Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Mitzuteilen sind: der Name bzw. die Firma und die Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, das berechtigte Interesse, falls die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten ber...mehr

"Betroffener" ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.mehr

"Empfänger" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden.mehr

Die Maßnahmen zum Datenschutz sollen die personenbezogenen Daten von natürlichen Personen vor Missbrauch schützen. Die Datensicherheit zielt originär auf die zu schützenden Daten ab, ungeachtet ihrer Verwendung und ihres Informationsgehalts. Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine ang...mehr

Eine Einwilligung ist jede freiwillig und in informierter Weise (also in Kenntnis des geplanten Zwecks) und unmissverständlich abgegebene Willensbekundung des Betroffenen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der er zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Auch wenn eine s...mehr

Dem Betroffenen sind folgende Informationen zur Verfügung zu stellen: die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer, die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit), das Recht zum jederzeitigen Widerruf einer Einwilligung und die Ta...mehr

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Onlinekennung oder einem oder mehreren besonderen Merkmalen, ...mehr

Der Begriff der Verarbeitung ist weit gefasst. Damit wird jedes Verfahren (also auch solche ohne Einsatz elektronischer Datenverarbeitung) erfasst, mit dem personenbezogene Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, übermittelt, verbreitet, abgeglichen, verknüpft, gelöscht oder vernichtet werden.mehr

"Pseudonymisierung" ist die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Pseudonymisierung ist nur gegeben, wenn die zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahme...mehr

Der Auftragsverarbeiter hat den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung seiner Pflichten bei erfolgten Datenschutzverletzungen und bei Datenschutz-Folgenabschätzung zu unterstützen. Einschlägig sind folgende gesetzliche Vorschriften: Art. 33 DSGVO: Meldung von Datenschutzverletzungen an d...mehr

Betroffene haben das Recht, vom Verantwortlichen eine Bestätigung zu verlangen, ob eine Verarbeitung personenbezogener Daten erfolgt ist. 2.1 Form und Inhalt des Auskunftsbegehrens Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonderen Anforderungen an Form und Inhalt und ist auch nicht zu begründen. Nach Erwägungsgrund 63 DSGVO dient das Auskunftsr...mehr

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Sicherheit verarbeiteter personenbezogener Daten unbeabsichtigt oder unrechtmäßig verletzt wird – durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung.mehr

Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss die Einhaltung nachweisen können. Daraus ergeben sich Dokumentationspflichten (vgl. Dokumentationspflichten).mehr

Für den Benutzer muss transparent sein, ob und welche personenbezogenen Daten erhoben und wie sie genutzt werden. Dies ergibt sich aus dem Transparenzprinzip, das zu den bereits genannten Informationspflichten führt. In der Datenschutzerklärung müssen demnach Ausführungen über Art, Umfang und Zweck der Onlineformulare enthalten sein. In den Formularen selbst muss auf die Date...mehr

Auftragsverarbeiter erheben, verarbeiten oder nutzen personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen. Die eigentlich betroffene Aufgabe/ Funktion verbleibt beim Auftraggeber. Bei der Auftragsverarbeitung bestehen besondere einzuhaltende vertragliche Pflichten. Zusätzlich bestehen Dokumentationspflichten. Auftragsverarbeitungen in der Wohnungswirtschaft...mehr

"Profiling" ist jede Art der automatisierten Verarbeitung, bei der personenbezogene Daten dazu verwendet werden, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, zu analysieren oder vorherzusagen. Das Profiling kann sich auf die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort ...mehr

Überblick Der Verantwortliche, also das Geschäftsführungsorgan, ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Jederzeit muss der Nachweis erbracht werden können, dass bei der Verarbeitung dieser Daten die Datenschutzgrundsätze der DSGVO u...mehr

Nach Art. 40 DSGVO können Verbände, die Verantwortliche oder Auftragsverarbeiter vertreten, Verhaltensregeln, mit denen die Anwendung der DSGVO präzisiert wird, ausarbeiten, ändern oder erweitern. Bisher sind solche Verhaltensregeln für die Dienstleister von Wohnungsunternehmen noch nicht herausgegeben worden.mehr

Teilweise installieren Bewohner eines Mehrparteienhauses eine Videoüberwachung in ihrer Wohnung. Wird eine Videoüberwachung von einer natürlichen Person ausschließlich zum Zweck "ausschließlich persönlicher und familiärer Interessen" betrieben, ist die Datenschutz-Grundverordnung nicht anwendbar. Dies ist aber nur dann der Fall, wenn die Videoüberwachung auf die eigenen Wohn...mehr

Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO und der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und auch nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Zur Erfüllung der Nachweispflichten ist es deshalb zu empfehlen, die Mitarbeiter schriftlich auf das Datengeheimnis zu verpflichten. Mitarbe...mehr

Gemäß Art. 35 DSGVO ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Form der Verarbeitung – insbesondere bei Verwendung neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Der Verantwo...mehr

Nach Art. 42 DSGVO ist vorgesehen, Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen einzuführen, um die Transparenz zu erhöhen und die Einhaltung der DSGVO zu verbessern. Durch diese Zertifizierungen soll den betroffenen Personen ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglicht werden. Die Zertifizierung...mehr

In Art. 39 Abs. 1 lit. d und e DSGVO wird das Verhältnis des Datenschutzbeauftragten zur Aufsichtsbehörde bestimmt. Der Datenschutzbeauftragte hat mit der Aufsichtsbehörde zusammenzuarbeiten und dient als ihr direkter Ansprechpartner in Bezug auf die Verarbeitung personenbezogener Daten.mehr

Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen spezifischen Pflichten als Auftragsverarbeiter aus der DSGVO nicht nachgekommen ist oder rechtmäßig erteilte Anweisungen des für die Datenverarbeitung Verantwortlichen nicht beachtet oder gegen diese Anweisungen gehandelt hat.mehr

Der Datenschutzbeauftragte hat neben der Überwachungsfunktion insbesondere eine Beratungsfunktion. Nach Art. 39 Abs. 1 lit. a DSGVO berät und unterrichtet er die Unternehmensleitung und auch die Beschäftigten über die sich aus den datenschutzrechtlichen Vorschriften ergebenden Pflichten.mehr

In Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM) wird dargelegt, dass bei der Verarbeitung von personenbezogenen Daten immer ein dem Risiko angemessenes Schutzniveau zu gewährleisten ist. Daraus ergibt sich, dass sowohl die Aufzeichnungen selbst als auch die Übertragungswege von der Kamera bis zum Speichermedium insbesondere vor unbefugtem Z...mehr

Auch im Hinblick auf die Bestellpflicht existiert eine Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO, die dem nationalen Gesetzgeber das Recht auf weitergehende Regelungen einräumt. Die Öffnungsklausel beschränkt den Gesetzgeber jedoch auf die Formulierung zusätzlicher Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Eine von der DSGVO abweichende ...mehr

Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, hat der Verantwortliche den Betroffenen vor dieser Weiterverarbeitung zu unterrichten. Die Pflicht könnte bei Wohnungsunternehmen allenfalls dann bestehen, wenn die dem Wohnungsunternehmen in einem anderen Zusammenhang bekannt gewordenen Daten (z. B. bei der WEG...mehr

Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden.mehr

Aufgaben des Datenschutzbeauftragten Vorangehend wurde bereits eine Kernaufgabe des Datenschutzbeauftragten als "Anwalt der Betroffenen" erwähnt. Die weiteren konkreten Aufgaben ergeben sich aus Art. 39 DSGVO: Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsich...mehr

Aus Art. 28 Abs. 1 DSGVO ergibt sich zunächst die Pflicht, die Geeignetheit eines Auftragsverarbeiters zu prüfen. Der Auftraggeber muss sich also vor Auftragserteilung darüber informieren, ob der Auftragnehmer in der Lage ist, die notwendigen technischen und organisatorischen Maßnahmen in geeigneter Weise umzusetzen und auf einem ausreichenden Stand zu halten. Dabei muss der...mehr

Ein Datenschutzbeauftragter ist gemäß Art. 37 Abs. 5 DSGVO nach Maßgabe der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts sowie der Datenschutzpraxis und der Fähigkeit, die ihm nach Art. 39 DSGVO zugewiesenen Aufgaben zu erfüllen, zu benennen. Der zu benennende Datenschutzbeauftragte muss dementsprechend über rechtliche, organisatorische ...mehr

Merkblatt zur Verpflichtungserklärung Dieses Merkblatt soll Ihnen einen Überblick über die einzuhaltenden datenschutzrechtlichen Vorschriften geben. Die Darstellung ist nicht vollständig. Sollten Sie sich in Bezug auf die Einhaltung datenschutzrechtlicher Vorschriften nicht sicher sein, wenden Sie sich bitte an Ihren Vorgesetzten. Weiter...mehr

Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlichkeit zu wahr...mehr

Die Bestellung des Datenschutzbeauftragten ist an keine besondere Form gebunden. Somit wäre auch eine mündliche Bestellung denkbar. Aus Gründen der Dokumentation und vor allem der Rechtssicherheit empfiehlt sich jedoch die schriftliche Bestellung. Musterschreiben: Bestellung zum Datenschutzbeauftragten Die _____________ eG / GmbH _______________________ (Straße und Hausnummer) _...mehr

Die dokumentierte Weisung umfasst die Beschreibung des Umfangs bzw. des Gegenstands der Dienstleistung des Auftragsverarbeiters, die Dauer des Auftragsverhältnisses und die Verpflichtung des Auftragnehmers, den Auftraggeber darauf hinzuweisen, wenn nach Auffassung des Auftragnehmers die Weisung gegen die datenschutzrechtlichen Bestimmungen verstößt. Musterformulierung: Dokument...mehr

Der Auftraggeber und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und orga...mehr

Alternativ zur Bestellung eines betrieblichen Datenschutzbeauftragten auf Basis eines Beschäftigungsverhältnisses kann nach Art. 37 Abs. 6 DSGVO auch ein externer Datenschutzbeauftragter auf Grundlage eines Dienstvertrags bestellt werden. Eine Unternehmensgruppe (Konzern) kann einen gemeinsamen Datenschutzbeauftragten (Konzerndatenschutzbeauftragter) bestellen. Die Voraussetz...mehr

Überblick Der betriebliche Datenschutzbeauftragte spielt auch in der EU-einheitlichen Gesetzgebung unter der DSGVO eine entscheidende Rolle in der betrieblichen Selbstkontrolle nichtöffentlicher Unternehmen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben. Das folgende Kapitel soll über die Pflicht zur Bestellung eines Datenschutzbeauftragten sowie dessen Rech...mehr

Art. 38 Abs. 1 und 2 DSGVO regeln den Anspruch des Datenschutzbeauftragten auf Einbindung und Unterstützung. Die verantwortliche Stelle und der Auftragsverarbeiter haben Folgendes sicherzustellen: Die ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen, Unterstützung bei der Erfüllung der Aufgaben nach Art. 39 DSGVO...mehr

Nach Art. 28 DSGVO sind bei Auftragsverarbeitungen folgende vertragliche Vereinbarungen zu treffen: Es muss ein schriftlich oder elektronisch dokumentierter Vertrag über die Auftragsverarbeitung vorliegen. Der Auftragsverarbeiter wird nur auf dokumentierte Weisung des Verantwortlichen handeln. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat ...mehr

mehr

Zur Prüfung und Dokumentation, ob die datenschutzrechtlichen Verpflichtungen bei Einschaltung eines Auftragsverarbeiters eingehalten sind, empfiehlt sich die Verwendung einer Checkliste. Mit dieser Checkliste kann dokumentiert werden, dass die Geeignetheit des Auftragnehmers vorab geprüft wurde und die – in der Regel von den Auftragnehmern vorbereiteten – vertraglichen Verei...mehr

Eine weitere Hauptaufgabe ist die Überwachung der Einhaltung der Datenschutzvorgaben (Art. 39 Abs. 1 lit. b DSGVO). Dies ist im Sinne der Compliance des Unternehmens zu verstehen. Der Datenschutzbeauftragte bezieht in die Überwachung auch die Unternehmensstrategien zum Schutz personenbezogener Daten ein. Hierunter fallen auch die organisatorischen Zuständigkeiten sowie die V...mehr

Gemäß Art. 37 Abs. 7 DSGVO muss der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Die Kontaktdaten sind sowohl innerhalb des Unternehmens (Intranet, Organigramm) als auch außerhalb, beispielsweise auf der Unternehmenshomepage, zu veröffentlichen, damit Betroffene mit dem Datenschutzbeauftragten...mehr

Der Datenschutzbeauftragte ist gemäß den gesetzlichen Vorgaben ausschließlich und unmittelbar der höchsten Managementebene berichtspflichtig (Art. 38 Abs. 3 Satz 3 DSGVO). Eine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichts besteht nicht. Es ist allerdings empfehlenswert, dass der Datenschutzbeauftragte in regelmäßigen Abständen einen Bericht erstellt, um den Do...mehr

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der bestehenden Auftragsverarbeitungen zu führen. Hinweis Praxishinweis Es empfiehlt sich, die gesamten Unterlagen zur Auftragsverarbeitung an einer zentralen Stelle im Unternehmen aufzubewahren – entweder in einem separaten physischen Ordner (ggf. auch nur die Kopien der Vereinbarungen) oder im digitalen Archiv. Im Fall ...mehr

Verpflichtungserklärung zur Wahrung des Datengeheimnisses Sehr geehrter Herr ________ / Sehr geehrte Frau ________, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen sind Sie mit der Verarbeitung personenbezogener Daten befasst. Wir weisen Sie hiermit darauf hin, dass es Ihnen untersagt ist, personenbezogene Daten ...mehr

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art. 39 Abs. 2 DSGVO). Diese Regelung bedingt die Unabhängigkeit des Datenschutzbeauftragten. Nur wenn er weisungsfrei darüber entscheiden kann, ...mehr

Gemäß Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorische...mehr