Blog

Aktuelle Informationen zum Thema Datenschutz

Modell für Berechnung von Bußgeldern verabschiedet – Höhe der Bußgelder steigt

25 September 2019

Bereits am 25.06.2019 hat sich die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: DSK) auf ein neues Modell zur Berechnung von Bußgeldern verständigt. Dieses Modell wurde von den Datenschutzbehörden bereits in der Praxis angewandt und kann im Ergebnis zu hohen Sanktionen führen. Wie Bußgelder von den Datenschutzbehörden berechnet werden, erfahren Sie in diesem Bericht.

bussgeld-datenschutz-final

Das neue Konzept zur Berechnung von Bußgeldern ist so komplex, dass allein die Berechnungsbögen zur Bußgeldhöhe und die ergänzenden Erläuterungen einen Umfang von bis zu 30 Seiten einnehmen können. Das ist zwar nicht weiter überraschend, da man ansonsten nicht der in Artikel 83 Abs. 1 DSGVO vorgeschriebenen Verhältnismäßigkeit Rechnung tragen könnte. Andererseits stellt diese Komplexität die Praxis vor eine nicht ganz leicht Herausforderung und ist möglicherweise juristisch auch angreifbar.

 

Die Berechnungsgrundlage des neuen Modells ist zunächst einmal der Umsatz des Unternehmens. Auf dieser Basis wird ein so genannter Tagessatz errechnet, der dann mit einem je nach Schwere der Tat und Art ihrer Begehung zu ermittelnden Faktor multipliziert wird. Dieser Wert wird dann auf der Grundlage der Bußgeldbemessungsregeln des Art. 83 Abs. 2 DSGVO noch weiter angepasst.

 

Dementsprechend legen Datenschutzbehörden in einem ersten Schritt zunächst den Tagessatz fest. Dieser errechnet sich aus dem Jahresumsatz geteilt durch 360. Für Unternehmen mit einem Umsatz von weniger als 500 Millionen Euro legen Datenschutzbehörden jedoch nicht den konkreten Umsatz zugrunde, sondern ordnen das Unternehmen in eine so genannte Größenklassen ein. Den Tagessatz für diese Unternehmen berechnen die Datenschutzbehörden dann anhand des mittleren Jahresumsatzes der jeweiligen Größenklasse.

 

Dies hat zur Folge, dass betroffene Unternehmen zunächst einmal aufgefordert werden, ihren weltweiten Umsatz des Vorjahres mitzuteilen. Für Konzerne wird dabei der gesamte weltweite Umsatz der Unternehmensgruppe zugrunde gelegt, wie der DSK bereits ausdrücklich mitgeteilt hat. Ob das so haltbar ist, wird sich zukünftig zeigen.

 

Ausgehend von diesem Tagessatz ermitteln Datenschutzbehörden sodann den Ausgangsschweregrad der Tat. Auf Grundlage der so ermittelten Schwere des konkreten Verstoßes legen die Datenschutzbehörden dann den Regelbußgeldkorridor fest. Letztendlich bedeutet dies, dass die Datenschutzbehörden den Tagessatz mit einem Faktor zwischen 1 – 14,4 multiplizieren.

 

Dabei sieht das Modell des DSK folgende 5 Kategorien vor:

  • Leichter Verstoß: Faktor 1 – 4
  • Mittlerer Verstoß: Faktor 4 – 8
  • Schwerer Verstoß: Faktor 8 – 12
  • Sehr schwerer Verstoß mit Höchstfaktor: Faktor 12 – 14,4
  • Sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12

 

Für die Einordnung des Faktors ist es letztlich entscheiden, welcher Unrechtsgehalt eine Datenschutzbehörde dem jeweiligen Verstoß zumisst. Beispielsweise dürfte eine ungefragt zugesandte Werbemail wohl als leichter Verstoß gelten, während die unbefugte Überwachung von Mitarbeitern wohl als schwerer Verstoß bewertet werden sollte.

 

Im Anschluss daran wird diese so ermittelte Ausgangsschwere noch anhand der Art der Tatbegehung und ihrer Folgen nach folgenden Kriterien gesondert bewertet:

  • Dauer des Verstoßes
  • Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung
  • Anzahl der von der Verarbeitung betroffenen Personen
  • Ausmaß des von den Personen erlitten in Schadens

 

Die Datenschutzbehörden geben dann noch jedem dieser Kriterien zwischen 0 – 4 Punkte. Die Schwere des Verstoßes senkende Umstände werden mit 0 bewertet, eher senkende Umstände mit 1, gleich bleibende Umstände mit 2 Punkten, eher erhöhende Umstände mit 3 Punkten und erhöhende Umstände mit 4 Punkten.

 

Im Anschluss daran addieren die Datenschutzbehörden diese Punkte und tragen diese in eine Tabelle ein, um so herauszufinden, ob noch erhöhende oder eher senkende Umstände berücksichtigt werden müssen.

 

Bevor Datenschutzbehörden die Höhe des Bußgeldes abschließend bewerten, müssen noch die sonstigen in Art. 83 Abs. 2 die DSGVO aufgeführten Bußgeldzumessungskriterien berücksichtigt werden. Dies betrifft das Verschulden, die Einleitung von Maßnahmen zur Schadenminderung, den Grad Verantwortung, das Vorliegen etwaiger einschlägiger früherer Verstöße, die Zusammenarbeit mit der Aufsichtsbehörde, die Kategorie der im Rahmen des Verstoßes verarbeiteten personenbezogenen Daten, die Art des Bekanntwerden des Verstoßes, die Einhaltung etwaiger zuvor von der Behörde angeordneter Maßnahmen und gegebenenfalls die Einhaltung von genehmigten Verfahrensregelungen oder Zertifizierungen. Aufgrund dieser abschließenden Bewertung kann es noch zu einer Erhöhung des Bußgeldes um bis zu 300 Prozent oder Senkung von bis zu 25 Prozent kommen.

 

Abschließend berücksichtigen Datenschutzbehörden sodann noch andere erschwerende oder mildernde Umstände, die Einfluss auf die Höhe des Bußgeldes haben könnte. Ebenfalls müssen Datenschutzbehörden natürlich auch berücksichtigen, dass das Bußgeld nicht die gesetzlich geregelten Höchstbeträge von 2 oder 4 % des Umsatzes beziehungsweise von 10 oder 20 Millionen Euro überschreitet. Ferner prüft die Datenschutzbehörde, ob das Bußgeld eine ausreichend abschreckende Wirkung hat und insgesamt verhältnismäßig sowie tat- und schuldangemessen ist.

 

Erste Erfahrungen zeigen, das bei Anwendung dieses Modells deutlich höhere Bußgelder verhängt werden, als bisher. Dementsprechend hat auch die Landesdatenschutzbeauftragte Berlin aktuell gegen Delivery Hero ein Bußgeld von 195.407 € verhängt und in einem weiteren bisher noch nicht öffentlich bekannt gewordenen Verfahren angedeutet, sogar ein Bußgeld in Höhe eines zweistelligen Millionenbetrages verhängen zu wollen. Vor diesem Hintergrund sind Unternehmen gut beraten, den Anforderungen der DSGVO gerecht zu werden und ihre Datenschutzstrukturen und -prozesse an die DSGVO anzupassen. Gerade Großunternehmen aber auch solche, die besonders sensible Daten verarbeiten sollte sich somit intensiv mit der DSGOV auseinandersetzen in diese umsetzen.

Mehr lesen

Die Teilnahme an einem Gewinnspiel darf auch unter der DSGVO mit einer Werbeeinwilligung gekoppelt werden?!

09 September 2019

Das ergibt sich aus einem durchaus überraschenden Urteil des OLG Frankfurt vom 27.06.2019 (Gz.: 6 U 6/19). Nach diesem Urteil soll es für die Wirksamkeit einer Einwilligung zur Verarbeitung personenbezogener Daten nicht schädlich sein, wenn diese mit der Teilnahme an einem Gewinnspiel verknüpft ist.

Dem Urteil lag vermutlich folgender Sachverhalt zugrunde:

Im Internet hatte die Antragsgegnerin des Gerichtsverfahrens ein Gewinnspiel angeboten und die Teilnahme an dem Gewinnspiel davon abhängig gemacht, dass der Antragsteller in die Verwendung seiner Daten zu Werbezwecken einwilligt. Mit der Einwilligung sollten gleich 8 Partnerunternehmen der Antragsgegnerin die personenbezogenen Daten erhalten, um über eine Vielzahl von Produkten und Dienstleistungen sowohl per E-Mail, als auch telefonisch werben zu können.

Die Einwilligung und der Anruf eines der Partnerunternehmen erfolgten nach Einführung der DSGVO am 25.5.2018.

Das Oberlandesgericht Frankfurt stellte daher zunächst fest, dass die DSGVO anzuwenden ist. Zur Prüfung der Wirksamkeit der Einwilligung nahm das Oberlandesgericht dabei zutreffend Art. 4 Nr. 11 DSGVO sowie den Erwägungsgrund 42 in den Blick und stellte fest, dass diese freiwillig zu erfolgen hat. Demnach sollte der Betroffene eine echte und freie Wahl haben und somit in der Lage sein, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erlangen. Im Ergebnis stellte das Gericht diese Freiwilligkeit fest, weil der Verbraucher frei entscheiden kann und muss, ob ihm die Teilnahme an dem Gewinnspiel die Preisgabe seiner Daten wert ist. Außerdem sei es aus Sicht des Gerichtes unproblematisch, dass die Daten gleich an 8 Partnerunternehmen weitergegeben wurden, weil diese konkret bezeichnet waren und der Geschäftsbereich des werbenden Unternehmens hinreichend klar beschrieben worden ist.

Interessant ist vor allen Dingen die Aussage, dass die Einwilligung freiwillig gewesen sein soll, obwohl unstreitig eine Kopplung vorlag. Durch die DSGVO wurde das Koppelungsverbot nämlich verschärft, was unschwer dem Art. 7 Abs. 4 DSGVO entnommen werden kann. Da diese Vorschrift in dem Urteil des Oberlandesgerichts Frankfurt aber nicht einmal genannt wurde, spricht unseres Erachtens einiges dafür, dass diese Regelung vom Gericht übersehen wurde. Auch das kann passieren.

Werbende Unternehmen sind daher gut beraten, trotz dieses Urteils, das Koppelungsverbot nicht allzu sehr auf die leichte Schulter zu nehmen. Es bleibt vielmehr abzuwarten, ob auch weitere Instanzengerichte und dann insbesondere auch der Bundesgerichtshof dieser Rechtsprechung folgen. Bis dahin sollte auf eine Koppelung im Sinne von: „Teilnahme am Gewinnspiel gegen Daten“ grundsätzlich verzichtet werden.

Mehr lesen

Verwendung von Fotos – Das sollten Sie im Datenschutz beachten

06 September 2019

Nicht umsonst heißt es „Ein Bild sagt mehr als tausend Worte“. Die Verwendung von Fotos erweckt Ihre Website, Ihre Printprodukte und weitere Marketingmaßnahmen zum Leben, unterstreicht Ihre Inhalte visuell und generiert damit Aufmerksamkeit. Doch Foto ist nicht gleich Foto. Je nach Motiv, Lizenz und Nutzung ist bei der Verwendung von Fotos einiges zu bedenken.

Unser Artikel zeigt, was Sie bei der Nutzung von Fotos, insbesondere im Datenschutz, berücksichtigen müssen.

verwendung-fotos

Dabei müssen Sie zunächst unterscheiden, ob auf dem Foto eine natürliche Person abgebildet ist oder es sich um ein Foto ohne natürliche Personen, also beispielsweise ein Landschaftsbild handelt, das eine andere Person erstellt hat und, das Sie verwenden wollen. Unterschiedliche Regeln gelten auch, wenn Sie das Foto selbst schießen und gegebenenfalls weiterverwenden oder ein vorhandenes, beispielsweise auf der eigenen Website, verwenden wollen.

Das Urheberrecht

Möchten Sie ein abstraktes Foto verwenden, gilt grundsätzlich das Urheberrecht. Dieses Recht sagt aus, dass derjenige, der das Foto erstellt hat, auch darüber entscheiden darf, ob und gegebenenfalls in welchem Umfang dieses Foto verwendet werden darf. Dafür gibt es üblicherweise Lizenzbedingungen, die dann unter anderem regeln, dass und wie das Foto veröffentlich werden darf und ob der Urheber auch gekennzeichnet werden muss.

Das Recht am eigenen Bild

Etwas anderes gilt, wenn auf dem Foto natürliche Personen abgebildet sind. Hier greifen das Kunsturhebergesetz (KUG) und die Datenschutzgrundverordnung (DSGVO) ein. Während das KUG vor allen Dingen Regeln für die Veröffentlichung solcher Bilder aufstellt, regelt die DSGVO ganz grundsätzlich jegliche Verarbeitung und Verwendung eben auch solcher Fotos.

Zusammengefasst soll nach diesen Gesetzen jede natürliche Person das Recht am eigenen Bild zustehen mit dem Zweck, ihre personenbezogenen Daten zu schützen und ihr vor allen Dingen die Hoheit darüber zu lassen, was mit dem Bild passiert.

Viel wissen nicht oder unterschätzen in Zeiten von Facebook, Instagram und Co., dass auch Abbildungen einer Person– insbesondere in Zeiten von Gesichtserkennung und biometrischen Merkmalen – zu ihren personenbezogenen Daten gehören. Damit ist die DSGVO zu beachten. Für die Anwendung der DSGVO reicht es nämlich aus, dass die auf dem Foto abgebildete Person identifizierbar ist. Identifzierbar bedeutet, dass Sie erst mit weiteren Informationen auf den Namen der Person gelangen können.

Es gibt jedoch eine Ausnahme zum Recht am eigenen Bild: Sofern Sie Fotos allein für den privaten Gebrauch schießen, auf denen eine andere Person zu sehen ist, so ist keine explizite Einwilligung der Person nötig – vorausgesetzt:

1) diese Person widerspricht nicht eindeutig
2) die Abbildung stellt keinen Verstoß gegen ihre allgemeinen Persönlichkeitsrechte dar

Diese Aufnahmen können Sie dann auch problemlos verwenden, solange dies weiterhin im privaten Bereich erfolgt. Das ist beispielsweise der Fall, wenn Sie Verwandten Geburtsfotos zeigen.

Geht es allerdings um die Verbreitung und öffentliche Zugänglichmachung der Bilder, bedarf es nach KUG einer ausdrücklichen Einwilligung der abgebildeten Person. Anderenfalls handelt es sich um einen Verstoß gegen den Datenschutz, bei dem eine Geld- oder Freiheitsstrafe drohen kann.

Einführung der DSGVO

Ungeachtet der Rechtsfrage, ob die in Mai 2008 eingeführte DSGVO eine Anwendung des KUG ausschließt, greift diese schon deutlich früher ein. Denn nach der DSGVO stellt schon das Schießen eines Fotos eine Verarbeitung personenbezogener Daten dar.

Nach Artikel 6 der DSGVO muss insbesondere bei der Erstellung von Digitalfotografien zu gewerblichen Zwecken stets eine Einwilligung der abgebildeten Person oder eine andere Rechtfertigung des Fotografen vorliegen.

Dazu gehören unter anderem:

  • Die Datenverarbeitung dient zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Wunsch der abgebildeten Person erfolgen.
  • Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Hierzu zählen z.B. Fotografien bei öffentlichen Veranstaltungen oder im öffentlichen Raum.
  • Die abgebildete Person erteilt freiwillig und unmissverständlich ihre Einwilligung. Diese Einwilligung muss nicht zwingend schriftlich erfolgen, sondern kann auch elektronisch oder konkludent vonstattengehen. Ausnahmen gelten bei Minderjährigen unter 16 Jahren. Hier müssen beide Eltern der Datenverarbeitung zustimmen.

Außerdem legt die DSGVO fest, dass der Fotograf nach Artikel 13 und 14 einer Informationspflicht nachkommen muss. Er muss unter anderem Folgendes angeben:

  • Für welchen Zweck er die Fotos erstellt
  • Ob und in welchen Medien eine Veröffentlichung vorgesehen ist
  • Wer der Ansprechpartner für die abgebildeten Personen bei Fragen rund um den Datenschutz ist

Gerade bei größeren Firmenevents oder öffentlichen Veranstaltungen stellt sich daher die Frage, ob hier noch ohne Weiteres Fotos von den Teilnehmern erstellt und dann auch in den öffentlichen Medien oder auch nur auf der eigenen Firmenwebsite veröffentlicht werden dürfen.

Diese Frage lässt sich leider nicht so leicht beantworten. Bestellt der Firmeninhaber oder Veranstalter einen Fotografen oder fotografiert ein Mitarbeiter, so dürfte klar sein, dass der Firmeninhaber oder Veranstalter in die Aufnahmen und gegebenenfalls weitere Verwendung der Fotos nicht einwilligen muss. Insoweit erfüllt derjenige, der fotografiert, nur seine vertraglichen Pflichten. Diese Wertung lässt sich jedoch nicht auf die Gäste übertragen, die regelmäßig in keiner vertraglichen Beziehung zu demjenigen stehen, der fotografiert. Hier müssen im Einzelfall jeweils die Interessen des Firmeninhabers oder Veranstalters an der Aufnahme und gegebenenfalls Verbreitung von Fotos gegen die Interessen der natürlichen Person, von der Fotos angefertigt werden, abgewogen werden. Eine klare Aussage kann dabei leider nicht getroffen werden, die bei der Größe der Veranstaltung und die Art und Weise der weiteren Verwendung eine Rolle spielen. Hierzu sollten Sie sich in jedem Fall durch Spezialisten beraten lassen.

Datenschutz im Unternehmen

Eine Besonderheit gilt, wenn Fotos oder sogar Videos von Mitarbeitern angefertigt und diese beispielsweise auf der Webseite zur Vorstellung des Teams oder für Referenzen genutzt werden sollen. Hier bedarf es in jedem Fall einer schriftlichen Einwilligung des Mitarbeiters, die auch jederzeit widerrufen werden kann.

Sollten Sie noch keinen Datenschutzbeauftragten haben, dann wenden Sie sich gerne an uns.
Denn wie Sie sehen, gibt es im Rahmen des Bundesdatenschutzgesetztes (BDSG) einiges zu beachten, wenn es zur Verwendung von Fotos kommt. Nach Einführung der Datenschutzgrundverordnung (DSGVO) gehen Sie mit unseren zertifizierten Datenschutzbeauftragten auf Nummer sicher! Mehr lesen

OLG Köln zum Umfang des Auskunftsanspruch nach der DSGVO

30 August 2019

Das Oberlandesgericht Köln hat in einem aktuellen Urteil vom 26.7.2019 (Geschäftszeichen 20 U 75/ 18) zum Umfang der Auskunft nach Art. 15 DS-GVO Stellung genommen.

Gegenstand der Auseinandersetzung waren zunächst Versicherungsansprüche aus einer Berufsunfähigkeitsversicherung, die der Kläger mit der beklagten Versicherung abgeschlossen hatte.

Daneben verlangte der Kläger auch Auskunft darüber, welche personenbezogenen Daten diese Versicherung über ihn gespeichert hatte. Die Versicherung erteilte daraufhin aber nur Auskunft über die Stammdaten, nicht jedoch über alle weiteren über den Kläger gespeicherten personenbezogenen Daten, insbesondere auch solcher, die in Gesprächsnotizen und Telefonvermerken vorhanden waren.

Das Oberlandesgericht Köln stellte mit deutlichen Worten fest, dass ein solcher Auskunftsanspruch besteht und die Versicherung die entsprechenden Auskunft erteilen muss. Insbesondere erteilte das Oberlandesgericht Köln der Rechtsauffassung der beklagten Versicherung eine Absage, dass elektronisch gespeicherte Vermerke zu mit dem Kläger geführten Telefonaten und sonstige Gespräche keine personenbezogenen Daten im Sinne von Art. 4 Abs. 1 DS-GVO sein sollen. Ein solches enges Verständnis sei mit dem der DS GVO zugrunde liegenden weit gefassten Datenbegriff nicht in Einklang zu bringen. Auch mit den Einwand, dass es sich dabei um ein Geschäftsgeheimnis handeln sollte, konnte die Versicherung nicht durchdringen.

Für die Praxis bedeutet dieses Urteil, das Unternehmen Strukturen dafür schaffen müssen, auch über solche Daten Auskunft erteilen zu können.

Mehr lesen

Facebook und der EuGH

25 August 2019

Der EuGH hat am 29.07.2019 im Fall „Fashion-ID“ ein weitreichendes Urteil gefällt, was Einfluss auf eine Vielzahl von Webseiten hat. Das Gericht stellte dabei fest, dass bei Einbindung des Facebook „like-buttons“ eine gemeinsame Verantwortlichkeit zwischen dem Websitenbetreiber und Facebook begründet und die Verarbeitung personenbezogener Daten durch den „like-button“ der Einwilligung der der entsprechenden Nutzer bedarf. Für Websitenbetreiber bedeutet dieses Urteil konkret:

1.       Die Einbindung des Facebook „like-buttons“ befindet sich derzeit im juristischen Graubereich, nachdem Facebook (noch) keinen Vertrag über eine gemeinsame Verantwortlichkeit anbietet. 

2.       Websiten, die einen Facebook „like-button“ eingebunden haben, bedürfen nun auch in Deutschland einen so genannten Cookie-Banner, um die Einwilligung in die Datenverarbeitung durch Facebook sicherzustellen. Insbesondere bedarf die Einbindung dieses plug-ins, im worst-case sogar der Zugriff auf die Website, der Einwilligung durch die entsprechenden Nutzer (betroffenen Personen).

Vor allem aber zeigt das Urteil, dass der Datenschutz ein sehr lebendiges Rechtsgebiet ist und hier ein besonderes Augenmerk auf Änderungen der Rechtslage gelegt werden muss.

Mehr lesen

Löschung von Daten und gesetzliche Aufbewahrungspflichten

02 Juli 2019

Die Implementierung eines Löschungskonzepts, welches einerseits den Anforderungen der DSGVO genügt und andererseits die gesetzlichen Aufbewahrungspflichten beachtet kann durchaus zur Herausforderung werden. Die Verantwortlichen sehen sich hier regelmäßig einem schmalen Grat zwischen den gesetzlichen Aufbewahrungspflichten, den Löschungspflichten nach der DS GVO und den Löschungsbegehren der betroffenen Personen ausgesetzt. Unsere Datenschutzbeauftragten implementieren Ihnen auf Wunsch ein praktikables Löschungskonzept, welches sowohl den gesetzlichen Aufbewahrungspflichten als auch der DSGVO genügt und somit eine Compliance Ihres Unternehmens sowohl hinsichtlich des Datenschutzes als auch betreffend der übrigen Gesetze in jedem Fall sichergestellt ist.

Mehr lesen

Datenschutz Umsetzungsgesetzes

29 Juni 2019

In der Nacht zum 28.6.2019 hat der Bundestag das zweite Datenschutzanpassungs- und Umsetzungsgesetz verabschiedet. Das zweite Datenschutzanpassungs- und Umsetzungsgesetz enthält bereichskonkretisierende Klarstellungen und macht verstärkt von den in der DSGVO vorgesehenen Spezifizierungsklauseln gebraucht. Insbesondere wurden die Anforderung, ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, abgeschwächt. Zukünftig ist ein Datenschutzbeauftragter nur dann zu bestellen, wenn mehr als 20 Mitarbeiter fortlaufend mit der Verarbeitung personenbezogener Daten betreut sind. Unabhängig von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten, macht die Bestellung eines solchen jedoch regelmäßig schon vorher Sinn um die Legalität der Datenverarbeitung im Unternehmen sicherzustellen und Haftungsrisiken zu vermeiden.

Mehr lesen

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit

05 Juni 2019

Die Frage, ob hinsichtlich einer Verarbeitungstätigkeit von einer gemeinsamen Verantwortlichkeit oder von einer Auftragsverarbeitung auszugehen ist, kann durchaus äußerst kompliziert sein. Auftragsverarbeitung ist, wer personenbezogene Daten auf Weisung des Verantwortlichen verarbeitet. Eine gemeinsame Verantwortlichkeit liegt dem entgegen vor, wenn Zweck und Mittel der Verarbeitung von zumindest zwei Verantwortlichen gemeinsam festgelegt werden. Nicht immer lässt sich eine Abgrenzung jedoch zweifelsfrei vornehmen. So waren Fragen der Verantwortlichkeit bereits mehrfach Gegenstand von Entscheidungen des europäischen Gerichtshofs. Entsprechend ist den datenverarbeitenden Stellen zu raten, die Abgrenzung zwischen Auftragsverarbeitung und gemeinsame Verantwortlichkeit von einem qualifizierten Experten durchführen zu lassen.

Mehr lesen

Datenschutzfolgenabschätzung

05 Mai 2019

Eine Datenschutzfolgenabschätzung gehört wohl zu den umfangreichsten Dokumentationserfordernissen welche die DSGVO vorsieht. Interessanterweise ist zur Durchführung einer solchen, trotz voll harmonisierten EU-Rechts, keine einheitliche Methodik festgeschrieben oder von europäischer Stelle erarbeitet worden. Unsere Datenschutzexperten führen Datenschutzfolgenabschätzungen unter Berücksichtigung der nationalen als auch der internationalen europäischen Methoden durch, um eine bestmögliche Datenschutzfolgenabschätzung für unsere Kunden anbieten zu können.

Mehr lesen

Vorgehen gegen Geldbußen

04 April 2019

Die in der DSGVO vorgesehenen Geldbußen bei Datenschutzverstößen können schwerwiegend, ja sogar existenziell sein. Ausgehend von der DSGVO müssen Geldbußen wirksam verhältnismäßig und abschreckend sein. Ihre abschreckende Wirkung erhalten die in der DSGVO vorgesehenen Geldbußen oft schon durch ihre abstrakte Höhe. Ob verhängte Geldbußen jedoch im Einzelfall auch verhältnismäßig sind, kann durchaus fraglich sein. Unsere Datenschutzexperten sind zugleich erfahrene Rechtsanwälte und können gegen ihr Unternehmen verhängte Geldbußen überprüfen sowie erforderlichenfalls gerichtlich gegen diese vorgehen. In diesem Fall profitieren Sie neben der der Expertise unserer Datenschutzexperten auch von ihrer Expertise als Rechtsanwälte.

Mehr lesen