Rechtsanwalt Datenschutzrecht München

Rechtsanwalt Florian Hödl ist seit über 10 Jahren im Datenschutz tätig. Er unterstützt als hochschulzertifizierter Data Protection Risk Manager (FOM) Unternehmen in allen Bereichen des Datenschutzrechts. Im Streitfall unterstützt Sie Rechtsanwalt Hödl dabei, Ihre Rechte und Interessen zu wahren.
Professionelle Unterstützung im Bereich Datenschutz
Wir bieten Ihnen insbesondere in folgenden Bereichen datenschutzrechtliche Beratung an:
- datenschutzkonformer Internetauftritt, Webshop
- datenschutzrechtliche Aspekte bei der Programmierung bzw. dem Vertrieb von Apps
- Datenschutz und Arbeitsrecht (Mitarbeiterdatenschutz)
- Inhouse-Schulungen zur DSGVO für Mitarbeiter und Führungskräfte
- Datenschutzaudit (Bestandsaufnahme, Gap-Analyse, Anpassung)
- Erstellung von Datenschutzfolgenabschätzungen, Risk-Assessment
- Datenschutzrechtliches Compliance-Management
- Erstellung von Musterverträgen zur Auftragsverarbeitung aus Auftraggeber- und Auftragsnehmersicht
- Erstellung von Verträgen zur gemeinsamen Verantwortlichkeit (Joint Controllership)
- Anpassung von Betriebsvereinbarungen an die Vorgaben der DSGVO
- Erstellung von Musterschreiben zur Beantwortung von datenschutzrechtlichen Anfragen
- Datenschutzkonforme Umsetzung der Betroffenenrechte nach Art. 12 ff. DSGVO
- Gestaltung interner Datenschutz-Richtlinien
- Unterstützung bei der Pflege von Verfahrensverzeichnissen
- Gestaltung von Datenschutzerklärungen
Datenschutz im Unternehmen
Unternehmen sind nach der DSGVO verpflichtet, ein Verfahrensverzeichnis nach Art 30 DSGVO zu führen. Das Verfahrensverzeichnis beschreibt die im Unternehmen bestehenden Verarbeitungsprozesse und dient dem Nachweis, dass die datenschutzechtlichen Vorgaben beachtet werden. Das Bayerische Landesamt für Datenschutzaufsicht stellt auf seiner Homepage Muster einfacher Verfahrensverzeichnisse zur Verfügung.
Viele Unternehmen nehmen Leistungen anderer Unternehmen in Anspruch. Erfolgt eine Verarbeitung personenbezogener Daten ist zwingend eine schriftliche Auftragsverarbeitungsvereinbarung zu schließen (Art. 28 DSGVO).
Datenschutzvorfälle sind innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden (Art. 33 DSGVO).
Datenschutzaufsichtsbehörden können bei Verstößen Bußgelder in Millionenhöhe festsetzen (Art. 84 DSGVO). Insbesondere aufgrund der drastischen Bußgelder und auch drohender Schadensersatzansprüche Betroffener (Art. 82 DSGVO) ist es im Rahmen einer Datenschutz-Compliance unumgänglich, dass Unternehmen ihre Datenschutzpraxis überprüfen. Die DSGVO sollte in Unternehmen hohe Priorität haben.
Pflichten nach der Datenschutz-Grundverordnung (DSGVO)
Die Europäische Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten) gilt seit dem 25.05.2018 in allen Mitgliedstaaten der Europäischen Union unmittelbar.
Die Datenschutz-Grundverordnung (kurz: DSGVO) ist europäisches Recht. Durch die DSGVO wurde das Datenschutzrecht der Mitgliedsstaaten weitgehend vereinheitlicht.
Wir unterstützen Ihr Unternehmen dabei, im Datenschutz alles richtig zu machen!
Die DSGVO gilt für jedes Unternehmen mit Sitz innerhalb der EU. Sie findet ferner Anwendung auf alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Bei Verstößen drohen hohe Bußgelder. Eine Auseinandersetzung mit dem Thema ist daher unverzichtbar.
Dokumentation / Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Verantwortliche müssen künftig jederzeit ein Gesamtkonzept zur Einhaltung des Datenschutzes nachweisen können. Dieses ist regelmäßig zu kontrollieren und weiterzuentwickeln. Sämtliche Verarbeitungstätigkeiten sind in einem Verzeichnis zu erfassen (Art. 30 Abs. 1 DSGVO). Darin sind insbesondere die Zwecke der Verarbeitung, die Art der Daten und die technischen und organisatorischen Maßnahmen zum Schutz der Daten zu dokumentieren. Diese Verpflichtung gilt sowohl für Verantwortliche als auch Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO).
Informationsrechte (Art. 12 ff. DSGVO)
Betroffene sind grundsätzlich über jede Verarbeitung personenbezogener Daten frühzeitig und in leicht verständlicher Sprache zu informieren. Es bestehen weitgehende Auskunftsansprüche sowie Ansprüche auf Löschung, Berichtigung und Sperrung von Daten.
Datenschutzbeauftragter (Art. 37-39 DSGVO)
Gem. § 37 BDSG besteht stets eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, wenn mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Darüber hinaus begründet die DSGVO eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten je nach Intensität und Umfang der Datenverarbeitung sowie der damit verbundenen Risiken. Diese Verpflichtung gilt unabhängig von der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten.
Rechtsgrundlage (Art. 6 DSGVO)
Jede Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage bzw. der Einwilligung der betroffenen Person. Die Rechtsgrundlagen (Vertrag, rechtliche Verpflichtung etc.) sind zu dokumentieren. Erfolgt die Datenverarbeitungen (lediglich) zur Wahrung berechtigter Interessen des Verantwortlichen ist eine Güterabwägung vorzunehmen und zu dokumentieren.
Auftragsdatenverarbeitung (Art. 28ff. DSGVO)
Unter Auftragsdatenverarbeitung ist jede “Erhebung, Verarbeitung oder Nutzung personenbezogener Daten” im Auftrag eines Auftraggebers (des Verantwortlichen) zu verstehen.
Eine Auftragsdatenverarbeitung kann beispielsweise bei einer Auslagerung von Verarbeitungsvorgängen durch den Einsatz von externen Rechenzentren, Website-Hosting, Cloud Computing aber auch den Einsatz von externen Mitarbeitern oder Dienstleistern vorliegen.
Der Verantwortliche ist primärer Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben verantwortlich. Der Auftragsdatenverarbeiter ist durch eine Auftragsverarbeitungsvereinbarung (AVV) vertraglich auf die Einhaltung des Datenschutzes zu verpflichten. Dieser hat die Datenverarbeitung strikt nach den getroffenen Vereinbarungen und Weisungen durchzuführen. Es bestehen weitgehende Dokumentationspflichten insbesondere hinsichtlich der zu ergreifenden technischen und organisatorischen Maßnahmen.
Risk-Assessment und Datenschutz-Folgenabschätzung (Art. 32, 35 DSGVO)
Unternehmen sind in bestimmten Fällen zur Vornahme einer Datenschutz-Folgenabschätzung verpflichtet. Dabei ist eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge sowie der Risiken für die Rechte und Freiheiten der betroffenen Personen durchzuführen. Getroffene Sicherheitsvorkehrungen und Verfahren sind zu dokumentieren.
Datenschutz-Vorfälle (Art. 33, 34 DSGVO)
Datenschutz-Vorfälle sind unabhängig von der Art der betroffenen Daten zu melden, sofern ein Datenschutzrisiko besteht. Die Meldung bei der zuständigen Aufsichtsbehörde hat unverzüglich, spätestens innerhalb von 72 Stunden, zu erfolgen. Die Betroffenen sind ebenfalls unverzüglich zu informieren.
Privacy by design und by default (Art. 24, 25 DSGVO)
Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.
Was können wir für Sie tun?
Wir beraten national sowie international agierende Unternehmen im Datenschutzrecht und zum Thema Datensicherheit. Mit praxisnahen Lösungsansätzen begleiten wir auch gerne Ihr Unternehmen bei der Umsetzung eines ganzheitlichen rechtskonformen Datenschutzkonzepts.
Vereinbaren Sie jetzt einen Termin für eine umfassende Datenschutz-Beratung!