Datenschutz und die damit verbundene Compliance ist eine stetige Herausforderung für Unternehmen, vor allem aufgrund der immer weiter steigenden Anforderungen an die Unternehmens-Compliance aber auch die zunehmende Bedrohung durch Cyber-Kriminalität.

Das Compliance- und Datenschutzteam von SCHULTE RECHTSANWÄLTE. berät Unternehmen und Unternehmer bei der compliance- und datenschutzkonformen Gestaltung von Geschäftsmodellen einschließlich der datenschutzrelevanten Unternehmensprozesse und Strukturen.

Unsere Schwerpunkte.

Beratung digitaler Geschäftsmodelle.

In einer zunehmend digitalisierten Welt sind innovative Geschäftsmodelle essenziell für den Erfolg Ihres Unternehmens. Dabei ist den gesetzlichen und regulatorischen Anforderungen an die Datenverarbeitung ebenso Rechnung zu tragen wie den Fragen rund um die Speicherung und Weitergabe von Daten innerhalb von Matrix- oder Konzernstrukturen. Wir unterstützen Unternehmen und Unternehmer bei der rechtssicheren Gestaltung ihrer digitalen Geschäfts- und Unternehmensprozesse und deren rechtskonformer Umsetzung auf Grundlage der aktuellen Rechtsprechung der nationalen Gerichte und des Europäischen Gerichtshofs.

Beratung bei der Einführung von IT-Systemen und Software.

Die Einführung von IT-Systemen und Softwarelösungen birgt nicht nur Herausforderungen im Hinblick auf den Schutz der Daten von Beschäftigten, Kunden, Lieferanten und Dienstleistern, sondern insbesondere auch das Potential für Auseinandersetzungen mit den Mitarbeitervertretungen. Wir beraten Sie bei der Auswahl und der datenschutzkonformen Einführung von IT-Lösungen und begleiten Sie durch den gesamten Prozess der Implementierung. Wir unterstützen Sie bei der Vorbereitung und strategischen Planung der Verhandlungen mit den Mitarbeitervertretungen und begleiten Sie durch den gesamten Verhandlungsprozess bis hin zu einem gegeben falls notwendigen Einigungsstellenverfahren.

Cyberkriminalität Abwehr und -Beratung.

Die zunehmende Digitalisierung und Vernetzung der Wirtschaft bringt ein erhöhtes Risiko für Cyber-Attacken mit sich. Cyber-Attacken stellen für Unternehmen und Organisationen eine immer relevanter werdende und sehr ernstzunehmende Bedrohung dar, nicht nur aufgrund der hierdurch drohenden wirtschaftlichen (Reputations-) Schäden, sondern auch wegen möglicher Bußgelder der Aufsichtsbehörden und Schadenersatzansprüchen Betroffener. Unsere Beratungsleistungen reichen von der präventiven Beratung und Einführung eines effektiven Risikomanagement-Systems zum Schutz vor Cyber-Bedrohungen, der Analyse Ihrer bestehenden Prozesse und Dokumentationen im Bereich der Incident-Response-Managements bis hin zu Ihrer Unterstützung und Vertretung im Falle eines Cyber-Angriffs.

Auditierung und Implementierung von Hinweis- und Meldestellen nach dem Hinweisgeberschutzgesetz und dem Lieferkettensorgfaltspflichtengesetz.

Das Hinweisgeberschutzgesetz (HinSchG) und das Lieferkettensorgfaltspflichtengesetz (LKSG) zwingen viele Unternehmen zumindest mittelbar zur Implementierung von Prozessen zur rechtskonformen Umsetzung der gesetzlichen Anforderungen und zur Einrichtung eigener Meldestellen.

Wir unterstützen Sie bei der Implementierung wirksamer Präventions- und Kontrollmechanismen entlang Ihrer Lieferketten.

Schulung von Unternehmensführung, Führungskräften und Mitarbeitenden.

Die Schulung der Unternehmensleitung, von Führungskräften und Mitarbeitenden ist ein wesentlicher Bestandteil einer effektiven Compliance- und Datenschutzorganisation. Wir bieten Schulungen und Awareness-Trainings für die Stakeholder Ihres Unternehmens und schärfen das Bewusstsein für Cyber-Bedrohungen und die Einhaltung interner Vorgaben und Richtlinien zum Danteschutz und der IT-Sicherheit.

Unsere Expertise.

Unsere Kernkompetenz ist die Beratung von Compliance-, Datenschutz- und Geschäftsgeheimnisschutzkonzepten, einschließlich der Schnittstellen zum kollektiven Arbeitsrecht sowie dem Beschäftigtendatenschutz und die Unterstützung unserer Mandanten bei deren Einführung und Umsetzung. Wir führen die erforderlichen Verhandlungen mit Arbeitnehmervertretungen und übernehmen die Kommunikation gegenüber den datenschutzrechtlichen Aufsichtsbehörden und die Vertretung gegenüber und staatlichen Stellen, auch im Fall von (echten oder vermeintlichen) Datenschutzverstößen.

Ihre Ansprechpartner.

Thorsten Walter.
Neue Mainzer Straße 28
60311 Frankfurt am Main

T: +49 69 900 26-823
F: +49 69 900 26-999
E: thorsten.walter@schulte-lawyers.com
Markus Söding.
Neue Mainzer Straße 28
60311 Frankfurt am Main

T: +49 69 900 26-815
F: +49 69 900 26-999
E: markus.soeding@schulte-lawyers.com

Datenschutzrechtliche Themen.

Zum Ein-/Ausblenden weiterer Informationen auf den Titel klicken.

Auftragsverarbeitung

Auftragsverarbeitung (ehemals auch Auftragsdatenverarbeitung) ist die Erhebung, Verarbeitung oder Nutzung von Personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung verantwortlichen auf Grundlage eines Vertrages. Der Auftragsverarbeiter ist also selbst kein Verantwortlicher im Sinne der DSGVO, sondern handelt für diesen.


AVV

Ein Auftragsverarbeitungsvertrag („AVV) regelt die Rechte und Pflichten von Auftraggebern und -nehmern im Rahmen der Datenverarbeitung innerhalb eines bestimmten IT-Prozesses. Der Inhalt dieses Vertrages hat sich an den Vorgang des Art. 28 Abs. 3 DS-GVO zu orientieren.


Joint-Controller-Agreement

Ein Joint Controller Agreement ist eine Vereinbarung über die gemeinsame Verantwortlichkeit im Sinne des Artikels 26 DSGVO. Zwei oder mehrere Verantwortliche können gemeinsame Zwecke und Mittel zur Verarbeitung festlegen. Der Vertrag enthält Bestimmungen dazu, wer von Ihnen welche Verpflichtung gemäß der Vereinsverordnung erfüllt, insbesondre was Wahrnehmung der Rechte der betroffenen Personen angeht, und wer welchen informationspflichten nachkommt.


Controller-Controller-Agreement

Ein Controller-Controller-Agreement schließen zwei verantwortliche, die in gewisser Weise kooperieren, aber nicht gemeinsame verantwortliche im Sinne des Artikel 26 DSGVO werden wollen. Dieses Agreement bietet sich an, um darin gegenseitige Rechte und Pflichten abzustecken.


DSGVO

Die Datenschutzgrundverordnung ist eine europäische Rechtsnorm und bildet die Grundlage des europäischen und deutschen Datenschutzrechts. Sie ist die Zentrale Norm und ist in Verbindung mit den Erwägungsgründen dazu zu lesen. Auf nationaler Ebene wird Sie durch Sätze wohlmöglich umgesetzt.


BDSG

Das Bundesdatenschutzgesetz ist die Zentrale Rechtsnorm des deutschen Rechts, mit der die DSGVO für Deutschland umgesetzt wird. Sie steht keinesfalls isoliert da, sondern muss in Verbindung mit der DSGVO gelesen und verstanden werden.


TTDSG

Das Telemedien und Telekommunikationsdatenschutzgesetz ist seit Dezember 2021 in Kraft und tritt neben das BDSG als Zentrale Rechtsquelle im deutschen Recht. Im TTDSG werden die Datenschutzrechtlichen Bestimmungen aus dem TMG und TKG gesamte und teilweise ergänzt.


PIMS

Mittels Personal Information Management System (PIMS) können zentral Einstellungen in Bezug auf die Nutzung und Gestattung von Cookies abgegeben werden. Die im PIMS vorgenommenen Einstellungen werden an die angebundenen Betreiber von Homepages weitergegeben. So soll vermieden werden, dass bei jedem Besuch einer Homepage erneut alle Einstellungen vorgenommen werden müssen.


Compliance

Weil das Datenschutzrecht Europarecht ist, müssen neben den nationalen gesetzten auch die Europäischen Rechtsnormen beachtet werden. Große Relevanz haben auch die Rechtsprechungen des Europäischen Gerichtshofes, der sich regelmäßig zu der DSGVO verhält.


Bußgelder

Verstöße gegen das Datenschutzrecht sind Bußgeld bewährt. Die Datenschutzbehörden tendieren dazu, sehr hohe Bußgelder zu verhängen. Durch gutes Management und einen nachgehaltenen Datenschutz, zeigt die Erfahrung aber, dass vor Gerichten die Bußgelder häufig reduziert werden können.


Personenbezogene Daten

Unter personenbezogenen Daten versteht man sämtliche Informationen, die sich auf eine bestimmte oder eine bestimmbare natürliche Person beziehen. Bestimmbar ist eine Person dann, wenn man sie, ohne dass man ihren Namen kennt, aufgrund bestimmter sonstiger Hinweise identifizieren kann. Personenbezogene Daten sind zum Beispiel Name, Adresse, Geburtsdatum, Nationalität, Religionszugehörigkeit, Größe, Augenfarbe, Kleidergröße, Allergien, sonstige Auffälligkeiten. Dazu gehört auch das Foto einer Person.


Besondere Kategorien personenbedingter Daten

Wegen ihrer besonderen, individuellen Relevanz genießen Daten wie Gesundheitsdaten, biometrische Daten, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit oder auch sexuelle Orientierung einen erhöhten Schutz.


Datenverarbeitung

Der Begriff Datenverarbeitung ist sehr weitgehend. Er umfasst alles, was mit den Daten gemacht wird. Umfasst sind beispielsweise das Erheben, das Erfassen, das Ordnen, die Speicherung, die Anpassung oder Veränderungen, das Abfragen, die Verwendung, jede Art der Datenweitergabe aber auch das Löschen oder die Vernichtung von Daten.


„Beschäftigter“

Beschäftigte im Sinne dieses Gesetzes sind Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, zu ihrer Berufsbildung Beschäftigte, Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), in anerkannten Werkstätten für behinderte Menschen Beschäftigte, Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten, Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.


Datenschutzbeauftragte

Ein Datenschutzbeauftragter ist vorgeschrieben in Unternehmen mit mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG), wenn für die Datenverarbeitungen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist oder wenn der Betrieb personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§ 38 Abs. 1 BDSG). Er wacht über die Einhaltung des Datenschutzes im Unternehmen und fungiert als Schnittstelle zwischen Arbeitgeber und Aufsichtsbehörde.


Datenverarbeitung im Arbeitsverhältnis

Nach § 26 Abs. 1 S. 1 BDSG ist eine Datenverarbeitung im Arbeitsverhältnis zulässig, wenn diese erforderlich ist und sie ausschließlich dem Zweck des Beschäftigungsverhältnisses dient, also der Begründung, der konkreten Durchführung oder auch der Beendigung. Relevant ist also schon der Bewerbungsprozess!


Einwilligung im Arbeitsverhältnis

Eine Datenverarbeitung kann auch eine Einwilligung gestützt werden. Allerdings ist eine Wirksamkeitsvoraussetzung deren Freiwilligkeit, die im Arbeitsverhältnis stets zu bezweifeln ist. Deshalb und wegen der Möglichkeit des Widerrufs sollte wo es umsetzbar auf andere Rechtsgrundlagen.