Geschichte des Datenschutzes

Wann begann der „Irrsinn“ des Datenschutzes?

In den letzten Jahrhunderten ist viel passierte und es wurden unzählige wirtschaftliche Ereignisse und Prozessen in Bewegung gesetzt. Sei es nun die Industrialisierung im 19. Jahrhundert oder die Digitalisierung im 20. Jahrhundert. Auch die Gesetzgebung durchlebt einen Wandel; neue Gesetze treten in oder außer Kraft.

Continue reading „Geschichte des Datenschutzes“

Diesen Beitrag teilen

Betroffenenrechte DSGVO

Das Gesetz

Jede natürliche Person, deren Daten bei einer Organisation, einem Verein oder einer Behörde gespeichert sind, hat Rechte an Ihren Daten. Was bedeutet das für den Betroffenen (also die Person, deren Daten gespeichert sind)? Und was für die verarbeitenden Organisation? Das möchte dieser Artikel erläutern.

mehr lesen…

Diesen Beitrag teilen

Videoüberwachung DSGVO - Verwendung und Speicherdauer der Daten

Die DSGVO und Videoüberwachung – das Urteil des Bundesarbeitsgerichts zur Verwertung und Speicherdauer von Videoaufzeichnungen

Das Bundesarbeitsgericht (BAG) entschied mit dem Urteil vom 23.08.2018 nun, ob auch ältere gespeicherte Videoaufzeichnungen noch verwertbar sind.

Der Ausgangsfall

Der Betreiber eines Tabak- und Zeitschriftenhandels überwachte seine Geschäftsräume zum Zweck des Eigentumsschutzes. Im August 2016 wertete der Betreiber die Videoaufzeichnungen aus, nachdem ihm ein Fehlbestand bei den Tabakwaren auffiel. Es zeigte sich, dass im Februar 2016 die Angestellte an zwei Tagen die Einnahmen nicht in die Registrierkasse legte und somit kündigte der Betreiber das Arbeitsverhältnis fristlos, woraufhin die Angestellte klagte.

Wo liegt nun das Problem?

Es stellt sich die Frage, ob nach einem so langen Zeitraum die Videoaufzeichnungen überhaupt noch gespeichert werden dürfen bzw. als Beweis verwertet werden dürfen.

Das Urteil des BAG

In den Vorinstanzen erhielt die Angestellte recht, dass die Videoaufnahmen nach einem so langen Zeitraum nicht mehr als Beweis dienen. Das Landesarbeitsgericht ist der Auffassung, dass die Videoaufzeichnungen bereits vor dem 1. August gelöscht hätten werden müssen.

Das BAG ist da anderer Meinung: „Wenn es sich um eine rechtmäßige offene Videoüberwachung gehandelt habe, wäre die Verarbeitung und Nutzung der einschlägigen Bildsequenzen zulässig gewesen und hätte somit auch nicht die Persönlichkeitsrechte der Angestellten verletzt. Der Tabakladen Betreiber wäre auch nicht zur sofortigen Auswertung des Bildmaterials verpflichtet, sondern erst, wenn er einen Anlass dafür sieht.“

Jetzt kommt es darauf an, ob die Videoüberwachung rechtmäßig war, was von den Vorinstanzen geprüft werden muss.

Dieses Urteil bezieht sich zwar noch auf die alte Fassung des BDSG, wäre aber, sofern die Videoüberwachung offen und rechtmäßig ist, auch mit der DSGVO vereinbar laut BAG.

Ich möchte meine Geschäftsräume mit einer Videoüberwachung ausstatten – wie muss ich vorgehen, damit ich DSGVO-konform bin?

Seit Inkrafttreten der DSGVO herrscht unberechtigterweise eine Hysterie mit vielen Fehlinformationen. Was darf ich noch tun? Was ist noch erlaubt? Das Thema Videoüberwachung, vor allen in öffentlich zugänglichen Bereichen, wird immer wieder stark diskutiert.

Ich möchte Ihnen hier zusammengefasst aufzeigen, welche Gedanken Sie sich zum Thema Videoüberwachung machen müssen und was Sie generell als Entscheidungsgrundlage betrachten müssen.

Videoüberwachung DSGVO – konform

Auf die folgenden Punkte gehe ich im Anschluss noch etwas detaillierter ein.

  • Öffentlich zugänglicher Bereich oder nicht öffentlich zugänglicher Bereich
  • Grundsätze seitens der DSGVO bzw. BDSG – neu
  • Grund der Videoüberwachung und Alternativen
  • Gestaltung der Videoüberwachung
    • Technik
    • Bereiche
    • Zeitraum
  • Festlegung der Speicherdauer
  • Transparenz gegenüber betroffenen Personen
    • Arbeitnehmer
    • Kunden

HINWEIS: Es handelt sich hierbei um keine Rechtsberatung, sondern lediglich um eine grundsätzliche Information. Es muss immer der Einzelfall betrachtet werden, ob die Videoüberwachung DSGVO konform ist.

Gesetzliche Grundlage

Kurz zur Info: Das Thema der Videoüberwachung wird nicht explizit in der DSGVO behandelt, sondern wird in § 4 BDSG – neu aufgegriffen. Was bedeutete dies nun? Ihre Videoüberwachung muss dennoch DSGVO – konform gestaltet werden, aber unser Gesetzgeber hat dieses „Lücke“ in der DSGVO mit dem § 4 BDSG – neu geschlossen.

Öffentlich zugänglicher Raum und nicht öffentlicher zugänglicher Raum

Vorab müssen wir unterscheiden, ob Sie die Videokameras in einem öffentlich zugänglichen Bereich oder nicht öffentlichen zugänglichen Bereich anbringen möchten.

HINWEIS: Ein nicht öffentlicher Bereich liegt vor, sofern nur ein bestimmter Personenkreis Zutritt zu den Räumlichkeiten hat (z.B. Mitarbeiter zu den Büros, Mieter etc.)

Beispiele für nicht öffentlich zugängliche Bereiche

  • Büros
  • Produktionsbereiche
  • Private Wohnung
  • Treppenhäuser in Mietshäusern

Beispiele öffentlicher zugänglicher Raum

  • Geschäftsräume mit Publikumsverkehr (Standardfall)
  • Ämter / Behörden

Kritische bzw. verbotene Videoüberwachung in folgenden Bereichen

  • Treppenhäuser in Mietshäusern
  • Sozialräumen / Pausenräumen der Mitarbeiter
  • Umkleiden (in Geschäften / Freibädern etc.)
  • Toiletten
  • Gastronomie

Der Standardfall wird meistens bei der Überwachung der Geschäftsräume mit Publikumsverkehr sein.

Grundsätze der DSGVO bzw. BDSG-neu

Bevor Sie überhaupt mit der Anbringung von Videokameras beginnen können, müssen jedoch ein paar wichtige Grundsätze beachtet werden, die leider nicht umgänglich ist:

  • Interessensabwägung gegenüber dem Betroffenen
  • (ggf.) Datenschutzfolgeabschätzung

Dies ist nur eine kleine Auswahl der wichtigsten Punkte bezüglich der Videoüberwachung. Eine Orientierungshilfe mit einer Checkliste des Düsseldorfers Kreis verlinke ich gerne. (Hinweis: diese Checkliste beschäftigt sich zwar mit den Fragen, führt aber nicht automatisch zur Zulässigkeit der Videoüberwachung und wurde noch nicht für das neue BDSG aktualisiert)

Interessensabwägung

Eine Interessenabwägung kann man sich wie eine Pro- und Kontra-Liste für beide Parteien vorstellen. Welches berechtigte Interesse hat der Inhaber, um eine Videoüberwachung zu begründen? Welche Argumente sprechen für eine Videoüberwachung und welche dagegen? Welche Gefährdungen ergeben sich für betroffene Personen? Welche gesetzlichen Vorschriften überwiegen?

Das Persönlichkeitsrecht nach Art. 2 Grundgesetz ist eines der höchsten und schutzwürdigsten Grundrechte, die es gibt.

Beispiel Interessensabwägung zur Videoüberwachung

GründeBetroffener (wer wird aufgezeichnet?RisikenGesetzliche Grundlage
EigentumsschutzKunden
Mitarbeiter
Überwachung und Erkennung der Betroffenen

Verletzung des Persönlichkeitsrechts
Art. 2 GG


Art. 6 Abs. 1 lit. f DSGVO, § 4 Abs. 1 Nr. 3 BDSG-neu
Vermeidung von StraftatenKunden
Mitarbeiter
Überwachung und Erkennung der Betroffenen

Verletzung des Persönlichkeitsrecht
Art. 2 GG


Art. 6 Abs. 1 lit. f DSGVO, § 4 Abs. 1 Nr. 3 BDSG-neu

Dies soll jetzt jedoch nicht bedeuten, dass die Videoüberwachung überhaupt nicht DSGVO-konform sein kann, da das Persönlichkeitsrecht des Betroffenen immer überwiegt. In der Praxis werden Videoüberwachungen zum Schutz des Eigentums oder zur Vermeidung von Straftaten eingesetzt und auch akzeptiert, wenn man sich an ein paar Spielregeln hält.

Datenschutzfolgenabschätzung

Zusätzlich zur Interessenabwägung muss eine Datenschutzfolgenabschätzung (DSFA) erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht und eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet (Art. 35 Abs. 3 lit. c DSGVO).

Die Datenschutzkonferenz (DSK) hat eine Positivliste für Datenschutzfolgeabschätzungen veröffentlicht. Das heißt, in dieser Übersicht finden Sie Verfahren, die unbedingt einer Datenschutzfolgeabschätzung bedürfen. Videoüberwachung ist hier explizit nicht aufgelistet. Trotzdem sollten Sie das Thema beachten und eine DSFA vornehmen, wenn sich aus der Videoüberwachung hohe Risiken für den Betroffenen ergeben können.

Beispiele für hohe Risken

  • Diskriminierung,
  • Identitätsdiebstahl,
  • Profilerstellung durch Bewertung persönlicher Aspekte,
  • Rufschädigung,
  • v.m

Für weitere Informationen für die Risiken verlinke ich das Kurzpapier Nr. 18 der DSK: Die Datenschutzkonferenz (DSK) hat eine Positivliste für Datenschutzfolgeabschätzungen veröffentlicht

Grund der Videoüberwachung und Alternativen

Zunächst müssen Sie sich die Frage stellen, warum Sie Ihre Geschäftsräume videoüberwachen wollen. Gibt es vielleicht Alternativen („mildere Mittel“) zur Videoüberwachung? Diese Begründung entscheidet darüber, ob die Videoüberwachung gegen die DSGVO verstößt.

In § 4 BDSG – neu gibt der Gesetzgeber bereits vor, wann die Videoüberwachung zulässig ist und zwar,

  • zur Aufgabenerfüllung öffentlicher Stellen (wobei dies in unserem Fall nicht zutrifft),
  • zur Wahrnehmung des Hausrechts oder
  • zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

Beispiele für Alternativen zur Videoüberwachung

  • Alarmanlage
  • Ladendetektiv
  • Nachwächter
  • Wertvolle Gegenstände nach Ladenschluss im Tresor aufbewahren
  • Zutrittsberechtigungen einschränken und nur bestimmten Mitarbeitern gewähren

Natürlich ist abzuwägen, ob es organisatorisch und finanziell umsetzbar ist, dass weiteres Personal z.B. für den Schutz vor Straftaten eingestellt wird.

Beispiele für berechtigtes Interessen bei der Videoüberwachung

  • Vermeidung von Straftaten (Einbruch, Diebstahl)
  • Eigentumsschutz
  • Schutz von Leben und Gesundheit

Ziemlich wahrscheinlich wollen Sie vermeiden, dass Straftaten begangen werden. Sie möchten Ihr Eigentum schützen. Sollte dennoch der Fall z.B. eines Diebstahls oder Einbruches eintreten, wäre es wünschenswert einen Videobeweis vorlegen zu können.

Gestaltung der Videoüberwachung

Sie sollten sich bereits bei der Anschaffung von Videokameras Gedanken um den Datenschutz machen und auf einen „eingebauten Datenschutz“ (Privacy by design) bachten.

Beispiele für den eingebauten Datenschutz

  • Keine Schwenkfunktion
  • Keine Tonaufnahme! (wird strafrechtlich verfolgt)
  • Keine automatische Gesichtserkennung
  • Keine Zoomfunktion

Des Weitern ist auch zu klären, in welchen Bereichen die Überwachung stattfinden soll und in welchem Zeitraum.

Beispiele für Überwachungsbereiche

  • Eingangsbereich
  • Geschäftsraum
  • Parkplatz, welcher zum Grundstück gehört

ACHTUNG! Überwachungen der öffentlichen Straße, Mitarbeiterräumen bzw. Sozialräumen und im Gastronomiebereich sind sehr kritisch!

In Österreich wurde im September 2018 die erste DSGVO-Strafe gegen einen Lokalbetreiber verhängt. Dieser überwachte unerlaubt mit seiner Videokamera einen großflächigen Teil des öffentlichen Gehweges und wurde nun mit einer Strafe in Höhe von 4.800,00 € belangt.

Machen Sie sich Gedanken über den Zeitraum der Videoüberwachung. Würde es beispielsweise ausreichen, die Videoüberwachung nur nach Ladenschluss zu aktivieren? Häufig werden die Geschäftsräume auch zu den üblichen Öffnungszeiten überwacht, was wahrscheinlich gar nicht nötig wäre.

Festlegung der Speicherdauer

Hier gibt es nun unterschiedliche Ansichten. Die DSK gibt eine Speicherdauer von 48 Stunden vor.

Ein Datenschutz-Kollege hat ebenfalls bezüglich der Speicherdauer eine Anfrage bei der bayerischen Aufsichtsbehörde (BayLDA) eingereicht und folgende Antwort erhalten:

Die deutschen Datenschutzaufsichtsbehörden sind sich einig, dass die zulässige Speicherdauer von Aufnahmen von Videoüberwachungskameras im nicht-öffentlichen Bereich (also in der Privatwirtschaft) jedenfalls im Normalfall 48 Stunden – max. 72 Stunden – nicht überschreiten darf. Denn innerhalb dieser Zeitspanne ist es jedenfalls in den meisten Fallgestaltungen durchaus möglich und zumutbar, die Aufnahmen durchzusehen dahingehend, ob dort „Relevantes“ aufgezeichnet wurde; diejenigen Aufnahmepassagen, in denen keine „interessanten Vorkommnisse“ zu sehen sind, sind dann umgehend zu löschen.

Antwort des BayLDA zur Speicherfrist von Videoaufnahmen

Das bedeutet, dass eine max. Speicherdauer von 72 Stunden angedacht werden kann.

Das Oberverwaltungsgericht Lüneburg entschied, dass auch eine Speicherdauer von 10 Tagen zulässig ist.

Hier komme ich wieder auf das Urteil des BAG zurück. Das BAG ist der Auffassung, dass es erst bei einem Anlass zur Auswertung kommen muss. Dies würde eine weitaus längere Speicherdauer ermöglichen. Allerdings gilt trotzdem der Grundsatz der Datensparsamkeit und der Zweckbindung. Sofern der Zweck wegfällt, ist auch die Aufbewahrung des Videomaterials zu löschen.

Meiner Meinung nach ist daher schwierig zu sagen, welche Speicherdauer nun konkret festgelegt werden soll. Es kommt immer auf den Einzelfall an und wie die Sichtung sich organisatorisch im Geschäftsalltag einbinden lässt.

Beispiel:

Sie überwachen Ihre Geschäftsräume, um Straftaten vorzubeugen. Sollte innerhalb des festgelegten Zeitraums keine Straftat erfolgen, sind Sie verpflichtet das Videomaterial zu löschen.Im Falle einer Straftat, darf das Videomaterial natürlich länger aufbewahrt werden, da dies zu Beweiszwecken dient.

Transparenz gegenüber den Betroffenen

Wichtig ist, dass die betroffenen Personen, seien es Arbeitnehmer oder die Kunden, nicht in ihrem Persönlichkeitsrecht verletzt werden. Es ist eigentlich unvermeidbar, dass bei Kundenverkehr auch die Mitarbeiter mit überwacht werden.

Wie ist die Handhabung?

Mitarbeiter

Eine verdeckte Überwachung der Mitarbeiter verstößt gegen das Persönlichkeitsrecht und ist nur in ganz speziellen Fällen zulässig. Dies entschied das BAG bereits imJahr 2012. Problematisch könnte auch sein, wenn meistens die gleichen Arbeitnehmer überwacht werden. Durch die bereits erfolgte Interessenabwägung und die Zweckbindung, stellt die Aufzeichnung der Mitarbeiter eine Nebenfolge dar, die das Interesse des Arbeitgebers überwiegen lässt z.B. zum Schutz des Eigentums und Vermeidung von Straftaten. Die Informationspflicht ist einzuhalten, sofern auf dem Videomaterial die darauf aufgezeichnete Person zugeordnet werden kann.

Kunde

Beim Kunden ist es ähnlich wie bei den Mitarbeitern. Der Kunde darf nicht in seinen Persönlichkeitsrechten verletzt werden. Der Kunde muss auf jeden Fall darauf hingewiesen werden, dass die Räumlichkeiten videoüberwacht und muss persönlich informiert werden, sofern die Personen zugeordnet werden kann.

Hinweisschilder

Es gibt unterschiedliche Ausführungen von Hinweisschildern. Aus Ihrer Verantwortlichkeit heraus, ergibt sich, wie bereits erwähnt, die Hinweis- und Transparenzpflicht.

Welche Mindestanforderungen eine solches Hinweisschild haben sollte, fasst die DSK in ihrem Kurzpapier Nr. 15 in folgenden Punkten zusammen:

  • Umstand der Beobachtung – Piktogramm, Kamerasymbol.
  • Identität des für die Videoüberwachung Verantwortlichen – Name einschl. Kontaktdaten (Art. 13 Abs. 1 lit. a DS-GVO)
  • Kontaktdaten des betrieblichen Daten-schutzbeauftragten – soweit benannt, dann aber zwingend (Art. 13 Abs. 1 lit. b DS-GVO).
  • Verarbeitungszwecke und Rechtsgrundlage in Schlagworten (Art. 13 Abs. 1 lit. c DS-GVO).
  • Angabe des berechtigten Interesses – soweit die Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO beruht (Art. 13 Abs. 1 lit. d DS-GVO).
  • Dauer der Speicherung (Art. 13 Abs. 2 lit. a DS-GVO).
  • Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 DS-GVO (wie Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten).

Beispiel für ein Hinweisschild

Quelle: https://www.datenschutz-praxis.de/wp-content/uploads/2018/04/Anlage1_Hinweisschild-final.pdf?key=c8bc4633b87d4203f6fb793ae72e814a

Die Abbildung zeigt, wie ein DSGVO-Hinweisschild für die Videoüberwachung korrekterweise aussehen müsste, damit Sie Ihrer Informationspflicht nach Art. 13 DSGVO gerecht werden.

Zusammenfassung

Abschließend fasse ich nochmal alle Punkte zusammenfassen. Für die Vorgehensweise bei einer Planung für eine DSGVO-konforme Videoüberwachung ist folgendes zu beachten:

  1. Alternativen suchen und ggf. diese zuvor umsetzen
  2. Interessenabwägung und anschließender Folgeabschätzung vornehmen
  3. Aufnahme in das Verfahrensverzeichnis und in den Informationspflichten mit angeben
  4. Technische und organisatorische Maßnahmen zum Schutz der Betroffenen definieren und umsetzen
  5. Speicherdauer festlegen und bei Zweckerreichung das Bildmaterial löschen
  6. Hinweisschilder anbringen z.B. im Eingangsbereich

Fazit

Zum aktuellen Zeitpunkt ist meines Erachtens die Videoüberwachung vereinbar mit der DSGVO, sofern einzelne Punkte beachtet und eingehalten werden. Über Fragen und eine Diskussion freue mich mich in den Kommentaren zum Artikel.

Update vom 07.05.2019 – Drohneneinsatz

Wer von Ihnen besitzt eine Drohne und lässt diese regelmäßig steigen? Die Datenschutzkonferenz (DSK) nimmt Stellung zum Thema Drohnen und wie diese datenschutzrechtlich einzuordnen sind.  Kurz zusammengefasst ist zum Thema Drohnen folgendes festzuhalten:

  •  Drohnen mit ausgestatteten Kamers verarbeiten Daten im Sinne der Videoüberwachung
  • Neben der DSGVO ist auch noch § 21 b Abs. 1 Nr. 2 LuftVO zu beachten
  • werden Drohnen zu gewerblichen und geschäftlichen Zwecken eingesetzt ist eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO zu definieren – wird die Rechtsgrundlage auf ein berechtigtes Interesse gestützt (Art. 6 Abs. 1 lit. f DSGVO) ist eine Interessensabwägung durchzuführen
  • auch ist der Zweck des Drohneneinsatzes zu definieren
  • Drohnenflieger sind dazu angehalten keine Personen ohne ihre Einwilligung zu filmen und das Persönlichkeitsrecht zu wahren

Sofern Drohnen nicht DSGVO-konform eingesetzt werden, droht ein Bußgeld. Auch die Betroffenen haben die Möglichkeit den Drohnenflieger auf zivilrechtlichen Weg zu verklagen.

Das bedeutet auch, dass Sie als Privatperson nicht über die Häuser und Gärten Ihrer Nachbarn fliegen, da schon in § 21 b Abs. 1 Nr. 7 LuftVO die Aufnahme über Wohngrundstücken verboten ist, sofern keine Einwilligung vorliegt.

Drohnenabschuss unter Umständen erlaubt

Darf ich denn eine Drohne abschießen, wenn diese unerlaubterweise über mein Grundstück fliegt?

Wie der MDR berichtet, bemerkte ein Mann eine Drohne über seinem Grundstück und schoss diese mit einem Luftgewehr ab. Der Drohnenpilot wollte den Schaden an der Drohne ersetzt haben und verlangte Schadenersatz.

Das Amtsgericht Riesa urteilte jedoch zugunsten des Betroffenen bzw. des Schützens. Der Schütze konnte davon ausgehen, dass Fotos bzw. Videoaufnahmen angefertigt wurden und somit sein Persönlichkeitsrecht und das seiner Kinder verletzt wird.

Das Gericht prüfte die Verhältnismäßigkeit und ob es noch andere Möglichkeiten zum Abschuss gegeben hätte. Die Flucht ins Haus oder die Kontaktierung des Besitzers der Drohne wären zu diesem Zeitpunkt nicht verhältnismäßig gewesen.

Der Mann durfte sich somit mittels des Abschusses nach § 229 BGB (Bürgerliches Gesetzbuch) wehren.

Das bedeutet jedoch nicht, dass wahllos auf Drohnen geschossen werden darf!  Wie immer ist der Einzelfall zu prüfen, ob der Drohnenflug bzw. daraus resultierenden Videoaufnahmen und Bilder zulässig sind.

Update 03.2019: Was müssen öffentliche Stellen bei der Videoüberwachung beachten?

Dieser Frage widmet sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. In diesem Dokument erläutert er ausführlich, welche Voraussetzungen für die Behörden / Ämter und andere öffentliche Stellen bei der Videoüberwachung zu berücksichtigen sind.

Bitte beachten Sie, dass der Datenschutzbeauftragte sich auf § 18 LDSG (Landesdatenschutzgesetz Baden-Württemberg) stützt. Es gilt daher auch wieder, den Einzelfall und die Landesdatenschutzgesetze z.B. BayDSG zu prüfen.

DSK-Kurzpapier Nr. 15

Quellen und weitere Informationen

Quelle Titelbild: Pixabay

FAQ zum Thema Videoüberwachung

Welche Regelungen gelten nach der DSGVO?

Es gelten unterschiedliche Regelungen für nicht-öffentliche und öffentliche Stellen.

Welche Regelungen gelten für nicht-öffentliche Stellen?

  • Grundsätzlich ist Art. 6 Abs. 1 S. 1 lit. f DSGVO für nicht-öffentliche Stellen zu beachten
  • Voraussetzungen: Wahrung des berechtigten Interesses des Verantwortlichen, sofern die Interessen der Betroffenen nicht überwiegen (Interessensabwägung)
  • Nach Art. 2 Abs. 2 lit. c DSGVO findet die DSGVO keine Anwendung für natürliche Personen, die eine Videoüberwachung zu privaten Zwecken einsetzen

Welche weiteren Regelungen sind in Bezug auf die Videoüberwachung zu beachten?

  1. Eine Videoüberwachung aufgrund einer Einwilligung nach Art. 7 DSGVO kann wahrscheinlich nur in Einzelfällen erfüllt werden. Begründung: Das reine Betreten des erfassten Bereichs kann nicht als „eindeutige und bestätigte Handlung“ und informierte Einwilligung nach Art. 4 Nr. 11 DSGVO verwertet werden
  2. Die Verarbeitung von biometrischen Daten zur Identifikation ist nach Art. 9 Abs. 1 DSGVO grundsätzlich untersagt (z.B. Gesichtserkennung)
  3. Wird dennoch eine Videoüberwachung für die Identifikation oder Authentifizierung einer natürlichen Person eingesetzt werden, gelten hier enge Ausnahmetatbestände nach Art. 9 Abs. 2 DSGVO.

Welche weiteren formellen Anforderungen sind zu beachten?

  • Dokumentation der Videoüberwachung im Verfahrensverzeichnis
  • Ggf. ist eine DSFA durchzuführen, wenn die Videoüberwachung ein hohes Risiko für die Betroffenen zur Folge hat
  • Vor allem ist diese insbesondere bei systematisch umfangreichen Überwachungen öffentlicher Bereiche durchzuführen

Welche inhaltlichen Voraussetzungen ergeben sich daraus für eine Videoüberwachung?

  • Eine Prüfung nach Art. 6 Abs. 1 lit. f DSGVO ist durchführen:
  • Welches berechtigtes Interesse soll gewahrt werden?
  • Ist die Videoüberwachung erforderlich? Gibt es Alternativen zur Videoüberwachung?
  • Überwiegen die Interessen des Verantwortlichen gegenüber den Interessen des Betroffenen (Interessensabwägung)?
  • Des Weiteren ist das „Drittinteresse“ zu berücksichtigen
  • „Dritter“ können private als auch juristische Personen sein

In welchen Bereichen ist eine Videoüberwachung verboten?

  • Nachbarschaftskontext
  • Wohnungen
  • Fitnessstudios / Fitness
  • ärztliche Behandlungs- und Warteräume
  • Sanitär- und Saunabereichen

Wie sind die Betroffenen über die Videoüberwachung zu informieren?

Die Betroffenen sind nach Art. 5 Abs. 1 lit. a und Art. 12 DSGVO zu informieren. Art. 13 Abs. 1 und 2 DSGVO fordern folgende Mindestanforderungen:

  • Umstand der Beobachtung (Piktogramm, Kamerasymbol)
  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszweck
  • Rechtsgrundlage in Schlageworten
  • Angabe des berechtigten Interesse, wenn Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht
  • Speicherdauer
  • Hinweis auf Zugang für weitere Informationen
  • Die weiteren Informationen sind dem Betroffenen leicht zugänglich zur Verfügung zu stellen (z.B. durch Aushang der Informationspflicht)

Wie lange dürfen die Aufnahmen gespeichert werden?

  • Grds. unverzügliche Löschung, wenn Zweck erreicht wurde oder
  • schutzwürdige Interessen der Betroffenen entgegenstehen
  • Akzeptierte Speicherdauer: 48 Stunden
  • Maximale Speicherdauer: 72 Stunden

Wie sieht es bei Videoüberwachung in Echtzeit aus?

Auch ohne Speicherung des Videomaterials stellt die Videoüberwachung eine teilweise automatisierte Verarbeitung darf und unterliegt ebenfalls den Anforderungen der DSGVO

Diesen Beitrag teilen

Vielen herzlichen Dank für Ihre vielen, vielen Fragen. Ich bin ganz überwältigt von dem Rücklauf. Falls Sie Ihre Frage nicht eins zu eins im Text wieder finden, kann es sein, dass eine ähnliche Frage bereits formuliert wurde.

Der obligatorische Hinweis: Die Antworten stellen meine Einschätzung und Sicht der Dinge dar. Das kann keine Rechtsberatung darstellen!

DSGVO Datenschutz FAQ’s – Verfahrensverzeichnis

Verfahrensverzeichnis oder Verarbeitungsverzeichnis – was ist der Unterschied?

Laut Artikel 30 der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Verfahrensverzeichnis oder Verarbeitungsverzeichnis sind einfach in der Praxis die beiden am häufigsten verwendeten Namen dazu.

Wird das Verfahrensverzeichnis einmalig erstellt mit allen nötigen Infos oder muss es laufend mit aktuellen Inhalten aktualisiert werden?

Genau, das Verfahrensverzeichnis wird einmalig erstellt und beschreibt jede Verarbeitung von personenbezogenen Daten ganz allgemein. Hier tauchen keine Namen von Kunden auf und auch keine direkten E-mail Adressen zum Beispiel.

Im Sinne des Datenschutzmanagements muss das Verzeichnis allerdings regelmäßig auf geprüft werden, ob es noch den Anforderungen entspricht und die Inhalte passen.

Benötige ich als Einzelunternehmer ohne Mitarbeiter ein Verabeitungsverzeichnis? Ich hatte gelesen, dass es erst ab 250 Mitarbeitern nötig ist.

Das stimmt, allerdings wird das schnell wieder relativiert mit folgendem Satz in Artikel 30 DSGVO: „..die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien….“
In der Regel werden Sie, wenn Sie personenbezogene Daten verarbeiten, diese nicht nur gelegentlich verarbeiten, sondern regelmäßig und daher fällt diese Ausnahme meinem Verständnis nach für die meisten nicht relevant.

Was genau sollte in einem Verarbeitungsverzeichnis stehen?

Dazu habe ich zwei Blogartikel, die Ihnen hier weiter helfen. Zum einen ein Muster in Excel zum Download und zum Anderen eine Übersicht mit möglichen Verfahren für ein Verzeichnis.

Werden im Verfahrensverzeichnis alle Handlungen dokumentiert, bei denen Daten im Spiel sind, z.B. Anfrage per E-mail, Versand DHL, Kontocheck Geldeingang…?

Genau, Sie müssen diese Verfahren beschreiben, wenn hier personenbezogene Daten im Spiel sind. Aber beschreiben Sie sie, wie schon oben erwähnt, allgemein. Schreiben sie nicht, dass Sie am 19.3. die Daten von Herrn Müller an DHL übermittelt haben. Schreiben Sie einfach,

  • Datenübermittlung an DHL zum Versand der Waren
  • Prüfen des Geldeingangs zum Abgleich der Rechnungen

Erfassen Sie keine personenbezogenen Daten im Verfahrensverzeichnis, sondern nur die Kategorien.

Müssen WordPress Plugins ins Verarbeitungsverzeichnis?

Hier gibt es kein richtig oder falsch. Meine Empfehlung ist, die Plugins im VVZ zu nennen, wenn es eine eigene Verarbeitung für Ihr Unternehmen darstellt. Google Maps oder Google Fonts wären für mich kein eigenes Verfahren. Das Verfahren ist die Webseite und da sind diese Plugins ein Mittel, um die Webseite anschaulich darzustellen, daher würde ich sie höchstenfalls bei diesem Verfahren erwähnen. In der Datenschutzerklärung müssen Sie natürlich angegeben werden.
Bei Plugins, die ein eigenes Verfahren darstellen, würde ich sie schon nennen. Zum Beispiel das Plugin digistore, mit dem ich einen Mitgliederbereich realisiere. Der Mitgliederbereich ist ja das Verfahren und das kann ich realisieren mit einem spezifischen Plugin.

Muss das Verfahrensverzeichnis in Excel erstellt werden?

Nein, für die Formatierung bzw. die Umsetzung gibt es keine Vorgaben. Es kann mit Standard-Office Tools umgesetzt werden oder mit spezieller Software für ein Verfahrensverzeichnis.
Wir haben einiges ausprobiert und sind jetzt bzw. immer noch bei Excel. Es gibt gute Tools, aber jedes Tool hat seine Eigenheiten und natürlich damit auch seine eigene Interpretation der Umsetzung. Leider sind auch die Kosten für die Tools selten zu vernachlässigen.
Die Flexibilität mit Excel, die es ermöglicht, unser Verständnis des Datenschutzmanagements abzubilden, habe ich bisher noch in keinem Tool gefunden. Trotzdem, ich bin weiterhin mit offenen Augen dabei, mir verschiedene Softwareprodukte anzusehen, die vielleicht doch mal das Excel File ablösen könnten.

DSGVO Datenschutz FAQ’s – Kommunikation

Viele Nutzer sind unsicher wegen ihrer Mail Adresse. Wie sieht es mit der Datenverträglichkeit von Anbietern wie gmx, web.de aus?

[Update 01-06.2018] Das Bay. Landesamt für Datenschutz hat sich dazu geäussert, dass reine E-mail Provider keine Auftragsverarbeiter sind. Eine Stellungnahme auf der Webseite dazu wollen sie noch veröffentlichen.
Sobald allerdings zu der E-mail noch weitere Dienste angeboten werden, ist es ziemlich wahrscheinlich doch wieder eine Auftragsverarbeitung.

DSGVO Datenschutz FAQ’s – Geschäftspartner

Ich habe Handelspartner, die Tee von mir beziehen, was muss ich mit ihnen tun ?

Ich kenne den genauen Ablauf nicht. Aber ich nehme an, der Handelspartner liefert Ihnen rein Ware und hat keine Daten von Ihren Kunden. Daher wäre aus meiner Sicht dieser Handelspartner nicht DSGVO relevant.

Kann ein Auftragsverarbeiter eine Privatperson sein?

Ich würde mal sagen nein, da Sie ja mit ihm einen Dienstleister haben und damit ist er ja automatisch ein Geschäftspartner und ein Unternehmer.

Wir sind Webhoster. Müssen wir den ersten Schritt tun und den Kunden auf die AVV hinweisen, bzw. ihn auffordern?

Letztendlich ist es im Interesse des Auftraggebers, Sie als Auftragnehmer zu „verpflichten“. Sie können ja als Service Ihre Kunden anschreiben und Ihnen das Angebot machen, den AVV abzuschließen.

Und was tun wir, wenn der Kunde sich – wie es in der ausserbrüsseler Praxisnähe der Fall ist –  einfach nicht meldet ? Müssen wir dann ihm kündigen oder ?

Wie gesagt, es liegt in erster Linie am Auftraggeber. Ich finde gut, wenn Sie es, wie gerade erwähnt, den Kunden aktiv anbieten. Das können Sie dann im Falle einer Prüfung ja auch nachweisen. Zudem könnten Sie auch regelmäßig (jährlich?) noch mal dran erinnern. Kündigen würde ich nach aktuellem Wissenstand nicht.

Wenn ich als Webdesigner mit meinem Kunden einen AVV abgeschlossen habe, muss ich dann nochmal von jedem Kunden eine Einwilligungserklärung unterschreiben lassen beim Beginn eines Projekts?

Hier werden zwei Dinge vermischt. Beim Vertrag zur Auftragsverarbeitung sichert der Dienstleister zu, dass er mit den Daten sicher umgeht (mal ganz grob zusammen gefasst, im Detail steckt natürlich noch mehr drin).

Bei der Einwilligung geht es darum, dass jemand zustimmt, dass seine Daten für etwas verwendet werden, was unter gängigen Voraussetzungen sonst nicht erlaubt wäre. Das heißt, es gibt keinen Vertrag oder ein Gesetz, welches regelt, dass meine Daten von Ihnen verarbeitet werden dürfen. Nur dann brauchen Sie eine explizite Einwilligung. Ihre Kunden stehen ja mit Ihnen im Vertragsverhältnis. Das regelt ja die Verarbeitung der Daten. Sie brauchen also keine Einwilligung – ganz unabhängig des AVV’s.

Müssen alle AVVs in der der Datenschutzerklärung erwähnt werden? Muss dort erwähnt werden, wo die Webseite gehostet wird und welcher E-mail Provider genutzt wird?

Was in der DSE stehen muss, regelt Artikel 13 der DSGVO – also die Informationspflicht. Sie müssen u.a. angeben, an wen sie die Daten weiter geben. Ich würde nicht alle Auftragsverarbeiter so sehen, dass die Daten dahin aktiv weiter gegeben werden.
Sie machen aber auf jeden Fall nichts falsch, wenn Sie den Provider immer angeben.

DSGVO Datenschutz FAQ’s – Online Dienstleister

Was ist im Umgang mit Digistore24.com zu beachten. Ich habe z.B. einen Button mit „Bestellen“ auf meiner Homepage. Nach Klick auf diesen Button gelangt mein Kunde zu Digistore24 und kann dort dann seine Adresse eingeben, die Zahlungsart auswählen und bestellen. Muss ich hinsichtlich der DSGVO etwas auf meiner Seite beachten?

digistore sollte in der Datenschutzerklärung erwähnt werden. Also dass die Zahlungsabwicklung über digistore erfolgt und die Rechtmäßigkeit auf Artikel 6 (1) lit. b Vertrag basiert. Da digistore nach eigener Aussage kein Auftragsverarbeiter ist, sondern „nur“ Zahlungsdienstleister, braucht man keinen Auftragsverarbeitungsvertrag.

Ich habe einen Onlineshop bei Dawanda und speichere bei mir keine Daten. Allerdings verarbeite ich die Daten, indem ich eine Rechnung erstelle und für den Versand übermittle ich die Daten an DHL (Onlinefrankierung über dhl.de) oder an die Deutsche Post.

Ich bin mir nicht sicher, ob ich den Versand erläutern muss oder entfällt, da die Daten nicht über eine Versandsoftware (wie z.B. DHL-Easylog) übertragen werden.
Wie gebe ich an, dass ich die Rechnungen manuell erstelle und am PC speichere und dann über eine Online-Buchhaltungssoftware (buchhaltungmuehelos.de) erfasse.
In der Informationspflicht zum Datenschutz bzw. der Datenschutzerklärung muss das auf jeden Fall angegeben werden, dass die Daten zur Abwicklung des Versand an die Versanddienstleister übertragen werden. Ebenfalls sollte angegeben werden, dass die Daten zur Rechnungsstellung verwendet werden und dann durch die Online-Buchhaltungssoftware zum Dienstleister übertragen werden. Rechtsgrundlage muss angegeben werden. Diese wäre dann in Ihrem Fall Art. 6 (1) lit. b – Vertragsabwicklung, welche diese Verarbeitung der Versanddienstleister gestattet. Bei der Online Buchhaltungssoftware wäre es Art. 6 (1) lit. c und f. DSGVO.

Darf ich die E-Mail-Adresse meiner Onlineshop-Kunden an die Post weiterleiten, damit sie eine Benachrichtigung zum Sendungsstatus erhalten?

Die DSK hat diese Frage im März 2018 beantwortet. Grundsätzlich ist für die Übermittlung der E-Mail-Adresse an den Postdienstleister die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO nötig.

Viele Onlinehändler wählen allerdings die Alternative. Sie senden in der Regel meist einen Link an den Kunden, welcher dann den Sendungsstatus einsehen kann.  Somit ist keine Weitergabe der E-Mail-Adresse nötig. Die DSK erkennt diese Alternative an.

Muss ich als Webdesignerin, die die Homepage bei einem Provider für Kunden einrichtet (Backend: Anmeldung, Emaileinrichtung-weiterleitung etc. ftp.) mit und ohne Kontaktformular einen AV-Vertrag mit der Kundin haben oder sogar mit Provider (da ich ja in dem Moment die Zugangsdaten habe zum backend: Verwaltung).

Wenn es nur rein um die Einrichtung geht, würde ich einen AVV als nicht zwingend sehen. Wenn Sie aber die Webseite auch fortlaufend betreuen, wäre ein AVV schon anzuraten.

Die Server Logs des Hosters, Server-Logs, auf die ich zugreifen könnte – sind deaktiviert, Statistiken – ab 28.05 komplett anonymisiert. Wenn die Logfiles ungekürzte IP’s enthalten, brauche ich da einen  AV-Vertrag, Wenn 1. gekürzte IP’s enthält – dann auch?

Einen AVV beim Hoster würde ich nicht in Frage stellen. Ich würde immer empfehlen, einen abzuschließen.

Wenn eine Newsletteranmeldung zusätzlich auf der Homepage ist, muss der Kunde mit z.B. cleverReach einen AV abschließen, und ich?

Der Vertrag muss direkt von Ihrem Kunden mit dem Provider geschlossen werden. Sie sind ja auch Dienstleister für den Kunden und haben in diesem Zusammenhang kein direktes Vertragsverhältnis mit dem Provider. Sie brauchen wiederum auch einen AVV mit Ihrem Kunden.

Thema Google Analytics WIE komme ich an den AVV ich finde nichts, habe irgendwie auf der Analytics Seite irgendwelchen Zusatzvereinbarungen zugestimmt, aber wie komme ich an einen Vertrag?

Speziell bei Google Analytics kann man den Vertrag über das Konto herunterladen. Unter Verwaltung => Kontoeinstellung => Zusatz zur Datenverarbeitung kann man den Vertrag bestätigen.

Ist mit WordPress.org einen AV-Vertrag zu schliessen?

Mit wordpress.org brauchen Sie keinen AVV, aber mit wordpress.com, falls Sie die Seite darüber betreiben.

Ist mit dem Theme-Anbieter, bei mir OptimizePress ein AV-Vertrag zu schliessen?

So wie ich OptimizePress kenne, installieren Sie alles lokal bei Ihnen auf dem Server im CMS. Es werden dadurch keine Daten beim Hersteller gespeichert. In diesem Fall brauchen Sie keinen AVV mit OptimizePress. Sollte es allerdings zusätzliche Funktionen geben, die eine Verarbeitung der Daten durch OptimizePress bedingen, benötigen Sie einen AVV.

Sind AV-Verträge zu machen mit Pluginherstellern?

Eigentlich ist das dieselbe Antwort, wie bei der vorherigen Frage. Das kommt immer auf das Plugin an. Arbeitet das Plugin rein lokal und schickt keine Daten an den Pluginhersteller und verarbeitet sie dort, dann brauchen Sie auch keinen AVV, andernfalls schon. Prüfen Sie die Plugins also immer vorher, wie sie arbeiten. Dann können Sie auch bewusst entscheiden, ob Sie das überhaupt möchten, dass Daten beim Pluginhersteller verarbeitet werden.

DSGVO Datenschutz FAQ’s – Social Media

Was mache ich mit Facebook, was ist zu tun ? ggf. gehe ich raus.

Wir müssen unterscheiden zwischen Ihrem privaten Profil und der Business Page. Ihr privates Profil hat aus Sicht der DSGVO für Sie als Unternehmer erst mal keine Pflichten.

Die Unternehmensseite benötigt eine Datenschutzerklärung und ein Impressum. Die große Unbekannte ist momentan die Gerichtsentscheidung, wer für die Daten auf der Unternehmensseite verantwortlich ist. Ist es Facebook oder der Unternehmer. Nach dieser Entscheidung des Gerichts wird sich hier sicherlich noch einiges tun.

Ich würde Ihnen trotzdem empfehlen die FB Unternehmensseite in Ihrer Datenschutzerklärung zu erwähnen.

DSGVO Datenschutz FAQ’s – Webseite

Was ist mit meiner Website ?

Die sollte DSGVO konform sein – aber schauen wir uns doch die Details in den nächsten Fragen an.

Muß der Menüpunkt „Datenschutz“ sofort sichtbar sein, wenn die Website aufgerufen wird, oder reicht bei einer (langen) One-Page-Seite, die Platzierung im Footer, also ganz zum Schluß?

Es reicht auch zum Schluss im Footer. Wichtig ist, das die DSE mit einem Klick erreichbar ist.

Ist es ausreichend, den  Menüpunkt „Datenschutz“ unter dem Menüpunkt „Kontakt“ zu setzen? Wobei „Kontakt“ bei Aufruf der Seite sofort sichtbar ist, und „Datenschutz“ erst per Darüberfahren (nicht Klick) mit der Maus.

Ich würde sagen, dass ist grenzwertig. Abschließend beurteilen kann ich das leider nicht. Ich würde es aber nicht empfehlen.

Müssen alle Third-party requests von einer Seite für die DSGVO-konformität entfernt werden? Das ist zum Teil gar nicht möglich.

Nein, darum geht es auch gar nicht. Die 3rd party requests müssen nur DSGVO konform sein. Das heißt, es dürfen keine Daten übertragen werden, für die keine Rechtsgrundlage existiert bzw. die 3. Partei die Daten nicht sicher verarbeitet. Dass alles seine Richtigkeit hat, muss dann in der DSE erläutert werden.

Gibt es eine Vorgabe für WordPress-Plugins?

Was ist mit Plug-ins der Website? Zum Beispiel ein Backend Plugin oder die Cloud, wo die Backends gespeichert werden?

Sie müssen DSGVO konform sein 🙂 Das ist eine sehr allgemeine Frage. Wichtiger als das Plugin allein finde ich den Einsatzzweck und die Konfiguration. Ich würde nicht verallgemeinern, ob ein Plugin DSGVO konform ist oder nicht, da es manchmal auf den Einsatzzweck ankommt. Erst dadurch wird die Konformität nachvollziehbar.

Es ist nicht grundsätzlich verboten, wenn ein Plugin Daten übermittelt. Wenn es der Zweck rechtfertigt und die Rechtsgrundlage gegeben ist, dann ist der Einsatz ok.

Es gibt keine AV von Word Press. Muss ich in meiner Datenschutzerklärung auf diese im Hintergrund laufenden Plug-Ins eingehen, die Word Press benutzt?

Wenn die Plugins personenbezogene Daten verarbeiten, dann ja. Ansonsten nicht.

Wie ist ab dem 25.05. in Sachen Cookies/Cookiebanner (DSK-Statement!) zu verfahren? Opt-in? Opt-out? Hinweis-Banner? Gar kein Banner?

Die e-privacy Richtlinie hätte ja ebenfalls am 25.5. in Kraft treten sollen, ist aber nicht geschehen. Meine persönliche Empfehlung ist ein Cookie Banner, den man akzeptieren kann und der auf die Datenschutzerklärung verweist (mit Link zum Klicken). Alles andere ist aus meiner Sicht fernab der Realität. Das ist ein Thema, bei dem ich sehr schnell emotional werde und es mir unter den Fingern brennt zu tippen (es beginnt gerade wieder…)

Ich hab mir Plugins, wie z.B. Borlabs angesehen und kann nur den Kopf schütteln. Natürlich mache ich mich damit als Betreiber der Webseite von allem frei, aber dann frage ich mich mal nach der Usabiltiy. Mein Beispiel, mein über 60jähriger Vater, der hin und wieder mal was im Internet sucht, keine Ahnung von Cookies und DSGVO hat und auch nicht haben muss und will. Was macht der, wenn er auf das Borlabs Plugin trifft? Natürlich sofort die Seite und am besten gleich den ganzen Browser schließen. Also Fazit: Rechtssicherheit trifft Usability !

Reicht der normale, obligatorische Link zur Datenschutzerklärung in der Navigation oder müssen Webseiten-Besucher durch ein Pop-Up oder ähnliche Maßnahmen auf die Verwendung von Cookies bzw. einfache Serverlogs hingewiesen werden? Oder müssen Sie sogar Ihre Zustimmung dazu durch einen Klick erklären?

Antwort siehe vorherige Frage.

Alle unsere Homepages werden mit google fonts (Schriftarten) betrieben. Darf ich das weiterhin, wenn ich darauf in der DSE hinweise?

Ich würde sagen, mit einem kleinen Restrisiko: ja. Es gibt ja einen Geschäftszweck (Art. 6 (1) lit. f). Solange Google die IP Adressen nicht auswertet und für andere Zwecke als die zur Verfügungstellung der Fonts verwendet, sehe ich es nicht als Problem.

Darf ich weiterhin die recaptachs von google nutzen? Ich arbeite mit Joomla (nicht Wordpres) und habe bisher keine Alternativen gefunden. Auch das würde in der DSE erwähnt.

Selbe Antwort, wie obige Frage.

Google Adsense: Wie kritisch sehen Sie den Einsatz von Google-Adsense auf der Webite? Man liest auch hier verschiedenes. Einige entfernen Adsense komplett, andere lassen es laufen. Was muss umgesetzt werden, damit es DSGVO konform ist?

Hier muss ich gestehen, dass ich nicht so tief im Thema bin, da das in der Praxis meine Agentur umsetzt, mit der ich zusammen arbeite.

Man muss hier zwischen dem Tracking und dem Einblenden der Werbung unterscheiden würde ich sagen. Für das Tracking würde ich ein Opt-in empfehlen (ich weiß, schwierig zu realisieren). Das reine Einblenden der Werbung würde ich mit einem Opt-out ermöglichen. Ich weiß aber nicht, wie weit man das Trennen kann. Sorry, hier bin ich leider echt nicht fachkundig.

Z.B. bei Twitter oder YouTube besteht die Möglichkeit „embedded links“ in die eigenen Websites und Blogbeiträge aufzunehmen. Ist es korrekt, dass diese embedded links nicht DSGVO-konform sind (weil sie gleichzeitig Infos über den eigenen Besucher an Twitter oder YouTube weiterleiten) und besser durch „Screenshots + externe Verlinkung“ ersetzt werden?

Das ist auch ein Thema, an dem sich die Experten noch nicht einig sind. Auf jeden Fall in der DSE erwähnen. Ohne Risiko ist natürlich der Screenshot und die externe Verlinkung. Ich würde das Risiko der eingebetteten Frames als gering sehen, wenn man es in der DSE erwähnt. Das muss aber jeder für sich selbst entscheiden, ob er das machen möchte, bis hier die Rechtsunsicherheit entschieden wurde.

Checkboxen bei Kontaktformular und bei Newsletteranmeldung – muss zusätzlich eine Checkbox als Einwilligung bei a) Kontaktformular b) bei Newsletter oder reicht jeweils Text und Link zur Datenschutzerklärung?

Bitte keine Checkboxen!! Dazu hat der Datenschutz Guru auf seiner Webseite einen super Podcast, der mir aus der Seele spricht. Nach zig 100 täglichen Mails fragt ihn zum 20x jemand nach der Checkbox. Sehr witzig wie er das formuliert 🙂 Also nein, es reicht die Rechtsgrundlage, die in der DSE erläutert wird. Hinweis auf den Zweck und die DSE sind natürlich Pflicht.

Muss ich bei Formularen auf der Website in Kurzform darauf hinweisen, was mit den Daten passiert, wenn sie gesendet werden? Bzw. reicht hier der Hinweis bzw. Link zur Datenschutzerklärung aus?

Antwort siehe vorherige Frage.

Auf der Website: Angabe meiner E-Mail Adresse, beim Klick durch den User öffnet sich jeweiliges E-Mail Fenster (Outlook, GMail etc. davon abhängig was User nutzt) => ist das ok?

Ja, das ist ok. Es werden ja keine personenbezogene Daten verarbeitet. Sie geben freiwillig Ihre persönliche E-mail Adress preis. Da ist kein Dritter im Spiel, den Sie schütze müssen, bzw. dessen Daten Sie schützen müssen.

Kein SSL: Reicht es wenn ich bis 25.5. dahin mein Kontakt Formular und meinen Newsletter Anmeldung (Clever Reach) von der Website nehme mit Hinweis das die SSL in Arbeit ist?  oder muss ich die Seite offline stellen bis das geklärt ist?

Ich würde Formular und NL Anmeldung offline nehmen und das Restrisiko tragen, bis das Zertifikat eingestellt ist. Das geht aber ja innerhalb kürzester Zeit.

Ich habe bisher das Piwik/Matomo Analysetool auf meine Webseite gehabt. Wegen der EU DS-GVO habe ich dies jetzt vorläufig deaktiviert um Probleme zu vermeiden, da das Programm bisher nur die Opt-Out-Funktion angeboten hat.

Ich habe jedoch eine Mail von Matomo erhalten, aus der es behauptet wird, dass ein Update eben DSGVO-konform sei, da man ab sofort alle Daten komplett anonymisieren kann, d.h. IP-Adresse etc. werden nicht korrekt angezeigt. Jetzt meine Frage: reicht das? Es scheint eben nicht eine Möglichkeit für den Webseitenbesucher zu geben das Einsammeln von Daten zu verhindern, sprich die Daten werden sowieso erhoben (ohne Opt-In/Opt-Out… – kann aber auch sein, dass ich mich irre…). Aber würde das reichen, darauf hinzuweisen, dass alles anonym erhoben werden um weiterhin Piwik zu verwenden?

In Kombination mit der Aussage der DSK schwierig. Wenn man ein Opt-out machen kann, dann würde ich das schon anbieten. Aber ich würde hier dem Hersteller auch vertrauen und die Umsetzung so wie vorgeschlagen durchführen, wenn überhaupt kein Opt-out möglich ist. Natürlich auf jeden Fall die Rechtssprechung in diesem Bereich verfolgen!

DSGVO Datenschutz FAQ’s – Software

Muss mit Ticketsystemen, wie Eventim, München Ticket, Reservix o. ä. ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Wenn das System beim Dienstleister gehostet ist, dann ja. Dann muss mit dem Hoster (nicht dem Hersteller) ein AVV geschlossen werden, da ja im Ticketsystem auch personenbezogene Daten gespeichert werden. Wenn der Hersteller oder ein Dienstleister Zugriff auf das System hat zu Wartungszwecken oder Updates, muss auch ein AVV geschlossen werden. Ist das System rein lokal bzw. auf Unternehmensressourcen installiert und Dritte haben keinen Zugriff, im Sinne wie gerade erwähnt, dann ist kein AVV nötig.

E-Mail Verschlüsselung: Sie haben angegeben, dass laut DSGVO manche Dinge im Verhältnis gesehen werden müssen. Gilt dies auch bei der Verschlüsselung von E-Mails?
Denn es gibt Anbieter, wo ich zwar Verschlüsseln kann aber wenn der Empfänger diese Art nicht nutzt, bringt mir das herzlich wenig. Oder aber ich zahle einen Haufen Geld für professionelle Lösungen.

Das sehe ich nach wie vor so. Das teuere Lösung, die sogar nicht immer einsetzbar sind, für kleine Unternehmen nicht realisierbar sind. Natürlich ist aber auch wichtig zu bewerten, welche Art der Daten übertragen wird. Auch innerhalb der personenbezogenen Daten gibt es unterschiedlich wertige Inhalte.

Eine einfache Art der Verschlüsselung ist z.B. der Schutz einer Datei beim Speichern mit einem Passwort. Das funktioniert ohne Zusatzkosten und erfordert keine spezielle Software auf beiden Seiten.

DSGVO Datenschutz FAQ’s – Newsletter

Das das Freebie vom Newsletter-Abo zu Entkoppeln ist habe ich verstanden. Jedoch wie ist früheren Verlinkungen auf das Freebie umzugehen z. B. in Facebook oder Blogbeiträgen? Müssen diese geändert oder gelöscht werden? Oder Landing Page zum Freebie ganz zu löschen bzw. zu ändern?

Ja, wenn Sie noch alte Seiten haben, die das Freebie mit dem Newsletter koppeln, dann sollten Sie das trennen. Entweder die alten Seiten anpassen oder löschen. Letzteres ist natürlich die Notlösung.

Seit Jahren sammle ich Mails in meinem gmx- Adressbuch. Bisher also ohne Newsletter-Anbieter.

Die Mailadressen sind von ehemaligen Kursteilnehmern und Menschen die mir, meist mündlich, ihr Interesse an meinem Angebot kundtun (neue Kursangebote, anstehende Ausstellungen etc.)

Wie kann ich damit jetzt umgehen, wenn eigentlich eine nachweisbare Erlaubnis vorliegen muss?

So unschön es auch ist, Sie müssen alle anschreiben (am besten vor dem 25.5.) und nach einer Double Opt-in Bestätigung fragen. Das heißt aber auch, Sie müssen weg vom GMX Adressbuch und hin zu einem Newsletterservice.

DSGVO Datenschutz FAQ’s – Datenerfassung / Fotos

Bisher erbitte ich: Name, Adresse, Telefon, Email, dann Unterschrift und eine Rubrik in der angekreuzt werden kann, ob jemand Infos von mir möchte oder nicht (gibt ja und nein-Kästchen).

Kann ich das weiter machen, wenn ich erläutere warum?

Ja, das können Sie weiter machen. Sie müssen, wie Sie schon sagen, erklären, warum Sie die Daten erheben.

Muss am Kontaktformular eine Einverständniserklärung dran sein? Oder reicht die Aufklärung und Verlinkung zur Datenschutzerklärung.

Ich würde kurz den Zweck (in Kurzform) angeben und dann auf die DSE verlinken. Das Absenden des Buttons ist damit die Einverständniserklärung.

Muss ich alle „Altkunden“ der letzten 10 Jahre auch um eine Einverständniserklärung bitten? Auch wenn ich weiß, dass sie nicht mehr zu mir kommen?

Für Kunden brauchen Sie keine Einverständniserklärung, da Sie deren Daten im Rahmen des Kundenverhältnisses auf Basis des Art. 6 (1) lit. b verarbeiten, also auf Grundlage eines Vertrags. Die Einwilligung bräuchten Sie nur, wenn Sie die Daten der Kunden über das Vertragsverhältnis hinaus verarbeiten wollen, weil Sie z.B. Werbung / Newsletter verschicken.

Ist es erforderlich, einen Rechtsanwalt über die Einwilligungserklärung schauen zu lassen?

Das ist eine persönliche Frage Ihrer Risikobereitschaft 🙂 Das kann ich Ihnen leider nicht mit Ja oder Nein beantworten.

Fotografie

Muss bei Veranstaltungen jeder einzelne Besucher seine Einwilligung wegen eventueller Fotografien/Viedeoaufzeichnungen/Fernsehaufzeichnungen abgeben oder reicht ein allgemeiner Hinweis, dass Fotografien angefertigt werden, wie z.B.: „Im Rahmen unserer Veranstaltungen können durch die oder im Auftrag der Fa. xy Fotografien und/oder Filme erstellt werden.

Bitte nehmen Sie zur Kenntnis, dass mit der Anmeldung zur Veranstaltung Fotografien und Videomaterialien, auf denen Sie abgebildet sind, zur Presse-Berichterstattung verwendet und in verschiedensten (Sozialen) Medien, Publikationen und auf Webseiten der Fa. xy veröffentlicht werden können.“aus – wenn der Hinweis sowohl auf der Webseite als auch im Haus sichtbar angebracht wird?

Das ist ein ganz heißes Thema, welches auch noch viele offene Fragen hat. Dazu habe ich erst kürzlich eine gute Dokumentation von lawLiks gelesen (ich hoffe, du magst rosa 🙂 ) , die einige dieser Fragen beantwortet.

Muss für die Veröffentlichung des Fotos eines Mitarbeiters mit Außenkontakt auf der Firmenhomepage seine Einwilligung vorhanden sein oder ist das auch beim Foto (und nicht nur dem Namen und Funktion in der Firma) durch ein berechtigtes Interesse des Verantwortlichen zu begründen?

Auf jeden Fall mit Einwilligung nach Art. 6 (1) lit. a und nicht nach lit. f.

Die gleiche Fragen, nur für die Weitergabe des Abwesenheitsgrunds „Krankheit“ (ohne Art der Erkrankung) an einen bestehenden Kunden? Einwilligung nötig oder berechtigtes Interesse des Arbeitgebers, da es besser „aussieht“ wie wenn man sagen muss, er ist nicht da und näheres darf ich nicht sagen.
Wie sieht es mit dem Tag der voraussichtlichen Wiedererreichbarkeit des Mitarbeiters aus oder im Falle eines Urlaubs?

Weitergabe dieser Information auch nur nach Zustimmung des Betroffenen. Der Grund warum jemand abwesend ist, muss ja nicht dem Kunden übermittelt werden. Man kann ja sagen, der Kollege ist am  xx wieder im Büro.

DSGVO Datenschutz FAQ’s – Informationspflicht

Muss in der E-mail Signatur eine Aufklärung hinein?

Das ist eine Möglichkeit der Informationspflicht nach Art. 13 nachzukommen.

Müssen in die Datenschutzerklärung nur Angaben zu personenbezogenen Daten rein, die über die Website erfasst werden oder auch solche die ausschließlich offline gespeichert werden. Bsp.: ein Immobilienmakler erfasst über einen Papierfragebogen auch sensible personenbezogen Daten, etwa zu Einkommens- und Vermögensverhältnissen. Müssen Angaben zu Datenerfassung, Auskunfts- und Löschpflichten in die Datenschutzerklärung.

Das ist eine Frage der Organisation im Unternehmen. Es heißt im Gesetz, diese Informationen müssen vor der Verarbeitung der Daten dem Betroffenen zur Verfügung gestellt werden. Wenn das über die Webseite am besten realisierbar ist oder realisierbar ist, dann würde ich das schon empfehlen. Ich mache das bei meinen Kunden schon meistens, wenn es passt.

Ich habe ja eine Dokumentations- und Auskunftspflicht dem Kunden gegenüber. Muss ich jetzt jede Email und jedes Telefonat, das ich mit einem Kunden geführt habe, dokumentieren?

Nein das heißt nur, wenn ein Betroffener anfragt, müssen ihm die gespeicherten Daten zur Verfügung gestellt werden, bzw. Auskunft dazu erteilt werden. Was nicht gespeichert ist, darüber kann auch nicht informiert werden. Aber wenn was dokumentiert ist, dann muss die Info auf Nachfrage dem Kunden gegeben werden.

Was muss ich bei der Erstellung von Angeboten dem Kunden bzgl. der Verarbeitung personenbezogener Daten nennen / worauf hinweisen? Die personenbezogenen Daten die hier relevant sind, abgesehen von Adressdaten, sind in erster Linie solche wie Geburtsdatum, Vertragsdaten, etc. je nach Art der Urkunde oder des Vertrags.

Das betrifft die Information, was mit den Daten „passiert“, also wie sie verarbeitet werden. Das muss dem Kunden vor der Verarbeitung der Daten mitgeteilt werden. Man kann die Informationen beim Vertragsschluss bzw. beim Angebot (mit einem Link zum Beispiel auf die Informationen) mit dazu geben oder auf eine Stelle verweisen, die der Kunde einsehen kann. Es muss aber über alle Daten informiert werden, die für den Prozess des Angebots und vor allem dann für den Prozess der Beauftragung / des Kaufs verarbeitet werden.

Wenn ich Astrologie Beratungen zum Beispiel über Skype anbiete und Bezahlungen über Pay Pal auf meiner HP auf was muss ich da achten….was brauche ich dann zusätzlich?

Je nachdem, welcher Online Kanal gewählt wird, würde ich einen Abschluss eines Vertrags zur Auftragsverarbeitung empfehlen. Auf der Homepage in der Datenschutzerklärung sollte genau beschrieben sein, welche Daten verarbeitet und weiter gegeben werden und welche Dienstleister im Spiel sind. Themen wie HTTPS Verschlüsselung sollten Standard sein.

Website auf Deutsch, Sitz in Deutschland – aber natürlich auch Leser aus anderen Ländern: muss eine englische Datenschutzerklärung auf der Website eingebunden sein?

Wenn die Zielgruppe englischsprachige Leser sind, also wenn auch der Content teilweise in englisch ist, dann ja. Es heißt, die Information muss leicht verständlich für den Betroffenen sein. Wenn die Webseite aber keine englischsprachigen Leser anspricht, dann würde ich keine englische DSE anbieten, nur für den Fall, dass sich wer „verirrt“ dahin. Diejenigen, die die Artikel in deutsch lesen können, können auch die DSE in deutsch lesen.

Wenn auf meiner Website Links zu anderen Websites gesetzt sind und auch eine E-Mail Möglichkeit zu Dritten, ist diesbezüglich etwas zu beachten?

Wenn Sie die E-mails von Dritten auf Ihrer Webseite publizieren, benötigen Sie deren Einverständnis (also von demjenigen, von dem Sie die Adresse veröffentlichen). Wenn Sie nur auf eine andere Webseite verlinken und dort wiederum E-mail Adressen veröffentlicht sind, müssen sie nichts beachten.

Eine Hompage die nichts macht außer einem Kontaktformular anzubieten, IP-Adressen werden nur anonymisiert gespeichert. (WordPress-Plugin), Wie sieht die minimale Datenschutzerklärung aus?

Es werden die Punkte die Sie beschrieben haben erläutert und zusätzlich noch die Pflichtangaben aus Art. 13 DSGVO wie z.B. Name und Adresse des Verantwortlichen, Informationen zu den Rechten des Betroffenen, Beschwerderecht bei der Behörde… (sieh Artikel zur Informationspflicht).

DSGVO Datenschutz FAQ’s – Datenschutzbeauftragter

Notwendigkeit zur Bestellung eines Datenschutzbeauftragten bei Kleinbetrieben; Bsp.: Schauspieleragentur
Auf der Website veröffentlicht die Agentur Daten wie Körpergröße, ethnische Erscheinung und auch Fotos der Schauspieler. Ich nehme an, dass intern noch weitere Daten gespeichert werden, wenn etwa gesundheitliche Einschränkungen vorliegen, die bestimmte Rollen nicht in Frage kommen lassen. Gegebenenfalls gibt die Agentur diese Daten auch an Dritte, etwa Caster, weiter.
Die Verträge mit den Schauspielern sollten auf jeden Fall eine entsprechende Einwilligung enthalten und im Hinblick auf die DSGVO überprüft werden. In den o. g. Fällen könnte es aber zusätzlich erforderlich sein, einen externen Datenschutzbeauftragten zu bestellen. Siehe: https://www.lda.bayern.de/media/info_dsb.pdf, S. 2
Zitat: „Unabhängig von der Anzahl der beschäftigten Personen ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung …  automatisiert verarbeitet werden.“

Sehe ich das richtig, dass in diesem Fall auch ein Einpersonen-Unternehmen einen externen Datenschutzbeauftragten benötigt?

Da haben Sie nur die Hälfte des Satzes gelesen. Der Satz bezieht sich darauf, wenn Sie in der Markt- und Meinungsforschung tätig sind. Dann trifft das zu. Das sind Sie ja nach obiger Beschreibung nicht.

Kann ein Gesellschafter bzw. eine 450-Kraft zum DSB ernannt werden?

Es heißt, „…der Verantwortliche benennt…“. Wenn der Gesellschafter zugleich der Verantwortliche ist, würde ich sagen nein, wenn er das nicht ist, hätte ich mit ja geantwortet. Hier würde ich aber noch auf eine konkrete Rechtsberatung verweisen, da ich das nicht eindeutig sagen kann. Eine 450 Euro Kraft kann natürlich bestellt werden, wenn sie das Fach-Know How hat.

Diesen Beitrag teilen

Datenschutz Verfahrensverzeichnis nach DSGVO

Ein Verfahrensverzeichnis zu erstellen hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was gehört alles hinein?

Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintliche komplexe Gebilde doch relativ einfach umsetzen können.

Was ist überhaupt ein Verfahrensverzeichnis?

Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also einfach gesagt, wo überall kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, bei denen reale Personen dahinter stehen? Das ist auf jeden Fall die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch zum Beispiel ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.

Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.

Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.

Wer braucht ein Verfahrensverzeichnis?

Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen, bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich eine Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man ihn aber zu Ende, hebt er sich selber wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.

Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.

Wobei nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis ist nicht neu. Die besteht auch bisher schon. Das ist nichts, was mit der DSGVO kam. Wenn Sie auch bisher ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, wird Sie diese Forderung nicht überraschen.

Wer erstellt das Verfahrensverzeichnis?

Auf Anregung im Kommentar füge ich gerne noch den Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Also wie das Gesetz es nennt „die verantwortliche Stelle“.

Wer die Arbeit in der Praxis macht, ist dann wieder eine andere Sache. Als Datenschutzbeauftragter übernehme ich für „meine“ Unternehmen die Koordination der Erstellung und leiste Hilfe bei der Erstellung. Anschließend gibt es aber auf jeden Fall ein Review mit der Geschäftsführung, da die ja die verantwortliche Stelle ist und letztendlich dafür auch Rechenschaft übernehmen muss. Natürlich sprechen wir nicht alle Verfahren im Detail durch. Wichtig ist es mir, die Risiken zu diskutieren, die am Ende der Erfassung übrig bleiben. Aber dazu später mehr.

Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, das Verfahrensverzeichnis für Sie zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen spreche ich direkt mit dem Geschäftsführer bzw. Inhaber und wir erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergebe ich die Dokumentation dann in die Hände der verantwortlichen Stelle.

Was gehört alles in ein Verfahrensverzeichnis?

Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.

  1. Name und Kontakt des Verantwortlichen
  2. Zweck der Verarbeitung, also das WARUM.
  3. Welche Personengruppen sind betroffen und welche Daten von ihnen
  4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  6. Vorgesehene Löschfristen der Daten (wenn möglich)
  7. allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)

Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, dann müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig. Im Verfahrensverzeichnis würde ich Ihnen empfehlen, dieses Verfahren zwei mal zu beschreiben. 

Datenschutz Verfahrensverzeichnis nach DSGVO
Pin it!

Gibt es „Standardverfahren“?

Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?

Haben Sie Mitarbeiter? Dann haben Sie natürlich immer alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite um nur zwei Verfahren zu nennen.

Weitere Beispiele stelle ich Ihnen gerne in einem separaten Artikel zusammen. Hier geht’s zum Artikel. 

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel Liste die folgende Spalten enthält:

  • Name des Verfahren
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.

Hier finden Sie eine Vorlage als Excel, die Sie gerne übernehmen können.

Update Mai 2019! Die Vorlage wurde überarbeitet, damit diese mit der Ergänzung der Datenschutzfolgeabschätzung (DSFA) zusammen passt.

Download Muster Verfahrensverzeichnis in Excel

Vor-ausgefülltes Verfahrensverzeichnis

Übrigens, ein vor-ausgefülltes Verfahrensverzeichnis mit über 20 Verfahren für Online- und Kleinunternehmer finden Sie in meinen Onlinekurs.

Vorgehensweise zur Befüllung

Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder allein oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für meine Kunden bevorzuge ich die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfrage ich ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.

Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.

Eine Anleitung mit Beispielen finden Sie auf meinem YouTube Kanal unter DSGVO Webinar: YouTube Kanal Regina Stoiber

Wie sind Ihre Erfahrungen?

Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?

Schreiben Sie mir einen Kommentar!

Brauchen Sie Unterstützung?

Wir begleiten Sie gerne bei der Umsetzung der DSGVO Anforderungen in Ihrem Unternehmen.
Lassen Sie mich und mein Team Ihre Mentoren sein!

DSB Mentoring Programm für Datenschutzbeauftragte und Verantwortliche.
DSB Mentoring Programm

Kostenlose Webinare zur DSGVO Umsetzung

Gerne zeige ich Ihnen in kostenlosen Webinaren, wie Sie die DSGVO Anforderungen in Ihrem Unternehmen umsetzen können.
Zu den aktuellen Terminen!

Bildquelle: Nietjuh@Pixabay

Diesen Beitrag teilen

Wer braucht einen Datenschutzbeauftragten?

Datenschutzbeauftragter DSGVO und BDSG (neu)

Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter GSDVO in den Unternehmen Unklarheit. Braucht ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?

Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.

Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.

Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!

Wann muss ein Datenschutzbeauftragter benannt werden?

Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.

Datenschutzbeauftragter DSGVO

Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur „Benennung“.

Artikel 37 listet folgende Punkte auf zur Benennung eines Datenschutzbeauftragten:

  • öffentliche Stellen (Ausnahme Gerichte)
  • wenn Sie im Rahmen ihres Kerngeschäfts Verarbeitungen durchführen, welche umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
  • wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (gemäß Artikel 9 und 10), darunter fallen Daten zur:
    • rassische und ethnische Herkunft
    • politische Meinungen
    • religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
  • und die Verarbeitung
    • genetischer und biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person
    • Gesundheitsdaten
    • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
  • Treffen diese Punkte bei Ihnen zu, dann lesen Sie unbedingt Artikel 9 im Gesamten, da die obige Liste nur eine Zusammenfassung der detaillierten Gesetzestexte darstellt.

Datenschutzbeauftragter BDSG (neu)

§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO, folgendermaßen:

  • wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben

Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung, Personalabteilung haben relativ schnell diese Grenze erreicht!

Unabhängig von dieser 10 Personen Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten:

  • verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen
  • für Zwecke der Markt- oder Meinungsforschung übermitteln (personenbezogen oder anonymisiert)

Wer darf die Aufgabe des Datenschutzbeauftragten übernehmen und wie sieht diese aus?

  • Artikel 37 Absatz 5 regelt, dass der Benannte DSB auf Grund seiner beruflichen Qualifikation und des Fachwissens auf diesem Gebiet benannt werden muss. Es muss also das fachliche Know How gewährleistet werden. Zudem muss er die in Artikel 39 genannten Anforderungen bewerten und erfüllen können. §7 des BDSG (neu) deckt sich weitgehend mit diesen Inhalten.

Aufgaben des DSB nach Artikel 39 DSGVO, §7 BDSG (neu)

  • Beratung des Unternehmens, welche gesetzlichen Pflichten des Datenschutzes umzusetzen sind
  • Überwachung der Einhaltung dieser Pflichten, sowie der Strategie zum Schutz der personenbezogenen Daten
  • Sensibilisieren der Mitarbeiter, die personenbezogene Daten verarbeiten
  • Beratung bei der Datenschutz-Folgeabschätzung und Überwachung der Durchführung (Artikel 35 DSGVO)
  • Zusammenarbeit mit der Aufsichtsbehörde und Kontaktperson für diese
  • Unterstützung bei der Risikobewertung der Verarbeitungsvorgänge

Interner oder externer Datenschutzbeauftragter DSGVO und BDSG (neu)

  • Diese Frage stellt sich für ein Unternehmen natürlich immer. Beides hat natürlich seine Berechtigung. Was ich hier zum Thema interner oder externer DSB schreibe, basiert natürlich rein auf meiner persönlichen Meinung und Erfahrung.

Wann ist ein interner Datenschutzbeauftragter sinnvoll?

  • Wenn Sie bereits eine Person im Haus haben, die das Thema fachlich vom bestehenden Know How mit zusätzlichen Schulungen stemmen kann. IT Background sollte vorhanden sein.
  • Wenn die Person tatsächlich genügend Ressourcen für die Ausübung dieser zusätzlichen Tätigkeit bekommt und das nicht „noch zusätzlich mitmachen“ soll.
  • Wenn ihr Unternehmen aufgrund der Anzahl der Mitarbeiter oder Ihrer Prozesse viel Abstimmung und Rückfragen des DSB’s benötigt.

Wann ist ein externer Datenschutz besser geeignet?

  • Wenn Sie nicht extra eine Person für den Datenschutz ausbilden, regelmäßig weiterbilden wollen und auch die Ressourcen und Kapazitäten dafür nicht haben.
  • Wenn Sie im Tagesgeschäft nicht viele Anfragen zum Thema Datenschutz erwarten.
  • Wenn Sie auf das Know How eines Externen zugreifen möchte, der aufgrund seiner Tätigkeit als DSB für mehrere Unternehmen viel Praxiserfahrung aufweisen kann.
  • Wenn Sie nach den gesetzlichen Anforderungen zwar einen DSB benötigen, aber aufgrund der Unternehmensgröße diesen intern nicht abbilden können.

Beide Varianten haben Ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.

 

 

Diesen Beitrag teilen