Die Datenschutzgrundverordnung (DS-GVO) - Das müssen Sie für die Umsetzung wissen

Es verbleibt nur noch wenig Zeit, bis die Datenschutzgrundverordnung (DS-GVO) der EU am 25. Mai in Kraft tritt.

Wir wollen Ihnen an dieser Stelle die Relevanz von Datenschutz im Allgemeinen verdeutlichen, die nun wichtigsten Änderungen beleuchten und einen Überblick darüber verschaffen, wie Sie Datenschutzpraxis und -management in Ihrem Unternehmen nach den entsprechenden Vorgaben überprüfen und gegebenenfalls anpassen können.

1. Allgemeines zum Datenschutz

Datenschutz gewinnt insbesondere im Hinblick auf stetige technische Neuentwicklungen von Möglichkeiten der Datenerfassung, -weitergabe, -analyse und -verarbeitung immer mehr an Bedeutung.

Er soll sicherstellen, dass das Interesse des Einzelnen am Schutz seines Persönlichkeitsrechts und seiner Privatsphäre gegenüber dem Interesse privater Unternehmen aber auch staatlicher Stellen an Datenverarbeitung zum Zweck der Gewinnmaximierung beziehungsweise der Personenüberwachung nicht aus dem Gleichgewicht fällt und in diesem Zusammenhang vor missbräuchlicher Datenerhebung sowie -verarbeitung schützen.

In Deutschland sind die gesetzlichen Grundlagen hierfür ab dem 25. Mai vor allem die europäische Datenschutz-Grundverordnung, das neue nationale Datenschutzgesetz (BDSG) sowie bereichsspezifische Vorschriften zum Datenschutz, wie sie etwa im Telemediengesetz, im Telekommunikationsgesetz oder in den Landespressegesetzen zu finden sind.

2. Zielsetzung, Anwendung und Geltungsbereich der DS-GVO

Ziel der DS-GVO ist es vor allem einheitliche Datenschutzstandards für den europäischen Binnenmarkt zu schaffen und einer Verkomplizierung des ohnehin komplexen Themenbereichs entgegenzuwirken.

Gemäß ihres Artikels 2, Absatz 1 regelt die DS-GVO maßgeblich „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, wobei der Begriff des personenbezogenen Datums definiert wird als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ und somit weit gefasst wird. Sodass hierunter vor allem Namen, Adressen, Telefonnummern aber auch Autokennzeichen oder IP-Adressen einer Person fallen.

Zudem gilt die DS-GVO nicht nur für datenverarbeitende Unternehmen mit Sitz in der EU, sondern stellt darauf ab, ob die verarbeiteten personenbezogenen Daten solche von sich in der EU befindlichen Personen sind (Art. 3 DS-GVO).

3. Warum eine baldige Umsetzung auch in Ihrem Unternehmen wichtig ist

Die DS-GVO bringt einen erheblichen Anpassungsbedarf der Datenschutzpraxis mit sich, von dem im Allgemeinen nicht nur große Kapitalgesellschaften, sondern auch Einzelunternehmer, Freiberufler, kleine Unternehmen und Vereine betroffen sind.

Auch werden im Rahmen des neuen BDSG die Gründe für die Benennung eines Datenschutzbeauftragten gegenüber der Regelungen der DS-GVO erweitert und detaillierte Regelungen beispielsweise zum Profiling getroffen.

Besonders im Hinblick auf mögliche kostenpflichtige Abmahnungen von Wettbewerbern oder  Verbraucherschutzvereinen sowie auf die Geldbußen, die bei Verstößen verhängt werden und in der Spitze 20 Mio. Euro beziehungsweise bis zu 4% des gesamten weltweit erzielten Jahresumsatzes betragen können, ist es wichtig, dass Sie möglichst bald handeln.

4. Was Sie nun insbesondere beachten müssen - die wichtigsten Änderungen

Die Änderungen, die sich durch das Inkrafttreten der Datenschutzgrundverordnung ergeben, betreffen insbesondere die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Verpflichtungen der Verantwortlichen.

In allen drei Bereichen wurden im Vergleich zur bisherigen Rechtslage umfangreiche Modifikationen vorgenommen, von denen nachstehend einige erläutert werden.

Angesichts des großen Umfangs der DS-GVO kann dieser Überblick jedoch keinesfalls eine  ausführliche Rechtsberatung ersetzen.

Allgemeines

Eine der wichtigsten Änderungen betrifft die Haftung bei Verstößen, die im Rahmen der DS-GVO drastisch verschärft wird.
Während die Geldbußen unter Anwendung des BDSG in der Vergangenheit nicht über 300.000 Euro hinausgingen, können nach Art. 83 DS-GVO nun Bußgelder bis zu 20 Mio. Euro beziehungsweise bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden.

Zudem hat nach Art. 82 der Verordnung jede natürliche Person, die aufgrund eines Verstoßes ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen und dessen Auftragsverarbeiter.

Weiterhin wird der Anwendungsbereich dahingehend erweitert, dass nicht mehr nur auf die Niederlassung des datenverarbeitenden Unternehmens abgestellt wird, sondern nach Art. 3 Abs. 2 DS-GVO auch Fälle erfasst werden, in denen personenbezogene Daten von betroffenen Personen verarbeitet werden, die sich in der EU befinden, soweit die Datenverarbeitung im Zusammenhang damit steht den betroffenen Personen Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten.

Unter den neuen räumlichen Anwendungsbereich fallen somit beispielsweise auch große datenverarbeitende US-amerikanische Unternehmen wie Facebook und Google.

Im Übrigen wird im Zuge der Anpassung der Begriffsdefinitionen in Art. 4 DS-GVO der Verarbeitungsbegriff umfassender gestaltet, sodass nunmehr keine Dreiteilung in Erhebung, Verarbeitung und Vermittlung erfolgt (Nr. 2); der Begriff des Auftragsverarbeiters nicht mehr auf eine Tätigkeit im Europäischen Wirtschaftsraum beschränkt (Nr. 8); die Einwilligung neu definiert (Nr.11) sowie eine Definition für die Begriffe Profiling (Nr. 4), biometrische und genetische Daten (Nr. 12 und 13) entwickelt. Letzteres dürfte vor allem für Unternehmen interessant werden, die beispielsweise mit Gesichts- und Fingerabdruckerkennung arbeiten.

Rechtsgrundlagen der Datenverarbeitung

Auch im Rahmen der DS-GVO wird die Datenverarbeitung nur zulässig sein, wenn einer der folgenden Erlaubnistatbestände nach Art. 6 DS-GVO vorliegt:

• Einwilligung des Betroffenen, wobei die Anforderungen der Art. 7 und 8 DS-GVO erfüllt sein müssen;
• Erforderlichkeit der Datenverarbeitung zu Erfüllung einer rechtlichen Verpflichtung; oder
• Erforderlichkeit der Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, soweit die schutzwürdigen Interessen des Betroffenen nicht überwiegen

Weiterhin unzulässig bleibt hingegen nach Art. 9 DS-GVO die Verarbeitung besonderer Datenkategorien. Hierzu zählen insbesondere Daten, aus denen

• die rassische und ethnische Herkunft,
• politische Meinungen, religiöse oder weltanschauliche Überzeugungen
• oder die Gewerkschaftszugehörigkeit hervorgehen.
• Genetische Daten, zu denen auch biometrische Daten wie Fingerabdrücke gehören,
• Gesundheitsdaten
• und Daten zum Sexualleben oder sexuellen Orientierung einer natürlichen Person.

Erlaubt ist die Verarbeitung dieser Daten ausnahmsweise, wenn die betroffene Person ausdrücklich eingewilligt hat, oder ein Ausnahmetatbestand einschlägig ist.

Rechte der Betroffenen

Die DS-GVO sorgt mitunter dafür, dass die Betroffenenrechte gestärkt werden.

Eine wesentliche Neuerung stellt das Recht auf Löschung beziehungsweise das „Recht auf Vergessenwerden“ dar.

Während es bisher nur langsam durch Rechtsprechung etabliert werden konnte, wird es nun in einer eigenen Vorschrift geregelt und verschafft betroffenen Personen unter den in Art. 17 DS-GVO genannten Voraussetzungen die Möglichkeit die unverzügliche Löschung ihrer Daten zu verlangen.

In Art. 16 der Verordnung wird ergänzend dazu das Recht auf Berichtigung etabliert, das Betroffene bei unrichtigen sowie unvollständigen personenbezogenen Daten geltend machen können.

Auch sehen sich Unternehmen in Art. 13 und 14 der DS-GVO mit umfangreicheren Informationspflichten konfrontiert.

Grundsätzlich müssen nun die nachstehenden Informationen mitgeteilt werden:

• Name und Kontaktdaten des Verantwortlichen, gegebenenfalls seines Vertreters sowie die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
• wenn die Verarbeitung auf Art. 6 Abs. 1 f) - also auf der Erforderlichkeit der Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten - beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln;
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• Belehrung über das Auskunftsrecht, das Recht auf Berichtigung und Löschung, das Recht auf Einschränkung der Verarbeitung, das Widerspruchsrecht gegen die Verarbeitung sowie über das Recht auf Datenübertragbarkeit;
• Belehrung über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche mögliche Folgen die Nichtbereitstellung hätte;
• Belehrung über das Bestehen einer automatisierten Entscheidungsfindung - einschließlich Profiling - und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Information der Betroffenen muss jedenfalls in transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache erfolgen.
Werden die Daten direkt beim Betroffenen erhoben hat sie zudem sofort bei Erhebung zu erfolgen; im Zuge der Erhebung bei Dritten ist sie auch später möglich.

Ebenfalls neu ist das Recht auf Datenübertragbarkeit aus Art. 20 DS-GVO. Es bezieht sich auf Daten, die Betroffene selbst zur Verfügung gestellt haben und soll ihnen vor allem den Anbieterwechsel vereinfachen.

Darüber hinaus wird auch das Widerrufsrecht in Art. 7 und Widerspruchsrecht in Art. 21 DS-GVO überarbeitet.

Die Anforderungen an den Widerruf werden für Betroffene herabgesetzt, sodass sie nunmehr jederzeit und ohne Begründung widerrufen können und der Widerruf mindestens so einfach sein muss, wie die Abgabe der Einwilligung.

Das Widerspruchsrecht der Betroffenen wird dahingehend erweitert, dass fortan im Besonderen auch gegen Datenverarbeitung zu Zwecken des Direktmarketings, einschließlich Profiling für diese Zwecke, widersprochen werden kann. Auch müssen Betroffenen nun in einer verständlichen Form und insbesondere von anderen Informationen getrennt auf ihr Widerspruchsrecht hingewiesen werden.

Eine weitere ausschlaggebende Änderung gegenüber dem bisher geltenden BDSG stellt Art. 22 DS-GVO dar, der fortan regelt, dass Betroffene nur noch das Recht haben einer automatisierten Einzelfallentscheidung (beispielsweise die automatische Ablehnung eines Online-Kreditantrags sowie andere Arten des Profiling) zu widersprechen, wohingegen solche in der Vergangenheit regelmäßig unzulässig waren. Unzulässig bleiben sie jedoch weiterhin für den Fall der Verarbeitung sensibler Daten.

Zuletzt wird auch das Kopplungsverbot in Art. 7 Abs. 4 DS-GVO verschärft. Hiernach soll im Hinblick auf die Freiwilligkeit der Einwilligung insbesondere eingehend geprüft werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Pflichten der Verantwortlichen und ihrer Auftragsverarbeiter

Auch im Bereich der Pflichten von Verantwortlichen und Auftragsverarbeitern ergeben sich im Zuge des Inkrafttretens der DS-GVO einige wesentliche Neuerungen.

So wird künftig die Pflicht zu Führung eines Verfahrensverzeichnisses durch die Pflicht zur Führung eines Verarbeitungsverzeichnisses gemäß Art. 30 DS-GVO ersetzt.

Neben der Dokumentation aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, sind nun zusätzliche Informationen wie beispielsweise Name und Kontaktdaten des Datenschutzbeauftragten, Zwecke der Verarbeitung, Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit (TOMs) gefordert.

Nach Art. 30 Abs. 5 DS-GVO können sich kleinere Unternehmen mit weniger als 250 Beschäftigten dieser Pflicht unter bestimmten Voraussetzungen entziehen.

Um Datenschutz und Datensicherheit gewährleisten zu können, müssen Verantwortliche gemäß Art. 24, 25 DS-GVO „geeignete technische und organisatorische Maßnahmen“ (TOMs) treffen. Diese müssen den Grundsätzen „data protection by design/ by default“ entsprechen und in einer Liste konkret beschrieben und dokumentiert werden.

Solche Maßnahmen sollten vor allem sein:

• Datensparsamkeit;
• Pseudonymisierung;
• Verschlüsselung;
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste;
• Sicherstellung der zeitnahen Wiederherstellung der Verfügbarkeit und des Zugangs zu den Daten nach einem physischen oder technischen Zwischenfall und
• Kontrolle des Umgangs mit den Daten durch Betroffene.

Welche Maßnahmen in Ihrem Unternehmen erforderlich sind wird vor allem anhand der Eintrittswahrscheinlichkeit und Schwere der vorab benannten Risiken ermittelt und hängt immer auch vom derzeitigen Stand der Technik ab.

Neu etabliert wird auch die Datenschutzfolgenabschätzung in Art. 35 DS-GVO.

Sie ist immer dann durchzuführen, wenn Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bergen. Das kann insbesondere der Fall sein bei Verwendung neuer Technologien oder im Übrigen aufgrund der Art, des Umfangs, der Umstände und Zwecke der Datenverarbeitung.

Die Datenschutzfolgenabschätzung muss schriftlich dokumentiert und vom Datenschutzbeauftragten begleitet werden.

Nach Art. 35 Abs. 7 DS-GVO enthält die Datenschutzfolgenabschätzung zumindest Folgendes:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Kommt die Datenschutzfolgenabschätzung zu dem Ergebnis, dass trotz der getroffenen Schutzmaßnahmen ein hohes Risiko besteht, muss nach Art. 36 DS-GVO die zuständige Aufsichtsbehörde (in Deutschland der Bundesbeauftragte für Datenschutz) konsultiert werden.

Auch die Meldepflichten bei Datenpannen werden modernisiert.

Nach Art. 33 DS-GVO müssen alle Verletzungen innerhalb von 72h nach Bekanntwerden der zuständigen Aufsichtsbehörde gemeldet werden. Hierbei sind die folgenden Informationen zu übermitteln:

• Beschreibung der Art der Verletzung unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Datensätze;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Gemäß Art. 34 der Verordnung müssen auch die Betroffenen selbst benachrichtigt werden.

Diese Benachrichtigungspflicht kann jedoch dann entfallen, wenn:

• der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
• der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht oder
• dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Gemäß Art. 37 DS-GVO müssen Unternehmen immer dann einen betrieblichen  Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit beziehungsweise die ihres Auftragsverarbeiters

• in der Durchführung von Verarbeitungs­vorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
• in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

In Deutschland werden die Gründe für die Benennung eines Datenschutzbeauftragten jedoch in

• 38 des DSAnpUG (Datenschutz-Anpassungs- und -Umsetzungs-Gesetz EU) noch erweitert.

Hiernach ist die Benennung eines Datenschutzbeauftragten auch dann erforderlich, wenn der Verantwortliche oder der Auftragsverarbeiter

• in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
• Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Des Weiteren dürfen Unternehmensgruppen nun einen gemeinsamen Datenschutzbeauftragten ernennen (Konzerndatenschutzbeauftragter), sofern dieser von jeder Niederlassung leicht erreicht werden kann.

Zudem wird es künftig nach Art. 26 DS-GVO zulässig sein, dass mehrere verantwortliche Stellen die Datenverarbeitung gemeinsam durchführen.

Voraussetzung hierfür ist es, dass die Vereinbarungen der beiden Stellen den Grundsatz der Transparenz wahren und die jeweiligen Zwecke und Verantwortlichkeiten hinreichend definiert werden.

Auch im Rahmen der Auftragsdatenverarbeitung werden neue Pflichten etabliert.

So trifft fortan  auch Auftragsverarbeiter die Pflicht ein Verarbeitungsverzeichnis zu führen. Außerdem muss auch dieser bei Datenpannen gegenüber Betroffenen haften (Art. 82 DS-GVO).

Hinsichtlich der Datenverarbeitung in Drittstaaten entfällt mit Inkrafttreten der DS-GVO die Regelung des BDSG, die auch bei angemessenem Datenschutzniveau eine Datenverarbeitung von Daten besonderer Art nicht zulässt, sodass nunmehr immer dann eine Datenverarbeitung in Drittstaaten vorgenommen werden darf, wenn dort ein angemessenes Datenschutzniveau vorliegt.

5. Checkliste für die Umsetzung - Ihre nächsten Schritte

Die rechtskonforme Umsetzung der DS-GVO im Unternehmen bedarf einer intensiven Evaluierung und eines umfangreichen Anpassungsaufwands.

Im Allgemeinen wird es sich hierbei empfehlen, zunächst den Soll-Zustand der DS-GVO-Anforderungen dem in Ihrem Unternehmen bestehenden Ist-Zustand gegenüberzustellen und die entsprechende Anpassung anhand dieser Analyse zu gestalten.

Die nachstehende Checkliste verschafft Ihnen einen Überblick darüber, welche Schritte Sie im Umsetzungsprozess durchlaufen sollten. Eine Musterlösung kann es hierfür jedoch nicht geben, da jedes Unternehmen je nach Geschäftsmodell unterschiedliche Datenverarbeitungsvorgänge innehat.

1. Bestandsaufnahme der Verarbeitungsprozesse personenbezogener Daten
2. Planung neuer Prozesse anhand einer Gegenüberstellung des Ist- und des zukünftigen Soll-Zustands
3. Erstellen eines Verarbeitungsverzeichnisses
4. Vornehmen von Datenschutzfolgenabschätzungen für risikoreiche Datenverarbeitungen
5. Gestaltung eines Datensicherheitsmanagements mit technischen und organisatorischen Maßnahmen (TOMs) nach den „privacy-by-design“/„privacy-by-default“-Grundsätzen der DS-GVO
6. Einführen eines DS-GVO-konformen Vertragsmanagements
   • Kontrolle bestehender Einwilligungen und Aktualisierung der Einwilligungserklärungen
   • Überprüfung bestehender Auftragsdatenverarbeitungsvereinbarungen und sonstiger Verträge, die in diesem Zusammenhang in den Anwendungsbereich der DS-GVO fallen
   • Anpassung von Datenschutzerklärungen auf Websites und in -shops
   • Eventuell Einführung geeigneter Maßnahmen zur Altersverifizierung von Nutzern
7. Gegebenenfalls Benennung eines Datenschutzbeauftragten und Einbindung dessen in den Umsetzungsprozess
8. Beteiligung des Betriebsrates zur Korrektur von Betriebsvereinbarungen
9. Verständigung bzw. Schulung von Geschäftspartnern, Lieferanten, Kunden und Mitarbeitern
10. Realisieren eines Beschwerdemanagements zur Wahrnehmung der Betroffenenrechte sowie Einführen von Prozessen zur Meldung von Datenschutzverstößen.

Letztendlich ist selbstverständlich auch eine kontinuierliche Überprüfung und regelmäßige Optimierung der neu eingerichteten Prozesse unerlässlich.

6. Wie wir Sie dabei unterstützen können

Insbesondere hinsichtlich des zeitnahen Inkrafttretens der DS-GVO raten wir Ihnen dringend dazu, sich umfassend zu informieren, die Datenschutzprozesse Ihres Unternehmens entsprechend anzupassen und sich rechtlich abzusichern.

Obladen Gässler Rechtsanwälte aus Köln beraten Ihr Unternehmen bundesweit und unterstützen Sie bei der Etablierung einer Datenschutzorganisation, die die Anforderungen der DS-GVO erfüllt und Ihnen somit Rechtssicherheit in datenschutzrechtlichen Angelegenheiten bietet.

Auch begleiten wir Sie gerne bei der fortlaufenden Kontrolle und Optimierung Ihrer Prozesse.

Unsere Leistungen im Überblick:

• Analyse und Erstellung Ihres Datenschutzkonzepts
• Erstellung von Datenschutzerklärungen sowie Einwilligungserklärungen und Verträgen zur Auftragsdatenverarbeitung nach DS-GVO-Vorgaben
• Vermittlung bzw. Bereitstellung von Datenschutzbeauftragten
• Überprüfung Ihres Internetauftritts (Website, Webshop)
• Aufstellung von Verarbeitungsverzeichnissen
• Datenschutz-Folgenabschätzungen risikoreicher Datenverarbeitungen
• Beschreibung technischer und organisatorischer Maßnahmen zur Datensicherheit (TOMs) nach den „privacy-by-design“/„privacy-by-default“-Grundsätzen der DS-GVO

Gemeinsam mit Ihnen bringen wir die Datenschutzpraxis Ihres Unternehmens auf den aktuellen Stand und helfen Ihnen die neuen datenschutzrechtlichen Herausforderungen zu bewältigen.

Quellen:

• https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf
• NVwZ 2017, 737
• Paal/Pauly, DS-GVO BDSG 2. 2018
• https://de.wikipedia.org/wiki/Datenschutz
• http://www.rechtsanwalt.de/eu-dsgvo-fragen-und-anworten-faq/
• http://www.ksh-recht.de/news/eu-datenschutzverordnung-dsgvo/
• https://www.wbs-law.de/it-recht/datenschutzrecht/die-eu-datenschutzgrundverordnung/#1
• https://www.rechtsanwalt-r.de/EU-Datenschutz-Grundverordnung
• http://www.datenschutzkanzlei.de/wp-content/uploads/2017/11/Das-neue-Datenschutzrecht-55-Antworten-zur-DSGVO-1.4.pdf
• http://www.lutop.de
• http://www.gvw.com/aktuelles/newsletter/gvw-newsletter/februar-2017/eu-datenschutzgrundverordnung-unternehmen-muessen-jetzt-handeln.html

Bildquellennachweise:

Urheber: gmast3r / 123RF Standard-Bild
Urheber: bluebay / 123RF Standard-Bild
Urheber: aleutie / 123RF Standard-Bild