Zum Hauptinhalt springen

Datenschutz
liegt in unserer DNA

Lernen Sie die RechtsanwältInnen
von Scheja & Partners
kennen.

Rechtliche und operative

Datenschutz­beratung

Komplexe datenschutz­rechtliche Anforderungen erfordern eine umfassende Datenschutz­beratung durch speziell ausgebildete RechtsanwältInnen.

Fehlende oder unzureichende – teils nicht rechtskonforme – Beratung kann schwerwiegende Folgen für Ihre Organisation haben: Bußgelder, Schadenersatzforderungen und erhebliche Reputationsverluste sind reale Risiken.

Dies gilt insbesondere für umfangreiche oder sensible Datenverarbeitungen, bei denen das datenschutzrechtliche Risiko besonders hoch ist – und daher eine sorgfältige, rechtssichere Begleitung durch spezialisierte Beratung unabdingbar ist.

Was zeichnet uns aus?

Unsere RechtsanwältInnen sind hochspezialisiert und verfügen über langjährige Erfahrung im zunehmend komplexen Bereich des Datenschutzrechts.

Folgende Aspekte zeichnen unsere Datenschutzberatung aus:

Wir kennen die rechtlichen Besonderheiten:

Die Datenschutz-Grundverordnung (DSGVO) schreibt eine Reihe übergeordneter Pflichten vor, die zur Gewährleistung einer rechtmäßigen Datenverarbeitung stets eingehalten werden müssen. Darüber hinaus sind bereichsspezifische Besonderheiten zu beachten – etwa im Beschäftigtendatenschutz, im Gesundheitsdatenschutz oder im Konzernumfeld.

Wir behalten für Sie den Überblick und machen gezielt auf besondere Anforderungen aufmerksam.

Umfangreicher Erfahrungsschatz und guter Ruf

Seit 2005 beraten wir als externe Datenschutzbeauftragte sowohl nationale als auch internationale Konzerne, Unternehmen des Mittelstands nahezu aller Branchen sowie öffentliche Stellen. Dank unserer langjährigen Erfahrung gewährleisten wir eine praxisnahe und rechtssichere Beratung unserer MandantInnen. Dabei genießen wir auch bei den Aufsichtsbehörden einen anerkannten und seriösen Ruf.

Aktuelle Entwicklungen im Blick

Auch wenn seit der Einführung der DSGVO bereits einige Zeit vergangen ist, bestehen weiterhin Rechtsunsicherheiten bei ihrer Auslegung und praktischen Anwendung. Regelmäßig veröffentlichte Stellungnahmen der Aufsichtsbehörden sowie einschlägige Gerichtsurteile tragen dazu bei, diese Unsicherheiten zu verringern und Datenverarbeitungen rechtskonform zu gestalten. Wir verfolgen die rechtliche Entwicklung kontinuierlich und informieren unsere MandantInnen gezielt über Handlungsbedarfe und praxisgerechte Lösungsoptionen.

Individuelle Beratungskonzepte zu fairen Preisen

Unsere MandantInnen erhalten eine auf ihre individuellen Bedürfnisse zugeschnittene Datenschutzberatung – begleitet von einem optimal zusammengestellten Beraterteam. Es ist leicht, als DatenschutzberaterIn „Nein“ zu sagen. Die eigentliche Herausforderung besteht darin, tragfähige Lösungen zu entwickeln, die rechtssicher und zugleich praxistauglich sind. Dabei arbeiten wir nicht mit undurchsichtigen Pauschalen: Sämtliche werthaltigen Tätigkeiten dokumentieren wir minutengenau in 6-Minuten-Einheiten und weisen diese im Rahmen turnusmäßiger Statusmeetings oder auf Ihre gesonderte Anforderung jederzeit transparent nach. Sie zahlen marktübliche Honorare für die Beratung durch herausragende DatenschutzexpertInnen mit langjähriger Erfahrung.

Wir schaffen

Datenschutz-Compliance

Um Defizite bei der Umsetzung datenschutzrechtlicher Anforderungen zu erkennen, bieten wir zu Beginn unserer Datenschutzberatung eine initiale Auditierung vorhandener Datenverarbeitungen und datenschutzrelevanter Prozesse an.

Im Anschluss unterstützen wir Sie dabei, die datenschutzrechtlichen Rahmenbedingungen zu erfüllen. Hierzu entwickeln wir individuelle Projekte zur Einführung einer bedarfsgerechten Datenschutzorganisation nebst Datenschutzmanagements und entwerfen Tools und Dokumente zur Umsetzung der gesetzlich gebotenen Standards und Prozesse.

Sie wollen sich einen ersten Überblick über das Datenschutzniveau in Ihrer Organisation machen? Nutzen Sie unseren kostenlosen DSGVO-Quick-Check.


Professionelle Datenschutz­beratung

minimiert Haftungsrisiken

Ohne professionelle Datenschutzberatung drohen erhebliche Bußgelder sowie Schadenersatzforderungen – mitunter in beträchtlicher Höhe. Dementsprechend ist eine umfassende Beraterhaftung unerlässlich, um Haftungsrisiken wirksam zu begrenzen oder gezielt auf externe Fachberatende zu verlagern.

Im Fall einer Fehl- oder Schlechtberatung haftet Scheja & Partners regelmäßig mit bis zu 10 Mio. Euro je Einzelfall.

Für eine besonders risikobehaftete Beratung kann eine höhere Haftungssumme individuell vereinbart werden.


Vertreter nach Art. 27 DSGVO

Wir übernehmen die Funktion als EU-Vertreter nach Art. 27 DSGVO für Verantwortliche und Auftragsverarbeiter in Drittländern, insbesondere der Schweiz und den USA.

Rechtlicher Hintergrund zum EU-Vertreter nach Art. 27 DSGVO

Die Anwendbarkeit des Europäischen Datenschutzrechts hängt nicht allein davon ab, ob der Verantwortliche oder der Auftragsverarbeiter seinen Sitz innerhalb der EU hat. Auch Organisationen ohne Niederlassung in der EU unterfallen den Anforderungen der DSGVO, etwa wenn sie betroffenen Personen innerhalb der EU Waren oder Dienstleistungen anbieten oder ihr Verhalten innerhalb der EU beobachten. In einem solchen Fall schreibt die DSGVO die Benennung eines EU-Vertreters nach Art. 27 DSGVO vor.
Ziel der Pflicht zur Benennung eines EU-Vertreters nach Art. 27 DSGVO ist es, sowohl den betroffenen Personen als auch den Aufsichtsbehörden eine zentrale Anlaufstelle in der EU zur Verfügung zu stellen. Hierdurch wird den europäischen Aufsichtsbehörden ermöglicht, auch gegenüber einer ausschließlich im Drittland niedergelassenen Organisation Hoheitsgewalt auszuüben, um die Anforderungen der DSGVO durchsetzen zu können. Damit ist der EU-Vertreter nach Art. 27 DSGVO ein wichtiges Instrument, um eine effektive Rechtsdurchsetzung im Sinne der betroffenen Personen zu gewährleisten.

Der EU-Vertreter nach Art. 27 DSGVO als gesetzliche Verpflichtung

Eine im Drittland niedergelassene Organisation benötigt einen EU-Vertreter nach Art. 27 DSGVO, sofern sie:

  • über keine Niederlassung innerhalb der EU verfügt, jedoch
  • Personen in der EU Waren oder Dienstleistungen anbietet oder
  • das Verhalten von Personen in der EU beobachtet (insbesondere Tracking oder Profiling).

Ausnahmen von der Benennungspflicht sieht die DSGVO vor bei ausschließlich gelegentlicher Verarbeitung wenig sensitiver personenbezogener Daten oder wenn die Datenverarbeitung durch eine öffentliche Stelle erfolgt. Sofern keine Ausnahme zutrifft, ist ein EU-Vertreter nach Art. 27 DSGVO gesetzlich zwingend vorgeschrieben. Wird ein erforderlicher EU-Vertreter nach Art. 27 DSGVO nicht benannt, so kann die Aufsichtsbehörde eine Benennung erzwingen und ein Bußgeld verhängen.

Repräsentative Funktion und operative Aufgaben als EU-Vertreter nach Art. 27 DSGVO

Der EU-Vertreter nach Art. 27 DSGVO dient bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten als Anlaufstelle für die betroffenen Personen und Aufsichtsbehörden, um diesen einen direkten Ansprechpartner innerhalb der EU zur Verfügung zu stellen.
Darüber hinaus gehört es zum Aufgabenspektrum des EU-Vertreters nach Art. 27 DSGVO, die Organisation in Bezug auf die gesetzlichen Pflichten der DSGVO zu vertreten. Dies umfasst unter anderem die Entgegennahme und Weiterleitung von Betroffenenanträgen (etwa die Geltendmachung des Rechts auf Auskunft oder Löschung) oder die Bereitstellung des Verzeichnisses von Verarbeitungstätigkeiten auf Anfrage der Aufsichtsbehörde.

Scheja & Partners als EU-Vertreter nach Art. 27 DSGVO Ihrer Organisation

Als international agierende Kanzlei beraten unsere spezialisierten Rechtsanwält*innen ausschließlich im Bereich des Datenschutzrechts. Hierbei übernehmen wir gerne auch die Funktion als EU-Vertreter nach Art. 27 DSGVO für nicht in der EU niedergelassene Organisationen.

FAQ

Was ist Gegenstand einer professionellen Datenschutzberatung?

Eine professionelle Datenschutzberatung unterstützt Organisationen dabei, die komplexen gesetzlichen Anforderungen des Datenschutzrechts systematisch zu erfüllen. 

Im Mittelpunkt steht die Sicherstellung der rechtmäßigen Verarbeitung personenbezogener Daten. Darüber hinaus hilft die Beratung dabei, weitere Pflichten der DSGVO umzusetzen – etwa die korrekte Dokumentation von Verarbeitungstätigkeiten oder die Verständlichkeit und Vollständigkeit von Datenschutzhinweisen. 

Die Beratung erfolgt dabei stets individuell, bedarfsorientiert und mit Blick auf die praktischen Abläufe und das Tagesgeschäft der Organisation. 

Warum ist eine Datenschutzberatung heute so wichtig?

Mit dem wachsenden Ausmaß und der zunehmenden Komplexität automatisierter Datenverarbeitungen steigen auch die Anforderungen an deren rechtmäßige Ausgestaltung. 

Zudem müssen betroffene Personen transparent über die Verarbeitung ihrer Daten informiert werden; ihre Rechte – etwa auf Auskunft, Löschung oder Widerspruch – sind vollumfänglich zu beachten. 

Bei Verstößen drohen nach der DSGVO empfindliche Sanktionen, einschließlich Bußgeldern und potenziellen Schadensersatzansprüchen betroffener Personen. 

Eine fundierte Datenschutzberatung unterstützt Organisationen dabei, die Rechtmäßigkeit der Datenverarbeitung sicherzustellen und sämtliche datenschutzrechtlichen Pflichten einzuhalten – um rechtliche Risiken und wirtschaftliche Folgen wirksam zu vermeiden. 

Wie hilft eine professionelle Datenschutzberatung bei der Einhaltung des Datenschutzes?

Ziel einer professionellen Datenschutzberatung ist es, Organisationen dabei zu unterstützen, die Rechtmäßigkeit ihrer Datenverarbeitungen sicherzustellen. 

Dies geschieht in der Regel durch die Einführung eines effektiven Datenschutzmanagementsystems, das verbindliche Prozesse und Standards zur Verarbeitung personenbezogener Daten für alle Mitarbeitenden etabliert. 

Ergänzend erfolgt eine praxisnahe Beratung zu konkreten Einzelfragen – zum Beispiel zur rechtssicheren Ausgestaltung alltäglicher Datenverarbeitungen oder zur Bearbeitung von Betroffenenanfragen wie Auskunfts- und Löschersuchen gemäß DSGVO. 

 

Wann umfasst eine Datenschutzberatung die Benennung von externen Datenschutzbeauftragten?

Die Benennung als externe Datenschutzbeauftragte ist nicht zwingend mit einer Datenschutzberatung verbunden. 

Zum einen kann die Benennung gesetzlich nicht erforderlich sein – etwa dann, wenn eine nicht-öffentliche Organisation weniger als 20 Mitarbeitende beschäftigt, die ständig mit der Verarbeitung personenbezogener Daten befasst sind (vgl. § 38 Abs. 1 BDSG). 

Zum anderen kann die Funktion von Datenschutzbeauftragten auch durch eine geeignete Person innerhalb der Organisation wahrgenommen werden. 

Auf Wunsch kann eine Datenschutzberatung jedoch auch die Übernahme der Funktion als externe/r Datenschutzbeauftragte/r umfassen – selbst dann, wenn hierfür keine gesetzliche Pflicht besteht.

Welche Risiken bestehen ohne Datenschutzberatung?

Ohne oder mit unzureichender Datenschutzberatung besteht das Risiko, dass personenbezogene Daten rechtswidrig verarbeitet werden oder weitere Anforderungen der DSGVO nicht ordnungsgemäß erfüllt sind. Dies kann schwerwiegende Folgen haben: 

  • Aufsichtsbehörden können in solchen Fällen Anordnungen oder Verarbeitungsverbote aussprechen, 
  • Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes verhängen (Art. 83 DSGVO), 
  • und es drohen nachhaltige Reputationsschäden, insbesondere im Vertrauen gegenüber KundInnen und Partnerunternehmen. 

Eine professionelle Datenschutz-Beratung hilft, solche Risiken frühzeitig zu erkennen, wirksam zu minimieren und die Einhaltung datenschutzrechtlicher Vorgaben langfristig sicherzustellen. 

Was sind EU-Vertreter nach Art. 27 DSGVO?

EU-Vertreter nach Art. 27 DSGVO sind in der Verordnung selbst definiert als:
„eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 DSGVO benannt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.“ (vgl. Art. 4 Nr. 17 DSGVO) 

EU-Vertreter übernehmen zum einen repräsentative Aufgaben für die Organisation innerhalb der Europäischen Union. Zum anderen unterstützen sie bei der Einhaltung der Anforderungen der DSGVO, insbesondere im Kontakt mit Aufsichtsbehörden und betroffenen Personen. 

Wann sind EU-Vertreter nach Art. 27 DSGVO erforderlich?

Eine außereuropäische Organisation benötigt eine/n EU-VertreterIn gemäß Art. 27 DSGVO, wenn sie keine Niederlassung innerhalb der EU hat, aber dennoch: 

  • Personen in der EU entgeltlich oder unentgeltlich Waren oder Dienstleistungen anbietet, 
  • oder das Verhalten von Personen innerhalb der EU beobachtet – insbesondere durch Maßnahmen wie Tracking, Profiling oder Webanalyse.

In diesen Fällen gilt das Marktortprinzip, wodurch die Organisation in den Anwendungsbereich der DSGVO fällt. 

Welche Aufgaben nehmen EU-Vertreter nach Art. 27 DSGVO wahr?

EU-Vertreter gemäß Art. 27 DSGVO fungieren als zentrale Anlaufstelle für Datenschutzbelange in Europa – sowohl für die Mitarbeitenden der außereuropäischen Organisation als auch für europäische und nationale Aufsichtsbehörden sowie für betroffene Personen, deren personenbezogene Daten verarbeitet werden. 

Darüber hinaus unterstützen die Vertreter die Organisation bei der Erfüllung ihrer datenschutzrechtlichen Pflichten. Dazu gehören insbesondere: 

  • die Entgegennahme und Weiterleitung von Anfragen betroffener Personen (z. B. Auskunfts- oder Löschverlangen), 
  • die Kommunikation mit Aufsichtsbehörden, 
  • sowie das Bereitstellen des Verzeichnisses von Verarbeitungstätigkeiten auf Anforderung.
Wieso schreibt die DSGVO EU-Vertreter nach Art. 27 DSGVO vor?

Das europäische Datenschutzrecht verfolgt das Ziel, ein einheitliches Schutzniveau für personenbezogene Daten innerhalb der EU zu gewährleisten und so dem grundrechtlich verankerten Schutz dieser Daten Rechnung zu tragen. Um diesen Schutz auch in einer zunehmend digitalisierten Welt sicherzustellen, führt die Datenschutz-Grundverordnung (DSGVO) das sogenannte Marktortprinzip ein. 

Das bedeutet: Auch außereuropäische Organisationen dürfen personenbezogene Daten von EU-BürgerInnen  verarbeiten – sofern sie ihre Produkte oder Dienstleistungen in der EU anbieten oder das Verhalten betroffener Personen innerhalb der EU beobachten. In diesen Fällen fällt die Verarbeitung jedoch unter den Anwendungsbereich der DSGVO. Entsprechend müssen betroffene Unternehmen unter Umständen eine/n VertreterIn in der EU benennen (Art. 27 DSGVO). 

Lassen Sie uns sprechen.
Florian Reichert