Datenschutz

Datenschutz schützt die Persönlichkeit des Individuums – Zu Recht! Datenschutz wird häufig als Risiko und Hemmnis in der digitalen Transformation und der Anwendung von Daten empfunden. Es gilt die Risiken von Verstößen, Bußgelder und Reputationsschäden zu unterbinden und trotzdem Daten in einem zulässigen Rahmen zu nutzen.

Eine gute Datenschutzorganisation berücksichtig den rechtlichen Rahmen, schafft Transparenz über relevante personenbezogene Daten und damit verbundene Risiken. Sie schafft Rahmenbedingungen für einen sicheren Umgang mit personenbezogen Daten.

Wir unterstützen Sie in der Anwendung und Umsetzung Ihrer gesetzlichen Pflichten und Verantwortung!

1. Unsicherheit?

Fühlen auch Sie sich durch die rechtliche Unsicherheit im Datenschutz in Ihrer Unternehmensentwicklung gehemmt?

Lt. einer Umfrage des Branchenverbandes bitkom verhindert die rechtliche Unsicherheit zur DSGVO in ~66 % (lt. Umfrage Statista 2022 sogar 79 %) der KMU in Deutschland Innovationen und behindert die Digitale Transformation erheblich! Langfristig kann das existenzgefährdend sein.

Die größten Hürden der Digitalisierung

2. Sicherheit durch Organisation und Transparenz schaffen!

Durch professionelle Analyse, Bewertung, Maßnahmen, Dokumentation und Umsetzung schaffen im Sie im Unternehmen Klarheit und Sicherheit für alle Beteiligten im Umgang mit personenbezogenen Daten.

Gegenüber Aufsichtsbehörden und ggf. Justizbehörden sind Sie so schnell handlungsfähig und können transparent und nachvollziehbar nachweisen, wie Sie Ihrer Organisationsverantwortung aus Art. 5 – 11 DSGVO verantwortlich nachgekommen!

Ich erarbeiten mit Ihnen, ein auf Ihren Bedarf maßgeschneidertes Datenschutzkonzept und begleiten Sie bei der Implementierung und operativen Umsetzung.

Grundsätze für den Datenschutz

3. Keine Angst vor Daten!

Schaffen Sie mit dem richtigen Partner an Ihrer Seite durch ein Datenschutzkonzept, durch Schulung Ihrer Mitarbeiter und professionelle Unterstützung die Grundlagen für einen sicheren Umgang mit personenbezogenen Daten. Sicher gestaltet können Sie sich auf Ihr Kerngeschäft konzentrieren, Innovationen fördern und Ihre digitale Transformation vorantreiben.

Nutzen das Potential Ihrer Daten als wichtige Entscheidungsgrundlage gesetzeskonform und mit ruhigen Gewissen!

Säulen des Datenschutzes

Das Datenschutz Fundament

Meine Leistung – Ihr Mehrwert!

Datenschutz betrifft gem. DSGVO alle Unternehmen und Organisationen der öffentlichen Hand, unabhängig von Unternehmensgröße und Mitarbeiterzahl.

Einen Datenschutzbeauftragten müssen alle Unternehmen gem. BDSG § 4 bestellen, in welchem mind. 20 regelmäßig personenbezogene Daten automatisiert verarbeiten. Gleiches gilt gem. Art. 37 Abs. 1c DSGVO bei der Verarbeitung besonders sensibler Daten oder zum Zweck der Markt- und Meinungsforschung.

Unternehmen und Organisationen können zur Erfüllung ihrer gesetzlichen Pflichten einen fachkundigen Mitarbeiter aus dem eigenen Unternehmen oder einen externen fachkundigen Datenschutzbeauftragten bestellen und müssen diesen bei ihrer zuständigen Aufsichtsbehörde anzeigen.

Sofern keine anderen Verantwortlichkeiten im Unternehmen definiert und dokumentiert sind, gilt der Inhaber oder Geschäftsführer als „Verantwortlicher“ im Sinne der DSGVO. Dies kann bei Verstößen gegen die DSGVO weitreichende unternehmerische und persönliche Konsequenzen zur Folge haben.

Als Ihr spezialisierter Dienstleister in den Kernfragen des Datenschutzes gem. DSGVO begleite ich Sie in der Umsetzung Ihrer Verantwortung konzeptionell und in der operativen Umsetzung.

Aufgaben DSB gem. DSGVO:

Die originären und gem. DSGVO und BDSG definierten Aufgaben des Datenschutzbeauftragten beschränken sich im Wesentlichen auf unterrichtende, sensibilisierende, mitwirkende, überwachende und kommunikative Tätigkeiten:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters (DSGVO: Art. 38 Abs. 1 a)
  • Überwachung der Einhaltung der DSGVO, weiter Datenschutzvorschriften (DSGVO: Art. 38 Abs. 38 b)
  • Sensibilisierung und Schulung von Mitarbeitern und damit verbundene Überprüfungen
  • Datenschutz-Folgeabschätzung (DSGVO: Art. 39 Abs. 2)
  • Anlaufstelle für Aufsichtsbehörde (DSGVO: Art. 39 Abs. 1 e)
  • Zusammenarbeit mit Aufsichtsbehörde (DSGVO: Art. 39 Abs. 1 d)
  • Auskunftsrecht – Anlaufstelle für betroffene Personen (DSGVO: Art. 38 Abs. 4)
  • Erstellung eines Jahresberichtes
Aufgaben des Datenschutzbeauftrageten

Aufgaben des Verantwortlichen

I.d.R unterstützt der Datenschutzbeauftragte den Verantwortlichen oder übernimmt dessen Aufgaben. Die rechtliche Verantwortung des Verantwortlichen kann gesetzlich nicht übertragen werden. Deshalb haben die Auswahl und Bestellung des Datenschutzbeauftragten eine hohe Relevanz.

Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO
Auftragsverarbeitungsverträge gem. Art. 28 DSGVO
Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO
Datenschutz-Managementsystem (DSMS)
Datenschutz-Audit bei Geschäftspartnern
Betroffenenanfragen gem. Art. 15 DSGVO
Datenschutz-Folgeabschätzung (DSFA) gem. Art. 35 DSGVO

Verzeichnis Verarbeitungstätigkeiten

Verarbeitung von Daten

Sicherheit der Verarbeitung DSGVO Art. 32 + BDSG § 64

Sicherheit bei der Datenverarbeitung

Risikomatrix Datenschutzfolgeabschätzung

Risikoabwägung beim Datenschutz

Pragmatischer und intelligenter Datenschutz

  • Bestellung als externer Datenschutzbeauftragter
  • Expertise im Datenschutz
  • Regelmäßige Updates zur Datenschutzgesetzgebung
  • Individuelle, bedarfsgerechte Umsetzung für Ihr Unternehmen – auch der Aufgaben des Verantwortlichen
  • Audit
  • Website-Prüfung

Ihre Vorteile!

Experten-Know-how immer auf aktuellen Stand, Praxiserfahrung

  • Transparenz und Sicherheit um Umgang mit Daten für Führungskräfte und Mitarbeiter
  • Gesetzeskonforme Datennutzung
  • Vermeidung von hohen Bußgeldern
  • Vermeidung von Schadensersatzforderungen
  • Schnelle (fristgerechte) Bearbeitung von Betroffenanfragen
  • Bereitstellung aktuellen umfänglichen Know-hows (fachliches Wissen, praktische Erfahrung)
  • Vermeidung Reputationsschaden
  • Beseitigung von Entwicklungshindernissen für Kunden

Ausschluss Interessenskonflikt

Der Datenschutzbeauftrage muss im Unternehmen weisungsfrei in der Erfüllung seiner Aufgaben wirken können. Trotzdem ist die Gefahr eines Interessenkonfliktes gegenüber Vorgesetzten und Kolleg(inn)en hoch.

Persönliche Haftung

Der Datenschutzbeauftragte ist im Rahmen seiner Bestellung und Tätigkeit gem. DSGVO + BDSG für die gesetzlichen Aufgaben persönlich verantwortlich und kann sowohl von Aufsichtsbehörden zur Rechenschaft wie auch Betroffenen gezogen werden.

Erweiterter Kündigungsschutz intern Datenschutzbeauftragter

Der interne Datenschutzbeauftragte unterliegt nach t BDSG §4f Abs. 3 Satz 5 einem Kündigungsschutz und kann nur schwer wieder entfernt oder ausgetauscht werden. Für den externen Datenschutzbeauftragten gelten keine solche Schutzfristen. Es gelten die vertraglichen Vereinbarungen des Geschäftsbesorgungsvertrages.

Mitbestimmung Betriebsrat

Falls es im Unternehmen einen Betriebsrat gibt, so ist dieser bezgl. der Bestellung eines internen Datenschutzbeauftragten zustimmungspflichtig, wogegen dieser bei der Auswahl und Beauftragung eines externen Datenschutzbeauftragten kein direktes Mitspracherecht hat.

Kostentransparenz

Als Experte für digitale Transformation, Datenmanagement und Datenschutz verfüge ich über ein breites Know-how rund um Daten weit über den Datenschutz hinaus, von dem Sie profitieren.

Ablauf

In einem einführenden Gespräch werden die Details der Zusammenarbeit definiert. Danach startet der Prozess Ihrer Datenschutzorganisationen entlang der DSGVO.

  • Ist-Analyse zu Quellen und Bestand von personenbezogen Daten, sowie dem Status des Datenschutzes
  • Bewertung der Ist-Analyse
  • Handlungsempfehlungen mit konkreten Maßnahmen und Prioritäten
  • Sensibilisierung und Schulung der Mitarbeiter
  • Maßnahmen gemeinsam umsetzen

Der gesamte Prozess von der Ist-Analyse bis zum Soll-Status wird transparent und übersichtlich auf einer webbasierten Plattform umgesetzt und dokumentiert, so dass alle am Prozess beteiligten, jederzeit einen guten Überblick über den aktuellen Status und ggf. noch offene Maßnahmen haben.

Datenschutz Prozess
Der Datenschutzkreislauf

Buchen Sie einen Kostenfreies Erstgespräch

FAQ: 

Wer muss die DSGVO einhalten?

Jede Organisation, die an der Verarbeitung personenbezogener Daten von Personen in der EU beteiligt ist, muss die DSGVO einhalten. 

„Verarbeitung“ ist ein weit gefasster Begriff, der alles umfasst, was man mit Daten machen kann – ob automatisiert oder manuell: Sammlung, Aufzeichnung, Speicherung, Organisation, Übertragung, Strukturierung, Analyse, Löschung oder andere damit verbundene Aktivitäten. 

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine Person beziehen, wie Namen, E-Mail-Adressen, IP-Adressen, Augenfarbe, politische Zugehörigkeit und so weiter. 

Auch wenn eine Organisation nicht in der EU ansässig ist, wenn muss sie sich bei der Verarbeitung von personenbezogenen Daten von Bürger und Personen mit Wohnsitz in der EU die Regelungen der DSGVO einhalten. 

Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. 

Was sind Daten besonderer Kategorien (besonders sensible Daten)?

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist, bis auf wenige Ausnahmen, untersagt. 

Was sind die Datenschutzgrundsätze der DSGVO?
  1. Rechtmäßigkeit, Treu und Glauben, Transparenz – Die Verarbeitung von Daten bedarf der freiwilligen Einwilligung des Betroffenen und muss spezifisch, eindeutig und auf entsprechender Information beruhen.
  2. Zweckbindung – Die Datenverarbeitung ist nur für die legitimen Zwecke zulässig, die der für die Verarbeitung Verantwortliche gegenüber der betroffenen Person eindeutig angegeben hat.
  3. Datenminimierung – Organisationen dürfen nur so viele Daten sammeln und verarbeiten, wie es zur Erfüllung der angegebenen Zwecke unbedingt erforderlich ist.
  4. Richtigkeit – Es ist erforderlich, „sachlich richtige“ und aktuelle personenbezogene Daten zu pflegen.
  5. Speicherbegrenzung – Man darf personenbezogene Daten nur so lange speichern, wie es für den angegebenen Zweck erforderlich ist.
  6. Integrität und Vertraulichkeit – Die Verarbeitung der Daten muss unter Gewährleistung ihrer angemessenen Sicherheit, Integrität und Vertraulichkeit erfolgen (z. B. durch Verwendung von Verschlüsselung).
  7. Rechenschaftspflicht – Die Einhaltung all dieser Grundsätze durch die DSGVO liegt in der Verantwortung des für die Verarbeitung Verantwortlichen.
Wann muss ich einen Datenschutzbeauftragten bestellen?

Einen Datenschutzbeauftragten müssen alle Unternehmen gem. BDSG § 4 bestellen, in welchem mind. 20 regelmäßig personenbezogene Daten automatisiert verarbeiten. Gleiches gilt gem. Art. 37 Abs. 1c DSGVO bei der Verarbeitung besonders sensibler Daten oder zum Zweck der Markt- und Meinungsforschung.

Welche Eignung und Qualifikation benötigt ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter wird gem. Art. 37 Abs. 5 DSGVO auf Grundlage seiner beruflichen Qualifikation (nachweisbare Fachkunde durch Zertifikatslehrgang) und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung seiner Aufgaben.

Welche Aufgaben und Pflichten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte (DSB) ist verpflichtet, sicherzustellen, dass die Organisation , für die er bestellt ist, personenbezogene Daten von Mitarbeitern, Kunden oder anderer Personen (auch als betroffene Personen bezeichnet) in Übereinstimmung mit den erforderlichen Datenschutzbestimmungen (DSGVO, BDSG u.a.) verarbeitet. Dies umfasst Aufgaben, wie z.B. die Beratung des Verantwortlichen, die Schulung oder die Durchführung regelmäßiger Überwachungen und Audits.

Die originären und gem. DSGVO und BDSG definierten Aufgaben des Datenschutzbeauftragten beschränken sich im Wesentlichen auf unterrichtende, sensibilisierende, mitwirkende, überwachende und kommunikative Tätigkeiten:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters (DSGVO: Art. 38 Abs. 1 a)
  • Überwachung der Einhaltung der DSGVO, weiter Datenschutzvorschriften (DSGVO: Art. 38 Abs. 38 b)
  • Sensibilisierung und Schulung von Mitarbeitern und damit verbundene Überprüfungen
  • Datenschutz-Folgeabschätzung (DSGVO: Art. 39 Abs. 2)
  • Anlaufstelle für Aufsichtsbehörde (DSGVO: Art. 39 Abs. 1 e)
  • Zusammenarbeit mit Aufsichtsbehörde (DSGVO: Art. 39 Abs. 1 d)
  • Auskunftsrecht – Anlaufstelle für betroffene Personen (DSGVO: Art. 38 Abs. 4)
  • Erstellung eines Jahresberichtes
Wer ist der Verantwortliche im Sinn der DSGVO in meinem Unternehmen?

Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sofern die Verantwortlichkeit nicht ausdrücklich anders geregelt ist, gilt der juristische Vertreter, i.d.R. also der Geschäftsführer, als Verantwortlicher.

Der Verantwortliche ist für die Einhaltung der Pflichten aus der DSGVO verantwortlich und muss die Einhaltung nachweisen können („Rechenschaftspflicht“).

Welche Pflichten und Verantwortlichkeiten gelten für „Verantwortliche“?

Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß DSGVO erfolgt.

Welche Risiken ergeben sich bei Verstößen und Verletzungen für ein Unternehmen und „Verantwortliche“?

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Betroffene Personen von Datenschutzverletzungen können Schadenersatz verlangen.

Darüber hinaus sind die Überwachungsbehörden gem. DSGVO verpflichtet wirksame, verhältnismäßige und abschreckende Geldbußen zu verhängen.

Welche Vorteile ergeben sich durch die Bestellung eines externen Datenschutzbeauftragten?
  • fundiertes Datenschutz Know-How, umfangreiches Wissen, permanente Weiterbildung, langjährige Erfahrung, Branchen-Expertise
  • Sachlicher, neutraler und lösungsorientierte Blick auf Sachverhalte (nicht Betriebsblind)
  • Höhere Akzeptanz im Unternehmen durch Neutralität
  • Transparente und planbare Kosten
  • Kein besonderer Kündigungsschutz (wie für internen DSB)
Was ist die Rechtmäßigkeit der Verarbeitung?

Die Verarbeitung der personenbezogenen Daten ist i.d.R. nur zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Die Einwilligung ist eine freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Die Zulässigkeit der Verarbeitung ist also abhängig von der Einwilligung der betroffenen Person und zweckgebunden.

Was ist eine Einwilligung zur Verarbeitung?

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Wird immer eine Einwilligung benötigt?

Die Einholung der Einwilligung wird nicht immer benötigt, daher gibt es, obwohl sie eine der rechtmäßigen Grundlagen für die Verarbeitung ist, fünf andere, die berücksichtigt werden müssen:

  • Vertragsverhältnis (berechtigtes Interesse)
  • Einhaltung einer gesetzlichen Verpflichtung
  • Lebenswichtige Interessen, um das Leben eines Menschen zu schützen
  • Ein öffentliches Interesse
  • Berechtigte Interessen, es sei denn, dies wird durch die Rechte und Interessen des Einzelnen aufgewogen.
Was ist der Grundsatz der Datensparsamkeit?

Es dürfen nur personenbezogene Daten gem. BDSG § 71 verarbeitet werden, wenn deren Sicherheit gewährleistet ist und dies für einen bestimmten Verarbeitungszweck erforderlich ist. Mit der Zweckerfüllung sind die Daten zu löschen.

Welche Datenschutzrechte hat die betroffene Person?

Das Recht auf

  • Information bei Datenerhebung.
  • Auskunft über die erhobenen Daten.
  • Berichtigung falscher erhobener Daten.
  • Löschung oder das Recht auf Vergessenwerden.
  • Einschränkung der Verarbeitung.
  • Datenübertragbarkeit.
  • Widerspruch der Erhebung.
  • Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling.
Dürfen personenbezogene Daten auch außerhalb der EU verarbeitet werden?

Die DSGVO erlegt keine Datenresidenz- oder Lokalisierungsverpflichtungen auf, und Unternehmen können frei wählen, wo sie die Daten hosten. Die DSGVO schreibt Übertragungsmethoden vor, die DSGVO-äquivalente Garantien gewährleisten, wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) außerhalb des EWR übermittelt und verarbeitet werden.

Es gibt bestimmte Länder, für die ein „Angemessenheitsbeschluss“ der Europäischen Kommission gilt.

Lt. einem Urteil des EU-Gerichtshof (EuGH) bietet z.B. das Privacy Shield-Rahmenwerk keine angemessenen Garantien mehr für die Übermittlung personenbezogener Daten aus dem EWR in die Vereinigten Staaten.

„Die größte Unzulänglichkeit beim Datenschutz ist das Wort »Datenschutz«. Der Begriff ist blutleer und teilweise negativ besetzt. Er banalisiert das eigentliche Anliegen. Es sollen ja nicht die Daten als solche geschützt werden, sondern die Autonomie des Individuums.“

Karl Michael Betzl, Jurist, Landesdatenschutzbeauftragter des Freistaates Bayern (1947)