Datenschutzrecht - Katharina von Leitner-Scharfenberg

Unterstützung beim Datenschutz

Ihre Anwältin für Datenschutz und zertifizierte Datenschutzbeauftragte

Ich bin zertifizierte Datenschutzbeauftragte (TÜV) und weiß, was DSGVO-konform bedeutet. Und warum in fast jeder Firma Handlungsbedarf besteht. Denn Online-Datenschutz-Generatoren oder Web-Designer übernehmen keine Haftung – der Unternehmer schon.

Sie benötigen einen Rechtsanwalt für Datenschutzrecht? Dann sind Sie bei mir genau richtig.

Meine Kompetenzen im Datenschutzrecht

Weitreichende Kenntnisse und praktische Erfahrungen als TÜV-zertifizierte Datenschutzbeauftragte sowie bei
Erstellung von Verarbeitungsverzeichnissen
Erstellung und Prüfung von Auftragsdatenverarbeitungsverträgen
Erstellung von Datenschutzerklärungen für Online-Auftritte und Offline-Vorgänge
Bearbeitung von Auskunfts- und Löschanfragen
Lösch- und Sperrkonzepte
Mitarbeiterschulungen zum Datenschutz

Data Protect

Unterstützung beim Datenschutz Ihres Unternehmens

Gerade in Unternehmen gewinnt das Datenschutzrecht in unserer heutigen Informationsgesellschaft und mit der neuen Ausgestaltung DSGVO zunehmend an Bedeutung. Die Prüfung durch Datenschutzbehörden sollte nicht in den Hintergrund rücken, denn verhängten Bußgelder können dabei auch im siebenstelligen Bereich liegen.

Mein Ziel ist es, mit Ihnen gemeinsam ein dauerhaft rechtssicheres Datenschutzniveau in Ihrem Unternehmen zu entwickeln.

Verarbeitungsverzeichnis, Datenschutzerklärungen, TOM

Datenschutzerklärung, Verarbeitungsverzeichnis, Auftragsdatenverarbeitungsvertrag, TOMs sind für mich täglicher Beratungsalltag. Ich berate Unternehmen in allen Bereichen der Datensicherheit und im Umgang mit personenbezogenen Daten.

Die relevanten Datenverarbeitungsprozesse werden mit Ihnen zusammen erfasst und anhand von Datenblättern DSGVO-konform in einem Verzeichnis zusammengeführt. Dieses Verarbeitungsverzeichnis ist dabei das Konzept, dass Ihre unternehmensspezifischen Prozesse erfasst. Alle unternehmensbezogenen Informationen zum Datenschutz sind in dem Verarbeitungsverzeichnis zentral zusammengeführt. Im Falle einer Datenschutzanfrage einer Behörde haben Sie Überblick über alle relevanten Prozesse können Fragen durch ein professionell erstelltes Verarbeitungsverzeichnis kompetent und zielsicher beantworten.

Mitarbeiterschulungen

Als Verantwortlicher i.S.d. der DSGVO sind Sie verpflichtet, Ihre Mitarbeiter hinsichtlich der Anforderungen der DSGVO zu schulen und aufzuklären. Ich helfe Ihnen gerne dabei und schule Ihre Mitarbeiter im Umgang mit personenbezogenen Daten.

Verarbeitungs-verzeichnis

FAQ

Was sind personenbezogene Daten?

Die Definition des Begriffs der „personenbezogenen Daten“ findet sich in Art. 4 DSGVO: „personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind […]“ Damit ist entscheidend, ob die Daten einer natürlichen Person zugeordnet werden können und sich auf die Person beziehen. Der GPS-Datensatz eines Navigationssystems stellt für sich genommen keine personenbezogenen Daten dar. Er beschreibt lediglich einen Punkt auf der Erdoberfläche. Erst der Bezug zum Besitzer oder Fahrer des Fahrzeugs macht daraus schützenswerte personenbezogene Daten. Dann wird erkennbar, dass sich der Fahrer mit dem Fahrzeug an diesem Punkt aufgehalten hat. Daher ist es sinnvoll, Ihre Betriebsdaten individuell auf diese Zuordnung zu prüfen. Wir prüfen Ihre Daten im Rahmen eines Datenschutzaudits und erkennen so die relevanten Verbindungen.

Was ist ein Verarbeitungsverzeichnis?

Jeder Verantwortliche, der personenbezogene Daten verarbeitet, unterliegt grundsätzlich einer Dokumentationspflicht seiner Verarbeitungsvorgänge. Problematisch ist hierbei, dass die DSGVO keine konkreten Umsetzungsanweisungen für Unternehmen vorsieht. Aus unserer jahrelangen Projekterfahrung wissen wir sehr exakt, welcher Inhalt für das Verarbeitungsverzeichnis gefordert wird und wie dies praktisch umzusetzen ist. Daraus erarbeiten wir mit Ihnen zusammen die erforderlichen technischen und organisatorischen Maßnahmen („TOMs“).

Wie erstelle und pflege ich ein Verarbeitungsverzeichnis?

Die DSGVO hat hinsichtlich der Dokumentationspflichten des Datenschutzes für betroffene Unternehmen weitgehende Anforderungen festgelegt. Wir erstellen und prüfen für Ihr Unternehmen das in Art. 30 DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten. Dabei ist es nicht mit der einmaligen Erstellung von Leitdokumenten getan. Die Sorgfaltspflicht gebietet, sich regelmäßig mit den hauseigenen Prozessen auseinanderzusetzen, die Mitarbeiter regelmäßig zu schulen und für eine aktuelle Dokumentation der jeweiligen Prozesse Sorge zu tragen. Das setzt ein hohes Maß an Akzeptanz im Management voraus. Datenschutz ist aufwendig und bei Zeiten kleinteilig. Die Awareness der eigenen Mitarbeiter ist dabei der Schlüssel zum dauerhaften Erfolg eines Datenschutzkonzeptes. Die Mitarbeiter selbst kennen die Prozesse und mögliche Schwachstellen im täglichen Umgang mit personenbezogenen Daten. Unter fachkundiger Anleitung kann dadurch eine tragfähige Analyse der internen Prozesse erstellt werden. Diese Analyse erstellen wir für Sie oder wir unterstützen Ihre Mitarbeiterinnen und Mitarbeiter in der täglichen Routine mit den Anforderungen an ein DSGVO-konformes Verarbeitungsverzeichnis.

Was sind TOMs?

Gemäß § 9 BDSG sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOMs) zu treffen. Ziel ist die Umsetzung der Sicherheitsanforderungen des Bundesdatenschutzgesetzes. Dabei wird zwischen technischen und organisatorischen Maßnahmen unterschieden. Technische Maßnahmen sind eher tatsächlicher Natur, wie beispielsweise die bauliche Anlagensicherung durch Zäune oder Alarmanlagen. Organisatorische Maßnahmen werden weitestgehend durch Arbeitsanweisungen und Verfahrensregeln abgedeckt. Eine Bearbeitung im 4-Augen-Prinzip stellt eine organisatorische Maßnahme dar.

Was ist ein Auftragsdatenverarbeitungsvertrag? (Art. 28 DSGVO)

Wenn Sie Daten von einem Dritten verarbeiten lassen (z.B. externer IT-Dienstleister, (reine) Lohnbuchhaltung), ist der Dritte für Sie im Rahmen einer Auftragsdatenverarbeitung (ADV) tätig. Dieses Vertragsverhältnis beinhaltet eine spezielle Struktur von Rechten und Pflichten der Vertragsparteien. Gemäß Art. 28 Abs. 3 Satz 1 der DSGVO müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Es ist in den meisten Fällen jedoch geboten, diese Mindestfestlegungen durch weitere Vertragsbestandteile zu ergänzen.

Was ist gemeinsame Verarbeitung? (Art. 26 DSGVO)

Gemäß Art. 26 Abs. 1 S. 1 DSGVO handelt es sich um eine gemeinsame Verarbeitung von Daten, wenn zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung in einem gemeinsamen Entscheidungsprozess festlegen. Die Verantwortlichen müssen zur Entscheidung oder Festlegung der Zwecke und Mittel der Verarbeitung bestimmte Voraussetzungen erfüllen. Hierzu müssen sie einen tatsächlichen Einfluss auf die Datenverarbeitung nehmen können. Joint Controller liegen also vor, wenn mindestens zwei Personen eine Entscheidung über das „erwartete Ergebnis” treffen und wenn sie außerdem festlegen, mit welcher Art und Weise der Zweck erreicht werden soll. Eine weitere Voraussetzung für die gemeinsame Verantwortlichkeit ist die bewusste Beteiligung mehrerer Verantwortlicher. Die Verantwortlichen müssen sich insbesondere darüber bewusst sein, wie und warum die Daten verarbeitet werden und sich aktiv zusammen beteiligen wollen. Eine unbeabsichtigte Zusammenarbeit reicht dementsprechend nicht für eine gemeinsame Verantwortlichkeit aus. Allerdings müssen nicht alle Beteiligten der betroffenen Person gegenübertreten oder eine gleichwertige Verantwortung tragen. Die Handlungsspielräume können und dürfen bei den Verantwortlichen also variieren. Sollte bereits eine der genannten Voraussetzungen nicht einschlägig sein, könnte es sich um eine Auftragsverarbeitung handeln. Wenn Sie unsicher bei der Einordung Ihrer Prozesse sind, wenden Sie sich an unsere Kanzlei. Wir erarbeiten die richtige Lösung zusammen mit Ihnen.

Datenschutz im Homeoffice?

Aufgrund der aktuellen Entwicklung der Corona-Pandemie rückt das Arbeiten im Home-Office immer mehr in den Fokus von Arbeitgebern, Arbeitnehmern und Aufsichtsbehörden. Zu Beginn der Pandemie im März 2020 war die überwiegende Zahl vor allem individueller Home-Office Konzepte noch spontan und es ging zunächst um das Aufrechterhalten des Betriebes. Die datenschutzrechtlichen Risiken traten dahinter zurück. Mit zunehmender Dauer und vor allem der Menge an Nutzern im Home-Office ist es sinnvoll, die datenschutzrechtliche Seite für Arbeitgeber und Arbeitnehmer gemeinsam und sicher zu klären.

Wer ist verantwortlich für den Datenschutz im Home-Office?

Auch wenn der Arbeitnehmer oder die Arbeitnehmerin zu Hause arbeitet, bleibt der Arbeitgeber verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO. Der Arbeitgeber hat also nach Art. 25 Abs. 2 DSGVO für die geeigneten Maßnahmen des Datenschutzes Sorge zu tragen. Das umfasst sowohl die technischen als auch die organisatorischen Maßnahmen

Bundesweite Vertretung

Rechtsanwältin von Leitner-Scharfenberg vertritt Ihre Rechte bundesweit im Urheberrecht, Medienrecht und Gewerblichen Rechtsschutz.

Kontaktieren Sie uns

T: +49(0)30 206 494 05
F: +49(0)30 206 494 06
info@vonleitnerscharfenberg.de