Termin Vereinbaren

Datenschutz

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist nach wie vor eine große Herausforderung für Unternehmen – und das, obwohl diese bereits seit 2018 in Kraft ist. Grund dafür ist nicht nur, dass die DSGVO weitreichende und schwer zugängliche Anforderungen an den Umgang mit personenbezogenen Daten stellt, sondern auch, dass viele Unternehmen das Thema Datenschutz-Compliance immer noch nicht ausreichend priorisieren.

Gleichzeitig ist nahezu jedes Unternehmen auf Datenverarbeitungen angewiesen. Personenbezogene Daten sind aufgrund der Digitalisierung leicht zugänglich – und deshalb in besonderem Maße gesetzlich geschützt. Wer sich nicht an die DSGVO hält, gefährdet die Zukunftsfähigkeit seines gesamten Unternehmens.

Wir zeigen auf, welche Konsequenzen bei einer Nichteinhaltung der DSGVO drohen und welche Chancen eine konsequente und rechtssichere Umsetzung der Datenschutz-Vorgaben für Ihr Unternehmen haben kann. Einzelfragen zum Thema klären wir mit Ihnen gerne bei einem persönlichen Gespräch.

icon About

Als Unternehmer und Anwälte mit eigener unternehmerischer Erfahrung ist es unser Anspruch, Sie ganzheitlich zu beraten und Ihnen nicht nur bei rechtlichen, sondern auch bei unternehmerischen Entscheidungen weiterzuhelfen. Kommen Sie jederzeit für ein unverbindliches Erstgespräch auf uns zu.

Beratungstermin vereinbaren

Was bedeutet Datenschutz

Datenschutz beschreibt den Schutz personenbezogener Daten. Darunter fallen alle Informationen, die Rückschlüsse auf eine konkrete, natürliche Person ermöglichen, beispielsweise Namen, Geburtsdatum, Religion, Gesundheitsinformationen, Geschlecht, Nationalität oder andere persönliche Angaben. Unternehmen erheben und verarbeiten personenbezogene Daten regelmäßig im Kontakt mit den betroffenen Personen, die ihre Kunden oder Geschäftspartner sind.

Datenschutz meint in diesem Kontext nicht die sogenannte Datensicherheit, die den Schutz anderer, nicht personenbezogener Daten wie beispielsweise Geräteinformationen und Passwörter umfasst. Nicht personenbezogene Daten vor unbefugten Zugriffen zu schützen, ist in aller Regel Aufgabe der Informationssicherheit (kurz IT-Sicherheit). In der Praxis ergänzen sich Datenschutz und IT-Sicherheit idealerweise, um Schutzlücken zu vermeiden

Ziel des Datenschutzes ist es vorrangig, die Identität und die Privatsphäre der betroffenen Personen zu wahren und das Recht auf informationelle Selbstbestimmung zu gewährleisten.

Der erste Schritt verfolgt daher den Grundsatz, dass Daten nur insoweit erhoben, verarbeitet und gespeichert werden dürfen, als es für die Arbeit des Unternehmens notwendig ist. Sind notwendige Daten erhoben und verarbeitet worden, müssen sie in einem zweiten Schritt effektiv geschützt werden, sodass unbefugte Eingriffe durch Dritte ausgeschlossen sind.

Zudem hat jede von einer Datenverarbeitung betroffene Person eine Vielzahl von Rechten: So kann sie beispielsweise eine zur Verarbeitung und Verwendung ihrer Daten erteilte Einwilligungen jederzeit widerrufen. Das „Recht auf Vergessenwerden“ wird auf Verlangen durch dauerhafte Löschung der Daten durchgesetzt. Gleiches gilt etwa bei Datenverarbeitungen auf sozialen Netzwerken, Webseiten und in Onlineshops.

Sie haben offene Fragen? Gerne informieren wir Sie in einem Beratungsgespräch umfassend über die Betroffenenrechte in der DSGVO.

Technische und organisatorische Maßnahmen

Eine der wichtigsten rechtlichen Verpflichtungen aus der DSGVO ist die Etablierung von technischen und organisatorischen Maßnahmen (TOM) in Unternehmen. Ziel ist es, personenbezogene und sensible Daten effektiv und dauerhaft vor Dritten zu schützen.

Dabei ist immer ein „dem Risiko angemessenes Schutzniveau zu gewährleisten“ (Art. 32 DSGVO). Das bedeutet, dass Unternehmen in jedem Fall abwägen müssen, wie hoch das Risiko für die Verwendung der jeweiligen Daten ist und wie umfangreich der Schutz ausfallen muss, um die rechtlichen Vorgaben zu erfüllen. Insbesondere bei hohen Risiken müssen Sie sich fragen, ob das Risiko den Zweck der Nutzung überwiegt.

Klartext: Je riskanter die Datenverarbeitung und je tiefer der Eingriff in die Privatsphäre der betroffenen Person, desto höher muss der Schutz für die personenbezogenen Daten sein.

Technische und organisatorische Maßnahmen können zum Beispiel sein:

  • Ende-zu-Ende-Verschlüsselung der Kommunukation
  • Zugriff- und Weitergabekontrollen
  • Überprüfung, Bewertung und Evaluierung bestehender Maßnahmen
  • Prüfung der Belastbarkeit von verwendeten Systemen (etwa bei einem Hackerangriff)
  • Ende-zu-Ende-Verschlüsselung der Kommunukation
  • Zugriff- und Weitergabekontrollen
  • Überprüfung, Bewertung und Evaluierung bestehender Maßnahmen
  • Prüfung der Belastbarkeit von verwendeten Systemen (etwa bei einem Hackerangriff)
  • Praktische Organisation und Strukturierung der Daten an einem vertrauenswürdigen Ort (z. B. für die Ausübung von Auskunfts- und Löschungsrechten betroffener Personen)
  • Anonymisierung und Pseudonymisierung
  • Schulung und Sensibilisierung des Teams (u.a. Passwort-Richtlinien)
  • Praktische Organisation und Strukturierung der Daten an einem vertrauenswürdigen Ort (z. B. für die Ausübung von Auskunfts- und Löschungsrechten betroffener Personen)
  • Anonymisierung und Pseudonymisierung
  • Schulung und Sensibilisierung des Teams (u.a. Passwort-Richtlinien)

DSGVO-Checkliste für Unternehmen

Um Unternehmen den Einstieg in die Einhaltung der DSGVO zu erleichtern, haben wir eine Checkliste über die wichtigsten Schritte zusammengestellt. Diese dient als grobe Orientierung, ersetzt jedoch keine individuelle Rechtsberatung und die tiefergehende Auseinandersetzung mit dem Thema Datenschutz.

Von der Ernennung eines Datenschutzbeauftragten über die Durchführung von Risikoanalysen bis hin zum Notfallplan bei Datenschutzverletzungen hilft diese Checkliste Ihnen, die nächsten Schritte zu definieren, um personenbezogene Daten rechtskonform zu schützen und umsatzbezogene Strafen zu vermeiden. 

Erforderlich ist zunächst einmal eine Bestandsaufnahme (in der DSGVO wird diese Verarbeitungsverzeichnis genannt). Das Verzeichnis enthält alle Informationen über die erfolgte Verarbeitung personenbezogener Daten und sonstige Tätigkeiten Ihres Unternehmens, bei denen personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Auch der Zweck der Datenverarbeitung und die zuständigen und verantwortlichen Beschäftigten werden festgelegt.

Bei der Übermittlung von Daten an Dienstleister und Geschäftspartner (sogenannte Auftragsverarbeiter) müssen diese sich in einem sogenannten Auftragsverarbeitungsvertrag dazu verpflichten, die geltenden Bestimmungen zum Datenschutz einzuhalten. Neben einer Einwilligung müssen bei der Weitergabe von Daten an Dritte Informationspflichten eingehalten werden. Besonders aufmerksam sollten Unternehmen bei der Auftragsverarbeitung durch Dritte mit Sitz außerhalb des EU/EWR-Raumes sein. Eine Datenübermittlung in Drittländer ist nur unter bestimmten Voraussetzungen zulässig und kann datenschutzrechtlich problematisch sein. Das größte Risiko besteht im Hinblick auf Drittstaaten ohne Angemessenheitsbeschluss durch die EU. In diesen Fällen ist die Rechtslage hinsichtlich der Datenübermittlung nicht abschließend geklärt.

Zur effektiven Abwehr von Gefahren sind Sie bei der Verarbeitung besonderer Kategorien personenbezogener Daten verpflichtet, eine Risikoanalyse durchzuführen. Dabei ermitteln Sie das zu erwartende Risiko und entscheiden, ob bei den geplanten Verarbeitungen personenbezogener Daten der Zweck (also das Interesse des Unternehmens an der Datenverarbeitung) oder das Risiko für die betroffenen Personen überwiegt.

Dies ist das Kernstück eines jeden Datenschutz-Konzeptes. Sie treffen konkrete Maßnahmen, damit je nach Risiko die Daten bestmöglich geschützt werden. Idealerweise entwickeln Sie einen einfachen Workflow, der alle rechtlichen Vorgaben erfüllt und langfristig für Ihr Team funktioniert.

Viele Unternehmen benötigen einen Datenschutzbeauftragten, der die erforderlichen Maßnahmen zur Einhaltung der DSGVO innerhalb des Unternehmens etabliert. Dieser muss unabhängig sein, daher bietet sich oft an, einen externen Datenschutzbeauftragten zu bestellen.

Wenn Sie die Datenverarbeitung nicht auf einen anderen Erlaubnistatbestand (z.B. ein berechtigtes Interesse) stützen können, sind Sie erst nach einer erteilten Einwilligung durch die betroffene Person berechtigt, die entsprechenden Daten zu verarbeiten.

Betroffene Personen haben das Recht, Auskunft über die von ihnen erfassten und gespeicherten Daten zu verlangen. Dem Auskunftsrecht der Betroffenen muss Ihr Unternehmen immer nachkommen, auch wenn es häufig als ärgerlich, unnötig oder mühsam empfunden wird. Da es sich um eine gesetzliche Pflicht mit Sanktionsmöglichkeit handelt, sollten Sie Auskunftsersuchen auf keinen Fall ignorieren. Gerne unterstützen wir Sie dabei, die hierfür erforderlichen Prozesse zu etablieren oder effizienter zu gestalten, sodass Auskunftsersuchen rechtssicher und ressourcenfreundlich beantwortet werden können.

Entfällt der Zweck einer Datenverarbeitung oder widerrufen Betroffene ihre Einwilligungen, müssen die Daten unverzüglich gelöscht werden. Ersteres ist zum Beispiel der Fall, wenn die betroffene Person kein Kunde mehr ist oder eine Zusammenarbeit mit Geschäftspartnern beendet wurde. Stellen Sie sicher, dass Sie ein automatisiertes System entwickeln, nachdem Daten innerhalb der Löschfristen auch tatsächlich gelöscht werden.

Sie sind verpflichtet, alle bei Ihnen beschäftigten Personen, die mit personenbezogenen Daten arbeiten, ausreichend über die geltenden Bestimmungen zu unterrichten.

Erarbeiten Sie ein Konzept, nach dem Ihr Team handeln kann, wenn es trotz allen Vorkehrungen doch zu einem Datenschutzvorfall kommt. In dieser Sitution müssen die alle betroffenen Personen innerhalb von 72 Stunden nach dem Vorfall informieren und auch die zuständige Aufsichtsbehörde kontaktieren. Daher ist es wichtig, von Anfang an zu planen, wie Sie in einem solchen Ausnahmefall vorgehen und welche Schritte befolgt werden müssen.

Welche Strafen drohen bei Verstößen gegen die DSGVO?

Bei der Höhe der möglichen Sanktionen bei einem DSGVO-Verstoß werden die meisten Unternehmen hellhörig – auch diejenigen, die nicht viel Wert auf Datenschutz legen. Bei Nichteinhaltung der Datenschutz-Regelungen drohen sensible Strafen:

Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 2 %, in besonders schweren Fällen sogar 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens vor. Dazu kommt, dass Geldstrafen öffentlich verhängt werden – und so nicht nur dem Budget, sondern auch langfristig der Reputation Ihres Unternehmens schaden können.

Nicht selten kommt es durch eine Datenpanne zu einem großen Vertrauensverlust bei Investoren, Kunden und Geschäftspartnern. Die finanzielle Belastung durch eine Geldstrafe ist das eine, aber in vielen Fällen leiden Unternehmen jahrelang an den Folgen eines Reputationsschadens.

Lassen Sie es daher nicht so weit kommen und integrieren Sie rechtzeitig DSGVO-Maßnahmen in Ihrem Unternehmen. Gerne mit unserer Unterstützung!

Datenschutz-Compliance als Chance für Ihr Unternehmen

Datenschutz bedeutet für Unternehmen erst einmal viel Arbeit. Nach der Erarbeitung von Systemen, Konzepten und Maßnahmen zum Datenschutz ist allerdings in der Regel alles rechtskonform geplant und auf Dauer ausgelegt. Zudem birgt dies die Chance, Ihr Unternehmen zukunftsfähig zu machen: Verarbeitungsverzeichnisse oder Risikoanalysen können dazu beitragen, überflüssige Vorgänge und Prozesse zu erkennen, den Workflow zu optimieren und so zu einer Verschlankung beizutragen.

Eine exzellente Datenschutz-Compliance bietet zudem ein hohes Werbepotenzial für Ihr Unternehmen. Gewinnen Sie das Vertrauen von Kunden und Geschäftspartnern, können Sie nicht nur bestehende Kunden und Partner an sich binden, sondern auch Ihr Image verbessern und neue Kunden oder Geschäftspartner anwerben.

Sie benötigen weitere Unterstützung bei Ihrer erfolgreichen Unternehmensgründung? Kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch.

Beratungstermin vereinbaren

Schreiben Sie uns eine Nachricht!

Unsere Schwerpunkte

Kontakt