Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen geahndet werden. Gemäß Art. 55 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland entscheiden also die deutschen Aufsichtsbehörden über die Verhängung von Geldbußen und ggf. weiterer Sanktionen. Aufgrund des föderalen Aufbaus sind dies die jeweiligen Aufsi...mehr

Die von der Datenverarbeitung betroffenen Personen können den Datenschutzbeauftragten zu allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte aus der Datenschutz-Grundverordnung zurate ziehen (Art. 38 Abs. 4 DSGVO). Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung...mehr

Des Weiteren besteht ein gesetzliches Abberufungs- und Benachteiligungsverbot (Art. 38 Abs. 3 Satz 2 DSGVO). Demnach darf der Datenschutzbeauftragte aufgrund seiner Tätigkeit nicht abberufen oder in anderer Weise benachteiligt werden. Das BDSG konkretisiert die Vorgaben der Datenschutz-Grundverordnung in § 6 Abs. 4. Diese Regelungen gelten jedoch nur, wenn die Bestellung verp...mehr

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können. Das Prinzip der Richtigkeit steht nach dem Erwägungsgrund 39 ...mehr

Personenbezogene Daten sind in einer Form zu speichern, die eine Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das "Recht auf Vergessenwerden" in Art. 17 Abs. 2 DSGVO besteht allerdings nur, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dies wird bei...mehr

"Unternehmen" ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform. Eine "Unternehmensgruppe" ist eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Jedes Unternehmen der Unternehmensgruppe wird als eigenständige Einheit behandelt und hat für ...mehr

Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige un...mehr

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.mehr

In allen Prozessen des Immobilienunternehmens, in denen personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO zu beachten. Einzuhaltende Prinzipien bei der Verarbeitung personenbezogener Daten 3.1 Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevan...mehr

Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen...mehr

Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevant sein. Dabei ist die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß zu beschränken. Bei der Datenerhebung ist deshalb zu fragen, welche Daten für den konkreten Verarbeitungszweck unbedingt benötigt werden. Nur diese Daten dürfen erhoben ...mehr

Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarb...mehr

Bei besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Fall einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen in Höhe von bis zu 20 Mio. EUR oder bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 DSGVO) möglich, wobei der jeweils...mehr

Nach Art. 15 DSGVO kann eine betroffene Person vom Verantwortlichen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person ein Auskunftsrecht bezüglich der sie betreffenden personenbezogenen Daten über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werde...mehr

Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet und die andere Stelle ist den Weisungen des Auftraggebers unterworfen, liegt eine Auftragsverarbeitung i. S. d. Art. 28 Abs. 1 DSGVO vor. Weitere Voraussetzung für eine Auftragsverarbeitung ist, dass der Auftragnehmer keine eigene Entscheidungsbefugnis hat, wie mit den zur Verfügung gestellten Daten um...mehr

Es können Geldbußen in Höhe von bis zu 10 Mio. EUR bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art. 83 Abs. 4 DSGVO), wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann. Mögliche Verstöße, die mit einem Bußgeld geahndet werden können, sind z. B.: unzulässige Weitergabe p...mehr

Bei einer Sperrung werden die personenbezogenen Daten nicht gelöscht, doch können sie nur noch für einen bestimmten Zweck verwendet werden (siehe DSGVO-Pflichten für Unternehmen, Kap. 7.3 Sperrung/ Einschränkung.mehr

Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden (siehe DSGVO-Pflichten für Unternehmen, Kap. 7.1 Berichtigung.mehr

"Verantwortlicher" ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Bei Kapitalgesellschaften oder Genossenschaften ist Verantwortlicher das Unternehmen, nicht die Geschäftsleitung. Das Geschäftsführungsorgan bestimmt zwar im Rahmen der Geschäftsführungsbefugnis die Orga...mehr

Betroffene können die Einschränkung der Verarbeitung verlangen, wenn die Richtigkeit der personenbezogenen Daten des Betroffenen bestritten wird, die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt, die personenbezogenen Daten für die Zwecke der V...mehr

Bei der Bemessung der Bußgelder gilt der Grundsatz, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Art. 83 Abs. 2 Satz 2 lit. a bis k DSGVO enthält eine Liste von Kriterien, die bei der Entscheidung über die Verhängung und die Höhe eines Bußgeldes im Einzelfall berücksichtigt werden. Bei der Bemessung müssen im Einzelnen berücksichtigt werden: Art, S...mehr

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Ein Schadenersatzanspruch besteht nicht, wenn der Verantwortliche oder sein Auftragsverarbeiter nachweisen, dass sie in keinerlei Hinsicht für den aufgetretenen Schaden verantwor...mehr

Überblick Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden: Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO), Pflichten bei der Auftragsverarbeitung, Informationspflichten bei der Datenerhebung, Auskunfts- und Berichtigungspflichten gegenüber Betro...mehr

Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden oder bei einem Dritten. Zu Einzelheiten siehe Informations- und Auskunftspflichten bei der Datenerhebung.mehr

Betroffene haben zahlreiche Rechte aus der DSGVO: Betroffenenrechte 3.5.1 Informations- und Benachrichtigungsrechte (Art. 13 und 14 DSGVO) Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden ...mehr

Ein Drittstaat ist nicht Mitglied der Europäischen Union. Eine Übermittlung von personenbezogenen Daten in ein Land außerhalb der Europäischen Union oder eine internationale Organisation ist nur unter den in den Artikeln 44 bis 50 DSGVO genannten Voraussetzungen zulässig.mehr

Der Betroffene hat das Recht, von einem Verarbeiter eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, besteht ein Auskunftsanspruch über diese Daten, die Verarbeitungszwecke, die Herkunft der verarbeiteten Daten, über Empfänger dieser Daten und über die Dauer der Speicherung. Zu Einzelheiten siehe Informatio...mehr

Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Besteht eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten (z. B. aus dem Handels- oder Steuerrecht), so is...mehr

Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden. Weiter kann verlangt werden, dass unter Berücksichtigung der Zwecke der Verarbeitung unvollständige personenbezogene Daten ggf. mittels ergänzender Erklärung vervollständigt werden.mehr

Betroffene haben Anspruch auf eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat. Damit kann der Betroffene seine Daten von einem Anbieter zu einem anderen "mitnehmen". Das Recht ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat. In der Praxis dürfte dieses neue Recht fü...mehr

1.1.1 Nach Art. 37 DSGVO Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zw...mehr

Erfolgt eine Verarbeitung im berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO), kann der Betroffene dagegen Widerspruch erheben. Bei einem berechtigten Widerspruch darf der Verantwortliche die Daten nicht mehr verarbeiten. Der Widerspruch ist zu begründen, da ein berechtigter Widerspruch voraussetzt, dass sich die Widerspruchsgründe aus der besonderen Situation des Betroff...mehr

Mitteilungspflicht Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, bestehen grundsätzlich die gleichen Informationspflichten wie bei der Direkterhebung. Da die betroffene Person aber nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis davon hat, welche personenbezogenen Daten erhoben wurden, ist der Verantwortliche nach Art. 14 Ab...mehr

Den Verantwortlichen treffen bereits bei der Erhebung personenbezogener Daten Informationspflichten gegenüber der betroffenen Person. Der Umfang der Informationspflichten ist davon abhängig, ob die personenbezogenen Daten direkt bei der betroffenen Person (Direkterhebung, Art. 13 DSGVO) oder bei einem Dritten (Dritterhebung, Art. 14 DSGVO) erhoben werden und ob die Verarbeit...mehr

Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Sollte aber eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten bestehen (z. B. aus dem Handels- oder Steuer...mehr

Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten dem Zweck nach angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Wichtig Nur notwendige Daten Die Formulare sollten nur Eingabefelder für solche Daten enthalten, die notwendig sind, um den Sinn und Zweck der Kontaktaufnahme zu erfüllen. Werden darüber hinaus weitere Anga...mehr

Durch geeignete technische und organisatorische Maßnahmen (vgl. Art. 25 und 32 DSGVO) ist eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Informationen, die ohne Verschlüsselung über das Internet gesendet werden, können während der Übertragung unberechtigt gelesen werden. Um die Integrität der erfassten Daten zu gewährleisten, sollten Kontaktformular...mehr

mehr

Betroffene haben unter bestimmten Voraussetzungen einen Anspruch darauf, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Betroffene kann damit seine Daten von einem Anbieter zu einem anderen "mitnehmen". Das Recht besteht bei jeder automatisierten Verarbeitung personenbezogener Daten auf der Basis e...mehr

Der Verantwortliche und der Auftragsverarbeiter haben nach Art. 37 DSGVO zwingend einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die ...mehr

Unter Direktwerbung versteht man die unmittelbare Ansprache von Zielpersonen, z. B. postalisch, per E-Mail, Telefon, Fax oder SMS. Bei Wohnungsunternehmen beschränkt sich die Direktwerbung von Kunden oder potenziellen Kunden hauptsächlich auf die Versendung von Werbung per Brief oder E-Mail. Dementsprechend wird im Folgenden ein besonderes Augenmerk auf diese beiden Kommunik...mehr

Will der Auftragsverarbeiter Subunternehmer (also weitere Auftragsverarbeiter) für die Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies der vorherigen schriftlichen Genehmigung durch den Verantwortlichen, sofern keine allgemeine Genehmigung vorliegt. Ist im Vertrag zwischen Auftraggeber und Auftragsverarbeiter eine allgemeine Genehmigung für den Einsatz v...mehr

Verantwortliche müssen nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten haben. Daraus ergeben sich Dokumentationspflichten. 8.1 Verfahrensverzeichnisse Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu ...mehr

Zusammenfassung Überblick Der betriebliche Datenschutzbeauftragte spielt auch in der EU-einheitlichen Gesetzgebung unter der DSGVO eine entscheidende Rolle in der betrieblichen Selbstkontrolle nichtöffentlicher Unternehmen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben. Das folgende Kapitel soll über die Pflicht zur Bestellung eines Datenschutzbeauftragten so...mehr

Zusammenfassung Überblick Der Verantwortliche, also das Geschäftsführungsorgan, ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Jederzeit muss der Nachweis erbracht werden können, dass bei der Verarbeitung dieser Daten die Datenschutzgrundsä...mehr

Mitzuteilen sind: der Name bzw. die Firma und die Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, das berechtigte Interesse, falls die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten ber...mehr

Verpflichtungen für Wohnungsunternehmen, die sich aus der DSGVO ergebenmehr

Kommt es zu Datenschutzverletzungen, hat der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen. Die Meldepflicht entfällt, wenn die Datenschutzverletzung voraussichtlich nich...mehr

"Betroffener" ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.mehr

"Empfänger" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden.mehr