Rechtsanwalt für Datenschutz, bundesweite Beratung und Vertretung
zertifizierte Datenschutzbeauftragte (TÜV Nord) für bundesweite Aufträge

Sie suchen einen Rechtsanwalt für Datenschutzrecht? Dann sind Sie bei uns richtig. Wir bearbeiten Aufträge im gesamten Bundesgebiet. Frau Rechtsanwältin Katharina von Leitner-Scharfenberg ist Fachanwältin und zertifizierte Datenschutzbeauftragte.

Unsere Kompetenzen im Datenschutzrecht

  • TÜV zertifizierte Datenschutzkenntnisse
  • Erstellung von Verarbeitungsverzeichnissen
  • Erstellung und Prüfung von Auftragsdatenverarbeitungsverträgen
  • Erstellung von Datenschutzerklärungen für online-Auftritte und offline-Vorgänge
  • Bearbeitung von Auskunfts- und Löschanfragen
  • Lösch- und Sperrkonzept
  • Mitarbeiterschulungen zum Datenschutz

Sie benötigen Unterstützung beim Datenschutz Ihres Unternehmens ?

Wir unterstützen Ihr Unternehmen in dem gesamten Bereich des Datenschutzes.

Gerade in Unternehmen gewinnt das Datenschutzrecht in unserer heutigen Informationsgesellschaft und mit der neuen Ausgestaltung DSGVO zunehmend an Bedeutung. Die Prüfung durch Datenschutzbehörden sollte nicht in den Hintergrund rücken, denn verhängten Bußgelder können dabei auch im siebenstelligen Bereich liegen.

Unser Ziel ist es, für Sie ein dauerhaft rechtssicheres Datenschutzniveau zu entwickeln.

Verarbeitungsverzeichnis

Die relevanten Prozesse werden mit Ihnen zusammen erfasst und anhand von Datenblättern DSGVO-konform in einem Verzeichnis zusammengeführt. Dieses Verarbeitungsverzeichnis ist dabei das Konzept, dass Ihre unternehmensspezifischen Prozesse Ihres Unternehmens erfasst. Alle unternehmensbezogenen Informationen zum Datenschutz sind in dem Verarbeitungsverzeichnis zentral zusammengeführt. Im Falle einer Datenschutzanfrage einer Behörde haben Sie Überblick über alle relevanten Prozesse können Fragen durch ein professionell erstelltes Verarbeitungsverzeichnis kompetent und zielsicher beantworten.

Wir erstellen für Sie und mit Ihnen Ihr Verarbeitungsverzeichnis DSGVO-konform.

Sie arbeiten mit Dritten zusammen und benötigen eine Auftragsdatenverarbeitungsvereinbarung ?

Bei der Zusammenarbeit mit Dritten werden häufig auch Daten von Dritten verarbeitet (z.B. externer IT-Dienstleister, (reine) Lohnbuchhaltung). Bei dieser Verarbeitung von Daten durch Dritte ist der Dritte für Sie im Rahmen einer Auftragsdatenverarbeitung (ADV) tätig. Dieses Vertragsverhältnis beinhaltet eine spezielle Struktur von Rechten und Pflichten der Vertragsparteien.

Wir unterstützen Sie bei der Erstellung der erforderlichen technischen und organisatorischen Maßnahmen (TOMs). Damit können Sie Ihre Unternehmensprozesse transparent auch im Rahmen der ADV einfügen.

Sofern das Verarbeiten von Daten Dritter Ihre Unternehmenszweck ist, ist eine vertraglich abgesicherte ADV ein wichtiger Bestandteil Ihrer Unternehmensverträge.

Wir unterstützen Sie bei der Erstellung aller notwendigen Vereinbarungen.

Sie benötigen eine Datenschutzerklärungen für Ihren Online-Auftritt ?

Wir erstellen für Unternehmen Datenschutzerklärungen für Webseiten sowie für alle weiteren Unternehmensvorgänge. Wir prüfen die Webseite auf ihre Konformität mit der DSGVO und erstellen hierzu das notwendige Datenschutzkonzept.

Was tun bei Auskunfts- und Löschanfragen?

Nach DSGVO hat jeder Kunden und Lieferanten über den Sie persönliche Daten erheben, speichern und verarbeiten als betroffene Person nach Art. 17 DSGVO einen Anspruch auf Löschung der personenbezogenen Daten. Daneben haben nach Art. 15 DSGVO betroffene Personen das Recht auf Auskunft über personenbezogene Daten.

Wir unterstützen und helfen Ihnen bei Auskunftsanfragen, damit diese in der richtigen Form erfolgen .

Wenn die Löschung von Daten nach der DSGVO erforderlich ist, unterstützen wir Sie auch bei der gesetzeskonformen Durchführung der Löschung personenbezogener Daten.

Erstellen eines Lösch- und Sperrkonzeptes

Aufgrund des Anspruchs der betroffenen Personen auf Löschung der Daten und dem Prinzip der Datenminimierung ist es erforderlich, ein sogenanntes Lösch- und Sperrkonzept zu entwickeln.

Vor der endgültigen Löschung kommt es zur Sperrung von Daten. Wichtige Unternehmensdaten unterliegen der Aufbewahrungsfrist von 10 Jahren. Die DSGVO sieht vor, Datenzugriffe nur auf ein Minimum zu reduzieren. Das führt dazu, dass sehr genau zu prüfen ist, wer zu welchem Zeitpunkt noch einen Zugriff auf den jeweiligen Datensatz benötigt. Ist der Zugriff auf die Daten nicht mehr erforderlich, sind die Daten vor dem Zugriff Unberechtigter zu sperren. Dabei fängt der Schutz der Daten vor dem Zugriff Unberechtigter schon bei physischen Schranken an und hört bei IT-Sicherheitskonzepten auf.

Wir helfen Ihnen, Ihr optimales Lösch- und Sperrkonzept individuell zu erstellen. Mit einem Solchen Konzept haben Sie sicheren Zugriff auf Ihre sensiblen Daten und weisen nach, dass Sie dem Grundsatz der Datenminimierung sicher folgen.

Mitarbeiterschulungen

Ein gut ausgestaltetes Datenschutzkonzept für Ihre Mitarbeiter und Mitarbeiterinnen ist mittlerweile unerlässlich. Dies fängt schon bei einer Schulung der Mitarbeiter und Mitarbeiterinnen an und hört bei der Etablierung ordnungsgemäßer Sicherheitsrichtlinien auf.

Wir schulen Ihre Mitarbeiter im Umgang mit personenbezogenen Daten und schaffen so die Awareness für die erforderliche Sorgfalt im Umgang mit Datenschutzthemen.

FAQ zum Datenschutzrecht

Was sind personenbezogene Daten?

Die Definition des Begriffs der „personenbezogenen Daten“ findet sich in Art. 4 DSGVO:

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind […]“

Damit ist entscheidend, ob die Daten einer natürlichen Person zugeordnet werden können und sich auf die Person beziehen. Der GPS-Datensatz eines Navigationssystems stellt für sich genommen keine personenbezogenen Daten dar. Er beschreibt lediglich einen Punkt auf der Erdoberfläche.

Erst der Bezug zum Besitzer oder Fahrer des Fahrzeugs macht daraus schützenswerte personenbezogene Daten. Dann wird erkennbar, dass sich der Fahrer mit dem Fahrzeug an diesem Punkt aufgehalten hat.

Daher ist es sinnvoll, Ihre Betriebsdaten individuell auf diese Zuordnung zu prüfen. Wir prüfen Ihre Daten im Rahmen eines Datenschutzaudits und erkennen so die relevanten Verbindungen.

Was ist ein Verarbeitungsverzeichnis?

Jeder Verantwortliche, der personenbezogene Daten verarbeitet, unterliegt grundsätzlich einer Dokumentationspflicht seiner Verarbeitungsvorgänge. Problematisch ist hierbei, dass die DSGVO keine konkreten Umsetzungsanweisungen für Unternehmen vorsieht. Aus unserer jahrelangen Projekterfahrung wissen wir sehr exakt, welcher Inhalt für das Verarbeitungsverzeichnis gefordert wird und wie dies praktisch umzusetzen ist. Daraus erarbeiten wir mit Ihnen zusammen die erforderlichen technischen und organisatorischen Maßnahmen („TOMs“).

Wie erstelle und pflege ich ein Verarbeitungsverzeichnis?

Die DSGVO hat hinsichtlich der Dokumentationspflichten des Datenschutzes für betroffene Unternehmen weitgehende Anforderungen festgelegt. Wir erstellen und prüfen für Ihr Unternehmen das in Art. 30 DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten.

Dabei ist es nicht mit der einmaligen Erstellung von Leitdokumenten getan. Die Sorgfaltspflicht gebietet, sich regelmäßig mit den hauseigenen Prozessen auseinanderzusetzen, die Mitarbeiter regelmäßig zu schulen und für eine aktuelle Dokumentation der jeweiligen Prozesse Sorge zu tragen. Das setzt ein hohes Maß an Akzeptanz im Management voraus. Datenschutz ist aufwendig und bei Zeiten kleinteilig.

Die Awareness der eigenen Mitarbeiter ist dabei der Schlüssel zum dauerhaften Erfolg eines Datenschutzkonzeptes. Die Mitarbeiter selbst kennen die Prozesse und mögliche Schwachstellen im täglichen Umgang mit personenbezogenen Daten. Unter fachkundiger Anleitung kann dadurch eine tragfähige Analyse der internen Prozesse erstellt werden.

Diese Analyse erstellen wir für Sie oder wir unterstützen Ihre Mitarbeiterinnen und Mitarbeiter in der täglichen Routine mit den Anforderungen an ein DSGVO-konformes Verarbeitungsverzeichnis.

Was sind TOMs?

Gemäß § 9 BDSG sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOMs) zu treffen. Ziel ist die Umsetzung der Sicherheitsanforderungen des Bundesdatenschutzgesetzes. Dabei wird zwischen technischen und organisatorischen Maßnahmen unterschieden.

Technische Maßnahmen sind eher tatsächlicher Natur, wie beispielsweise die bauliche Anlagensicherung durch Zäune oder Alarmanlagen.

Organisatorische Maßnahmen werden weitestgehend durch Arbeitsanweisungen und Verfahrensregeln abgedeckt. Eine Bearbeitung im 4-Augen-Prinzip stellt eine organisatorische Maßnahme dar.

Was ist ein Auftragsdatenverarbeitungsvertrag? (Art. 28 DSGVO)

Wenn Sie Daten von einem Dritten verarbeiten lassen (z.B. externer IT-Dienstleister, (reine) Lohnbuchhaltung), ist der Dritte für Sie im Rahmen einer Auftragsdatenverarbeitung (ADV) tätig. Dieses Vertragsverhältnis beinhaltet eine spezielle Struktur von Rechten und Pflichten der Vertragsparteien.

Gemäß Art. 28 Abs. 3 Satz 1 der DSGVO müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein.

Es ist in den meisten Fällen jedoch geboten, diese Mindestfestlegungen durch weitere Vertragsbestandteile zu ergänzen.

Was ist gemeinsame Verarbeitung? (Art. 26 DSGVO)

Gemäß Art. 26 Abs. 1 S. 1 DSGVO handelt es sich um eine gemeinsame Verarbeitung von Daten, wenn zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung in einem gemeinsamen Entscheidungsprozess festlegen. Die Verantwortlichen müssen zur Entscheidung oder Festlegung der Zwecke und Mittel der Verarbeitung bestimmte Voraussetzungen erfüllen. Hierzu müssen sie einen tatsächlichen Einfluss auf die Datenverarbeitung nehmen können. Joint Controller liegen also vor, wenn mindestens zwei Personen eine Entscheidung über das „erwartete Ergebnis” treffen und wenn sie außerdem festlegen, mit welcher Art und Weise der Zweck erreicht werden soll.

Eine weitere Voraussetzung für die gemeinsame Verantwortlichkeit ist die bewusste Beteiligung mehrerer Verantwortlicher. Die Verantwortlichen müssen sich insbesondere darüber bewusst sein, wie und warum die Daten verarbeitet werden und sich aktiv zusammen beteiligen wollen. Eine unbeabsichtigte Zusammenarbeit reicht dementsprechend nicht für eine gemeinsame Verantwortlichkeit aus. Allerdings müssen nicht alle Beteiligten der betroffenen Person gegenübertreten oder eine gleichwertige Verantwortung tragen. Die Handlungsspielräume können und dürfen bei den Verantwortlichen also variieren.

Sollte bereits eine der genannten Voraussetzungen nicht einschlägig sein, könnte es sich um eine Auftragsverarbeitung handeln. Wenn Sie unsicher bei der Einordung Ihrer Prozesse sind, wenden Sie sich an unsere Kanzlei. Wir erarbeiten die richtige Lösung zusammen mit Ihnen.

Datenschutz im Homeoffice?

Aufgrund der aktuellen Entwicklung der Corona-Pandemie rückt das Arbeiten im Home-Office immer mehr in den Fokus von Arbeitgebern, Arbeitnehmern und Aufsichtsbehörden.

Zu Beginn der Pandemie im März 2020 war die überwiegende Zahl vor allem individueller Home-Office Konzepte noch spontan und es ging zunächst um das Aufrechterhalten des Betriebes. Die datenschutzrechtlichen Risiken traten dahinter zurück. Mit zunehmender Dauer und vor allem der Menge an Nutzern im Home-Office ist es sinnvoll, die datenschutzrechtliche Seite für Arbeitgeber und Arbeitnehmer gemeinsam und sicher zu klären.

Wer ist verantwortlich für den Datenschutz im Home-Office?
Auch wenn der Arbeitnehmer oder die Arbeitnehmerin zu Hause arbeitet, bleibt der Arbeitgeber verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO. Der Arbeitgeber hat also nach Art. 25 Abs. 2 DSGVO für die geeigneten Maßnahmen des Datenschutzes Sorge zu tragen. Das umfasst sowohl die technischen als auch die organisatorischen Maßnahmen.

Allgemeine Schutzmaßnahmen
Daher sollten die Datenschutzmaßnahmen mit den jeweils Verantwortlichen klar definiert werden. Zugangskontrolle, Datensicherung, Verwendung externer Speichermedien wie USB-Sticks sind einige Beispiele, die Bestandteil des Maßnahmenkataloges sein sollten.

Sind Sie unsicher, ob Ihre Maßnahmen ausreichen, beraten wir Sie gerne bei der Erstellung und Umsetzung Ihres individuellen Maßnahmenkatalogs.

Arbeitsvertragliche Regelungen
Aufgrund der besonderen Anforderungen kann man davon ausgehen, dass Standard-Arbeitsverträge mit den üblichen Klauseln zum Datenschutz nicht geeignet sind, für beide Seiten eine sichere Regelung zu gewährleisten. Regelungen zu Zugangskontrolle, Aufbewahrung von Datenträgern und vor allem dem Zugriff Dritter auf Computer und Netzwerke sind absolut erforderlich. Die Einrichtung von VPN-Verbindungen und Verschlüsselungen ist nicht nur technisch sinnvoll, sondern in den meisten Fällen für die Datensicherheit auch erforderlich.

Besonders sensible Daten
Wenn durch die Arbeit im Home-Office auf besonders sensible Daten zugegriffen werden muss, ist besondere Vorsicht und Sorgfalt geboten. Personaldaten und zum Beispiel biometrische Daten von Personen oder Gesundheitsdaten sind besonders sensibel. Daher muss eine intensive Abwägung erfolgen, ob ein Zugriff im Home-Office unbedingt erfolgen muss. Ist dies nicht zu vermeiden, gilt es besondere Sicherheitsvorkehrungen technischer und organisatorischer Art zu treffen. Verschlüsselung und Schutz vor Zugriffen Dritter sind in dem Bereich sehr genau zu definieren und vor allem auch zu dokumentieren.

Remote Zugriff und Sicherung von Daten bei Einbruch, Diebstahl oder Verlust
Wer im Home-Office arbeitet, wird seine Wohnung sicherheitstechnisch nicht immer darauf vorbereitet haben, dass auf einmal teure Hardware oder sensible Daten zu Hause vorhanden sind. Die Folgen von Datendiebstahl oder Abhandenkommen der kompletten Hardware müssen ebenso berücksichtigt werden wie ein Datenverlust durch die Zerstörung von einzelnen Datenträgern. Wenn Datenträger oder ganze Computer abhandenkommen, muss sichergestellt sein, dass trotzdem kein Dritter auf die Daten zugreifen kann. Die Verwendung von biometrischen Zugangskontrollen und technisch schwer zu knackenden Passwörtern sollten zum Standard gehören.

Zur Sicherung der Daten kann durch den Arbeitgeber per Remote-Zugriff regelmäßig eine Datensicherung erfolgen. So sind die gesicherten Daten auf den Systemen des Arbeitgebers für andere Kolleginnen und Kollegen verfügbar.

Dokumentation der getroffenen Maßnahmen
Alle getroffenen Maßnahmen sollten für die Beteiligten sorgfältig dokumentiert werden. Bei aufsichtsbehördlichen Ermittlungen ist dann der Nachweis vorhanden, sämtliche datenschutzrechtliche Anforderungen bei der Einrichtung des konkreten Home-Office Arbeitsplatzes umgesetzt zu haben.

Sind Sie unsicher, ob Ihre Dokumentationen ausreichend sind, beraten wir Sie gerne bei der Erstellung der individuellen Dokumentationen.

Bundesweite Vertretung

Rechtsanwältin von Leitner-Scharfenberg  vertritt Ihre Rechte bundesweit im Urheberrecht, Medienrecht und Gewerblichen Rechtsschutz.

Kontaktieren Sie uns

T: +49(0)30 206 494 05
F: +49(0)30 206 494 06
info@vonleitnerscharfenberg.de