Datenschutzrecht

Rechtsanwalt Florian Hödl unterstützt Sie in allen Bereichen des Datenschutzrechts und hilft Ihnen im Streitfall, Ihre Interessen erfolgreich durchzustzen. Bei der europäischen Datenschutzgrundverordnung (DSGVO) handelt es sich um die umfangreichste und bedeutendste Regulierung des Datenschutzes in der Europäischen Union. Sie ermächtigt die Datenschutzaufsichtsbehörden, bei relevanten Verstößen Bußgelder in Millionenhöhe festzusetzen. Insbesondere aufgrund der drastischen Bußgelder und auch drohender Schadensersatzansprüche Betroffener ist es im Rahmen einer Datenschutz-Compliance unumgänglich, dass Unternehmen ihre Datenschutzpraxis überprüfen. Die DSGVO sollte in Unternehmen hohe Priorität haben.

Wir bieten Ihnen insbesondere in folgenden Bereichen datenschutzrechtliche Beratung an:

  • Beratung zur DSGVO
  • Datenschutzrechtliche Compliance
  • Bestellung als externer Datenschutzbeauftragter
  • Gestaltung von Datenschutzerklärungen
  • Beschäftigtendatenschutz (z.B. Identifizierung der Notwendigkeit von Einwilligungserklärungen im Beschäftigtenkontext)
  • Mitarbeiterschulungen zur DSGVO
  • Erstellung von Musterverträgen zur Auftragsverarbeitung aus Auftraggeber- und Auftragsnehmersicht
  • Erstellung von Verträgen zur gemeinsamen Verantwortlichkeit (Joint Controllership)
  • Anpassung von Betriebsvereinbarungen an die Vorgaben der DSGVO
  • Musterschreiben zur Beantwortung von Anfragen (Löschung, Auskunft etc.).
  • Datenschutzkonforme Umsetzung der Betroffenenrechte nach Art. 12 ff. DSGVO
  • Konzeptionierung interner Datenschutz-Richtlinien

Datenschutzgrundverordnung (DSGVO)

Die Europäische Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten) gilt seit dem 25.05.2018 in allen Mitgliedstaaten der Europäischen Union unmittelbar.

Die Datenschutz-Grundverordnung (kurz: DSGVO) ist europäisches Recht. Durch die DSGVO wurde das Datenschutzrecht der Mitgliedsstaaten weitgehend vereinheitlicht.

Wir unterstützen Ihr Unternehmen dabei, im Datenschutz alles richtig zu machen!

Die DSGVO gilt für jedes Unternehmen mit Sitz innerhalb der EU. Sie findet ferner Anwendung auf alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Bei Verstößen drohen hohe Bußgelder. Eine Auseinandersetzung mit dem Thema ist daher unverzichtbar.

Dokumentation / Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Verantwortliche müssen künftig jederzeit ein Gesamtkonzept zur Einhaltung des Datenschutzes nachweisen können. Dieses ist regelmäßig zu kontrollieren und weiterzuentwickeln. Sämtliche Verarbeitungstätigkeiten sind in einem Verzeichnis zu erfassen (Art. 30 Abs. 1 DSGVO). Darin sind insbesondere die Zwecke der Verarbeitung, die Art der Daten und die technischen und organisatorischen Maßnahmen zum Schutz der Daten zu dokumentieren. Diese Verpflichtung gilt sowohl für Verantwortliche als auch Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO).

Informationsrechte (Art. 12 ff. DSGVO)

Betroffene sind grundsätzlich über jede Verarbeitung personenbezogener Daten frühzeitig und in leicht verständlicher Sprache zu informieren. Es bestehen weitgehende Auskunftsansprüche sowie Ansprüche Auf Löschung und Sperrung von Daten.

Datenschutzbeauftragter (Art. 37-39 DSGVO)

Gem. § 37 BDSG-neu besteht weiterhin die Verpflichtung zur Bestellung eines Datenschutzbeauftragten, wenn mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Darüber hinaus begründet die DSGVO eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten je nach Intensität und Umfang der Datenverarbeitung sowie der damit verbundenen Risiken. Diese Verpflichtung gilt unabhängig von der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten.

Rechtsgrundlage (Art. 6 DSGVO)

Jede Verarbeitung von personenbezogenen Daten bedarf einer Rechtsgrundlage bzw. der Einwilligung der betroffenen Person. Die Rechtsgrundlagen (Vertrag, rechtliche Verpflichtung etc.) sind zu dokumentieren. Erfolgt die Datenverarbeitungen (lediglich) zur Wahrung berechtigter Interessen des Verantwortlichen ist eine Güterabwägung vorzunehmen und zu dokumentieren.

Auftragsdatenverarbeitung (Art. 28ff. DSGVO)

Unter Auftragsdatenverarbeitung ist jede “Erhebung, Verarbeitung oder Nutzung personenbezogener Daten” im Auftrag eines Auftraggebers (des Verantwortlichen) zu verstehen.

Eine Auftragsdatenverarbeitung kann beispielsweise bei einer Auslagerung von Verarbeitungsvorgängen durch den Einsatz von externen Rechenzentren, Website-Hosting, Cloud Computing aber auch den Einsatz von externen Mitarbeitern oder Dienstleistern vorliegen.

Der Verantwortliche ist primärer Ansprechpartner für Betroffene und für die Einhaltung der Datenschutzvorgaben verantwortlich. Der Auftragsdatenverarbeiter ist durch eine Auftragsverarbeitungsvereinbarung (AVV) vertraglich auf die Einhaltung des Datenschutzes zu verpflichten. Dieser hat die Datenverarbeitung strikt nach den getroffenen Vereinbarungen und Weisungen durchzuführen. Es bestehen weitgehende Dokumentationspflichten insbesondere hinsichtlich der zu ergreifenden technischen und organisatorischen Maßnahmen.

Risk-Assessment und Datenschutz-Folgenabschätzung (Art. 32, 35 DSGVO)

Unternehmen sind in bestimmten Fällen zur Vornahme einer Datenschutz-Folgenabschätzung verpflichtet. Dabei ist eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge sowie der Risiken für die Rechte und Freiheiten der betroffenen Personen durchzuführen. Getroffene Sicherheitsvorkehrungen und Verfahren sind zu dokumentieren.

Datenschutz-Vorfälle (Art. 33, 34 DSGVO)

Datenschutz-Vorfälle sind unabhängig von der Art der betroffenen Daten zu melden,  sofern ein Datenschutzrisiko besteht. Die Meldung bei der zuständigen Aufsichtsbehörde hat unverzüglich, spätestens innerhalb von 72 Stunden, zu erfolgen. Die Betroffenen sind ebenfalls unverzüglich zu informieren.

Privacy by design und by default (Art. 24, 25 DSGVO)

Datenschutz ist schon beim Planen neuer Techniken und neuer Verarbeitungen sowie durch datenschutzfreundliche Grundeinstellungen zu berücksichtigen.

Was können wir für Sie tun?

Wir beraten national sowie international agierende Unternehmen im Datenschutzrecht und zum Thema Datensicherheit. Mit praxisnahen Lösungsansätzen begleiten wir auch gerne Ihr Unternehmen bei der Umsetzung eines ganzheitlichen rechtskonformen Datenschutzkonzepts.

Vereinbaren Sie jetzt einen Termin für eine umfassende Datenschutz-Beratung!