Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Nach Art. 28 DSGVO sind bei Auftragsverarbeitungen folgende vertragliche Vereinbarungen zu treffen: Es muss ein schriftlich oder elektronisch dokumentierter Vertrag über die Auftragsverarbeitung vorliegen. Der Auftragsverarbeiter wird nur auf dokumentierte Weisung des Verantwortlichen handeln. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat ...mehr

mehr

Zur Prüfung und Dokumentation, ob die datenschutzrechtlichen Verpflichtungen bei Einschaltung eines Auftragsverarbeiters eingehalten sind, empfiehlt sich die Verwendung einer Checkliste. Mit dieser Checkliste kann dokumentiert werden, dass die Geeignetheit des Auftragnehmers vorab geprüft wurde und die – in der Regel von den Auftragnehmern vorbereiteten – vertraglichen Verei...mehr

Um die Mitarbeiter für den Datenschutz zu sensibilisieren, empfiehlt es sich, sie bereits bei der Einstellung auf die Einhaltung des Datengeheimnisses zu verpflichten, obwohl nach Art. 28 Abs. 3 lit. b DSGVO nur Auftragsverarbeiter ihre Mitarbeiter zur Vertraulichkeit verpflichten müssen. Zu Einzelheiten siehe Kap. 4 Verpflichtung der Mitarbeiter auf das Datengeheimnis.mehr

Eine weitere Hauptaufgabe ist die Überwachung der Einhaltung der Datenschutzvorgaben (Art. 39 Abs. 1 lit. b DSGVO). Dies ist im Sinne der Compliance des Unternehmens zu verstehen. Der Datenschutzbeauftragte bezieht in die Überwachung auch die Unternehmensstrategien zum Schutz personenbezogener Daten ein. Hierunter fallen auch die organisatorischen Zuständigkeiten sowie die V...mehr

Der Datenschutzbeauftragte ist gemäß den gesetzlichen Vorgaben ausschließlich und unmittelbar der höchsten Managementebene berichtspflichtig (Art. 38 Abs. 3 Satz 3 DSGVO). Eine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichts besteht nicht. Es ist allerdings empfehlenswert, dass der Datenschutzbeauftragte in regelmäßigen Abständen einen Bericht erstellt, um den Do...mehr

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der bestehenden Auftragsverarbeitungen zu führen. Hinweis Praxishinweis Es empfiehlt sich, die gesamten Unterlagen zur Auftragsverarbeitung an einer zentralen Stelle im Unternehmen aufzubewahren – entweder in einem separaten physischen Ordner (ggf. auch nur die Kopien der Vereinbarungen) oder im digitalen Archiv. Im Fall ...mehr

Verpflichtungserklärung zur Wahrung des Datengeheimnisses Sehr geehrter Herr ________ / Sehr geehrte Frau ________, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen sind Sie mit der Verarbeitung personenbezogener Daten befasst. Wir weisen Sie hiermit darauf hin, dass es Ihnen untersagt ist, personenbezogene Daten ...mehr

Gemäß Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorische...mehr

Während die DSGVO eher allgemein von den Schutzzielen spricht, wird im BDSG in den Absätzen 2 und 3 des § 64 BDSG konkretisiert, wie diese Ziele in Bezug auf die IT-Anlagen erreicht werden sollen. Zwar ist § 64 BDSG nur für Justiz und Polizei anzuwenden, doch ergeben sich daraus auch Hinweise, wie die technischen und organisatorischen Maßnahmen in anderen Bereichen zu gestal...mehr

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art. 39 Abs. 2 DSGVO). Diese Regelung bedingt die Unabhängigkeit des Datenschutzbeauftragten. Nur wenn er weisungsfrei darüber entscheiden kann, ...mehr

Gemäß Art. 37 Abs. 7 DSGVO muss der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Die Kontaktdaten sind sowohl innerhalb des Unternehmens (Intranet, Organigramm) als auch außerhalb, beispielsweise auf der Unternehmenshomepage, zu veröffentlichen, damit Betroffene mit dem Datenschutzbeauftragten...mehr

Es sind vertragliche Regelungen zu treffen, die es dem Auftraggeber erlauben, die Einhaltung der datenschutzrechtlichen Regelungen beim Auftragsverarbeiter vor Ort zu überprüfen. Das Inspektionsrecht hat das Ziel, die Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO bzw. dem BDSG vor Ort überprüfen zu können. Praxis-Beispiel Musterformulierung "Der ...mehr

Werden personenbezogene Daten im Auftrag durch andere Personen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung vor (Art. 8 Abs. 1 DSGVO). Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Dem Auftragsverarbei...mehr

1.2.1 Qualifikation des Datenschutzbeauftragten Ein Datenschutzbeauftragter ist gemäß Art. 37 Abs. 5 DSGVO nach Maßgabe der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts sowie der Datenschutzpraxis und der Fähigkeit, die ihm nach Art. 39 DSGVO zugewiesenen Aufgaben zu erfüllen, zu benennen. Der zu benennende Datenschutzbeauftragte muss dem...mehr

2.1 Unabhängigkeit Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden. 2.2 Abberufungs- und Benachteiligungsverbot Des Weiteren besteht ein gesetzliches Abberufungs- und Benachteiligungsverbot (A...mehr

2.1 Grundätze Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlic...mehr

4.1 Grundsätze Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO und der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und auch nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Zur Erfüllung der Nachweispflichten ist es deshalb zu empfehlen, die Mitarbeiter schriftlich auf das Datengeheimnis zu verpfli...mehr

Es ist sicherzustellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Die Maßnahmen der Zugangskontrolle dienen auch der Übertragungskontrolle. Praxis-Beispiel Musterformulierung "Die Datenübertragung erfolgt grundsätzlich v...mehr

1.1 Bestellpflicht nach DSGVO und BDSG 1.1.1 Nach Art. 37 DSGVO Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres W...mehr

Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Wir verweisen auf die Ausführungen in Kap. 5 Auftragsverarbeitung. Praxis-Beispiel Musterformulierung "Die Auftragskontrolle ergibt sich aus der gesonderten Dokumentation der Auftragsverarbeitung, hierauf wird verwiesen."mehr

Durch die technischen und organisatorischen Maßnahmen sollen dauerhaft die Schutzziele Vertraulichkeit (Schutz vor unberechtigtem Zugriff), Integrität (keine unbefugte Änderung), Verfügbarkeit (ständige Erreichbarkeit/Einsatzfähigkeit bzw. keine unbefugte Veränderung der Funktionalität), Belastbarkeit der Systeme und Dienste (Widerstandsfähigkeit der IT im Fehlerfall, bei Störun...mehr

Für die vom Auftragnehmer gespeicherten personenbezogenen Daten gelten die gleichen Löschpflichten, wie die vom Auftraggeber gespeicherten personenbezogenen Daten. Praxis-Beispiel Musterformulierung "Nach Abschluss der Datenverarbeitung löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht...mehr

Wesentlich für die Gewährleistung des Datenschutzes und der Datensicherheit ist das Verhalten der Mitarbeiter. Die Mitarbeiter sollten jährlich durch Schulungen für den Datenschutz und die Datensicherheit sensibilisiert werden. Bei der Neueinstellung sollten sie auf das Datengeheimnis verpflichtet werden. 3.3.1 Verpflichtung auf das Datengeheimnis Um die Mitarbeiter für den Da...mehr

Unklar ist, wie weit der Auskunftsanspruch des Betroffenen und insbesondere die Aushändigung von Kopien geht. Nach Art. 15 Abs. 4 DSGVO ist das Recht auf Erhalt einer Kopie begrenzt, wenn dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden; darunter fallen nach Erwägungsgrund 63 Satz 5 auch Geschäftsgeheimnisse, geistiges Eigentum oder Urheberrechte an S...mehr

Ohne eine ausreichende Kennzeichnung ist der Betrieb einer Videoüberwachung grundsätzlich unzulässig. Es muss sichergestellt sein, dass der Umstand der Videoüberwachung für Betroffene vor dem Betreten des überwachten Bereichs leicht erkennbar ist. Bei der Speicherung von Videoaufzeichnungen werden zudem die Informationspflichten nach Art. 13 DSGVO ausgelöst. Schilder mit nur...mehr

Der Begriff "Malware" ist eine Zusammensetzung aus den englischen Wörtern malicious (bösartig) und software. Damit werden Computerprogramme bezeichnet, die vom Benutzer unerwünschte und ggf. schädliche Funktionen ausführen. "Malware" wird als Ober- oder Sammelbegriff verwendet, um die große Bandbreite an feindseliger und/oder unerwünschter Software zu beschreiben. Sie lassen...mehr

Es muss nachträglich überprüft und festgestellt werden können, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Diese Vorgabe ist durch Protokollierungen zu gewährleisten (analog § 76 BDSG). Die Protokolle müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und,...mehr

mehr

Folgende Rechte der Betroffenen können sich auf die Auftragsverarbeitung auswirken (vgl. Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5 Rechte der Betroffenen): Auskunftsrechte, Berichtigungs- und Vervollständigungsrechte, Löschungsrechte bzw. das Recht auf Einschränkung der Verarbeitung. Da der Auftragsverarbeiter quasi im Innenverhältnis für den Verantwortlichen...mehr

Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern ist zu verhindern. Die Datenträgerkontrolle dient der Sicherstellung, dass Übermittlungen von personenbezogenen Daten nur im Rahmen der Kompetenzen der berechtigten Personen möglich sind. Instrumente der Datenträgerkontrolle sind: das sichere Aufbewahren von Datenträgern, die Einrichtung von Standleitungen o...mehr

Die Benutzerkontrolle soll die Nutzung automatisierter Verarbeitungssysteme durch Unbefugte verhindern, z. B. durch die Vergabe von Passwörtern. Instrumente der Benutzerkontrolle sind: Festlegung der zugangsberechtigten Mitarbeiter, Authentifizierung mit Benutzername und Passwort, regelmäßige Kontrolle der vergebenen Berechtigungen, Sperrung von Berechtigungen ausscheidender Mita...mehr

Bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern ist die Vertraulichkeit und Integrität der Daten zu schützen. Auch beim Transport von Datenträgern ist sicherzustellen, dass diese nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Transporte physischer Datenträger betreffen i. d. R. den Transport von Datensicherungsmedien. Die ...mehr

Alle Funktionen des IT-Systems müssen zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Die Zuverlässigkeit ist ein Teilaspekt der Verfügbarkeitskontrolle. Unternehmen haben ein starkes Interesse daran, ihre IT-Systeme funktionsfähig zu halten und frühzeitig über auftretende Fehlfunktionen informiert zu werden. Informationen der Aufsichtsbehörden, wie die ...mehr

Bei der Verschlüsselung werden Daten in eine Form umgewandelt, die auch als "Chiffretext" bezeichnet werden kann und die von nicht autorisierten Personen ohne den passenden Code oder Schlüssel nicht zu verstehen ist. Bei der Entschlüsselung werden diese verschlüsselten Daten wieder in ihre ursprüngliche Form konvertiert, um sie lesbar zu machen. Es gibt verschiedene Verschlü...mehr

Zu unterschiedlichen Zwecken erhobene personenbezogene Daten müssen getrennt verarbeitet werden können. Das Trennungsgebot soll die zweckgebundene Verarbeitung personenbezogener Daten sicherstellen. Das bedeutet, dass zu unterschiedlichen Zwecken erfasste Daten nicht zusammengeführt und nur nach ihrer Zweckbestimmung getrennt voneinander verarbeitet werden dürfen. Getrennt w...mehr

Das Internet und die E-Mail-Dienste bieten für Betrüger große Vorteile, weil ohne großen Aufwand schnell eine große Anzahl von Menschen erreicht werden kann, und dies, ohne sich selbst zeigen zu müssen. Durch das Kapern von Kontaktdaten auf Servern können Kriminelle ihre Schadsoftware schnell weiterverbreiten. Letztlich basieren auch die Betrugsversuche im Internet auf den "...mehr

Der Datenschutzbeauftragte fungiert als "Anwalt der Betroffenen" und überwacht die Einhaltung der Datenschutzvorschriften. Operative Aufgaben treten dabei eher in den Hintergrund. Die Tätigkeit ist aufgrund des Schwerpunkts in der Überwachung zunehmend der Compliance zuzuordnen. Darüber hinaus berät er das Unternehmen und dessen Mitarbeiter zu Fragen des Datenschutzes. Er bi...mehr

Bei der Pseudonymisierung wird ein Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt und damit die Identifizierung des Betroffenen ausgeschlossen oder zumindest erschwert. Werden Kundendaten zur Analyse des Kundenverhaltens für Zwecke der Marktforschung ausgewertet, werden hierfür die Namen der Kunden nicht benötigt und eine Pseudonymisierung ist sinn...mehr

Die Mitarbeiter des Auftragsverarbeiters sind auf Vertraulichkeit zu verpflichten. Es verwundert, dass die Mitarbeiter des Auftragnehmers auf die Verschwiegenheit zu verpflichten sind, während diese Verpflichtung für die Mitarbeiter des Auftraggebers nicht zwingend sein soll. Zu Einzelheiten der Verpflichtungserklärung vergleiche oben Kap. 4 Verpflichtung der Mitarbeiter auf...mehr

Nur Berechtigte dürfen Zugang zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten haben. Personenbezogene Daten sollen davor geschützt werden, bei der Verarbeitung, Nutzung oder nach ihrer Speicherung unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Damit hängt auch die Zugriffskontrolle eng mit der Zugangskontrolle zusammen. Zahlreiche Maßnah...mehr

Die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten ist zu verhindern. Instrumente der Speicherkontrolle sind: Festlegung von Berechtigungen in den IT-Systemen, Differenzierung der Berechtigungen (lesen, löschen und ändern), Verwaltung der Rechte durch Systemadministratoren, Minimi...mehr

Die eingesetzten IT-Systeme müssen im Störungsfall wiederhergestellt werden können. Die Daten sind zu dem Zeitpunkt wiederherzustellen, zu dem ein Ausfall erfolgt ist. Die Wiederherstellung nach einem Störfall erfordert nicht nur die Verfügbarkeit aktueller Datensicherungen, sondern es muss auch ein vordefinierter Plan vorhanden sein (Notfallplan), um Daten auf neuer Hardware...mehr

Gespeicherte personenbezogene Daten dürfen nicht durch Fehlfunktionen des Systems beschädigt werden können. Die Datenintegrität wird vor allem durch die Maßnahme "Zugangskontrolle" gewährleistet. Praxis-Beispiel Musterformulierung "Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten betroffener Personen d...mehr

Bereits bei der Erhebung personenbezogener Daten treffen den Verantwortlichen Informationspflichten. Datenerhebung ist immer ein aktiver Prozess. Werden dem Unternehmen personenbezogene Daten offenbart, ohne dass es dazu aufgefordert hat (z. B. bei Blindbewerbungen), bestehen die Informationspflichten nicht. Man kann darüber diskutieren, wann eine Datenerhebung erfolgt. Ist ...mehr

Nach § 9b WEG wird die Gemeinschaft durch den Verwalter gerichtlich und außergerichtlich vertreten. Eine Einschränkung erfährt diese Vertretungsmacht im Außenverhältnis nur dadurch, dass vor dem Abschluss eines Grundstückskauf- oder Darlehensvertrags eine Beschlussfassung der Wohnungseigentümer erforderlich ist. Nach § 27 Abs. 1 WEG ist der Verwalter gegenüber der Gemeinscha...mehr

Leitsatz Ein Schadensersatzanspruch nach Datenschutzgrundverordnung (DSGVO) kommt nur bei Nachweis eines konkreten Schadens in Betracht. Sachverhalt Der Kläger machte Schadensersatzforderungen wegen einer Verletzung der datenschutzrechtlichen Rechten geltend. Diese Verletzung sah er im Wesentlichen in Bezug auf die Verarbeitung seiner personenbezogenen Daten durch das Finanza...mehr

Art. 83 DSGVO gibt die Bedingungen für die Verhängung und die maximale Bußgeldhöhe vor. Zusätzlich sind in § 43 Abs. 1 BDSG noch zwei bußgeldbewehrte Tatbestände aufgeführt: Es haftet, wer fahrlässig oder vorsätzlich einen Verstoß gegen das Auskunftsrecht des Betroffenen nach § 30 Abs. 1 BDSG zu vertreten hat oder entgegen § 30 Abs. 2 Satz 1 BDSG (Abschluss eines Verbraucherdar...mehr

Die DSGVO unterscheidet Informationen, die der betroffenen Person mitzuteilen (Art. 13 Abs. 1 DSGVO), und solchen, die zur Verfügung zu stellen sind. Welche Konsequenzen sich aus der "Mitteilung" bzw. der "Zurverfügungstellung" ergeben, ist weder aus den Erwägungsgründen der DSGVO noch aus den bisher veröffentlichten Verlautbarungen der Aufsichtsbehörden zu entnehmen. "Mitte...mehr

Überblick Werden personenbezogene Daten erhoben, ist der Betroffene darüber zu informieren, was mit seinen Daten geschieht, damit er die ihm zustehenden Rechte, insbesondere diejenigen aus Art. 15 ff. DSGVO, wahrnehmen kann. Bei den Informationspflichten ist zu unterscheiden, ob die personenbezogenen Daten beim Betroffenen direkt (Direkterhebung nach Art. 13 DSGVO) oder bei e...mehr