IP / IT Sondernewsletter 05 / 2017
Nur noch 365 Tage – Ab dem 25. Mai 2018 ist in den EU-Mitgliedsstaaten ein neues Datenschutzrecht anwendbar.
Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt das bislang geltende Bundesdatenschutzgesetz (BDSG). Sie gilt unmittelbar nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen, die Daten von Betroffenen in der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensanalyse erheben oder verarbeiten. In einigen Regelungsbereichen eröffnet die DSGVO einen zusätzlichen Gestaltungsspielraum für die nationalen Gesetzgeber, der in Deutschland nunmehr mit der Verabschiedung des sog. Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG-EU) und damit einer Neufassung des BDSG genutzt wurde.
Umsetzung der EU-Datenschutz-Grundverordnung
Bitte nur ausfüllen, wenn Text auf Startseite erscheinen soll.
Nur noch 365 Tage – Ab dem 25. Mai 2018 ist in den EU-Mitgliedsstaaten ein neues Datenschutzrecht anwendbar. Die EU-Datenschutz-Grundverordnung (DSGVO) ersetzt das bislang geltende Bundesdatenschutzgesetz (BDSG). Sie gilt unmittelbar nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen, die Daten von Betroffenen in der EU im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen oder der Verhaltensanalyse erheben oder verarbeiten. In einigen Regelungsbereichen eröffnet die DSGVO einen zusätzlichen Gestaltungsspielraum für die nationalen Gesetzgeber, der in Deutschland nunmehr mit der Verabschiedung des sog. Datenschutz-Anpassungs- und Umsetzungsgesetzes (DSAnpUG-EU) und damit einer Neufassung des BDSG genutzt wurde.
Wesentliche Neuerungen sind u.a.:
- die Erweiterung der Betroffenenrechte, insbesondere erweiterte Informationspflichten, die eine Anpassung von Datenschutzerklärungen und -hinweisen für Kunden, Lieferanten und Beschäftigte erfordern, sowie die Einführung des „Recht auf Vergessenwerden“ und des „Recht auf Datenportabilität“, die neue Geschäftsprozesse und technische Lösungen erfordern;
- neue Anforderungen an Einwilligungen;
- die Einführung einer Datenschutz-Folgenabschätzung;
- erhöhte Dokumentationspflichten für Datenverarbeiter und Auftragsverarbeiter, z.B. im Hinblick auf das Führen von Verfahrensverzeichnissen;
- erweiterte Pflichten zur Meldung von Datenvorfällen, die entsprechende unternehmensinterne Prozesse erfordern;
- die Umsetzung der Vorgaben zu „Privacy by Design“ (Erhebung und Verarbeitung möglichst weniger Daten) und „Privacy by Default“ (Einrichtung datenschutzfreundlicher Voreinstellungen in Datenverarbeitungssystemen);
- neue Anforderungen an technische und organisatorische Maßnahmen (TOM) in Bezug auf Datensicherheit, Dokumentation und Auditierung;
- die Neuregelung der Auftragsverarbeitung, die eine Anpassung der Auftragsdatenverarbeitungsverträge erfordert und
- die Einführung des sog. „Joint-Controllers“.
Nationale Besonderheiten
Trotz einer weitgehenden Harmonisierung innerhalb der EU wird es bei nationalen Besonderheiten bleiben. In Deutschland werden z.B. die in der DSGVO geregelten Fallgruppen für die Benennung eines Datenschutzbeauftragten durch das DSAnpUG-EU erweitert. Zudem müssen sich Unternehmen mit den dort vorgesehenen spezifischen Regelungen für die Bereiche Beschäftigtendatenschutz, Videoüberwachung und Profiling sowie den Sonderregelungen zu Betroffenenrechten befassen.
Verschärfung der Sanktionen
Künftig drohen nach der DSGVO Bußgelder bis zu 20 Millionen oder 4% des konzernweiten Jahresumsatzes. Unternehmen sehen sich mit erheblichen Beweislastverschärfungen für den Nachweis einer datenschutzkonformen Geschäftstätigkeit konfrontiert. Im DSAnpUG-EU ist zudem geregelt, dass in Fällen rechtswidriger Datenverarbeitung auch Schadensersatzansprüche wegen Nichtvermögensschäden (Schmerzensgeld) geltend gemacht werden können. Allein vor diesem Hintergrund empfiehlt sich die sorgfältige Prüfung und Anpassung der unternehmensinternen Datenschutzorganisation und datenschutzrechtlich relevanten Dokumente.
Luther DSGVO-Compliance Check
Im Rahmen eines DSGVO-Compliance Checks steht am Anfang eine Bestandsaufnahme der relevanten Datenverarbeitungsprozesse Ihres Unternehmens. Dabei werden die verschiedenen Unternehmensbereiche betrachtet, und es wird im Rahmen eines Soll/Ist-Vergleichs Handlungsbedarf identifiziert. Im Anschluss begleiten wir Ihr Unternehmen bei der Umsetzung der nach der DSGVO erforderlichen datenschutzrechtlichen Maßnahmen. Hierbei setzen wir auch IT-gestützte Datenschutzmanagementsysteme ein. Wenn Sie bereits konkrete Einzelprojekte identifiziert haben (z.B. Anpassung der ADV-Verträge), unterstützen wir Sie hierbei gerne projektspezifisch.
Unsere Vorgehensweise
Unsere Module
Full Scope Check
Bei einer Full Scope Prüfung überprüfen wir die zentralen Unternehmensbereiche (Marketing/Vertrieb, Personal, Einkauf, IT, Governance) auf Basis unserer praxiserprobten Checklisten und begleiten das Unternehmen bei der Einführung eines Datenschutzmanagementsystems sowie der identifizierten Maßnahmen zur Herstellung von DSGVO-Compliance.
Delta Check
Bei Unternehmen, die bereits über einen hohen Datenschutz-Compliance-Standard verfügen,
identifizieren wir die im Zuge der DSGVO und des DSAnpUG-EU erforderlichen Änderungen und begleiten das Unternehmen bei der Umsetzung spezifischer Maßnahmen zur Herstellung von DSGVO-Compliance.
Konzern-Rollout
Abhängig von den Anforderungen des Unternehmens können Strukturen für den globalen Datenaustausch geschaffen und unter Einbindung unserer Partnerkanzleien in anderen EU-Ländern für ausländische Konzernunternehmen DSGVO Dokumente und Geschäftsprozesse eingeführt werden.
Unterstützung bei Einzelprojekten
- Anpassung der Templates für Verfahrensverzeichnisse, Auftragsverarbeitungsverträge, Checklisten etc.;
- Begleitung bei der Auswahl von Software zur Einführung eines IT-gestützten Datenschutzmanagementsystems;
- Begleitung bei der Erstellung und IT-gestützten Verwaltung von Verfahrensverzeichnissen;
- Einführung und Durchführung einer Datenschutzfolgenabschätzung;
- Bearbeitung von Auskunftsersuchen Betroffener („Information Request Defense“);
- Gestaltung des Einwilligungsmanagements;
- Anpassung von Datenschutzerklärungen;
- Revision des Archivierungskonzepts;
- Konzipierung von AGB (einschl. Antragsstrecke);
- Konzepte für Privacy by Design / Privacy by Default;
- Beratung zu Joint Controller-Konzepten / Intercompany Agreements/ EU/ EWR-Auslandstransfers/ Binding Corporate Rules;
- Prüfung der Auslagerung von Daten in die Cloud.
Mit Luther zu DSGVO-Compliance
Unser Team besteht aus Experten, die über langjährige und umfangreiche Erfahrungen im Datenschutzrecht verfügen und mit Herausforderungen des Datenschutzes in der Praxis vertraut sind. Wir beraten nationale und internationale Unternehmen aus unterschiedlichen Branchen hinsichtlich der Umsetzung materieller und formeller Anforderungen des Datenschutzrechts. Unser Beratungsangebot umfasst die datenschutzkonforme Ausgestaltung von Geschäftsprozessen, den Aufbau und die Einführung einer effektiven Datenschutzorganisation im Unternehmen, die Einführung von Vertrags- und Regelwerken für den internationalen und konzerninternen Datenaustausch, sowie die Erstellung von entsprechenden Betriebsvereinbarungen, Richtlinien, Handlungsanweisungen, Einwilligungen und Datenschutzhinweisen.
Neben der beratenden Tätigkeit sind unsere Experten als externe Datenschutzbeauftragte für zahlreiche Unternehmen tätig bzw. unterstützen betriebliche Datenschutzbeauftragte. Zur Umsetzung der DSGVO im Unternehmen und im Konzern haben unsere Experten bereits in zahlreichen Workshops und Implementierungsprojekten ihre Expertise einbringen können.
 | Dr. Jörg Alshut
|
 | Silvia C. Bauer
|
 | Dr. Maximilian Dorndorf
|
 | Dr. Stefanie Hellmich, LL.M.
|
 | Dr. Kay Oelschlägel
|
 | Dr. Michael Rath
|
 | Dr. Wulff-Axel Schmidt |
 | Carsten A. Senze |
