Datenschutz

Umsetzung datenschutzrechtlicher Pflichten für Unternehmen und Unterstützung bei der Erfüllung bzw. Abwehr von Betroffenenrechten

Im Datenschutzrecht geht es im Kern um den Schutz von personenbezogenen Daten. Jeder Verantwortliche einer Datenverarbeitung ist dazu verpflichtet, bei einer Verarbeitung von personenbezogenen Daten, die Vorgaben des Datenschutzrechts einzuhalten. Die Anforderungen des Datenschutzrechts sind mit in Kraft treten der EU-Datenschutz-Grundverordnung (DSGVO) sehr komplex und vielschichtig geworden.

Die datenschutzrechtlichen Pflichten treffen dabei nicht nur große Kapitalgesellschaften sondern auch Start-Ups, kleinere Unternehmen, Einzelunternehmer, Vereine und Freiberufler. Bei Verstößen gegen die datenschutzrechtlichen Pflichten drohen Bußgelder, Abmahnungen, Schadensersatzansprüche und erhebliche Reputationsschäden. Jeder Verantwortliche sollte die datenschutzrechtlichen Pflichten daher äußerst ernst nehmen und umsetzen.

Wir bieten Ihnen unsere Unterstützung bei der Umsetzung der gesamten oder einzelner datenschutzrechtlicher Pflichten an und bestellen uns bei Bedarf auch als externe Datenschutzbeauftragte für Sie. Speziell für Start-Ups und kleinere bzw. mittelständische Unternehmen (KMUs) haben wir ein Gesamtkonzept zur Umsetzung der datenschutzrechtlichen Pflichten entwickelt, welches wir seit Jahren ständig pflegen, ausbauen und optimieren. Mittels unseres kanzleiinternen Datenschutz-Management-Systems können wir die datenschutzrechtlichen Pflichten gemeinsam mit Ihnen rechtssicher und besonders komfortabel umsetzen.

Neben der Unterstützung bei der Umsetzung der datenschutzrechtlichen Pflichten, beraten und vertreten wir Unternehmen und andere Verantwortliche bei Rechtsstreitigkeiten mit Betroffenen. Es kommt immer häufiger vor, dass Betroffene Auskunftsansprüche nach Art. 15 DSGVO und/oder Unterlassungs- und Schadensersatzansprüche geltend machen. Werden Betroffenenrechte geltend gemacht oder eine Abmahnung ausgesprochen, sollte der Verantwortliche unverzüglich kompetenten anwaltlichen Rat einholen. Es gibt Gerichte, welche für die Erteilung der datenschutzrechtlichen Auskunft nur eine Frist von einer Woche (!) gewähren und im Falle einer verspäteten Auskunft dem Betroffenen Schadensersatz gewähren. Es kann daher jedem Verantwortlichen nur dazu geraten werden, Betroffenenanfragen äußerst ernst zu nehmen und unverzüglich zu handeln.

Wir machen das!

  • Rechts- und Fachanwälte

    für IT-Recht, gewerblichen Rechtsschutz, Arbeitsrecht und Steuerrecht

  • Experte im Datenschutzrecht

    RA Jens Reininghaus ist als ext. Datenschutzbeauftragter (TÜV) und Datenschutzauditor (BITKOM) tätig

  • Jahrelange Praxiserfahrung

    im Datenschutzrecht und angrenzenden Rechtsgebieten sowie als ext. Datenschutzbeauftragter

  • Breitgefächerte Blickwinkel

    durch Tätigkeiten eines ext. Datenschutzbeauftragten und anwaltlichen Tätigkeiten im Datenschutzrecht sind breitgefächerte Risikoeinschätzungen möglich

  • Jahrelange Entwicklung und Optimierung

    unseres Datenschutz-Management-Systems für eine praxistaugliche Umsetzung der datenschutzrechtlichen Pflichten in Unternehmen

Kostenfreie Erstberatung zum Datenschutz

sowie Soforthilfe bei der Erfüllung oder der Abwehr von Betroffenenrechten

Wir bieten speziell für kleine und mittelständische Unternehmen (KMUs), Soloselbstständige, Freiberufler und Vereine ein praxistaugliches Datenschutzkonzept für die rechtssichere und umfassende Umsetzung der datenschutzrechtlichen Pflichten zu attraktiven Pauschalen an. Schützen auch Sie sich als Unternehmer, Freiberufler oder Verein vor den Risiken aufgrund von Verstößen gegen die datenschutzrechtlichen Pflichten. Die Eckpunkte unserer Datenschutzlösung für KMUs sind folgende:

DATENSCHUTZLÖSUNG

(für Unternehmen, Freiberufler und Vereine)

LeistungenIhre DSGVO-konforme Datenschutzlösung
Identifizierung und Analyse aller datenverarbeitenden Prozesse
Erstellung eines Verarbeitungsverzeichnisses über relevante Datenschutzprozesse
Überarbeitung von Datenschutzerklärungen auf Websites und in sonstigen relevanten geschäftlichen Dokumenten
Umsetzung der datenschutzrechtlichen Vorgaben in Beschäftigungsverhältnissen samt Bewerberverfahren
Identifizierung, Prüfung und Beschreibung von Vereinbarungen zur Auftragsverarbeitung mit Subunternehmern
Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit (TOMs)
Konzept zum Umgang mit Betroffenenrechten für rechtskonforme Reaktionen auf Anfragen Betroffener
Konzept zum rechtskonformen Umgang mit Datenpannen
Konzept zum Umgang mit IT-Notfällen
Prüfung, ob ein Datenschutzbeauftragter zu bestellen ist
Kostentransparenter, komfortabler und schneller Datenschutz-Grundschutz
Sämtliche Dokumente durch spezialisierte Fachanwälte erstellt und gepflegt für den direkten Praxiseinsatz
Komfortabler Datenaustausch über einen sicheren Online-Zugang zu unserem Datenschutz-Management-System, einfach und komfortabel zu handhaben
Optionale Zusatzleistungen je nach Bedarf
Dauerhafte Pflege Ihrer gesamten Datenschutzdokumentation inkl. der überlassenen Rechtstexte, Beschreibung neuer Verarbeitungsprozesse während der Vertragslaufzeit und regelmäßige Online-Schulungen Ihrer Mitarbeiter im DatenschutzOPTIONAL
Datenschutz-Grundschutzeinmalig ab 990,00 EUR*
Optionales Pflegepaketmonatlich ab 34,90 EUR*

(*Sämtliche Preise verstehen sich netto zzgl. MwSt. Die hier angebotenen Leistungen richten sich ausschließlich an Unternehmer, Einzelunternehmer, Freiberufler und Vereine)

Seit dem 25. Mai 2018 gilt in der Europäischen Union die EU-Datenschutz-Grundverordnung (DSGVO). Mit den nachfolgenden FAQs möchten wir Ihnen einen ersten Überblick über die Pflichten für Verantwortliche nach der Datenschutz-Grundverordnung (DSGVO) bieten. Bitte beachten Sie, dass es sich bei den nachfolgenden Informationen lediglich um allgemeine Informationen handelt. Keinesfalls ersetzen die hier angegebenen Informationen eine anwaltliche Beratung im Einzelfall. Einen ersten Überblick können Sie auch unserem Überblick über die Plichten für Unternehmen, Vereine und Freiberufler nach der DSGVO entnehmen.

FAQ

Datenschutzrechtliche Pflichten

Die Verpflichtungen nach der DSGVO sind einzuhalten, sofern ganz oder teilweise personenbezogene Daten automatisiert verarbeitet oder nichtautomatisiert personenbezogene Daten verarbeitet werden und diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (vgl. Art. 2 DSGVO).

Sofern ein Unternehmen, Verein oder Freiberufler nicht nur gelegentlich personenbezogene Daten in einem Dateisystem speichert, sondern z.B. regelmäßig Kundendaten, Lieferantendaten, Beschäftigtendaten u.ä. in einem Dateisystem auf einem Computer speichert, ist der Anwendungsbereich der DSGVO eröffnet.

Der Verantwortliche für die Datenverarbeitung ist damit verpflichtet, sämtliche Vorgaben der DSGVO umzusetzen. Neben Kapitalgesellschaften sind damit in aller Regel auch kleine Unternehmen, Einzelunternehmer, Vereine und Freiberufler grundsätzlich verpflichtet, die Vorgaben der DSGVO umzusetzen und einzuhalten.

Die Verpflichtungen der DSGVO treffen nach Artikel 3 der DSGVO nicht nur Unternehmen, welche – unabhängig vom Serverstandort – eine Niederlassung in der EU unterhalten (sog. Niederlassungsprinzip), sondern auch Unternehmen aus Drittländern, welche Ihre Waren und Leistungen an Bürger in der EU (auch kostenlos) anbieten oder das Verhalten von EU-Bürgern durch die Verarbeitung von personenbezogenen Daten beobachten (sog. Marktortprinzip).

Streng genommen fällt damit jedes Unternehmen unabhängig vom Standort in den Anwendungsbereich der DSGVO, sofern es z.B. ungekürzte IP-Adressen (als personenbezogenes Datum, vgl. Erwägungsgrund 30 der DSGVO) auch von EU-Bürgern verarbeitet, um das Nutzerverhalten der eigenen Webseite zu analysieren, selbst wenn keine Waren und/oder Leistungen an EU-Bürger angeboten werden.

Personenbezogene Daten dürfen ab dem 25. Mai 2018 nach der DSGVO – vereinfacht dargestellt – nur noch in nachfolgenden Konstellationen verarbeitet werden (vgl. Artikel 6 DSGVO):

  • Die Datenverarbeitung ist erforderlich, um Pflichten aus einem Vertragsverhältnis mit dem Betroffenen zu erfüllen oder sie ist zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Betroffenen erfolgen.
  • Es liegt eine wirksame Einwilligung des Betroffenen vor.
  • Es gibt eine gesetzliche Pflicht zur Datenverarbeitung (z.B. eine Aufbewahrungspflicht)
  • Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen der betroffenen Person (oder seine gesetzlich eingeräumten „Datenschutzrechte“) überwiegen (Datenverarbeitung auf Basis einer Interessenabwägung).

Die DSGVO bringt eine sog. Rechenschaftspflicht mit sich (vgl. Art. 5 Absatz 2 DSGVO). Aus dieser Regelung ergibt sich, dass der Verantwortliche die Einhaltung der Vorgaben der DSGVO im Falle einer Prüfung durch die Datenschutzbehörden nachweisen muss. Die DSGVO bringt demnach eine Menge Arbeit mit sich, welche umgesetzt werden muss, um die nachfolgend benannten Risiken zu vermeiden:

  • DSGVO-Verstöße können von den Aufsichtsbehörden zukünftig mit Bußgeldern von bis zu 20 Millionen Euro (oder bis zu 4% des weltweiten Jahresumsatzes) geahndet werden.
  • Die DSGVO ist „hartes Compliance-Recht“. Die Nichteinhaltung kann u.U. zur persönlichen Haftung von vertretungsberechtigten Personen von Kapitalgesellschaften führen.
  • Vermeidung von wettbewerbsrechtlichen Abmahnungen und Unterlassungsverfahren
  • Vermeidung von Schadensersatz- und sonstigen Ansprüchen von Betroffenen, insbesondere bei Datenpannen
Mit Blick auf die erheblichen Bußgeldrisiken sollten Verantwortliche schnellstmöglich Risikovorsorge treffen, um das Risiko der (u.U. sogar persönlichen) Haftung wegen Datenschutzverstößen nach der DSGVO auszuschließen oder zumindest zu minimieren.

Die DSGVO bringt einige äußert relevante und arbeitsintensive Verpflichtungen mit sich. Die relevantesten Pflichten sind folgende:

  • Verschärfte datenschutzrechtliche Informationspflichten (vgl. Art. 13 und Art. 14 DSGVO): Insbesondere müssen Datenschutzhinweise auf Webseiten, in Ladenlokalen, Praxen, Vereinen, in Verträgen und Formularen sowie für Beschäftigte und Bewerber ergänzt bzw. überarbeitet werden.
  • Vereinbarungen zur Auftragsverarbeitung müssen überprüft und an die DSGVO angepasst werden.
  • Erfolgen Datenverarbeitungen auf einer ausdrücklichen Einwilligung Betroffener sind die Einwilligungserklärungen zu prüfen. Einwilligungen, welche nicht die Voraussetzungen der DSGVO einhalten, sind  automatisch seit dem 25.05.2018 unwirksam.
  • Grundsätzlich sollte nur datenschutzfreundliche Hard- und Software („Privacy by Design“) mit datenschutzfreundlichen Voreinstellungen („Privacy by Default“) eingesetzt werden (Grundsatz der Datenminimierung). Dies muss zukünftig sowohl bei der Produktentwicklung (insbesondere der Softwareentwicklung) als auch bei der Produktauswahl von IT-Systemen und der Implementierung der IT-Systeme im Betrieb beachtet werden.
  • Bei risikoreichen Datenverarbeitungen müssen vorgelagerte Datenschutz-Folgenabschätzungen durchgeführt werden (als risikoreiche Datenverarbeitungen nennt die DSGVO z.B. die Verarbeitung besonders sensibler Daten, z. B. Gesundheitsdaten, der Einsatz neuer Technologien, Profiling, die umfangreiche öffentliche Videoüberwachung). im Zweifel können hier die Vorgaben der Aufsichtsbehörden abgewartet werden.
  • Es müssen Konzepte für die Wahrung von Betroffenenrechten sowie für die verschärften Meldepflichten bei Datenpannen gegenüber Betroffenen und Aufsichtsbehörden implementiert werden.
  • Jeder Verantwortliche hat ein sog. „Verarbeitungsverzeichnis“ anzufertigen (welches auch in regelmäßigen Abständen zu prüfen und gegebenenfalls zu aktualisieren ist), in welchem sämtliche Verarbeitungsprozesse von personenbezogenen Daten im Unternehmen beschrieben werden müssen. Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten. Jeder Verantwortliche ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge im Unternehmen anhand dieses Verarbeitungsverzeichnisses kontrolliert werden können (vgl. Art. 30 Abs. 4 DSGVO). In dem Verarbeitungsverzeichnis sind die folgenden Informationen anzugeben (vgl. insbesondere Artikel 30 Abs. 1 DSGVO):
    • der Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
    • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Name, Anschrift, E-Mailadresse, Telefonnummer, Bankverbindungen von Kunden und/oder Lieferanten);
    • eine Beschreibung des konkreten Verarbeitungsprozesses (z.B. erheben, speichern, abfragen, offenlegen von Daten);
    • den Zweck des konkreten Verarbeitungsprozesses;
    • die Rechtsgrundlage des jeweiligen Verarbeitungsprozesses;
    • die Herkunft bzw. die Quelle der Daten;
    • die zugriffsberechtigten Personen/Personengruppen auf den jeweiligen Verarbeitungsprozess (nach Funktion und ohne namentliche Angabe);
    • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Banken, Versanddienstleister, Sozialversicherungsträger, Finanzämter, unternehmensinterne andere Datenempfänger, Gläubiger bei Lohn-/Gehaltspfändungen, Träger der Betriebsrente, Auftragsverarbeiter, Muttergesellschaft etc.);
    • sofern personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt werden, die Angabe des konkreten Empfängers der Daten sowie das betreffende Drittland oder die internationale Organisation, sowie die Rechtsgrundlage für die Übermittlung (eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden);
    • sofern möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (z.B. die geltenden handels- und steuerrechtlichen Aufbewahrungspflichten für Personaldaten, Kundendaten etc., vom Verantwortlichen festgelegte Überprüfungs-/Löschungsfristen);
    • sofern möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, welche zum Schutz der personenbezogenen Daten zu treffen sind (Einzelheiten siehe nachfolgend Erläuterungen);
    • Auftragsverarbeiter haben ein gesondertes Verarbeitungsverzeichnis nach Artikel 32 Absatz 2 DSGVO zu führen;
Das Verarbeitungsverzeichnis ist ein wichtiges zentrales datenschutzrechtliches Dokument zur Erfüllung der Rechenschaftspflicht nach Art. 5 Absatz 2 DSGVO. Verstöße durch fehlende oder nicht vollständige Führung eines Verarbeitungsverzeichnisse können ab dem 25.05.2018 mit Geldbußen von bis zu 10 Millionen EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Im Bereich der Datensicherheit sind technische und organisatorische Maßnahmen zur Sicherheit von personenbezogenen Daten zu treffen, welche dem Stand der Technik entsprechen. Die Maßnahmen müssen umfangreicher sein, wenn der Schutzbedarf der Daten hoch oder sehr hoch ist. Grundsätzlich dürfen bei der Wahl der Datensicherheitsmaßnahmen auch die Implementierungskosten berücksichtigt werden.

Nach der DSGVO sind folgende technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten zu treffen (vgl. insbesondere Artikel 32 DSGVO):

  • Pseudonymisierung personenbezogener Daten (z.B. Trennung von Kundenstammdaten und Kundenumsatzdaten, Verwendung von Kunden-, Personalkennziffern statt Namen)
  • Verschlüsselung personenbezogener Daten (z. B. in stationären und mobilen Speicher-/Verarbeitungsmedien und bei der elektronischen Übermittlung von personenbezogenen Daten).
  • Gewährleistung der Vertraulichkeit der Systeme und Dienste (die einen unautorisierten Zugang oder Zugriff auf personenbezogene Daten verhindern sollen, beim Verantwortlichen selbst oder auf dem Transportweg zu Auftragsverarbeitern oder zu Dritten, z.B. Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Trennungskontrolle)
  • Gewährleistung der Integrität der Systeme und Dienste (Maßnahmen die gewährleisten, dass personenbezogene Daten nicht unbemerkt geändert werden können, z.B. Eingabekontrolle sowie organisatorische und technische Absicherung von Berechtigungen, Protokollierungsmaßnahmen, Protokoll-Auswertungen/Revision etc.)
  • Gewährleistung der Verfügbarkeit der Systeme und Dienste (Maßnahmen die sicherstellen, dass personenbezogene Daten dauernd und uneingeschränkt verfügbar und insbesondere vorhanden sind, wenn sie gebraucht werden. Hierzu zählen u.a.: Verfügbarkeitskontrolle, Auftragskontrolle)
  • Gewährleistung der Belastbarkeit der Systeme und Dienste (Maßnahmen die sicherstellen, dass die Systeme und Dienste so ausgelegt sind, dass auch punktuell hohe Belastungen oder hohe Dauerbelastungen von Verarbeitungen leistbar bleiben, z.B. Speicher-, Zugriffs- und Leitungskapazitäten)
  • Wiederherstellung der Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall (z.B. Backup-Konzept, Redundante Datenspeicherung, Cloud-Services, Doppelte IT-Infrastruktur, Schatten-Rechenzentrum etc.)
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen (z.B. Entwicklung eines Sicherheitskonzepts, Prüfungen des DSB, der IT-Revision, externe Prüfungen, Audits, Zertifizierungen etc.).
  • Den vorbenannten Verpflichtungen zur Schaffung einer ordnungsgemäßen Daten- und Informationssicherheit im Unternehmen sowie zur Entwicklung eines zertifizierten Sicherheitskonzeptes kann realistisch gesehen nur mit der Implementierung eines aufwendigen und kostspieligen Daten- bzw. Informationssicherheitsmanagementsystems nachgekommen werden, welches sich an anerkannten Standards (z.B. ISO 27001, VdS 3473 oder VdS V10010) orientiert.Werden die Kosten für ein zertifiziertes Sicherheitsmanagement gescheut, muss hier im Rahmen des unternehmerischen Risikos ein risikobasierter Ansatz verfolgt werden, was gegebenenfalls zu Beanstandungen (und im schlimmsten Fall zu Bußgeldern) der Aufsichtsbehörden führen kann.

Zur Umsetzung der Pflichten nach der DSGVO sind zumindest die nachfolgenden Maßnahmen zu ergreifen:

  • Analyse aller datenverarbeitenden Prozesse im Unternehmen
  • Erstellung eines Verarbeitungsverzeichnisses
  • Überprüfung der Rechtsgrundlagen für die einzelnen datenverarbeitenden Prozesse
  • Gegebenenfalls Überarbeitung von Einwilligungen für Datenverarbeitungsprozesse
  • Überarbeitungvon Datenschutzerklärungen auf Webseiten und Erstellung sonstiger notwendiger Datenschutzhinweise nach Artikel 13 und Artikel 14 DSGVO
  • Überarbeitung von Auftragsdatenverarbeitungsverträgen sofern personenbezogene Daten an Subunternehmer weitergegeben werden (worunter auch Cloud-, E-Mail- und Hosting-Services fallen)
  • Umstellung Cookie-Infobanner von „Opt-out“ zu „Opt-in“
  • Gegebenenfalls Implementierung eines Datenlöschkonzeptes
  • Gegebenenfalls Änderung der Soft- und Hardware sowie der jeweiligen Einstellungen im Hinblick auf die Grundsätze der Datenminimierung („Privacy by Design“ und „Privacy by default“)
  • Gegebenenfalls Implementierung bzw. Anpassung von technischen und organisatorische Maßnahmen zur Sicherheit von personenbezogenen Daten (Datensicherheitsmanagement)
  • Gegebenenfalls Durchführung von Datenschutz-Folgenabschätzungen bei risikoreichen Datenverarbeitungen
  • Kontinuierliche Überprüfung, Dokumentierung und gegebenenfalls Verbesserung der Datenschutzprozesse im Unternehmen in regelmäßigen Abständen (von z.B. 6 Monaten)
  • Implementierung von Prozessen für die Wahrnehmung von Betroffenenrechten und Prozesse für die Meldung von Datenschutzverstößen.

Die Umsetzung der DSGVO bringt eine ganze Menge Arbeit für alle Verantwortlichen mit sich. Werden die grundlegenden Verpflichtungen nach der DSGVO nicht beachtet, besteht das Risiko empfindlicher Bußgelder der Aufsichtsbehörden sowie kostenpflichtiger Abmahnungen von Wettbewerbern, Verbraucherschutz- und Wettbewerbsvereinen. Auch bringt die Einhaltung der Verpflichtungen der DSGVO nicht nur „einmaligen Umstellungsaufwand“ mit sich, sondern es müssen „Prozesse zur kontinuierlichen Überprüfung und Verbesserung der Datenschutzprozesse“ geschaffen werden.

Sofern bislang noch nicht geschehen, sollten im Ergebnis die Verpflichtungen nach der DSGVO im Unternehmen möglichst zeitnah umgesetzt werden und dann kontinuierlich an einer Verbesserung der datenschutzrechtlichen Pflichten nach der DSGVO im Unternehmen gearbeitet werden. Start-Ups sollten zukünftig auch den Datenschutz einplanen und die gesetzlichen datenschutzrechtlichen Verpflichtungen umsetzen.

Im Datenschutzrecht können wir Ihnen die folgenden Leistungen anbieten:

  • Praxistaugliches Datenschutz-Management

    Unterstützung bei der Umsetzung der datenschutzrechtlichen Pflichten durch praxistaugliches Datenschutz-Konzept

  • Externer Datenschutzbeauftragter

    Prüfung und Bestellung zum externen Datenschutzbeauftragten

  • Betroffenenrechte

    Geltendmachung und Unterstützung bei der Geltendmachung von Betroffenenrechten, z.B. Auskunft, Schadensersatz, Berichtigung etc.

  • Datenschutzerklärungen

    Erstellung und Prüfung von Impressum und Datenschutzerklärungen für Webseiten, Social-Media-Seiten und sonstige kommerzielle Angebote auf Internetplattformen

  • Informationspflichten

    Umsetzung der datenschutzrechtlichen Informationspflichten nach Artikel 13 und 14 DSGVO

  • Auftragsverarbeitung

    Erstellung, Prüfung und Verhandlung von Verarbeitungen zur Auftragsverarbeitung nach Artikel 28 DSGVO

  • Verarbeitungsverzeichnisse

    Erstellung und Prüfung von Verarbeitungsverzeichnissen nach Artikel 30 DSGVO

  • Datenschutz-Folgenabschätzungen

    Erstellung und Prüfung von Datenschutz-Folgenabschätzungen bei risikoreichen Datenverarbeitungen nach Artikel 35 DSGVO

  • TOMs

    Erstellung und Prüfung von technischen und organisatorischen Maßnahmen zur Datensicherheit (TOMs) nach Artikel 32 DSGVO

  • Einwilligungserklärungen

    Erstellung und Prüfung von Einwilligungserklärungen

  • Verschwiegenheitsvereinbarungen

    Erstellung und Prüfung von Verschwiegenheitsvereinbarungen für externe Dienstleister (sofern keine Auftragsverarbeitung vorliegt)

  • Audits

    Durchführung von Audits

  • Beschäftigungsverhältnissen und Bewerberverfahren

    Umsetzung der Pflichten nach der DSGVO in Beschäftigungsverhältnissen und Bewerberverfahren

Gerne unterstützen wir auch In-House Juristen und betriebliche Datenschutzbeauftragte bei der Klärung von vertieften Rechtsfragen im Datenschutzrecht sowie im IT/IP-Recht und im Arbeitsrecht.

Wir unterstützen Sie bei der Anmeldung Ihrer Marken zu transparenten Pauschalpreisen…

Zur  Absicherung Ihres Geschäftsmodells gestalten wir individuelle Verträge, AGB und sonstige Rechtstexte…

Mit unseren Schutzpaketen für Online-Händler sind Sie dauerhaft vor kostenpflichtigen Abmahnungen geschützt…