KSB-Team im Gespräch

Datenschutz-Compliance – Mit uns fit ins Jahr 2023!

19. Januar 2023   |   IT- und Datenschutzrecht

Im Rahmen unserer Beraterpraxis fällt uns immer wieder auf, dass einige Unternehmen vor der Herausforderung stehen, den teils „dichten Urwald“ des Datenschutzrechts zu durchdringen. Das liegt sicherlich auch daran, dass (gutgemeinte) Erklärungsversuche entweder zu abstrakt oder zu kleinteilig sind. Es fehlt schlichtweg der Blick fürs „Wesentliche“. Nur nachvollziehbar, dass dies oftmals einem aufkommenden Tatendrang schadet – obwohl Nachlässigkeiten in diesem Bereich nicht selten sensibel abgestraft werden. Ein „vor sich herschieben“ sollte also vermieden werden.

Wir möchten Sie und Ihr Unternehmen gerne bei anstehenden datenschutzrechtlichen Projekten unterstützen und Ihnen bei der Implementierung eines Datenschutzmanagementsystems (DSMS) zur Seite zu stehen.

Insoweit möchten wir zunächst damit beginnen, Ihnen die grundlegenden Basics des Datenschutzes vorzustellen, welche für die Datenschutz-Compliance in Ihrem Unternehmen von herausragender Bedeutung sind. Ohne dieses Grundverständnis ist es praktisch nicht möglich, eine datenschutzrechtlich sichere Dokumentation zu schaffen und diese aufrechtzuerhalten.

Informations- und Löschpflichten / Betroffenenrechte

Datenschutzrechtlich Verantwortliche haben die Informationspflichten aus Art. 13, 14 DSGVO zu beachten. Typischerweise erfüllt der Verantwortliche diese Informationspflichten in den Datenschutzhinweisen auf der Unternehmenswebsite sowie mit Mitarbeiter- und Kundeninformationsblättern.

Betroffene Personen sind in der Regel bereits bei Erhebung von personenbezogenen Daten über die Umstände der Datenverarbeitung zu informieren. Die Informationspflichten bilden außerdem die Basis für die Ausübung der Betroffenenrechte aus Art. 15 ff. DSGVO (beispielsweise das Auskunftsrecht). Damit geht die wesentliche Pflicht einher, personenbezogene Daten zu löschen, wenn sie für den Zweck der Verarbeitung nicht mehr benötigt werden. Um die fristgerechte Löschung und zugleich eine datenschutzkonforme Sicherung der Daten zu gewährleisten, ist die Implementierung eines Löschkonzepts für Unternehmen unverzichtbar.

Diese vorgenannten Pflichten stellen häufig eine Art „Aushängeschild“ für die Aufsichtsbehörden dar. Insoweit sollten hier keine Fehler passieren.

Verzeichnis von Verarbeitungstätigkeiten (kurz: VVT)

Grundsätzlich ist jedes Unternehmen nach Art. 30 DSGVO dazu verpflichtet, ein VVT zu führen. Ein VVT ist ein wesentlicher und zwingender Bestandteil eines Datenschutzmanagementsystems. Ein VVT dokumentiert die Verarbeitungsvorgänge, eingesetzte Softwaretools und Datenflüsse in einem Unternehmen und ermöglicht diese zu kontrollieren und zu analysieren. Dies ist u.a. erforderlich, um die Zulässigkeit einer Datenverarbeitung zu überprüfen und Risiken zu erkennen. Üblicherweise ist die Kontrolle des Verzeichnisses bei einer datenschutzbehördlichen Prüfung der erste Anknüpfungspunkt. Ein Fehlen wird entsprechend penibel sanktioniert, etwa durch ein Bußgeld.

Vertrag zur Auftragsverarbeitung (kurz: AVV)

Bei einer Auftragsverarbeitung beauftragt ein Unternehmen einen externen Dienstleister, weisungsgebunden personenbezogene Daten zu verarbeiten (Art. 28 DSGVO). Der Abschluss eines AVV ist insbesondere für Cloud-, Wartungs- und sonstige IT-Dienstleistungen von Bedeutung, in denen im Kern personenbezogene Daten verarbeitet, gespeichert oder anderweitig genutzt werden.

Risikoanalyse

Bei einer datenschutzrechtlichen Risikoanalyse geht es darum, falsche oder fehlerhafte Verarbeitungen personenbezogener Daten zu erkennen und zu beurteilen, ob sich hierdurch ein Risiko für die Rechten und Freiheiten betroffener Personen entwickeln kann. Ausgangsprunkt bilden hier die dokumentierten VVT. Ergibt die Analyse, dass ein solches Risiko besteht, muss der Verantwortliche angemessene Schutzmaßnahmen ergreifen. Insbesondere muss ein dem Risiko angemessenes Schutzniveau durch die wirksame Umsetzung technischer und organisatorischer Maßnahmen (sog. „TOMs“) gewährleistet und nachgewiesen werden.

Datenschutzfolgeabschätzung (kurz: DSFA)

Bei der Risikoanalyse ist daher auch die Datenschutzfolgeabschätzung (Art. 35 DSGVO) von besonderer Bedeutung. Ziel ist es, auf der Grundlage einer Risikoanalyse – wie der Name schon sagt – die Folgen und Risiken einer Verarbeitung abzuschätzen, um frühzeitig Schutzmaßnahmen ergreifen zu können. Eine DSFA ist zwingend durchzuführen, wenn eine Verarbeitung erkennbar voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat. Ein hohes Risiko kann etwa bei der Verwendung neuer Technologien (z.B. GPS-Tools oder Videoüberwachung) oder aufgrund der Art, des Umfangs, der Umstände oder des Zwecks der Verarbeitung (z.B. bei der Verarbeitung von Gesundheitsdaten) anzunehmen sein.

Drohen Konsequenzen bei Nichteinhaltung?

Die Beachtung und rechtssichere Durchführung der Vorgaben aus der DSGVO ist für Unternehmen von besonderer Bedeutung. Bei einem Verstoß gegen die vorgenannten Pflichten drohen u.a. Geldbußen. Über Sanktionen entscheiden die Aufsichtsbehörden, welche in der Vergangenheit immer häufiger von ihren Befugnissen Gebrauch machten und immer höhere Strafen für vermeintlich geringfügige Verstöße festsetzten. Viele Aufsichtsbehörden gehen nämlich mittlerweile davon aus, dass die verantwortlichen Unternehmen die wesentlichen „Grundsätze“ verstanden haben und sich entsprechend DSGVO-konform verhalten.

Wir sind für Sie da!

Nach unserer Erfahrung ist daher selten der fehlende Wille für die (teils) unzureichende Umsetzung der datenschutzrechtlichen Pflichten verantwortlich, sondern vielmehr die Sorge davor, bestehende Arbeitsabläufe und Organisationen völlig neu aufbauen zu müssen. In der Praxis zeigt sich aber oft, dass solche einschneidenden Änderungen aber gar nicht nötig sind. Vielmehr helfen wir dabei bestehende Möglichkeiten und Gestaltungsspielräume rechtssicher zu nutzen.

Wir stehen Ihnen gerne mit unserer langjährigen Erfahrung im Bereich des Datenschutzes zur Seite.

Sprechen Sie uns gerne an!


Ansprechpartner

Thomas Altendorfer

Diplom-Volkswirt

Rechtsanwalt

Steuerberater

Partner

Til Ammermann

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Partner

Thomas Baransky

Diplom-Betriebswirt (FH)

Steuerberater

Sozius

Lars Bellmer

Steuerberater

Dr. Christian Bereska

Rechtsanwalt

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Bau- und Architektenrecht

Zertifizierter Testamentsvollstrecker (AGT)

Philipp M. v. Bismarck

Rechtsanwalt, Notar a.D.

Dr. Björn Bogner, LL.M.

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für gewerblichen Rechtsschutz

Zertifizierter Compliance Officer (School GRC)

Frederik Brandes

Master of Science (M.Sc.)

Steuerberater

Fachberater für Restrukturierung und Unternehmensplanung (DStV e.V.)

Isabelle Bulenda, LL.M.

Rechtsanwältin

Assoziierte Partnerin

Fachanwältin für Informationstechnologierecht

Josie Charwat

Rechtsanwältin

Sozia

Frank Deppenkemper

Diplom-Kaufmann

Wirtschaftsprüfer

Steuerberater

Sozius

Anna Dietrich

Rechtsanwältin

Mathias Dietrich

Diplom-Finanzwirt (FH)

Rechtsanwalt

Steuerberater

Partner

Rolf Dittmar

Diplom-Ingenieur

Wirtschaftsprüfer

Steuerberater

Johannes Dörrie

Rechtsanwalt

Fachanwalt für Arbeitsrecht

Jan Ellwanger

Diplom Ökonom

Steuerberater

Eva Feldhaus, LL.M.

Rechtsanwältin

Sozia

Fachanwältin für Arbeitsrecht

Compliance Officer (TÜV)

Dr. Lea Frey

Rechtsanwältin

Sozia

Hans G. Fritsche

Rechtsanwalt

Sozius

Fachanwalt für Insolvenzrecht und Sanierungsrecht

Dr. Martin Gerigk

Rechtsanwalt

Sozius

Fachanwalt für Versicherungsrecht

Christopher Gerling, LL.M.

Rechtsanwalt

Zertifizierter Datenschutzbeauftragter (TÜV)

Sascha Halbe, LL.M.

Diplom-Kaufmann

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Bianca Hein, LL.M

Wirtschaftsjuristin/Paralegal

Julia Elisabeth Heine

Rechtsanwältin

Fachanwältin für gewerblichen Rechtsschutz

Maren Helm

Steuerberaterin

Stiftungsberaterin (DSA)

Miriam Henschel

Diplom-Finanzwirtin (FH)

Rechtsanwältin

Steuerberaterin

Partnerin

Fachanwältin für Steuerrecht

Danine Dania Hische

Rechtsanwältin

Salvatore Iannotta

Rechtsanwalt

Zertifizierter Datenschutzbeauftragter (TÜV)

Dr. Sabine Jehner, LL.M.

Rechtsanwältin, Attorney at Law (New York)

Sozia

Christian Knoke

Rechtsanwalt

Wirtschaftsprüfer

Steuerberater

Björn Knuth, LL.M.

Rechtsanwalt

Sozius

Fachanwalt für Arbeitsrecht

Kirstin Krüger

Rechtsanwältin

Sozia

Fachanwältin für Bau- und Architektenrecht

Dr. Michael Kunst

Diplom-Volkswirt

Rechtsanwalt, Notar m.d. Amtssitz in Hannover

Wirtschaftsprüfer

Partner

Fachanwalt für Steuerrecht

Norman Kühn, LL.M.

Rechtsanwalt

Tobias Lerch

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Monika Martyniak

Diplom-Ökonomin

Wirtschaftsprüferin

Steuerberaterin

Sozia

Stefanie Meinen

B.Sc. Wirtschaftswissenschaft

Charlotte Merkel

Dipl.-Finanzwirtin (Steuerakademie)

Rechtsanwältin

Dr. Kristin Mütze

Rechtsanwältin

Friedrich Graf zu Ortenburg, LL.M.

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Dr. Nicolas Penner

Diplom-Finanzwirt (FH)

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Steuerberater

Partner

Fachanwalt für Steuerrecht

Antje Pietrek

Rechtsanwältin

Fachanwältin für Arbeitsrecht

Fachanwältin für Familienrecht

Mediatorin

Sascha Priebe, MLE

Rechtsanwältin

Cordula Rausch

Diplom-Kauffrau

Steuerberaterin

Natalie Remel

Rechtsanwältin

Sozia

Fachanwältin für Vergaberecht

Dr. Stefan Rieger

Rechtsanwalt

Assoziierter Partner

Dr. Stephan Rose

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Fachanwalt für Arbeitsrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Fachanwalt für Erbrecht

Zertifizierter Testamentsvollstrecker (AGT)

Michael Rudolph

Diplom-Ökonom

Steuerberater

Sozius

Maximilian Sauer

Rechtsanwalt

Marc Scheele

Rechtsanwalt

Zertifizierter Restrukturierungs- und Insolvenzberater (Hagen Law School – HLS)

Dr. Ralf Schlottau

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Partner

Fachanwalt für Agrarrecht

Fachanwalt für Handels- und Gesellschaftsrecht

Zertifizierter Stiftungsmanager (DSA)

Dr. Stephan Schmack

Rechtsanwalt

Sozius

Dr. Philipp Schulz

Rechtsanwalt

Partner

Fachanwalt für Versicherungsrecht

Jan Schätzel

Rechtsanwalt

Sozius

Dr. Hermann Schünemann

Rechtsanwalt, Notar m. d. Amtssitz in Celle

Fachanwalt für Versicherungsrecht

Fachanwalt für Medizinrecht

Valentin R. Seidenfus

Rechtsanwalt

Steuerberater

Partner

Fachanwalt für Steuerrecht

Zertifizierter Testamentsvollstrecker (AGT)

Dr. Caroline Charlotte Sohns

Rechtsanwältin

Sozia

Fachanwältin für Arbeitsrecht

Zertifizierte Datenschutzbeauftragte (TÜV)

Konrad Solf

Rechtsanwalt

Thomas Stillahn

Rechtsanwalt

Partner

Fachanwalt für Arbeitsrecht

Mediator

Coach der Wirtschaft (IHK)

Benjamin Tapkenhinrichs

Bachelor of Arts (B. A.)

Rechtsanwalt

Rudolf Tschense

Rechtsanwalt

Dr. Karl-Heinz Vehling

Executive MBA HSG

Rechtsanwalt

Partner

Zertifizierter Compliance Officer

Zertifizierter Compliance Auditor

Dr. Jan-W. Vesting

Rechtsanwalt

Partner

Georg Wagner

Diplom Kaufmann

Steuerberater

Katharina Wegmann

Steuerberaterin

Christiane Wehe

Diplom-Kauffrau (FH)

Steuerberaterin

Albrecht Wendenburg

Rechtsanwalt, Notar a.D.

Dr. Marc Wendt

Rechtsanwalt, Notar m. d. Amtssitz in Hannover

Partner

Fachanwalt für Handels- und Gesellschaftsrecht

Dr. Tim Wittwer, LL.M.

Rechtsanwalt

Assoziierter Partner

Fachanwalt für gewerblichen Rechtsschutz