Datenschutz als Wettbewerbsvorteil

Der Tätigkeitsfokus der NOTOS Xperts GmbH liegt im Datenschutz.

Wir sind überzeugt: Der rechtskonforme Umgang mit personenbezogenen Daten im Digital Business ist ein – wenn nicht sogar der – Erfolgsfaktor. Die Digitalisierung schafft neue Geschäfts- und Prozessmodelle – fordert dabei aber gleichzeitig den Zugriff auf flexible, dezentrale IT-Ressourcen (Cloud Computing: SaaS, PaaS, IaaS). Wertvolle unternehmenskritische Daten müssen hierfür umfassend, systematisch und überall verfügbar gespeichert sowie analysiert, ausgewertet und gewinnbringend genutzt werden. Damit wird die datenschutzrechtliche Compliance unmittelbar in den Mittelpunkt gestellt.

Ob als externe Datenschutzbeauftragte oder als beratende Experten sehen wir unsere Aufgabe darin, Ihre wirtschaftlichen Ziele mit den Interessen des Datenschutzes und der Betroffenen bestmöglich zu vereinbaren.

Professionelle Beratung

Alle unsere Berater (IT-Fachanwälte, Informationsjuristen und IT-Fachleute) verfügen über die erforderliche Fachkunde und sind bereits in Deutschland bei über 50 Unternehmen als externe Datenschutzbeauftragte tätig – vom Einzelhändler bis hin zu internationalen Konzernen.

Die Datenschutzberatung ist für die Compliance eines Unternehmens unerlässlich. Die in Art. 83 DSGVO normierten Geldbußen – bei denen es sich für größere Konzerne um Beträge in Millionenhöhe handeln kann – verdeutlichen eindeutig die Relevanz einer gesetzeskonformen Datenverarbeitung.

Nahezu alle Geschäftsmodelle heutzutage sind datengetrieben. Es müssen Wege gefunden werden, wie in rechtlich zulässigem Maße die wirtschaftlichen Interessen an der Datenverarbeitung in größtmöglichem Umfang gewährleistet werden können.

Unsere Leistungen

Unsere Datenschutzberatung bietet Ihnen den Support, den Sie brauchen, um Ihr Geschäft zu optimieren und Sanktionen vorzubeugen. Dabei liegt der Fokus immer auf Ihren wirtschaftlichen Interessen und den Besonderheiten Ihres Geschäftsmodells und der betrieblichen Abläufe.

Unsere Arbeitssprachen sind Deutsch und Englisch.

NOTOS Xperts GmbH kooperiert im Bereich Datenschutzberatung mit NOTOS Partnerschaft von Rechtsanwälten mbB. Damit gewährleisten wir unseren Kunden jederzeit eine vertiefte und prozessabhängige rechtliche Beratung und Vertretung.

 

 

Stellung des externen Datenschutzbeauftragten

Wenn Ihr Unternehmen regelmäßig personenbezogene Daten verarbeitet, benötigt es nach Art. 37 DSGVO einen Datenschutzbeauftragten. Darüber hinaus benötigt Ihr Unternehmen nach § 38 BDSG einen Datenschutzbeauftragten, wenn mind. zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wir stellen Ihnen einen externen Datenschutzbeauftragten zur Verfügung. Unsere externen Datenschutzbeauftragten sind Spezialisten auf dem Fachgebiet des Datenschutzes sowie artverwandten Fachgebieten und bieten Ihnen eine erstklassige Betreuung.

Weitere Informationen

↑ zurück nach oben

Stellung des externen Datenschutzkoordinators

Der Datenschutzkoordinator ist häufig in Konzernen oder Unternehmen mit einer bereits bestehenden Datenschutzorganisation zu finden. Er arbeitet projektbezogen und unterstützt in allen Datenschutzfragen innerhalb seines Einsatzgebietes. Unsere externen Datenschutzkoordinatoren – wie auch unsere externen Datenschutzbeauftragten – arbeiten lösungsorientiert und verfügen über fundierte Kenntnisse im Datenschutzrecht und in artverwandten Rechtsgebieten sowie IT-Know-How.

Weitere Informationen

↑ zurück nach oben

Stellung des externen Datenschutzberaters

Wir stellen Ihnen einen externen Datenschutzberater. Dieser steht dem Datenschutzbeauftragten und der Datenschutzorganisation Ihres Unternehmens beratend zur Seite. Unsere Datenschutzberater unterstützen Sie mit ihrer Expertise sowohl im Regelbetrieb als auch in der Projektarbeit. 

Weitere Informationen

↑ zurück nach oben

Datenschutz-Compliance

Datenschutz ist schon lange eine Compliance Aufgabe. Durch die drakonischen Strafen, welche die DSGVO vorsieht und die an Bußgelder aus dem Bereich des Kartellrechts erinnern, wurde dies noch einmal verdeutlicht. Die Datenschutzaufsichtsbehörden haben mehrere Möglichkeiten und Befugnisse, unrechtmäßige Datenverarbeitungen durch Unternehmen zu sanktionieren. Diese Befugnisse sind in Art. 58 DSGVO geregelt. Dazu gehören u.a.:

  • Verwarnungen von Verantwortlichen oder Auftragsverarbeitern in Bezug auf beabsichtigte oder bereits stattfindende Verarbeitungen von personenbezogenen Daten
  • Anweisungen, Anträgen betroffener Personen in Bezug auf ihre Betroffenenrechte zu entsprechen
  • Anweisungen, unrechtmäßige Verarbeitungsvorgänge innerhalb einer bestimmten Frist datenschutzkonform auszugestalten
  • Verhängung einer vorübergehenden oder endgültigen Beschränkung einer Verarbeitung, einschließlich eines Verbots
  • Verhängung von Geldbußen nach Art. 83 DSGVO (im schlimmsten Fall 20.000.000€ oder 4% des Konzernumsatzes) anstelle von oder in Ergänzung zu anderen Abhilfemaßnahmen

Wir helfen Ihnen, Ihr Unternehmen im Hinblick auf den Datenschutz compliant zu machen und unterstützen Sie bei Anfragen und Maßnahmen von Aufsichtsbehörden. Durch unsere Expertise sind wir dazu in der Lage, sofort Handlungsnotwendigkeiten zu definieren und diese ihrer Wichtigkeit nach zu priorisieren.

Weitere Informationen

↑ zurück nach oben

Konzerndatenschutz

Die Verarbeitung personenbezogener Daten innerhalb eines Konzerns kann sehr komplex sein. Prozesse und Datenverarbeitungen können nicht immer einem einzelnen Unternehmensbereich zugeordnet werden und finden häufig gesellschafts- oder bereichsübergreifend statt. Außerdem kann es sich durchaus schwierig gestalten, Datenflüsse richtig zu erfassen und die Rechtmäßigkeit der Verarbeitung in jedem Verarbeitungsschritt sicherzustellen. Unsere Dienstleistung erstreckt sich auf alle Herausforderungen des Konzerndatenschutzes und koordiniert den komplexen Datenschutz in Ihrem Konzern.

Weitere Informationen

↑ zurück nach oben

Gesundheitsdatenschutz

Datenschutz im Gesundheitswesen ist sehr sensibel; Aufsichtsbehörden legen ein besonderes Augenmerk auf die Verarbeitung von Gesundheitsdaten. Betroffen sind Arztpraxen und Ärzte, Krankenhäuser, Kranken- und Altenpflegedienste, Apotheken, Pharmaunternehmen, Labore uvm. Gesundheitsdaten zählen gem. Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten und sind daher auch besonders schützenswert. Wir helfen Ihnen, die Verarbeitung von Gesundheitsdaten rechtlich sauber auszugestalten. Dazu stellen wir ihnengerne einen externen Datenschutzbeauftragten im Gesundheitsweseb zur verfügung.

Weitere Informationen

↑ zurück nach oben

Beschäftigtendatenschutz

Was ist das wichtigste Kapital eines Unternehmens? Selbstverständlich die Beschäftigten. Wenn die Beschäftigten für den Erfolg eines Unternehmens eine so große Bedeutung haben, dann natürlich auch Ihre Daten, die schließlich ihr untrennbarer Bestandteil sind. Der Arbeitgeber kann mit den Daten seiner Beschäftigten viel anfangen; er kann eine Bewertung der Arbeitsleistung vornehmen, Beschäftigte überwachen oder sich Einblicke in private Lebensumstände der Beschäftigten verschaffen. Oder häufig werden Beschäftigtendaten auch in Datenbanken eingespeist, auf die eine Vielzahl von Personen des Unternehmens Zugriff haben. Solche Vorgänge sind aus datenschutzrechtlicher Sicht kritisch zu bewerten. Dem ersten Anschein nach harmlose Vorgänge mit Beschäftigtendaten entlarven sich bei genauerem Hinsehen oftmals als datenschutzrechtlich verboten oder sind zumindest an strengere Bedingungen geknüpft. Um ermitteln zu können, was mit den Daten der Beschäftigten alles gemacht werden darf, ist eine kompetente Datenschutzberatung erforderlich. Wir zeigen Ihnen, wie Sie mit den Daten Ihrer Beschäftigten verfahren dürfen und wo die datenschutzrechtlichen Grenzen liegen, gemäß der DSGVO.

Weitere Informationen

↑ zurück nach oben

Datenschutz für kleine und mittelständische Unternehmen (KMU)

Der Datenschutz macht auch vor kleinen und mittelständischen Unternehmen nicht Halt. In solchen Unternehmen fehlen häufig die personellen und fachlichen Ressourcen, die Datenschutzvorgaben „auf eigene Faust“ umzusetzen. Kompetente Hilfe wird hier dringend gesucht. Wir nehmen Ihrem Unternehmen, Ihrer Firma, Ihrem Betrieb die schwere Last des Datenschutzes ab und unterstützen Sie bei der Einhaltung von Datenschutzvorgaben. Die DSGVO Berater liefern Ihnen einen maßgeschneiderten Datenschutz, der auf die betrieblichen Besonderheiten zugeschnitten ist. .

Weitere Informationen

↑ zurück nach oben

Datenschutz für Vereine

Auch Vereine müssen Datenschutzanforderungen gerecht werden, unabhängig von ihrer Größe, Organisationsform oder dem Vorliegen kommerzieller Interessen. Sie verarbeiten personenbezogene Daten ihrer Mitglieder, Sponsoren und Kooperationspartner.

Doch so wie es bei kleinen und mittelständischen Unternehmen der Fall ist sehen Vereine den Datenschutz als Bürde an. Aus Sicht eines Vereins ist hier eine kompetente und bedarfsgerechte Hilfestellung von hohem Wert. Die Expertise unsrer DSGVO Beratern hilft Ihnen dabei, den Datenschutz in Ihrem Verein auf den Vordermann zu bringen, ohne dass dadurch Ihr Vereinsleben beeinträchtigt wird.

Weitere Informationen

↑ zurück nach oben

Datenschutztexte

Vom Großkonzern bis zum kleinen Betrieb erfordert die geschäftliche Praxis den Einsatz und die Verwendung verschiedener Datenschutzdokumente, welche zum einen die rechtlichen Vorgaben erfüllen und abbilden sollen, zum anderen aber auch so weit wie möglich die subjektiven Interessen vertreten sollen. Wir unterstützen Sie bei der Erstellung und Anpassung von allen Datenschutzdokumenten, die Ihr Unternehmen benötigt. Wir führen eine Bestandsaufnahme durch und ermitteln zunächst, welche Datenschutzdokumente und Templates Sie benötigen. Anschließend stellen wir Ihnen datenschutz Vorlage zur Verfügung und individualisieren diese nach den Besonderheiten Ihres Geschäfts.

Weitere Informationen

↑ zurück nach oben

Datenschutzkonforme Unternehmensorganisation und konzernweite und internationale Datentransfers

Die uneingeschränkte Verwendung und Verwertung von personenbezogenen Daten (Kunden-, Lieferanten und Beschäftigtendaten) stellt einen großen Anreiz für viele Unternehmen dar. Datenübermittlungen und -austausche sollen zwischen einzelnen Gesellschaften und verbundenen Unternehmen möglich sein. Doch das Datenschutzrecht sieht hier bestimmte Anforderungen vor. Insbesondere dann, wenn die Daten in ein sog. unsicheres Drittland übermittelt werden sollen, sind gesteigerte datenschutzrechtliche Anforderungen zu beachten. Als unsichere Drittländer gelten Länder, die kein angemessenes Datenschutzniveau haben. Grund dafür ist in erster Linie die fehlende oder unzureichende Datenschutzgesetzgebung und das Fehlen von Aufsichtsbehörden mit entsprechenden Durchsetzungsbefugnissen, weshalb die Datenschutzrechte betroffener Personen nicht hinreichend geschützt werden können. Wir prüfen Ihre (beabsichtigten) Datenübermittlungen und bringen diese in Einklang mit europäischem und deutschem Datenschutzrecht.

Weitere Informationen

↑ zurück nach oben

DSGVO-Audits auf Unternehmens-, Abteilungs- und Applikationsebene

Anfang einer seriösen datenschutzrechtlichen Beratung sollte immer ein Audit sein, um zu ermitteln, welche Defizite im Datenschutz das Unternehmen hat und welche Maßnahmen in Folge implementiert werden müssten. Audits können auf Unternehmens-. Abteilungs- und Applikationsebene durchgeführt werden. Die datenschutzrechtlichen Anforderungen lassen sich auf jede Ebene nahezu gleichermaßen projizieren. Während eines Audits lässt sich bspw. feststellen, ob und welche Lücken in der Datenschutzdokumentation vorhanden sind, welche bereits vorhandenen technischen und organisatorischen Maßnahmen nicht den gesetzlichen Vorgaben genügen oder ob und inwieweit aktive Geschäftsprozesse und Applikationen unter datenschutzrechtlichen Gesichtspunkten optimiert werden müssten.

Weitere Informationen

↑ zurück nach oben

Datenschutz-Vertragsmanagement

Ein ordentliches Vertragsmanagement ist im Datenschutz besonders wichtig. Häufig gibt es viele Akteure, die auch noch in unterschiedlich großem Umfang auf personenbezogene Daten zugreifen sollen. Hier verliert man schnell den Überblick. Jede geschäftliche Beziehung, bei der in irgendeiner Art und Weise Daten verarbeitet werden, muss zunächst auf eine Rechtsgrundlage gestützt werden können. Darüber hinaus ist oftmals der Einsatz von Verträgen erforderlich. In der datenschutzrechtlichen Praxis werden sog. Auftragsverarbeitungsverträge sehr häufig eingesetzt. Bspw. immer dann, wenn ein Unternehmen externe Dienstleister einsetzt, um bestimmte betriebliche Vorgänge auszulagern und der Auftragnehmer Zugriff auf personenbezogene Daten erhält, ist ein solcher Vertrag mit ihm abzuschließen, indem sein Handlungsspielraum definiert und seine Rechte und Pflichten nach dem Datenschutzrecht geregelt werden.

Weitere Informationen

↑ zurück nach oben

Datenschutz-Folgenabschätzungen

Die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO ist ein datenschutzrechtliches Novum, das erstmalig durch die Datenschutzgrundverordnung (DSGVO) eingeführt wurde. Sie basiert auf dem risikobasierten Ansatz der DSGVO, verfolgt also das Ziel, Risiken für die Rechte und Freiheiten der betroffenen Personen so weit wie möglich zu eliminieren oder zumindest zu minimieren. Risikobehaftete Verarbeitungsvorgänge müssen zunächst identifiziert werden, um anschließend technische und organisatorische Maßnahmen vorschlagen zu können, durch die die Risiken bekämpft werden.

Weitere Informationen

↑ zurück nach oben

Konzepte zur Erfüllung von Betroffenenrechten

Betroffenenrechte sind der Schlüssel zur Wahrung des Datenschutzrechts und der Autonomie der betroffenen Personen. In den Art. 15 – 22 DSGVO sind diese Rechte normiert. Die betroffene Person hat das Recht, vom Verantwortlichen eine Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Übertragung ihrer personenbezogenen Daten zu verlangen. Des Weiteren kann sie einen Widerspruch gegen die Verarbeitung einlegen.

Die Bearbeitung von Anfragen von betroffenen Personen zur Ausübung ihrer Rechte erfordert die Durchführung bestimmter Schritte in chronologischer Reihenfolge. Unsere Datenschutz Berater haben Erfahrungen in der Bearbeitung von Betroffenenrechten und können gemeinsam mit Ihnen ein Konzept erstellen, das von der Identitätsfeststellung bis zur Dokumentation der Anfrage alle relevanten Punkte regelt.

Weitere Informationen

↑ zurück nach oben

Aufbau eines unternehmens-/konzernweiten Datenschutzmanagements

Ein funktionierendes Datenschutzmanagement bringt zahlreiche Vorteile. Der Begriff Datenschutzmanagement ist im Sinne einer logischen und optimierten Organisation des internen Datenschutzes zu verstehen, die zur Erfüllung und Umsetzung aller aus dem Datenschutzrecht kommenden Aufgaben geeignet ist. Zum einen sind die Prozessabläufe schneller und aufeinander abgestimmt, wenn datenschutzrechtliche Aufgaben zu erledigen sind. Bspw. können Betroffenenrechte viel einfacher erfüllt werden, wenn von vornherein die Zuständigkeiten definiert und die Speicherorte von personenbezogenen Daten identifiziert worden sind. Auch in Krisensituationen, in denen schneller Handlungsbedarf besteht, spricht ein gut durchdachtes Datenschutzmanagement für sich. Wenn etwa eine Datenschutzverletzung vorliegt und diese nach dem Wortlaut des Art. 33 DSGVO „unverzüglich und möglichst binnen 72 Stunden“ der federführenden Aufsichtsbehörde gemeldet werden muss, ist ein optimiertes Datenschutzmanagement bestens zu gebrauchen. Es kann größere Schäden für die betroffenen Personen abwenden und einen guten Eindruck bei der Aufsichtsbehörde hinterlassen, was bestenfalls dazu führen kann, dass sie von Maßnahmen, wie bspw. der Verhängung von Geldbußen, absieht. Wir helfen Ihnen bei der Errichtung bzw. dem Aufbau einer standhaften Datenschutzorganisationen und optimieren Ihre Prozesse zur Verkürzung von Melde- und Reaktionszeiten.

Weitere Informationen

↑ zurück nach oben

Direktmarketing, Digital Marketing, Generierung und Nutzung qualifizierter Leads/Interessentendaten

Leads und Interessenten stehen im Fokus von Vertriebsaktivitäten. Die kontinuierliche Neukundengewinnung ist ein substanzieller Faktor für den Erfolg eines Unternehmens. Doch nicht jede Maßnahme ist aus datenschutzrechtlicher Sicht zulässig. Die Ansprache der Leads und Interessenten stellt eine Verarbeitung von personenbezogenen Daten dar. Es ist also eine Rechtsgrundlage erforderlich. Außerdem sind wettbewerbsrechtliche Vorgaben zu beachten, die sich aus dem UWG (Gesetz gegen unlauteren Wettbewerb) ergeben. Wir prüfen Ihr Vorhaben aus datenschutz- und wettbewerbsrechtlicher Sicht und achten darauf, dass Sie mit diesen Vorgaben im Einklang stehen.

Weitere Informationen

↑ zurück nach oben

Aufbau von CRM-Datenbanken

Kundendaten sind für Unternehmen ein besonders wertvolles Asset. Sie müssen regelmäßig gepflegt werden, um auf dem aktuellsten Stand zu bleiben. Der Einsatz von CRM-Datenbanken erleichtert für zahlreiche Beschäftigte aus verschiedenen Unternehmensbereichen die Zugriffsmöglichkeiten auf Kundendaten und somit auch ihre Organisation und Verwaltung. Allerdings sind hierbei datenschutzrechtliche Anforderungen zu beachten. Insbesondere liegt der Fokus hier auf Art. 25 DSGVO (Privacy by Design and Default). Bereits bei der Auswahl und dem Einkauf von IT-Systemen und Anwendungen muss der Datenschutz beachtet werden. Das heißt, dass die Software grundlegende datenschutzrechtliche Anforderungen erfüllen können muss, etwa die Löschung personenbezogener Daten oder die systemseitige Vergabe von Rollen und Rechten nach dem Need-to-know-Prinzip. Diese Anforderung betrifft nicht nur die Entwickler, sondern auch die Anwender von Software, also auch Ihr Unternehmen.

Weitere Informationen

↑ zurück nach oben

Implementierung technisch-organisatorischer Maßnahmen (TOMs)

 

Die DSGVO verpflichtet den Verantwortlichen dazu, geeignete und angemessene technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko für die Rechte und Freiheiten betroffener Personen angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen müssen dazu in der Lage sein, u.a. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen sicherzustellen. Unsere Berater unterstützen Sie bei der Auswahl und Implementierung geeigneter und angemessener technischer und organisatorischer Maßnahmen und der Dokumentation dieser.

Sehen Sie auch unter IT-Sicherheit nach.

Weitere Informationen

↑ zurück nach oben

 

Krisenkommunikation mit der Aufsichtsbehörde

Wenn das Kind in den Brunnen gefallen ist… hilft nur noch eine kompetente und zeitnahe Kommunikation mit der Aufsichtsbehörde. Wir übernehmen die Korrespondenz mit der Aufsichtsbehörde und streben eine rasche Aufklärung des Sachverhalts an. Dabei leiten wir schnellstmöglich alle erforderlichen Schritte ein und versuchen den Schaden sowohl für Ihr Unternehmen als auch die betroffenen Personen so gering wie möglich zu halten.

Weitere Informationen

↑ zurück nach oben

Informationspflichten und Social Media

In der Kommunikation mit Interessenten, Kunden, Lieferanten und Beschäftigten sowie innerhalb der Öffentlichkeitsarbeit ist der Einsatz von Social-Media Komponenten und Fanpages nicht mehr wegzudenken. Modernere Webseiten haben oftmals Schnittstellen zu Social-Media Plattformen, über die Unternehmen ihre Online-Präsenz erweitern. Häufig geschieht dies in Form von sog. Social Plugins, die ihrerseits auch direkte Interaktionen des Webseitenbesuchers ermöglichen können – etwa Likes, Shares und Kommentare. Dabei ist allerdings darauf zu achten, dass auch personenbezogene Daten der Webseitenbesucher von der Webseite an die Plattformbetreiber übermittelt werden. Der Einsatz solcher Dienste muss also in den Datenschutzinformationen des Unternehmens abgebildet werden. Wir erstellen für Ihr Unternehmen die erforderlichen Informationen, etwa Datenschutzerklärungen und -hinweise, mit denen Sie Ihre Informationspflichten erfüllen können.

Weitere Informationen

↑ zurück nach oben

Datenschutzberichte

Datenschutz ist Managementsache. Bereits in Art. 38 Abs. 3 S. 3 DSGVO ist festgehalten, dass der Datenschutzbeauftragte „unmittelbar der höchsten Managementebene“ berichtet. Wir unterstützen Sie bei der Erstellung von Datenschutzberichten und Datenschutzdokumenten, die in der Regel zum Ende eines jeden Geschäftsjahres erstellt werden. Dabei bereiten wir für Sie die Inhalte auf, die in dem jeweiligen Bericht aufgenommen werden müssten. Auf Wunsch können wir die Konzeption und Erstellung des Berichtes auch vollständig übernehmen.

Weitere Informationen

↑ zurück nach oben

Ihr Ansprechpartner:

Erdem Durmus

Managing Director | Externer Datenschutzbeauftragter

CIPP/E
CIPM
FIP
ISO 27001
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten

Ihr Ansprechpartner:

Michael Gilmour

Managing Director | Externer Datenschutzbeauftragter

Certified Professional Data Protection Officer (udis)