Anwalt für Datenschutz München: unsere Leistungen für Sie
- Arbeitsverhältnisse: Im Rahmen des Beschäftigtendatenschutzes beraten wir Sie zu den Datenschutzanforderungen im Arbeitsverhältnis. Dies schließt die rechtskonforme Erhebung, Verarbeitung und Speicherung von Mitarbeiterdaten, Regelungen zur Überwachung am Arbeitsplatz sowie die Rechte der Arbeitnehmer ein. Als Anwalt für Datenschutz München unterstützen wir Sie auch bei Erstellung und Verhandlung von Betriebsvereinbarungen.
- Websites: Wir unterstützen Sie bei der Umsetzung von datenschutzkonformen Maßnahmen auf Ihrer Website, einschließlich der Erstellung von Datenschutzerklärungen und der Überprüfung von Cookie-Richtlinien und Consent-Bannern.
- Vertragsgestaltungen: Wir unterstützen Sie bei der datenschutzrechtlichen Absicherung Ihrer Vertragsbeziehungen. Dazu gehören die Erstellung und Überprüfung von Auftragsverarbeitungsverträgen, Verträgen zur gemeinsamen Verantwortlichkeit und Datenübermittlungsvereinbarungen sowie alle datenschutzrelevanten Vertragsbestandteile. Als Anwalt für Datenschutz München beraten wir Sie dazu.
- Datenschutz-Compliance und Schulungen: Wir bieten umfassende Unterstützung bei der Implementierung und Aufrechterhaltung eines Datenschutz-Managementsystems in Ihrem Unternehmen. Dies beinhaltet auch die Durchführung von Datenschutz-Schulungen für Ihre Mitarbeiter und die Beratung zur Einhaltung gesetzlicher Vorgaben. Als Anwalt für Datenschutz München beraten wir Sie dazu.
Anwalt für Datenschutz München berät bei Verstößen gegen das Datenschutzrecht
Verstöße gegen das Datenschutzrecht werden immer häufiger zum Gegenstand behördlicher und gerichtlicher Verfahren. Bußgelder und Schadensersatzforderungen können erhebliche finanzielle Belastungen für Unternehmen darstellen. Mit unserer Expertise als Rechtsanwälte für Datenschutz sichern wir Ihr Unternehmen umfassend im Bereich Datenschutz ab. Wir helfen Ihnen dabei, Datenschutzrisiken zu minimieren, Ihre Datenverarbeitungen rechtskonform zu gestalten und somit Ihr Unternehmen vor rechtlichen und finanziellen Konsequenzen zu schützen. Wir begleiten Sie auch in behördlichen Verfahren und vertreten Ihre Interessen vor Gericht, um sicherzustellen, dass Sie bestmöglich abgesichert sind.
Unser Ziel ist es, Ihr Unternehmen in allen datenschutzrechtlichen Belangen zu unterstützen und Ihnen praxisnahe, rechtssichere Lösungen zu bieten. So können Sie sich auf Ihr Kerngeschäft konzentrieren, während wir dafür sorgen, dass Ihre Datenverarbeitung stets den aktuellen gesetzlichen Anforderungen entspricht. Als Anwalt für Datenschutz München beraten wir Sie.
Warum ist Datenschutz so wichtig?
Datenschutz ist nicht nur ein rechtliches Muss, sondern auch ein wesentlicher Bestandteil der Vertrauensbildung zwischen Ihnen und Ihren Kunden oder Geschäftspartnern. Verstöße gegen datenschutzrechtliche Bestimmungen können schwerwiegende Konsequenzen haben, wie z.B. hohe Bußgelder und Reputationsverluste. Darüber hinaus schützt der Datenschutz die Persönlichkeitsrechte der betroffenen Personen und sichert ihre Privatsphäre.
Die wichtigsten gesetzlichen Regelungen im Bereich des Datenschutzes sind:
- EU-Datenschutz-Grundverordnung (DSGVO): Diese Verordnung bildet das Herzstück des Datenschutzrechts in der Europäischen Union und legt umfassende Pflichten für den Umgang mit personenbezogenen Daten fest.
- Bundesdatenschutzgesetz (BDSG): Ergänzend zur DSGVO regelt das BDSG spezifische nationale Aspekte des Datenschutzes in Deutschland.
Die für Unternehmen relevantesten Aspekte stellen wir Ihnen in diesem Artikel zusammen:
Rechtmäßigkeit der Datenverarbeitung – Anwalt für Datenschutz München berät
Grundsätzlich ist eine Verarbeitung von personenbezogenen Daten nur dann rechtmäßig, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Dies ist z.B. der Fall, wenn die betroffene Person in diese Verarbeitung eingewilligt hat. Die DSGVO definiert eine Einwilligung als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Um wirksam in die Datenverarbeitung einwilligen zu können, bedarf es vorheriger entsprechender Informationen der betroffenen Person. So muss die betroffene Person u.a. auch über ihr Recht zum Widerruf der Einwilligung aufgeklärt werden.
Daneben gibt es in der DSGVO noch weitere Erlaubnistatbestände, die man nicht aus den Augen verlieren sollte. So sollte immer auch geprüft werden, ob bereits auf vertraglicher Basis eine Rechtsgrundlage für die Datenverarbeitung besteht und Daten z.B. für vorvertragliche Maßnahmen oder zur Durchführung eines Vertragsverhältnisses benötigt werden. Hierbei sind die Grundsätze der Datensparsamkeit und der Zweckbindung zu beachten.
Weiter besteht die Möglichkeit, dass berechtigte Interessen die Rechtsgrundlage der Datenverarbeitung bilden können. Hierfür ist stets eine Interessenabwägung erforderlich, bei der die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person berücksichtigt werden und letztlich die berechtigten Interessen des Verantwortlichen überwiegen müssen. Eine solche Interessenabwägung ist entsprechend zu dokumentieren.
Vor der Verarbeitung personenbezogener Daten ist also stets zu prüfen, ob eine wirksame Rechtsgrundlage vorliegt. Als Anwalt für Datenschutz München helfen wir Ihnen dabei!
Anwälte, die auf Zack sind! Herr Leisenberg und Herr Loschelder haben mich motiviert und angriffslustig vertreten, so wie man sich das von Anwälten wünscht. Vielen Dank dafür!
CDie Mitarbeiter der Kanzlei haben mein Anliegen sofort und kompetent bearbeitet, was innerhalb kürzester Zeit zum Erfolg geführt hat. Ich bin sehr zufrieden und kann die Kanzlei bestens empfehlen.
S LIch kann diese Kanzlei wirklich jedem nur ans Herzen legen !!! Meine Schwester und ich hatten vor ein paar Tagen ein erstes Gespräch, da wir drauf und dran sind ein Start-up zu gründen aber uns mit den rechtlichen Themen noch nicht so gut auskannten.Es wurde sich viel Zeit genommen um alle unsere Fragen zu beantworteten und es herrschte ein richtig freundliche Atmosphäre. Man hat richtig gemerkt, dass ehrliches Interesse für uns und unser Start-up besteht und uns diesbezüglich wirklich weitergeholfen werden wollte. Wir hatten eine tolle erste Erfahrung mit der Anwaltskanzlei und freuen uns über eine weitere Zusammenarbeit.
SSehr kompetente Kanzlei, schnelle Kontaktaufnahme und Reaktion auf unser Anliegen. Prompte Erledigung mit 100% Erfolg. Danke dafür.
M EDatenschutz im Arbeitsverhältnis – Beratung vom Anwalt für Datenschutz München
Der Beschäftigtendatenschutz spielt eine immer größere Rolle in der anwaltlichen Beratung und ist häufig Gegenstand gerichtlicher Verfahren. Die datenschutzrechtlichen Verpflichtungen des Arbeitgebers beginnen bereits im Bewerbungsprozess. Hier kann schon problematisch sein, dass ein potentieller Arbeitgeber den Bewerber mittels Social-Media kontaktiert. Auch die Speicherung und Verarbeitung der Bewerberdaten im Unternehmen muss gewissenhaft erfolgen. Im Falle einer Ablehnung eines Bewerbers sind die Bewerberdaten im Regelfall spätestens nach 6 Monaten zu löschen. Eine Speicherung der Daten zu anderen Zwecken ist ohne Einwilligung der Bewerber grundsätzlich nicht möglich.
Während des bestehenden Arbeitsverhältnisses gibt es ebenfalls eine Vielzahl an Aspekten, die datenschutzrechtlich relevant sind. Generell ist für die Verarbeitung von Personaldaten eine Rechtsgrundlage erforderlich. Hierbei kommt es maßgeblich auf den jeweiligen Zweck der Speicherung an.
Gemäß § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für Zwecke des Beschäftigungsverhältnisses erforderlich ist, sei es für die Entscheidung über die Begründung eines Arbeitsverhältnisses, für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz, einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten.
Es gibt verschiedene spezialgesetzliche Regelungen, die den Arbeitgeber zur Aufbewahrung und Archivierung von Informationen verpflichten. Hierbei kommt es maßgeblich auf den jeweiligen Zweck der Speicherung an. So sind auch im laufenden Arbeitsverhältnis bestimmte Daten, wie z.B. Daten aus einem Mitarbeitergespräch oder eine Mahnung, nach Ablauf der Speicherfristen zu löschen. Andererseits können abrechnungs- und rentenrelevante Daten auch nach Beendigung des Arbeitsverhältnisses zwischen 10 und 30 Jahre gespeichert werden und müssen es oftmals sogar. Eine entsprechend gute Dokumentation der jeweiligen Personaldaten zusammen mit der jeweiligen Speicherungsdauer ist daher in Unternehmen essentiell.
Zu den oftmals problematischen Fällen der Datenverarbeitung im Arbeitsverhältnis zählen beispielsweise die Veröffentlichung von Geburtstagslisten, die Erstellung und Nutzung von Fotos auf Betriebsfeiern oder die Veröffentlichung von Mitarbeiterbildern auf der Homepage. Hierbei wird vielfach die Frage diskutiert, ob im Rahmen eines Arbeitsverhältnisses abgegebene Einwilligungen tatsächlich als freiwillig angesehen werden können. Mitarbeiter neigen ggf. dazu Einwilligungen zur Verarbeitung ihrer Daten eher zu erteilen, als sie es außerhalb eines Abhängigkeitsverhältnisses täten. Ebenfalls kann es sein, dass Mitarbeiter Benachteiligungen befürchten, wenn sie ihre Einwilligung nicht erteilen. Umgekehrt kann es für den Arbeitgeber von Nachteil sein, wenn eine erteilte Einwilligung z.B. in die Veröffentlichung von Fotos später widerrufen wird und keine andere Rechtsgrundlage zur Verarbeitung der Daten vorliegt. Daher ist gerade im Beschäftigungsverhältnis die Rechtsgrundlage der Einwilligung mit Vorsicht zu genießen und sollte nur in den gesetzlich vorgeschriebenen Ausnahmefällen das Mittel der Wahl sein.
Datenschutz im Homeoffice – Anwalt für Datenschutzrecht München berät
Die breite Verlagerung der Arbeit vom Büro in das Homeoffice wirft verschiedene datenschutzrechtliche Probleme auf. Zum einen geht es hier um die informationelle Selbstbestimmung der Arbeitnehmer. Der Arbeitgeber hat ein legitimes Interesse zu wissen, wie seine Belegschaft ihre Arbeitszeit verbringt, kann sie aber (elektronisch) nur eingeschränkt kontrollieren – erst recht, wenn von zuhause ausgearbeitet wird. Die dauerhafte Überwachung – etwa mittels eines Keyloggers – scheitert schon am allgemeinen Persönlichkeitsrecht der Arbeitnehmer. Zum anderen muss der Arbeitgeber aber auch den Schutz personenbezogener Daten seiner Lieferanten, Kunden und sonstiger Geschäftspartner gewährleisten. Der Arbeitgeber muss hier auf unterschiedlichen Ebenen tätig werden. Die Arbeitnehmer müssen konkrete Vorgaben zum gesetzeskonformen Umgang mit Daten erhalten, deren Einhaltung wenigstens stichprobenartig überprüft wird. Der Arbeitgeber muss für eine sichere (verschlüsselte) Kommunikation mit den Mitarbeitern im Homeoffice sorgen. Eine strikte Trennung von privaten und dienstlichen Daten ist gerade im Homeoffice unerlässlich.
Wir beraten Sie zu sämtlichen Fragen rund um den Beschäftigtendatenschutz bzw. den Datenschutz im Rahmen des Arbeitsverhältnisses.
Die Kanzlei Loschelder und Leisenberg kann ich nur empfehlen. Mir wurde selbst als ratsuchender Anwaltskollege sehr kompetent und unkompliziert zielführend bei einer Fragestellung geholfen, im Rahmen eines in meiner Kanzlei eingegangenen Mandats. Hier fehlten uns die speziell erforderlichen Fachkenntnisse, so dass ich mich an Herrn Kollegen Leisenberg gewandt habe. Mir wurde als Kollege sehr gut weitergeholfen. Mandanten und Ratsuchende sind in dieser Münchner Kanzlei ganz sicher bestens aufgehoben und beraten. Fünft Sterne für Beratung und Kompetenz wie auch gezeigtem Einsatz!
T WSehr gute telefonische Erreichbarkeit und spontane sehr kompetente und freundliche Beratung. Darauf folgte die umgehende Aufnahme meines Falls mit erfreulicher Konsequenz. Viel früher als erwartet konnte der Fall abgeschlossen und auch für meinen Kopf zu den Akten gelegt werden. Dabei war das Preis-Leistungs-Verhältnis aus meiner Sicht mehr als angemessen und ich möchte besonders den freundlichen und respektvollen Umgang mit mir als Mandantin hervorheben. Ich kann das gesamte Team nur aus voller Überzeugung weiter empfehlen und würde die Kanzlei auf jeden Fall wieder beauftragen. Auch wenn ich natürlich hoffe, dass das nicht nötig sein wird.
C HAußergewöhnlich freundliches und kompetentes Team in dieser Kanzlei. Rechtsanwalt Leisenberg hat mein Rechtsproblem äußerst schnell erfasst, bewertet und mir die rechtliche Situation mit den wahrscheinlichsten Szenarien aufgezeigt. Ganz herzlichen Dank dafür. Hier ist man sehr gut aufgehoben. Ich freue mich über Euren Erfolg und wünsche Euch weiterhin alles Gute.
J NSehr freundlich und schnell. Vielen Dank für die schnelle und kompetente Antwort. Nach der Beantwortung meines Anliegens war ich wieder beruhigt. Denke das man es besser und schneller nicht machen kann. Eine klare Weiterempfehlung meinerseits für LoschelderLeisenberg.
A CErstellung von Datenschutzerklärungen vom Anwalt für Datenschutz München
Wer eine Website betreibt, erhebt und verarbeitet zwangsläufig Daten der Nutzer der Website. Die Datenschutzerklärung dient dazu, die Nutzer der Seite darüber aufzuklären, ob und in welchem Umfang personenbezogene Daten verarbeitet werden. Der Inhalt der Datenschutzerklärung hängt davon ab, in welchem Umfang personenbezogene Daten erhoben werden bzw. welche Analysetools dazu verwendet werden. Bei der Erstellung der Datenschutzerklärung ist daher besondere Vorsicht geboten. Nicht alles, was auf den ersten Blick erwähnenswert erscheint, ist im Rahmen der Datenschutzerklärung auch zu erläutern. Umgekehrt kann es sein, dass bestimmte Datenverarbeitungsvorgänge gar nicht bekannt sind, sodass eine Erwähnung in der Datenschutzerklärung nicht stattfindet. Fehlt eine solche Datenschutzerklärung, weist sie Fehler auf und/oder ist sie unvollständig, können je nach Schwere des Verstoßes behördliche Bußgelder der datenschutzrechtlichen Aufsichtsbehörden verhängt werden. Auch eine wettbewerbsrechtliche Abmahnung durch Mitbewerber oder klagebefugte Verbände sind möglich.
Wir unterstützen Sie daher bei der Prüfung der Datenschutzkonformität von Datenverarbeitungen auf Ihrer Website, insbesondere bei der Einbindung von Drittanbieter-Tools zur Analyse und Verarbeitung von Daten. Ein besonderes Augenmerk liegt dabei auch auf der datenschutzkonformen Einbindung von sog. Cookie-Consent-Bannern. Ebenfalls unterstützen wir Sie bei der rechtskonformen Gestaltung Ihrer Datenschutzerklärung.
Die Informationspflichten nach der DSGVO gelten allerdings nicht nur für Webseiten. Grundsätzlich sind bei jeder Verarbeitung von personenbezogenen Daten die Betroffenen über die jeweilige Datenverarbeitung zu informieren. Das betrifft sowohl Informationspflichten in der Kundenbeziehung als auch die Verarbeitung von Daten durch Social-Media-Anwendungen.
Datenschutzerklärung erstellen lassen
Anwalt für Datenschutzrecht München berät bei Auftragsverarbeitung
Eine Datenverarbeitung findet längst nicht mehr nur in einem Unternehmen statt. Es werden z.B. Dienstleister beauftragt, denen entsprechende Daten anvertraut werden, Daten werden extern gespeichert und dort verwaltet. Diese alltäglichen Vorgänge werfen datenschutzrechtliche Fragen auf, die es zu beantworten gilt.
Fast alle Unternehmen bedienen sich eines Outsourcings von Arbeitsprozessen und lagern entsprechende Datenverarbeitungen auf externe Dienstleister aus. Der externe Dienstleister kann dabei Auftragsverarbeiter werden, der auf Weisung des Verantwortlichen handelt. In diesem Fall ist mit dem Auftragsverarbeiter ein Vertrag zu schließen, welcher die Anforderungen nach Art. 28 DSGVO erfüllen muss. Da mit der Auftragsverarbeitung auch eine Übermittlung von personenbezogenen Daten einher geht, muss unbedingt geregelt werden, wer für den Schutz der verarbeiteten Daten verantwortlich ist und welche technisch-organisatorischen Maßnahmen hierfür getroffen werden müssen. Dies ist auch im Hinblick einer Haftung gegenüber Aufsichtsbehörden bei Datenschutzverstößen eminent. Im Falle, dass der Auftragsverarbeiter seinen Geschäftssitz im außereuropäischen Ausland hat und/oder aus anderen Gründen ein Datentransfer in ein Drittland gegeben ist, sind entsprechende vertragliche Regelungen und Maßnahmen zu treffen.
Wir beraten Sie zu sämtlichen Fragen der Auftragsverarbeitung, des Outsourcings und verhandeln und gestalten entsprechende Verträge für Sie und Ihre Dienstleister.
Datenschutzorganisation im Unternehmen
Neben den zuvor erwähnten Themenbereichen stellt eine entsprechende Datenschutzorganisation im Unternehmen generell eine wesentliche Pflicht der DSGVO dar. Der Umfang der Datenschutzorganisation ist teilweise abhängig von der Größe des jeweiligen Unternehmens sowie der Art und dem Umfang der zu verarbeitenden Daten. So sind bei Unternehmen, die sog. besondere Kategorien von personenbezogenen Daten, also „sensible“ Daten verarbeiten, höhere organisatorische Pflichten zu beachten als bei Unternehmen, die nur gelegentlich Daten verarbeiten, die keinen besonderen Schutzzwecken unterliegen.
So kann je nach Größe des Unternehmens sowie je nach Art und Umfang der zu verarbeitenden Daten eine Pflicht zur Benennung eines Datenschutzbeauftragten bestehen. Der Datenschutzbeauftragte hat u.a. die Aufgabe zur Überwachung und Einhaltung datenschutzrechtlicher Vorgaben, er berät diesbezüglich das Unternehmen und dient als Anlaufstelle für die zuständige Aufsichtsbehörde.
Ebenfalls von der Größe des Unternehmens sowie von Art und Umfang der zu verarbeitenden Daten hängt die Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten („VVT“) ab. Im Falle, dass Unternehmen ein solches VVT führen müssen, gibt es wiederum eine Vielzahl von gesetzlichen Anforderungen hinsichtlich dieses Verzeichnisses zu erfüllen.
Technisch-organisatorische Maßnahmen („TOMs“) sind hingegen von jedem Unternehmen vorzusehen. Aber auch hier sind Art, Umfang, Umstände und Zwecke der Datenverarbeitung, die unterschiedliche Eintrittswahrscheinlichkeit sowie die Schwere des Risikos für betroffene Personen und letztlich sogar Implementierungskosten in Bezug auf die Geeignetheit der TOMs zu berücksichtigen. Unter diesen Begriff fallen generell sämtliche Maßnahmen, die die Sicherheit der Datenverarbeitung betreffen. Unternehmen, die in sensiblen Bereichen tätig sind, haben insofern höhere Sicherheitsverpflichtungen als Unternehmen, die nur gelegentlich kleinere Datenmengen verarbeiten. Bei Letzteren wird ein grundsätzliches Sicherheitsniveau auf Grundlage des Stands der Technik eher ausreichen.
Hat eine Form der Datenverarbeitung auf Grund von Art, Umfang, Umständen und Zwecken der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen zur Folge, so ist eine Abschätzung der Folgen im Wege einer sog. Datenschutz-Folgenabschätzung („DSFA“) durchzuführen. Zwingend durchzuführen ist eine DSFA bei systematischer und umfassender Bewertung persönlicher Aspekte im Rahmen von automatisierten Entscheidungen einschließlich Profilings sowie bei umfangreicher Verarbeitung sensibler Daten. Auch der Einsatz neuer Technologien kann eine solche DSFA erforderlich machen, soweit für die Rechte und Freiheiten der betroffenen Personen ein hohes Risiko bestehen kann.
Darüber hinaus kann es sein, dass für Datenübermittlungen in Drittländer zunächst eine entsprechende Abwägung der Interessen im Wege eines sog. Transfer Impact Assessments („TIA“) durchzuführen ist. Dies ist immer dann der Fall, wenn eine Übermittlung in Drittländer stattfinden soll, die kein angemessenes Datenschutzniveau vorweisen und die Übermittlung auf Standardvertragsklauseln gestützt werden soll. Für manche Länder hat die EU-Kommission im Wege eines Angemessenheitsbeschlusses ein angemessenes Datenschutzniveau festgestellt, sodass eine Übermittlung in diese Länder – je nach Ausgestaltung des Angemessenheitsbeschlusses – möglich ist.
Wir unterstützen Sie bei der Prüfung der in Ihrem Unternehmen vorhandenen und ggf. darüber hinaus zu treffenden Maßnahmen aus Datenschutzsicht. Insofern beraten wir Sie auch, ob für bestimmte Datenverarbeitungen eine DSFA und/oder ein TIA durchzuführen ist.
Darüber hinaus unterstützen wir Sie dabei, Awareness für Datenschutz im Unternehmen zu schaffen. Dies kann u.a. durch Richtlinien und entsprechende Schulungen der Mitarbeiter erfolgen. Sprechen Sie uns dazu an!
Und was passiert, wenn Datenverarbeitungen nicht korrekt erfolgen oder eine Datenpanne aus anderen Gründen stattfindet?
Wichtig ist, dass bei Kenntnis von Problemen im Datenschutz schnellstmöglich alle Informationen der Beteiligten im Unternehmen eingeholt werden und die Prüfung des Sachverhalts vorgenommen wird. Denn wenn sich der Verdacht einer Datenpanne bestätigt, ist Eile geboten.
Was ist eigentlich eine Datenpanne?
Bei einer sog. „Datenpanne“ findet eine Verletzung des Schutzes personenbezogener Daten statt. Nach der Legaldefinition in Art. 4 Nr. 12 DSGVO handelt es sich um eine Verletzung des Schutzes personenbezogener Daten, wenn deren Sicherheit unbeabsichtigt oder unrechtmäßig verletzt wird, was zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.
Eine Verletzung der Datensicherheit kann in drei Kategorien unterteilt werden: Vertraulichkeitsverletzung, Integritätsverletzung und Verfügbarkeitsverletzung. Eine objektive Schutzverletzung reicht aus, subjektive Umstände sind irrelevant. Beispiele für Integritätsverletzungen sind nachträgliche Veränderungen von Datensätzen, während Verfügbarkeitsverletzungen durch die Vernichtung oder den Verlust der Zugriffsmöglichkeit entstehen, wie es oft bei Hackerangriffen der Fall ist. Vertraulichkeitsverletzungen können durch fehlerhafte Adressierung von Briefen oder E-Mails (z.B. offener Verteiler) entstehen.
Bei einem Datenschutzvorfall sollte zunächst der zugrunde liegende Sachverhalt untersucht werden, insbesondere ob tatsächlich personenbezogene Daten betroffen sind und ob eine Verletzung der Datensicherheit vorliegt. Anschließend sollten sofortige Gegenmaßnahmen ergriffen werden, um weitere Schäden für die Rechte und Freiheiten der Betroffenen zu verhindern. Dazu gehört beispielsweise, bei einem Fehlversand sicherzustellen, dass Unterlagen datenschutzkonform vernichtet werden. Eine bloße Aufforderung an den Empfänger, die fälschlicherweise erhaltenen personenbezogenen Daten zu vernichten, reicht in der Regel nicht aus, um eine datenschutzkonforme Vernichtung sicherzustellen. Eine mögliche Lösung könnte jedoch darin bestehen, den Empfänger aufzufordern, die nicht für ihn bestimmten Unterlagen sowie eventuell angefertigte Kopien in einem beigefügten Freiumschlag zurückzusenden.
Die Ausprägungen von Datenpannen sind indes vielgestaltig und vielschichtig. Es bedarf grundsätzlich immer einer Prüfung im Einzelfall, ob durch eine solche Situation voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
Verantwortliche sind in diesem Fall verpflichtet, eine Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO), sofern die Verletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Inhaltlich muss die Meldung Angaben zur Art der Verletzung, den Folgen und Gegenmaßnahmen enthalten. Von einer Meldung kann abgesehen werden, wenn kein Risiko besteht.
Betroffene müssen immer dann unverzüglich benachrichtigt werden, wenn die Datenschutzverletzung ein hohes Risiko für ihre Rechte und Freiheiten darstellt (Art. 34 DSGVO). Die Benachrichtigung hat in klarer und einfacher Sprache zu erfolgen und muss mindestens die Art der Verletzung, die Kontaktdaten des Datenschutzbeauftragten, die Beschreibung der wahrscheinlichen Folgen und die ergriffenen Maßnahmen umfassen.
Die DSGVO stellt hohe Anforderungen an das Datenpannen-Management. Eine präventive und strukturierte Vorgehensweise im Umgang mit Datenschutzvorfällen ist essenziell, um Bußgelder und Reputationsschäden zu vermeiden. Wir unterstützen Sie bei der Bewertung, ob eine Datenpanne vorliegt und welche (Sofort-) Maßnahmen zu treffen sind. Ausführliche Informationen zum Thema Datenpanne finden Sie hier:
Datenpanne: Das müssen Sie bei einem Datenschutzvorfall beachten, so handeln Sie richtig!
Data Privacy Litigation / Prozessführung gem. DSGVO
Immer wichtiger wird auch die Prozessführung nach der DSGVO. Hier bildet vor allem Art. 82 DSGVO die Grundlage für Schadensersatzansprüche Betroffener. Denn danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
In letzter Zeit wurden Gerichtsentscheidungen veröffentlicht, in denen sich eine Tendenz zu häufigeren Klagen als auch zu teilweise höheren Schadensersatzzahlungen abzeichnet. Dies wird teilweise (und nicht unumstritten) damit begründet, dass durch hohe Schadensersatzzahlungen eine abschreckende Wirkung erzielt werden müsse.
Grundsätzlich ist jedem Unternehmen, welches personenbezogene Daten verarbeitet, daher anzuraten, sich mit der Thematik des immateriellen Schadensersatzes auseinanderzusetzen, da davon auszugehen ist, dass diesem Thema in der Zukunft immer größere Bedeutung zukommen wird. Insbesondere sollte auf den Datenschutz in sensiblen Bereichen wie etwa Arbeitsverhältnissen großes Augenmerk gelegt werden, da die Rechtsprechung den Betroffenen auf Grund der betroffenen Datenkategorien oftmals Schadensersatzansprüche in nicht geringer Höhe zuspricht.
Wir beraten und vertreten Sie in allen Verfahren, die ihren Rechtsgrund in der DSGVO haben, insbesondere bei der Geltendmachung und Abwehr von Schadensersatzansprüchen.
Fazit:
Datenschutz ist ein komplexes und dynamisches Rechtsgebiet, das an Bedeutung gewinnt. Im digitalen Zeitalter ist der Schutz personenbezogener Daten unverzichtbar.
Eine professionelle Rechtsberatung hilft, rechtliche Risiken zu minimieren und das Vertrauen Ihrer Kunden zu stärken. Dazu gehört die Erstellung von Datenschutzerklärungen, die Implementierung technischer und organisatorischer Maßnahmen sowie die Schulung Ihrer Mitarbeiter.
Die Einhaltung der Datenschutzgesetze bietet nicht nur rechtliche Sicherheit, sondern auch einen Wettbewerbsvorteil. Kunden bevorzugen Unternehmen, die verantwortungsvoll mit persönlichen Daten umgehen, was langfristige Kunden- und Vertragsbeziehungen fördern kann.
Als Anwalt für Datenschutz stehen wir Ihnen in allen Fragen und Belangen rund um den Datenschutz gerne zur Verfügung und bieten jederzeit kompetente Beratung durch unsere erfahrenen Anwältinnen und Anwälte. Kontaktieren Sie uns für eine unverbindliche Erstberatung und lassen Sie uns individuelle Lösungen entwickeln, die Ihren Anforderungen entsprechen.