Telefon

+49 (0)421.2 38 04-60

E-Mail

datasec@merentis.com

Kontakt

Merentis Datasec GmbH –
Datenschutz, IT-Sicherheit & Compliance

Angebot anfordern

Willkommen bei der Merentis DataSec GmbH

Informieren Sie sich hier über unsere Dienstleistungen

Datenschutz

Sie sind auf der Suche nach einem externen Datenschutzbeauftragten, möchten Ihr Unternehmen im Datenschutz auditieren lassen oder benötigen Hilfe bei Auseinandersetzungen mit der Datenschutz Aufsichtsbehörde?

Wir haben den richtigen Experten für Sie – sprechen Sie uns an!

IT-Sicherheit

Identitäts- oder Datendiebstahl, Wirtschaftsspionage, Malwareangriffe und Cybercrime – all diese Gefahren stehen in der heutigen Zeit für ernst zu nehmende Aspekte in der Welt der digitalen Transformation und Digitalisierung. Unsere IT-Sicherheitsexperten analysieren Schwachstellen und erarbeiten Präventivkonzepte.

Compliance

Wir übernehmen für Sie die Implementierung und Pflege eines Hinweisgebersystems (Whistle Blowing System) und kümmern uns um die Umsetzung von Compliance Regeln in Ihrem Unternehmen.

Datenschutzauditor TÜV 

Unsere vom TÜV ausgebildeten und zertifizierten Datenschutzauditoren übernehmen sowohl die Planung als auch die Durchführung des Datenschutzaudits, um Ihnen im Anschluss einen detaillierten Bericht mit priorisierten Maßnahmenempfehlungen zur Verfügung zu stellen.

mehr erfahren

Über uns

MERENTIS Datasec ist Ihr strategischer Partner

Ganzheitliche Beratung in allen Bereichen des IT-Rechts, Datenschutz und der Informationssicherheit.

.01

Aus der Praxis

Unser Team besteht aus zertifizierten Datenschützern, Rechtsanwälten und Sicherheitsexperten mit einer langjährigen Praxiserfahrung.

.02

Auf den Punkt

Unsere Beratung erfolgt mit Augenmaß. Das frühzeitige Minimieren von Risikopotenzialen für Ihr Kerngeschäft steht bei uns dabei im Vordergrund. Wir benennen konkrete Maßnahmen, geben verbindliche Auskünfte und schaffen damit Rechtssicherheit für Ihr Unternehmen.

.03

An Ihrer Seite

Unsere Rechtsanwälte sowie Datenschutz- und Sicherheitsexperten gehen individuell auf Ihre betrieblichen und persönlichen Belange ein.

In Zusammenarbeit mit den anderen Geschäftsbereichen der MERENTIS Group realisieren wir IT-Lösungen und -Produkte im Umfeld revisionssicherer ECM-Lösungen wie z.B. M/Risikomanagement oder auch die datenschutzkonforme Einführung von Office 365. 

MERENTIS Datasec Blog

Hier teilen wir Informationen zum Thema Datenschutz.

MERENTIS DataSec FAQ

Nachfolgend erhalten Sie Antworten auf Ihre wichtigsten Fragen zum Datenschutz.
Jetzt beraten lassen
Was bedeutet Awareness?

Übersetzt meint Awareness „Bewusstsein“, „Gewahrsein“ oder auch „Aufmerksamkeit“. Zur Erhöhung des Sicherheits- und Datenschutz-Niveaus in einer Organisation gehört neben Maßnahmen auf technischer und organisatorischer Ebene auch die Sensibilisierung der Mitarbeiter für die Themen Informationssicherheit und Datenschutz. Dazu muss den Mitarbeitern vermittelt werden, mit Informationen nicht unbekümmert umzugehen und technische und organisatorische Sicherheitsmaßnahmen nicht nur als Störung des Arbeitsflusses wahrzunehmen. Menschen, die sich der Sicherheits- und Datenschutzaspekte ihrer Arbeit bewusst sind („Awareness“) und sich mit den Werten („Assets“) der Organisation identifizieren, sind weniger anfällig für „Social Engineering“-Angriffe (soziale Manipulation) und verantwortungsvoller im Umgang mit personenbezogenen Daten.

Wo ist der Unterschied zwischen dem BDSG und der DSGVO?

Die DSGVO ist ein EU-Recht, welches unmittelbar in jedem Mitgliedsstaat gilt. Die DSGVO enthält jedoch zahlreiche Klauseln, die den Mitgliedstaaten Handlungsverpflichtungen oder -optionen einräumen. Diese wurden in Deutschland im BDSG hinterlegt. Die DSGVO z.B. regelt die Rechte der betroffenen Personen und das BDSG sieht lediglich ergänzende Einschränkungen vor. Daher müssen beide Gesetze gleichzeitig beachtet werden.

Was ist ein Datenschutz-Management?

Datenschutzmanagement meint einen bestimmten Ablauf in der Organisation eines Unternehmens, bzw. einer öffentlichen oder nicht-öffentlichen Stelle, mit bestimmten festzulegenden Prozess-Schritten, die notwendig sind, um die datenschutzrechtlichen Anforderungen bei der Planung, Einrichtung, dem Betrieb und nach Aufgabe eines Verfahrens zur Datenverarbeitung zu gewährleisten. Hierbei sind z.B. Verantwortlichkeiten oder auch einzuhaltende Hierarchien zu berücksichtigen. Hierzu gehört das Erstellen einer Risiko-, Bestands- und Bedarfsanalyse sowie die Entwicklung und der Aufbau einer Datenschutzkonzeption.

Was sind die Aufgaben eines Datenschutz-Beauftragten?
Der Datenschutzbeauftragte kontrolliert die Einhaltung der rechtlichen, technischen und organisatorischen Anforderungen des Datenschutzes und der Datensicherheit. Es kann ein interner oder externer Mitarbeiter zum Datenschutzbeauftragten bestellt werden. Beide müssen die erforderliche Fachkunde und Zuverlässigkeit nachweisen. Der Nachweis erfolgt über Fortbildungen und Zertifikate. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem die Schulung und Sensibilisierung der Mitarbeiter, die Kontrolle der eingeführten Maßnahmen im Hinblick auf Einhaltung, Akzeptanz und Aktualität (Audit) oder auch Hilfestellung beim Aufbau eines Datenschutzmanagements. Darüber hinaus, prüft ein Datenschutzbeauftragter Dokumente, wie zum Beispiel Betriebsvereinbarungen, Datenschutzkonzepte, Arbeitsanweisungen und Vereinbarungen zur Auftragsdatenverarbeitung gemäß Art. 28 DSGVO (AVV).
Welche Informationen über eine Verarbeitung müssen erteilt werden?
Diese Angaben finden sich in Artikel 13 und 14 der DSGVO, wo die Bedingungen für Direkterhebung und Dritterhebungen genannt werden. Dazu gehören z.B. Informationen über den Verantwortlichen und den Datenschutzbeauftragten, die Betroffenenrechte, Widerrufsmöglichkeiten, Verarbeitungszwecke inkl. Rechtsgrundlage oder geplante Speicherdauer.

Es entstehen keine rückwirkenden Informationspflichten.

Die Informationen müssen zum Zeitpunkt der Erhebung gegeben werden in schriftlicher oder elektronischer Form. Das inkludiert auch das aktive Hinweisen auf diese beim persönlichen Kontakt oder am Telefon. Dazu sollten diese Informationen in Aushängen, auf Homepage, u.ä. zugänglich gemacht werden.

Was ist überhaupt der Sinn des Datenschutzrechts?
Sinn und Zweck des Datenschutzrechts ist es personenbezogene Daten zu schützen.

Dies hat einen besonders hohen Stellenwert, da Datenschutz zeitgleich Grundrechtsschutz ist.

Auf europäischer Ebene ist der Datenschutz in Art. 8 der EU-Grundrechtecharta verankert.

Wer ist überhaupt vom Datenschutzrecht betroffen?
Grundsätzlich ist ein jeder vom Datenschutzrecht betroffen.

Das Datenschutzrecht betrifft grundsätzlich alle Daten, welche mit einer Person in Verbindung stehen. Es werden also grundsätzlich alle personenbezogenen Daten geschützt.

Damit sind nicht nur Kunden, sondern auch Mitarbeiter, Führungskräfte und selbst die Geschäftsführung betroffene im Sinne des Datenschutzrechts.

All diese Daten gilt es zu schützen.

Welche Pflichten hinsichtlich des Datenschutzes treffen mich als Unternehmer?
Mit dem in Kraft treten der DSGVO werden Unternehmer von sehr viel umfangreicheren Pflichten getroffen als noch unter dem alten BDSG.

Besonders hinsichtlich der Ausgestaltung des Verarbeitungsvorgangs an sich und der damit verbundenen Risikobewertung bestehen hinreichende Dokumentationspflichten.

Selbiges gilt für die Informationspflichten gegenüber betroffenen Personen.

Was bedeutet Informations-Sicherheit?
Die Informationssicherheit, immer seltener auch Datensicherheit genannt, beschäftigt sich mit dem Schutz von Informationen. Im Gegensatz zur IT-Sicherheit, die sich auf elektronisch gespeicherte Informationen bezieht, werden auch Informationen einbezogen, die sich außerhalb von Rechnern befinden, in Papierform oder in den Köpfen von Menschen. „Informationssicherheit“ ist daher ein umfassenderer Begriff als „IT-Sicherheit“ und findet zunehmend Verwendung.
Ab wann braucht ein Unternehmen einen Datenschutz-Beauftragten?
Grundsätzlich muss ein Datenschutzbeauftragter erst dann eingesetzt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Ausnahmsweise gilt die Pflicht zu Einrichtung eines Datenschutzbeauftragten auch unabhängig von der Mitarbeiterzahl, wenn die in Artikel 5 DSGVO genannten besonders schützenswerten personenbezogenen Daten (politische/ religiöse Überzeugungen, Ethnie, Gesundheit oder Sexualleben) betroffen sind. Ebenfalls besteht die Verpflichtung immer dann, wenn die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten die Kerntätigkeit des Unternehmens ausmacht. Haben Sie hierzu Fragen? Dann sprechen Sie und bitte an.
Gibt es Ausnahmen von der DSGVO?
Grundsätzlich sind personenbezogene Daten immer zu schützen, insbesondere soweit sie verarbeitet werden.

Eine Ausnahme der DSGVO liegt dann vor, wenn personenbezogene Daten ausschließlich im persönlichen, beziehungsweise familiären Bereich „verarbeitet“ werden.

Aber auch bei Ermittlungen zur Strafverfolgung durch die zuständigen Behörden gilt die DSGVO nicht, um die öffentliche Sicherheit zu schützen und vor möglichen Gefahren zu warnen.

Warum müssen personenbezogene Daten überhaupt geschützt werden?
Im Alltag und auch im beruflichen Leben werden überall persönliche Daten hinterlassen – zum Beispiel beim Online-Shoppen von Zuhause aus oder auch bei Bewerbungen. Insbesondere hinsichtlich der fortschreitenden Digitalisierung werden mehr und mehr Daten gesammelt.

Im Zusammenspiel können diese personenbezogenen Daten empfindliche Kenntnisse über Ihre Person aussagen. Dies könnte ohne die Maßnahmen der DSGVO zu Datenmissbrauch, beispielsweise durch Identitätsdiebstahl führen.

Welche Daten zählen zu den personenbezogenen Daten im Sinne der DSGVO?
Im Sinne des Artikel 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Geschützt sind also nur personenbezogene Daten von lebenden Menschen. Zu den personenbezogenen Daten gehören beispielsweise Name, Adresse und Anschrift. Besonders sensible, personenbezogene Daten sind gemäß Artikel Informationen über die ethische Herkunft, religiöse oder weltanschauliche Überzeugung oder Gesundheitsdaten. Mittelbare personenbezogene Daten sind dann beispielsweise IP-Adressen und Cookie-Kennungen, sowie Sozialversicherungs- oder Matrikelnummer. Diese fallen daher auch unter den Schutzbereich der DSGVO.
Welche Grundsätze zum Datenschutz sind in der DSGVO hinterlegt?
In Artikel 5 DSGVO werden folgende Grundprinzipien der Datenverarbeitung beschrieben:

  • Rechtmäßigkeit: Verarbeitung personenbezogener Daten muss auf rechtmäßige Art und Weise und nach Treu und Glauben erfolgen. Außerdem muss der Betroffene den (legitimen) Zweck kennen.
  • Zweckbindung: Die Daten dürfen nur zum angegebenen Zweck verarbeitet werden.
  • Datenminimierung: Nur für den Zweck notwendige Daten dürfen verarbeitet werden.
  • Richtigkeit: Daten müssen richtig sein und aktuell gehalten werden.
  • Speicherbegrenzung: Personenbezogene Daten müssen nach Entfall des Verarbeitungszwecks oder wenn sie für diesen Zweck nicht mehr benötigt werden, gelöscht werden.
  • Integrität und Vertraulichkeit: IT-Systeme sollen von Anfang an so programmiert sein, dass nur das Mindestmaß an personenbezogenen Daten erhoben und verarbeitet wird (Privacy by design).
  • Rechenschaftspflicht: Das verarbeitende Unternehmen ist verantwortlich für den Datenschutz und die Umsetzung der DSGVO.
Auf welche Art und Weise und bei welcher Stelle können sich Bürger über Datenschutz-Verletzungen beschweren?
Wenn ein Bürger eine Datenschutzverletzung vermutet, kann er sich bei der zuständigen Aufsichtsbehörde des Landes beschweren. Oftmals stellen diese Beschwerdeformulare bereit, die regelmäßig auch elektronisch ausgefüllt werden können, um die Meldung zu erleichtern.

Die Aufsichtsbehörde ist außerdem verpflichtet den Beschwerdeführer über den Stand der Ermittlungen zu informieren.

Seit Dezember 2021 sind zumindest größere Unternehmen verpflichtet ein Hinweisgebersystem („Whistle Blowing“) einzurichten. Hier können Betroffene eine Meldung/ Beschwerde abgeben und die mögliche Datenschutzverletzung kann zunächst intern geprüft werden, ohne dass direkt behördliche Ermittlungen erfolgen.

Das sagen unsere Kunden über uns

„Die Zusammenarbeit mit unseren Ansprechpartnern bei MERENTIS ist optimal – die Unterstützung läuft schnell, fachkompetent und unbürokratisch.“

Rausch GmbH

„Datenschutz ist notwendig, wichtig und dank der verlässlichen Unterstützung des Teams der Merentis DataSec GmbH auch für uns als mittelständisches Unternehmen der Sozialwirtschaft machbar und umsetzbar. Durch die Kombination von juristischem Fachwissen und praxisnahem Know-How fühle ich mich als Geschäftsführerin gut beraten. Wir erleben täglich den Vorteil.“

Lebenshilfe Hannover

„Wir sind mit der Arbeit der MERENTIS DataSec GmbH sehr zufrieden. In unserem Inklusionsunternehmen mit verschiedenen Industrie-, Dienstleistungs-, Gastronomie-, Handels- und Handwerksbetrieben ergeben sich vielfältige datenschutzrechtliche Fragestellungen, die stets kompetent beantwortet und praxisnah umgesetzt werden.“

Laufer Mühle gGmbH