Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Während die DSGVO eher allgemein von den Schutzzielen spricht, wird im BDSG in den Absätzen 2 und 3 des § 64 BDSG konkretisiert, wie diese Ziele in Bezug auf die IT-Anlagen erreicht werden sollen. Zwar ist § 64 BDSG nur für Justiz und Polizei anzuwenden, doch ergeben sich daraus auch Hinweise, wie die technischen und organisatorischen Maßnahmen in anderen Bereichen zu gestal...mehr

Es sind vertragliche Regelungen zu treffen, die es dem Auftraggeber erlauben, die Einhaltung der datenschutzrechtlichen Regelungen beim Auftragsverarbeiter vor Ort zu überprüfen. Das Inspektionsrecht hat das Ziel, die Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO bzw. dem BDSG vor Ort überprüfen zu können. Praxis-Beispiel Musterformulierung "Der ...mehr

Um die Mitarbeiter für den Datenschutz zu sensibilisieren, empfiehlt es sich, sie bereits bei der Einstellung auf die Einhaltung des Datengeheimnisses zu verpflichten, obwohl nach Art. 28 Abs. 3 lit. b DSGVO nur Auftragsverarbeiter ihre Mitarbeiter zur Vertraulichkeit verpflichten müssen. Zu Einzelheiten siehe Kap. 4 Verpflichtung der Mitarbeiter auf das Datengeheimnis.mehr

Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Wir verweisen auf die Ausführungen in Kap. 5 Auftragsverarbeitung. Praxis-Beispiel Musterformulierung "Die Auftragskontrolle ergibt sich aus der gesonderten Dokumentation der Auftragsverarbeitung, hierauf wird verwiesen."mehr

2.1 Grundätze Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlic...mehr

1.1 Bestellpflicht nach DSGVO und BDSG 1.1.1 Nach Art. 37 DSGVO Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres W...mehr

Durch die technischen und organisatorischen Maßnahmen sollen dauerhaft die Schutzziele Vertraulichkeit (Schutz vor unberechtigtem Zugriff), Integrität (keine unbefugte Änderung), Verfügbarkeit (ständige Erreichbarkeit/Einsatzfähigkeit bzw. keine unbefugte Veränderung der Funktionalität), Belastbarkeit der Systeme und Dienste (Widerstandsfähigkeit der IT im Fehlerfall, bei Störun...mehr

1.2.1 Qualifikation des Datenschutzbeauftragten Ein Datenschutzbeauftragter ist gemäß Art. 37 Abs. 5 DSGVO nach Maßgabe der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts sowie der Datenschutzpraxis und der Fähigkeit, die ihm nach Art. 39 DSGVO zugewiesenen Aufgaben zu erfüllen, zu benennen. Der zu benennende Datenschutzbeauftragte muss dem...mehr

Für die vom Auftragnehmer gespeicherten personenbezogenen Daten gelten die gleichen Löschpflichten, wie die vom Auftraggeber gespeicherten personenbezogenen Daten. Praxis-Beispiel Musterformulierung "Nach Abschluss der Datenverarbeitung löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht...mehr

2.1 Unabhängigkeit Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden. 2.2 Abberufungs- und Benachteiligungsverbot Des Weiteren besteht ein gesetzliches Abberufungs- und Benachteiligungsverbot (A...mehr

Wesentlich für die Gewährleistung des Datenschutzes und der Datensicherheit ist das Verhalten der Mitarbeiter. Die Mitarbeiter sollten jährlich durch Schulungen für den Datenschutz und die Datensicherheit sensibilisiert werden. Bei der Neueinstellung sollten sie auf das Datengeheimnis verpflichtet werden. 3.3.1 Verpflichtung auf das Datengeheimnis Um die Mitarbeiter für den Da...mehr

4.1 Grundsätze Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO und der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und auch nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Zur Erfüllung der Nachweispflichten ist es deshalb zu empfehlen, die Mitarbeiter schriftlich auf das Datengeheimnis zu verpfli...mehr

Werden personenbezogene Daten im Auftrag durch andere Personen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung vor (Art. 8 Abs. 1 DSGVO). Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Dem Auftragsverarbei...mehr

Es ist sicherzustellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Die Maßnahmen der Zugangskontrolle dienen auch der Übertragungskontrolle. Praxis-Beispiel Musterformulierung "Die Datenübertragung erfolgt grundsätzlich v...mehr

Unklar ist, wie weit der Auskunftsanspruch des Betroffenen und insbesondere die Aushändigung von Kopien geht. Nach Art. 15 Abs. 4 DSGVO ist das Recht auf Erhalt einer Kopie begrenzt, wenn dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden; darunter fallen nach Erwägungsgrund 63 Satz 5 auch Geschäftsgeheimnisse, geistiges Eigentum oder Urheberrechte an S...mehr

Zu unterschiedlichen Zwecken erhobene personenbezogene Daten müssen getrennt verarbeitet werden können. Das Trennungsgebot soll die zweckgebundene Verarbeitung personenbezogener Daten sicherstellen. Das bedeutet, dass zu unterschiedlichen Zwecken erfasste Daten nicht zusammengeführt und nur nach ihrer Zweckbestimmung getrennt voneinander verarbeitet werden dürfen. Getrennt w...mehr

Das Internet und die E-Mail-Dienste bieten für Betrüger große Vorteile, weil ohne großen Aufwand schnell eine große Anzahl von Menschen erreicht werden kann, und dies, ohne sich selbst zeigen zu müssen. Durch das Kapern von Kontaktdaten auf Servern können Kriminelle ihre Schadsoftware schnell weiterverbreiten. Letztlich basieren auch die Betrugsversuche im Internet auf den "...mehr

Der Datenschutzbeauftragte fungiert als "Anwalt der Betroffenen" und überwacht die Einhaltung der Datenschutzvorschriften. Operative Aufgaben treten dabei eher in den Hintergrund. Die Tätigkeit ist aufgrund des Schwerpunkts in der Überwachung zunehmend der Compliance zuzuordnen. Darüber hinaus berät er das Unternehmen und dessen Mitarbeiter zu Fragen des Datenschutzes. Er bi...mehr

Ohne eine ausreichende Kennzeichnung ist der Betrieb einer Videoüberwachung grundsätzlich unzulässig. Es muss sichergestellt sein, dass der Umstand der Videoüberwachung für Betroffene vor dem Betreten des überwachten Bereichs leicht erkennbar ist. Bei der Speicherung von Videoaufzeichnungen werden zudem die Informationspflichten nach Art. 13 DSGVO ausgelöst. Schilder mit nur...mehr

mehr

Bei der Pseudonymisierung wird ein Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt und damit die Identifizierung des Betroffenen ausgeschlossen oder zumindest erschwert. Werden Kundendaten zur Analyse des Kundenverhaltens für Zwecke der Marktforschung ausgewertet, werden hierfür die Namen der Kunden nicht benötigt und eine Pseudonymisierung ist sinn...mehr

Es muss nachträglich überprüft und festgestellt werden können, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Diese Vorgabe ist durch Protokollierungen zu gewährleisten (analog § 76 BDSG). Die Protokolle müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und,...mehr

Die Mitarbeiter des Auftragsverarbeiters sind auf Vertraulichkeit zu verpflichten. Es verwundert, dass die Mitarbeiter des Auftragnehmers auf die Verschwiegenheit zu verpflichten sind, während diese Verpflichtung für die Mitarbeiter des Auftraggebers nicht zwingend sein soll. Zu Einzelheiten der Verpflichtungserklärung vergleiche oben Kap. 4 Verpflichtung der Mitarbeiter auf...mehr

Nur Berechtigte dürfen Zugang zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten haben. Personenbezogene Daten sollen davor geschützt werden, bei der Verarbeitung, Nutzung oder nach ihrer Speicherung unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Damit hängt auch die Zugriffskontrolle eng mit der Zugangskontrolle zusammen. Zahlreiche Maßnah...mehr

Die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten ist zu verhindern. Instrumente der Speicherkontrolle sind: Festlegung von Berechtigungen in den IT-Systemen, Differenzierung der Berechtigungen (lesen, löschen und ändern), Verwaltung der Rechte durch Systemadministratoren, Minimi...mehr

Die eingesetzten IT-Systeme müssen im Störungsfall wiederhergestellt werden können. Die Daten sind zu dem Zeitpunkt wiederherzustellen, zu dem ein Ausfall erfolgt ist. Die Wiederherstellung nach einem Störfall erfordert nicht nur die Verfügbarkeit aktueller Datensicherungen, sondern es muss auch ein vordefinierter Plan vorhanden sein (Notfallplan), um Daten auf neuer Hardware...mehr

Gespeicherte personenbezogene Daten dürfen nicht durch Fehlfunktionen des Systems beschädigt werden können. Die Datenintegrität wird vor allem durch die Maßnahme "Zugangskontrolle" gewährleistet. Praxis-Beispiel Musterformulierung "Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten betroffener Personen d...mehr

Der Begriff "Malware" ist eine Zusammensetzung aus den englischen Wörtern malicious (bösartig) und software. Damit werden Computerprogramme bezeichnet, die vom Benutzer unerwünschte und ggf. schädliche Funktionen ausführen. "Malware" wird als Ober- oder Sammelbegriff verwendet, um die große Bandbreite an feindseliger und/oder unerwünschter Software zu beschreiben. Sie lassen...mehr

Bei der Verschlüsselung werden Daten in eine Form umgewandelt, die auch als "Chiffretext" bezeichnet werden kann und die von nicht autorisierten Personen ohne den passenden Code oder Schlüssel nicht zu verstehen ist. Bei der Entschlüsselung werden diese verschlüsselten Daten wieder in ihre ursprüngliche Form konvertiert, um sie lesbar zu machen. Es gibt verschiedene Verschlü...mehr

Folgende Rechte der Betroffenen können sich auf die Auftragsverarbeitung auswirken (vgl. Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5 Rechte der Betroffenen): Auskunftsrechte, Berichtigungs- und Vervollständigungsrechte, Löschungsrechte bzw. das Recht auf Einschränkung der Verarbeitung. Da der Auftragsverarbeiter quasi im Innenverhältnis für den Verantwortlichen...mehr

Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern ist zu verhindern. Die Datenträgerkontrolle dient der Sicherstellung, dass Übermittlungen von personenbezogenen Daten nur im Rahmen der Kompetenzen der berechtigten Personen möglich sind. Instrumente der Datenträgerkontrolle sind: das sichere Aufbewahren von Datenträgern, die Einrichtung von Standleitungen o...mehr

Die Benutzerkontrolle soll die Nutzung automatisierter Verarbeitungssysteme durch Unbefugte verhindern, z. B. durch die Vergabe von Passwörtern. Instrumente der Benutzerkontrolle sind: Festlegung der zugangsberechtigten Mitarbeiter, Authentifizierung mit Benutzername und Passwort, regelmäßige Kontrolle der vergebenen Berechtigungen, Sperrung von Berechtigungen ausscheidender Mita...mehr

Bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern ist die Vertraulichkeit und Integrität der Daten zu schützen. Auch beim Transport von Datenträgern ist sicherzustellen, dass diese nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Transporte physischer Datenträger betreffen i. d. R. den Transport von Datensicherungsmedien. Die ...mehr

Alle Funktionen des IT-Systems müssen zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Die Zuverlässigkeit ist ein Teilaspekt der Verfügbarkeitskontrolle. Unternehmen haben ein starkes Interesse daran, ihre IT-Systeme funktionsfähig zu halten und frühzeitig über auftretende Fehlfunktionen informiert zu werden. Informationen der Aufsichtsbehörden, wie die ...mehr

Bereits bei der Erhebung personenbezogener Daten treffen den Verantwortlichen Informationspflichten. Datenerhebung ist immer ein aktiver Prozess. Werden dem Unternehmen personenbezogene Daten offenbart, ohne dass es dazu aufgefordert hat (z. B. bei Blindbewerbungen), bestehen die Informationspflichten nicht. Man kann darüber diskutieren, wann eine Datenerhebung erfolgt. Ist ...mehr

Nach § 9b WEG wird die Gemeinschaft durch den Verwalter gerichtlich und außergerichtlich vertreten. Eine Einschränkung erfährt diese Vertretungsmacht im Außenverhältnis nur dadurch, dass vor dem Abschluss eines Grundstückskauf- oder Darlehensvertrags eine Beschlussfassung der Wohnungseigentümer erforderlich ist. Nach § 27 Abs. 1 WEG ist der Verwalter gegenüber der Gemeinscha...mehr

Leitsatz Ein Schadensersatzanspruch nach Datenschutzgrundverordnung (DSGVO) kommt nur bei Nachweis eines konkreten Schadens in Betracht. Sachverhalt Der Kläger machte Schadensersatzforderungen wegen einer Verletzung der datenschutzrechtlichen Rechten geltend. Diese Verletzung sah er im Wesentlichen in Bezug auf die Verarbeitung seiner personenbezogenen Daten durch das Finanza...mehr

Cookies sind kleine Textdateien, die auf dem Rechner der Nutzer abgelegt und vom Browser gespeichert werden. Sie ermöglichen eine Identifikation der Nutzer und können Aufschluss über das Surfverhalten geben. Neben Cookies gibt es noch weitere Technologien wie beispielsweise Pixel (Bilddateien) und Browser-Fingerprinting, die ebenfalls eine Auswertung des Nutzerverhaltens erm...mehr

Art. 83 DSGVO gibt die Bedingungen für die Verhängung und die maximale Bußgeldhöhe vor. Zusätzlich sind in § 43 Abs. 1 BDSG noch zwei bußgeldbewehrte Tatbestände aufgeführt: Es haftet, wer fahrlässig oder vorsätzlich einen Verstoß gegen das Auskunftsrecht des Betroffenen nach § 30 Abs. 1 BDSG zu vertreten hat oder entgegen § 30 Abs. 2 Satz 1 BDSG (Abschluss eines Verbraucherdar...mehr

Die DSGVO unterscheidet Informationen, die der betroffenen Person mitzuteilen (Art. 13 Abs. 1 DSGVO), und solchen, die zur Verfügung zu stellen sind. Welche Konsequenzen sich aus der "Mitteilung" bzw. der "Zurverfügungstellung" ergeben, ist weder aus den Erwägungsgründen der DSGVO noch aus den bisher veröffentlichten Verlautbarungen der Aufsichtsbehörden zu entnehmen. "Mitte...mehr

Überblick Werden personenbezogene Daten erhoben, ist der Betroffene darüber zu informieren, was mit seinen Daten geschieht, damit er die ihm zustehenden Rechte, insbesondere diejenigen aus Art. 15 ff. DSGVO, wahrnehmen kann. Bei den Informationspflichten ist zu unterscheiden, ob die personenbezogenen Daten beim Betroffenen direkt (Direkterhebung nach Art. 13 DSGVO) oder bei e...mehr

Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonderen Anforderungen an Form und Inhalt und ist auch nicht zu begründen. Nach Erwägungsgrund 63 DSGVO dient das Auskunftsrecht dem Zweck, dass sich der Betroffene der Verarbeitung bewusst wird und deren Rechtmäßigkeit überprüfen kann. Ist eine Verarbeitung erfolgt, besteht im Weiteren das Recht, eine...mehr

Phishing Phishing ist ein Neologismus und leitet sich aus dem englischen fishing (Angeln) ab. Hierbei versucht der Angreifer, sich über gefälschte Websites, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es z. B., an persönliche Daten eines Internetbenutzers zu gelangen (Zugänge Onlinebanking oder Online-Bezahlsystem...mehr

Der Zugang zu Verarbeitungsanlagen ist Unbefugten zu verwehren. Die Zugangskontrolle umfasst sowohl die Verhinderung des unberechtigten körperlichen Zutritts in Räumlichkeiten mit Datenverarbeitungsanlagen (Zutrittskontrolle) als auch das unbefugte Eindringen in Datenverarbeitungsanlagen. Hier geht es um den Schutz vor einer unbefugten Benutzung (Zugang) der Systeme, auf den...mehr

Personenbezogene Daten sind gegen Zerstörung oder Verlust zu schützen. Die Regelung zielt auf den Schutz der Daten vor zufälliger Zerstörung oder Verlust ab. Im Kern geht es um den sicheren Betrieb der Datenverarbeitungssysteme und ihren Schutz vor einem plötzlichen Systemausfall. Besonderes Augenmerk ist hierbei auf die Funktionsfähigkeit der Server und deren Absicherung zu ...mehr

Passwörter sind – wie bereits weiter oben dargestellt – das zentrale Element zur Zugangskontrolle von Nutzern bei der Anmeldung zu einer Anwendung, einem Web-Dienst oder einem Datenverarbeitungsgerät. Ein sicherer Umgang mit Passwörtern und ein sicheres Passwort sind deshalb entscheidend für die Datensicherheit. Achtung Sicherer Umgang mit Passwörtern Keine Doppelvergabe von P...mehr

In der DSGVO sind keine speziellen Regelungen zur Zulässigkeit der Beobachtung öffentlich zugänglicher Räume mittels optisch-elektronischer Einrichtungen (Videoüberwachung) enthalten. Maßgebliche Rechtsgrundlage ist im Regelfall das berechtigte Interesse gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Danach ist die Verarbeitung zulässig, wenn sie "zur Wahrung der berechtigten Inte...mehr

Nach den Vorgaben der DSGVO sind bei der Ermittlung der Löschfristen auch für Banken grundsätzlich die handels- und steuerrechtlichen Aufbewahrungsfristen maßgeblich (vgl. Art. 17 Abs. 3 lit. b DSGVO). Bei Sparbüchern, insbesondere in Loseblattsammlungen, kann es vorkommen, dass sie erst nach Jahren wieder gefunden werden oder seit dem letzten Eintrag neue Sparurkunden ohne E...mehr

Bei der Formulierung von Löschregeln für einzelne Datenarten kann ein hoher Analyseaufwand entstehen. Um den Aufwand möglichst gering zu halten und die begrenzten Kapazitäten zu schonen, empfiehlt es sich, Standardlöschfristen festzulegen. Die Zahl der Standardlöschfristen sollte auf ein Minimum begrenzt werden. Dies trägt zur Verringerung der Komplexität des Löschkonzepts u...mehr

Wie bereits in Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5.3 Löschungsrechte erwähnt, sind personenbezogene Daten gemäß Art. 17 DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Die Löschpflicht ergibt sich damit aus den Grundsätzen der Verarbeitung personenbezogener Date...mehr