IP / IT Sondernewsletter 05 / 2017

Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.

Nur noch 365 Tage – Ab dem 25. Mai 2018 ist in den EU-Mitgliedsstaaten ein neues Datenschutzrecht anwendbar. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt das bislang geltende Bundesdatenschutzgesetz (BDSG). Sie gilt unmittelbar nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen, die Daten von Betroffenen in der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensanalyse erheben oder verarbeiten. In einigen Regelungsbereichen eröffnet die DSGVO einen zusätzlichen Gestaltungsspielraum für die nationalen Gesetzgeber, der in Deutschland nunmehr mit der Verabschiedung des sog. Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG-EU) und damit einer Neufassung des BDSG genutzt wurde.

Wesentliche Neuerungen sind u.a.:

• die Erweiterung der Betroffenenrechte, insbesondere erweiterte Informationspflichten, die eine Anpassung von Datenschutzerklärungen und -hinweisen für Kunden, Lieferanten und Beschäftigte erfordern, sowie die Einführung des „Recht auf Vergessenwerden“ und des „Recht auf Datenportabilität“, die neue Geschäftsprozesse und technische Lösungen erfordern;
• neue Anforderungen an Einwilligungen;
• die Einführung einer Datenschutz-Folgenabschätzung;
• erhöhte Dokumentationspflichten für Datenverarbeiter und Auftragsverarbeiter, z.B. im Hinblick auf das Führen von Verfahrensverzeichnissen;
• erweiterte Pflichten zur Meldung von Datenvorfällen, die entsprechende unternehmensinterne Prozesse erfordern;
• die Umsetzung der Vorgaben zu „Privacy by Design“ (Erhebung und Verarbeitung möglichst weniger Daten) und „Privacy by Default“ (Einrichtung datenschutzfreundlicher Voreinstellungen in Datenverarbeitungssystemen);
• neue Anforderungen an technische und organisatorische Maßnahmen (TOM) in Bezug auf Datensicherheit, Dokumentation und Auditierung;
• die Neuregelung der Auftragsverarbeitung, die eine Anpassung der Auftragsdatenverarbeitungsverträge erfordert und
• die Einführung des sog. „Joint-Controllers“.

Nationale Besonderheiten

Trotz einer weitgehenden Harmonisierung innerhalb der EU wird es bei nationalen Besonderheiten bleiben. In Deutschland werden z.B. die in der DSGVO geregelten Fallgruppen für die Benennung eines Datenschutzbeauftragten durch das DSAnpUG-EU erweitert. Zudem müssen sich Unternehmen mit den dort vorgesehenen spezifischen Regelungen für die Bereiche Beschäftigtendatenschutz, Videoüberwachung und Profiling sowie den Sonderregelungen zu Betroffenenrechten befassen. 

Verschärfung der Sanktionen

Künftig drohen nach der DSGVO Bußgelder bis zu 20 Millionen oder 4% des konzernweiten Jahresumsatzes. Unternehmen sehen sich mit erheblichen Beweislastverschärfungen für den Nachweis einer datenschutzkonformen Geschäftstätigkeit konfrontiert. Im DSAnpUG-EU ist zudem geregelt, dass in Fällen rechtswidriger Datenverarbeitung auch Schadensersatzansprüche wegen Nichtvermögensschäden (Schmerzensgeld) geltend gemacht werden können. Allein vor diesem Hintergrund empfiehlt sich die sorgfältige Prüfung und Anpassung der unternehmensinternen Datenschutzorganisation und datenschutzrechtlich relevanten Dokumente.

Luther DSGVO-Compliance Check

Im Rahmen eines DSGVO-Compliance Checks steht am Anfang eine Bestandsaufnahme der relevanten Datenverarbeitungsprozesse Ihres Unternehmens. Dabei werden die verschiedenen Unternehmensbereiche betrachtet, und es wird im Rahmen eines Soll/Ist-Vergleichs Handlungsbedarf identifiziert. Im Anschluss begleiten wir Ihr Unternehmen bei der Umsetzung der nach der DSGVO erforderlichen datenschutzrechtlichen Maßnahmen. Hierbei setzen wir auch IT-gestützte Datenschutzmanagementsysteme ein. Wenn Sie bereits konkrete Einzelprojekte identifiziert haben (z.B. Anpassung der ADV-Verträge), unterstützen wir Sie hierbei gerne projektspezifisch.

Unsere Vorgehensweise

Unsere Module

Full Scope Check

Bei einer Full Scope Prüfung überprüfen wir die zentralen Unternehmensbereiche (Marketing/Vertrieb, Personal, Einkauf, IT, Governance) auf Basis unserer praxiserprobten Checklisten und begleiten das Unternehmen bei der Einführung eines Datenschutzmanagementsystems sowie der identifizierten Maßnahmen zur Herstellung von DSGVO-Compliance.

Delta Check

Bei Unternehmen, die bereits über einen hohen Datenschutz-Compliance-Standard verfügen,
identifizieren wir die im Zuge der DSGVO und des DSAnpUG-EU erforderlichen Änderungen und begleiten das Unternehmen bei der Umsetzung spezifischer Maßnahmen zur Herstellung von DSGVO-Compliance.

Konzern-Rollout

Abhängig von den Anforderungen des Unternehmens können Strukturen für den globalen Datenaustausch geschaffen und unter Einbindung unserer Partnerkanzleien in anderen EU-Ländern für ausländische Konzernunternehmen DSGVO Dokumente und Geschäftsprozesse eingeführt werden.

Unterstützung bei Einzelprojekten

• Anpassung der Templates für Verfahrensverzeichnisse, Auftragsverarbeitungsverträge, Checklisten etc.;
• Begleitung bei der Auswahl von Software zur Einführung eines IT-gestützten Datenschutzmanagementsystems;
• Begleitung bei der Erstellung und IT-gestützten Verwaltung von Verfahrensverzeichnissen;
• Einführung und Durchführung einer Datenschutzfolgenabschätzung;
• Bearbeitung von Auskunftsersuchen Betroffener („Information Request Defense“);
• Gestaltung des Einwilligungsmanagements;
• Anpassung von Datenschutzerklärungen;
• Revision des Archivierungskonzepts;
• Konzipierung von AGB (einschl. Antragsstrecke);
• Konzepte für Privacy by Design / Privacy by Default;
• Beratung zu Joint Controller-Konzepten / Intercompany Agreements/ EU/ EWR-Auslandstransfers/ Binding Corporate Rules;
• Prüfung der Auslagerung von Daten in die Cloud.

Mit Luther zu DSGVO-Compliance

Unser Team besteht aus Experten, die über langjährige und umfangreiche Erfahrungen im Datenschutzrecht verfügen und mit Herausforderungen des Datenschutzes in der Praxis vertraut sind. Wir beraten nationale und internationale Unternehmen aus unterschiedlichen Branchen hinsichtlich der Umsetzung materieller und formeller Anforderungen des Datenschutzrechts. Unser Beratungsangebot umfasst die datenschutzkonforme Ausgestaltung von Geschäftsprozessen, den Aufbau und die Einführung einer effektiven Datenschutzorganisation im Unternehmen, die Einführung von Vertrags- und Regelwerken für den internationalen und konzerninternen Datenaustausch, sowie die Erstellung von entsprechenden Betriebsvereinbarungen, Richtlinien, Handlungsanweisungen, Einwilligungen und Datenschutzhinweisen.

Neben der beratenden Tätigkeit sind unsere Experten als externe Datenschutzbeauftragte für zahlreiche Unternehmen tätig bzw. unterstützen betriebliche Datenschutzbeauftragte. Zur Umsetzung der DSGVO im Unternehmen und im Konzern haben unsere Experten bereits in zahlreichen Workshops und Implementierungsprojekten ihre Expertise einbringen können.

Dr. Jörg Alshut Rechtsanwalt, Partner Luther Rechtsanwaltsgesellschaft mbH Berlin Telefon +49 30 52133 21890 joerg.alshut@luther-lawfirm.com

Silvia C. Bauer Rechtsanwältin, Partnerin Luther Rechtsanwaltsgesellschaft mbH Köln Telefon +49 221 9937 25789 silvia.c.bauer@luther-lawfirm.com

Dr. Maximilian Dorndorf Rechtsanwalt, Partner Luther Rechtsanwaltsgesellschaft mbH Essen Telefon +49 201 9220 24027 maximilian.dorndorf@luther-lawfirm.com

Dr. Stefanie Hellmich, LL.M. Rechtsanwältin, Counsel Luther Rechtsanwaltsgesellschaft mbH Frankfurt am Main Telefon +49 69 27229 24118 stefanie.hellmich@luther-lawfirm.com

Dr. Kay Oelschlägel Rechtsanwalt, Partner Luther Rechtsanwaltsgesellschaft mbH Hamburg Telefon +49 40 18067 12175 kay.oelschlaegel@luther-lawfirm.com

Dr. Michael Rath Rechtsanwalt, Partner Luther Rechtsanwaltsgesellschaft mbH Köln Telefon +49 221 9937 25795 michael.rath@luther-lawfirm.com

Dr. Wulff-Axel Schmidt Rechtsanwalt, Partner Luther Rechtsanwaltsgesellschaft mbH Frankfurt a.M. Telefon +49 69 27229 27078 wulff-axel.schmidt@luther-lawfirm.com

Carsten A. Senze Rechtsanwalt, Partner Luther Rechtsanwaltsgesellschaft mbH Stuttgart Telefon +49 711 9338 25222 carsten.a.senze@luther-lawfirm.com