Lädt...

DSGVO? Kostenlose Erst­beratung

Ab 150€ datenschutzrechtlich korrekt sein
In Kooperation mit einer Anwaltskanzlei
Schnell, zuverlässig und effizient

Warum sich für uns entscheiden?

Zertifiziert

Team aus TÜV-geprüften Datenschutzbeauftragten, die sich auf den Datenschutz in Unternehmen spezialisiert haben.

Rechtskonformität

Überwachung der Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) und nationaler Sonderregelungen (BDSG-neu).

Handlungs-Empfehlungen

Ableitung von Maßnahmen, die zur Herstellung der Rechtskonformität erforderlich sind. Umsetzung durch unseren IT-Spezialisten.

Die Aufgaben der Unternehmen - laut DSGVO

Erstellung folgender Verzeichnisse

Unter Anweisung der Geschäftsführung an die Verantwortlichen der Fachbereiche erstellen und aktualisieren wir in Rücksprache das Verzeichnis der Verarbeitungstätigkeiten.

Artikel 2 Abs. 1 DSGVO:
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Artikel 4 Nr. 2 DSGVO: - zur "Verarbeitung"
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Teil des Verarbeitungsverzeichnisses ist die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Artikel 32 DSGVO:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
Durchführung einer Datenschutz-Folgenabschätzung, zur Gewährleistung der Datenschutzkonformität bei besonders riskanten Datensätzen (z.B. Gesundheitsdaten).

Artikel 35 Abs. 1 DSGVO
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Erstellung einer Datenschutzerklärung, die Sie Ihren Kunden öffentlich zur Verfügung stellen sollten (z.B. auf Ihrer Webseite). Hier erfahren Ihre Kunden, welche Daten Sie erheben und wie diese verarbeitet werden.
Auf Grundlage folgender Artikel in der DSGVO:

Artikel 12: Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Abs. 1 - Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.

Artikel 13: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Abs. 1 - Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: (usw.)

Artikel 14: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
Abs. 1 - Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: (usw.)

Artikel 15: Auskunftsrecht der betroffenen Person
Abs. 1 - Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden;

Artikel 16: Recht auf Berichtigung
Abs. 1 - Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Artikel 17: Recht auf Löschung ("Recht auf Vergessenwerden")
Abs. 1 - Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen;

Artikel 18: Recht auf Einschränkung der Verarbeitung
Abs.1 - Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen,

Artikel 19: Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Abs.1 - Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit;

Artikel 20: Recht auf Datenübertragbarkeit
Abs. 1 - Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln;

Artikel 21: Widerspruchsrecht
Abs. 1 - Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen;

Artikel 22: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Abs 1 - Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Herangehens­weise

Wir arbeiten effizient, zuverlässig und verfolgen stets einen perfektionistischen Ansatz:

1. Absprache mit der Geschäftsführ­ung

2. Durchführung besprochener Punkte

3. DSGVO Rechtskonform durchstarten

Kontakt

Rufnummer
+49 17643802581
Adresse
Urbanstraße, 10967 Berlin

Bitte alle Felder ausfüllen.

FAQ

Wer braucht einen Datenschutzbeauftragten?
Die Verpflichtung, einen Datenschutzbeauftragten einzusetzen, gilt für:

  • alle öffentlichen Stellen (§§ 12 ff. BDSG)
  • alle nicht-öffentliche Stellen – Unternehmen – (§§ 27 ff. BDSG)
  • mindestens Mitarbeitern, die regelmäßig personenbezogene Daten automatisch verarbeiten (§ 4f Abs. 1 BDSG)
  • Verantwortliche die umfangreich besondere Kategorien von Daten verarbeiten
  • Unternehmen die eine umfangreiche, regelmäßige und systematische Überwachung benötigen
In welcher Form ist ein DSB zu benennen?
Die Vorschrift der Benennung eines Datenschutzbeauftragten in Schriftform gibt es nach der neuen DS-GVO nicht mehr. Es ist jedoch ratsam einen Datenschutzbeauftragen aus Gründen der Beweislast und Rechtsklarheit schriftlich zu benennen.

Hinweis: Eine klare Definierung der Aufgaben des Datenschutzbeauftragten im Vertrag sind empfehlenswert.
Innerhalb welcher Frist ist der DSB zu benennen?
Sobald die Vorrausetzungen vorliegen besteht eine sofortige Pflicht. Vorherige Benennungen, nach dem Bundesdatenschutzgesetz, bleiben bestehen, werden allerdings nach der DS-GVO auszurichten sein.
Können auch externe Datenschutzbeauftragte benannt werden?
Nach Art. 37 Abs. 6 DS-GVO ist die Benennung eines externen Datenschutzbeauftragten zulässig. Dies gilt auch für öffentliche Stellen.
Aufgaben eines Datenschutzbeauftragten
Zu den Aufgaben eines Datenschutzbeauftragten zählen:

  • Gewährleistung des Datenschutzes im Unternehmen
  • Aufbau und Kontrolle der Datensicherheit im Unternehmen
  • Management von Reputation und Auftreten des Unternehmens im Bereich Datenschutz
  • Gewährleistung der Unternehmenssicherheit
  • Aufbau und Organisation von datenschutzkonformen IT-Strukturen
  • Schulung und Unterweisung der Unternehmensmitarbeiter im Datenschutz
  • Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten
  • Zusammenarbeit mit datenschutzrechtlichen Kontrollbehörden im Auftrag des Unternehmens
Was sind die wichtigsten Fähigkeiten eines DSB?
Die Verpflichtung, einen Datenschutzbeauftragten einzusetzen, gilt für:

  • Nachweisbare Fachkunde
  • Juristische Kenntnisse
  • IT-Kenntnisse
  • Betriebswirtschaftliche Kenntnisse
  • Zuverlässigkeit
  • Neutralität

Weitere Punkte

Einen gemeinsamen Datenschutzbeauftragte benennbar?
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten benennen (vgl. Artikel 37 Absatz 2 DSGVO). Bedingung ist, dass der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann.
Behörden oder öffentliche Stellen haben die Möglichkeit, für mehrere Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten zu benennen (Art. 37 Absatz 3 DSGVO, vgl. Art. 32 Absatz 3 JI-RL).
In Bezug auf die Struktur und Größe der Organisation, muss der Verantwortliche sicherstellen, dass der gemeinsame Datenschutzbeauftragte in der Lage ist, den Aufgaben, die ihm übertragen wurden, Genüge zu leisten.
Bedeutung einer „umfangreichen“ Überwachung
Die DS-GVO stellt keine Definition des Begriffs "umfangreich" zur Verfügung. Folgende Faktoren können aus Erwägungsgrund 91 der DS-GVO für die Beurteilung, ob eine "umfangreiche" Überwachung bzw. Verarbeitung vorliegt, herangezogen werden:

- (große) Menge personenbezogener Daten (Volumen), - Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt), - Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) - Dauer der Verarbeitung (zeitlicher Aspekt).

Sind mehrere Faktoren hoch, so spricht dies für eine "umfangreiche" Überwachung bzw. Verarbeitung.

Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt (Erwägungsgrund 91 der DS-GVO).
Wann liegt eine leichte Erreichbarkeit laut Art. 37 vor?
Nach dem Artikel 37 Absatz 2 DS-GVO wird von einer leichten Erreichbarkeit gesprochen, wenn die persönliche und die sprachliche Erreichbarkeit für Beschäftigte, Aufsichtsbehörde sowie Betroffene gewährleistet ist. Hierzu müssen im Unternehmen folgende Vorbereitungen getroffen werden:
  • Das Einrichten einer Hotline
  • Ein Kontaktformular auf der Homepage
  • Sprechstunden für Beschäftigte im Unternehmen

Wichtig ist, dass die Kontaktdaten intern im Unternehmen über das Intranet (Organigramm oder ähnliches) bekannt gegeben und die Kontaktdaten über die Webseite ersichtlich hinterlegt werden. (Art. 37 Abs. 7 DS-GVO, zusätzlich müssen die Kontaktdaten an die Aufsichtsbehörde mitgeteilt werden)
Welche Ressourcen müssen dem Datenschutzbeauftragten zur Verfügung gestellt werden?
1. Art. 38 Abs. 1 DS-GVO – Der Datenschutzbeauftragte muss ordnungsgemäß und zeitig in alle mit dem Schutz personenbezogene Daten zusammenhängenden Fragen eingebunden werden.

2. Art. 38 Abs. 2 DS-GVO sieht die Unterstützung des Datenschutzbeauftragen in der Erfüllung seiner Aufgaben vor. Das bedeutet das Bereitstellen der notwendigen Ressourcen (Arbeitszeit, Räume und Mitarbeiter). Zudem muss der Zugang zu personenbezogenen Daten und Verarbeitungsprozessen ermöglicht werden. Und die Fort- und Weiterbildung für das notwendige Fachwissen des Datenschutzbeauftragten.

3. Art. 38 Abs. 3 Satz 1 DS-GVO – Der Datenschutzbeauftragte ist weisungsunanbhängig.
Besonderheiten bei der Pflicht zur Benennung eines DSB bei Gesundheitsberufen
Für die Pflicht der Bestellung eines Datenschutzbeauftragten gelten seit Umsetzung der Datenschutz-Grundverordnung neue Regelungen. Dazu hat die Datenschutzkonferenz ihre Auffassung zur Anwendung der DSGVO bei Arztpraxen, Apotheken und sonstigen Gesundheitsberufen veröffentlicht.

Grundsätzlich wird bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs von keiner umfangreichen Datenverarbeitung ausgegangen, wenn weniger als zehn Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Hier muss also kein Datenschutzbeauftragter nach Art. 9 DSGVO benannt werden, obwohl die Verarbeitung von sensiblen (besonderen) Daten stattfindet.