Datenschutzrecht

Datenschutzrechtliche Beratung für Ihr Unternehmen

Wir unterstützen Ihr Unternehmen bei der Umsetzung der rechtlichen Anforderungen aus der Datenschutz-Grundverordnung („DSGVO“), dem Bundesdatenschutzgesetz („BDSG“) und weiterer datenschutzrechtlicher Spezialgesetze.

Dabei stehen wir Ihrem Unternehmen als erfahrene Rechtsanwälte oder als bestellte externe Datenschutzbeauftragte zur Verfügung.

Als Anwälte beraten wir gezielt Ihr Unternehmen oder unterstützen Ihre Rechtsabteilung im Datenschutzrecht.

Als externe Datenschutzbeauftragte sind wir der zentrale und permanente Ansprechpartner für den Datenschutz in Ihrem Unternehmen oder im Konzernverbund.

Fragen Sie bei uns an, welche Lösung für Sie passend ist.

Jetzt kontaktieren

Die drei Datenschutz Kernprozesse, die jedes Unternehmen braucht

Die Umsetzung der DSGVO erfordert ein hohes Maß an Organisation und Spezialwissen im Datenschutzrecht.

Fakt ist: Personenbezogene Daten finden sich in (fasst) jedem Projekt oder Prozess und die DSGVO wird (fasst) immer relevant sein.

Um den rechtmäßigen Ablauf in Ihrem Unternehmen sicherzustellen, ist ein Datenschutz-Compliance-Management-System unerlässlich.

Das Fundament des Datenschutz-Compliance-Management-Systems sind die drei Datenschutz Kernprozesse:

Datenschutzkonforme Verarbeitung
Sicherstellung Betroffenenrechte
Umgang mit (möglichen) Datenschutzverletzungen

Kernprozess 1: Datenschutzkonforme Verarbeitung

Im diesem Kernprozess wird zunächst die wesentliche Frage geklärt, ob personenbezogene Daten auf die geplante Weise verarbeitet werden dürfen.

Kann dies bejaht werden, muss das „wie“ der Verarbeitung geklärt werden.

Die DSGVO sieht dabei umfassende Nachweispflichten für Verantwortliche darüber vor, dass die DSGVO auch vollständig eingehalten wird.

Der Kernprozess der datenschutzkonformen Verarbeitung umfasst auch die Erfüllung folgender Pflichten:

Einsatz von Dienstleistern und Datenschutz: Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO
Datenschutz im Konzern: Absicherung bei Datenverarbeitungen zwischen Konzernunternehmen
Absicherung von Übermittlungen in Drittländer (z.B. USA, Schweiz) und Drittlandübermittlungsfolgenabschätzungen (TIA)
Führung des Verarbeitungsverzeichnisses nah Artikel 30 DSGVO
Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO
Erfüllung von Transparenzpflichten durch Datenschutzhinweise („Datenschutzerklärungen) nach Artt. 13, 14 DSGVO

Die DSGVO fordert, dass Sie sich vor dem Start der Verarbeitung von personenbezogenen Daten mit der Rechtmäßigkeit der Verarbeitungen beschäftigen.

Wir stellen sicher, dass Ihre Vorhaben den datenschutzrechtlichen Anforderungen genügen und sich so Risiken für die Business Continuity minimieren lassen.

Dabei sollte man nicht nur Aufsichtsbehörden in den Blick nehmen:

Auch Wettbewerber können sich Versäumnisse im Datenschutz zu nutze machen und Geschäftsmodelle der Konkurrenz zum erliegen bringen.

Jetzt kontaktieren

Kernprozess 2: Sicherstellung der Betroffenenrechte

Kunden, Lieferanten oder auch (ehemalige) Beschäftigte können als betroffene Person Rechte aus der DSGVO haben.

Dazu gehören beispielsweise:

Recht auf Löschung (Art. 17 DSGVO)
Recht auf Auskunft (Art. 15 DSGVO)
Widerruf der Einwilligung (Art. 7 (3)(1) DSGVO).

Dieser Kernprozess stellt sicher, dass Ihr Unternehmen diese Betroffenenrechte fristgerecht und vollständig erfüllen kann.

Erfüllt Ihr Unternehmen die Betroffenenrechte nicht nach den Vorgaben der DSGVO, kann sich der Betroffene bei der Aufsichtsbehörde beschweren.

Dies hat zur Folge, dass ein aufsichtsrechtliches Verfahren eröffnet wird, an dessen Ende auch umsatzabhängige Bußgelder stehen können.

Lassen Sie es nicht so weit kommen und managen Sie Betroffenenanfragen professionell und sicher.

Jetzt kontaktieren

Kernprozess 3: Umgang mit (möglichen) Datenpannen

Im Falle einer (möglichen) Datenpanne muss das verantwortliche Unternehmen prüfen, ob eine Meldepflicht nach Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde besteht.

Durch entsprechendes Training stellen wir sicher, dass im Rahmen dieses Kernprozeseses, die erforderliche Awareness für das Erkennen von (möglichen) Datenpannen aufgebaut wird.

Konkrete Leitlinien geben das weitere Vorgehen Schritt-für-Schritt vor.

Die klaren Regelungen von Zuständigkeiten sind hier echte Rettungsanker, denn die Meldepflicht gegenüber der Aufsichtsbehörde besteht innerhalb von 72 Stunden nach Kenntnis.

Im Falle der Meldepflicht bei der Aufsichtsbehörde begleiten wir den Meldeprozess der mit unserer rechtlichen Expertise und Erfahrung bei der Meldung von Datenpannen und unterstützen Ihre Beschäftigten in dieser anspruchsvollen Situation.

Meldepflichtige Datenpannen können aufgrund eines eigenen Fehlverhaltens von Beschäftigten entstehen oder aufgrund eines externen Ereignisses.

In der Praxis häufig sind Datenpannen auch bei eingesetzten Dienstleistern („Auftragsverarbeitern“), welcher diese Datenpanne an Ihr Unternehmen unverzüglich melden muss.

Überlassen Sie hier nichts dem Zufall und sorgen Sie mit einem klaren Prozess optimal vor um diese herausfordernden Situationen zu meistern.

Jetzt kontaktieren

FAQ zum Datenschutzrecht

FAQ zum Kernprozess 1: Datenschutzkonforme Verarbeitung

Sind Informationen über Vertreter von juristischen Personen – etwa Geschäftsführer oder Vorstände – personenbezogene Daten?

Nach ständiger Rechtsprechung des EuGH ist dem Begriff des Personenbezugs eine weite Bedeutung beizumessen. In seinem Urteil vom 03.04.2025 (Az. C-710/23) bejahte der EuGH den Personenbezug für personenbezogene Daten von Vertretern juristischer Personen wie Geschäftsführer oder Vorstände. Mehr zu diesem Urteil finden Sie hier.

Findet die DSGVO beim Einsatz von KI-Tools Anwendung?

Ja, wenn mittels dem KI-Tool personenbezogene Daten verarbeitet werden. Mehr dazu finden Sie hier.

Muss einer betroffenen Person das berechtigte Interesse mitgeteilt werden, wenn die Verarbeitung auf Art. 6(1)(1)(f) DSGVO („berechtigten Interessen“) beruht?

Ja, der Europäische Gerichtshof hat in seiner Entscheidung vom 09.01.2025 in der Rechtssache C-394/23 entschieden, dass das verfolgte berechtigte Interesse nach Art. 13 (1)(d) DSGVO einer betroffenen Person mitgeteilt werden muss. Dies geschieht in der Praxis in der Datenschutzerklärung. Mehr Informationen zu diesem Urteil finden Sie hier.

Muss bei der Offenlegung von pseudonymisierten personenbezogenen Daten ein Auftragsverarbeitungsvertrag mit dem Dienstleister abgeschlossen werden?

Auch bei pseudonymen Daten handelt es sich aus Sicht des Verantwortlichen um personenbezogene Daten. Daher sollte stets ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Dienstleister abgeschlossen werden, auch wenn die Daten für den Auftragsverarbeiter „anonym“ sind.

Kann man sich als Verantwortlicher im Beschäftigtendatenschutz auf die Rechtsgrundlage des § 26 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes („BDSG“) stützen?

§ 26 Absatz 1 Satz 1 BDSG regelt die Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen. Nach einem aktuellen Urteil des Bundesarbeitsgerichts (Urteil vom 08.05.2025, Az. 8 AZR 209/21) hat § 26 Absatz 1 Satz 1 BDSG aufgrund seiner Europarechtswidrigkeit unangewendet zu bleiben. Verantwortliche sollten sich daher auf alternative Rechtsgrundlagen direkt aus der DSGVO stützen.

Was regelt Art. 22 DSGVO und warum ist er im Kontext von KI wichtig?

Art. 22 DSGVO betrifft automatisierte Entscheidungen im Einzelfall einschließlich Profiling. Er schützt Personen davor, dass über sie ausschließlich automatisiert – also ohne menschliches Eingreifen – entschieden wird, wenn diese Entscheidungen rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Mehr zu Art. 22 finden Sie hier.

Kommen Sie gerne auf uns Zu

Kontaktieren Sie uns

Wenn Sie eine konkrete Frage haben, einen Termin für ein unverbindliches Erstgespräch ausmachen möchten oder ein sonstiges Anliegen haben, kontaktieren Sie uns gerne:

+49 89 2459 3892

kanzlei@stegerpfahler.de

Sie können uns an diese Adresse auch PGP-verschlüsselte E-Mails schicken.
Der PGP-Fingerprint lautet: E063 C60D 24A4 E5FF 441F 7529 D126 3067 DC3F 43DB.

Steger & Pfahler
Partnerschaft von Rechtsanwälten
Nikolaistraße 5
80802 München

Datenschutzrecht