Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union und konkretisiert das Grundrecht auf den Schutz personenbezogener Daten bei der Verarbeitung.
Beispiele für personenbezogene Daten bzw. Informationen sind:
• Name und Anschrift
• Kontaktdaten wie E-Mail-Adresse und Telefonnummer
• IP-Adressen – gerade im Bereich Webtracking ist das ein wichtiger Identifier
• Verhaltensdaten wie Einkaufsverhalten und Standortdaten wie GPS
• Foto- und Videoaufnahmen
Ziele der DSGVO sind der Schutz der Betroffenen und die Herstellung von Transparenz durch Informations- und Auskunftspflichten. Zudem sollen Wettbewerbsverzerrungen durch unterschiedliche nationale Regelungen zum Datenschutz innerhalb der Union vermeiden werden.
Die DSGVO gilt in allen Mitgliedsstaaten der Europäischen Union und im Europäischen Wirtschaftsraum. Sie gilt auch für Unternehmen mit Sitz außerhalb der Union, wenn diese Unternehmen personenbezogene Daten von Menschen aus der Union verarbeiten.
Betroffene Personen können verschiedene Rechte nach der DSGVO geltend machen.
Die Rechte nach der DSGVO sind:
• das Recht auf Auskunft (Art. 15 DSGVO)
• das Recht auf Berichtigung (Art. 16 DSGVO)
• das Recht auf Löschung bzw. Recht auf Vergessenwerden (Art. 17 DSGVO)
• das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• das Widerspruchsrecht (Art. 21 DSGVO)
Datenschutz ist wichtig, weil er Menschen vor missbräuchlicher Nutzung ihrer Daten schützt. Gelangen personenbezogene Daten in falsche Hände, kann dies zu Missbrauch, Betrug oder sogar Erpressung der betroffenen Personen führen. Deshalb ist es wichtig, dass verantwortliche Unternehmen und sonstige Organisationen sicherstellen, dass personenbezogene Daten ihrer Kunden, Beschäftigten, Bewerber und Geschäftspartner geschützt sind.
Die DSGVO gilt für alle Unternehmen und sonstigen Organisationen ohne Ausnahmen. Im Vergleich zu den alten Datenschutzgesetzen drohen bei Verstößen gegen die DSGVO hohe Bußgelder. Und nicht nur das: Auch der Ruf Ihres Unternehmens kann durch DSGVO-Verstöße wie Data Breaches leiden. Schließlich geht es bei der DSGVO um den Schutz der persönlichen Daten Ihrer Kunden – und hier ist Vertrauen die höchste Währung.
Die DSGVO definiert die verantwortliche Stelle als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Verstöße gegen die DSGVO und Haftungsansprüche wie Schadenersatzforderungen können sich gegen Unternehmen, Vereine, Genossenschaften aber auch gegen Privatpersonen richten.
So haften die Unternehmen auch für Datenschutzverstöße ihrer Beschäftigten. Einzig im Falle eines sog. Exzess können die Beschäftigten zur Rechenschaft gezogen werden. Ein Exzess ist ein krasses Überschreiten der Compliance-Vorgaben im Unternehmen. Auch aus diesem Grund ist es für Unternehmen von Bedeutung, Beschäftigten Vorgaben und Handlungsanweisungen zum Umgang mit personenbezogenen Daten zu machen.
Die Aufgaben und Pflichten eines Datenschutzbeauftragten sind sehr umfangreich. Er ist für die Einhaltung der Gesetzesvorschriften zum Datenschutz in Unternehmen zuständig. Der Beauftragte fungiert auch als Ansprechpartner für die betroffenen Personen.
Die Aufgaben des Datenschutzbeauftragten sind gesetzlich festgeschrieben und beziehen sich auf
• die Unterrichtung und Beratung der Geschäftsleitung und Beschäftigten im Bezug auf die DSGVO und die weiteren Datenschutzgesetze,
• die Überwachung der Umsetzung der Datenschutzgesetze wie Informationspflichten, Führen des Verarbeitungsverzeichnisses, usw.
• die Erstellung von Strategien für den Schutz personenbezogener Daten,
• die Sensibilisierung und Schulung von Beschäftigten,
• die Beratung und Überwachung von Datenschutz-Folgenabschätzung bei Datenverarbeitung mit hohem Risiko wie Profiling und Videoüberwachung
• die Zusammenarbeit mit Datenschutzbehörden
• die Beantwortung von Auskunftsersuchen, Löschbegehren, usw.
Die DSGVO verpflichtet Unternehmen zur Benennung eines Datenschutzbeauftragten in zwei Fällen:
Fall 1: Die Kerntätigkeit des Unternehmens ist die umfangreiche Verarbeitung von Daten zur regelmäßigen und systematischen Überwachung von betroffenen Personen oder von sensiblen Daten.
Der Begriff der umfangreichen regelmäßigen und systematischen Überwachung ist in der DSGVO nicht näher definiert. Ausschließlich aus einem sog. Erwägungsgrund lässt sich auf das Konzept einer „Beobachtung des Verhaltens von betroffenen Personen“ schließen. Der Begriff erstreckt sich demnach auf jede Form der Verfolgung und Profilerstellung im Internet wie zu Zwecken der verhaltensbasierten Werbung. Eine Einschränkung auf „online“ lässt sich jedoch aus den Zielen der DSGVO nicht ableiten.
Beispiele für regelmäßige und systematische Überwachung von betroffenen Personen sind:
verfolgende E-Mail-Werbung, Internet-Trackingprogramme, datengesteuerte Marketingaktivitäten, Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten durch sog. Wearables, Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.).
Fall 2: Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO).
Was sind besondere Kategorien von Daten nach Art. 9 DSGVO?
Besondere Kategorien von Daten sind
• Gesundheits- und Patientendaten,
• Daten, aus denen die rassische oder ethnische Herkunft hervorgeht,
• Daten, aus denen politische Meinungen hervorgehen,
• Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen,
• Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung,
• Daten zum Sexualleben sowie zur sexuellen Orientierung.
Was sind Daten nach Art. 10 DSGVO?
Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln.
Wann liegt eine Kerntätigkeit von der Verarbeitung besonderer Kategorien personenbezogener Daten vor?
Eine Kerntätigkeit eines Verantwortlichen bezieht sich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit.
Beispiele für die Haupttätigkeit: Ärzte und Zahnärzte sämtlicher Fachrichtungen, Apotheker, Krankenhäuser, Reha-Einrichtungen, Physiotherapeuten, Seniorenheime, Pflegeheime, ambulante Kranken- und Altenpflege, Ergotherapeuten, Heilpraktiker, Hebammen, Logopäden, Psychologen
Für Unternehmen mit Sitz in Deutschland gilt – im Vergleich zu Unternehmen mit Sitz in Österreich – eine strengere Regelung zur Benennung von Datenschutzbeauftragten.
Die Benennung eines Datenschutzbeauftragten ist verpflichtend, wenn dauernd 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen werden. Da der Begriff des Beschäftigten im Bundesdatenschutzgesetz weit ausgelegt wird, sind auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc. in der Beschäftigtenanzahl zu berücksichtigen.
Auch bei einer geringeren Beschäftigtenzahl ist die Benennung eines Datenschutzbeauftragten in bestimmten Fällen nach dem Bundesdatenschutzgesetz notwendig:
• Wenn sensible Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO unterliegen, oder
• wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Ja, denn die DSGVO gilt unabhängig der Unternehmensgröße, eines bestimmten Jahresumsatzes oder einer bestimmten Anzahl an Beschäftigten.
Der Datenschutzbeauftragte ist zur Vertraulichkeit verpflichtet und in Ausübung seiner Funktion weisungsfrei.
Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
Der Verantwortliche unterstützt den Datenschutzbeauftragten bei der Erfüllung der Aufgaben. Es sind die erforderlichen Ressourcen und der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sicherzustellen.
Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an keine Anweisungen bezüglich der Ausübung seiner Aufgaben nach DSGVO gebunden.
Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte zu Rate ziehen.
Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
Aufgabe des Datenschutzbeauftragten ist die Kontrolle des Verantwortlichen in der Umsetzung der Datenschutzvorschriften, dies bezieht sich auch auf die Verarbeitung personenbezogener Daten von Beschäftigten.
Um Interessenskonflikte zu vermeiden, dürfen bestimmte Personen innerhalb des Unternehmens regelmäßig nicht zu Datenschutzbeauftragten benannt werden:
• die Geschäftsleitung wie Geschäftsführer, Verstände, Prokuristen,
• Personen mit enger familiärer Verbindung zur Leitungsebene,
• Betriebsleiter oder IT-Leiter,
• Personalverantwortliche bzw. Head Of HR
Zum Datenschutzbeauftragten dürfen nur Personen benannt werden, die
• die zur Erfüllung der Aufgaben erforderliche berufliche Qualifikation nachweisen. Konkret: Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis (Recht, Technik, Organisation, Betriebswirtschaftliche Zusammenhänge),
• die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben erfüllen sowie
• die nötige Zuverlässigkeit besitzen.
Ihre Ansprechpartner aus unserem Team verfügen über eine abgeschlossene juristische Ausbildung, die Zertifizierung zum externen Datenschutzbeauftragten sowie langjährige Beratungspraxis. Wir haben zudem immer die Verhältnismäßigkeit und Wirtschaftlichkeit für Sie im Blick.
Die Bereitstellung der Datenschutzhinweise ist in Art. 13 DSGVO verankert.
Datenschutzhinweise dienen dazu, dass Betroffene in einfacher, verständlicher Sprache über die Datenverarbeitungen informiert werden.
Der Klassiker sind die Datenschutzhinweise, auch oft als Datenschutzerklärung bezeichnet, auf Websites und in Online-Shops. Daneben gibt es noch Datenschutzhinweise für unterschiedliche Prozesse in Unternehmen wie im Bewerbungsverfahren, für die Datenverarbeitung von Geschäftspartnern und Beschäftigten.
Die Datenschutz-Folgenabschätzung ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von hohen Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie ist ein Ausfluss des risikobasierten Ansatzes der DSGVO und ist von den Verantwortlichen unter bestimmten Bedingungen zwingend durchzuführen.
Um Risiken für die Betroffenen zu beschreiben, bewerten und zu reduzieren, ist die Datenschutz-Folgenabschätzung vor der Einführung der Datenverarbeitung durchzuführen. Ziel der Datenschutz-Folgenabschätzung ist, Risiken zu minimieren.
Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann.
Typische Datenverarbeitungen, bei welchen Verantwortliche zwingend eine Datenschutz-Folgenabschätzung durchführen müssen sind:
• Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
• Fraud-Prevention-Systeme, z. B. in Online-Shops.
• Einsatz von Data-Loss-Prevention Systemen, die systematische Profile der Mitarbeiter erzeugen, z. B. durch die zentrale Aufzeichnung des Internetverlaufs von Beschäftigten.
• Geolokalisierung von Beschäftigten, z. B. durch Bewegungsprofile von Beschäftigten durch GPS-Ortung oder zur Koordination von Arbeitseinsätzen im Außendienst.
• Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten durch Treueprogramme.
• Videoüberwachungsmaßnahmen.
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten.
Können die identifizierten Risiken nicht beseitigt werden, schreibt die DSGVO vor, dass die zuständige Datenschutzbehörde informiert werden muss. Die Datenschutzaufsichtsbehörde prüft, ob eine Genehmigung der Datenverarbeitung erteilt werden kann oder nicht.
Kraft Gesetzes muss die verantwortliche Stelle den Rat des Datenschutzbeauftragten einholen.
Auftragsverarbeiter ist eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Zur Rechtmäßigkeit des Austausches von personenbezogenen Daten muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.
Es muss mit jedem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden, soweit der Dienstleister potenziell Zugang zu personenbezogenen Daten haben kann. Wesensmerkmal der Auftragsverarbeitung ist, dass personenbezogene Daten ausschließlich auf Weisungen des Verantwortlichen und zu Zwecken des Verantwortlichen verarbeitet werden. Der Auftragsverarbeiter darf von Gesetzes wegen Daten nicht zu eigenen Zwecken (weiter)verarbeiten.
Beispiel zur Auftragsverarbeitung: In dem Vertrag zur Auftragsverarbeitung wird geregelt, welche personenbezogenen Daten eine Newsletter-Versandanbieter erhält (z. B. E-Mail-Adresse), wofür diese Daten verwendet werden dürfen (Bspw. um Versand von Newsletter an die Abonnenten) und wie diese personenbezogenen Daten von dem Newsletter-Versandanbieter geschützt werden müssen.
Die Speicherdauer von personenbezogenen Daten hängt davon ab, warum die Daten gespeichert werden und wofür. Gelten keine gesetzlichen oder vertraglichen Aufbewahrungsfristen, richtet sich die Speicherdauer nach der Zweckbindung.
Das Recht auf Vergessenwerden setzt voraus, dass verantwortliche Stelle die Aufbewahrungsdauer von personenbezogenen Daten festlegen bzw. Löschfristen definieren.
Eine Löschung personenbezogener Daten ist dann verpflichtend, wenn
a) wenn sie für Zwecke, für die sie erhoben bzw. verarbeitet wurden, nicht mehr notwendig sind.
b) ein Widerruf der Einwilligung erfolgt bzw. Widerspruch nach Art. 21 DSGVO erfolgreich eingelegt wurde. Denn dadurch wird die Rechtsgrundlage grundsätzlich beseitigt.
c) Die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
d) Die gesetzlichen oder vertraglichen Aufbewahrungsfristen erfüllt wurden.
Das Löschkonzept ist ein zentrales Dokument zur Einhaltung der DSGVO. Das Löschkonzept gibt Auskunft über die definierten Aufbewahrungsfristen der verantwortlichen Stellen.
Unter technischen und organisatorischen Maßnahmen sind nach der DSGVO alle Schutzmaßnahmen zu verstehen, durch welche eine sichere Verarbeitung von personenbezogenen Daten erreicht wird. Zur Beurteilung der Angemessenheit der getroffenen Maßnahmen werden der Stand der Technik, die Implementierungskosten, Art und Umfang der Daten, unterschiedliche Eintrittswahrscheinlichkeit und auch wirtschaftliche Überlegungen herangezogen.
Der Gesetzgeber unterscheidet zwischen technischen und organisatorischen Maßnahmen:
• Technische Maßnahmen: Alle Maßnahmen, welche sich physisch umsetzen lassen. Beispiele sind bauliche Maßnahmen wie Zugangsbeschränkungen, Alarmanlagen oder durch Soft- und Hardwareschutzmaßnahmen wie passwortgeschützte Benutzerkonten und Passwortmanager. Der Bezugspunkt der technischen Maßnahmen ist der jeweilige Datenverarbeitungsvorgang und damit die Verarbeitungstätigkeit selbst.
• Organisatorische Maßnahmen: Alle Maßnahmen, die Regeln und Vorgaben betreffen, mit welchen Mitarbeitenden zur Einhaltung des Datenschutzes angehalten und verpflichtet werden. Dies kann beispielsweise durch Handlungsanweisungen, Dienstanweisungen und Betriebsvereinbarungen erfolgen. Diese beziehen sich auf den äußeren Ablauf bzw. die äußeren Rahmenbedingungen des Datenverarbeitungsvorgangs.
Personenbezogene Daten sind
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“
Beispiele für personenbezogene Daten bzw. Informationen sind:
• Name und Anschrift
• Kontaktdaten wie E-Mail-Adresse und Telefonnummer
• IP-Adressen – gerade im Bereich Webtracking ist das ein wichtiger Identifier
• Verhaltensdaten wie Einkaufsverhalten und Standortdaten wie GPS
• Foto- und Videoaufnahmen
Besondere Kategorien von Daten sind
• Gesundheits- und Patientendaten,
• Daten, aus denen die rassische oder ethnische Herkunft hervorgeht,
• Daten, aus denen politische Meinungen hervorgehen,
• Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen,
• Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung,
• Daten zum Sexualleben sowie zur sexuellen Orientierung.
Personenbezogene Daten, die verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und unterliegen dem Anwendungsbereich der DSGVO.
Personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, gelten nicht mehr als personenbezogene Daten. Damit die Daten wirklich anonymisiert sind, muss die Anonymisierung unumkehrbar sein.
Die Anforderungen zur Umsetzung der DSGVO orientieren sich an den Grundsätzen von Datenverarbeitungen wie Rechtmäßigkeit, Transparenz, Zweckbindung und der Datenminimierung. Durch eine konsequente Umsetzung der DSGVO bauen Unternehmen das Vertrauensverhältnis zu Stakeholdern aus.
Die DSGVO sieht zwei verschiedene Strafhöhen vor: Maximal 2 % oder 4 % Ihres weltweit erzielten Jahresumsatzes. Neben der finanziellen Komponente sind auch negative Berichterstattungen als Reputationsschaden nicht zu unterschätzen.
Unternehmen trifft eine Pflicht zur Meldung von Datenschutzverletzungen, oft auch „Datenpannen“ genannt, wenne eine Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Betroffenen führen kann.
Die DSGVO versteht unter der „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die
• zur Vernichtung,
• zum Verlust,
• zur Veränderung, oder
• zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt,
die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Datenschutzverletzungen sind von dem Verantwortlichen an die zuständige Datenschutzbehörde zu melden, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen möglich ist. Es gilt eine Frist von 72 Stunden ab Kenntnis der Datenschutzverletzung.
Betroffene Personen haben das Recht eine Beschwerde einzulegen, wenn sie der Ansicht sind, dass die Verarbeitung von personenbezogenen Daten gegen die DSGVO verstößt. Betroffene können die Beschwerde bei der Aufsichtsbehörde ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes einbringen.
Datenschutzaufsichtsbehörden steht es zu, Geldstrafen bei Verstößen gegen die DSGVO zu verhängen.
Neben dem Beschwerderecht können Betroffene auch Schadenersatz über den zivilgerichtlichen Rechtsweg einklagen, wenn ihnen ein materieller oder immaterieller Schaden entstanden ist.
Beispiele für Datenschutzverletzungen sind
• Phishing oder Hackerangriff
• Versand von E-Mails mit offenem Verteiler
• Versand von Dokumenten mit personenbezogenen Daten an falsche Empfänger
• Verlust bzw. versehentliches Öffnen von Postsendungen
• Mobile Datenträger verloren oder entwendet
• Nicht datenschutzgerechte Entsorgung von Unterlagen mit personenbezogenen Daten
Unternehmen sollen Mitarbeiter im Umgang mit personenbezogenen Daten schulen, um Datenschutzverletzungen zu erkennen. Denn bei Datenschutzverletzungen ist es von erheblicher Bedeutung, dass Beschäftigte diese erkennen und an die zuständigen Personen inkl. den Datenschutzbeauftragten melden.
Die Erhebung von personenbezogenen Daten in Teilnehmerlisten wie auf Veranstaltungen sind vielfach üblich. Aus Sicht der DSGVO muss der Veranstalter im Voraus die Zwecke der Datenerhebung transparent offenlegen und die Betroffenen darüber in Kenntnis setzen. Wenn beispielsweise keine spätere Kontaktaufnahme geplant ist, ist die ergänzende Erhebung von E-Mail-Adresse und Telefonnummer nicht erforderlich und damit unzulässig. Anderes kann gelten, wenn wie häufig auch Ziel der Veranstaltung ist, Kontakte herzustellen und einen Erfahrungsaustausch anzuregen.
Eine Maßnahme kann sein, dass personenbezogene Daten durch Einzelvordrucke statt durch Listen erfasst werden.
Für den EU-Raum gilt die DSGVO. Weiters gibt es noch nationale Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG) und das Telekommunikationsdatenschutzgesetz (TTDSG) in Deutschland. In Österreich gilt zusätzlich das Datenschutzgesetz (DSG).
Hier haben Sie Zugriff auf die DSGVO:
Dieses Verzeichnis betrifft alle – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das Verarbeitungsverzeichnis bildet sich aus der Summe der einzelnen Verfahrensbeschreibungen.
Unternehmen und sonstige Organisationen müssen ein Verarbeitungsverzeichnis dann führen, wenn die Verarbeitung personenbezogener Daten
• ein Risiko für die Rechte und Freiheiten von Betroffenen bergen, z. B. Scoring, Überwachungsmaßnahmen.
• regelmäßig stattfindet.
• besondere Kategorien wie Gesundheitsdaten erfolgt.
Nein, das Verarbeitungsverzeichnis muss intern geführt werden.
Nein, nicht im Bereich des Verarbeitungsverzeichnisses. Eine Meldepflicht an die Datenschutzaufsichtsbehörde kann unter Umständen im Falle von Datenschutz-Folgenabschätzungen bestehen, soweit das hohe Risiko für Betroffene nicht minimiert werden kann.
Die DSGVO findet auf jede Website Anwendung, die nicht ausschließlich der Ausübung persönlicher oder familiärer Tätigkeiten dient. Sobald ein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorliegt, unterliegt jede Website der DSGVO und ggf. weiterer Datenschutzgesetze wie dem TTDSG in Deutschland.
Die DSGVO schreibt vor, dass die bereitgestellten Datenschutzinformationen präzise, transparent, verständlich und leicht zugänglich sein müssen.
Um das Ziel der Transparenz zu erreichen, muss die gewählte Sprache an die Zielgruppe des Unternehmens bzw. der Einrichtung angepasst sein. Das trifft insbesondere dann zu, wenn sich die Website an Kinder und Jugendliche richtet.
Wird die Website auch in weiteren Sprachen bereitgestellt, sind die Datenschutzhinweise auch in übersetzter Form zur Verfügung zu stellen.
Die Datenschutzhinweise wie auch das Impressum müssen einfach auffindbar und klar als solche erkennbar sein. Es empfehlen sich eine eigene Unterseiten mit dem Titel „Impressum“ und „Datenschutz“. Zudem muss das Impressum nach der Rechtsprechung nach maximal 2 Klicks erreichbar sein.
Nein. Nur wenn einwilligungspflichtige Datenverarbeitungen stattfinden, braucht es einen Cookie-Consent-Banner.
Ja. Die DSGVO findet auf jede App Anwendung, die nicht ausschließlich der Ausübung persönlicher oder familiärer Tätigkeiten dient.
Diese müssen präzise, transparent, verständlich und leicht zugänglich sein.
Nein. Nur wenn einwilligungspflichtige Datenverarbeitungen stattfinden, braucht es einen Cookie-Consent-Banner.
Microsoft 365 (vormals Office 365) ist eine Softwarelösung der Microsoft Corporation. In dem Paket ist eine Vielzahl an Office-Anwendungen wie E-Mail, Textverarbeitung, Tabellenkalkulation, Datenbankenlösungen gebündelt. Der Betrieb von Microsoft 365 kann über die eigene IT-Infrastruktur, über einen Dienstleister oder über Cloud-Lösungen erfolgen.
Ja, dazu müssen jedoch Maßnahmen aus Sicht des Datenschutzes bei den Verantwortlichen umgesetzt werden.
Nein, denn Telemetriedaten und dienstgenerierte Daten werden standardmäßig an US-Server übermittelt. Zudem unterliegt die Microsoft Corporation dem sog. CLOUD-Act. Dieses Gesetz verpflichtet Microsoft (und alle anderen US-Unternehmen), Daten an Sicherheitsbehörden der USA herauszugeben, auch wenn sich die Server-Infrastruktur außerhalb der USA befindet.
Betreiben Unternehmen und sonstige Einrichtungen Social-Media-Accounts gibt es Spielregeln zu beachten. Denn neben dem Social-Media-Betreiber gelten für Verantwortliche auch Datenschutzpflichten beim Betrieb ihrer Social-Media-Accounts.
Für einen Instagram-Account gilt das gleiche wie für Websites:
• Offenlegungspflichten durch das Impressum
• Umsetzen der Datenschutzhinweise
Da verantwortliche Stellen auch Datenverarbeitungen vornehmen, deren Zwecke und Mittel ausschließlich sie selbst bestimmen. Zudem muss in den Social-Media-Datenschutzhinweisen auch hervorgehen, welche Social-Media-Accounts wie LinkedIn, Instagram, TikTok genutzt werden
Nein. Laut herrschender Rechtsprechung braucht es eine Einwilligung für die Veröffentlichung von Fotos in Social-Media. Die Einwilligung sollte aus Nachweisgründen immer schriftlich eingeholt werden.
Betreiben Unternehmen und sonstige Einrichtungen Social-Media-Accounts gibt es einige Spielregeln zu beachten. Denn neben dem Social-Media-Betreiber gelten für Verantwortliche auch Datenschutzpflichten beim Betrieb ihrer Social-Media-Accounts.
Für einen Instagram-Account gilt das gleiche wie für Websites:
• Offenlegungspflichten durch das Impressum
• Umsetzen der Datenschutzhinweise
Da verantwortliche Stellen auch Datenverarbeitungen vornehmen, deren Zwecke und Mittel ausschließlich sie selbst bestimmen. Zudem muss in den Social-Media-Datenschutzhinweisen auch hervorgehen, welche Social-Media-Accounts wie LinkedIn, Instagram, TikTok genutzt werden.
Nein. Laut herrschender Rechtsprechung braucht es eine Einwilligung für die Veröffentlichung von Fotos in Social-Media. Die Einwilligung sollte aus Nachweisgründen immer schriftlich eingeholt werden.
Betreiben Unternehmen und sonstige Einrichtungen Social-Media-Accounts gibt es Spielregeln zu beachten. Denn neben dem Social-Media-Betreiber gelten für Verantwortliche auch Datenschutzpflichten beim Betrieb ihrer Social-Media-Accounts.
TikTok ist eine chinesische Social-Media-Plattform. Innerhalb der Europäischen Union wird TikTok von der TikTok Technoglogy Limited mit Sitz in Dublin, Irland betrieben (2023).
Für einen TikTok-Account gilt das gleiche wie für Websites:
• Offenlegungspflichten durch das Impressum
• Umsetzen der Datenschutzhinweise
Da verantwortliche Stellen auch Datenverarbeitungen vornehmen, deren Zwecke und Mittel ausschließlich sie selbst bestimmen. Zudem muss in den Social-Media-Datenschutzhinweisen auch hervorgehen, welche Social-Media-Accounts wie LinkedIn, Instagram, TikTok genutzt werden.
Nein. Laut herrschender Rechtsprechung braucht es eine Einwilligung für die Veröffentlichung von Fotos in Social-Media. Die Einwilligung sollte aus Nachweisgründen immer schriftlich eingeholt werden.
WhatsApp Business ist eine spezielle Lösung für Unternehmen. Über WhatsApp Business können eigene Profile angelegt werden und mit Kundinnen und Kunden per Messenger kommuniziert werden. Zusätzlich gibt es Funktionen zur Automatisierung. Diese können für den Kundensupport eingesetzt werden.
Da aktuell keine andere Messenger-App häufiger genutzt wird als WhatsApp, wollen viele Unternehmen diesen Kommunikationskanal nutzen, um mit ihren Kundinnen und Kunden in Interaktion zu treten bzw. über diesen erreichbar zu sein. Dabei gibt es eine Vielzahl an Maßnahmen aus Sicht der DSGVO zu beachten.
Wird WhatsApp Business als Kommunikationsmedium genutzt, liegt eine Datenverarbeitung der übermittelten personenbezogenen Daten und als verantwortliche Stelle sind Sie der Datenverarbeiter und für die Erfüllung der Pflichten nach der DSGVO verantwortlich.
Ja, so können die Kommunikationsverläufe direkt mit einem Kundendatenverwaltungsprogramm (CRM) verbunden werden.
Ja. Kontaktieren Sie uns und wir finden die passende Lösung für Sie.
Kontaktieren Sie uns dazu.
Cookies sind als kleine Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten und Einstellungen zu speichern.
Mit Cookies sammeln Webanwendungen teilweise auch personenbezogene Daten, um beispielsweise Logindaten, Surfverhalten und Statistiken, Einstellungen und Aktionen in Webapplikationen zu speichern. Ohne Cookies wäre ein Warenkorb im Onlineshop nicht möglich.
Cookies können auch dazu verwendet werden, um einen bestimmten Computer oder ein bestimmtes Mobilgerät zu identifizieren und personalisierte Inhalte oder Werbung anzuzeigen.
Über eine Consent Management Plattform, oft auch als Cookie-Banner bzw. Cookie-Consent-Banner bezeichnet, werden Einwilligungen für den Einsatz von Cookies oder sonstigen Datenverarbeitungen durch externe Anbieter zu Datenverarbeitungen nachvollziehbar dokumentiert und eingeholt.
Unsere Mandanten nutzen unterschiedliche Consent Management Plattformen. Mit „Borlabs Cookie“ konnten wir bisher sehr gute Erfahrungen sammeln.
Nein, werden nur Cookies gesetzt, die für den Betrieb einer Webanwendung technisch notwendig sind, braucht es keine Einwilligung
Bei der Gestaltung des Cookie-Banners sind zahlreiche Faktoren zu berücksichtigen, um keinen DSGVO-Verstoß zu begehen.
Fragen Sie uns!
Es muss ein aktuelles https-Protokoll mit einer sicheren Verschlüsselung verwendet werden und der Grundsatz der Datenminimierung beachtet werden. Zudem bieten einige Anbieter auch an, dass bestimmte Felder in Kontaktformularen zusätzlich verschlüsselt werden.
Ja, die DSGVO findet auch abseits der Website Anwendung.
Unternehmen und sonstige Verantwortliche müssen Betroffene über jede Datenverarbeitung informieren.
So muss ein Verein die Vereinsmitglieder und die Beschäftigten über die Datenverarbeitungen informieren. Weiter muss definiert werden, welche Daten an wen und unter welchen Voraussetzungen übermittelt werden. Ein Löschkonzept darf nicht fehlen und sollte unter anderem festlegen, wie lange personenbezogene Daten nach dem Vereinsaustritt gespeichert werden.
Auch für regelmäßige Prozesse wie die Mitgliederverwaltung und die Beitragsabrechnung muss ein Eintrag im Verarbeitungsverzeichnis erfolgen.
Die Versendung von Dokumenten mit (sensiblen) personenbezogenen Daten per Fax ist mit der DSGVO nicht vereinbar. Die Vertraulichkeit kann beim Faxversand nicht immer garantiert werden. Der Faxversand hat das gleiche (geringe) Sicherheitsniveau wie eine unverschlüsselte E-Mail.
Unverschlüsselte E-Mails und Fax-Dienste sind daher nicht für die Übertragung personenbezogener Daten geeignet.
Eine pauschale Antwort zur Häufigkeit von Schulungen zum Datenschutz ist nicht möglich. Sie hängt vom Unternehmensgegenstand und der Sensibilität der verarbeiteten personenbezogenen Daten ab. Datenschutzschulungen sollte zumindest alle ein bis zwei Jahre stattfinden.
Unser Schulungsprogramm „Datenschutz in Unternehmen“ hilft Ihnen, Ihre Beschäftigten in Bezug auf die Einhaltung der Datenschutzgesetze und -richtlinien zu sensibilisieren. Unsere speziell ausgebildeten Datenschutzjuristen und zertifizierten Datenschutzbeauftragten vermitteln den Teilnehmenden fundiertes Wissen über den Umgang mit personenbezogenen Daten und lehren erprobte und praxistaugliche Methoden zur Erfüllung der gesetzlichen Anforderungen. So sind Sie bestens darauf vorbereitet, eine datenschutzkonforme Kultur im Unternehmen zu etablieren.
Für eine erste Grundschulung zum Datenschutz bieten wir auch eine Videoschulung an, die Ihre Beschäftigten jederzeit abrufen können. Als Nachweis der durchgeführten Datenschutzschulung erhält jeder Mitarbeitende ein Zertifikat, das zur Personalakte genommen werden kann.
Sie wollen eine maßgeschneiderte Datenschutzschulung für Ihr Unternehmen? Auch dafür sind wir Ihr richtiger Ansprechpartner.
Der Beschäftigtendatenschutz schützt alle personenbezogenen Daten, die im Rahmen eines Arbeitsverhältnisses erhoben und verarbeitet werden. Eine Verarbeitung von Daten von Beschäftigten ist nur dann zulässig, wenn eine Rechtsgrundlage vorliegt und sie über die Datenverarbeitung transparent in Kenntnis gesetzt wurden.
Für Deutschland wurde in § 26 BDSG eine Norm für den Beschäftigtendatenschutz geschaffen. Danach dürfen Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich sind.
Es besteht keine eigene Norm für den Beschäftigtendatenschutz und ist auf die allgemeinen Rechtsgrundlagen der DSGVO zurückzugreifen.
Arbeitgeber verarbeiten zwangsläufig personenbezogene Daten von Beschäftigten. Beispielsweise zur Lohn- und Gehaltsabrechnung, Dienstplanung sowie zur Kommunikation. Zur Erfüllung der datenschutzrechtlichen Anforderungen und zur Vermeidung von Schadenersatzansprüchen aufgrund von DSGVO-Verstößen im Rahmen des Beschäftigungsverhältnisses ist es für jeden Verantwortlich von erheblicher Bedeutung, seine Beschäftigten über die konkreten Datenverarbeitungen in transparenter Weise zu informieren.
Ein bestehender Betriebsrat muss zudem unter Umständen über bestimmte Datenverarbeitungen informiert werden.
Die Informationspflichten nach der DSGVO erstrecken sich auch auf Beschäftigte. Beschäftigte sind daher transparent und umfassend über die Datenverarbeitungen im Rahmen des Beschäftigungsverhältnisses zu informieren. Auch im Rahmen des Bewerbungsverfahren sind Datenschutzhinweise bereitzustellen.
Eine Einwilligung im Rahmen des Beschäftigungsverhältnisses muss hohe Erfordernisse in Bezug auf die Freiwilligkeit der Einwilligung standhalten.
Sollen personenbezogene Daten von Beschäftigten auch zu Überwachungs- oder Auswertungszwecken genutzt werden, ist dies ausschließlich unter sehr engen Voraussetzungen möglich. Eine transparente und umfassende Information über die Datenverarbeitung ist notwendig.
Hinweis: Bei der Ausgestaltung von Überwachungsmaßnahmen ist die aktuellste Rechtsprechung zu berücksichtigen.
Beschäftigte sind im Umgang mit personenbezogenen Daten nachweisbar zu schulen.
Ein ggf. bestehender Betriebsrat ist frühzeitig zu informieren und einzubeziehen. Es besteht unternehmensintern auch die Möglichkeit, bestimmte Datenverarbeitungen in einer Betriebsvereinbarung zu regeln. Der Betriebsrat wird der verantwortlichen Stelle zugerechnet und muss sich an die datenschutzrechtlichen Grundsätze halten und die Dokumentationspflichten nach der DSGVO ebenso erfüllen. Ist im Unternehmen ein Datenschutzbeauftragter bestellt, ist dieser auch für die Einhaltung der DSGVO bei den Datenverarbeitungen des Betriebsrates zuständig und kann diesen beraten.
Aufzeichnungen über die Arbeitszeiten fallen unter den Begriff der personenbezogenen Daten. Beschäftigte sind daher über die damit verbundenen Datenverarbeitungen zu informieren. Je nach Erfassung der Arbeitszeiten können unterschiedliche Rechtsgrundlagen herangezogen werden. Werden die Arbeitszeiten über biometrische Daten wie den Fingerabdruck erhoben, ergeben sich weitere Fragestellungen, die gelöst und dokumentiert werden müssen. Besteht ein Betriebsrat im Unternehmen, ist auch dieser frühzeitig einzubinden.
Zur Begründung eines Beschäftigtenverhältnisses werden im Rahmen des Bewerbungsprozesses an unterschiedlichen Stellen personenbezogene Daten der Bewerbenden erhoben. Auch wenn keine spezielle Software für Bewerbungen eingesetzt wird, sind die Bewerbenden über die Datenverarbeitungen zu informieren.
Im Rahmen des Bewerbungsgespräches sind zudem die datenschutz- und arbeitsrechtlich zulässigen Fragen zu beachten.
Bewerbungen von abgelehnten Bewerbern sind nach einer bestimmten Zeit zu löschen. Eine weitere Speicherung von Daten in Bewerber- bzw. Talentpools darf nur nach ausdrücklicher Einwilligung erfolgen.
Zur Optimierung betrieblicher Prozesse oder zur Erhebung zur Mitarbeiterzufriedenheit wird oft auf Umfragen zurückgegriffen.
Es empfiehlt sich, die Umfragen anonym durchzuführen. Bei anonymen Umfragen gelangt die DSGVO nicht zur Anwendung. Werden Umfragen nicht anonym durchgeführt, gelten die Bestimmungen der DSGVO.
Aufzeichnungen über die Arbeits- und Urlaubszeiten fallen unter den Begriff der personenbezogenen Daten. Beschäftigte sind daher über die damit verbundenen Datenverarbeitungen zu informieren. Der Aushang von Urlaubslisten in Bereichen, die für jedermann einsehbar ist, ist zu vermeiden und regelmäßig mit den Grundsätzen der DSGVO nicht vereinbar. Beim Zugang zu Urlaubslisten, sei es analog oder digital, ist das strenge Need-To-Know-Prinzip einzuhalten.
Wir überprüfen Ihr Unternehmen bzw. Ihre Organisation auf DSGVO-Konformität und erstellen im Rahmen der GAP-Analyse einen Prüfbericht mit Handlungsempfehlungen und Risikobewertungen.
Mit unserem Audit erhalten Sie einen externen und neutralen prüfenden Blick auf Ihr Unternehmen.
Wir setzen die notwendigen Maßnahmen auch für Sie um.
Die Datenschutzgrundverordnung (DSGVO) ist seit Mai 2018 in Kraft und hat viele Unternehmen vor Herausforderungen gestellt. Eine wichtige Regelung betrifft die Bestellung eines EU-Vertreters nach Art. 27 DSGVO, wenn ein Unternehmen außerhalb der EU ansässig ist, aber personenbezogene Daten von EU-Bürgern verarbeitet.
Warum ist ein EU-Vertreter notwendig?
Ein EU-Vertreter fungiert als Ansprechpartner für die Datenschutzbehörden in der EU und sorgt dafür, dass das Unternehmen die Vorgaben der DSGVO einhält. Ohne einen solchen Vertreter kann das Unternehmen mit hohen Bußgeldern belegt werden.
Wie finde ich den passenden EU-Vertreter?
Der EU-Vertreter muss in einem Mitgliedsstaat der EU ansässig sein und über ausreichende Fachkenntnisse im Bereich Datenschutz verfügen. Es gibt spezialisierte Dienstleister, die als EU-Vertreter agieren können.
Was muss ich beachten?
Das Unternehmen bleibt weiterhin für die Einhaltung der DSGVO verantwortlich und muss dem Vertreter alle notwendigen Informationen zur Verfügung stellen. Auch bei einem Wechsel des Vertreters muss dies den Datenschutzbehörden gemeldet werden.
