Datenschutz-Beratung

Die Datenschutzberatung konzentriert sich auf den Schutz personenbezogener Daten und die Einhaltung der Datenschutzgesetze. Die umfassende Unterstützung und Beratung zum Thema Datenschutz erfolgt oftmals durch einen externen Datenschutzberater. Der externe Datenschutzberater unterstützt das betreffende Unternehmen oftmals bei der Planung und Implementierung von technischen und organisatorischen Maßnahmen zur Datensicherheit. Andererseits unterstützt der Datenschutzberater häufig bei der Erstellung der Datenschutz-Dokumentation, z.B. Datenschutzerklärung, Verarbeitungsverzeichnis, Richtlinien, Auftragsverarbeitungsvertrag. 

Der externe Datenschutzbeauftragte oder der Datenschutzberater kann Schwachstellen in der IT-Sicherheit aufdecken, Datenschutzverletzungen  und Verstöße gegen Datenschutz-, Wettbewerbs- und IT-Recht verhindern. Bei einem sorglosen Umgang mit personenbezogenen Daten drohen neben Bußgeldern, Abmahnungen, Betroffenenanfragen, strafrechtlichen Ermittlungen auch ein Reputationsverlust.

Im Gegensatz zum Datenschutzbeauftragten ist die Funktion des Datenschutzberaters nicht gesetzlich normiert. 

Jedes Unternehmen, das mindestens 20 Mitarbeiter beschäftigt, die regelmäßig Daten von natürlichen Personen verarbeiten, muss einen Datenschutzbeauftragten bestellen. Dies ist gesetzlich vorgeschrieben (§ 38 BDSG). Die Kontaktdaten des Datenschutzbeauftragten müssen der Datenschutz-Aufsichtsbehörde mitgeteilt werden.

Jedes Unternehmen muss die gesetzlichen Vorgaben zum Datenschutz erfüllen. Die Befreiung von der Pflicht zur Benennung eines Datenschutzbeauftragten, befreit nicht vor der Umsetzung der übrigen Vorgaben der DSGVO. Eine Datenschutzberatung kann vor allem bei kleinen Unternehmen mit weniger als 20 Mitarbeitern relevant sein. Die Datenschutzberatung kann außerdem bei fehlenden personellen Ressourcen, unzureichendem Know-How des internen Datenschutzbeauftragten oder bei Projekten mit Datenschutzrelevanz zum Tragen kommen. 

Die Kosten variieren und hängen von dem geplanten Vorhaben ab. Folgende Faktoren spielen hierbei eine Rolle: Punktuelle oder ganzheitliche Unterstützung, interne Ressourcen, DSGVO-Umsetzungsstand, Unternehmensgröße, Standorte, Branche. 

Bei Verstößen gegen den Datenschutz drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, falls dieser höher ist. 

Bei einem Datenschutzverstoß handelt es sich um einen Verstoß gegen die Datenschutz-Grundverordnung. Beispiele sind z.B. die Missachtung der Informationspflichten oder der Benennungspflicht zum Datenschutzbeauftragten, ein unvollständiges Verarbeitungsverzeichnis oder ein fehlendes IT-Sicherheitskonzept. Auch eine Datenschutzverletzung – umgangssprachlich auch Datenpanne, Datenschutzpanne, Datenleck bezeichnet- stellt einen Verstoß gegen die DSGVO dar. 

Jede Website muss eine Datenschutzerklärung  bereitstellen. Auch wenn Besucher die Webseite rein informativ nutzen, werden dennoch personenbezogene Daten wie die IP-Adresse über Server-Logfiles erfasst. Daher ist es eine grundlegende Verpflichtung des Website-Betreibers, in einer Datenschutzerklärung umfassend über die Art, den Zweck und den Umfang der Datenverarbeitung zu informieren. 

Wenn ausschließlich technisch notwendige Dienste auf der Website verwendet werden, ist ein Cookie-Consent-Banner tatsächlich nicht erforderlich. Jedoch wird, sobald Tracking-Tools und Dienste zur Reichweitenmessung zusätzlich eingesetzt werden, ein Cookie-Banner für Marketing-, Third-Party- oder Tracking-Cookies benötigt. Diese Anforderung ergibt sich insbesondere aus § 25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). 

Ein Impressum ist erforderlich für jede Online-Präsenz mit gewerblichem Zweck. Im Gegensatz dazu ist für Webseiten oder Social-Media-Kanäle, die ausschließlich privaten Zwecken dienen, kein Impressum erforderlich. 

Ein Datenschutz Audit ist eine systematische Prüfung im Hinblick auf die Datenschutzkonformität eines Unternehmens. Während eines Datenschutz-Audits wird analysiert, in welchem Maße die gesetzlichen Datenschutzbestimmungen  von der Organisation umgesetzt wurden (Ist-Zustand) und wo eventuell noch Verbesserungsmöglichkeiten bestehen, um den gesetzlichen Anforderungen gerecht zu werden (Soll-Zustand). 

Im Gegensatz zu einigen Rechtsgebieten wie dem Handels- und Steuerrecht sieht die Datenschutz-Grundverordnung (DSGVO) kein Konzernprivileg vor. Stattdessen gelten Unternehmen innerhalb einer Unternehmensgruppe als eigenständige rechtliche Einheiten und jeweils als “Verantwortliche” im Sinne der DSGVO. Daher ist für Datenübermittlungen innerhalb eines Konzerns eine eigene Rechtsgrundlage erforderlich. Es existieren jedoch einige Ausnahmeregelungen in den Erwägungsgründen, die oft als “kleines Konzernprivileg” bezeichnet werden. 

Bei einem EU-Vertreter handelt es sich um eine in der Europäischen Union (EU) niedergelassene natürliche oder juristische Person, die von einem außereuropäischen Unternehmen (ohne Niederlassung in der EU) bestellt wurde. Der EU-Vertreter vertritt das außereuropäische Unternehmen in Bezug auf die ihnen jeweils nach der DSGVO obliegenden Pflichten. Der EU-Vertreter nach Art. 27 DSGVO dient bei sämtlichen Fragen im Zusammenhang mit dem Datenschutz als Anlaufstelle für die betroffenen Personen und Aufsichtsbehörden.