre Kraus
Fachanwalt für Insolvenzrecht

Ahaliya Kapilan
Rechtsanwältin

Oksana Enns
Dipl. Wirtschaftsjuristin

Sara Garcia Corraliza
Rechtsanwältin

und ein Team
von juristischen Beratern, Diplom Juristen und weiteren Rechtsanwälten
Unsere Mandanten vertrauen uns auch in folgenden Fachgebieten
FIRMA
GRÜNDEN

BEWERTUNG
LÖSCHEN

AGB
ERSTELLEN

Schnellnavigation
Insolvenzrecht
Bankenrecht
Unternehmensrecht
Verkehrsrecht
Arbeitsrecht
Kontakt
Telefon: 0221 – 6777 00 55
E-Mail: info@anwalt-kg.de
Social Media
Hinweis
KRAUS GHENDLER RUVINSKIJ ist eine Kooperation der folgenden unabhängigen und rechtlich selbständigen Rechtsanwaltskanzleien: Kraus Ghendler GbR, der GHENDLER RUVINSKIJ Partnerschaftsgesellschaft mbB und KRAUS Anwaltskanzlei (Rechtsanwalt Andre Kraus).
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!