Kategorie: Datenschutz

Home  ›  Datenschutz  ›  Page 3
Knowledge Base der Datenbeschützerin
  • 16
  • Mrz
Datenschutz und Corona – Das müssen Sie bei der Verarbeitung von Daten beachten!
Regina Stoiber Datenschutz No Comments

In Zeiten des Coronavirus steht an erster Stelle, die Anzahl der Neuinfizierungen über einen längeren Zeitraum zu strecken. Dies führt zu drastischen, noch nie da gewesenen Maßnahmen. Sie als Unternehmen, Behörde, Verein oder sonstige Institution, sind verpflichtet mitzuwirken.

Was bedeutet das nun aber für die Regeln des Datenschutzes? Sind die DSGVO und das BDSG aufgrund der Corona-Krise außer Kraft gesetzt?

Natürlich Nicht!

Auf was Sie als Verantwortlicher achten müssen, erfahren Sie in diesem Beitrag!

Auf den Punkt gebracht: Datenschutz und Corona

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Die Erhebung und Verarbeitung besonders schützenswerter Daten nach Art. 9 DSGVO ist für die Eindämmung einer Pandemie erlaubt
  • Die Rechtsgrundlagen der Verarbeitung können abweichen von den üblichen Rechtsgrundlagen im Beschäftigungsverhältnis
  • Denken Sie and die Erweiterung Ihrer Informationspflicht für die neue Datenverarbeitung
  • Stellen Sie den besonderen Schutz der Gesundheitsdaten sicher

Wie verhält es sich mit dem Beschäftigtendatenschutz beim Coronavirus?

Der Bundesdatenschutzbeauftragte (BfDI) gibt einige Hinweise für Arbeitgeber heraus. Hier wird auf den Umgang mit personenbezogenen Daten, die durch die Corona-Pandemie entstehen, hingewiesen. Nachfolgend eine Zusammenfassung, der für Sie relevanten Punkte:

Besonders schützenswerte Daten nach Art. 9 DSGVO

Wenn es um Daten zu Betroffenen der Pandemie geht, ist man mehr oder weniger sofort bei besonders schützenswerten Daten nach Art. 9 DSGVO. Diese müssen höher geschützt werden, als „normale“ personenbezogene Daten. Zudem muss ein wichtiger Zweck vorliegen, damit die Daten überhaupt verarbeitet werden dürfen.

Die Maßnahmen zum Schutz der Verzögerung der Ausweitung der Corona-Pandemie gelten als wichtiger Zweck. Natürlich aber auch der Schutz der Mitarbeiter. Trotzdem ist es wichtig, dass auch zu diesem Zweck der Datenschutz eingehalten wird. Das BfDI weißt auch auf die Einhaltung der Verhältnismäßigkeit bei der Datenverarbeitung hin!

Hinweis zu personenbezogenen Daten besonderer Kategorien (Art. 9 DSGVO)

Sehr häufig haben wir die Anfrage bzw. die Annahme, dass die Verarbeitung von Daten, die unter Artikel 9 DSGVO fallen, einen Datenschutzbeauftragten voraussetzen. Dies könnte man beim schnellen Durchlesen, aus Art. 37 (1) lit. c DSGVO heraus lesen.

Beim genauen lesen sieht man allerdings, dass es sich bei der Verarbeitung dieser Daten um die Kerntätigkeit des Verantwortlichen handeln muss. Ebenfalls muss es sich dann noch um eine umfangreiche Verarbeitung dieser Daten handeln. Da fallen nicht mal Ärzte darunter!

Das heißt nun für Sie, als Verantwortlicher im Umgang mit Datenschutz und Corona, dass Sie deswegen nicht plötzlich einen Datenschutzbeauftragten benennen müssen.

Datenschutzrechtlich erlaubte Erhebungs- und Verarbeitungszwecke im Umgang mit Covid-19 Daten

Diese Liste ist übernommen vom Bundesdatenschutzbeauftragten:

  • Personenbezogene Daten (inklusive benötigter Gesundheitsdaten) zur Verhinderung weiterer Ausbreitung des Corona-Virus bei Mitarbeitern und Führungskräften (dies gilt in angemessenen Umgang auch für Vereine und andere Organisationen).
    • Personen, bei denen eine Infektion festgestellt wurde
    • Personen, die Kontakt zu einer nachweislich infizierten Person hatten
    • Personen, die sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben (Risikogebiete werden vom Robert-Koch-Institiut eingestuft)
  • Daten von Gästen und Besuchern, ebenfalls inklusive der benötigten Gesundheitsdaten dürfen erhoben und verarbeitet werden, wenn
    • diese infiziert sind oder Kontakt mit einer nachweislich infizierten Person hatten
    • sich im relevanten Zeitraum in einem Risikogebiet aufgehalten haben
  • Die Offenlegung dieser Daten von nachweislich infizierten bzw. unter Verdacht stehenden Personen, sich infiziert zu haben ist mit größter Vorsicht zu behandeln. Dies ist nur erlaubt, wenn diese Informationen für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Rechtsgrundlagen zur Verarbeitung der Daten im Zusammenhang mit der Corona-Pandemie

Auf der Seite des BfDI ist dies sehr ausführlich erläutert. Hier geben wir Ihnen einen kurzen Überblick.

  • Artikel 6 (1) lit. e DSGVO: Verarbeitung von Mitarbeiterdaten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt;
  • Art. 6 (1) lit. c DSGVO: Auch weiterhin ist natürlich die Erfüllung (eventuell neuer) gesetzlicher Anforderungen eine Grundlage
  • §26 (3) BDSG: Erlaubte Verarbeitung von Daten nach Art. 9 DSGVO zur sozialen Sicherheit und des Sozialschutzes;
  • Art. 9 (2) lit. g DSGVO: Verarbeitung aus Gründen des öffentlichen Interesses
  • §22 Abs. 1 (1) lit. c BDSG: Verarbeitung von Daten besonderer Kategorien im öffentlichen Interesse und zur öffentlichen Gesundheit

Schutz der personenbezogenen Daten für die Verarbeitung zur Eindämmung der Corona-Pandemie

Natürlich müssen diese Daten entsprechend der Anforderungen mit Maßnahmen nach Art. 32 DSGVO geschützt werden.

Besonders ist auf die höhere Sicherheit der Verarbeitung hinzuweisen, wenn Daten nach Art. 9 DSGVO (also besonders schutzwürdige Daten) verarbeitet werden. Beispielsweise muss die Übertragung der Daten höher geschützt sein.

Bei der Erhebung und Verarbeitung handelt es sich um einen temporären Notfallprozess. Hier sollten Sie neben dem Datenschutz noch ein paar weitere Details beachten. Ausführlich finden Sie das im Blogbeitrag zum Notfallplan.

Löschung von Daten für Zwecke der Pandemie-Eindämmung

Nachdem der Verarbeitungszweck erloschen ist (laut BfDI nach Ende der Pandemie – spätestens), müssen die Daten unverzüglich gelöscht werden.

Einwilligung oder Information der Betroffenen bei der Erhebung von Gesundheitsdaten über Corona?

Da mit den oben genannten Rechtsgrundlagen die Verarbeitung zulässig ist, sollte von einer Einwilligung abgesehen werden.

Die Information nach Art. 13 und Art. 14 der Betroffenen über die Datenverarbeitung ist ausreichen. Sie können hierfür folgende Beispielsformulierung entnehmen.

Passage für die Informationspflicht nach Art. 13 und Art. 14 DSGVO zum Zwecke der Eindämmung der Pandemie

„Zur Eindämmung der Pandemie und zum Schutz der Gesundheit unserer Mitarbeiter werden zum aktuellen Zeitpunkt folgende zusätzliche Daten nach Art. 9 DSGVO von unseren Mitarbeitern erhoben: [Bitte hier eine Aufzählung der erhobenen Daten einfügen].

Die Verarbeitung der Daten beruht auf einer gesetzlichen Grundlage nach Art. 6 Abs. 1 lit. c DSGVO, zur Wahrnehmung der Aufgaben des öffentlichen Interesses nach Art. 6 Abs. 1 lit. e DSGVO, sowie aufgrund des Gesundheitsschutzes nach §22 Abs. 1 (1) lit. c BDSG [ggf. hier – falls zutreffend noch weitere Rechtsgrundlagen einfügen].

Die Daten verbleiben intern und werden nur auf Anfrage seitens der Gesundheitsbehörde an diese übermittelt. Die erhobenen Daten werden unverzüglich nach Beendigung der Pandemie gelöscht.“

Quellen:

Die ausführlichen Hinweise des BfDI finden Sie hier.

Weitere interessante Links zum Thema Beschäftigtendatenschutz bei einer Pandemie

Linksammlung der GDD:

https://www.gdd.de/datenschutz-und-corona

Stellungnahme des Datenschutzbeauftragten aus Baden-Württemberg:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/03/FAQ-Corona.pdf

Diesen Beitrag teilen

WhatsApp im Unternehmen, Messenger Alternativen
  • 16
  • Dez
WhatsApp im Unternehmen – Welche Messenger Alternativen sind in der Firma möglich?
Regina Stoiber Datenschutz 15 Comments

Dieser Artikel basiert auf unserer Erfahrung im täglichen Geschäft mit Kunden, die uns zum Einsatz von WhatsApp im Unternehmen kontaktieren. Der Bericht wurde nicht bezahlt. Der Beitrag kann aber im Einzelfall als Werbung für verschiedene Produkte, die erwähnt werden, verstanden werden. 

Im Juli 2018, kurz nach dem „DSGVO-Stichtag“, hat WhatsApp die Nutzungsbedingungen aktualisiert. Im Dezember 2019 kam eine weitere Neuerung des Messenger-Betreibers zur Verwendung von Broadcast Listen.

Was bedeutet das für den Einsatz des Messengers in Firmen? Ist die App DSGVO-konform und darf WhatsApp im Unternehmen verwendet werden? Gibt es eigentlich (sinnvolle und praktikable) Alternativen zu WhatsApp?

Auf diese und weitere Themen rund um den Messenger WhatsApp in Unternehmen möchte ich in diesem Artikel eingehen.

Continue reading „WhatsApp im Unternehmen – Welche Messenger Alternativen sind in der Firma möglich?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 06
  • Nov
Urteile nach der DSGVO
Jasmin Muhmenthaler-Sturm Datenschutz 1 Comment

Seit Inkrafttreten der DSGVO sind bereits zahlreiche Urteile seitens der Gerichte ergangen. 

Die Urteile sind aufgrund ihrer Vielzahl thematisch gegliedert. Die Übersicht bezieht sich lediglich auf die deutsche Rechtsprechung. . Sie erhalten eine kurze Zusammenfassung des Themas und was das Urteil für Sie bedeutet und ob Handlungsbedarf besteht.

Wir aktualisieren diese Liste ständig, können jedoch keine Vollständigkeit gewährleisten.

Eine Übersicht über erteilte Bußgelder nach DSGVO durch die Aufsichtsbehörden finden Sie in einem eigenen Beitrag.

Continue reading „Urteile nach der DSGVO“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 06
  • Nov
Bußgeldberechnung nach der DSGVO
Jasmin Muhmenthaler-Sturm Datenschutz,DSK-Papier No Comments

Seit Inkrafttreten der DSGVO wurden bereits einige Bußgelder in Deutschland und in der EU verhängt. Eine aktuelle Übersicht dazu finden Sie im Artikel zu den Bußgeldern DSGVO.

Die DSK hat nun ein Konzept zur Bußgeldberechnung erstellt und veröffentlicht. Mit diesem Berechnungskonzept soll vor allem die Transparenz bei der Bußgeldvergabe gewährleistet werden.

Nachfolgend zeigen wir Ihnen einen Überblick über die Ermittlung der Höhe des Bußgelds bei einem Verstoß gegen die DSGVO.

Continue reading „Bußgeldberechnung nach der DSGVO“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 06
  • Nov
Bußgelder nach der DSGVO
Jasmin Muhmenthaler-Sturm Datenschutz 3 Comments

Mit der DSGVO können höhere Bußgelder als im Gegensatz zum BDSG ausgesprochen werden. Seit dem 25.05.2018 sind bereits einige Bußgelder erlassen worden. Es wurden jedoch bisher nie die „gefürchteten“ 2 Millionen Euro erreichten. (vor allem nicht bei Klein- und Mittelständischen Unternehmern). 

Die Bußgeldberechnung wurde durch das im Oktober 2019 veröffentlichte Bußgeldkonzept der DSK transparenter dargestellt.

In der nachfolgenden Liste erhalten Sie eine Übersicht über die ausgesprochenen Bußgelder in Europa aber auch in den Drittländern durch die zuständigen Aufsichtsbehörden.

Eine Übersicht über Urteile zur DSGVO finden Sie in einem eigenen Beitrag.

Continue reading „Bußgelder nach der DSGVO“

Diesen Beitrag teilen

DSGVO konforme Datenschutzerklärung erstellen
  • 05
  • Nov
Wie erstellen Sie eine DSGVO-konforme Datenschutzerklärung für Ihre Webseite? Vorlage zur Vorgehensweise
Regina Stoiber Datenschutz No Comments

Auf den Punkt gebracht: Datenschutzerklärung selber erstellen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Prüfen Sie die technischen und inhaltlichen Teile Ihrer Webseite auf Datenschutzrelevanz.
  • Erstellen Sie den allgemeinen Teil der Datenschutzerklärung sowie gängige Inhalte durch einen Generator.
  • Sind aus der Webseitenprüfung noch relevante Inhalte offen, die Sie in der Datenschutzerklärung berücksichtigen müssen, für die der Generator aber kein Ergebnis geliefert hat? Erstellen Sie diese Teile der Datenschutzerklärung selbst.
  • Erstellen Sie die Inhalte nach den Vorgaben der Informationspflicht nach Art. 13 und Art. 14 DSGVO. Die DSE besteht aus einem allgemeinen Teil, der allgemeine Angaben zum Unternehmen und den Rechten der Betroffenen enthält. Im spezifischen Teil wird aufgelistet, für welchen Zweck Daten verarbeitet, gespeichert und ggf. weiter gegeben werden.

Sie haben die perfekte Webseite und müssen nun die zugehörige Datenschutzerklärung erstellen. Denn erst mit der vollständigen Datenschutzerklärung (kurz: DSE) wird Ihre Internetpräsenz DSGVO-konform.
Nichts leichter als das, denken Sie. Im Internet gibt es schließlich eine Vielzahl von Generatoren für die Datenschutzerklärung der Webseite.

Es stimmt, die Generatoren nehmen Ihnen einen großen Aufwand ab. Trotzdem fällt uns immer wieder auf, dass die Datenschutzerklärung für eine individuelle Webseite in den seltensten Fällen komplett durch einen Generator erstellt werden kann.

In diesem Beitrag erklären wir Ihnen, wie Sie vorgehen können, um die vollständige und damit DSGVO-konforme Datenschutzerklärung für Ihre Webseite zu erstellen. Zudem zeigen wir Ihnen, wie Sie fehlende Passagen der Datenschutzerklärung selbst schreiben können.

Continue reading „Wie erstellen Sie eine DSGVO-konforme Datenschutzerklärung für Ihre Webseite? Vorlage zur Vorgehensweise“

Diesen Beitrag teilen

Anforderungen der DSGVO an die Webseite selber prüfen - DSGVO Checkliste
  • 01
  • Nov
DSGVO-konforme Webseite selber prüfen – Checkliste zum Webseiten-Check
Regina Stoiber Datenschutz 7 Comments

Auf den Punkt gebracht: Webseiten-Analyse selber durchführen

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Identifizieren Sie alle Cookies / Plugins und sonstigen Add-ons Ihrer Webseite. Verwenden Sie dazu Onlinedienste oder Browser-Add-ons.
  • Analysieren Sie die Ergebnisse auf Datenschutzrelevanz. Werden Cookies gesetzt oder personenbezogene Daten übertragen?
  • Prüfen Sie Ihre Webseite inhaltlich. Haben Sie Formulare eingebunden? Gibt es andere Möglichkeiten der Interaktion mit den Webseitenbesuchern?
  • Erstellen Sie eine Datenschutzerklärung, die alle identifizierten und analysierten Punkte enthält, die DSGVO relevant sind.
Continue reading „DSGVO-konforme Webseite selber prüfen – Checkliste zum Webseiten-Check“

Diesen Beitrag teilen

  • 12
  • Sep
Werbung und Datenschutz – Welche Voraussetzungen sind bei Newsletter und postalischer Werbung zu beachten?
Jasmin Muhmenthaler-Sturm Datenschutz,DSK-Papier 3 Comments

Darf personalisierte Werbung nach der DSGVO noch versendet werden? Dürfen Kunden telefonisch auf neue Produkte hingewiesen werden? Und vor allem, darf ich jedem Kunden einen Newsletter zusenden?

Continue reading „Werbung und Datenschutz – Welche Voraussetzungen sind bei Newsletter und postalischer Werbung zu beachten?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 02
  • Sep
Prüfungskatalog DSGVO-Umsetzung in der Wirtschaft
Jasmin Muhmenthaler-Sturm Datenschutz No Comments

Die LfD Niedersachsen hat in den vergangenen Monaten in 50 großen und mittelgroßen Unternehmen geprüft, wie umfassend diese die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umgesetzt haben. Die Prüfung steht nun kurz vor dem Abschluss. Als Hilfestellung für alle interessierten Unternehmen veröffentlicht die LfD schon jetzt ihren detaillierten Bewertungskatalog.

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen. Der Fragenkatalog kann zur Selbsteinschätzung herangezogen werden.

Vorbereitung auf die DSGVO

Wie haben sich Unternehmen auf die DSGVO vorbereitet? Ziel dieser Frage ist es, sich einen Überblick über die Herangehensweisen und die Selbsteinschätzung zu erhalten. 

Anmerkung der Datenbeschützerin

Es kann hilfreich sein, sich alle eingesetzten Programme und Softwaren (Client- und serverbasiert) anzusehen und zu prüfen, ob in diesen personenbezogene Daten verarbeitet werden.

Des Weiteren kann durch eine Besichtigung der Büros auch weitere Aufschlüsse über die verarbeiteten Daten führen. 

Verfahrensverzeichnis

Das Herzstück des Datenschutzmanagements. 

Zentrale Frage ist, wie sichergestellt wird, dass alle Geschäftsabläufe mit personenbezogenen Daten erfasst wurden und ob das Verfahrensverzeichnis die Kriterien nach Art. 30 DSGVO erfüllen. 

  • Ist aus der Verfahrensübersicht erkennbar, dass die Standardverfahren zur z.B. Bürokommunikation, Personalverwaltung, Lohnabrechnung, Bewerbermanagement, Homepage und Kundenverwaltung dokumentiert sind? 
  • Wird deutlich, dass das Verzeichnis von Verarbeitungstätigkeiten (VVT) regelmäßig überprüft und soweit erforderlich aktualisiert wird? 

Anmerkung der Datenbeschützerin

Bei der Erstellung des Verfahrensverzeichnisses kann oder ist auf die Mitwirkung der Mitarbeiter zurück zu greifen, da diese im täglichen Arbeitsalltag die Verfahren beschreiben können. 

Zulässigkeit der Verarbeitung

Jede Verarbeitungstätigkeit ist auf eine Rechtsgrundlage zu stützen. Das LfD Niedersachen möchten wissen, auf welcher Rechtsgrundlage die personenbezogenen Daten verarbeitet werden. Die Behörde fragt die Voraussetzungen des Art. 6, 7 und 8 DSGVO ab. 

Anmerkung der Datenbeschützerin

Es bietet sich an, die Rechtsgrundlagen im Verfahrensverzeichnis direkt zu den jeweiligen Verfahren zu notieren.

Betroffenenrechte

Wie wird die Einhaltung der Betroffenenrechte sichergestellt? Eine Skizzierung der Prozesse ist beizufügen. 

Informationspflicht (Art. 12 ff. DSGVO)

  • Werden die Informationen leicht zugänglich zur Verfügung gestellt (z.B. Aushang, Flyer, EMail, Brief …)? 
  • Informiert das Muster über die Zwecke der Verarbeitung und nennt die Rechtsgrundlagen? 
  • Wird das berechtigte Interesse beschrieben, sofern eine Verarbeitung nach Art. 6 Abs. 1 Buchstabe f. DS-GVO erfolgt? 
  • Wird bei Erhebung der Daten über die Speicherdauer informiert? 
  • Gibt es eine Datenschutzerklärung auf der Website? 
  • Ist die Datenschutzerklärung leicht zu finden?

Auskunftsrecht (Art.15 DSGVO)

  • Ist der Umgang mit dem Auskunftsrecht plausibel und logisch nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)? 
  • Wird beschrieben, dass die Identität der natürlichen Person als betroffene Person überprüft wird? 
  • Wird aus dem beschriebenen Prozess deutlich, dass die Auskunft unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags erteilt wird? 
  • Kann der Prozessbeschreibung entnommen werden, dass durch den Verantwortlichen voraussichtlich vollständige Auskünfte erteilt werden (z.B. durch Beschreibung der eingebundenen Unternehmensbereiche, Hinweis auf Nutzung einer Softwareanwendung)? 
  • Ist aus den Unterlagen erkennbar, dass der Verantwortliche auf Antrag eine Kopie der personenbezogenen Daten zur Verfügung stellt? 

Recht auf Berichtigung (Art. 16 DSGVO)

  • Wird aus dem beschriebenen Prozess deutlich, dass die betroffene Person in Bezug auf die ergriffenen Maßnahmen (Berichtigung) unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags informiert wird? 
  • Ist den Unterlagen zu entnehmen, dass der Verantwortliche, soweit er die Daten anderen Empfänger offengelegt hat, allen Empfängern jede Berichtigung mitteilt? 

Löschung (Art. 17 DSGVO)

  • Wird beschrieben, unter welchen Voraussetzungen Daten gelöscht werden? 
  • Hinweis: Es bedarf in folgenden Fällen einer Datenlöschung:  
  • wenn die Speicherung der Daten nicht mehr erforderlich ist  
  • bei Widerruf der Einwilligung, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung einschlägig ist  
  • bei Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 1 DS-GVO und Nichtvorlage vorrangiger berechtigter Gründe oder 
  • bei Widerspruch gegen die Verarbeitung gem. Art. 21 Abs. 2 DS-GVO (Werbewiderspruch)  
  • bei unrechtmäßiger Verarbeitung (Verarbeitung der Daten ohne Rechtsgrundlage)  
  • soweit die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist

Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Ist der Umgang mit dem Recht auf Einschränkung der Verarbeitung nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)? 
  • Hinweis: In folgenden Fällen hat eine Einschränkung der Verarbeitung zu erfolgen:  
  • wenn die Richtigkeit der verarbeiteten Daten strittig ist, solange die Richtigkeit der Daten überprüft wird  
  • bei unrechtmäßiger Verarbeitung, soweit die betroffene Person eine Löschung ablehnt und eine Einschränkung der Verarbeitung verlangt
  • soweit der Verantwortliche die Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt  
  • bei Widerspruch der betroffenen Person gem. Art. 21 Abs. 1 DS-GVO, bis feststeht, ob die berechtigten Gründe der betroffenen Person oder des Verantwortlichen überwiegen 
  • Ist beschrieben, dass die betroffene Person sowohl über die Einschränkung als auch vor deren Aufhebung über die Aufhebung unterrichtet wird? 

Datenübertragbarkeit (Art. 20 DSGVO)

  • Ist der Umgang mit dem Recht auf Datenübertragbarkeit nachvollziehbar und auf das Unternehmen bezogen beschrieben worden (z.B. in einem internen, konkret auf das Unternehmen bezogenen Handlungsleitfaden)?
  • Wird aus dem beschriebenen Prozess deutlich, dass der betroffenen Person die Daten unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung gestellt werden? 

Technischer Datenschutz

Die Fragen stützen sich auf Art. 25 und 32 DSGVO. 

  • Wie wird sichergestellt, dass die TOMs bzw. die Dienstleister ein angemessenes Schutzniveau gewährleisten?
  • Wie wird sichergestellt, dass die TOMs an den jeweiligen Stand der Technik angepasst werden? 
  • Wie wird sichergestellt, dass ein dokumentiertes Rollen- und Berechtigungskonzept für die IT-Anwendungen vorliegt?
  • Wie wird sichergestellt, dass bei Änderungen / Neuentwicklungen von Produkten/Dienstleistung die DSGVO-Anforderungen berücksichtigt werden? 

Datenschutzfolgeabschätzung (DSFA)

  • Wie wird sichergestellt, dass ein hohes Risiko für die Betroffenen besteht und eine DSFA durchgeführt wird?
  • Gibt es ein Verfahren, dass einer DSFA bedarf? Wenn ja, ist ein Dokument der Prüfung beizulegen. 

Anmerkung der Datenbeschützerin

Wie eine DSFA erstellt werden kann, kann im dazugehörigen Blogbeitrag nachgelesen werden. 

Auftragsverarbeitung 

Die Prüfungsfragen richten sich nach Art. 28 DSGVO

  • Wurden die bestehenden Verträge mit den Auftragsverarbeitern an die DSGVO angepasst? 
  • Enthalten die Verträge die rechtlichen Anforderungen nach Art. 28 DSGVO?

Datenschutzbeauftragter (DSB)

  • Wie ist der DSB in die Organisation eingebunden?
  • Welche Fachkunde besitzt er? 
  • Lässt sich aus den Unterlagen die aktuelle und ausreichende Fachkunde der/des DSB entnehmen? 

Meldepflichten

  • Wie wurde der Prozess zur Meldung von Datenschutzverstößen nachvollziehbar dargestellt? 
  • Wird die 72 Stunden-Frist berücksichtigt? 
  • Ist erkennbar, dass die Datenschutzverstöße dokumentiert werden? 

Dokumentation

  • Wie können alle Pflichten nach Art. 5 Abs. 2 DSGVO nachwiesen werden? 
  • Sind sämtliche Dokumente für die Pflichten angelegt? 

Anmerkung der Datenbeschützerin

Mit Hilfe des Fragenbogens kann sich der Verantwortliche / Auftragsverarbeiter / Datenschutzbeauftragter einen Überblick über den aktuellen Stand des Datenschutzmanagements verschaffen. 

Bei Fragen, die noch nicht beantwortet werden können, ist ggf. zu ergründen, weshalb das Themengebiet noch nicht erfasst wurde. 

Weiterhin hat die DSK ein Kurz-Papier zur Umsetzung der DSGVO in Unternehmen veröffentlicht (Link folgt).

Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft

Kriterien Querschnittsprfung des LfD NiedersachsenHerunterladen

Quelle

Die Landesbeauftragte für den Datenschutz Niedersachsen: https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin
  • 22
  • Aug
Summary DSK-Papier Nr. 11: Recht auf Löschung / Recht auf Vergessenwerden
Jasmin Muhmenthaler-Sturm Datenschutz,DSK-Papier No Comments

Auf den Punkt gebracht: Recht auf Löschung

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Artikel 17 Abs. 1 der DSGVO gibt an, wann Daten durch den Verantwortlichen gelöscht werden müssen.
  • Es bestehen auch Ausnahmen von der Pflicht auf Löschung der Daten. Diese werden in Artikel 17 Abs. 3 DSGVO genannt. Ebenfalls nennt §35 BDSG-neu Gründe für die Einschränkung der Löschpflicht.
  • Das Recht auf Vergessenwerden hat zum Ziel, personenbezogene Daten auf Wunsch des Betroffenen zu löschen, die zum Beispiel im Internet einer großen Öffentlichkeit zugänglich sind.
  • Nichtbeachtung von Löschanfragen und Löschpflichten kann zu hohen Bußgeldern führen, wie bereits Urteile zeigen.

Mit einem Kurzpapier gibt die DSK Hilfestellung auf ein weiteres Betroffenenrecht: Das Recht auf Löschung. Die zentralen Fragen werden hier erläutert: Wann sind Daten zwingend zu löschen? Wann bestehen Ausnahmen der Löschpflicht?

Continue reading „Summary DSK-Papier Nr. 11: Recht auf Löschung / Recht auf Vergessenwerden“

Diesen Beitrag teilen

Regina Stoiber - Datenbeschützerin

 

Webinar: TTDSG im Überblick!! Jetzt buchen!
Webinar-Reihe Datenschutz & IT-Sicherheit
Von Experten – für Experten im Datenschutz
DSB Experten Club
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Hinweisgeberschutzgesetz
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?

 

Bleiben wir in Kontakt

Newsletter Datenbeschützerin
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.

 

Neuste Beiträge

 

DSGVO Praxis für Einzel- und Kleinunternehmer

DSGVO für Einzel- und Kleinunternehmer

 

Wir begeistern unsere Kunden
Erfahrungen & Bewertungen zu Regina Stoiber

 

 

Der obligatorische Hinweis

Wir recherchieren sehr ausführlich für unsere Beiträge. Trotzdem stellen diese Informationen keine Rechtsberatung dar!

Spezielle Fragen zum Datenschutz beantworten wir Ihnen sehr gerne individuell!

Vereinbaren Sie ein kostenloses Erstgespräch.

 

Allianz für Cyber-Sicherheit