Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, hat der Verantwortliche den Betroffenen vor dieser Weiterverarbeitung zu unterrichten. Eine Betroffenheit bei Wohnungsunternehmen könnte dann bestehen, wenn die Daten von Personen, die dem Wohnungsunternehmen im Rahmen der WEG-Verwaltung bekannt geworden sind, z...mehr

Der Verantwortliche hat vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung – insbesondere bei Verwendung neuer Technologien – voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen kann. Der D...mehr

Die getroffenen technischen und organisatorischen Maßnahmen sind zu dokumentieren. Schutzziele der Gesamtheit der getroffenen technischen und organisatorischen Maßnahmen sind die Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit (Art. 32 Abs. 1 DSGVO) und der Belastbarkeit der Maßnahmen/Systeme (engl. resilience). Nähere Angaben, wie die Belastbarkeit zu g...mehr

Auftragsverarbeiter: ______________________________________ Auftragsverhältnis: _______________________________________mehr

Die Maßnahmen zum Datenschutz sollen die personenbezogenen Daten von natürlichen Personen vor Missbrauch schützen. Die Datensicherheit zielt originär auf die zu schützenden Daten ab, ungeachtet ihrer Verwendung und ihres Informationsgehalts. Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine ang...mehr

Eine Einwilligung ist jede freiwillig und in informierter Weise (also in Kenntnis des geplanten Zwecks) und unmissverständlich abgegebene Willensbekundung des Betroffenen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der er zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Auch wenn eine s...mehr

Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen. Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein solches Verzeichnis zu führen, sofern die Verarbeitung personenbezogener Daten gelegentlich erfolgt und keine besonders schutzwürdigen pe...mehr

Bei der Direkterhebung sind folgende Informationen mitzuteilen: der Name bzw. die Firma und die Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, das berechtigte Interesse, falls die Datenerhebung auf einem berechtigten Interes...mehr

Dem Betroffenen sind folgende Informationen zur Verfügung zu stellen: die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer, die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit), das Recht zum jederzeitigen Widerruf einer Einwilligung und die Ta...mehr

Der Auftragsverarbeiter hat den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung seiner Pflichten bei erfolgten Datenschutzverletzungen und bei Datenschutz-Folgenabschätzung zu unterstützen. Einschlägig sind folgende gesetzliche Vorschriften: Art. 33 DSGVO: Meldung von Datenschutzverletzungen an d...mehr

"Pseudonymisierung" ist die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Pseudonymisierung ist nur gegeben, wenn die zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahme...mehr

Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss die Einhaltung nachweisen können. Daraus ergeben sich Dokumentationspflichten (vgl. Dokumentationspflichten).mehr

Für den Benutzer muss transparent sein, ob und welche personenbezogenen Daten erhoben und wie sie genutzt werden. Dies ergibt sich aus dem Transparenzprinzip, das zu den bereits genannten Informationspflichten führt. In der Datenschutzerklärung müssen demnach Ausführungen über Art, Umfang und Zweck der Onlineformulare enthalten sein. In den Formularen selbst muss auf die Date...mehr

Auftragsverarbeiter erheben, verarbeiten oder nutzen personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen. Die eigentlich betroffene Aufgabe/ Funktion verbleibt beim Auftraggeber. Bei der Auftragsverarbeitung bestehen besondere einzuhaltende vertragliche Pflichten. Zusätzlich bestehen Dokumentationspflichten. Auftragsverarbeitungen in der Wohnungswirtschaft...mehr

"Profiling" ist jede Art der automatisierten Verarbeitung, bei der personenbezogene Daten dazu verwendet werden, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, zu analysieren oder vorherzusagen. Das Profiling kann sich auf die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort ...mehr

Betroffene haben das Recht, vom Verantwortlichen eine Bestätigung zu verlangen, ob eine Verarbeitung personenbezogener Daten erfolgt ist. 2.1 Form und Inhalt des Auskunftsbegehrens Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonderen Anforderungen an Form und Inhalt und ist auch nicht zu begründen. Nach Erwägungsgrund 63 DSGVO dient das Auskunftsr...mehr

7.1 Berichtigung (Art. 16 DSGVO) Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden. Weiter kann verlangt werden, dass unter Berücksichtigung der Zwecke der Verarbeitung unvollständige personenbezogene Daten ggf. mittels ergänzender Erklärung vervollständigt werden. 7.2 Löschungsrechte (Art. 17 DSGVO) Sind Daten für die V...mehr

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Onlinekennung oder einem oder mehreren besonderen Merkmalen, ...mehr

Der Begriff der Verarbeitung ist weit gefasst. Damit wird jedes Verfahren (also auch solche ohne Einsatz elektronischer Datenverarbeitung) erfasst, mit dem personenbezogene Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, übermittelt, verbreitet, abgeglichen, verknüpft, gelöscht oder vernichtet werden.mehr

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Sicherheit verarbeiteter personenbezogener Daten unbeabsichtigt oder unrechtmäßig verletzt wird – durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung.mehr

Nach Art. 40 DSGVO können Verbände, die Verantwortliche oder Auftragsverarbeiter vertreten, Verhaltensregeln, mit denen die Anwendung der DSGVO präzisiert wird, ausarbeiten, ändern oder erweitern. Bisher sind solche Verhaltensregeln für die Dienstleister von Wohnungsunternehmen noch nicht herausgegeben worden.mehr

Überblick Der Verantwortliche, also das Geschäftsführungsorgan, ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Jederzeit muss der Nachweis erbracht werden können, dass bei der Verarbeitung dieser Daten die Datenschutzgrundsätze der DSGVO u...mehr

Zusammenfassung Überblick Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden: Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO), Pflichten bei der Auftragsverarbeitung, Informationspflichten bei der Datenerhebung, Auskunfts- und Berichtigungspflichten ...mehr

Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, bestehen grundsätzlich die gleichen Informationspflichten wie bei der Direkterhebung. Da die betroffene Person aber nicht an der Datenerhebung mitgewirkt hat und somit auch keine Kenntnis davon hat, welche personenbezogenen Daten erhoben wurden, ist der Verantwortliche nach Art. 14 Abs. 1 lit. d D...mehr

Stammdaten Name oder Firma der verantwortlichen Stelle ___________________________ Anschrift der verantwortlichen Stelle ___________________________ Datenschutzbeauftragter Externer Datenschutzbeauftragter bestellt über WTS Wohnungswirtschaftliche Treuhand Stuttgart GmbH Herdweg 52/54, 70174 Stuttgart Telefon: 0711/16345410 Mail: dsb-wts@wts-vbw.de Aufsichtsbehörde Der Landesbeauftrag...mehr

Es erscheint sinnvoll, ein Datenschutzkonzept zu erstellen und zu dokumentieren, das auf den Säulen Dokumentation, Information und Einzelfallprüfungen der entsprechenden Prozesse und ggf. Einschaltung eines internen oder externen Datenschutzbeauftragten beruht. Nach Art. 32 DSGVO sind alle Sicherungsmaßnahmen am Risiko auszurichten. Deshalb sollte zunächst eine Risikoanalyse...mehr

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten. 8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung Auftragsverarbeit...mehr

Erfolgt die Verarbeitung aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), ist die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation darüber zu informieren, dass sie der Verarbeitung widersprechen kann. Zu Einzelheiten des Widerspruchsrechts vergleiche Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5.5 Widerspruchsrechte und z...mehr

Teilweise installieren Bewohner eines Mehrparteienhauses eine Videoüberwachung in ihrer Wohnung. Wird eine Videoüberwachung von einer natürlichen Person ausschließlich zum Zweck "ausschließlich persönlicher und familiärer Interessen" betrieben, ist die Datenschutz-Grundverordnung nicht anwendbar. Dies ist aber nur dann der Fall, wenn die Videoüberwachung auf die eigenen Wohn...mehr

Gemäß Art. 35 DSGVO ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Form der Verarbeitung – insbesondere bei Verwendung neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Der Verantwo...mehr

Nach Art. 42 DSGVO ist vorgesehen, Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen einzuführen, um die Transparenz zu erhöhen und die Einhaltung der DSGVO zu verbessern. Durch diese Zertifizierungen soll den betroffenen Personen ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglicht werden. Die Zertifizierung...mehr

Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO und der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und auch nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Zur Erfüllung der Nachweispflichten ist es deshalb zu empfehlen, die Mitarbeiter schriftlich auf das Datengeheimnis zu verpflichten. Mitarbe...mehr

Auch im Hinblick auf die Bestellpflicht existiert eine Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO, die dem nationalen Gesetzgeber das Recht auf weitergehende Regelungen einräumt. Die Öffnungsklausel beschränkt den Gesetzgeber jedoch auf die Formulierung zusätzlicher Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Eine von der DSGVO abweichende ...mehr

In Art. 39 Abs. 1 lit. d und e DSGVO wird das Verhältnis des Datenschutzbeauftragten zur Aufsichtsbehörde bestimmt. Der Datenschutzbeauftragte hat mit der Aufsichtsbehörde zusammenzuarbeiten und dient als ihr direkter Ansprechpartner in Bezug auf die Verarbeitung personenbezogener Daten.mehr

Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen spezifischen Pflichten als Auftragsverarbeiter aus der DSGVO nicht nachgekommen ist oder rechtmäßig erteilte Anweisungen des für die Datenverarbeitung Verantwortlichen nicht beachtet oder gegen diese Anweisungen gehandelt hat.mehr

Der Datenschutzbeauftragte hat neben der Überwachungsfunktion insbesondere eine Beratungsfunktion. Nach Art. 39 Abs. 1 lit. a DSGVO berät und unterrichtet er die Unternehmensleitung und auch die Beschäftigten über die sich aus den datenschutzrechtlichen Vorschriften ergebenden Pflichten.mehr

Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden.mehr

In Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM) wird dargelegt, dass bei der Verarbeitung von personenbezogenen Daten immer ein dem Risiko angemessenes Schutzniveau zu gewährleisten ist. Daraus ergibt sich, dass sowohl die Aufzeichnungen selbst als auch die Übertragungswege von der Kamera bis zum Speichermedium insbesondere vor unbefugtem Z...mehr

Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, hat der Verantwortliche den Betroffenen vor dieser Weiterverarbeitung zu unterrichten. Die Pflicht könnte bei Wohnungsunternehmen allenfalls dann bestehen, wenn die dem Wohnungsunternehmen in einem anderen Zusammenhang bekannt gewordenen Daten (z. B. bei der WEG...mehr

Aus Art. 28 Abs. 1 DSGVO ergibt sich zunächst die Pflicht, die Geeignetheit eines Auftragsverarbeiters zu prüfen. Der Auftraggeber muss sich also vor Auftragserteilung darüber informieren, ob der Auftragnehmer in der Lage ist, die notwendigen technischen und organisatorischen Maßnahmen in geeigneter Weise umzusetzen und auf einem ausreichenden Stand zu halten. Dabei muss der...mehr

Ein Datenschutzbeauftragter ist gemäß Art. 37 Abs. 5 DSGVO nach Maßgabe der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts sowie der Datenschutzpraxis und der Fähigkeit, die ihm nach Art. 39 DSGVO zugewiesenen Aufgaben zu erfüllen, zu benennen. Der zu benennende Datenschutzbeauftragte muss dementsprechend über rechtliche, organisatorische ...mehr

Aufgaben des Datenschutzbeauftragten Vorangehend wurde bereits eine Kernaufgabe des Datenschutzbeauftragten als "Anwalt der Betroffenen" erwähnt. Die weiteren konkreten Aufgaben ergeben sich aus Art. 39 DSGVO: Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsich...mehr

Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlichkeit zu wahr...mehr

Merkblatt zur Verpflichtungserklärung Dieses Merkblatt soll Ihnen einen Überblick über die einzuhaltenden datenschutzrechtlichen Vorschriften geben. Die Darstellung ist nicht vollständig. Sollten Sie sich in Bezug auf die Einhaltung datenschutzrechtlicher Vorschriften nicht sicher sein, wenden Sie sich bitte an Ihren Vorgesetzten. Weiter...mehr

Die Bestellung des Datenschutzbeauftragten ist an keine besondere Form gebunden. Somit wäre auch eine mündliche Bestellung denkbar. Aus Gründen der Dokumentation und vor allem der Rechtssicherheit empfiehlt sich jedoch die schriftliche Bestellung. Musterschreiben: Bestellung zum Datenschutzbeauftragten Die _____________ eG / GmbH _______________________ (Straße und Hausnummer) _...mehr

Überblick Der betriebliche Datenschutzbeauftragte spielt auch in der EU-einheitlichen Gesetzgebung unter der DSGVO eine entscheidende Rolle in der betrieblichen Selbstkontrolle nichtöffentlicher Unternehmen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben. Das folgende Kapitel soll über die Pflicht zur Bestellung eines Datenschutzbeauftragten sowie dessen Rech...mehr

Der Auftraggeber und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und orga...mehr

Alternativ zur Bestellung eines betrieblichen Datenschutzbeauftragten auf Basis eines Beschäftigungsverhältnisses kann nach Art. 37 Abs. 6 DSGVO auch ein externer Datenschutzbeauftragter auf Grundlage eines Dienstvertrags bestellt werden. Eine Unternehmensgruppe (Konzern) kann einen gemeinsamen Datenschutzbeauftragten (Konzerndatenschutzbeauftragter) bestellen. Die Voraussetz...mehr

Art. 38 Abs. 1 und 2 DSGVO regeln den Anspruch des Datenschutzbeauftragten auf Einbindung und Unterstützung. Die verantwortliche Stelle und der Auftragsverarbeiter haben Folgendes sicherzustellen: Die ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen, Unterstützung bei der Erfüllung der Aufgaben nach Art. 39 DSGVO...mehr

Die dokumentierte Weisung umfasst die Beschreibung des Umfangs bzw. des Gegenstands der Dienstleistung des Auftragsverarbeiters, die Dauer des Auftragsverhältnisses und die Verpflichtung des Auftragnehmers, den Auftraggeber darauf hinzuweisen, wenn nach Auffassung des Auftragnehmers die Weisung gegen die datenschutzrechtlichen Bestimmungen verstößt. Musterformulierung: Dokument...mehr