Alexander Ingelheim

Ein Mitarbeiter hat einen USB-Stick in der Bahn vergessen oder ein E-Mail-Account im Unternehmen wurde gehackt? In diesem Artikel klären wir, ob jede Panne meldepflichtig ist und wie die DSGVO zwischen Verstößen und Verletzungen unterscheidet.

Seit dem Inkrafttreten der DSGVO und der Erweiterung der Meldepflichten bei Datenschutzvorfällen wurden bereits europaweit hunderte von Datenpannen an die nationalen Aufsichtsbehörden gemeldet. Eines der wohl spektakulärsten Fälle ist sicherlich, das von der französischen Aufsichtsbehörde verhängte Bußgeld in Höhe von 50 Mio. Euro gegen Google. Datenschutzpannen treffen jedoch nicht nur die großen Konzerne und "global player" sondern auch immer öfter kleinere Unternehmen.

Angesichts der vielen personenbezogenen Daten spielt der Datenschutz bei der Gehaltsabrechnung eine wichtige Rolle. Dabei entwickeln sich auch die gesetzlichen und technischen Rahmenbedingungen stetig weiter – etwa durch neue Regelungen zur elektronischen Lohnsteuerabrechnung (ELStAM) und aktuelle Gerichtsurteile zur digitalen Abrechnung. Hier erfahren Sie, was es dabei zu beachten gibt.

Die Datenschutzgrundverordnung (DSGVO) vereinheitlicht den Datenschutz in europäischen Unternehmen. Um ihre Anforderungen umzusetzen, empfiehlt sich der Aufbau eines strukturierten Datenschutzmanagements: Dabei werden alle datenschutzrelevanten Prozesse im Unternehmen zentral geplant, gesteuert, umgesetzt und kontrolliert. Für eine systematische und dokumentierte Umsetzung bietet sich ein Datenschutzmanagementsystem an. Es etabliert verbindliche Standards, sorgt für Transparenz gegenüber Aufsichtsbehörden und unterstützt Mitarbeiter mit klaren Richtlinien.

Welche Unterschiede gibt es zwischen einem internen und externen Datenschutzbeauftragten – und welcher passt besser zu den individuellen Anforderungen Ihres Unternehmens? In diesem Beitrag vergleichen wir beide Modelle im Hinblick auf Kosten, Fachkompetenz, Haftung und Flexibilität. So erhalten Sie eine fundierte Entscheidungsgrundlage für die passende Datenschutzstrategie.

Was ist ein Datenschutz­beauftragter nach DSGVO und welche Anforderungen muss er erfüllen? Informieren Sie sich jetzt und lassen Sie sich bei Ihrer Suche nach einem Experten beraten.

Sie müssen SCC abschließen, weil Sie personenbezogene Daten an einen außereuropäischen Auftragsverarbeiter übermitteln? Dazu braucht es nun neben den SCC ein TIA. Doch was genau ist das Transfer Impact Assessment und wie wird es angefertigt? Wir klären auf.

Ob stationäre oder ambulante Pflege – wir helfen Ihnen bei der Umsetzung der DSGVO in Ihrer Pflegeeinrichtung. Mit dem Fortschreiten der Digitalisierung, neuen gesetzlichen Regelungen wie der elektronischen Patientenakte (ePA) und dem Gesundheitsdatennutzungsgesetz (GDNG) steigen die Anforderungen an Pflegeeinrichtungen. Datenschutz ist integraler Bestandteil einer verantwortungsvollen Pflegepraxis.

Das Datenschutzrecht ist in Deutschland in einer Vielzahl von Gesetzen geregelt. Spricht man von betrieblich relevanten Datenschutzbestimmungen, ist in erster Linie die Rede von der Datenschutzgrundverordnung (DSGVO). Diese ist die zentrale Rechtsquelle für den umfassenden Schutz personenbezogener Daten. Ergänzt wird sie durch das Bundesdatenschutzgesetz (BDSG-neu) und die jeweiligen Landesdatenschutzgesetze. Aufgrund der Vielzahl von Datenschutzgesetzen ist es für Unternehmen von großer Bedeutung, die einzelnen Vorschriften und Verpflichtungen zur Datensicherheit genau zu kennen.

Die DSGVO hat für die Haftung Datenschutzbeauftragter Änderungen gebracht und das Risiko von Schadenersatzzahlungen insgesamt erhöht. Hier erfahren Sie, in welchen Fällen die Haftung für Datenschutzbeauftragter (DSB) gilt und was das für Ihr Unternehmen bedeuten kann. So viel vorweg: Es gibt große Unterschiede zwischen der Haftung externer und interner Datenschutzbeauftragter.

Auch bei Unternehmenstransaktionen (Mergers & Acquisitions) gewinnt der Datenschutz an Bedeutung, da sich das Haftungsrisiko für Investoren seit der DSGVO stark erhöht hat. Wir erklären, welche Datenschutz-Aspekte in der Due Diligence zu beachten sind.

Pseudonymisierung und Anonymisierung können die Datenschutz-Compliance für Unternehmen vereinfachen. Dennoch steht hinter den beiden Begriffen oft noch ein großes Fragezeichen. Wir klären auf.

Wurden auch Sie schon einmal Opfer eines Identitätsdiebstahls? Gerade im digitalen Zeitalter passiert dies schneller als je zuvor. Über unzureichend geschützte Daten haben es Hacker:innen leicht, Daten zu sammeln und diese missbräuchlich zu verwenden.

Die Erhebung und Verarbeitung von personenbezogenen Daten müssen gemäß DSGVO dem Grundsatz der Zweckbindung erfolgen. Daten dürfen also nur für eindeutige und legitime Zwecke erhoben und verarbeitet werden. Was bedeutet das konkret?

Bereits vor der DSGVO sah das alte Bundesdatenschutzgesetz eine Löschung von Daten in bestimmten Fällen vor. Viele Unternehmen das Thema Datenlöschung nicht ernst genommen und folglich ihre Löschpflicht nicht konsequent umgesetzt. Mit der seit dem 25. Mai 2018 geltenden EU-Datenschutzverordnung (DSGVO) können sich Unternehmen angesichts drastisch erhöhter Bußgeldrahmen bei Datenpflichtverstößen Nachlässigkeiten in diesem Bereich nicht mehr leisten. Denn eines ist klar: Zu jedem datenschutzkonformen Datenmanagement im Unternehmen gehört zwingend ein entsprechendes Löschkonzept. Was ist dabei zu beachten?

Der Datenschutz für Arbeitnehmer ist ein weites Feld, in dem sich Beschäftigte und Unternehmen gleichermaßen auskennen sollten. Warum ein konkretes Gesetz dringend notwendig ist und was damit auf Unternehmen zukommen könnte, zeigt dieser Artikel.

Für viele sind die Begrifflichkeiten des Widerspruchsrechts und des Widerrufsrechts nahezu identisch. Manche wissen zu keinem der Begriffe eine passende Definition und es kommt schnell zur Verwirrung, wenn diese Rechtsbegriffe fallen. Was diese Begriffe bedeuten und welche Rechte für den Verbraucher entstehen zeigen wie hier.

Eine Definition für die „Verarbeitung“ von Daten findet sich in Art. 4 Nr. 2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“.

Der Datenschutz stellt sicher, dass personenbezogene Daten eines jeden Einzelnen vor unerlaubter Erhebung, Verarbeitung und Weitergabe geschützt sind. Zum Datenschutz gehören außerdem alle Gesetze, die auf den Schutz dieser Daten abzielen und den Datenmissbrauch durch Dritte verhindern sollen.

Die Einhaltung der DSGVO in einem Unternehmen wird sowohl vom Datenschutzbeauftragten als auch von der zuständigen Aufsichtsbehörde kontrolliert.

Sie wollen im Datenschutz immer auf dem neuesten Stand sein? Wir sind mit topaktuellen Themen zum Datenschutz immer für Sie da!

Wenn Daten im Auftrag und unter Weisung eines Unternehmens von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag abschließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungsvertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungsvertrag – kurz AV-Vertrag – ersetzt. Hierbei handelt es sich um einen Vertrag, den jedes Unternehmen abschließen muss, das personenbezogene Daten von einem anderen Anbieter oder Dienstleister verarbeiten lässt.

Im Jahr 1996 in Kraft getreten, reguliert das Telekommunikationsgesetz (TKG) grundsätzlich den Wettbewerb im Bereich der Telekommunikation. Durch das Integrieren der Telekommunikations-Kundenschutzverordnung (TKV) sowie einige Modifizierungen des Gesetzes beinhaltet das TKG mittlerweile auch mehrere Regelungen hinsichtlich des Datenschutzes. In dieser Hinsicht ist es auch für Unternehmen relevant. Ebenso wie das Telemediengesetz (TMG) ist es im Vergleich zum Bundesdatenschutzgesetz (BDSG) und der Datenschutzgrundverordnung (DSGVO) spezieller. Das bedeutet, dass grundsätzlich das BDSG und DSGVO mit ihren Regelungen anzuwenden sind, solange nicht der Anwendungsbereich des TKG betroffen ist. Zweck des Telekommunikationsgesetzes ist grundsätzlich die Förderung von Wettbewerb und die Stärkung von Infrastruktur in der Telekommunikation.

Datenschutz ist wichtig, weil wir mit seiner Hilfe vor Datenmissbrauch geschützt werden. Ein derartiger Schutz wird vor allem im Zusammenhang mit der Digitalisierung immer wichtiger.

Unter Telemedien versteht man Dienste, durch die Informationen als elektronische Daten zugänglich gemacht werden. Das sind zum Beispiel Access Providing, Telebanking, Online-Pressedienste, aber auch die Kommunikation per E-Mail. Das 2007 in Kraft getretene Telemediengesetz (TMG) regelte insbesondere Datenschutz und Haftung in diesem Bereich. Für Unternehmen statuierte das TMG im Hinblick auf den Datenschutz einige Pflichten. Diese Vorschriften wurden jedoch mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25.05.2018 verdrängt.

Die Datenschutzgrundverordnung (DSGVO) schreibt Unternehmen vor, technische und organisatorische Maßnahmen (TOM) zu ergreifen, um personenbezogene Daten sicher zu verarbeiten. TOM umfassen Instrumente, mit denen Unternehmen den Datenschutz gewährleisten müssen. Art. 25 verpflichtet Verantwortlliche außerdem zur Datenschutz-Dokumentation. Erfahren Sie, was im Zusammenhang mit TOM noch zu beachten ist.

Betriebsgeheimnisse, firmeneigenes Wissen, geheime und vertrauliche Informationen, Kunden- oder personenbezogene Daten – all diese Daten können mit einer Verschwiegenheitserklärung oder auch Geheimhaltungsvereinbarung geschützt werden. Im englischen bekannt als NDA (Non-Disclosure-Agreement) sind Verschwiegenheitserklärungen für Mitarbeiter häufig Bestandteile von Arbeitsverträgen. Die Vertragsparteien sind dabei der Mitarbeiter selbst und der Arbeitgeber.

Das Wort „Risikomanagement“ ist für viele Unternehmer kein Fremdwort – und doch ist es, in Verbindung mit der Datenschutzgrundverordnung, für viele ein Buch mit sieben Siegeln. Das aber muss es nicht sein, denn die Datenschutz-Risikoanalyse gleicht einer herkömmlichen Risikoanalyse.

Spätestens mit der verschärften europäischen Datenschutzgrundverordnung kam die Verpflichtung zur regelmäßigen Berichterstattung mittelbar auf die betrieblichen Datenschutzbeauftragten zu.

Erstellen Sie Ihr Verarbeitungsverzeichnis rechtssicher und digital.

Mit der EU-Datenschutzgrundverordnung und dem neuen Bundesdatenschutzgesetz kommt der Rolle des Datenschutzbeauftragten seit dem 25. Mai 2018 eine noch größere Bedeutung zu als bisher. Nach wie vor hat das Unternehmen die Wahl, einen internen oder externen Datenschutzbeauftragten zu ernennen. In beiden Fällen wird der Datenschutzbeauftragte auf vertraglicher Basis tätig: In der internen Form in einer Erweiterung des Arbeitsvertrages, in der externen Form im Rahmen einer Dienstleistung. Es ist inhaltlich manches zu beachten, wenn der Vertrag des Datenschutzbeauftragten seinen Zweck zur Zufriedenheit aller Beteiligten erfüllen und eine erfolgreiche Datenschutzarbeit gewährleisten soll.

Je mehr personenbezogene Daten in einem Unternehmen verarbeitet werden, umso höher ist das Risiko für unzureichend organisierte Prozesse. Dies gilt gerade für die Datenverarbeitung in Großkonzernen. Hierfür gibt es eine Lösung: Konzerndatenschutzbeauftragte. Laut DSGVO dürfen einzelne Personen als Datenschutzbeauftragte für ganze Unternehmensgruppen benannt werden und fungieren somit als Konzerndatenschutzbeauftragte. Diese Konzerndatenschutzbeauftragten bieten zahlreiche Vorteile und nehmen großen Unternehmen und Großkonzernen hinsichtlich des Konzerndatenschutzes viel Arbeit ab.

An der Ernennung eines Datenschutzbeauftragten kommen viele Unternehmen aufgrund gesetzlicher Vorschriften nicht vorbei, da die Vorgaben der EU-Datenschutzgrundverordnung sowie das neue Bundesdatenschutzgesetz diesen voraussetzen. Im Gegenteil, durch die neuen Gesetze werden noch mehr Unternehmen verpflichtet, die Position des DSB zu besetzen. Die Kosten für Datenschutzbeauftragte werden somit für eine wachsende Anzahl von Unternehmen zum Thema. Sie interessieren sich für den Kostenvergleich zwischen internen und externen Datenschutzbeauftragten? Dann lesen Sie hier weiter.

Neben dem Bundesdatenschutzgesetz (BDSG) gelten in Deutschland die sechzehn Landesdatenschutzgesetze (LDSG) für die jeweiligen Bundesländer. Größtenteils sind diese deckungsgleich mit den Regelungen des Bundesdatenschutzgesetzes; es ergeben sich jedoch auch ein paar Unterschiede. Die Gesetze des LDSG regeln allgemein den Datenschutz in öffentlichen Stellen des Landes. Für Unternehmen gelten sie damit in aller Regel nicht – sofern nicht der unten beschriebene Ausnahmefall Anwendung findet.

Neben dem sachlichen Anwendungsbereich muss auch der räumliche Anwendungsbereich der DSGVO eröffnet sein. Da es sich hier um EU-Recht handelt, stellt sich die Frage, wie genau der räumliche Anwendungsbereich definiert ist und wann er eröffnet ist. Wie steht es zum Beispiel um Firmen, die ihren Hauptsitz in den USA haben, aber ihre Server in Europa? Was ist mit Firmen, die Daten von EU-Bürgern verarbeiten, aber keine Filiale in der EU haben?

Die Datenschutzgrundverordnung (DSGVO) sieht zum besseren Schutz personenbezogener Daten u.a. das sogenannte Double-Opt-in-Verfahren vor. Wir erklären Ihnen, was es mit diesen (Double)-Opt-in- und Opt-Out-Verfahren auf sich hat.

Die Datenschutzgrundverordnung (DSGVO) hat die Betroffenenrechte im Datenschutz umfassend gestärkt. So sieht die DSGVO nun umfangreiche Informationspflichten für Unternehmen vor. Das bedeutet, dass Unternehmen grundsätzlich in der Pflicht sind, betroffene Personen umfassend darüber zu informieren, wenn das Unternehmen personenbezogene Daten wie etwa Namen oder Mail-Adressen von dem Betroffenen verarbeitet. Im Besonderen zählen zu den betroffenen Personen Bewerber, Mitarbeiter, Geschäftspartner, Kunden und Interessenten. Reicht also beispielsweise ein Bewerber seine Bewerbungsunterlagen ein, so ist dieser Bewerber über die wesentlichen Rahmenbedingungen, wie seine Daten im Unternehmen verarbeitet werden, zu informieren.

Zahlreiche Unternehmen trifft die gesetzliche Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen. Im Zuge der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) hat sich der Kreis der verpflichteten Unternehmen erweitert. Es besteht die Wahl zwischen einem internen und einem externen DSB. Auf den ersten Blick scheint einiges dafür zu sprechen, sich für den internen Datenschutzbeauftragten zu entscheiden. Ein interner DSB erweist sich allerdings aus verschiedenen Gründen nicht immer als optimale Wahl.

Die Stelle eines Datenschutzbeauftragten in einem Unternehmen darf besetzen, wer über die entsprechende Fachkunde und Qualifikation verfügt. Unsicherheiten bestehen dabei über den Erwerb der datenschutzrechtlichen Kenntnisse. Die seit Mai 2018 verbindlich geltende EU-Datenschutzgrundverordnung schafft auch nicht mehr Klarheit, wenn es um die notwendigen Kenntnisse des betrieblichen Datenschutzbeauftragten geht.

Datenschutzrechtlich gelten personenbezogene Daten als schützenswert. Sie sind es, auf die sich entsprechende datenschutzrechtliche Vorschriften fokussieren. Die Frage, ob auch dynamische IP-Adressen zu den personenbezogenen Daten gerechnet werden müssen, hat bereits einige Gerichte auf nationaler und europäischer Ebene beschäftigt. Tatsächlich müssen Unternehmen zukünftig sehr aufmerksam sein, wenn es um dynamische IP-Adressen und Datenschutz geht.