Kategorie: Datenschutz

Anforderungen der DSGVO an die Webseite selber prüfen - DSGVO Checkliste

Auf den Punkt gebracht: Webseiten-Analyse selber durchführen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Identifizieren Sie alle Cookies / Plugins und sonstigen Add-ons Ihrer Webseite. Verwenden Sie dazu Onlinedienste oder Browser-Add-ons.
  • Analysieren Sie die Ergebnisse auf Datenschutzrelevanz. Werden Cookies gesetzt oder personenbezogene Daten übertragen?
  • Prüfen Sie Ihre Webseite inhaltlich. Haben Sie Formulare eingebunden? Gibt es andere Möglichkeiten der Interaktion mit den Webseitenbesuchern?
  • Erstellen Sie eine Datenschutzerklärung, die alle identifizierten und analysierten Punkte enthält, die DSGVO relevant sind.
Continue reading „DSGVO-konforme Webseite selber prüfen – Checkliste zum Webseiten-Check“

Diesen Beitrag teilen

Darf personalisierte Werbung nach der DSGVO noch versendet werden? Dürfen Kunden telefonisch auf neue Produkte hingewiesen werden? Und vor allem, darf ich jedem Kunden einen Newsletter zusenden?

Continue reading „Werbung und Datenschutz – Welche Voraussetzungen sind bei Newsletter und postalischer Werbung zu beachten?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Die LfD Niedersachsen hat in den vergangenen Monaten in 50 großen und mittelgroßen Unternehmen geprüft, wie umfassend diese die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umgesetzt haben. Die Prüfung steht nun kurz vor dem Abschluss. Als Hilfestellung für alle interessierten Unternehmen veröffentlicht die LfD schon jetzt ihren detaillierten Bewertungskatalog.

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen. Der Fragenkatalog kann zur Selbsteinschätzung herangezogen werden.

Vorbereitung auf die DSGVO

Wie haben sich Unternehmen auf die DSGVO vorbereitet? Ziel dieser Frage ist es, sich einen Überblick über die Herangehensweisen und die Selbsteinschätzung zu erhalten. 

Anmerkung der Datenbeschützerin

Es kann hilfreich sein, sich alle eingesetzten Programme und Softwaren (Client- und serverbasiert) anzusehen und zu prüfen, ob in diesen personenbezogene Daten verarbeitet werden.

Des Weiteren kann durch eine Besichtigung der Büros auch weitere Aufschlüsse über die verarbeiteten Daten führen. 

Verfahrensverzeichnis

Das Herzstück des Datenschutzmanagements. 

Zentrale Frage ist, wie sichergestellt wird, dass alle Geschäftsabläufe mit personenbezogenen Daten erfasst wurden und ob das Verfahrensverzeichnis die Kriterien nach Art. 30 DSGVO erfüllen. 

  • Ist aus der Verfahrensübersicht erkennbar, dass die Standardverfahren zur z.B. Bürokommunikation, Personalverwaltung, Lohnabrechnung, Bewerbermanagement, Homepage und Kundenverwaltung dokumentiert sind? 
  • Wird deutlich, dass das Verzeichnis von Verarbeitungstätigkeiten (VVT) regelmäßig überprüft und soweit erforderlich aktualisiert wird? 

Anmerkung der Datenbeschützerin

Bei der Erstellung des Verfahrensverzeichnisses kann oder ist auf die Mitwirkung der Mitarbeiter zurück zu greifen, da diese im täglichen Arbeitsalltag die Verfahren beschreiben können. 

Zulässigkeit der Verarbeitung

Jede Verarbeitungstätigkeit ist auf eine Rechtsgrundlage zu stützen. Das LfD Niedersachen möchten wissen, auf welcher Rechtsgrundlage die personenbezogenen Daten verarbeitet werden. Die Behörde fragt die Voraussetzungen des Art. 6, 7 und 8 DSGVO ab. 

Anmerkung der Datenbeschützerin

Es bietet sich an, die Rechtsgrundlagen im Verfahrensverzeichnis direkt zu den jeweiligen Verfahren zu notieren.

Betroffenenrechte

Wie wird die Einhaltung der Betroffenenrechte sichergestellt? Eine Skizzierung der Prozesse ist beizufügen. 

Informationspflicht (Art. 12 ff. DSGVO)

  • Werden die Informationen leicht zugänglich zur Verfügung gestellt (z.B. Aushang, Flyer, EMail, Brief …)? 
  • Informiert das Muster über die Zwecke der Verarbeitung und nennt die Rechtsgrundlagen? 
  • Wird das berechtigte Interesse beschrieben, sofern eine Verarbeitung nach Art. 6 Abs. 1 Buchstabe f. DS-GVO erfolgt? 
  • Wird bei Erhebung der Daten über die Speicherdauer informiert? 
  • Gibt es eine Datenschutzerklärung auf der Website? 
  • Ist die Datenschutzerklärung leicht zu finden?

Auskunftsrecht (Art.15 DSGVO)

  • Ist der Umgang mit dem Auskunftsrecht plausibel und logisch nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)? 
  • Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird? 
  • Wird aus dem beschriebenen Prozess deutlich, dass die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags erteilt wird? 
  • Kann der Prozessbeschreibung entnommen werden, dass durch den Verantwortlichen voraussichtlich vollständige Auskünfte erteilt werden (z.B. durch Beschreibung der eingebundenen Unternehmensbereiche, Hinweis auf Nutzung einer Softwareanwendung)? 
  • Ist aus den Unterlagen erkennbar, dass der Verantwortliche auf Antrag eine Kopie der personenbezogenen Daten zur Verfügung stellt? 

Recht auf Berichtigung (Art. 16 DSGVO)

  • Wird aus dem beschriebenen Prozess deutlich, dass die betroffene Person in Bezug auf die ergriffenen Maßnahmen (Berichtigung) unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags informiert wird? 
  • Ist den Unterlagen zu entnehmen, dass der Verantwortliche, soweit er die Daten anderen Empfänger offengelegt hat, allen Empfängern jede Berichtigung mitteilt? 

Löschung (Art. 17 DSGVO)

  • Wird beschrieben, unter welchen Voraussetzungen Daten gelöscht werden? 
  • Hinweis: Es bedarf in folgenden Fällen einer Datenlöschung:  
  • wenn die Speicherung der Daten nicht mehr erforderlich ist  
  • bei Widerruf der Einwilligung, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung einschlägig ist  
  • bei Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO und Nichtvorlage vorrangiger berechtigter Gründe oder 
  • bei Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 2 DS-GVO (Werbewiderspruch)  
  • bei unrechtmäßiger Verarbeitung (Verarbeitung der Daten ohne Rechtsgrundlage)  
  • soweit die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist

Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Ist der Umgang mit dem Recht auf Einschränkung der Verarbeitung nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)? 
  • Hinweis: In folgenden Fällen hat eine Einschränkung der Verarbeitung zu erfolgen:  
  • wenn die Richtigkeit der verarbeiteten Daten strittig ist, solange die Richtigkeit der Daten überprüft wird  
  • bei unrechtmäßiger Verarbeitung, soweit die betroffene Person eine Löschung ablehnt und eine Einschränkung der Verarbeitung verlangt
  • soweit der Verantwortliche die Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt  
  • bei Widerspruch der betroffenen Person gem. Art. 21 Abs. 1 DS-GVO, bis feststeht, ob die berechtigten Gründe der betroffenen Person oder des Verantwortlichen überwiegen 
  • Ist beschrieben, dass die betroffene Person sowohl über die Einschränkung als auch vor deren Aufhebung über die Aufhebung unterrichtet wird? 

Datenübertragbarkeit (Art. 20 DSGVO)

  • Ist der Umgang mit dem Recht auf Datenübertragbarkeit nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
  • Wird aus dem beschriebenen Prozess deutlich, dass der betroffenen Person die Daten unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung gestellt werden? 

Technischer Datenschutz

Die Fragen stützen sich auf Art. 25 und 32 DSGVO. 

  • Wie wird sichergestellt, dass die TOMs bzw. die Dienstleister ein angemessenes Schutzniveau gewährleisten?
  • Wie wird sichergestellt, dass die TOMs an den jeweiligen Stand der Technik angepasst werden? 
  • Wie wird sichergestellt, dass ein dokumentiertes Rollen- und Berechtigungskonzept für die IT-Anwendungen vorliegt?
  • Wie wird sichergestellt, dass bei Änderungen / Neuentwicklungen von Produkten/Dienstleistung die DSGVO-Anforderungen berücksichtigt werden? 

Datenschutzfolgeabschätzung (DSFA)

  • Wie wird sichergestellt, dass ein hohes Risiko für die Betroffenen besteht und eine DSFA durchgeführt wird?
  • Gibt es ein Verfahren, dass einer DSFA bedarf? Wenn ja, ist ein Dokument der Prüfung beizulegen. 

Anmerkung der Datenbeschützerin

Wie eine DSFA erstellt werden kann, kann im dazugehörigen Blogbeitrag nachgelesen werden. 

Auftragsverarbeitung 

Die Prüfungsfragen richten sich nach Art. 28 DSGVO

  • Wurden die bestehenden Verträge mit den Auftragsverarbeitern an die DSGVO angepasst? 
  • Enthalten die Verträge die rechtlichen Anforderungen nach Art. 28 DSGVO?

Datenschutzbeauftragter (DSB)

  • Wie ist der DSB in die Organisation eingebunden?
  • Welche Fachkunde besitzt er? 
  • Lässt sich aus den Unterlagen die aktuelle und ausreichende Fachkunde der/des DSB entnehmen? 

Meldepflichten

  • Wie wurde der Prozess zur Meldung von Datenschutzverstößen nachvollziehbar dargestellt? 
  • Wird die 72 Stunden-Frist berücksichtigt? 
  • Ist erkennbar, dass die Datenschutzverstöße dokumentiert werden? 

Dokumentation

  • Wie können alle Pflichten nach Art. 5 Abs. 2 DSGVO nachwiesen werden? 
  • Sind sämtliche Dokumente für die Pflichten angelegt? 

Anmerkung der Datenbeschützerin

Mit Hilfe des Fragenbogens kann sich der Verantwortliche / Auftragsverarbeiter / Datenschutzbeauftragter einen Überblick über den aktuellen Stand des Datenschutzmanagements verschaffen. 

Bei Fragen, die noch nicht beantwortet werden können, ist ggf. zu ergründen, weshalb das Themengebiet noch nicht erfasst wurde. 

Weiterhin hat die DSK ein Kurz-Papier zur Umsetzung der DSGVO in Unternehmen veröffentlicht (Link folgt).

Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft

Quelle

Die Landesbeauftragte für den Datenschutz Niedersachsen: https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Recht auf Löschung

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Artikel 17 Abs. 1 der DSGVO gibt an, wann Daten durch den Verantwortlichen gelöscht werden müssen.
  • Es bestehen auch Ausnahmen von der Pflicht auf Löschung der Daten. Diese werden in Artikel 17 Abs. 3 DSGVO genannt. Ebenfalls nennt §35 BDSG-neu Gründe für die Einschränkung der Löschpflicht.
  • Das Recht auf Vergessenwerden hat zum Ziel, personenbezogene Daten auf Wunsch des Betroffenen zu löschen, die zum Beispiel im Internet einer großen Öffentlichkeit zugänglich sind.
  • Nichtbeachtung von Löschanfragen und Löschpflichten kann zu hohen Bußgeldern führen, wie bereits Urteile zeigen.


Mit einem Kurzpapier gibt die DSK Hilfestellung auf ein weiteres Betroffenenrecht: Das Recht auf Löschung. Die zentralen Fragen werden hier erläutert: Wann sind Daten zwingend zu löschen? Wann bestehen Ausnahmen der Löschpflicht?

Continue reading „Summary DSK-Papier Nr. 11: Recht auf Löschung / Recht auf Vergessenwerden“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Datenübermittlung in Drittländer

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
  • Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
  • Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.


Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.

Continue reading „Summary DSK-Papier Nr. 4: Datenübermittlung in Drittländer“

Diesen Beitrag teilen

Im Juli 2019 beschloss der EuGH in einem Urteil, dass der Webseitenbetreiber für Like-Buttons gemeinsam mit Facebook verantwortlich ist. [Interessanter Fun Fact an dieser Stelle: die Seite des EuGH mit den Rechtsprechungen ist nicht verschlüsselt 🙂 ]

Zudem ergibt sich aus dem Urteil die Einwilligungspflicht für viele Plugins auf der Webseite.

Beim Urteil des EuGH wurde explizit auf die Übertragung der Daten durch Social Media Plugins eingegangen. Natürlich kann man dies auch auf andere Plugins übertragen. Nicht eingegangen wurde allerdings im Urteil auf die Übertragung reiner IP-Adressen aus funktionellen Gründen (ohne Analyse und Marketing-Zwecke). Dass hierfür eine Einwilligung nötig sei, geht unserem Verständnis nach aus diesem Urteil nicht hervor.

Continue reading „Was bedeutet das EuGH Urteil zu Like-Buttons und Cookie Opt-in für Webseitenbetreiber?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Besondere personenbezogene Daten

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Besondere Kategorien personenbezogener Daten sind noch höher zu schützen, als „normale“ personenbezogene Daten.
  • Unter die besonderen Daten fallen zum Beispiel: politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit
    Gesundheitsdaten
    (auch z.B. Medikamenteneinnahme), Sexuelle Orientierung
  • Grundsätzlich dürfen diese Daten NICHT verarbeitet werden, es sei denn, es liegt ein Erlaubnistatbestand nach Art. 9 vor
  • Die Voraussetzungen des Art. 9 (wann dürfen besonders schützenswerte Daten verarbeitet werden) und des Art. 6 DSGVO (wann ist eine Verarbeitung grundsätzlich rechtmäßig) sind bei der Verarbeitung zu beachten.


Das DSK-Papier beschäftigt mit der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wer darf diese Daten überhaupt verarbeiten? Wer benötigt für die Verarbeitung eine Einwilligung? Dies sind die zentralen Fragen.

Continue reading „Summary DSK-Papier Nr. 17: Besondere Kategorien personenbezogener Daten“

Diesen Beitrag teilen

In vielen Gesprächen und auch in den Artikeln auf diesem Blog verwenden wir Fachbegriffe. Einer der Grundlegenden ist der Begriff der Datensicherheit. Wahrscheinlich ist auch Ihnen dieses Wort schon regelmäßig untergekommen. Datensicherheit – was ist das eigentlich genau? Was versteht man darunter? Was ist der Unterschied zum Datenschutz? Warum ist denn Datensicherheit überhaupt so wichtig? Und vor allem, wie kann man Datensicherheit gewährleisten?

Continue reading „Datensicherheit – Definition und Ziele“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Kopien von Personalausweis und Führerschein

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
  • Sie dürfen Kopien von Ausweisen und Führerschein anfertigen, wenn es einen DSGVO-konformen Zweck dafür gibt (siehe Beispiele)
  • In vielen Fällen ist allerdings nur eine Sichtkontrolle zulässig
  • Die Hinterlegung von Ausweisen als Pfand (z.B. beim Fahrradverleih), ist nicht zulässig

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentlichte im Juni 2019 eine Hilfestellung für den Umgang mit Personalausweisdaten. 

Continue reading „Sind Führerschein- und Ausweiskopie nach der DSGVO erlaubt?“

Diesen Beitrag teilen

Geschichte des Datenschutzes

Wann begann der „Irrsinn“ des Datenschutzes?

In den letzten Jahrhunderten ist viel passierte und es wurden unzählige wirtschaftliche Ereignisse und Prozessen in Bewegung gesetzt. Sei es nun die Industrialisierung im 19. Jahrhundert oder die Digitalisierung im 20. Jahrhundert. Auch die Gesetzgebung durchlebt einen Wandel; neue Gesetze treten in oder außer Kraft.

Continue reading „Geschichte des Datenschutzes“

Diesen Beitrag teilen