Willkommen auf der Internetpräsenz der Kanzlei Derra, Meyer & Partner

Viele Dinge des täglichen Lebens tangieren Bereiche des Rechts, im Privaten sowie im Geschäftlichen gleichermaßen. Es entsteht ein Spannungsgefüge, das mit komplexen Rechtsvorschriften und dementsprechenden Risiken verbunden ist. Als spezialisierte Rechtanwälte, Steuerberater und Sanierungsberater sehen wir unsere Aufgabe darin, Sie bei Ihren Vorhaben partnerschaftlich zu begleiten. Derra, Meyer & Partner Rechtsanwälte PartGmbB vertritt Ihre Interessen in nahezu allen Rechtsgebieten mit einer besonderen Spezialisierung auf den internationalen Rechtsverkehr.

Juristische Vertretung im In- und Ausland

Derra, Meyer & Partner Rechtsanwälte PartGmbB versteht sich als Full-Service-Dienstleister und ist derzeit an elf Kanzleistandorten vertreten. Ausgehend von der Gründung unserer Kanzlei im Jahre 1980 durch Hans-Jörg Derra, begann die Expansion unseres Netzwerks in allen Teilen Deutschlands sowie in Italien und Polen. Durch verschiedene Kooperationen ist es uns möglich, Ihnen darüber hinaus eine anwaltliche Vertretung in Russland und im Baltikum sowie europaweit über unsere Mitgliedschaft im europäischen Anwaltsnetzwerk DIRO anzubieten.

mehr lesen

Unsere Unternehmensphilosophie ist daran ausgerichtet, Potenziale auszuschöpfen – nach diesem Prinzip arbeiten über 40 Berufsträger an der Durchsetzung Ihrer Interessen. Wir begleiten Sie bei Ihrem Anliegen und sorgen dafür, mögliche Risiken weitestgehend abzusichern. Im Verbund von Derra, Meyer & Partner Rechtsanwälte PartGmbB arbeiten spezialisierte Rechtsanwälte, Insolvenzverwalter, Steuerberater und Sanierungsberater stets daran, Chancen und Möglichkeiten für Sie nutzbar zu machen.

Über 30 Jahre Einsatz für die Interessen unserer Mandanten - europaweit

Eines der zentralen Anliegen unserer Tätigkeit ist es, Vertrauen aufzubauen. Wir wollen ein zuverlässiger Ansprechpartner sein für alle inländischen, aber auch grenzüberschreitenden Rechtsangelegenheiten im privaten und geschäftlichen Bereich. Unser Engagement gilt Unternehmern und Privatpersonen, aber ebenso auch Institutionen und Verbänden. Durch über 30 Jahre Erfahrung ist es uns möglich, Kompetenzen genau an der Stelle zu binden, wo sie benötigt werden – an insgesamt acht deutschen Kanzleistandorten sowie mit eigenen Niederlassungen in Italien und Polen. Werden Aspekte des ausländischen Rechts berührt, stellt dies kein Hindernis in der Bearbeitung Ihres Falles dar. Derra, Meyer & Partner setzt im internationalen Rechtsverkehr auf Kooperationen innerhalb der DIRO, einem europäischen Rechtsanwaltsnetzwerk, deren Gesellschafter dmp ist.

Die Berücksichtigung aller juristischen Aspekte – gelebte Praxis bei dmp

Durch das in unseren Büros gebündelte Know-how wissen wir, dass sich im Laufe einer juristischen Auseinandersetzung stets mehrere Optionen ergeben können. Die Fokussierung auf juristisches Wissen, das durch die Fachanwaltstitel vieler unserer Berufsträger nachgewiesen ist, bildet dabei die Basis. Von Fall zu Fall unterstützen wir Sie in allen rechtlichen Aspekten sowohl beratend, als auch vor Gericht oder im Rahmen besonderer Schieds- und Mediationsverfahren.

Die Vielfalt unseres Netzwerks wird durch kulturelle und branchenspezifische Kompetenz unterstrichen. Wir verstehen unsere Tätigkeit als Vermittler in Zeiten einer sich stetig beschleunigenden Globalisierung und Digitalisierung, im Wirtschaftsleben oder dem privaten Umfeld gleichermaßen.

Besondere Schwerpunkte unserer Tätigkeit sind:

  • Grenzüberschreitende Transaktionen und Fragestellungen, mit dem Fokus auf Rechtsverkehr von Deutschland mit Italien, Russland und Polen
  • Insolvenzrecht und Insolvenzberatung
  • Arbeitsrecht
  • Handels- und Gesellschaftsrecht
  • Vertriebsrecht
  • Datenschutz- und IT-Recht
  • Steuer- und Wirtschaftsstrafrecht

Gemäß dem Ansatz eines Full-Service-Dienstleisters sind auch Steuerberater bei Derra, Meyer & Partner tätig, die bei steuerrechtlichen oder betriebswirtschaftlichen Fragestellungen jederzeit hinzugezogen werden können. Soweit erforderlich kooperieren wir auch mit externen Steuerberatern und Wirtschaftsprüfern.

Setzen Sie Ihr Vertrauen in Derra, Meyer & Partner – Ihr starker Partner in allen Rechtsaspekten, privat oder geschäftlich!

News

alle News
11 Sep
2019
Stellenanzeige

Rechtsanwalt, Insolvenzsachbearbeiter, Rechtsanwaltsfachangestellter (jeweils w/m/d)

Voll- oder Teilzeit

Für unsere Büros in Ulm, Dresden, Düsseldorf und Berlin suchen wir Rechtsanwälte zu diversen Schwerpunkten, Insolvenzsachbearbeiter und Rechtsanwaltsfachangestellte (jeweils w/m/d).

Stellenbeschreibungen
27 Aug
2019

Recht auf Löschung – Pflicht zur Löschung?

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen?

mehr lesen

Bekommen Sie Löschanfragen, beispielsweise von (ehemaligen) Kunden, oder überlegen Sie, selbst eine solche Anfrage zu stellen? Dann kann es sinnvoll sein, sich einmal mit den grundlegenden Voraussetzungen und dem Umfang des Löschanspruchs zu beschäftigen. Denn auch wenn grundsätzlich ein solcher Anspruch existiert, heißt das nicht automatisch, dass stets sämtliche Daten gelöscht werden müssen.

Löschanspruch nach der DS-GVO

Die Datenschutz-Grundverordnung (DS-GVO) begründet in Art. 17 das Recht auf Löschung. Danach kann eine Person, deren personenbezogene Daten verarbeitet werden oder wurden, grundsätzlich von dem Verantwortlichen verlangen, dass diese Daten unverzüglich gelöscht werden. Aber Achtung: Dieser Anspruch besteht nicht ausnahmslos. Eine vollständige Löschung kann also nicht in jedem Fall begehrt werden.

Nach Art. 17 Abs. 1 DS-GVO sind personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe vorliegt:

  • Die Daten sind für den Zweck, für den sie erhoben oder sonst verarbeitet wurden, nicht mehr notwendig.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf einer Einwilligung, die zwischenzeitlich widerrufen wurde und es fehlt an einer anderweitig einschlägigen Rechtsgrundlage.
  • Die Erhebung oder sonstige Verarbeitung beruhte auf Art. 6 Abs. 1 lit. e DS-GVO (Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe) oder Art. 6 Abs. 1 lit. f DS-GVO (Wahrung der berechtigten Interessen) und dagegen wurde zwischenzeitlich Widerspruch eingelegt.
  • Die Erhebung oder sonstige Verarbeitung erfolgte rechtswidrig, beispielsweise ohne Rechtsgrundlage.
  • Die Löschung ist notwendig, um eine gesetzlich begründete Verpflichtung zu erfüllen. Diese kann sich sowohl aus europäischem Recht als auch aus deutschem Recht ergeben.
  • Die Daten wurden bei der Nutzung von „Diensten der Informationsgesellschaft“ erhoben. Darunter sind Dienste im Sinne des Art. 1 Nr. 1 lit. b der Richtlinie (EU) 2015/1535 zu verstehen. Gemeint sind Dienstleistungen, die in der Regel gegen Entgelt, elektronisch im Fernabsatz und auf individuellen Abruf des Empfängers erbracht werden. Dabei muss stets ein unmittelbarer Bezug zum Internet bestehen; die Gegenleistung muss nicht zwingend in einer Geldzahlung bestehen (beispielsweise auch „Bezahlung“ mit persönlichen Daten in sozialen Netzwerken).

Keine Löschpflicht: Löschanspruch kann ausgeschlossen sein

Auch wenn einer der zuvor genannten Gründe vorliegt, kann es sein, dass personenbezogene Daten dennoch nicht gelöscht werden müssen. So nennt Art. 17 Abs. 3 DS-GVO Gründe, bei deren Vorliegen kein Löschanspruch besteht:

  • Die weitere Verarbeitung der jeweiligen Daten ist notwendig, um das Recht auf freie Meinungsäußerung auszuüben.
  • Die weitere Verarbeitung (beispielsweise die simple Speicherung) ist notwendig, um eine gesetzlich begründete Verpflichtung (z.B. aus europäischem oder deutschem Recht) zu erfüllen.
  • Die weitere Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit notwendig (beispielsweise zum Zweck der Gesundheitsvorsorge, Arbeitsmedizin, medizinischen Diagnostik, Vorsorge und Behandlung etc.).
  • Die weitere Verarbeitung ist zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken notwendig und die Löschung würde die Erreichung dieser Ziele unmöglich machen.
  • Die weitere Verarbeitung ist notwendig, um Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Häufigster Fall für die Ablehnung eines Löschbegehrens ist wohl regelmäßig die gesetzliche Verpflichtung des Verantwortlichen, die Daten auch weiter zu speichern, obwohl der ursprüngliche Zweck bereits erreicht wurde. Diese kann aus verschiedenen Gründen notwendig sein:

  • Zum einen bestehen beispielsweise für Geschäftsunterlagen konkrete Aufbewahrungspflichten, die die fortdauernde Speicherung für sechs bis zehn Jahre erforderlich machen (§ 147 Abgabenordnung, § 257 Handelsgesetzbuch).
  • Zum anderen ist der Verantwortliche nach Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Das bedeutet, dass er in der Lage sein muss, die Einhaltung der grundlegenden Prinzipien der DS-GVO nachzuweisen. Das heißt, dass er auch für Datenverarbeitungen, die in der Vergangenheit liegen und ihren Zweck längst erreicht haben, nachweisen können muss, dass diese rechtmäßig durchgeführt wurden. Beruhte die Verarbeitung beispielsweise auf einer Einwilligung, müssen deren Vorliegen und Wirksamkeit weiterhin nachweisbar sein. Es empfiehlt sich daher, die Daten aus diesem Grund weiterhin zu speichern – aber nur, sofern sie jeweils zu diesem Zweck notwendig sind. Andere Daten können (und müssen sogar) gelöscht werden.

Umsetzung in der Praxis

Personen, die die Löschung der sie betreffenden personenbezogenen Daten begehren, sollten dies direkt bei dem Verantwortlichen verlangen. Dabei muss grundsätzlich keine besondere Form beachtet werden. Der Löschantrag sollte jedoch hinreichend begründet sein, d.h. Informationen zur Person des Antragstellers sowie dazu enthalten, warum die Löschung begehrt wird. Um Missbrauchsrisiken zu verringern, darf der Verantwortliche zudem Nachweise zur Überprüfung der Identität verlangen (aber Achtung bei der Anforderung von Personalausweiskopien oder -scans! Lesen Sie hierzu auch unseren Beitrag vom 27. Juni 2019.

Der Löschantrag muss dann grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden; eine Verlängerung dieser Frist ist ausnahmsweise möglich (Art. 12 Abs. 3 DS-GVO). Kommt der Verantwortliche dem Löschbegehren nicht nach, ist dies dem Antragsteller darzulegen (Art. 12 Abs. 4 DS-GVO).

Allerdings darf nicht vergessen werden, dass Verantwortliche auch ohne ein konkretes Verlangen personenbezogene Daten löschen müssen, wenn einer der oben genannten Gründe vorliegt. Werden beispielsweise gespeicherte Daten nicht mehr benötigt oder wurden diese in der Vergangenheit ohne Rechtsgrundlage verarbeitet, müssen die Daten gelöscht werden, wenn sie nicht weiterhin aus anderen Gründen gespeichert werden dürfen (oder müssen). Hier empfiehlt sich, eine Löschroutine anhand eines entsprechenden Löschkonzeptes zu entwickeln.

Das bedeutet für Sie: Wenn Sie selbst die Löschung ihrer personenbezogenen Daten begehren, sollten Sie sich bewusst machen, dass der Verantwortliche trotz Ihres Löschanspruchs nicht in jedem Fall verpflichtet ist, Ihre Daten vollumfänglich zu löschen. Den Löschantrag sollten Sie stets hinreichend begründen. Wenn Sie in Ihrem Unternehmen Löschanfragen erhalten, sollten Sie genau prüfen, ob Sie zur Löschung verpflichtet sind oder gegebenenfalls die Löschung verweigern dürfen. Löschen Sie beispielsweise sämtliche Daten der betreffenden Person, kann es sein, dass Sie unter Umständen Ihrer Rechenschaftspflicht nicht mehr nachkommen können. Eine fehlerhafte Löschung kann gleichzeitig eine „neue“ unzulässige Datenverarbeitung darstellen. Bei gespeicherten Datensätzen sollte regelmäßig geprüft werden, welche Daten davon nicht mehr benötigt werden und gelöscht werden können. Hier ist es regelmäßig empfehlenswert, ein Löschkonzept mit festen Verfahren zu etablieren.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

23 Aug
2019

dmp-Gutachten für den Berufsverband der Datenschutzbeauftragten (BvD) e.V

Rolle des Datenschutzbeauftragten nach der DS-GVO

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen.

mehr lesen

Die DS-GVO hat erhebliche Auswirkungen auf die Rolle des Datenschutzbeauftragen in Unternehmen. Um die durch die Verordnung hervorgerufenen Fragen und Probleme insbesondere in Bezug auf straf- und zivilrechtliche Haftungsrisiken sowie die arbeitsrechtliche Stellung zu beleuchten und zu beantworten, hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. die Rechtsanwaltskanzlei Derra, Meyer & Partner unter Federführung von Herrn Prof. Dr. Meyer mit der Erstellung eines Gutachtens beauftragt.

Richtungsweisende Aussage zum Datenschutzbeauftragten

Unsere Spezialisten aus den Bereichen Arbeits-, Straf-, und Haftungsrecht –namentlich Rechtsanwältin Schrader-Kurz und Rechtsanwalt Eßer (beide Arbeitsrecht), Rechtsanwalt Menz (Strafrecht) und Rechtsanwalt Steffen (Zivilrecht) - haben auf Grundlage eines vom BvD entwickelten Fragenkatalogs die wesentlichen Aspekte herausgestellt und dazu die richtungsweisenden Aussagen erläutert und geklärt. Die Entstehung des Gutachtens https://www.bvdnet.de/wp-content/uploads/2017/11/DMP-BvD-e.V.-gutachterliche-Stellungnahme-31.07.2017.pdf wurde durch den BvD-Vorstand eng begleitet, so dass Fragen zur betrieblichen Praxis schnell geklärt werden konnten. Die sich bei der Bearbeitung ergebenden neuen Fragen und Aspekte werden durch den BvD weiterverfolgt und diskutiert werden.

Veröffentlichung des Gutachtens

Das durch Derra, Meyer & Partner erstellte Gutachten, verfügbar auch in englischer Sprache, wurde zwischenzeitlich auf den Seiten des BvD veröffentlicht und steht dort zum Download zur Verfügung.

https://www.bvdnet.de/themen/gdpr/

Stand: 08/2019

19 Aug
2019

Gesellschaftsgründung per Mausklick – Erleichterung für Unternehmer

Die Digitalisierung unserer Unternehmenswelt schreitet stetig voran und „verschont“ auch klassische juristische Tätigkeitsbereiche nicht.

mehr lesen

Die Digitalisierung unserer Unternehmenswelt schreitet stetig voran und „verschont“ auch klassische juristische Tätigkeitsbereiche nicht. Denn die Gründung von Gesellschaften oder Niederlassungen soll bald europaweit per Computer vorgenommen werden können. Das sind die Auswirkungen der EU-Richtlinie 2019/1151, die am 11. Juli 2019 im Amtsblatt der Europäischen Union veröffentlicht wurde. Ziel ist es, vor allem Kleinstunternehmen und KMUs die Errichtung von Gesellschaften und Niederlassungen im In- und europäischen Ausland zu erleichtern. Dabei steht es jedem Mitgliedsstaat offen, ob in Zukunft Gründungen nur per Online-Verfahren erfolgen sollen oder ob der Unternehmer auch den traditionellen Weg über den Notar wählen kann. Die informationstechnischen und organisatorischen Herausforderungen sind dabei sportlich.

Anforderungen an das Online-Verfahren zur Gesellschaftsgründung

Unter anderem wird es erforderlich sein, eine grenzüberschreitende sichere elektronische Identifizierung zu gewährleisten, genaue Vorschriften für die online-Gründung zu entwerfen, rechtliche Hintergrundinformation zu Gründung und Gesellschaftsstruktur und Gründungsmuster in verschiedenen Sprachen zu erstellen sowie Maßnahmen für die rechtssichere Einreichung von Urkunde und sonstige Informationen zu entwickeln. Weitere Regelungspunkte sind die Erstellung transparenter Gebührenvorschriften sowie eine sichere Abwicklung der online-Zahlung.

Um die Komplexität einer Gründung zu reduzieren, steht es den Mitgliedsstaaten frei, nur einige Gesellschaftsformen online gründen zu lassen. Dabei dürfte sicher die GmbH im Vordergrund stehen. Besonderes Augenmerk wird auf die Identifizierung des Gründers zu legen sein, denn dieser kann sowohl eine natürliche als auch eine juristische Person sein. Ist das digitale Verfahren erst einmal operativ, dürfte dies zu einer weiteren Beschleunigung der Unternehmensgründung führen.

Fazit zur digitalen Gesellschaftsgründung

Bei aller Digitalisierung und Standardisierung wird der weitschauende Unternehmer aber weiterhin gut daran tun, sich im Vorfeld der Gründung im Ausland zu rechtlichen und steuerlichen Fragen sowie bei der konkreten Ausgestaltung der Satzung der Gesellschaft und ihrer Organe von den Rechtsanwälten seines Vertrauens vor Ort beraten zu lassen, um später unliebsame – und potentiell teure - Überraschungen zu vermeiden.

Je nach vorhandenem Grad der Digitalisierung wird die Umsetzung dieser Richtlinie die Mitgliedsstaaten vor unterschiedliche Schwierigkeiten stellen. Italien, das seit vielen Jahren erfolgreich in die Digitalisierung insbesondere im Umgang mit Ämtern und Behörden investiert hat, ist auf diese neue Herausforderung sicherlich gut vorbereitet. Die Umsetzung soll schon bis zum 1. August 2021 erfolgt sein. Die Zukunft bleibt also spannend!

Rechtsanwältin Dr. Stefanie Lebek

dmp.milano@derra.it

Stand: 08/2019

16 Aug
2019

EDSA-Leitlinien: Videoüberwachung unter der DS-GVO

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an?

mehr lesen

Fertigen Sie in Ihrem Unternehmen, beispielsweise auf Baustellen oder in Ladengeschäften, Videoaufnahmen mittels Überwachungskameras an? Dann sollten Sie sich vorher mit den datenschutzrechtlichen Voraussetzungen beschäftigen: Wann ist die Anfertigung und Speicherung von Videoaufnahmen nach der Datenschutz-Grundverordnung (DS-GVO) zulässig? Welche Informationspflichten bestehen und wie ist diesen nachzukommen? Wie ist mit Betroffenenrechten umzugehen? Dazu hat der Europäische Datenschutzausschuss (EDSA) nun eine Broschüre mit Leitlinien veröffentlicht.

EDSA – Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist eine unabhängige europäische Einrichtung mit Sitz in Brüssel. Der EDSA besteht aus dem Zusammenschluss der nationalen Datenschutzbehörden und Aufsichtsbehörden mit dem Europäischen Datenschutzbeauftragten. Er hat die vormalige Art.-29-Datenschutzgruppe abgelöst, die sich bis zum 25. Mai 2018 mit der Auslegung der DS-GVO beschäftigt hat. Seine Aufgabe ist es, für eine einheitliche Anwendung der DS-GVO in den Mitgliedstaaten der Europäischen Union (EU) zu sorgen. Dazu gibt er u.a. allgemeine Leitlinien heraus, in denen Begriffe und Regelungen der DS-GVO einheitlich ausgelegt werden. Diese können als Anleitung zur einheitlichen Umsetzung der DS-GVO verstanden werden.

Der EDSA hat nun Leitlinien für die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung herausgegeben („Guidelines 3/2019 on processing of personal data through video devices“, beschlossen am 10.07.2019, zur Zeit nur auf Englisch abrufbar unter https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201903_videosurveillance.pdf). Darin gibt er Hinweise zu verschiedenen Aspekten, die Verantwortliche für einen möglichst rechtssicheren Betrieb von Videoüberwachungsanlagen beachten sollten.

Zulässige Videoüberwachung – Rechtmäßigkeit

Wie jede andere Verarbeitung personenbezogener Daten im Anwendungsbereich der DS-GVO muss auch die Datenverarbeitung im Rahmen einer Videoüberwachung den Voraussetzungen der DS-GVO entsprechen. Hier weist der EDSA darauf hin, dass bloße Fake-Kameras bzw. Kameraattrappen, die keine Aufnahmen anfertigen, nicht der DS-GVO unterfallen. Denn hier werden bereits gar keine Daten erhoben und verarbeitet. Aber Achtung: In Deutschland kann darüber hinaus bereits das Anbringen einer bloßen Kameraattrappe das Allgemeine Persönlichkeitsrecht verletzen und somit einen Beseitigungsanspruch begründen (so kürzlich erst LG Essen, Urteil vom 30. Januar 2019 – 12 O 62/18)!

Datenverarbeitungen im Anwendungsbereich der DS-GVO müssen zunächst die Voraussetzungen des Art. 5 DS-GVO erfüllen. So muss die Videoüberwachung in Hinblick auf jede Kamera u.a. einem zuvor festgelegten Zweck dienen und auf einer Rechtsgrundlage beruhen. Laut EDSA kommen dafür regelmäßig berechtigte Interessen nach Art. 6 Abs. 1 lit. f DS-GVO in Betracht, während auf eine Einwilligung nur in Ausnahmefällen zurückgegriffen werden sollte. Hier ist jedoch besondere Vorsicht geboten! Um die Videoüberwachung auf Art. 6 Abs. 1 lit. f DS-GVO stützen zu können, muss im Rahmen einer umfassenden rechtlichen Prüfung eine Interessenabwägung durchgeführt werden. Auch hierfür hat der EDSA detaillierte Hinweise gegeben. Er weist insbesondere darauf hin, dass sich hierbei eine pauschale Bewertung verbietet, sondern eine solche Entscheidung nur jeweils abhängig vom konkreten Einzelfall getroffen werden kann. Bei dieser Prüfung berücksichtigt werden muss auch eine etwaige Weitergabe der Aufnahmen an Dritte (beispielsweise an Rechtsanwälte oder Versicherungen im Falle einer aufgenommenen Beschädigung). Auch die Speicherdauer der Aufnahmen sollte kritisch geprüft werden.

Sind besonders sensible Daten betroffen (z.B. zur Gesundheit), muss dafür eine spezielle Rechtsgrundlage gegeben sein (Art. 9 DS-GVO). Dasselbe gilt – neben Art. 6 DS-GVO – für Übertragungen der Daten in Drittländer (außerhalb der EU und des EWR), beispielsweise in Clouds auf Server in den USA (Art. 44 ff. DS-GVO).

Darüber hinaus sollte insbesondere auch dem Grundsatz der Datenminimierung besondere Aufmerksamkeit geschenkt werden. Die Einhaltung sämtlicher Anforderungen sollte zudem schriftlich dokumentiert werden.

Informationspflichten und Betroffenenrechte

Personen, die von den Videoaufnahmen betroffen sind, müssen stets proaktiv auf die Videoüberwachung hingewiesen werden (Art. 13, 14 DS-GVO). Dazu bietet sich nach Ansicht des EDSA regelmäßig die Information über einen mehrstufigen Ansatz an (sogenannte „layers“). Hier können auf der ersten Stufe, beispielsweise mittels eines Warnschildes mit entsprechenden Symbolen vor Ort, die wichtigsten Informationen mitgeteilt werden – u.a. zum Verantwortlichen und Zweck der Aufnahmen, zur Speicherdauer und Weitergabe an Dritte. Auf der zweiten Stufe können dann die übrigen Pflichtinformationen nach der DS-GVO mitgeteilt werden, beispielsweise mittels einer vor Ort ausliegenden Broschüre oder auf einer Internetseite, auf die wiederum mittels eines QR-Codes verwiesen wird. Der EDSA hat in den oben genannten Leitlinien ein Muster für einen entsprechenden Hinweis veröffentlicht.

Außerdem sind die Betroffenenrechte nach Art. 15 ff. DS-GVO sicherzustellen. Gerade im Falle der Videoüberwachung sollten dabei gewisse Besonderheiten beachtet werden. Verlangen die Betroffenen beispielsweise eine Kopie der Aufnahme, muss geprüft werden, ob darauf auch andere Personen zu sehen sind bzw. identifiziert werden können. Wird die Löschung der Aufnahme verlangt, kann dies nach Ansicht des EDSA bereits erreicht werden, indem die Aufnahme irreversibel unscharf bzw. unkenntlich gemacht wird (sogenanntes „Blurring“), sodass die betroffene Person nicht mehr identifiziert werden kann.

Technische und organisatorische Maßnahmen

Nicht zuletzt muss der Verantwortliche geeignete technische und organisatorische Maßnahmen der Datensicherheit treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DS-GVO). Das heißt, die Maßnahmen müssen sich daran orientieren, welche Risiken für die Betroffenen durch die Videoüberwachung begründet werden. Solche Risiken können beispielsweise die zufällige oder unrechtmäßige Vernichtung oder den Verlust der Aufnahmen sowie den unbefugten Zutritt oder eine solche Weitergabe an Dritte betreffen. Gegen solche Gefahren sind in organisatorischer und technischer Hinsicht geeignete Sicherheitsvorkehrungen zu treffen – beispielsweise durch eine Zutritts- und Zugriffskontrolle, Schulungsmaßnahmen, ein Störfallmanagement oder Verfahren zur Wiederherstellung gelöschter Aufnahmen sowie Verschlüsselung der Aufnahmen oder Schutz vor Angriffen auf die Hard- oder Software.

Zudem sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist. Einzelheiten hierzu können einem gesonderten Papier mit Leitlinien der vormaligen Art.-29-Datenschutzgruppe entnommen werden („Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purpose of Regulation 2018/679”, abrufbar unter https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236).

Das bedeutet für Sie: Wenn Sie bereits Videoüberwachung durchführen oder dies vorhaben, setzen Sie sich (ggf. nochmals) mit den Anforderungen der DS-GVO auseinander. Die Maßnahmen zur Videoüberwachung müssen in jedem Fall rechtmäßig sein und auch die übrigen Voraussetzungen nach Art. 5 DS-GVO müssen in Bezug auf jede verwendete Kamera vorliegen. Ebenso ist die notwendige Dokumentation nach Art. 5 Abs. 2 DS-GVO sicherzustellen. Des Weiteren müssen Betroffene gemäß Art. 13, 14 DS-GVO informiert werden. Zur Gewährleistung der Betroffenenrechte sollte außerdem bereits im Voraus ein entsprechendes Verfahren gestaltet werden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 08/2019

08 Aug
2019

Umfang des Auskunftsanspruchs nach Art. 15 DS-GVO

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor ...

mehr lesen

Wie bereits das Bundesdatenschutzgesetz in der Fassung bis zum 25.05.2018 sieht auch die DS-GVO in Art. 15 Abs. 1 DS-GVO das Recht für jeden Betroffenen vor, von einem Dritten Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten dieser von einem selbst gespeichert hat. In Bezug auf die Anforderungen und den Inhalt der Auskunft gehen die Bestimmungen der DS-GVO jedoch über die vorher geltenden Bestimmungen des BDSG-alt hinaus.

Umfang der Auskunft

Gemäß Art. 15 Abs. 1 DS-GVO kann der Anfragende als betroffene Person zunächst eine Bestätigung darüber verlangen, ob durch den Verantwortlichen personenbezogene Daten des Anfragenden verarbeitet werden. Bei der Auskunftserteilung ist dabei zu beachten, dass auch eine Negativauskunft zu erteilen ist, wenn der Verantwortliche entweder keine Daten zu dieser Person verarbeitet oder personenbezogene Daten unumkehrbar anonymisiert hat.

Zudem kann die betroffene Person auch ganz konkrete Auskunft darüber verlangen, welche personenbezogenen Daten im Einzelnen vom Verantwortlichen verarbeitet werden.

Teilurteil des Landgerichts Köln vom 18.03.2019

Das Landgericht Köln hatte darüber zu befinden, in welchem Umfang durch den Verantwortlichen tatsächlich Auskunft zu erteilen ist. Die Parteien stritten darüber, ob die Beklagte in ausreichendem Maße Auskunft über die bei ihr von der Klägerin gespeicherten personenbezogenen Daten erteilt hat. Die Klägerin vertrat dabei die Rechtsauffassung, dass die Beklagte verpflichtet sei, sämtliche gespeicherte Informationen im Rahmen der Auskunftserteilung herauszugeben habe.

Mit Teilurteil vom 18.03.2019, Aktenzeichen 26 O 25/18 entschied das Landgericht Köln, dass das Auskunftsrecht des Art. 15 Abs. 1 DS-GVO jegliche Merkmale umfasst, die die Identifizierbarkeit einer Person ermöglichen. Davon umfasst sind also neben Namen, Anschrift, Telefonnummer, E-Mail-Adresse auch Gesundheitsdaten, Kontoverbindung und Ähnliches. Auch ärztliche Unterlagen, Gutachten oder sonstige vergleichbare Mitteilungen anderer Quellen stellen ebenfalls „personenbezogene Daten“ dar (Erwägungsgrund 63 zur DS-GVO).

Der Auskunftsanspruch erstreckt sich nach zutreffender Rechtsauffassung des Gerichts aber nicht auf sämtliche interne Vorgänge der Beklagten, wie zum Beispiel verfasste Vermerke oder rechtliche Bewertungen und Analysen. Zur Auskunftserteilung gehört ebenfalls nicht, dass die betreffende Person sämtlichen gewechselten Schriftverkehr, der dem Betroffenen bereits bekannt ist, erneut ausgedruckt und übersendet erhält. Der Anspruch aus Art. 15DS-GVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und den Inhalt der gespeicherten personenbezogenen Daten beurteilen kann. Folgerichtig bestimmt Art. 15 Abs. 3 DS-GVO, dass der Betroffene eine Kopie (lediglich) der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhält. Die Übersendung weiterer Unterlagen ist dagegen nicht vorgesehen und kann daher vom Betroffenen auch nicht verlangt werden.

Weitere Informationspflichten

Zu beachten ist, dass neben der Auskunft über die personenbezogenen Daten selbst vom Verantwortlichen noch weitere Informationen im Rahmen einer vollständigen Auskunft der betroffenen Person mitzuteilen sind.

Nach Art. 15 Abs. 1 DS-GVO sind folgende Informationen ebenfalls mitzuteilen:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
  • geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer,
  • Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Bestehen eines Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
  • Bestehen eines Beschwerderechts für die betroffene Person bei der Aufsichtsbehörde,
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.

Im Falle der Datenübermittlung in Drittländer ist über die insoweit gegebenen Garantien gemäß Art. 46 DS-GVO zu informieren (z. B. vereinbarte Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften, d. h. BCR). Keine Drittländer sind die EU-Mitgliedsstaaten und die Vertragsstaaten des EWR.

Es ist daher darauf zu achten, dass der betroffenen Person eine umfassende und vollständige Auskunft erteilt wird, die neben den gespeicherten und verarbeiteten personenbezogenen Daten in jedem Fall auch die weiteren Informationen enthalten muss. Dabei hat die Auskunft gemäß Art. 12 Abs. 1 GS-GVO leicht verständlich in klaren und einfachen Worten zu erfolgen.

Rechtsanwältin Kathleen Brauner

dmp@derra-dd.de

Stand: 08/2019

 

Veranstaltungen

alle Veranstaltungen
12 Dez
2019

Datenschutzverletzungen, Prüfungen, Bußgeld

Referent: Dr. Jens Eckhardt

Veranstalter: Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Ort: Düsseldorf

Programm und Anmeldung
23 Nov
2019

Selbständige sowie Freiberufler im Migrationsrecht und das dazugehörige Gesellschaftsrecht

Referent: Andreas Dippe, LL.M.

Veranstalter: Deutscher Anwaltverein

Ort: Berlin

Programm und Anmeldung
08 Okt
2019

Fortbildungsveranstaltung: IT-Sicherheitsmanagement aus Sicht der DS-GVO

Referent: Dr. Jens Eckhardt

Veranstalter: Datakontext GmbH u. Gesellschaft für Datenschutz und Datensicherheit e.V.

Ort: Berlin

Programm und Anmeldung
26 Sep
2019

Internet Security Days 2019

DS-GVO: Meldepflicht bei Datenpannen (Security Breach Notification) und ihre (Bußgeld-) Risiken

Referent: Dr. Jens Eckhardt

Veranstalter: eco Verband der Internetwirtschaft e.V.

Ort: Brühl bei Köln

Veranstaltungszeitraum:
26.09.2019 bis 27.09.2019

Programm und Anmeldung
17 Sep
2019

From Russia with Arbitration

Besonderheiten der Schiedsgerichtsbarkeit in Russland

Referent: Alexander Shmagin

Veranstalter: DIS40 Berlin

Ort: Berlin

Programm und Anmeldung
12 Sep
2019

Data Privacy 2019

Professionaller Umgang mit Daten in Schweizer Unternehmen im Liche des DSG, der DSGVO und der künftigen ePrivacy Verordnung

Referent: Dr. Jens Eckhardt

Veranstalter: Schulthess Juristische Medien AG

Ort: Bern

Programm und Anmeldung