Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 127 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.5: Datenschutzhinweise für Bewerber Datenschutzhinweise für Bewerber der _________________________ Mit den nachfolgenden Informationen möchten wir Ihnen einen Überblick über die Verarbeitung Ihrer personenbezogenen Daten als Bewerber oder Bewerberin auf ein Stellenangebot oder im Rahmen einer Initiativbewerbu...mehr

Rz. 4 Die DSGVO führt mit Art. 5 Abs. 2, Art. 24 DSGVO die sog. Rechenschaftspflicht ein. Danach muss ein Unternehmen im erforderlichen Umfang interne technische und organisatorische Maßnahmen treffen, um gegenüber der Aufsichtsbehörde die Einhaltung der DSGVO nachweisen zu können. Der Umfang der zu treffenden Maßnahmen seitens des Verantwortlichen hängt davon ab, in welchem...mehr

Rz. 28 Vorab ist ein oft anzutreffendes Missverständnis im Zusammenhang mit der Pflicht zur Benennung eine Datenschutzbeauftragen aufzuklären. Diese Pflicht zur Bestellung eines Datenschutzbeauftragten besteht unabhängig von den Pflichten eines jeden Verantwortlichen zur Einhaltung aller datenschutzrechtlichen Bestimmungen bei der Verarbeitung personenbezogener Daten (Art. 5...mehr

Rz. 10 Weiterhin muss das Unternehmen die Umsetzung der Betroffenenrechte nach Art. 12 ff. DSGVO sicherstellen. Rz. 11 Dies betrifft insb. die Information der Betroffenen gemäß Art. 13, 14 DSGVO. Der Verantwortliche muss bei Datenerhebung dem Betroffenen aufzeigen, für welche Zwecke die Daten verwendet und an wen sie weitergegeben werden. Zudem sind die Löschregeln zu benenne...mehr

Rz. 138 Sofern die Daten (beispielsweise durch einen Tracking-Dienstleister) in einem Drittland (außerhalb der EU/des EWR) verarbeitet oder in ein Drittland übermittelt werden, so gelten nach Art. 44 DSGVO zusätzliche Anforderungen an die Datenverarbeitung. Mit den Vorschriften der Art. 44 ff. DSGVO möchte der Unionsgesetzgeber erreichen, dass das hohe Datenschutzniveau, das...mehr

Rz. 145 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.7: Datenschutzhinweise für eine Webseite Datenschutzhinweise In diesen Datenschutzhinweisen wird die Verarbeitung von personenbezogenen Daten im Rahmen der Nutzung der Webseite von _________________________ beschrieben. Zudem enthalten diese Informationen zu den Rechten, die Ihnen zustehen, und wie Sie uns ko...mehr

Rz. 123 Abweichend zu Art. 13 DSGVO sind im Rahmen von Art. 14 DSGVO die Kategorien der erhobenen personenbezogenen Daten anzugeben. Dies dient dazu, dem Betroffenen transparent aufzuzeigen, welche Daten der Verantwortliche erhoben hat, da er im Gegensatz zu Art. 13 DSGVO an der Erhebung nicht beteiligt war. Es genügt im Rahmen der Informationspflichten die allgemeine Angabe...mehr

Rz. 6 Zusätzlich ist nach Art. 30 DSGVO eine Dokumentation sämtlicher Datenverarbeitungsprozesse im Unternehmen erforderlich. Neben den allgemeinen Angaben zum Verantwortlichen muss das Unternehmen aufzeigen, welche Datenverarbeitungsprozesse bestehen. Im Rahmen der internen Dokumentation muss angegeben werden, welche Daten für welche Zwecke verarbeitet und an wen sie weiter...mehr

mehr

Rz. 100 Nach Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung von personenbezogenen Daten in für die betroffene Person nachvollziehbarer Weise erfolgen. Dieser Grundsatz der Transparenz wird in Art. 13 und 14 DSGVO konkretisiert, indem dem Verantwortlichen aktive Informationspflichten auferlegt werden. Hierbei wird unterschieden, ob die Daten direkt beim Betroffenen erhoben ...mehr

Rz. 36 Das Datenschutzrecht hat auch für Vereine insbesondere durch die Entwicklung der digitalen Medien und das Inkrafttreten der DSGVO eine zunehmende Bedeutung erlangt. Die Datenverarbeitung im Verein kann entweder aufgrund einer gesetzlichen Regelung oder einer Einwilligung durchgeführt werden. Art. 6 Abs. 1 lit. b) DSGVO erklärt die Datenverarbeitung dann für zulässig, ...mehr

Rz. 101 Nach Art. 12 Abs. 1 DSGVO sind die Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Informationserteilung erfolgt zudem nach Art. 12 Abs. 5 DSGVO unentgeltlich. Rz. 102 "In präziser, transparenter Form" bedeutet insbesondere, dass die Informationen ...mehr

Rz. 56 Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt. ...mehr

Rz. 125 Nach Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. a DSGVO entfällt die Pflicht zur Information des Betroffenen, sofern der Betroffene über die Informationen bereits verfügt. Im Falle der Erhebung der Daten nicht beim Betroffenen selbst bestehen nach Art. 14 Abs. 5 DSGVO darüber hinaus noch weitere Ausschlussgründe. Unter anderem ist dies der Fall, sofern sich die Erteilung...mehr

Rz. 73 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

Rz. 21 Weitere Regelungsbereiche einer Datenschutzrichtlinie können sein:mehr

Rz. 105 Art. 13 DSGVO erfasst den Fall, dass die Daten direkt beim Betroffenen erhoben werden. Gemeint ist damit, dass der Betroffene die unmittelbare Datenquelle darstellt. Dies kann entweder durch eine bewusste Übermittlung von Daten an einen Verantwortlichen durch den Betroffenen geschehen (Bsp.: Ausfüllen eines Formulars) oder durch das Beobachten des Betroffenen erfolge...mehr

Rz. 62 Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten. Rz. 63 Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertr...mehr

Rz. 124 Zusätzlich anzugeben ist im Rahmen von Art. 14 DSGVO die Herkunft der Daten. Hierbei sind die Quellen der Daten so exakt wie möglich anzugeben. Zudem ist darüber zu informieren, ob die Daten aus öffentlichen Quellen stammen. Die öffentlichen Quellen sind dabei zu benennen.[75]mehr

Rz. 71 Die Einhaltung der DSGVO erfordert auch einen adäquaten Schutz von personenbezogenen Daten vor Missbrauch und unbefugter Kenntnisnahme. Dies ist eine Aufgabe, die vom Verantwortlichen fortlaufend sicherzustellen ist. Die Aufgabe, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, trifft auch den Auftragsverarbeiter. Der Verantwortliche muss ...mehr

Rz. 131 Dem Besucher einer Webseite sind nach Art. 13 DSGVO Informationen zur Verfügung zu stellen, welche personenbezogenen Daten zu seiner Person erhoben und verarbeitet werden. Hierbei gelten die allgemeinen Vorgaben aus Art. 12 DSGVO , dass die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache z...mehr

Rz. 33 Zum Datenschutzbeauftragten kann nur bestellt werden, wer fachlich und charakterlich in der Lage ist, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Hierzu gehören die Unterrichtung des Verantwortlichen hinsichtlich der Pflichten nach der DSGVO bzw. dem BDSG, die Überwachung der Einhaltung von Datenschutzbestimmungen sowie eine Beratung im Hinblick auf die Daten...mehr

Rz. 106 Nach Art. 13 Abs. 1 DSGVO sind die Informationen dem Betroffen zum Zeitpunkt der Erhebung der Daten zu erteilen. Durch die Informationspflichten soll der Betroffene in die Lage versetzt werden, bestimmen und einschätzen zu können, wer was wann über sie weiß. Aus diesem Grund muss die Erteilung der Informationen nach Art. 13 DSGVO vor oder zumindest spätestens gleichz...mehr

Rz. 121 Art. 14 Abs. 3 lit. a DSGVO gibt hierzu vor, dass die Informationen nach Art. 14 DSGVO dem Betroffenen spätestens innerhalb eines Monats zur Verfügung zu stellen sind. Sofern die Daten zur Kommunikation mit dem Betroffenen genutzt werden sollen, verkürzt sich diese Frist auf den Zeitpunkt der ersten Mitteilung an den Betroffenen. Das gleiche gilt, sofern die Daten ei...mehr

Rz. 130 Bei der Verarbeitung von personenbezogenen Daten im Zusammenhang mit einer Webseite erfolgt die Datenerhebung direkt beim Betroffenen, sodass hinsichtlich der Informationspflichten Art. 13 DSGVO gilt. Zu den einzelnen Anforderungen der Informationspflicht nach Art. 13 DSGVO siehe Rdn 105 ff.mehr

Rz. 26 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.3: Beantwortung eines Auskunftsersuchens [Briefbogen des Verantwortlichen] Wenn unzustellbar, bitte zurück an _________________________ _________________________ [Anschrift Petent] _________________________ [Ort, Datum] Datenauskunft – Ihre Anfrage Sehr geehrte/r Frau/Herr _________________________, gerne kommen wi...mehr

Rz. 99 Der Geschäftsführer eines Unternehmens wünscht eine Beratung, inwiefern sein Unternehmen von den Informationspflichten der DSGVO betroffen ist und wie er insbesondere Bewerber oder Kunden nach der DSGVO zu informieren hat.mehr

Rz. 141 Sofern kein Angemessenheitsbeschluss besteht, darf der Verantwortliche die Daten nach Art. 46 DSGVO nur übermitteln, sofern er geeignete Garantien zur Sicherstellung des angemessenen Datenschutzniveaus gewährleistet. Art. 46 Abs. 2 DSGVO gibt einige Möglichkeiten für derartige geeignete Garantien vor. Die praxisrelevanteste Alternative sind die Standarddatenschutzkla...mehr

mehr

Rz. 87 Die Frist für die Meldung bei der Aufsichtsbehörde beträgt 72 Stunden nach Bekanntwerden der Verletzung. Nach Ansicht der Aufsichtsbehörden ist dem Verantwortlichen ein Vorfall bekannt, sofern eine hinreichende Gewissheit darüber besteht, dass ein Sicherheitsvorfall aufgetreten ist.[58] Letztlich hängt diese Frage auch von den konkreten Umständen der Datenschutzverlet...mehr

Rz. 9 Alle Mitarbeiter im Unternehmen dürfen personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten (vgl. Art. 29 DSGVO). Das Unternehmen muss entsprechende Schritte ergreifen, um sicherzustellen, dass die Mitarbeiter nur entsprechend der Weisung des Unternehmens personenbezogene Daten verarbeiten (vgl. Art. 32 Abs. 4 DSGVO). Ohne eine entsprechen...mehr

Rz. 82 Die DSGVO geht grundsätzlich von einer Meldepflicht gegenüber der Aufsichtsbehörde beim Vorliegen einer Verletzung des Schutzes personenbezogener Daten aus. Die Meldung gegenüber der Aufsichtsbehörde ist dann nicht erforderlich, sofern die Datenschutzverletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten des Betroffenen führt. Das Risiko, das Besteh...mehr

Rz. 90 Eine umgehende Information des Betroffenen über den Datenverlust ist nach Art. 34 Abs. 1 DSGVO im Fall eines voraussichtlich bestehenden hohen Risikos für die Rechte und Freiheiten für den Betroffenen erforderlich. Von dieser Benachrichtigungspflicht sieht Art. 34 Abs. 3 DSGVO Ausnahmen vor. Eine Meldung gegenüber dem Betroffenen ist nicht erforderlich, sofern durch t...mehr

Rz. 135 Die bei einem Webseitentracking anfallenden Daten sind personenbezogen im Sinne der DSGVO. Nach Art. 4 Nr. 1 DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Als identifizierbar wird dabei eine Person angesehen, wenn diese über die Zuordnung zu einer Online-Kennung identifiziert werden kann. Bei einem Webseit...mehr

Rz. 25 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.2: Verpflichtung zur Vertraulichkeit für Mitarbeiter Verpflichtung zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes Sehr geehrte/r Frau/Herr _________________________, da Sie im Rahmen Ihrer Tätigkeit voraussichtlich mit personenbezogenen Daten in Kontakt kommen, sind Sie zur Beachtung des Da...mehr

Rz. 53 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 44.4: Unternehmenskaufvertrag Unternehmenskaufvertrag zwischen _________________________ (nachfolgend auch "Verkäufer" genannt) und _________________________ (nachfolgend auch "Käufer" genannt) bezüglich _________________________ (Unternehmen) Vorbemerkung (1) Der Verkäufer, eine GmbH mit Sitz in ____________________...mehr

Rz. 85 Schuldner, die die eidesstattliche Versicherung auf die Vermögensauskunft abgegeben oder ohne hinreichende Rechtfertigung die Abnahme der Vermögensauskunft verweigert haben, sind nach Maßgabe der §§ 882b und 882c ZPO von Amts wegen in das Schuldnerverzeichnis einzutragen. Grundlage der Eintragung ist eine gesonderte Eintragungsanordnung des Gerichtsvollziehers. Solang...mehr

Rz. 39 Bei einer Ernennung muss zwischen den Positionen eines internen Datenschutzbeauftragten und eines externen Datenschutzbeauftragten unterschieden werden. Rz. 40 Der externe Datenschutzbeauftragte sollte auf Grundlage eines Dienstleistungsvertrags beauftragt werden. Diese Vereinbarung kann grundsätzlich auch mit einem Unternehmen abgeschlossen werden, das dann für den Ve...mehr

Rz. 1 Der Geschäftsführer eines Dienstleistungsunternehmens wünscht eine Beratung zur Frage, welche Maßnahmen und Vorkehrungen sein Unternehmen treffen muss, um den gesetzlichen Anforderungen der DSGVO zu genügen, und um möglicherweise drohende Bußgelder für sein Unternehmen zu vermeiden. Er will "Datenschutz-Compliance" im Unternehmen sicherstellen.mehr

mehr

Rz. 30 Ist von dem Betroffenen eine Videoaufzeichnung gefertigt worden, stellt sich die Frage, ob Videoaufnahmen, z.B. von einer Autobahnbrücke herab zur Überwachung des Straßenverkehrs im Rahmen einer Geschwindigkeitsmessung/Abstandsmessung einen Eingriff in das Recht auf informationelle Selbstbestimmung darstellen und somit das grundgesetzlich geschützte allgemeine Persönl...mehr

mehr

Rz. 80 Nach Art. 4 Nr. 12 DSGVO umfasst der Begriff Verletzung des Schutzes personenbezogener Daten die unbefugte Offenlegung von oder den unbefugten Zugang zu personenbezogenen Daten. Zudem ist auch die unbefugte Vernichtung, der Verlust oder die unbefugte Veränderung personenbezogener Daten als eine Verletzung des Schutzes personenbezogener Daten anzusehen. Regelmäßig wird...mehr

Rz. 136 Mit seiner Entscheidung in Sachen "Planet 49" hat der BGH inzwischen klargestellt, dass für den Einsatz von Cookies aufgrund einer europarechtskonformen Auslegung des seinerzeit geltenden TMG die vorherige Einwilligung des Webseitenbetreibers erforderlich ist.[81] Inzwischen hat der deutsche Gesetzgeber die Einwilligungspflicht für Zugriffe auf das Endgerät des Nutze...mehr

Rz. 24 Aufsichtsbehörden für den Datenschutz haben Muster zur Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO abgestimmt, die über nachfolgende Links abrufbar sind:mehr

Rz. 36 Der Verantwortliche muss dem Datenschutzbeauftragten ausreichend Zeit und auch Möglichkeiten für die Fortbildung einräumen. Für schwierige Fragestellungen kann es auch erforderlich sein, dass dem Datenschutzbeauftragten die Möglichkeit gegeben wird, Rechtsrat bei qualifizierten Anwälten einzuholen. Rz. 37 Der Datenschutzbeauftragte ist in seiner Aufgabenwahrnehmung fre...mehr

Rz. 120 Art. 14 DSGVO regelt die Informationspflichten des Verantwortlichen, sofern dieser Daten nicht von der betroffenen Person selbst erlangt. Denkbar ist insbesondere eine Datenerhebung aus allgemein zugänglichen Quellen, von Datenvermittlern und eine Übermittlung durch andere Verantwortliche. a) Zeitpunkt der Informationserteilung Rz. 121 Art. 14 Abs. 3 lit. a DSGVO gibt ...mehr

Rz. 56 Die Zulässigkeit einer Bildberichterstattung richtet sich auch nach Inkrafttreten der DSGVO [112] nach den §§ 22, 23 KUG. Grundsätzlich bedarf diese der Einwilligung. § 23 KUG sieht von dem Einwilligungserfordernis allerdings wesentliche Ausnahmen vor. Besteht ein öffentliches Interesse an einer Abbildung, weil diese zur allgemeinen Meinungsbildung beiträgt, ist diese ...mehr

Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 78 Mit der DSGVO hat der Gesetzgeber die Verpflichtung eingeführt, Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, möglichst aber binnen 72 Stunden zu melden. Darüber hinaus müssen Unternehmen eine solche Datenpanne den Betroffenen umgehend melden, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich ...mehr