Information über die Rechte betroffener Personen

Die DS-GVO fordert, die betroffenen Personen bezüglich der Datenverarbeitung zu informieren. Diese Informationen können unterschiedlich ausfallen, je nach Art und Wesen der Verarbeitung. Um diese Informationen zusammenzutragen, nutzen Sie bitte unser Formular „Datenschutzhinweis“. Was jedoch immer gleich bleibt, sind die Rechte, die sich für die betroffene Person aus der Datenverarbeitung ergeben. Diesbezüglich können Sie daher Read more about Information über die Rechte betroffener Personen[…]

Hurra, der 25.5. ist da!

Nun ist es soweit: Die DS-GVO gilt. Ab heute. Endlich. Zur Begrüßung der „neuen“ Verordnung hier noch einmal in aller Kürze Ihre Checkliste der wichtigsten ToDos: Melden Sie Ihren DSB bei der Aufsichtsbehörde (geht online bei den jeweiligen Aufsichtsbehörden – Achtung, manchmal ist das Zeitfenster eng, Bayern z.B.: bis 31.8.18) Aktualisieren Sie die Datenschutzerklärung Ihrer Read more about Hurra, der 25.5. ist da![…]

Information vs. Einwilligung

Die DS-GVO verlangt Transparenz, wir hatten in unseren Newsletter an verschiedenen Stellen darauf hingewiesen und haben auch zwei Dokumente zum Thema (Datenschutzhinweise) auf unserer Website. Diese Information ist immer dann notwendig, wenn sie nicht bereits vorhanden ist (wenn es z.B. Betriebsvereinbarungen gibt, die informieren, muss nicht noch einmal informiert werden). In Abgrenzung zu der Information, Read more about Information vs. Einwilligung[…]

Newsletter – was ist da los?

Kein Tag vergeht, an dem einen nicht zahlreiche E-Mails erreichen die darum werben, eine Einwilligung zum weiteren Erhalt bereits seit Jahren versendeter Newsletter zu erhalten. Dazu ist Folgendes zu sagen: In der Vergangenheit konnten Newsletter auf zwei mögliche Arten rechtmäßig versendet werden. Entweder im Rahmen einer Einwilligung oder aber aufgrund des berechtigten Interesses einer Firma, Read more about Newsletter – was ist da los?[…]

Meldung des DSB an die Aufsichtsbehörde

Gemäß Art. 37 Abs. 7 DS-GVO müssen verantwortliche Verarbeiter ihren Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden. Hierzu haben die Behörden Online-Meldeformulare eingerichtet. Bitte nutzen Sie diese Formulare. Für die Kunden in Hessen fügen wir hier den Link zum Formular ein: datenschutz.hessen.de/service/benennung-eines-datenschutzbeauftragten

VVA oder AVV – brauche ich eine solche Vereinbarung?

Beide Kürzel meinen im Prinzip das Gleiche: Eine Vereinbarung, die ein Auftraggeber (AG) mit einem Auftragnehmer (AN) abschließt, wenn er diesem Daten zur Bearbeitung übergibt, ohne damit auch die Verantwortung für diese Verarbeitung zu übertragen. Der Verantwortliche bleibt also der AG, der AN handelt weisungsgebunden. Daraus ergibt sich denknotwendigerweise, dass der AG vorschreibt, was wie Read more about VVA oder AVV – brauche ich eine solche Vereinbarung?[…]

Beispiele zur Auftragsverarbeitung

Folgendes ist ganz sicher keine Auftragsverarbeitung: Die Datenübergabe innerhalb eines ganz normalen Handelsgeschäftes (Kunde übergibt dem Verkäufer Daten, damit dieser in der Lage ist abzurechnen). Dieser Vorgang ist einfach geschäftsnotwendig, der Erlaubnistatbestand ist Art. 6 Abs. 1 lit b DS-GVO. – Es bedarf KEINER Vereinbarung. Folgendes ist ganz sicher eine Auftragsverarbeitung: Kunde beauftragt eine Drittfirma Read more about Beispiele zur Auftragsverarbeitung[…]

Die Verarbeitung im Auftrag

Große Unsicherheit besteht zur Zeit hinsichtlich eines Konstruktes, das bereits im BDSG existierte, im Rahmen der DS-GVO jedoch einen ungeahnten Boom erlebt: Die Verarbeitung im Auftrag (AV) die, soll sie denn durchgeführt werden, ihrerseits eine Vereinbarung zur Verarbeitung im Auftrag (VVA) oder einen Auftragsverarbeitung-Vertrag (AVV) nach sich zieht. Beide letztgenannten Begriffe meinen das Gleiche. Ehe Read more about Die Verarbeitung im Auftrag[…]

Technische und organisatorische Maßnahmen (TOMs)

Zu jeder Verarbeitung gehören auch die technischen und organisatorischen Maßnahmen vor deren Hintergrund die jeweilige Verarbeitung durchgeführt wird. Diese werden üblicherweise in einer Art Checkliste abgefragt, das Dokument dazu ist auf unserer Website zu finden. Nun ist es nicht so, dass jede Verarbeitung zwangsläufig ihre eigenen TOMs benötigt, sondern vielmehr so, dass es n den Read more about Technische und organisatorische Maßnahmen (TOMs)[…]

Die Zweckänderung

Wie Sie, als datenschutzrechtliche geschulte Kunden, natürlich wissen, dürfen Daten grundsätzlich nur zu den Zwecken, zu denen diese ursächlich erhoben worden sind, verarbeitet werden. Allerdings kann es von diesem Grundsatz auch Ausnahmen geben, eine Möglichkeit, die in der DS-GVO exakt so vorgesehen ist. Selbstverständlich ist eine solche Zweckänderung jedoch nur unter ganz bestimmten Umständen statthaft Read more about Die Zweckänderung[…]

Das Incident-Response-Management

Ähnlich wie bei dem zuvor beschriebenen Datenschutzmanagement verhält es sich mit dem Incident Response Management. Auch dieses ist mit Blick auf die Verhältnismäßigkeit auszugestalten, auch dieses wird in den TOMs abgefragt. Dabei geht es hier darum, einen Plan zu haben, der das Vorgehen bei Offensichtlichwerden eines Datenschutzvorfalls regelt. Welche Meldeketten es gibt. Wer sich um Read more about Das Incident-Response-Management[…]

Das Datenschutzmanagement

Einer der Punkte, die in den aktuellen Versionen der technischen und organisatorischen Maßnahmen (TOMs, siehe oben) abgefragt werden, ist das Vorhandensein eines Datenschutzmanagements. Wie bei allen Tools, die sich die DS-GVO so ausgedacht hat, sollte einem auch bei diesem gegenwärtig sein, dass die DS-GVO als Werkzeug auch solche Unternehmen wie Facebook und Google einzufangen im Read more about Das Datenschutzmanagement[…]

Erlaubnistatbestände im Beschäftigtendatenschutz 2

So der § 26 BDSG-neu (siehe vorangegangener Eintrag) nicht zum Einsatz kommen kann (weil die Datenverarbeitung nicht notwendig ist und der für die BV notwendige Betriebsrat nicht existiert zum Beispiel), so kommen als Erlaubnistatbestände noch das berechtigte Interesse und die Einzeleinwilligung in Frage. Beide sind jedoch recht schwierig auszugestalten: Während die Einzeleinwilligung zwar ausdrücklich gestattet Read more about Erlaubnistatbestände im Beschäftigtendatenschutz 2[…]

Erlaubnistatbestände im Beschäftigtendatenschutz 1

Da die DS-GVO, wie zuvor auch schon das Bundesdatenschutzgesetz, im Grundsatz von einem Verbot der Datenverarbeitung ausgeht, ist ein Erlaubnistatbestand für die Verarbeitung personenbezogener Daten notwendig. Gemäß Art. 88 DS-GVO existiert hier eine Öffnungsklausel. Im Beschäftigtenverhältnis wird daher überlicherweise der § 26 BDSG-neu zur Anwendung kommen: Hier wird die Verarbeitung derjenigen Daten erlaubt, die für Read more about Erlaubnistatbestände im Beschäftigtendatenschutz 1[…]

Transparenz im Beschäftigtendatenschutz

Auch wenn es für Unternehmen befremdlich klingen mag: Auch in Bezug zu Ihren Beschäftigten müssen Unternehmen Transparenz bezüglich der Datenverarbeitungen herstellen. Allerdings ist das nur dann notwendig, wenn die betroffenen Personen nicht ohnehin bereits über die entsprechenden Informationen verfügen und auch nur bezüglich derjenigen Informationen, die bislang noch nicht kommuniziert wurden. Um den Überblick zu Read more about Transparenz im Beschäftigtendatenschutz[…]

Zwingendes Opt-In für Tracking-Mechanismen?

Die DSK hat aus ihrer Tagung vom 25./26.4. ein Positionspapier mitgebracht, in welchem sie klarstellt, dass die Anwendung von Tracking-Mechanismen auf Homepages nur noch nach einer informierten Einwilligung rechtens sei. Das sorgt nun verständlicherweise für einigen Verdruss, denn auch wenn die rechtliche Auffassung sicherlich nachvollziehbar ist, so stellen sich doch einige Fragen. Zuerst einmal die, Read more about Zwingendes Opt-In für Tracking-Mechanismen?[…]

Datenschutzerklärungen auf der Internetseite

Eines der hervorstechenden Ziele der DS-GVO ist die umfassende Aufklärung der betroffenen Personen bezüglich der Verarbeitung ihrer Daten durch den verantwortlichen Datenverarbeiter. Im Rahmen einer Internetseite erfolgt diese Aufklärung mit Hilfe der Datenschutzerklärung, die zum einen schnell erfassbar und leicht verständlich ausfallen soll, zum anderen aber auch keine Fragen offen lassen darf. Um diesen Anspruch Read more about Datenschutzerklärungen auf der Internetseite[…]

Kontaktformulare auf Website richtig einsetzen

Wenn Sie auf Ihrer Website Daten über den Webseiten-Automatismus hinaus erheben, beispielsweise mit einem Kontaktformular, so müssen Sie die Nutzer darüber aufklären, welche Datenverarbeitungen mit dieser Datenerfassung verbunden sind. Zu einem Kontaktformular gehört daher in jedem Falle ein Datenschutz-Hinweis, der den auf der Website ohnehin vorhandenen Datenschutz-Disclaimer (siehe Dokumente in unserem Kundenbereich) um genau die Read more about Kontaktformulare auf Website richtig einsetzen[…]

DS-GVO konformer Einsatz von Google Analytics

Wie Sie ja bereits wissen, stellen wir auf unserer Website zwei Datenschutzerklärungen (One-Pager und ausführliche Fassung) zur Verfügung. Die aktuellen Versionen sind bereits an die Verwendung von Google Analytics unter der DS-GVO angepasst. Bitte implementieren Sie diese beiden Erklärungen der ergänzen Sie Ihre bereits vorhandenen um die entsprechenden Inhalte. Damit ist jedoch noch nicht die Read more about DS-GVO konformer Einsatz von Google Analytics[…]

Die Verpflichtung zur Vertraulichkeit

Obwohl die früher im BDSG vorgeschriebene Verpflichtung auf das Datengeheimnis in der DS-GVO nicht mehr auftaucht, wird an etlichen Stellen deutlich, dass auch die DS-GVO eine rechenschaftsfähige Verpflichtung der Mitarbeiter notwendig macht. Im Klartext bedeutet das: Jeder Mitarbeiter, der mit der Verarbeitung personenbezogener Daten befasst ist, muss eine Verpflichtung zur Vertraulichkeit unterschreiben. Wie immer finden Read more about Die Verpflichtung zur Vertraulichkeit[…]