Datenschutzrecht & DSGVO in Essen

Die Datenschutz-Grundverordnung regelt EU-weit den Schutz personenbezogener Daten natürlicher Personen und gilt für deren Verarbeitung durch Unternehmen, Behörden und Vereine.

Sie gilt für alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten verarbeiten, sowie für Anbieter außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten (Marktortprinzip).

Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, etwa Name, Anschrift, IP-Adresse, Standortdaten oder Kundennummer (Art. 4 Nr. 1 DSGVO).

Dazu gehören nach Art. 9 DSGVO etwa Gesundheitsdaten, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit und Daten zum Sexualleben; ihre Verarbeitung ist nur unter strengen Voraussetzungen zulässig.

Sie ist nur rechtmäßig, wenn eine der Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO greift, etwa Einwilligung, Vertrag, rechtliche Pflicht oder berechtigtes Interesse.

Genannt werden Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigtes Interesse des Verantwortlichen.

Eine Verarbeitung kann zulässig sein, wenn ein berechtigtes Interesse besteht und die Interessen oder Grundrechte der betroffenen Person nicht überwiegen; dies erfordert eine dokumentierte Abwägung.

Sie muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erfolgen und ist jederzeit widerrufbar (Art. 7 DSGVO).

Ja, der Widerruf ist jederzeit und so einfach wie die Erteilung möglich; die bis dahin erfolgte Verarbeitung bleibt rechtmäßig.

Bei Diensten der Informationsgesellschaft ist die Einwilligung nach Art. 8 DSGVO erst ab 16 Jahren wirksam, sonst ist die Zustimmung der Eltern erforderlich.

Betroffene können erfahren, ob und welche Daten verarbeitet werden, zu welchem Zweck, an wen sie weitergegeben werden und wie lange sie gespeichert bleiben.

Grundsätzlich unverzüglich, spätestens innerhalb eines Monats nach Eingang des Antrags; bei Komplexität ist eine Verlängerung um zwei Monate möglich.

Ja, nach Art. 15 Abs. 3 DSGVO besteht Anspruch auf eine kostenlose Kopie der verarbeiteten personenbezogenen Daten; für weitere Kopien darf ein angemessenes Entgelt verlangt werden.

Nach Art. 17 DSGVO können Betroffene die Löschung verlangen, etwa wenn die Daten nicht mehr erforderlich sind, die Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war.

Nein, es bestehen Ausnahmen, etwa bei gesetzlichen Aufbewahrungspflichten, zur Rechtsverteidigung oder bei überwiegender Meinungs- und Informationsfreiheit.

Nach Art. 16 DSGVO können Betroffene die unverzügliche Berichtigung unrichtiger und die Vervollständigung unvollständiger Daten verlangen.

Nach Art. 18 DSGVO können Daten vorübergehend gesperrt werden, etwa wenn die Richtigkeit bestritten wird oder ein Widerspruch geprüft wird.

Nach Art. 20 DSGVO können Betroffene ihre bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln lassen.

Bei Verarbeitungen auf Grundlage berechtigter Interessen kann widersprochen werden; gegen Direktwerbung ist der Widerspruch jederzeit und ohne Begründung möglich.

Ja, nach Art. 82 DSGVO besteht Anspruch auf Ersatz materieller und immaterieller Schäden; nach EuGH genügt nicht der bloße Verstoß, es muss ein konkreter Schaden eingetreten sein.

Eine feste Tabelle gibt es nicht; Gerichte bemessen den Betrag im Einzelfall, deutsche Urteile bewegen sich häufig im niedrigen drei- bis vierstelligen Bereich. Wir prüfen Ihre Erfolgsaussichten gern individuell.

Der Verantwortliche haftet, kann sich aber entlasten, wenn er nachweist, dass er für den schadensbegründenden Umstand in keinerlei Hinsicht verantwortlich ist.

Eine Datenpanne ist eine Verletzung des Schutzes personenbezogener Daten, die zu Vernichtung, Verlust, Veränderung oder unbefugter Offenlegung führt (Art. 4 Nr. 12 DSGVO).

Ja, nach Art. 33 DSGVO ist sie der Aufsichtsbehörde grundsätzlich innerhalb von 72 Stunden zu melden, es sei denn, ein Risiko für Betroffene ist unwahrscheinlich.

Nach Art. 34 DSGVO bei voraussichtlich hohem Risiko für ihre Rechte und Freiheiten, dann unverzüglich und in klarer Sprache.

Nach Art. 30 DSGVO müssen Verantwortliche ihre Verarbeitungen dokumentieren, inklusive Zwecke, Datenkategorien, Empfänger und Löschfristen.

Im Grundsatz ja; eine Ausnahme für Unternehmen unter 250 Beschäftigten greift praktisch selten, da regelmäßige oder riskante Verarbeitungen meist vorliegen.

Nach Art. 35 DSGVO ist sie bei voraussichtlich hohem Risiko durchzuführen, etwa bei umfangreichem Scoring oder systematischer Überwachung öffentlicher Bereiche.

Verarbeitet ein Dienstleister Daten weisungsgebunden für ein Unternehmen, etwa ein Hosting- oder Newsletter-Anbieter, liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor.

Ja, die Verarbeitung im Auftrag bedarf eines schriftlichen oder elektronischen Vertrags mit den in Art. 28 Abs. 3 DSGVO genannten Mindestinhalten.

Nach Art. 37 DSGVO und Paragraf 38 BDSG unter anderem, wenn in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung beschäftigt sind oder Kerntätigkeiten umfangreiche Überwachung umfassen.

Er unterrichtet und berät das Unternehmen, überwacht die Einhaltung der Vorschriften und ist Anlaufstelle für Betroffene und die Aufsichtsbehörde (Art. 39 DSGVO).

Nach Art. 32 DSGVO sind dies Schutzvorkehrungen wie Verschlüsselung, Zugriffskontrollen, Pseudonymisierung und Backups, die ein dem Risiko angemessenes Schutzniveau sicherstellen.

Sie muss die Informationspflichten nach Art. 13 und 14 DSGVO erfüllen, also Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte transparent darstellen.

Art. 13 gilt bei Direkterhebung beim Betroffenen, Art. 14 bei Erhebung der Daten aus anderen Quellen; in beiden Fällen muss transparent informiert werden.

Nach Art. 83 DSGVO drohen je nach Verstoß bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Für Unternehmen mit Sitz in Nordrhein-Westfalen, etwa im Raum Essen, ist die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI) zuständig.

Mitbewerber und Verbände können unter Umständen Unterlassung verlangen; die Reichweite wettbewerbsrechtlicher Abmahnungen bei DSGVO-Verstößen ist jedoch umstritten und einzelfallabhängig.

Reagieren Sie nicht vorschnell und unterzeichnen Sie keine Unterlassungserklärung ungeprüft; lassen Sie die Berechtigung anwaltlich prüfen. Unsere Kanzlei in Essen unterstützt Sie dabei kurzfristig.

Sie ist nur bei berechtigtem Interesse und nach Abwägung zulässig, muss durch Hinweisschilder kenntlich gemacht werden und darf fremde oder öffentliche Bereiche grundsätzlich nicht erfassen.

Nach Paragraf 26 BDSG dürfen Beschäftigtendaten verarbeitet werden, soweit dies für das Arbeitsverhältnis erforderlich ist; eine heimliche Überwachung ist nur in engen Ausnahmen zulässig.

Das ist nur eingeschränkt und unter Beachtung von Verhältnismäßigkeit und Erforderlichkeit zulässig; bei erlaubter Privatnutzung gelten zusätzliche Grenzen.

Nicht technisch notwendige Cookies, etwa für Marketing oder Tracking, bedürfen nach Paragraf 25 TDDDG einer vorherigen Einwilligung des Nutzers.

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, früher TTDSG, regelt unter anderem den Zugriff auf Endgeräte und die Einwilligung für Cookies (Paragraf 25 TDDDG).

Nein, die Einwilligung muss freiwillig sein; eine gleichwertig erreichbare Ablehnen-Möglichkeit ist erforderlich, sonst fehlt es an einer wirksamen Einwilligung.

Tracking-Dienste wie Google Analytics sind in der Regel nur mit vorheriger Einwilligung zulässig; zusätzlich sind die Anforderungen an den Drittlandtransfer in die USA zu beachten.

Werbung per E-Mail setzt nach Paragraf 7 UWG grundsätzlich die vorherige ausdrückliche Einwilligung voraus; eng begrenzte Ausnahmen gelten für Bestandskunden.

Empfehlenswert ist das Double-Opt-In-Verfahren mit dokumentierter Bestätigung, da der Werbende die Einwilligung im Streitfall nachweisen muss. Wir prüfen Ihre Prozesse gern.

Übermittlungen in Drittländer bedürfen einer Grundlage nach Kapitel V DSGVO; für zertifizierte US-Unternehmen kann der EU-US Data Privacy Framework greifen, sonst sind Standardvertragsklauseln nötig.

Sie können Auskunft über gespeicherte Daten und den Scorewert verlangen sowie unrichtige Einträge berichtigen oder löschen lassen; nach EuGH-Rechtsprechung unterliegt das Scoring datenschutzrechtlichen Grenzen.