Merz & Lauf – Ihre Ansprechpartner für Datenschutz im Unternehmen.

Datenschutz: Priorität im Zeitalter der Digitalisierung

Die Beachtung des Datenschutz ist für nahezu jedes Unternehmen von elementarer Bedeutung und sollten daher gerade im Zeitalter der Digitalisierung eine der obersten Prioritäten darstellen. Dabei stehen nicht nur der Schutz und dessen technische Realisierung personenbezogener Daten von Kunden und Geschäftspartnern im unmittelbaren Fokus, sondern ebenfalls derer von Mitarbeitern. Wir sind als Ihr Datenschutzbeauftragter aktiv oder übernehmen die Schulung Ihres internen Datenschutzbeauftragten.

Einwilligung des Betroffenen
Der Datenschutzbeauftragte eines Unternehmens
Auftragsdatenverarbeitung zwischen Unternehmen

Aufgrund der Vielzahl von umfassenden Regelungen im Bundesdatenschutzgesetz und der seit Mai 2018 anwendbaren europäischen Datenschutzgrundverordnung, empfiehlt es sich für Unternehmen, sich zu einem frühestmöglichen Zeitpunkt mit der Thematik des Datenschutzrechts und der IT-Sicherheit auseinanderzusetzen, um so bestehende oder bereits umgesetzten Regelungen des Gesetzgebers mittels Schulungen, unternehmensinterner Richtlinien und der Anpassung von Abläufen umsetzen zu können.

Wichtige Eckpunkte können hierbei, neben der Frage nach der Notwendigkeit und den Pflichten eines Datenschutzbeauftragten, die vertragliche Absicherung eines Auftragsdatenverarbeitungsverhältnisses zur einen Auftragsdatenverarbeitungs-Vertrages (ADV-Vertrag), die IT-Infrastruktur des Unternehmens oder die Sensibilisierung der Mitarbeiter auf datenschutzrechtliche Standards sein. Diese und weitere Tätigkeiten können wir als externer Datenschutzbeauftragter übernehmen oder aber eine Schulung Ihres internen Datenschutzbeauftragten vollziehen.

Im Bereich der IT-Sicherheit ist eine Zertifizierung auf Basis des IT-Grundschutzes nach ISO 27001, als internationale Zertifizierungsnorm für Informationssicherheitsmanagementsysteme (ISMS), möglich. Diese ist besonders für international tätige Unternehmen interessant. Mithilfe von ISMS kann die Verfügbarkeit von IT-Systemen von Unternehmen erhöht sowie die Integrität und der Datenschutz betrieblicher Daten sichergestellt werden.

Weiterhin enthalten die BSI-Standards des Bundeamtes für Sicherheit in der Informationstechnik Empfehlungen zu Methoden, Prozessen und Verfahren mit Bezug zur Informationssicherheit. Im Rahmen unserer regulären Tätigkeit stellen wir immer wieder fest, dass insbesondere hinsichtlich der nachfolgenden Punkte in den meisten Unternehmen akuter Handlungsbedarf besteht.

Einwilligung des Betroffenen

Nicht nur im Umgang mit Kunden, auch im Unternehmen gilt: Viele Vorgänge der Verwendung von Daten benötigten eine Einwilligung des Betroffenen. Entsprechend des Bundesdatenschutz-Gesetzes (BDSG) muss der Betroffene einer Datenerhebung, -verarbeitung und -nutzung freiwillig zustimmen. Zusätzlich ist er auf den Zweck der Datenerhebung sowie auf seine Rechte und auf die Folgen der Ablehnung der Einwilligung hinzuweisen. Eine entsprechende Erklärung muss dem Betroffenen immer gut erkenntlich sein, d.h. bei mehreren Erklärungen getrennt erklärt werden.
Grundsätzlich ist für die Einwilligung die Schriftform erforderlich, jedoch sind unter besonderen Umständen im Einzelfall Ausnahmen zulässig. Die Einwilligung muss durch den Betroffenen jederzeit widerrufen werden können. Sprechen Sie uns an, wenn Sie rechtliche Unterstützung bei der Erstellung von Einwilligungserklärungen benötigen.

Auftragsdatenverarbeitung zwischen Unternehmen

Bei einer Auftragsdatenverarbeitung (ADV) handelt es sich um das Auslagern eines Datenverarbeitungsprozesses oder einzelner Teile eines solchen an einen externen Dienstleister. Dieser tritt hierbei als weisungsgebundener Gehilfe des Auftraggebers auf, welcher die Datenverarbeitung aufgrund und im Rahmen eines konkreten Auftrages durchführt. Auftragsdatenverarbeiter sind grundsätzlich schriftlich zu bestellen.

Vor dem Zustandekommen eines Auftragsdatenverarbeitungsverhältnisses ist der Auftraggeber grundsätzlich in der Pflicht, den jeweiligen Verarbeiter der Daten unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Zusätzlich ist dieser auf die Einhaltung der Regelungen des BDSG und weiterer datenschutzrechtlicher Normen zu überprüfen. Hierbei ist es im Interesse des Auftraggebers seinen (Kontroll-)Pflichten nachzukommen, da jedes Fehlerverhalten des Auftragsdatenverarbeiters zugleich dem Auftraggeber zugerechnet wird.

Beispiele für Auftragsdatenverarbeitungs-Verhältnisse zwischen Unternehmen:

  • Vergabe von Druckereiaufträgen
  • Verwaltung und Fernwartung von Druckern und Multifunktionsgeräten
  • Aktenvernichtung durch externe Dienstleister.

Hiervon abzugrenzen ist die Funktionsübertragung, welche die Zuständigkeitsauslagerung für einen gesamten Geschäftsprozess („Business Process Outsourcing“) beschreibt. Diese entspricht einer Datenübermittlung und bedarf somit grundsätzlich der Zustimmung des Betroffenen.

Der Datenschutzbeauftragte eines Unternehmens

Sobald bei der automatisierten Datenverarbeitung ständig mehr als neun Personen, oder bei der Verarbeitung auf andere Weise mindestens 20 Personen beschäftigt sind, sind Unternehmen dazu verpflichtet, innerhalb eines Monats nach der Aufnahme ihre Tätigkeiten einen internen oder externen Datenschutzbeauftragten schriftlich zu bestellen. Dieser muss dabei die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen, wobei hierfür der Umfang der im Unternehmen getätigten Datenverarbeitung maßgeblich ist. Die Geschäftsführung ist dabei verpflichtet, den Datenschutzbeauftragten bei der Ausübung seiner Tätigkeiten zu unterstützen.

Zu dem Aufgabenspektrum eines Datenschutzbeauftragten gehören:

  • Einwirkung auf die Einhaltung datenschutzrechtlicher Normen
  • Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen
  • Sensibilisierung der an der Verarbeitung personenbezogener Daten beteiligten Personen für den Datenschutz
  • Verarbeitende Personen mit den Erfordernissen und den Normen des Datenschutzrechts vertraut  machen

Ein Grundbaustein bildet hierbei das individuell auf das Unternehmen zugeschnittene Datenschutzkonzept. Bei der Erstellung des Datenschutzkonzeptes sind die jeweiligen Rechtsgrundlagen der Verarbeitung, wie z.B. die Zulässigkeit der Verarbeitung, zu überprüfen. Des Weiteren sind interne und externe Verfahrensverzeichnisse zu erstellen und die datenschutzrechtlichen Grundprinzipien zu berücksichtigen.

Soweit für das Unternehmen keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, so hat der Leiter des Unternehmens die Erfüllung der Aufgaben des Datenschutzbeauftragten sicherzustellen.

Ihr Ansprechpartner

Dieter Merz


Rechtsanwalt Dieter Merz
Fachanwalt für Arbeitsrecht

Telefon: 0351 - 89692140
E-Mail an Dieter Merz


Wir arbeiten im Bereich Datenschutz und IT-Sicherheit mit einem qualifizierten Kooperationspartner aus Dresden zusammen, der die folgenden Qualifikationen nachweisen kann: IT-Systemingenieur | IT-Security-Beauftragter (TÜV®) | Auditor für Datenschutz und Datensicherheit (TÜV®) | Datenschutzbeauftragter (TÜV®) | Behördlicher Datenschutzbeauftragter (TÜV®) | Geprüfter und anerkannter Sachverständiger für Datenschutz und Datensicherheit (DESAG)

Urteile zum Datenschutzrecht

Problematischer Umgang mit Mobbingvorwürfen

Kürzlich veröffentlichte die spanische Datenschutzaufsichtsbehörde, dass sie gegen einen spanischen Hotelbetrieb ein Bußgeld in Höhe von 15.000 EUR ausgesprochen hat. Hintergrund ist, dass sich eine Mitarbeiterin in einem privaten Brief…
Menü