Anwalt für
Datenschutzrecht

Rechtsberatung für Unternehmen und Behörden in allen Fragen des Datenschutzrechts.

Anwälte für Datenschutzrecht in Berlin und Hamburg

Mit Standorten in Berlin und Hamburg unterstützen Sie unsere Anwälte im Datenschutzrecht bundesweit bei der Implementierung und Beachtung der europäischen und nationalen Vorgaben aus der Datenschutz-Grundverordnung (kurz: DSGVO) und dem Bundesdatenschutzgesetz (kurz: BDSG) in Bezug auf Ihr Unternehmen oder Ihre Behörde.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) verfolgte der europäische Gesetzgeber das Ziel, ein angemessenes Datenschutzniveau in allen Mitgliedstaaten zu gewährleisten und die Rechte der Betroffenen zu stärken. Es gelten dabei die Grundsätze der Datensparsamkeit und Datenvermeidung, welche durch „privacy by design“ (= Datenschutz durch Technik) und „privacy by default“ (= Datenschutz durch Voreinstellungen) erreicht werden sollen.

Die Grundsätze für die Verarbeitung von personenbezogenen Daten wurden in Art. 5 DSGVO festgelegt, welcher den Ausgangspunkt für die Umsetzung des Datenschutzes darstellt. Der Art. 5 Abs. 2 DSGVO stellt gleichfalls den wichtigsten Grundsatz der Neuerung der DSGVO dar: die Rechenschaftspflicht.

Vorbereitungsphase

Im Rahmen der Vorbereitungsphase ist zunächst zu klären, wie die Umsetzung der Datenschutz-Grundverordnung bzw. das Thema Datenschutz in Ihrem Unternehmen durchgeführt werden soll. Allgemein gilt zunächst, dass das Thema Datenschutz „Chefsache“ ist, sodass die Geschäftsführung oder der Vorstand zwingend die Implementierung der gesetzlichen Vorschriften begleiten und überwachen sollte. Folgende Fragen sind dabei zunächst zu klären:

• Wer ist unternehmensintern für die Einführung der Datenschutz-Grundverordnung verantwortlich?
• Welche gesetzlichen Vorgaben sind umzusetzen?
• Soll die Implementierung der datenschutzrechtlichen Vorgaben durch interne oder externe Personen vorgenommen werden?
• Welche Personen sind an diesem Prozess zwingend zu beteiligen?
• Welches Budget steht für die Umsetzung der Datenschutz-Grundverordnung zur Verfügung?
• Bis wann soll die Implementierung der Datenschutz-Grundverordnung umgesetzt sein?

Bestandsaufnahme/ Gap-Analyse (= Ist-Zustand)

Zur Umsetzung der gesetzlichen Vorschriften ist es im zweiten Schritt erforderlich, eine Bestandsaufnahme über alle Prozesse im Unternehmen durchzuführen, bei denen personenbezogene Daten verarbeitet werden. Im Rahmen dieser sog. Gap-Analyse ist der Ist-Zustand) darzustellen. Dazu zählt insbesondere:

• Auflistung der bestehenden Verarbeitungsprozesse im Unternehmen bzgl. personenbezogener Daten
• Auflistung der derzeitigen Maßnahmen zum Datenschutz bzw. zur Datensicherheit
• Auflistung der bisherigen externen Dienstleister bzw. (Auftrags-)datenverarbeiter
• Prüfung der bisherigen Verträge, Belehrungen und Datenschutzerklärung
• Wie ist der Mitarbeiterdatenschutz geregelt?

Das Ziel der Gap-Analyse ist es, bestehende Lücken zwischen dem Ist-Zustand und den gesetzlichen Datenschutzanforderungen aufzudecken und zu dokumentieren.

Implementierung bzw. Umsetzung der Datenschutz-Grundverordnung im Unternehmen

Im dritten Schritt ist unter Beachtung der Vorgaben der Datenschutz-Grundverordnung sowie des Bundesdatenschutzgesetzes der Soll-Zustand zu bestimmen. Es sind die Maßnahmen aufzulisten, welche umzusetzen sind. Je nach Unternehmensgröße kann es sich empfehlen, Unterprojekte zu bilden und einen jeweils Verantwortlichen zu bestimmen. Hierbei kann sich z.B. folgende Einteilung empfehlen, wobei mehrere Punkte zusammengezogen werden können:

• Verarbeitungsverzeichnis
• Bestellung/ Auswahl eines Datenschutzbeauftragten, sofern dies erforderlich ist
• Überprüfung der Bestandsdaten, Einwilligungen der Betroffenen
• Rechte der Betroffenen
• Datenschutzfolgenabschätzung
• Datentransfers (national/ international)
• (Auftrags-)datenverarbeiter
• Datenschutz in Bezug auf die Website
• Datensicherheit, Datenpannen, Meldepflichten
• Mitarbeiterschulung

Anschließend sind die Ergebnisse als Datenschutzkonzept zusammenzufassen und die notwendigen Maßnahmen zur Umsetzung der datenschutzrechtlichen Vorgaben durchzuführen. Dazu zählen insbesondere:

1. Datenschutzbeauftragter

Es ist ein Datenschutzbeauftragter zu bestimmen und an die Aufsichtsbehörde zu melden. Dies gilt allerdings nur, sofern die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

2. Verarbeitungsverzeichnis

Weiterhin ist als wichtigste Dokumentationspflicht vom Verantwortlichen und vom Auftragsverarbeiter gem. Art. 30 DSGVO ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist im Rahmen der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO auf Verlangen der Aufsichtsbehörde vorzulegen. Dabei sind gem. Art. 30 DSGVO folgende Pflichtangaben erforderlich:

Für den Verantwortlichen gem. Art. 30 Abs. 1 DSGVO:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
• die Zwecke der Verarbeitung;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Für den Auftragsverarbeiter gem. Art. 30 Abs. 2 DSGVO:

• den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
• die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

3. Technische und organisatorische Maßnahmen

Eine weitere Dokumentationspflicht besteht in der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO. Es ist ein Bericht zu erstellen, der die Maßnahmen dokumentiert, welche das Unternehmen zur Datensicherheit ergriffen hat.

4. Datenschutz-Folgenabschätzung

Eine weitere umfassende Dokumentationspflicht im Rahmen der Risikobewertung stellt die Datenschutz-Folgenabschätzung gem. Art. 35 ff. DSGVO dar. Wenn eine Datenverarbeitung ausgehend von einer Prognose ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen hat, muss der Verantwortliche vorab die Folgen für den Schutz personenbezogener Daten abzuschätzen. Dabei geltend dann die Art. 35 ff. DSGVO.

5. Datenschutzbelehrung für Mitarbeiter

Ferner sind alle Mitarbeiter des Unternehmens, die mit personenbezogenen Daten in Kontakt kommen, zur Vertraulichkeit zu verpflichten und entsprechend zu schulen. Auch dies ist ordnungsgemäß zu dokumentieren.

6. Datenschutzerklärung für Kunden

Es ist eine Datenschutzerklärung für die Kunden zu erstellen. Gem. Art. 13 DSGVO sind die Kunden des Unternehmens umfassend über die Erhebung der personenbezogenen Daten zu informieren. Weiterhin sind dabei die Rechte der Betroffenen aufzulisten.

7. Datenschutzerklärung für die Website

Auch für die Website ist eine ordnungsgemäße Datenschutzerklärung anzufertigen, welche von jeder Seite der Website aus erreichbar sein muss.

8. Verträge zur Auftragsverarbeitung

Wird im Rahmen der Datenverarbeitung ein externer Dienstleister beauftragt, ist grundsätzlich jeweils ein Auftragsverarbeitungsvertrag abzuschließen bzw. an die neue Rechtslage anzupassen.

9. Mitarbeiterdatenschutz

Schließlich kommt dem Beschäftigungsdatenschutz eine maßgebliche Bedeutung zu. Auch in Bezug auf den Umgang der Daten mit den Mitarbeitern des Unternehmens sind die Vorgaben der DSGVO sowie des BDSG in Bezug auf die Verarbeitung von Arbeitnehmerdaten zu beachten.  Es gelten auch hier die insbesondere die Grundsätze des Art. 5 DSGVO.

Unsere anwaltlichen Leistungen im Datenschutzrecht

• Beratung und Implementierung der DSGVO und des BDSG im Unternehmen bzw. in der Behörde
• Durchführung eines Datenschutzaudits
• Begutachtung zu allen Fragen des Datenschutzes
• Erstellung und Überprüfung von Datenschutzerklärungen, Verarbeitungsverzeichnissen, Verträgen zur Auftragsverarbeitung usw.
• Vertretung in behördlichen Verfahren wegen eines Datenschutzverstoßes gegenüber der Aufsichtsbehörde

Weitere Informationen zu unseren Leistungen im IT-Recht finden Sie hier:
➡️ Anwälte für IT-Recht. 

Die Kanzlei BUSE HERZ GRUNST Rechtsanwälte mit Standorten in Berlin und Hamburg berät Sie bundesweit in allen Fragen des Datenschutzrechts.