Daten(schutz)recht
Das Internet der Dinge, Big Data und der Einsatz von KI machen Daten zu einem wertvollen Wirtschaftsgut. Die im industriellen bzw. geschäftlichen Kontext anfallenden digitalen Daten nehmen exponentiell zu, die rechtlichen Herausforderungen steigen. Denn der Hunger nach digitalen Daten wächst nicht nur bei Unternehmen mit datenbasierten Geschäftsmodellen in der Medien-, ITK- oder Sportbranche, sondern auch bei Unternehmen im Gesundheits-, Verkehrs oder Finanzwesen. Die vertrauliche Handhabe, der Schutz, die Integrität und Sicherheit von Daten gewinnt damit zunehmend an Relevanz, insbesondere mit Blick auf den rechtmäßigen Umgang mit digitalisierten personenbezogenen Daten. Innovative digitale Technologien zur Datenerfassung und Datenverarbeitung ermöglichen es Unternehmen, Service und Angebot zu verbessern, über personenbezogene Profile Kundeninteressen und Kaufverhalten zu analysieren oder Werbung zu personalisieren.
Jede Verwertung digitaler Daten muss heute den strengen Anforderungen des Datenschutzes und der Informationssicherheit genügen. Den primären Rechtsrahmen bilden dabei die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG). In einem Umfeld ständiger regulatorischer Veränderungen und wegweisender EuGH-Rechtsprechung – etwa zur internationalen Datenübermittlung („Schrems II“) – erfordert Rechtssicherheit ein proaktives Augenmerk auf laufende Gesetzgebungsverfahren und Compliance-Standards.
Datenschutz beginnt dabei bereits bei der Technikgestaltung (Privacy by Design) und den Voreinstellungen (Privacy by Default). Bei der Beschaffung und Implementierung von IT-Lösungen stellen wir sicher, dass diese Anforderungen an Anonymisierung, Pseudonymisierung sowie Lösch- und Dokumentationskonzepte erfüllen. Nur durch eine frühzeitige rechtliche Begleitung lassen sich Haftungsrisiken und die drastischen Sanktionen der DSGVO – Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes – effektiv vermeiden.
Über die DSGVO hinaus prägt eine neue Generation von EU-Verordnungen die Handhabung von Daten und schafft einen integrierten europäischen Datenraum:
Data Act (EU) 2023/2854: Er begründet völlig neue Zugangs- und Nutzungsrechte für Daten, die durch vernetzte Geräte (IoT) generiert werden. Er regelt den Datenaustausch zwischen Herstellern und Nutzern, untersagt unangemessene Vertragsklauseln in Datenlizenzverträgen und erleichtert den Wechsel zwischen Cloud-Service-Providern durch Interoperabilitätsstandards.
Data Governance Act (EU) 2022/868 (DGA): Als Ergänzung zur Open-Data-Richtlinie fördert der DGA die Verfügbarkeit von Daten durch sichere Austauschmodelle, Datenmittler und die Weiterverwendung öffentlicher Datensätze.
Digital Services Act (EU) 2022/2065 (DSA) und Digital Markets Act (EU) 2022/1925 (DMA): Während der DSA den Schutz der Nutzerrechte auf Online-Plattformen durch Transparenz- und Sorgfaltspflichten erhöht, adressiert der DMA die Datenverarbeitung durch systemrelevante „Gatekeeper“. Er erzwingt faire Wettbewerbsbedingungen durch Regeln zur Interoperabilität und Datenübertragbarkeit.
Wir unterstützen Sie dabei, dieses komplexe Zusammenspiel der neuen EU-Datenregulierungen strategisch zu nutzen, Ihre Prozesse rechtskonform zu gestalten und Daten als wertvolles Wirtschaftsgut sicher zu bewirtschaften. Dabei bleiben wir auch bei gesetzgeberischen Veränderungen für Sie am Ball: So plant die EU-Kommission, einen Großteil der datenbezogenen Regelungen im Data Act zusammenzuführen und das Zusammenspiel mit der DSGVO im digitalen Zeitalter zu verbessern.
Mit dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) stärkt die DSGVO die Souveränität der Betroffenen: Nutzer haben den Anspruch, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die direkte Übermittlung an einen anderen Verantwortlichen zu erwirken. Dieses Recht dient vor allem dem ungehinderten Anbieterwechsel und der Interoperabilität digitaler Dienste.
Die Ausübung dieses Rechts unterliegt jedoch klaren rechtlichen Grenzen. Es greift insbesondere dann nicht, wenn die Datenverarbeitung zur Wahrnehmung öffentlicher Aufgaben oder in Ausübung öffentlicher Gewalt erfolgt. Zudem darf die Übertragbarkeit die Rechte und Freiheiten dritter Personen nicht beeinträchtigen.
Unternehmen sind gemäß Art. 13 und 14 DSGVO verpflichtet, proaktiv über das Bestehen dieses Rechts zu informieren. Wichtig für die Compliance: Das Recht auf Löschung („Recht auf Vergessenwerden“ nach Art. 17 DSGVO) bleibt hiervon unberührt und muss parallel gewahrt werden. Wir unterstützen Sie dabei, effiziente Prozesse für den Datentransfer zu implementieren und die notwendigen Informationspflichten rechtssicher umzusetzen.
Das Datenschutzrecht schützt das Persönlichkeitsrecht des Einzelnen vor Beeinträchtigungen durch die Verarbeitung personenbezogener Daten (Art. 1 DSGVO). Grundsätzlich ist jede Datenverarbeitung nur zulässig, wenn eine gesetzliche Erlaubnis oder eine wirksame Einwilligung vorliegt. Für Medienunternehmen schafft das Medienprivileg jedoch einen entscheidenden Spielraum: Redaktionen, Rundfunkanstalten und Online-Medien dürfen Daten unter bestimmten Voraussetzungen auch ohne Einwilligung nutzen, um ihre verfassungsrechtlich garantierte journalistische Aufgabe zu erfüllen.
Die Umsetzung dieser in Art. 85 DSGVO verankerten Öffnungsklausel erfordert in der Praxis stets eine komplexe Abwägung zwischen dem informationellen Selbstbestimmungsrecht und der Meinungs- sowie Informationsfreiheit. Dieser notwendige Interessenausgleich gilt gleichermaßen für die Veröffentlichung von Bildnissen nach dem Kunsturhebergesetz (KUG). Wir unterstützen Medienhäuser und Content-Ersteller dabei, diese rechtlichen Grenzen rechtssicher zu navigieren, die journalistische Arbeit durch das Medienprivileg abzusichern und bei Konflikten zwischen Datenschutz und Pressefreiheit eine belastbare Argumentation gegenüber Betroffenen und Aufsichtsbehörden aufzubauen.
Wir verstehen uns als Ihr Partner für Datenschutz, Security und Datenstrategie. Mit einer Kombination aus juristischer Exzellenz und tiefem technischem Verständnis begleiten wir Ihr Unternehmen durch alle datenschutz- und sicherheitsrelevanten Prozesse. Unser Ziel ist Ihre lückenlose rechtliche Absicherung. Gemeinsam mit Ihnen entwickeln wir maßgeschneiderte rechtliche, technische und organisatorische Maßnahmen, die auf Ihre spezifischen Datenströme abgestimmt sind. Die so erarbeiteten Konzepte vertreten und verhandeln wir mit Nachdruck gegenüber den zuständigen Aufsichtsbehörden.
Dabei verstehen wir Datenschutz nicht als Innovationsbremse, sondern als Fundament für moderne Geschäftsmodelle. Wir unterstützen Ihr operatives Geschäft bei allen Fragen rund um Digitalisierung & Cloud (rechtssichere Einführung von Cloud-Services, Big-Data-Analysen oder KI-Technologien), dem Aufbau und der Skalierung datenbasierter Geschäftsmodelle und CRM-Systeme, der rechtlichen Absicherung internationaler Datenströme und Gestaltung komplexer Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) und dem Aufbau effizienter Compliance-Management-Systeme sowie automatisierter Auskunfts- und Benachrichtigungsprozesse für Betroffene.
Wir vertreten Ihre Interessen konsequent gegenüber Aufsichtsbehörden, Verbraucherschutz- und Wettbewerbsverbänden sowie vor Gericht. Um Ihr Team langfristig fit für die regulatorischen Anforderungen zu machen, bietet unsere Kanzlei – auch in Kooperation mit spezialisierten Technik-Experten – fortlaufend praxisnahe Schulungen und Inhouse-Seminare zu aktuellen Themen des Datenschutzes und der Datensicherheit an.
Unsere Mandanten im Bereich des Daten(schutz)rechts kommen aus allen Branchen. Zu ihnen gehören mittelständische und große Unternehmen aus der ITK- und Medienbranche, aus der Baubranche, Personaldienstleister, Content-Aggregatoren, spezialisierte Portalanbieter oder Start-ups (wie z. B. App-Entwickler). Ebenso beraten wir Verwaltungsbehörden in datenschutzrechtlichen Belangen.