Anwalt für
Datenschutzrecht

YouTube - Kanal

der BUSE HERZ GRUNST Rechtsanwälte

Youtube Kanal BUSE HERZ GRUNST

Medienauftritte

der BUSE HERZ GRUNST Rechtsanwälte

Medienauftritte
Bewertungen auf ProvenExpert

Podcast - Anwaltsprechstunde

der BUSE HERZ GRUNST Rechtsanwälte

Podcast Anwaltssprechstunde

Medienauftritte

der BUSE HERZ GRUNST Rechtsanwälte

Medienauftritte
Bewertungen auf ProvenExpert
Startseite » IT-Recht » Datenschutzrecht

Anwälte für Datenschutzrecht in Berlin und Hamburg

Mit Standorten in Berlin und Hamburg unterstützen Sie unsere Anwälte im Datenschutzrecht bundesweit bei der Implementierung und Beachtung der europäischen und nationalen Vorgaben aus der Datenschutz-Grundverordnung (kurz: DSGVO) und dem Bundesdatenschutzgesetz (kurz: BDSG) in Bezug auf Ihr Unternehmen oder Ihre Behörde.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) verfolgte der europäische Gesetzgeber das Ziel, ein angemessenes Datenschutzniveau in allen Mitgliedstaaten zu gewährleisten und die Rechte der Betroffenen zu stärken. Es gelten dabei die Grundsätze der Datensparsamkeit und Datenvermeidung, welche durch „privacy by design“ (= Datenschutz durch Technik) und „privacy by default“ (= Datenschutz durch Voreinstellungen) erreicht werden sollen.

Die Grundsätze für die Verarbeitung von personenbezogenen Daten wurden in Art. 5 DSGVO festgelegt, welcher den Ausgangspunkt für die Umsetzung des Datenschutzes darstellt. Der Art. 5 Abs. 2 DSGVO stellt gleichfalls den wichtigsten Grundsatz der Neuerung der DSGVO dar: die Rechenschaftspflicht.

Vorbereitungsphase

Im Rahmen der Vorbereitungsphase ist zunächst zu klären, wie die Umsetzung der Datenschutz-Grundverordnung bzw. das Thema Datenschutz in Ihrem Unternehmen durchgeführt werden soll. Allgemein gilt zunächst, dass das Thema Datenschutz „Chefsache“ ist, sodass die Geschäftsführung oder der Vorstand zwingend die Implementierung der gesetzlichen Vorschriften begleiten und überwachen sollte. Folgende Fragen sind dabei zunächst zu klären:

  • Wer ist unternehmensintern für die Einführung der Datenschutz-Grundverordnung verantwortlich?
  • Welche gesetzlichen Vorgaben sind umzusetzen?
  • Soll die Implementierung der datenschutzrechtlichen Vorgaben durch interne oder externe Personen vorgenommen werden?
  • Welche Personen sind an diesem Prozess zwingend zu beteiligen?
  • Welches Budget steht für die Umsetzung der Datenschutz-Grundverordnung zur Verfügung?
  • Bis wann soll die Implementierung der Datenschutz-Grundverordnung umgesetzt sein?

Bestandsaufnahme/ Gap-Analyse (= Ist-Zustand)

Zur Umsetzung der gesetzlichen Vorschriften ist es im zweiten Schritt erforderlich, eine Bestandsaufnahme über alle Prozesse im Unternehmen durchzuführen, bei denen personenbezogene Daten verarbeitet werden. Im Rahmen dieser sog. Gap-Analyse ist der Ist-Zustand) darzustellen. Dazu zählt insbesondere:

  • Auflistung der bestehenden Verarbeitungsprozesse im Unternehmen bzgl. personenbezogener Daten
  • Auflistung der derzeitigen Maßnahmen zum Datenschutz bzw. zur Datensicherheit
  • Auflistung der bisherigen externen Dienstleister bzw. (Auftrags-)datenverarbeiter
  • Prüfung der bisherigen Verträge, Belehrungen und Datenschutzerklärung
  • Wie ist der Mitarbeiterdatenschutz geregelt?

Das Ziel der Gap-Analyse ist es, bestehende Lücken zwischen dem Ist-Zustand und den gesetzlichen Datenschutzanforderungen aufzudecken und zu dokumentieren.

Implementierung bzw. Umsetzung der Datenschutz-Grundverordnung im Unternehmen

Im dritten Schritt ist unter Beachtung der Vorgaben der Datenschutz-Grundverordnung sowie des Bundesdatenschutzgesetzes der Soll-Zustand zu bestimmen. Es sind die Maßnahmen aufzulisten, welche umzusetzen sind. Je nach Unternehmensgröße kann es sich empfehlen, Unterprojekte zu bilden und einen jeweils Verantwortlichen zu bestimmen. Hierbei kann sich z.B. folgende Einteilung empfehlen, wobei mehrere Punkte zusammengezogen werden können:

  • Verarbeitungsverzeichnis
  • Bestellung/ Auswahl eines Datenschutzbeauftragten, sofern dies erforderlich ist
  • Überprüfung der Bestandsdaten, Einwilligungen der Betroffenen
  • Rechte der Betroffenen
  • Datenschutzfolgenabschätzung
  • Datentransfers (national/ international)
  • (Auftrags-)datenverarbeiter
  • Datenschutz in Bezug auf die Website
  • Datensicherheit, Datenpannen, Meldepflichten
  • Mitarbeiterschulung

Anschließend sind die Ergebnisse als Datenschutzkonzept zusammenzufassen und die notwendigen Maßnahmen zur Umsetzung der datenschutzrechtlichen Vorgaben durchzuführen. Dazu zählen insbesondere:


1. Datenschutzbeauftragter

Es ist ein Datenschutzbeauftragter zu bestimmen und an die Aufsichtsbehörde zu melden. Dies gilt allerdings nur, sofern die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.


2. Verarbeitungsverzeichnis

Weiterhin ist als wichtigste Dokumentationspflicht vom Verantwortlichen und vom Auftragsverarbeiter gem. Art. 30 DSGVO ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist im Rahmen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO auf Verlangen der Aufsichtsbehörde vorzulegen. Dabei sind gem. Art. 30 DSGVO folgende Pflichtangaben erforderlich:

Für den Verantwortlichen gem. Art. 30 Abs. 1 DSGVO:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Für den Auftragsverarbeiter gem. Art. 30 Abs. 2 DSGVO:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.


3. Technische und organisatorische Maßnahmen

Eine weitere Dokumentationspflicht besteht in der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO. Es ist ein Bericht zu erstellen, der die Maßnahmen dokumentiert, welche das Unternehmen zur Datensicherheit ergriffen hat.


4. Datenschutz-Folgenabschätzung

Eine weitere umfassende Dokumentationspflicht im Rahmen der Risikobewertung stellt die Datenschutz-Folgenabschätzung gem. Art. 35 ff. DSGVO dar. Wenn eine Datenverarbeitung ausgehend von einer Prognose ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hat, muss der Verantwortliche vorab die Folgen für den Schutz personenbezogener Daten abzuschätzen. Dabei geltend dann die Art. 35 ff. DSGVO.


5. Datenschutzbelehrung für Mitarbeiter

Ferner sind alle Mitarbeiter des Unternehmens, die mit personenbezogenen Daten in Kontakt kommen, zur Vertraulichkeit zu verpflichten und entsprechend zu schulen. Auch dies ist ordnungsgemäß zu dokumentieren.


6. Datenschutzerklärung für Kunden

Es ist eine Datenschutzerklärung für die Kunden zu erstellen. Gem. Art. 13 DSGVO sind die Kunden des Unternehmens umfassend über die Erhebung der personenbezogenen Daten zu informieren. Weiterhin sind dabei die Rechte der Betroffenen aufzulisten.


7. Datenschutzerklärung für die Website

Auch für die Website ist eine ordnungsgemäße Datenschutzerklärung anzufertigen, welche von jeder Seite der Website aus erreichbar sein muss.


8. Verträge zur Auftragsverarbeitung

Wird im Rahmen der Datenverarbeitung ein externer Dienstleister beauftragt, ist grundsätzlich jeweils ein Auftragsverarbeitungsvertrag abzuschließen bzw. an die neue Rechtslage anzupassen.


9. Mitarbeiterdatenschutz

Schließlich kommt dem Beschäftigungsdatenschutz eine maßgebliche Bedeutung zu. Auch in Bezug auf den Umgang der Daten mit den Mitarbeitern des Unternehmens sind die Vorgaben der DSGVO sowie des BDSG in Bezug auf die Verarbeitung von Arbeitnehmerdaten zu beachten.  Es gelten auch hier die insbesondere die Grundsätze des Art. 5 DSGVO.

Unsere anwaltlichen Leistungen im Datenschutzrecht

  • Beratung und Implementierung der DSGVO und des BDSG im Unternehmen bzw. in der Behörde
  • Durchführung eines Datenschutzaudits
  • Begutachtung zu allen Fragen des Datenschutzes
  • Erstellung und Überprüfung von Datenschutzerklärungen, Verarbeitungsverzeichnissen, Verträgen zur Auftragsverarbeitung usw.
  • Vertretung in behördlichen Verfahren wegen eines Datenschutzverstoßes gegenüber der Aufsichtsbehörde

Weitere Informationen zu unseren Leistungen im IT-Recht finden Sie hier:
➡️ Anwälte für IT-Recht

Die Kanzlei BUSE HERZ GRUNST Rechtsanwälte mit Standorten in Berlin und Hamburg berät Sie bundesweit in allen Fragen des Datenschutzrechts.

Nehmen Sie jetzt Kontakt zum Anwalt Ihres Vertrauens auf

Wenden Sie sich für weitere Fragen gerne an unsere Kanzlei und vereinbaren Sie einen Beratungstermin per Telefon, per Videoanruf oder vor Ort in unseren Standorten in Berlin, Hamburg und München. Wir stehen Ihnen effizient mit jahrelanger Expertise zur Verfügung.

    Kontaktformular

    mit * gekenzeichnete Felder müssen ausgefüllt werden.

    Möchten Sie uns gleich ein Dokument übermitteln? *
    janein
    Hier können Sie eine Abmahnung, Anklage oder ein anderes Schreiben als Anhang beifügen: (Erlaubte Dateitypen: jpg | jpeg | png | gif | pdf / Dateigrösse: max. 12 MB)
    Ihre Nachricht an uns:

    Ihre Ansprechpartner

    Rechtsanwalt u. Partner

    Norman Buse

    Fachanwalt für Urheber- und Medienrecht | Fachanwalt für Gewerblichen Rechtsschutz | Master of Laws (Medienrecht & IP) | Lehrbeauftragter

    E-MAIL SCHREIBEN

    RAin Claudia Schindler

    Rechtsanwalt u. Partner

    David Herz

    Fachanwalt für IT-Recht | Fachanwalt für Urheber- und Medienrecht | Lehrbeauftragter

    E-MAIL SCHREIBEN

    RAin Claudia Schindler

    Rechtsanwalt

    Marc Faßbender

    angestellter Rechtsanwalt der Kanzlei BUSE HERZ GRUNST

    E-MAIL SCHREIBEN

    RAin Claudia Schindler

    Rechtsanwalt

    Keno Leffmann, M.A.

    Master of Arts (Mediation & Konfliktmanagement) und angestellter Rechtsanwalt der Kanzlei BUSE HERZ GRUNST

    E-MAIL SCHREIBEN

    RA Michael Voltz

    Rechtsanwalt

    Michael Voltz

    angestellter Rechtsanwalt der Kanzlei BUSE HERZ GRUNST und Standortleiter München

    E-MAIL SCHREIBEN

    Christopher Bünger

    Rechtsanwalt

    Christopher Bünger

    angestellter Rechtsanwalt der Kanzlei BUSE HERZ GRUNST

    E-MAIL SCHREIBEN

    Bewertungen auf ProvenExpert

    BUSE HERZ GRUNST
    Rechtsanwälte PartG mbB

    Bahnhofstraße 17
    12555 Berlin
    Telefon: +49 30 513 026 82
    Telefax: +49 30 51 30 48 59
    Mail: [email protected]

    Weitere Standorte:

    Kurfürstendamm 11
    10719 Berlin
    Telefon: +49 30 513 026 82
    Telefax: +49 30 51 30 48 59
    Mail: [email protected]

    Alter Wall 32
    20457 Hamburg
    Telefon: +49 40 809 031 9013
    Fax: +49 40 809 031 9150
    Mail: [email protected]

    Antonienstraße 1
    80802 München
    Telefon: +49 89 74055200
    Fax: +49 89 740552050
    Mail: [email protected]