Skip to content

Datenschutzrecht

Rechtsanwälte für Datenschutz, bundesweite Beratung und Vertretung zertifizierter Datenschutzbeauftragter und zertifizierter Datenschutzauditor mit Büros in Hamburg und Berlin für bundesweite Aufträge

Sie suchen einen Rechtsanwalt für Datenschutzrecht in Hamburg, Berlin, Stuttgart, Frankfurt am Main, Bremen, Nürnberg, Schwerin oder in anderen deutschen Städten? Dann sind Sie bei uns richtig. Wir unterhalten Büros in Berlin und Hamburg und vertreten unsere Mandanten im gesamten Bundesgebiet. Unser Team von Rechtsanwälten und Fachanwälten bietet Ihnen ein umfassendes Leistungsangebot im Datenschutzrecht an. Unsere Kanzlei verfügt zudem über zertifizierte Datenschutzbeauftragte (TÜV) und einen Datenschutzauditor (TÜV), die Ihnen mit Rat und Tat zur Seite stehen.

Datenschutz im Unternehmen
Auftragsdatenverarbeitung
Externer Datenschutzbeauftragter
Datenschutzerklärungen

Unsere Kompetenzen im Datenschutzrecht

  • Datenschutzaudits
  • TÜV zertifizierte Datenschutzkenntnisse
  • Erstellung von Verarbeitungsverzeichnissen
  • Erstellung und Prüfung von Auftragsdatenverarbeitungsverträgen
  • Erstellung von Datenschutzerklärungen für online-Auftritte und offline-Vorgänge
  • Bearbeitung von Auskunfts- und Löschanfragen
  • Lösch- und Sperrkonzept
  • Bereitstellung eines externen Datenschutzbeauftragten (über die HVLS Datenschutz GmbH)
  • Mitarbeiterschulungen zum Datenschutz

Sie möchten das Datenschutzniveau Ihres Unternehmens prüfen?

Datenschutzaudit

Wir prüfen Ihr Unternehmen auf „Herz und Nieren“ in dem gesamten Bereich des Datenschutzes.

Ebenso beraten wir Sie und erstellen individuelle Datenschutzkonzepte für Ihr Unternehmen. Die jahrelange Erfahrung in der anwaltlichen Datenschutzberatung werden wir für Sie konsequent einsetzen.

Gerade in Unternehmen gewinnt das Datenschutzrecht in unserer heutigen Informationsgesellschaft und mit der neuen Ausgestaltung DSGVO zunehmend an Bedeutung. Dabei geht es nicht nur um unvollständige oder fehlerhafte Datenschutzerklärungen, für die regelmäßig und heutzutage immer mehr Abmahnungen verschickt werden. Es geht vielmehr um weitaus größere Risiken, die ein unsicheres oder gar ein nicht vorhandenes Datenschutzkonzept mit sich bringen kann. Die Datenschutzbehörden prüfen immer häufiger. Die verhängten Bußgelder können dabei auch im siebenstelligen Bereich liegen. 

Der Datenschutz innerhalb eines Unternehmens fängt bei der Zutrittskontrolle an und hört bei der elektronischen Vermittlung an Dritte auf. Für Unternehmen ist es dabei von hohem Interesse, eine persönliche Haftung von Geschäftsführern und Geschäftsführerinnen sowie des Vorstandes aufgrund von Datenschutzmängeln auszuschließen. 

Eine Studie der niedersächsischen Landesbeauftragten für den Datenschutz hat ergeben, dass bei 85 % der von der Datenschutzbehörde überprüften Webseiten die Einwilligung der Nutzer aufgrund rechtlicher Mängel unwirksam ist (Stand 2020). Das Haftungsrisiko für die Führungskräfte ist also real.

Unser Ziel ist es, für Sie ein dauerhaft rechtssicheres Datenschutzniveau zu entwickeln.

Verarbeitungsverzeichnis

Wenn Sie Ihre datenschutzrelevanten Prozesse bereits durch ein Audit identifiziert haben, gilt es ein tragfähiges Verarbeitungsverzeichnis zu erstellen.

Die relevanten Prozesse werden skizziert und anhand von Datenblättern DSGVO-konform in einem Verzeichnis zusammengeführt. Dieses „lebende“ Verzeichnis ist dabei das Produkt Ihres Datenschutzkonzeptes. Alle relevanten Informationen zum Datenschutz sind in dem Verarbeitungsverzeichnis zentral zusammengeführt. Im Falle einer behördlichen Kontrolle behalten Sie den Überblick und können Fragen durch ein professionell erstelltes Verarbeitungsverzeichnis kompetent und zielsicher beantworten.

Wir erstellen für Sie und mit Ihnen Ihr Verarbeitungsverzeichnis DSGVO-konform. Wir verfügen über einen zertifizierten Datenschutzauditor und Anwälte mit jahrelanger Projekt- und IT-Erfahrung, die Ihre technischen und organisatorischen Maßnahmen (TOMs) für Sie erarbeiten.

Sie arbeiten mit Dritten im Rahmen einer Auftragsdatenverarbeitung zusammen?

Wenn Sie Daten von einem Dritten verarbeiten lassen (z.B. externer IT-Dienstleister, (reine) Lohnbuchhaltung), ist der Dritte für Sie im Rahmen einer Auftragsdatenverarbeitung (ADV) tätig. Dieses Vertragsverhältnis beinhaltet eine spezielle Struktur von Rechten und Pflichten der Vertragsparteien.

Bei der ADV unterliegen Auftraggeber der ständigen Pflicht zu überprüfen, wie der Auftragsverarbeiter mit den Daten verfährt. Wir legen für Sie die erforderlichen technischen und organisatorischen Maßnahmen („TOMs“) im Auftragsdatenverarbeitungsvertrag fest, sodass diese in Ihre Unternehmensprozesse transparent implementiert werden können.

Wenn das Verarbeiten von Daten Dritter Ihre unternehmerische Kernkompetenz darstellt, sind Sie als auftragsdatenverarbeitendes Unternehmen sehr darauf angewiesen, dass Ihre Prozesse vertraglich abgesichert und im Rahmen von KPI auch transparent messbar sind.

Wir erstellen für Sie maßgeschneiderte Vertragslösungen mit transparenten Leistungsparametern. So sind Sie nicht nur datenschutzrechtlich auf sicherem Niveau. Sie bieten eine strukturierte Customer-Journey bei hoher Kundenzufriedenheit.

Dabei helfen wir Ihnen mit unserem Know-How.

Datenschutzbeauftragter – externe und interne Lösungen

Zu unseren Leistungen gehört die Erstellung von Datenschutzerklärungen für Ihren Online-Auftritt sowie für weitere Datenverarbeitungsvorgänge. Mit unserem Homepage-Check prüfen wir zunächst die Datenschutzkonformität Ihres Online-Auftritts. Im Anschluss daran werden wir ein Konzept entwickeln, welches ein konstantes Datenschutzniveau für Ihre Homepage schafft. So können Sie eine dauerhafte Einhaltung datenschutzrechtlicher Vorschriften erzielen und Ihr Unternehmen vor potenziellen Gefahren, wie Abmahnungen oder Bußgeldern, schützen.

Wie reagiere ich bei Auskunfts- und Löschanfragen?

Grundsätzlich hat jeder Ihrer Kunden und Lieferanten über den Sie persönliche Daten erheben, speichern und verarbeiten als betroffene Person nach Art. 17 DSGVO einen Anspruch auf Löschung der personenbezogenen Daten. Nach Art. 15 DSGVO haben betroffene Personen das Recht auf Auskunft über personenbezogene Daten. 

Wir zeigen Ihnen auf, in welcher Form die Auskunftserteilung erfolgen sollte und wie das konkret in Ihrem Unternehmen umgesetzt werden kann.

Ist eine Löschung von Daten nach der DSGVO erforderlich, erarbeiten wir mit Ihnen, wie eine Löschung personenbezogener Daten (auch technisch) durchzuführen ist.

Erstellen eines Lösch- und Sperrkonzeptes

Aufgrund des Anspruchs der betroffenen Personen auf Löschung der Daten und dem Prinzip der Datenminimierung ist es erforderlich, ein sogenanntes Lösch- und Sperrkonzept zu entwickeln.

Vor der endgültigen Löschung kommt es zur Sperrung von Daten. Wichtige Unternehmensdaten unterliegen der Aufbewahrungsfrist von 10 Jahren. Auch wenn also eine Löschung von Daten vor Ablauf der Frist von 10 Jahren nicht erfolgen muss, sieht die DSGVO vor, den Datenzugriff je nach Notwendigkeit auf ein Minimum zu reduzieren. Das führt dazu, dass sehr genau zu prüfen ist, wer zu welchem Zeitpunkt noch einen Zugriff auf den jeweiligen Datensatz benötigt. Ist der Zugriff auf die Daten nicht mehr erforderlich, sind die Daten vor dem Zugriff Unberechtigter zu sperren. Dies kann sowohl physisch, z.B. durch abschließbare Schränke, als auch elektronisch durch das Rollen- und Rechtekonzept einer IT-Anwendung erfolgen.

Wir helfen Ihnen, Ihr optimales Lösch- und Sperrkonzept individuell zu erstellen. Mit einem Solchen Konzept haben Sie sicheren Zugriff auf Ihre sensiblen Daten und weisen nach, dass Sie dem Grundsatz der Datenminimierung sicher folgen.

Mitarbeiterschulungen

Ein gut ausgestaltetes Datenschutzkonzept für Ihre Mitarbeiter und Mitarbeiterinnen ist mittlerweile unerlässlich. Dies fängt schon bei einer Schulung der Mitarbeiter und Mitarbeiterinnen an und hört bei der Etablierung ordnungsgemäßer Sicherheitsrichtlinien auf.

Wir schulen Ihre Mitarbeiter im Umgang mit personenbezogenen Daten und schaffen so die Awareness für die erforderliche Sorgfalt im Umgang mit Datenschutzthemen.

FAQ zum Datenschutzrecht

Die Definition des Begriffs der „personenbezogenen Daten“ findet sich in Art. 4 DSGVO:  
„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind […]“
  Damit ist entscheidend, ob die Daten einer natürlichen Person zugeordnet werden können und sich auf die Person beziehen. Der GPS-Datensatz eines Navigationssystems stellt für sich genommen keine personenbezogenen Daten dar. Er beschreibt lediglich einen Punkt auf der Erdoberfläche.   Erst der Bezug zum Besitzer oder Fahrer des Fahrzeugs macht daraus schützenswerte personenbezogene Daten. Dann wird erkennbar, dass sich der Fahrer mit dem Fahrzeug an diesem Punkt aufgehalten hat.   Daher ist es sinnvoll, Ihre Betriebsdaten individuell auf diese Zuordnung zu prüfen. Wir prüfen Ihre Daten im Rahmen eines Datenschutzaudits und erkennen so die relevanten Verbindungen.

Jeder Verantwortliche, der personenbezogene Daten verarbeitet, unterliegt grundsätzlich einer Dokumentationspflicht seiner Verarbeitungsvorgänge. Problematisch ist hierbei, dass die DSGVO keine konkreten Umsetzungsanweisungen für Unternehmen vorsieht. Aus unserer jahrelangen Projekterfahrung wissen wir sehr exakt, welcher Inhalt für das Verarbeitungsverzeichnis gefordert wird und wie dies praktisch umzusetzen ist. Daraus erarbeiten wir mit Ihnen zusammen die erforderlichen technischen und organisatorischen Maßnahmen („TOMs“).

Die DSGVO hat hinsichtlich der Dokumentationspflichten des Datenschutzes für betroffene Unternehmen weitgehende Anforderungen festgelegt. Wir erstellen und prüfen für Ihr Unternehmen das in Art. 30 DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten.

Dabei ist es nicht mit der einmaligen Erstellung von Leitdokumenten getan. Die Sorgfaltspflicht gebietet, sich regelmäßig mit den hauseigenen Prozessen auseinanderzusetzen, die Mitarbeiter regelmäßig zu schulen und für eine aktuelle Dokumentation der jeweiligen Prozesse Sorge zu tragen. Das setzt ein hohes Maß an Akzeptanz im Management voraus. Datenschutz ist aufwendig und bei Zeiten kleinteilig.

Die Awareness der eigenen Mitarbeiter ist dabei der Schlüssel zum dauerhaften Erfolg eines Datenschutzkonzeptes. Die Mitarbeiter selbst kennen die Prozesse und mögliche Schwachstellen im täglichen Umgang mit personenbezogenen Daten. Unter fachkundiger Anleitung kann dadurch eine tragfähige Analyse der internen Prozesse erstellt werden.

Diese Analyse erstellen wir für Sie oder wir unterstützen Ihre Mitarbeiterinnen und Mitarbeiter in der täglichen Routine mit den Anforderungen an ein DSGVO-konformes Verarbeitungsverzeichnis.

Gemäß § 9 BDSG sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOMs) zu treffen. Ziel ist die Umsetzung der Sicherheitsanforderungen des Bundesdatenschutzgesetzes. Dabei wird zwischen technischen und organisatorischen Maßnahmen unterschieden.  

Technische Maßnahmen sind eher tatsächlicher Natur, wie beispielsweise die bauliche Anlagensicherung durch Zäune oder Alarmanlagen.

Organisatorische Maßnahmen werden weitestgehend durch Arbeitsanweisungen und Verfahrensregeln abgedeckt. Eine Bearbeitung im 4-Augen-Prinzip stellt eine organisatorische Maßnahme dar.

Wenn Sie Daten von einem Dritten verarbeiten lassen (z.B. externer IT-Dienstleister, (reine) Lohnbuchhaltung), ist der Dritte für Sie im Rahmen einer Auftragsdatenverarbeitung (ADV) tätig. Dieses Vertragsverhältnis beinhaltet eine spezielle Struktur von Rechten und Pflichten der Vertragsparteien.

Gemäß Art. 28 Abs. 3 Satz 1 der DSGVO müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein.

Es ist in den meisten Fällen jedoch geboten, diese Mindestfestlegungen durch weitere Vertragsbestandteile zu ergänzen.

Gemäß Art. 26 Abs. 1 S. 1 DSGVO handelt es sich um eine gemeinsame Verarbeitung von Daten, wenn zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung in einem gemeinsamen Entscheidungsprozess festlegen. Die Verantwortlichen müssen zur Entscheidung oder Festlegung der Zwecke und Mittel der Verarbeitung bestimmte Voraussetzungen erfüllen. Hierzu müssen sie einen tatsächlichen Einfluss auf die Datenverarbeitung nehmen können. Joint Controller liegen also vor, wenn mindestens zwei Personen eine Entscheidung über das „erwartete Ergebnis” treffen und wenn sie außerdem festlegen, mit welcher Art und Weise der Zweck erreicht werden soll. 

Eine weitere Voraussetzung für die gemeinsame Verantwortlichkeit ist die bewusste Beteiligung mehrerer Verantwortlicher. Die Verantwortlichen müssen sich insbesondere darüber bewusst sein, wie und warum die Daten verarbeitet werden und sich aktiv zusammen beteiligen wollen. Eine unbeabsichtigte Zusammenarbeit reicht dementsprechend nicht für eine gemeinsame Verantwortlichkeit aus. Allerdings müssen nicht alle Beteiligten der betroffenen Person gegenübertreten oder eine gleichwertige Verantwortung tragen. Die Handlungsspielräume können und dürfen bei den Verantwortlichen also variieren. 

Sollte bereits eine der genannten Voraussetzungen nicht einschlägig sein, könnte es sich um eine Auftragsverarbeitung handeln. Wenn Sie unsicher bei der Einordung Ihrer Prozesse sind, wenden Sie sich an unsere Kanzlei. Wir erarbeiten die richtige Lösung zusammen mit Ihnen.

Aufgrund der aktuellen Entwicklung der Corona-Pandemie rückt das Arbeiten im Home-Office immer mehr in den Fokus von Arbeitgebern, Arbeitnehmern und Aufsichtsbehörden.

Zu Beginn der Pandemie im März 2020 war die überwiegende Zahl vor allem individueller Home-Office Konzepte noch spontan und es ging zunächst um das Aufrechterhalten des Betriebes. Die datenschutzrechtlichen Risiken traten dahinter zurück. Mit zunehmender Dauer und vor allem der Menge an Nutzern im Home-Office ist es sinnvoll, die datenschutzrechtliche Seite für Arbeitgeber und Arbeitnehmer gemeinsam und sicher zu klären.

Auch wenn der Arbeitnehmer oder die Arbeitnehmerin zu Hause arbeitet, bleibt der Arbeitgeber verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO. Der Arbeitgeber hat also nach Art. 25 Abs. 2 DSGVO für die geeigneten Maßnahmen des Datenschutzes Sorge zu tragen. Das umfasst sowohl die technischen als auch die organisatorischen Maßnahmen.

Allgemeine Schutzmaßnahmen

Daher sollten die Datenschutzmaßnahmen mit den jeweils Verantwortlichen klar definiert werden. Zugangskontrolle, Datensicherung, Verwendung externer Speichermedien wie USB-Sticks sind einige Beispiele, die Bestandteil des Maßnahmenkataloges sein sollten.

Sind Sie unsicher, ob Ihre Maßnahmen ausreichen, beraten wir Sie gerne bei der Erstellung und Umsetzung Ihres individuellen Maßnahmenkatalogs.

Arbeitsvertragliche Regelungen

Aufgrund der besonderen Anforderungen kann man davon ausgehen, dass Standard-Arbeitsverträge mit den üblichen Klauseln zum Datenschutz nicht geeignet sind, für beide Seiten eine sichere Regelung zu gewährleisten. Regelungen zu Zugangskontrolle, Aufbewahrung von Datenträgern und vor allem dem Zugriff Dritter auf Computer und Netzwerke sind absolut erforderlich. Die Einrichtung von VPN-Verbindungen und Verschlüsselungen ist nicht nur technisch sinnvoll, sondern in den meisten Fällen für die Datensicherheit auch erforderlich.

Besonders sensible Daten

Wenn durch die Arbeit im Home-Office auf besonders sensible Daten zugegriffen werden muss, ist besondere Vorsicht und Sorgfalt geboten. Personaldaten und zum Beispiel biometrische Daten von Personen oder Gesundheitsdaten sind besonders sensibel. Daher muss eine intensive Abwägung erfolgen, ob ein Zugriff im Home-Office unbedingt erfolgen muss. Ist dies nicht zu vermeiden, gilt es besondere Sicherheitsvorkehrungen technischer und organisatorischer Art zu treffen. Verschlüsselung und Schutz vor Zugriffen Dritter sind in dem Bereich sehr genau zu definieren und vor allem auch zu dokumentieren.

Remote Zugriff und Sicherung von Daten bei Einbruch, Diebstahl oder Verlust

Wer im Home-Office arbeitet, wird seine Wohnung sicherheitstechnisch nicht immer darauf vorbereitet haben, dass auf einmal teure Hardware oder sensible Daten zu Hause vorhanden sind. Die Folgen von Datendiebstahl oder Abhandenkommen der kompletten Hardware müssen ebenso berücksichtigt werden wie ein Datenverlust durch die Zerstörung von einzelnen Datenträgern. Wenn Datenträger oder ganze Computer abhandenkommen, muss sichergestellt sein, dass trotzdem kein Dritter auf die Daten zugreifen kann. Die Verwendung von biometrischen Zugangskontrollen und technisch schwer zu knackenden Passwörtern sollten zum Standard gehören.

Zur Sicherung der Daten kann durch den Arbeitgeber per Remote-Zugriff regelmäßig  eine Datensicherung erfolgen. So sind die gesicherten Daten auf den Systemen des Arbeitgebers für andere Kolleginnen und Kollegen verfügbar.

Dokumentation der getroffenen Maßnahmen

Alle getroffenen Maßnahmen sollten für die Beteiligten sorgfältig dokumentiert werden. Bei aufsichtsbehördlichen Ermittlungen ist dann der Nachweis vorhanden, sämtliche datenschutzrechtliche Anforderungen bei der Einrichtung des konkreten Home-Office Arbeitsplatzes umgesetzt zu haben.

Sind Sie unsicher, ob Ihre Dokumentationen ausreichend sind, beraten wir Sie gerne bei der Erstellung der individuellen Dokumentationen.