Datenschutzrecht

Für Unternehmer ist die datenschutzrechtliche Compliance häufig schwierig systematisch zu durchdringen oder umzusetzen. 

Dies betrifft nicht nur besonders datenintensive Unternehmen oder solche mit besonderen personenbezogenen Daten (Ärzte etc.). 

Insbesondere Unternehmen, die ihre Produkte und Dienstleistungen online anbieten und vermarkten müssen durch die umfangreiche Einbindung von Drittdienstleistern (Soziale Netzwerke, Shoplösungen, Bezahldienstleister, CRM, E-Mail-Konnektoren uvm.) die Angebote sowohl einzeln als auch in der Gesamtheit datenschutzrechtlich prüfen lassen, um nicht reihenweise von Mitbewerben abgemahnt oder mit Bußgeldern belegt zu werden. 

Hierfür ist die technische, systematische Prüfung durch unser Informatik-Team und die anschließende anwaltliche Beurteilung eine besonders effektive und schnelle Möglichkeit, die eigene Compliance zu stärken.

Mit unserem interdisziplinären Team aus technikversierten Rechtsanwälten für Datenschutzrecht und unserer eigenen Informatik-Abteilung beraten und vertreten wir Unternehmen, Geschäftsführer und Vorstände zu datenschutzrechtlichen Fragestellungen, um speziell bei technisch anspruchsvolleren Geschäftsmodellen (AI-driven, data-driven businesses etc.) eine fundierte anwaltliche und gleichzeitig praxisnahe Beratung zu ermöglichen. Unsere Anwälte beraten im Rahmen unserer Praxisgruppe Datenschutz deshalb stets in Kombination mit unseren Informatikern, um die Anforderungen der DSGVO unternehmensspezifisch ableiten zu können.

Wir denken Lösungen aus juristischen Notwendigkeiten und technischen Möglichkeiten, um umsetzbare und unternehmerisch sinnvolle Handlungsempfehlungen geben zu können.

Wir beraten dabei Startups, mittelständische E-Commerce-Anbieter und Aktiengesellschaften bei komplexen technisch-juristischen Fragestellungen.

Wenn Unternehmer mit dem Vorwurf eines Datenschutzverstoßes konfrontiert werden, ist eine schnelle anwaltliche Vertretung zur Vermeidung hoher Haftungsrisiken fast unverzichtbar. Zu den vorgeworfenen Datenschutzverstößen zählen beispielsweise:

• Unberechtigte Weitergabe von personenbezogenen Daten

• Rechtswidrige Verarbeitung von personenbezogenen Daten

• Ungeschützte Speicherung von personenbezogenen Daten

• Datenleak / Datenpanne / Datenleck nach Hackerangriffen, Scrapings etc.

Der EuGH und auch die Landesdateschutzbeauftragten für Datenschutz nehmen Unternehmen bei der Verarbeitung von personenbezogenen Daten und Datensicherheit auch bei vermeintlich harmlosen Vorfällen immer stärker in die Verantwortung.

So hat sich das das durchschnittliche Bußgeld für einen Datenschutzverstoß auf rund 500.000,00 € erhöht. Dieses kann je nach Fall bis zu 20.000.000,00 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen.

Massenklagen und Sammelklagen durch Betroffene auf Schmerzensgeld

Ein relevanteres Problem für Unternehmen nach einem Datenschutzvorfall ist zudem die Planung und der Umgang mit immateriellen Schadenersatzforderungen (Schmerzensgeld) gem. Art. 82 DSGVO von vermeintlich Betroffenen.

Durch die Rechtsprechung des EuGH können Betroffene Schmerzensgeld auch ohne einen echten Schaden geltend machen. Es reicht aus, wenn der Kontrollverlust und damit die fehlende Selbstbestimmung über die eigenen personenbezogenen Daten angeführt wird.

Für Unternehmen ergibt sich z.B. nach Hackerangriffen neben den hohen Aufwänden für die Wiederherstellung von IT-Systemen auch noch eine juristische Abwehrschlacht von behaupteten Schmerzensgeldansprüchen:

Machen nur 1.000 Kunden einer betroffenen und im Darknet veröffentlichten Kundendatenbank Schmerzensgeldansprücheaus geltend, sieht sich das betroffene Unternehmen einem Gesamtschaden von rund 1.000.000,00 € ausgesetzt.

Die Forderungen von (vermeintlich) Betroffenen sollten deshalb keinesfalls unterschätzt oder eigenständig beantwortet werden.

Mit unserem interdisziplinären Team prüfen wir insbesondere die technischen Hintergründe des behaupteten Datenschutzverstoßes. Denn ob ein Datenschutzverstoß vorliegt, beurteilt sich auch entscheidend danach, welche TOM (Technisch organisatorischen Maßnahmen) bestanden und wie der Stand der Technik zu beurteilen war. Diese technischen Fachfragen beurteilen unsere Experten für Technische Informatik und Angewandte Informatik im Rahmen eines individuellen Datenschutzaudits, das die Grundlage einer starken und effektiven anwaltlichen Verteidigungsstrategie bildet. 

Diese enge Verzahnung aus juristischer und technischer Expertise ermöglicht einen strategischen Vorteil in der Abwehr von Vorwürfen eines Datenschutzverstoßes und der zutreffenden Beurteilung von etwaigen Geschäftsrisiken.  

Mass Claim Litigation

Bei Datenpannen, bei denen eine Vielzahl an Betroffenen ihre Ansprüche aus Art. 82 DSGVO geltend machen, ist eine effiziente Prozessführung von herausragender Bedeutung. 

Dabei setzen wir im Rahmen der Prozessführung (Litigation) auf selbst entwickelte, hochskalierbare Legal Tech Lösungen, mit denen wir mit prozessbasierten Workflows tausende Verfahren gleichzeitig führen und strategisch koordinieren können. 

Wir unterstützen und verteidigen Unternehmen nach Datenschutzvorfällen mit unserer Praxisgruppe Datenschutz mit einem eingespielten und leistungsstarken Team aus Datenschutz-Experten auch kurzfristig und in enger Abstimmung mit internen Rechtsabteilungen.

Unternehmen und Behörden sind gem. Art. 37 DSGVO zur Bestellung eines externen Datenschutzbeauftragten verpflichtet, wenn

1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.

Hierzu zählen beispielsweise Gesundheitsdaten oder Daten zu möglichen Straftaten in Bewerbungsverfahren uvm.

In Deutschland gilt verschärfend § 38 Bundesdatenschutzgesetz (BDSG). Dort ist die Bestellung eines externen Datenschutzbeauftragten bereits dann erforderlich, wenn sich mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Legt man das Verständnis das EuGH zur „automatisierten Verarbeitung“ zur DSGVO zugrunde, ist fast jedes Unternehmen hiervon betroffen.

Ein Anwalt für Datenschutz bzw. eine Kanzlei für Datenschutzrecht kann dabei für Unternehmen und Behörden die Aufgabe des externen Datenschutzbeauftragten auf einem hohen fachlichen Niveau übernehmen. Denn die Beratung im Datenschutzrecht als externer Datenschutzbeauftragter unterliegt keiner fachlichen Qualifikation oder Zulassung. Mit einem Anwalt für Datenschutz können Unternehmen von Beginn an ein hohes Beratungsniveau und eine ganzheitliche Vertretung in Bußgeld- und Schadenersatzverfahren sicherstellen.

Denn häufig erstreckt sich die Beratung von Unternehmen im Datenschutzrecht auf umfangreiche, juristisch komplexe Fragestellungen zur Datenschutzgrundverordnung, z.B.:

• Erstellung und laufende Aktualisierung der Datenschutzerklärung

• Entwicklung einer DSGVO-konformen, unternehmensweiten Datenschutzrichtlinie

• Vorbereitung, Umsetzung und Dokumentation eines unternehmensweiten Datenschutzaudits

• Abwehr von Abmahnungen durch Wettbewerber bei Verstößen gegen die DSGVO

• Konsequenzen im IT-Recht, Arbeitsrecht etc.

Unsere Rechtsanwälte stehen insbesondere datenintensiven Unternehmen als externe Datenschutzbeauftragte zur Verfügung und ergänzen dabei die laufende Beratung zum Datenschutz durch anwaltliche Expertise über die Eigenschaft hinaus.