Die Datenschutz-Grundverordnung (EU) 2016/679, abgekürzt DSGVO, trat am 25. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren. Die DSGVO hat das Datenschutzrecht in der Europäischen Union (EU) vereinheitlicht und verschärft. Sie gilt auch für viele Unternehmen und Organisationen in der Schweiz und anderen Ländern außerhalb der EU, insbesondere wenn diese Waren oder Dienstleistungen an EU-Bürger anbieten.
Wer das neue EU-Datenschutzrecht verletzt, kann mit Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 Prozent des weltweiten Umsatzes bestraft werden. Es handelt sich dabei um die Höchststrafen, insbesondere auch mit Blick auf große Tech-Unternehmen wie Google oder Facebook.
Unabhängig von einer allfälligen Bestrafung können bereits die Kosten, die ein Verfahren aufgrund einer mutmaßlichen Verletzung der DSGVO verursacht, schmerzhaft sein.
Datenschutzverstöße sind zudem häufig Gegenstand von Abmahnungen durch andere Unternehmen, Verbraucherschutzverbände oder betroffene Personen selbst. Hierdurch können nicht nur erhebliche Kosten entstehen, sondern auch die Handlungsfähigkeit eines Unternehmens empfindlich eingeschränkt werden.
Mit der DSGVO führte die EU im Datenschutzrecht das Marktortprinzip ein:
Die DSGVO gilt für die Verarbeitung von Personendaten aller Menschen, die sich in der EU befinden. Die DSGVO gilt auch, wenn solche Daten in der Schweiz und in anderen Ländern außerhalb der EU – in sogenannten Drittländern – verarbeitet werden.
Unternehmen in der Schweiz, deren Angebot sich an Personen in der EU richten, müssen die DSGVO einhalten. Auch kostenlose Angebote wie beispielsweise E-Books und Newsletter für Personen in der EU sind davon ausdrücklich betroffen.
Außerdem gilt die DSGVO für Unternehmen in der Schweiz, die das Verhalten von Personen in der EU beobachten, zum Beispiel durch die Analyse der Aktivitäten von Besucherinnen und Besuchern in einer App oder auf einer Website (Profiling und Tracking).
Schweizer Unternehmen, welche die DSGVO einhalten müssen, benötigen unter den folgenden drei Voraussetzungen ausnahmsweise keinen Datenschutz-Vertreter in der EU:
Die Ausnahme gilt nur, wenn alle drei Voraussetzungen erfüllt sind. Wir raten davon ab, sich auf diese Ausnahme zu berufen.
Darüber hinaus werden Unternehmen gemäß § 40 BDSG von der zuständigen Aufsichtsbehörde überwacht. In Deutschland sind dies die Datenschutz-Aufsichtsbehörden der Länder, etwa das Bayerische Landesamt für Datenschutzaufsicht.
In § 1 Abs. 1 BDSG heißt es: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ Das Datenschutzrecht schützt also nicht Daten als solche, sondern die Persönlichkeit jedes Einzelnen vor Beeinträchtigungen durch die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten.
Der Inhalt der Datenschutzerklärung hängt davon ab, welche Daten in welcher Form auf der Website konkret erhoben und verwendet werden. Der Benutzer ist hierüber vollständig und wahrheitsgemäß zu unterrichten. Die konkreten Anforderungen ergeben sich aus den Art. 12 und 13 DSGVO. Es ist insbesondere über sämtliche Verarbeitungsvorgänge, die jeweiligen Verarbeitungszwecke und Rechtsgrundlagen sowie Empfänger von Daten zu unterrichten. Weiter müssen die Website-Besucher über ihre Betroffenenrechte informiert werden, beispielsweise über das Auskunfts- oder das Löschungsrecht.
Für viele, einfachere Websites dürfte dafür ein standardmäßiges Muster ausreichen, wie Sie es im Internet finden. Für alles, was darüber hinaus geht, bedarf es jedoch einer individuell formulierten Erklärung, welche ein spezialisierter Rechtsanwalt nach eingehender Beratung ausarbeiten kann. Besonderheiten ergeben sich insbesondere bei der Verwendung von Social Media Plugins, Analysetools oder sonstiger Applikationen, die Daten erheben und nutzen.
Die Datenschutzerklärung sollte, genau wie das Impressum, einfach und mit einem Klick erreichbar sein. Es empfiehlt sich deshalb, diese auf einer eigenen Seite unterzubringen und einen mit „Datenschutz“ oder „Datenschutzerklärung“ bezeichneten Link neben den Link zum Impressum, z.B. in den Footer der Website einzubauen.
Aus wettbewerbsrechtlicher Sicht sind die Folgen einer fehlenden oder fehlerhaften Datenschutzerklärung umstritten. Nach einigen Entscheidungen, beispielsweise des OLG Karlsruhe und des OLG Hamburg, stellt die Verpflichtung des Betreibers einer Website, Nutzer auf die Erhebung und Verwendung personenbezogener Daten hinzuweisen, eine Marktverhaltensregel dar. Folglich können bei fehlenden Datenschutzerklärungen wettbewerbsrechtliche Abmahnungen ausgesprochen werden.
Derzeit häufiger Gegenstand von Abmahnungen ist der Einsatz von Tracking-Diensten wie Google Analytics oder sonstigen Drittanbietertools wie Webfonts ohne die Einhaltung der rechtlichen Vorgaben, insbesondere ohne wirksame Einwilligung mittels eines sog. Cookie Consent Tools. Auch unrechtmäßige Datenübermittlungen an Dienstleister in den USA sind derzeit ein heißes Thema.
Die Zusammenarbeit beginnt in der Regel mit der Feststellung des aktuellen Standes im Datenschutz in Ihrem Unternehmen, beispielsweise im Rahmen eines Kick-off-Termins. Auf dieser Basis definieren wir konkrete Maßnahmen, priorisieren Handlungsfelder und legen eine klare Roadmap fest.
Im laufenden Betrieb stehen wir als feste Ansprechpartner zur Verfügung, unterstützen bei Projekten, prüfen Verträge, begleiten Audits und schulen Ihre Mitarbeitenden. Pragmatisch und lösungsorientiert.
Als externer Datenschutzbeauftragter stehen wir Ihnen im Tagesgeschäft zuverlässig zur Verfügung, per E-Mail, Telefon oder Videokonferenz. Anfragen werden zeitnah bearbeitet, bei dringenden Themen selbstverständlich priorisiert.
Ihnen steht ein fester Ansprechpartner zur Verfügung, sodass Sie klare Kommunikationswege und kurze Abstimmungsprozesse haben. So stellen wir sicher, dass datenschutzrechtliche Fragen schnell, pragmatisch und rechtssicher geklärt werden können.
Wir bieten transparente Paketmodelle – passend zu Ihrem individuellen Beratungsbedarf:
Inklusiv-Pakete eignen sich für Unternehmen mit regelmäßigem Beratungsbedarf. Sie erhalten ein jährliches Zeitkontingent, das flexibel für Datenschutzberatung und Unterstützung genutzt werden kann. Reicht das Kontingent nicht aus, profitieren Sie von reduzierten Stundensätzen. Inklusiv-Pakete bieten wir ab € 279,- netto monatlich an. Typisch sind sie für B2C-Unternehmen, Agenturen, Software- oder KI-Anbieter sowie Unternehmen mit sensiblen Daten (z. B. Gesundheits- oder Finanzbereich).
Basis-Pakete sind ideal bei geringerem Beratungsbedarf. Hier übernehmen wir die Bestellung als Datenschutzbeauftragte ab € 129,- netto monatlich. Zusätzliche Beratungsleistungen werden nach regulärem Stundensatz abgerechnet. Dieses Modell passt häufig für kleinere Dienstleister, B2B-Unternehmen oder Handwerksbetriebe.
Sprechen Sie uns an für ein individuelles Angebot.
Ein Datenschutz-Vertreter in der EU ist eine juristische oder natürliche Person, die in einem EU-Mitgliedstaat niedergelassen ist. Die Niederlassung muss sich in einem der EU-Mitgliedstaaten befinden, in denen sich die betroffenen Personen in der EU befinden. Die Bestellung beziehungsweise Ernennung muss schriftlich erfolgen.
In vielen Fällen ist die Ernennung eines EU-Datenschutzvertreter nicht optional, sondern gesetzlich vorgeschrieben. Gemäß Artikel 27 der EU-Datenschutz-Grundverordnung (DSGVO) sind Unternehmen ohne physische Präsenz in der EU verpflichtet, einen EU-Datenschutzvertreter zu ernennen, wenn sie:
1) Waren oder Dienstleistungen für Personen in der EU anbieten – unabhängig davon, ob diese kostenpflichtig oder kostenlos sind oder
2) das Verhalten von Personen in der EU überwachen, beispielsweise durch Online-Tracking, Analysen oder Profiling.
Fordern Sie jetzt eine kostenlose, individuelle Compliance-Prüfung an.
Es ist in jedem Fall zu empfehlen, einen EU-Vertreter auszuwählen, der über ein tiefgreifendes Verständnis der juristischen, organisatorischen und technischen Aspekte des Datenschutzes verfügt, um auf Anfragen der Aufsichtsbehörden qualifiziert reagieren zu können.
Der EU Datenschutz-Vertreter ist Ansprechpartner für Aufsichtsbehörden und betroffene Personen bei sämtlichen Anfragen im Zusammenhang mit der Gewährleistung der Einhaltung der DSGVO.
Die FX-Data Dienste umfassen:
Unser Angebot richtet sich an juristische und natürliche Personen mit Sitz außerhalb der EU, die Daten von Personen verarbeiten, die sich in Deutschland und in anderen Staaten der EU befinden. Insbesondere Unternehmen in der Schweiz, UK, USA etc. Viele solche Unternehmen und Organisationen, aber auch einzelne Selbständige, benötigen gemäß Art. 27 DSGVO einen Datenschutz-Vertreter in der EU.
Die Nichtbenennung eines EU-Datenschutzvertreter stellt gemäß Artikel 27 an sich schon einen Verstoß gegen die DSGVO dar. Bei einem solchen Verstoß kann die EU-Aufsichtsbehörden gemäß Artikel 83 DSGVO hohe Bußgelder erheben – in der Regel bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
In der Praxis haben die Behörden bereits Geldbußen wegen des Fehlens eines Vertreters gemäß Artikel 27 verhängt (z. B. eine Geldbuße in Höhe von 525.000 € wegen der Nichtbenennung eines Vertreters in einem Fall zur Durchsetzung der DSGVO).
Ja. Zusätzlich zu Geldstrafen können die Aufsichtsbehörden die Einhaltung der Vorschriften verlangen, bevor geschäftliche Tätigkeiten im EU-Raum fortgeführt oder aufgenommen werden dürfen. Einige Durchsetzungsmaßnahmen können zu betrieblichen Einschränkungen führen, bis ein EU-Datenschutzvertreter ernannt ist.
Nein. Ein EU-Vertreter gemäß Artikel 27 DSGVO ist ein lokaler Ansprechpartner und Vermittler für betroffene Personen und Behörden, er hat keine interne Compliance-Funktion. Ein Datenschutzbeauftragter (Artikel 37 DSGVO) überwacht die Einhaltung der Datenschutzbestimmungen innerhalb des Unternehmens. Die beiden Funktionen unterscheiden sich und können abhängig von Ihren Verarbeitungsaktivitäten beide erforderlich sein.
Eine Meldung ist erforderlich, wenn der Vorfall voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt. Das ist z. B. der Fall, wenn sensible Daten betroffen sind, ein möglicher Datenabfluss nicht ausgeschlossen werden kann oder Angreifer Zugriff auf Systeme hatten. Wichtig: Die Meldung muss unverzüglich, spätestens innerhalb von 72 Stunden erfolgen.
Betroffene müssen informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Dies ist etwa der Fall, wenn Angreifer Zugang zu personenbezogenen Kundendaten oder besonders sensiblen Informationen hatten. Die Information muss klar darstellen, welche Daten betroffen sind, welche Risiken bestehen und welche Schutzmaßnahmen empfohlen werden.
Der unbefugte Zugriff auf Daten durch einen Hacker oder im Rahmen eines Phishing-Angriffs stellt regelmäßig auch eine Straftat dar. Auch wenn die Täter meist im Ausland sitzen und Ermittlungen der Polizei in der Regel ohne Ergebnis bleiben, empfehlen wir, neben der datenschutzrechtlichen Meldung auch eine Strafanzeige zu erstatten. Dies ist häufig schon deshalb erforderlich, weil die meisten Cyber- und Haftpflichtversicherungen in Versicherungsfällen grundsätzlich eine Anzeige bei der Polizei voraussetzen.
Zwischenzeitlich haben die Landeskriminalämter der Bundesländer zentrale Meldestellen für Straftaten im Internet eingerichtet, etwa die Zentrale Ansprechstelle Cybercrime (ZAC) des Bayerischen Landeskriminalamts. Dort können Hacker-Angriffe online angezeigt werden. Dem Betroffenen bleibt so der Gang zur Polizeidienststelle erspart.
Wir übernehmen für Sie nicht nur die Anzeige an die jeweilige Meldestelle, sondern koordinieren auch die anschließende Kommunikation zwischen LKA, der dann zuständigen Polizeiinspektion und etwaigen Zeugen (etwa Ihrem IT-Dienstleister).
Im Rahmen des Datenschutz-Checks wird Ihre Website oder Ihr Online-Shop technisch und rechtlich analysiert. Dabei prüfen wir insbesondere den Einsatz von Cookies, Tracking- und Marketing-Tools, eingebundene Drittanbieter sowie Datenverbindungen zu externen Servern. Ziel ist es, datenschutzrechtliche Risiken transparent zu identifizieren und nachvollziehbar zu bewerten.
Ja. Auch kleinere Websites unterliegen vollständig den Vorgaben der DSGVO und des TDDDG. Bereits der Einsatz von Analyse-Tools, Schriftarten, eingebetteten Medien oder Kontaktformularen unterliegt datenschutzrechtlichen Vorgaben. Der Datenschutz-Check hilft, auch bei überschaubaren Webauftritten Abmahn- und Haftungsrisiken zu minimieren.
Ja. Sie erhalten konkrete und praxisnahe Empfehlungen zur Anpassung Ihrer Website. Diese basieren auf den aktuellen Vorgaben der Datenschutz-Aufsichtsbehörden sowie der geltenden Rechtsprechung und enthalten eine individuelle Risikoeinschätzung, damit Sie Maßnahmen priorisieren können.
Nein. Der Datenschutz-Check ersetzt keinen internen oder externen Datenschutzbeauftragten. Er stellt jedoch eine fundierte Momentaufnahme des Datenschutzstatus Ihrer Website dar und ist eine wertvolle Ergänzung zur laufenden Datenschutzorganisation in Ihrem Unternehmen.
Gegenstand einer Meldung können beispielsweise Angaben über Verstöße gegen Strafvorschriften sowie Regelungen zum Umwelt-, Daten- oder Verbraucherschutz sein. Der Hinweisgeber muss diese Informationen zwingend im Zusammenhang mit seiner beruflichen Tätigkeit erlangt haben.
Die Offenlegung von Informationen trotz gesetzlicher oder vertraglicher Verschwiegenheitspflichten ist gegenüber der Meldestelle zulässig, sofern der Hinweisgeber in gutem Glauben handelt und die Meldung zur Aufdeckung eines relevanten Verstoßes erforderlich ist.
Meldestellen sind gesetzlich zur Wahrung der Vertraulichkeit verpflichtet. Dies umfasst die Identität des Hinweisgebers sowie sämtlicher in der Meldung genannten Personen. Bei der Verarbeitung personenbezogener Daten sind zudem die Vorschriften der DSGVO einzuhalten.
Jegliche Benachteiligungen gegen Hinweisgeber sind gesetzlich verboten – dies schließt bereits deren Androhung oder den Versuch ein. Erleidet ein Hinweisgeber dennoch berufliche Nachteile, wird gesetzlich vermutet, dass es sich um eine unzulässige Repressalie handelt. Im Streitfall muss der Arbeitgeber beweisen, dass die Maßnahme sachlich gerechtfertigt war und nichts mit der Meldung zu tun hatte. Bei einem Verstoß gegen das Verbot droht Schadensersatz!
Wird eine Falschmeldung vorsätzlich oder fahrlässig abgegeben, droht Schadensersatz!
Datenschutz ist längst mehr als eine gesetzliche Pflicht. Kundinnen und Kunden achten zunehmend darauf, wie verantwortungsvoll Unternehmen mit ihren Daten umgehen. Wer transparente, datenschutzkonforme Prozesse etabliert und diese aktiv kommuniziert, schafft Vertrauen. Und Vertrauen beeinflusst Kaufentscheidungen. Studien zeigen: Menschen entscheiden sich eher für Anbieter, die ihre Daten respektieren und schützen.
Ein klar kommuniziertes Datenschutzkonzept signalisiert Seriosität, Professionalität und Verantwortungsbewusstsein. Das reduziert Unsicherheiten, stärkt die Kundenbindung und erhöht die Weiterempfehlungsrate. Gerade im B2B-Bereich ist Datenschutz häufig ein entscheidendes Auswahlkriterium bei Ausschreibungen und Vertragsverhandlungen.
FX Data ist ein Datenschutzunternehmen mit Fokus auf sämtliche Dienstleistungen hinsichtlich der Umsetzung des Datenschutzes für Unternehmen. Wir beraten kleine und mittlere Unternehmen, schulen Mitarbeiter und stellen den externen Datenschutzbeauftragten sowie den EU-Datenschutzvertreter.
Die Beratung von FX Data zeichnet sich durch ein hohes Verständnis der besonderen technischen und wirtschaftlichen Anforderungen aus. Dabei werden vertiefte technische Kenntnisse mit vollwertigen juristischen Kenntnissen vereint.
FX Data behandelt spezialisiert jegliche Fragen und Anforderungen, die in Verbindung mit Datenschutz und Datensicherheit aufkommen und aufkommen können. Durch die jahrelange Betreuung von Online-Shops und anderen Mandanten im B2C-Bereich verfügt FX Data über fundierte Erfahrung im Umgang mit Verbrauchern und deren Anliegen.