Rechtsanwalt Andrés Heyn

Urheber- und Datenschutzrecht aus einer Hand

Die DSGVO ist da. Was kann ich für Sie tun?

| Keine Kommentare

Sie haben Fragen zum Datenschutz oder betreiben ein datenbasiertes Geschäftsmodell?

Ich bin seit dem Jahr 2012 als Datenschutzbeauftragter vom TÜV-Süd zertifiziert und habe nunmehr dort selbst Datenschutzbeauftragte ausgebildet und das einwöchige Intensivseminar für die Zertifizierung von Datenschutzbeauftragten als Referent durchgeführt.

Sie sind ein mittelständisches Unternehmen und haben mehr als zehn Mitarbeiter? Dann benötigen Sie einen Datenschutzbeauftragten, wenn Sie die Datenverarbeitung nicht nur „gelegentlich“ durchführen, was nur auf wenige Handwerksbetriebe zutreffen dürfte.  

Ihre Datenschutzerklärung ist nicht auf dem neuesten Stand? Es wurde Ihnen ein überflüssiger Auftragsverarbeitungsvertrag vorgelegt? Ihr Onlineshop verwendet Cookies, ist auf Facebook aktiv und Sie sind unsicher was Sie nun tun müssen? Ihr Unternehmen braucht eine Richtlinie zur Privatnutzung von elektronischen Kommunikationsmitteln, damit kein Missbrauch betrieben wird? Sie sind Influencer oder sind im Marketing tätig und haben eine Abmahnung des Vereins Sozialer Wettbewerb erhalten? Ihr Einkaufszentrum möchte aktuelle Fotos von Kunden machen? Sie benötigen gemäß der DSGVO ein Verzeichnis der Verarbeitungstätigkeiten oder andere Dokumentationen und sind damit überfordert? Sie wollen bereits bei der Entwicklung ihres innovativen Tools die vielfältigen Anforderungen der DSGVO beachten? Sie wollen in Ihrem Unternehmen ein Kommunikations-Tool wie Slack einsetzen? Sie benötigen eine Datenschutzfolgenabschätzung? Wie sieht es bei Ihnen mit der Verschlüsselung von Daten und datenschutzrechtlichen Mitarbeiterrichtlinien aus? Benötigen Sie Beratung für eine Betriebsvereinbarung zum Datenschutz? Nach wie vor sind die meisten Unternehmen zur Beauftragung eines internen oder externen Datenschutzbeauftragten verpflichtet.

Datenschutz ist nicht nur für Big-Data oder Profiling-Spezialisten ein wichtiges Thema, sondern für fast jeden Unternehmer und Sie können Ihren Kunden damit Ihre Wertschätzung und Professionalität zeigen. Gern erarbeite ich gemeinsam mit Ihnen ein Datenschutzkonzept um den vielfältigen Rechenschaftspflichten der DSGVO nachzukommen. Ein fachkundiger Experte ist insbesondere von Auftragsverarbeitern und solchen Unternehmen zu beauftragen, die mehr als zehn Mitarbeiter beschäftigen. Ich bin stets über die aktuellen Entwicklungen im Datenschutz informiert, so dass Sie sich auf Ihre unternehmerische Tätigkeit konzentrieren können. Ich verstehe mich als Dienstleister, der für Sie pragmatische Lösungsvorschläge  erarbeitet und Ihnen eine persönliche, kostengünstige und kontinuierliche Beratung bietet. Ich helfe Ihnen dabei Rufschädigungen, Bussgelder oder Abmahnungen zu vermeiden.

Ich freue mich auf Ihren Anruf unter 0172 453 72 56 oder auf Ihre E-Mail!

Hier einige Basisinformationen.

Die Datenschutzgrundverordnung stellt den Schutz von personenbezogenen Daten in der EU sicher und vereinheitlicht den freien Datenverkehr innerhalb der EU. Diese Vereinheitlichung des Rechtsrahmens ist natürlich für internationale Unternehmen sehr vorteilhaft. Datenschutz ist vor allem Personenschutz vor illegaler Datenverarbeitung, aber natürlich ist hierzu auch die Datensicherheit zu gewährleisten. Die DSGVO hat globalen Vorbildcharakter, mag sie teilweise auch recht bürokratisch anmuten.

Von zentraler Bedeutung ist die Einführung des Marktortprinzips, wodurch auch außerhalb der EU operierende Unternehmen erfasst werden, sofern von außen Waren oder Dienstleistungen in der EU angeboten werden oder eine sog. Verhaltensbeobachtung stattfindet. Die um den Faktor 66,7 (!) erhöhten Bußgelder (20 Mio. Euro) und die Möglichkeit ein Bußgeld von 4% des Jahresumsatzes zu erheben werden sicherlich zu einer erhöhten Beachtung der vielfältigen Unternehmenspflichten durch Unternehmen wie Facebook oder Google führen. Nach wie vor ist die informierte Einwilligung ein Erlaubnisgrund für die Datenverarbeitung (Verbot mit Erlaubnisvorbehalt). Anderenfalls muss die Datenverarbeitung zur Erfüllung eines Vertrages erforderlich sein oder die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, wobei nicht die Interessen der betroffenen Person überwiegen.

 

Ein interner Datenschutzbeauftragter genießt Kündigungsschutz und wird die komplexen Aufgaben meist nicht umsetzen können. Eingeführt werden diverse Rechenschaftspflichten der Unternehmen (Accountability) und Haftungsregeln, was die Verfolgung von Verstößen durch die Aufsichtsbehörden vereinfachen wird. Neu sind auch die Regelungen zur Meldung von Datenpannen binnen 72 Stunden und die Datenschutzfolgenabschätzung (DSFA). Zur DSFA sollen demnächst „white and black lists“ veröffentlicht werden, die die relevanten Geschäftsfelder definieren. Die Anforderungen der DSGVO zur Transparenz, Zweckbindung, Minimierung usw. müssen erfüllt werden.

Wichtig sind auch die Erweiterung der Betroffenenrechte, wie etwa das Recht auf Vergessenwerden und das Recht auf Datenportabilität, sowie die neue Regelungen zu „Privacy by Design“ (also durch Technik) und „Privacy by Default“ (also durch nutzerfreundliche Voreinstellungen). Es bestehen weitgehende Auskunftsrechte und neue Korrekturrechte sowie ganz erhebliche Informations- und Löschpflichten.

Was ist zu tun?

Sie müssen eine Datenschutz-Management-Struktur einführen und hierbei ist die betriebliche Datenverarbeitung auf Konformität mit der DSGVO zu prüfen. Löschkonzepte sollten in den Unternehmen umgesetzt werden sowie Dokumentationspflichten (zu nennen ist hier z.B. das Verzeichnis der Verarbeitungstätigkeiten (VVT)). Meldepflichten, etwa in Bezug auf den Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde, müssen beachtet werden. Die Verträge mit Dienstleistern im Rahmen der Auftragsdatenverarbeitung  (AVV-Vertrag) und die sog. TOMs (technische und organisatorische Maßnahmen) müssen sicherlich angepasst werden. Die neuen Dokumentationspflichten müssen erfüllt und die Betroffenenrechte gewahrt werden. Die Datenschutzerklärung auf der Unternehmenswebsite ist zu überarbeiten und die vielfältigen Informationspflichten (Art. 13,14 ff DSGVO) müssen erfüllt werden. Hier drohen leider Abmahnungen nach dem UWG. Sog. Privacy by Design und Privacy by Default Regeln müssen geprüft und die Voreinstellungen nutzerfreundlich hochgesetzt werden. Die Rechte auf Auskunft, Berichtigung und Löschung und Datenportabilität der Daten von Betroffenen, müssen in einem Prozess beschrieben und dokumentiert werden. Bei sensiblen Vorgängen ist eine Datenschutzfolgeabschätzung (DFSA) erforderlich und muss dann ausgeführt werden. Ein Prozess zur Meldung von Data Breaches (Hacking usw.) binnen 72 Stunden ist einzuführen.

Gern führe ich für Sie eine Bestandsaufnahme durch und helfe Ihnen bei der Umsetzung der vielfältigen Anforderungen der DSGVO.

Autor: Rechtsanwalt Heyn

Autor: Andrés Heyn

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.