Kategorie: DSK Papiere

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier beschäftigt mit Frage, zu was die Mitarbeiter nach der DSGVO verpflichtet werden und wie diese zu unterrichten sind.

Was regelt die DSGVO?

  • Art. 29 DSGVO: Daten dürfen ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeitet werden
  • Art. 32 Abs. 4 DSGVO: Maßnahmen zur Überprüfung, dass Vorgaben seitens des Verantwortlichen oder Auftragsverarbeiters durch die Beschäfigten eingehalten werden
  • Art. 28 Abs. 3 Satz 2 lit. b DSGVO (Auftragsverarbeitung): Verpflichtung zur Verschwiegenheit

Die Verschwiegenheitsverpflichtung betrifft zwar nur die Beschäftigten des Auftragsverarbeiters, allerdings betrifft die inhaltliche Verpflichtung auch den Verantwortlichen und seine Mitarbeiter. Ergo: Diese sind ebenfalls zu verpflichten.

Zu was soll verpflichtet werden?

Personenbezogene Daten müssen

  • auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine Musterverpflichtung ist dem DSK-Papier anhängig.

Wer muss verpflichtet werden?

  • reguläre Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Referendare
  • Leiharbeiter
  • Ehrenamtliche Tätige

Wann muss die Verpflichtung erfolgen?

  • Bei Aufnahme der Tätigkeit
  • Spätestens am ersten Arbeitstag

Anmerkung der Datenbeschützerin

Es bietet sich an, die Verschwiegenheitserklärung als Anlage zum Arbeitsvertrag beizufügen.

Wie muss eine Verpflichtung erfolgen?

  • Zuständig für die Verpflichtung: Unternehmensleitung, Inhaber der Firma oder ein Beauftragter
  • Keine Formvorschrift seitens der DSGVO
  • Empfehlung: Formular verwenden, dass schriftlich oder elektronisch ausgegeben wird
  • Zur Verpflichtung gehört auch die Belehrung der Pflichten (Beachtung bei der täglichen Arbeit)
  • Verschwiegenheitsverpflichtung ist kombinierbar mit anderen Geheimhaltungsvereinbarungen (Betriebs-, Telekommunikations- oder Steuergeheimnis)
  • Dokumentation der Verpflichtung für Nachweiszwecke

Reicht eine einmalige Verpflichtung?

  • Empfehlung: regelmäßige Schulungen oder schriftliche Hinweise, um Mitarbeiter auf die Verschwiegenheit und Pflichten aus der Verpflichtung zu sensibilisieren
  • Bei internen Arbeitsplatzwechsel mit Aufgabenwechsel sollte die Verschwiegenheitsverpflichtung geprüft und ggf. angepasst werden

Hinweis der Datenbeschützerin

Bei Schulungen sollte vermieden werden, den Datenschutz als Problem darzustellen, welches für die neuen Maßnahmen und Verpflichtung verantwortlich ist. Erklären Sie lieber, warum die Maßnahmen notwendig sind und welche Vorteile der Einzelne davon hat.

Beispiel:

Falsch: „Aufgrund des Datenschutzes müssen die PCs ab sofort beim Verlassen des Arbeitsplatzes gesperrt werden!“

Richtig: „Das Wissen unserer Fachabteilung ist für die Firma von höchster Bedeutung. Sollten die Daten ausspioniert oder gestohlen werden, wäre das absolut geschäftskritisch. Aufgrund des Kundenverkehrs in den Geschäftsräumen ist es deshalb notwendig, die PCs beim Verlassen des Arbeitsplatzes zu sperren.“

Falsch:  „Die neue Datenschutzgrundverordnung bringt für uns alle unverhältnismäßig viel Aufwand mit sich!“

Richtig: „Ein Großteil der aktuellen Datenschutzgrundverordnung galt in Deutschland bereits in den vorhergehenden Bundesdatenschutzgesetzen. Allerdings wurde die Umsetzung nicht besonders streng überwacht. Mit der DSGVO gilt nun EU-weit ein hohes Datenschutzlevel. Zudem hat nun Jeder von euch auch Rechte an „seinen“ Daten – nämlich die Betroffenenrechte, z.B. das Recht auf Vergessen werden. Das war bisher in der Praxis nur schwierig und mit viel Aufwand durchzusetzen.

DSK-Kurzpapier Nr. 19

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Dürfen die Daten der Mitarbeiter noch verarbeitet werden oder benötige ich ein Einwilligung, damit diese als Beschäftigte angemeldet werden dürfen? Wann wird zwingend eine Einwilligung benötigt und wann nicht? Das DSK-Papier beantwortet diese Fragen.

Rechtsgrundlage § 26 BDSG-neu

  • § 26 BDSG-neu gilt nicht für Beschäftigte bei Behörden, Kommunen und öffentlichen Stellen

Begriff „Beschäftigte“

  • Definition: § 26 Abs. 8 BDSG-neu
  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher;
  • Auszubildende;
  • Rehabilitanden;
  • Freiwillige nach dem Jugendfreiwilligendienstegesetz/Bundesfreiwilligendienstgesetz;
  • wirtschaftlich unselbstständige Personen;
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Inhalt § 26 BDSG-neu

Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses

  • Personenbezogene Daten dürfen von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern es für die Begründung, Durchführung oder Beendigung erforderlich ist
  • Die Verarbeitung ist auch aufgrund von Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen) zulässig (§ 26 Abs. 1 und 4 BDSG)
  • Es dürfen auch die Daten der Beschäftigten sofern es für die Rechte und Pflichten für die Beschäftigtenvertretung erforderlich ist unabhängig von Gesetzen, Verträgen, Vereinbarungen (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu)

Einwilligung

  • Keine Einwilligung für die Verarbeitung der Daten für das Beschäftigungsverhältnis nötig
  • Mitarbeiter können jedoch in eine Datenverarbeitung einwilligen, wenn diese einen rechtlichen oder wirtschaftlichen Vorteil erlangen
  • Dies ist auch möglich, wenn die Interessen zwischen Arbeitgeber und Beschäftigte übereinstimmen

Echte Freiwilligkeit des Beschäftigten?

  • Es wird die die Auffassung vertreten, dass eine Einwilligung der Mitarbeiter durch das Abhängigkeitsverhältnis zum Arbeitgeber nie vollständig unabhängig unterzeichnet wird
  • Die Einwilligung wird deshalb nicht direkt das Arbeitsverhältnis sondern eher Zusatzleistungen (Privatnutzung von Dienstfahrzeugen und EDV-Geräten, Einführung Gesundheitsmanagement, Aufnahme in Geburtstagslisten) betreffen

Anmerkung der Datenbeschützerin

Auch die Veröffentlichung von Mitarbeiterfotos (intern oder extern) bedürfen einer Einwilligung.

Besondere Kategorien personenbezogener Daten

  • Besondere Datenkategorien dürfen nur unter den Voraussetzungen des § 26 Abs. 3 BDSG-neu verarbeitet werden
  • Auch eine Einwilligung für die Verarbeitung der besonderen Datenkategorien ist möglich, sofern sich die Einwilligung ausdrücklich auf diese Daten beruft
  • Es müssen besondere Maßnahmen bei der Verarbeitung getroffen werden (§ 26 Abs. 5 BDSG-neu i.V.m. Art. 5 DSGVO)

Verarbeitung außerhalb von Dateisystemen

  • § 26 BDSG-neu gilt auch für die Verarbeitung außerhalb von Dateisystemen (§ 26 Abs. 7 BDSG-neu)
  • Somit fallen Papierdokumente, mündliche oder tatsächliche Handlungen (z.B. handschriftliche Notizen) unter die datenschutzrechtliche Bestimmungen

Ist die DSGVO überhaupt anwendbar?

  • Die Reichweite des § 26 BDSG-neu ist im Einzelfall zu prüfen
  • Des Weiteren ist Art. 88 DSGVO und § 24 BDSG zu berücksichtigen
  • Es muss jedoch ein Zusammenhang zwischen der Datenverarbeitung und Verwendungszwecken bestehen (Art. 6 Abs. 4 und 1 lit. f DSGVO)
  • Eine Verwendung zu anderen Zwecken (z.B. Verkauf an Dritte zu Werbezwecke) bleibt ausgeschlossen

Welche Folgen resultieren bei Nichtbeachtung des § 26 BDSG-neu?

Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden. Es können auch strafrechtliche Folgen nach § 42 BDSG-neu drohen.

Anmerkung der Datenbeschützerin

Grundsätzlich sind alle Verarbeitungstätigkeiten in Bezug auf das Beschäftigungsverhältnis und freiwillige Einwilligungen in das Verfahrensverzeichnis aufzunehmen. Des Weiteren sind die Mitarbeiter über die Verarbeitungstätigkeiten zu informieren.

Freiwillige Einwilligungen sollten durch einen Vermerk (z.B. in der Personalakte) oder durch ein Formular schriftlich festgehalten werden.

DSK-Kurzpapier Nr. 14

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Vor der DSGVO gab es zwar auch schon die Auftragsverarbeitung. Allerdings wurden mit der DSGVO die Auftragsverarbeiter mit mehr Rechten und Pflichten ausgestattet. Was das für die Auftragsverarbeiter bedeutet, wird in diesem DSK-Papier erläutert.

Was bedeutet Auftragsverarbeiter?

  • Eine Stelle verarbeitet im Auftrag des Verantwortlichen personenbezogene Daten

Neue Pflichten und Verantwortlichkeiten des Auftragsverabeiters

  • Gesamtverantwortung der Verarbeitung umfasst auch die Verarbeitung durch den Auftragsverarbeiter – keine Befreiung der Nachweispflicht durch Beauftragung eines Auftragsverarbeiters
  • Bei Verstoß gegen die Weisung des Auftraggebers (Verarbeitung der Daten zu eigenen Zwecken oder Zwecke Dritter) haftet der Auftragnehmer als eigener Verantwortlicher
  • Folge: Schadenersatz gegenüber den betroffenen Personen
  • Führen eines Verfahrensverzeichnisses, welches bei Anfrage der Aufsichtsbehörde vorzulegen ist
  • unverzügliche Meldung an den Auftraggeber bei Datenschutzverletzungen

Der Auftragsverarbeitungsvertrag

  • Rechtsgrundlage: Art. 28 DSGVO
  • Dieser kann schriftlich oder elektronisch abgeschlossen werden
  • Es können darin individuelle Regelungen getroffen werden oder von der Aufsichtsbehörde Standardklauseln verwendet werden
  • In diesem ist der Einsatz von Subunternehmern zu regeln und
  • Die Vorgaben des Art. 32 DSGVO (TOMs) zu beachten
  • Auftragsverarbeiter hat die Einhaltung des Datenschutzes nachzuweisen z.B. durch genehmigte Verhaltensregeln oder Zertifizierungen

Anmerkung der Datenbeschützerin

Mustervorlagen für einen Auftragsverarbeitungsvertrag werden beispielsweise von der GDD oder Bitkom zur Verfügung gestellt.

Wie sieht es mit Subunternehmern aus?

  • Werden weitere Auftragsverarbeiter (Subunternehmer) seitens des Auftragnehmers eingesetzt, ist die Genehmigung des Auftraggeber einzuholen
  • Bei Änderungen von Subunternehmern reicht eine Information an den Auftraggeber – dieser kann jedoch noch Widerspruch gegen die beabsichtigte Änderung einlegen
  • Zwischen Subunternehmer und Auftragsverarbeiter ist ebenfalls ein Auftragsverarbeitungsvertrag zu schließen

Anmerkung der Datenbeschützerin

Nachfolgende Grafik erläutert die Abfolge und Vertragsverhältnisse zwischen Auftraggeber – Auftragnehmer und Subunternehmer.

Auftraggeber Auftragnehmer Subunternehmer
Vertragsverhältnisse zwischen Auftraggeber – Auftragnehmer und Subunternehmer

Wartung und Fernzugriffe

  • Bei Fernwartung oder IT-Wartung besteht die Möglichkeit Zugriff und Einsicht auf personenbezogene Daten zu erlangen
  • Daher handelt es sich dabei um eine Verarbeitung (Auslesen, Abfragen, Verwenden) und somit um eine Auftragsverarbeitung

Technische Wartungen der IT-Infrastruktur

  • Rein technischen Wartungen (Arbeiten an Stromzufuhr, Kühlung, Heizung) unterliegen keiner Auftragsverarbeitung

Mit welchen Folgen ist bei Verstößen zu rechnen?

  • Es kann ein Bußgeld (Art. 83 Abs. 4, 5 und 6 DSGVO) verhängt werden.
  • Die Sanktionen können den Verantwortlichen und auch den Auftragsverarbeiter betreffen.

Wer ist Auftragsverarbeiter?

Im DSK-Papier ist als Anhang eine Auflistung über Auftragsverarbeiter beigefügt.

Eine Abgrenzung für Auftragsverarbeiter veröffentlichte das BayLDA.

Hinweis der Datenbeschützerin

Weitere Informationen um das Thema die Auftragsverarbeitung finden Sie im Blogbeitrag „Wann handelt es sich um einen Auftragsverarbeiter?

DSK-Kurzpapier Nr. 13

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Gibt es eine DSGVO-Zertifizierung? Wer darf eine Zertifizierung ausstellen und welche Voraussetzungen sind dafür nötig?

Warum ist eine Zertifizierung sinnvoll?

  • Einheitliche Lösung in Europa, um die datenschutzrechtlichen Anforderungen nachweisen zu können
  • Nach Art. 42 und Art. 43 DSGVO wurde eine rechtliche Grundlage für ein eineheitliches Zertifizierungsverfahren geschaffen

Was sind die Vorteile einer Zertifizierung?

Nach der DSGVO können in nachfolgenden Anwendungsbereichen eine Zertifizierung als Nachweis für die Einhaltung der DSGVO als Faktor einfließen:

  • Erfüllung der Pflichten des Verantwortlichen (Art. 24 Abs. 3)
  • Erfüllung der Anforderungen bei Privacy-by-Default und Privacy-by-design
  • Garantie des Auftragsverarbeiters nach Art. 28 DSGVO
  • Sicherheit der Datenverarbeitung (Art. 32 Abs. 3 DSGVO)
  • Datenübermittlung in ein Drittland (Art. 46 Abs. 2 lit. f DSGVO)
  • Datenschutz-Folgeabschätzung
  • Ein Zertifiakt kann auch für Marketingzwecke vorteilhaft sein
  • Auch bei Prüfungen durch die Aufsichtsbehörde kann ein Zertifikat positiv berücksichtigt werden

Wer ist zuständig für die Zertifizierung?

  • Akktreditierte Zertifizierungsstellen (in Deutschland z.B. Deutsche Akkreditierungsstelle GmbH)
  • Zuständige Aufsichtsbehörden
  • Die Aufsichtsbehörde bestimmt die Kriterien für die Zertifizierung
  • Die Kriterien beruhen meist auf ISO-Normen

Welche Voraussetzungen müssen für eine Zertifizierung erfüllt werden?

  • Der Zertifizierungsstelle müssen alle erforderlichen Informationen zur Verfügung stehen
  • Auch Zugang zu den Verarbeitungstätigkeiten werden benötigt, d.h. es ist von Vorteil die Verarbeitungsvorgänge genau zu kennen und transparent wiederzugeben

Wie ist der Ablauf des Zertifizierungsprozesses?

Die DSK veröffentlichte im März 2019 eine Orientierungshilfe für den Akkreditierungsprozess nach Art. 42 und Art. 43 DSGVO. Die grafische Orientierungshilfe kann sich am Ende heruntergeladen werden.

Wie lange ist die Zertifizierung gültig?

  • Die Zertifizierung ist höchsten für 3 Jahre gültig
  • Die Zertifizierung kann jedoch von der Aufsichtsbehörde bei Nichterfüllung der Voraussetzungen widerrufen werden

Anmerkung der Datenbeschützerin

Vor allem die Kosten für eine Zertifizierung sind für viele Unternehmer auch relevant. Wie hoch die Kosten für die Zertifizierung sind, wird im Papier nicht erwähnt und uns liegen auch keine Daten hierzu vor.

Update August 2019: Die ISO 27701 soll als Ergänzungsnorm für das Datenschutz-Management gelten. Allerdings ist die ISO 27701 keine Zertifizierungsnorm; als Basis dient die bereits bekannte ISO 27001.

Somit ist immer noch kein „offizielles“ DSGVO-Zertifikat vorliegend.

Update Oktober 2019: Im Gespräch mit einem Auditor, der regelmäßig Zertifizierungen durchführt, wurde auch das Thema der Datenschutz-Zertifizierung angesprochen. Dieser teilt mit, dass die Zertifizierungen nach ISO 27001 ein „Nice-to-have“ im Bezug auf das Datenschutz-Thema ist; diese Zertifizierung von der Aufsichtsbehörde jedoch nicht anerkannt wird. @Regina bitte prüfen

Damit eine „richtige“ Datenschutz-Zertifizierung durch die Aufsichtsbehörde anerkannt wird, ist es nötig, eine Dienstleistungszertifizierung anzustreben. @Regina bitte prüfen

DSK-Kurzpapier Nr. 9 und DSK-Orientierungshilfe

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_9.pdf

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/oh/20190315_oh_akk_sw.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Wie kann ein Unternehmen die DSGVO umsetzten? Das DSK-Papier gibt hier Antworten auf die Vorgehensweise bei der Umsetzung der DSGVO.

Wer ist für die Umsetzung der DSGVO zuständig?

  • Der Entscheidungsträger z.B. Geschäftsführer
  • Entscheidungsträger = Verantwortlicher

Wie kann die DSGVO umgesetzt werden?

Die Umsetzung kann als Projekt angesehen werden, da verschiedene Abteilungen und Bereiche ineinandergreifen und zusammenarbeiten.

Bestandsaufnahme (Ist-Stand)

  • Prüfung der aktuellen Prozesse in denen personenbezogene Daten verarbeitet werden
  • Zuordnung der zugehörigen Rechtsgrundlage (Vertrag, gesetzliche Vorgabe, berechtigtes Interesse, Einwilligung)
  • Prüfung der aktuellen Datenschutzorganisation (wer ist zuständig, welche Maßnahmen wurden getroffen)
  • Welche Dienstleister werden eingesetzt?
  • Prüfung der bereits vorhandenen Dokumentation oder Vereinbarungen (z.B. Verfahrensverzeichnis, Datenschutzkonzepte, IT-Sicherheitskonzepte)

Ermittlung des Handlungsbedarfs (Soll-Stand)

Sofern der Handlungsbedarf ermittelt wurde, kann eine Analyse zwischen Ist- und Soll-Stand durchgeführt werden.

Vor allem sind folgende Punkte vor dem Hintergrund der DSGVO zu beachten:

Rechtsgrundlagen

  • Prüfung, ob eine Rechtsgrundlage für die Verarbeitung definiert werden kann (Vertrag, berechtigtes Interesse, gesetzliche Forderung, Einwilligung)
  • Prüfung, ob die Einwilligungen den Anforderungen des Art. 7 bzw. des Art. 8 DSGVO erfüllt

Betroffenenrechte

  • Beachtung der zustehenden Betroffenenrechte
  • Z.B. Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung etc.

Datenschutz durch Technikgestaltung

  • Beachtung der Vorgaben seitens der DSGVO nach Art. 25 DSGVO
  • Anforderungen bei der Prozessgestaltung mit einbinden

Dienstleistungsbeziehungen (Auftragsverarbeiter)

  • Prüfung der vorhandenen Auftragsverarbeitungsverträge

Anmerkung der Datenbeschützerin

Auftragsverarbeitungsverträge, die vor der DSGVO geschlossen wurden, sind nicht mehr gültig. Daher ist die Anforderung eines neuen Vertrags nötig.

Dokumentationspflichten

  • Mit der Dokumentation kann der Verantwortliche seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen
  • Dokumentation nach der DSGVO sind z.B. Verfahrensverzeichnis, Aufzeichnung von Datenschutzvorfällen, Auftragsverarbeitungsverträge

Datenschutz-Folgeabschätzungen (DSFA)

  • Die DSFA erfordert eine umfangreiche Dokumentation
  • Kann auch eine Konsultation mit der Aufsichtsbehörde nach sich ziehen

Meldepflichten

  • Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
  • Meldung von Datenpannen bei der zuständigen Aufsichtsbehörde

Datensicherheit

  • Definition eines angemessenen Schutzniveaus
  • regelmäßige Prüfung der Sicherungsmaßnahmen

Zertifizierung

  • Im Rahmen eines Zertifizierungsverfahren kann der Nachweis über die Einhaltung der DSGVO erfolgen

Hinweis der Datenbeschützerin

Folgende Vorgehensweise wird seitens der Datenbeschützerin vorgenommen. Dabei handelt es sich um eine grobe Beschreibung, um die DSGVO umzusetzen.

  1. Erstellung des Verfahrensverzeichnisses mit einer Risikoanalyse (Ist-Stand) sowie Aufnahme der aktuellen TOMs, Prüfung der Internetseite
  2. Anfertigung eins Managementberichts mit den identifizierten Risiken und Handlungsempfehlungen (Soll-Stand)
  3. Erstellung der Informationspflichten für die Kunden/Geschäftspartner und Mitarbeiter
  4. Einholung und Prüfung von Auftragsverarbeitungsverträgen
  5. Vermittlung von Prozessbeschreibungen zu Datenschutzvorfällen und Betroffenenrechten
  6. Planung und Durchführung von Mitarbeiterschulungen
  7. Jährliche Überprüfung / Audits

DSK-Kurzpapier Nr. 8

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_8.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Müssen sich Unternehmen auch an die DSGVO halten, wenn diese ihren Sitz in der EU haben? Mit dieser zentralen Frage beschäftigt sich dieses Kurzpapier der DSK.

Was ist das Marktortprinzip?

  • Unter bestimmten Voraussetzungen können Unternehmen, die nicht ihren Sitz innerhalb der EU haben, unter den Anwendungsbereich der DSGVO fallen (Art. 3 Abs. 2 DSGVO)
  • Hintergrund ist die fortschreitende Geschäftstätigkeit im Internet (eCommerce)
  • eCommerce benötigt keine physischen Betriebs- und Organisationsstrukturen in Europa, weshalb der Gesetzgeber diese nach Art. 3 Abs. 2 DSGVO dennoch mit einzieht

Wann müssen sich außereuropäische Unternehmen an die DSGVO halten?

Sofern Daten von betroffenen Unionsbürgern durch ein außereuropäischen Verantwortlichen bzw. Auftragsverarbeiter in folgenden Fällen verarbeitet werden:

  • Angebot von Waren und Dienstleistungen oder
  • das Verhalten der betroffenen Personen zu beobachten

Angebot von Waren und Dienstleistungen (Art. 3 Abs. 2 lit. a DSGVO)

  • Die DSGVO findet Anwendung, wenn Waren und Dienstleistungen gewollt und offensichtlich für Unionsbürger angeboten werden
  • Irrelevant ist dabei die Zahlung eines Entgelts für die Waren und Dienstleistungen, da auch unentgeltliche Angebote z.B. in Social-Media aufgeriffen werden

Wann ist dies der Fall?

Keine ausreichenden Anhaltspunkte hierfür sind etwa

  • sofern eine kommerzielle Internetseite abgerufen werden kann, eine E-Mail-Adresse oder sonstige Kontaktdaten ODER
  • Verwendung einer (EU)-Sprache, die allgemein im Drittstand des dort niedergelassenen Unternehmen gebräuchlich ist
  • Verwendung der Sprache oder Währung des Mitgliedstaates in Verbindung mit der Möglichkeit, die Ware oder Dienstleistung in dieser Sprache zu bestellen ODER
  • Erwähnung von Kunden und Nutzern, aus der EU

Und wenn die Anwendbarkeit der DSGVO ausgeschlossen wird?

Haftungsausschlüsse (Disclaimer) lassen nicht zwingend auf die Nichtanwendbarkeit schließen.

Überwachung des Verhaltens von Personen (Art. 3 Abs. 2 lit. b DSGVO)

Wird das Verhalten der Unionsbürger beobachtet, so ist die DSGVO ebenfalls anwendbar

Wann ist das der Fall?

  • Beispiel: Nachvollziehen des Nutzerverhalten auf der Internetseite durch Tracking-Cookies oder Browser Fingerprints
  • Das Verhalten wird auch beobachtet, wenn die Erstellung von Profilen angeommen wird, vor allem dann, wenn
  1. es die Grundlage für die jeweilige Person betreffende Entscheidung bilden ODER
  2. anhand ihrer Vorlieben, Verhaltensweisen oder Gepflogenheiten einer natürlichen Person analysiert oder voraussagt

Was ist noch zu beachten?

  • Außereuropäische Unternehmen haben einen Vertreter zu benennen, wenn die DSGVO Anwendung findet
  • Der Verterter muss ausdrücklich und schriftlich zu bestellen

Warum muss ein Vertreter bestellt werden?

  • Vertreter soll als erste Anlaufstelle für Betroffene dienen
  • Auch sollen den Betroffenen die Möglichkeit der Wahrnehmung ihrer Betroffenenrechte vereinfacht werden
  • Der Vertreter ist auch die erste Anlaufstelle für die Aufsichtsbehörde
  • Die Behörde kann durch den Vertreter ihre Aufsichtsmaßnahmen durchsetzen

Wann ist kein Vertreter zu bestellen?

Die Pflicht entfällt, wenn

  • die Verarbeitung gelegentlich erfolgt,
  • keine sensiblen personenbezogenen Daten nach Art. 9 DSGVO betrifft,
  • keine Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO betrifft,
  • zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt

Was passiert, wenn kein Vertreter bestellt wird?

Es kann ein Bußgeld (Art. 83 Abs. 4 lit. a DSGVO) verhängt werden.

Fazit

  • Möglichkeit besteht, dass außereuropäische Unternehmen ebenfalls der DSGVO unterliegen
  • Ist dies der Fall, ist ein Vertreter zu bestellen

DSK-Kurzpapier Nr. 7

Quellen

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_7.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier nimmt Stellung zum Betroffenenrecht „Auskunft“. In welchem Umfang die Auskunft zu erteilen ist, in welcher Form die Auskunft zu geben ist, ob eine Identifikation erfolgen darf und welche Fristen einzuhalten sind, werden hier beantwortet.

Warum hat man ein Auskunftsrecht?

  • Schaffung von Transparenz über die Verarbeitungsvorgänge
  • Erleichterung des Durchsetzens von weiteren Ansprüchen (z.B. Löschung, Einschränkung, Berichtigung)

Welchen Umfang hat das Auskunftsrecht?

Art. 15 Abs. 1 DSGVO bietet dem betroffenen ein abgestuftes Auskunftsrecht, d.h.

  • der Betroffene kann eine Bestätigung/Negativauskunft des Verantwortlichen verlangen, ob seine Daten dort verarbeitet werden ODER
  • eine konkrete Auskunft verlangen, welche Daten beim Verantwortlichen verarbeitet werden

Neben den beiden Möglichkeiten sind dem Betroffenen jedoch folgende Informationen immer mitzuteilen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten
  • Empfänger selbst bzw. Empfängerkategorien
  • Speicherdauer, falls dies möglich ist
  • zustehende Rechte des Betroffenen (Löschung, Berichtigung, Einschränkung, Widerspruchsrecht)
  • Beschwerderecht bei zuständiger Aufsichtsbehörde
  • Quellen der Daten / Datenherkunft, sofern diese von Dritten mitgeteilt wurden
  • Bestehen einer automatisierten Entscheidungsfindung / Profiling, sofern dies angewandt wird
  • Datenübermittlung in Drittländer, sofern dies durchgeführt wird

Hinweis der Datenbeschützerin

Die oben genannten Informationen sind im Großen und Ganzen inhaltsgleich mit Art. 13 und Art. 14 DSGVO. Daher kann als Anlage an die Rückmeldung an den betroffenen ggf. nochmals die Informationspflicht angehängt werden.

In welcher Form muss die Auskunft erteilt werden?

  • Die Beantwortung kann schriftlich, elektronisch oder mündlich (auf der betroffenen Person)
  • Es kommt jedoch auf den Anfrageweg des Betroffenen an
  • Bei einem elektronischen Auskunftsgesuch ist die Rückmeldung ebenfalls in elektronischer Form zur Verfügung zu stellen (z.B. als PDF)
  • Die Kommunikationswege müssen jedoch angemessene Sicherheitsanforderungen erfüllen (z.B. TLS-Verschlüsselung etc.)

Anmerkung der Datenbeschützerin

Stellt der Anfragende sein Auskunftsgesuch elektronisch per E-Mail, möchte jedoch die Rückmeldung auf dem Postweg erhalten, so ist diesem Folge zu leisten (Art. 15 Abs. 3 Satz 3 DSGVO).

Welche Frist für die Auskunftserteilung ist zu beachten?

  • grds. unverzüglich (Art. 12 Abs. 3 DSGVO) bzw.
  • spätestens aber einen Monat nach Antragseingang
  • Überschreitung der Frist ist nur in begründeten Ausnahmefällen möglich

Kosten der Auskunftserteilung

  • grds. ist die Auskunftserteilung kostenlos zu erteilen
  • fallen jedoch weitere bzw. mehrere Kopien an, darf ein angemessenes Entgelt berechnet werden
  • auch bei dauerhaften oder offenkundigen unbegründeten Anfragen kann ein Entgelt verlangt werden

Darf eine Identifizierung des Betroffenen vorgenommen werden?

  • Der Verantwortliche muss sicherstellen, dass der Anfragende auch wirklich derjenige ist
  • Verhinderung, um Daten an unbefugte Dritte zur Verfügung zu stellen
  • bestehen begründete Zweifel, so kann ein Nachweis über die Identität gefordert werden (Art. 12 Abs. 6 DSGVO)

Anmerkung der Datenbeschützerin

Zur Identifizierung sollten jedoch keine neuen Datensätze erhoben werden, sondern mit den bereits vorhandenen Daten abgeglichen werden. Beispiele: Buchungsnummer/Reservierungsnummer bei Hotels, Kundennummer bei Unternehmen, postalische Adresse bei elektronischem Auskunftsgesuch. Eine Kopie des Ausweises oder Reisepasses sollte nur als letzte Möglichkeit in Betracht gezogen werden. Diese ist nur ein gewissen Einzelfällen zulässig.

Welche Grenzen hat das Auskunftsrecht?

  • Ist eine größere Menge der Datensätze vorhanden, darf der Verantwortliche von dem Betroffenen eine Präzisierung in Bezug auf die Datensätze und Verarbeitungsgänge verlangen
  • Kann bei Banken oder Versicherungen vorkommen
  • Bei unbegründeten oder dauerhaften Anfragen kann eine Ablehnung oder Kostenerstattung folgen; ist jedoch nur in Ausnahmefällen möglich
  • Der Verantwortliche muss nachweisen und gegenüber dem Betroffenen begründen können, dass die Anfrage unbegründet bzw. exzessiv ist
  • § 34 BDSG zieht weitere Grenzen auf Archivdaten und Protokollierungsdaten – ob eine Einschränkung der Ausübung der Betroffenenrechte vorliegt ist im Einzelfall zu entscheiden

Wie sieht es mit den Rechten Dritter aus?

  • Die Auskunftserteilung darf Dritte nicht ihren Rechten und Freiheiten beeinträchtigen
  • jedoch darf die Auskunftserteilung nicht komplett verweigert werden

Was passiert, wenn keine Auskunft gegeben wird?

  • es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden

Empfehlung der Datenbeschützerin

  • Prozessbeschreibung über Betroffenenrechte einführen
  • Mitarbeiter die Prozessbeschreibung im Rahmen einer Mitarbeiterschulung präsentieren und sensibilisieren
  • zuständigen Mitarbeiter innerhalb des Unternehmens für die Beantwortung der Anfragen beauftragen (z.B. interner Datenschutzbeauftragter)
  • Vertretungsregelung bei Abwesenheit der zuständigen Person einführen
  • externer DSB: Anfragen sollten an den DSB weitergeleitet werden und auch die weitere Vorgehensweise besprochen werden

Weitere Informationen finden Sie in unserem Blogartikel: Betroffenenrechte im Datenschutz

DSK-Kurzpapier Nr. 6

Quellen

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

In diesem Kurzpapier wird die Rolle der Aufsichtsbehörde verdeutlicht. Welche Rechte und Pflichten die Aufsichtsbehörde hat und wie die Berechnung der Bußgelder aussieht, werden hier erläutert.

Untersuchungen und Abhilfemaßnahmen (Art. 58 DSGVO)

  • Aussprache von Verwarnungen ggü. Verantwortlichen/Auftragsverarbeitern, wenn geplante/aktuelle Datenverarbeitungen gegen die DSGVO verstoßen
  • Erlassung von Anweisungen, um die DSGVO im Unternehmen umzusetzen, den Betroffenenrechten nachzukommen und Betroffene bei Datenschutzverletzungen zu benachrichtigen
  • Erlass einer Anordnung, um die Datenübertragung in Drittländer zu unterbinden

Wer kann von den Maßnahmen der Aufsichtsbehörde betroffen sein?

  • Verantwortlicher (z.B. Geschäftsführer /-Inhaber)
  • Auftragsverarbeiter

Welchen Umfang haben die Untersuchungsbefugnisse?

  • Aufsichtsbehörde besitzt weitreichende Untersuchungsbefugnisse
  • Verantwortlicher und Auftragsverarbeiter können zur Mitwirkung verpflichtet werden
  • der Aufsichtsbehörde sind alle Informationen bereit zu stellen, um einen bestimmten Sachverhalt zu klären

Verhängung von Bußgeldern (Art. 83 DSGVO)

Wie hoch ist das Bußgeld nach der DSGVO

  • Rechtsgrundlage: Art. 83 DSGVO
  • 10.000.000 € bzw. 2 % des weltweiten Jahresumsatzes aus dem Vorjahr bzw.
  • 20.000.000 € bzw. 4 % des weltweiten Jahresumsatzes aus dem Vorjahr, bei bestimmten, besonders, schwerwiegenden Verstößen (z.B. Verstöße gegen Datenverarbeitungsgrundsätze/Betroffenenrechte, Verarbeitung ohne Rechtsgrundlage sowie Nichtbefolgung der der Anweisung

Wie wird das Bußgeld berechnet?

  • Über die Höhe des Bußgeld ist im Einzelfall zu entscheiden
  • Prüfung der Art, Schwere und der Dauer des Verstoßes
  • Welche Datenkategorien von dem Verstoß betroffen sind
  • Prüfung, ob vorangegangene Maßnahmen und die interne Organisation des Verantwortlichen eingehalten wurden
  • Art und Weise, wie der Verstoß der Behörde bekannt wurde
  • durch eine positive Zusammenarbeit kann sich das Bußgeld mindern
  • Berücksichtigung der TOMs und des Verantwortlichkeitsgrads des Verantwortlichen/Auftragsverarbeiter

Anmerkung der Datenbeschützerin

Seit Inkrafttreten der DSGVO wurden bereits zahlreiche Bußgelder in Europa und in Deutschland erlassen. Aufgrund dieser Bußgelder können Maßnahmen für die eigene Organisation und die eigenen Kunden abgeleitet werden.

Update September 2019: Dem Online-Magazin Juve liegen Unterlagen vor, wie die Aufsichtsbehörden die Bußgelder berechnen. Die Behörden haben sich auf eine einheitliche Berechnungsmethode geeinigt:

  • Bemessungsgrundlage Tagessatz: weltweiter Unternehmensumsatz : 365 Tage
  • Multiplikation je nach „Schweregrad“. Schweregrad = Dauer des Verstoß, Zahl der betroffenen Personen, Ausmaß des Schadens, Maßnahmen zur Schadenminderung, Zusammenarbeit mit Behörde
  • Erhöhung/Minderung je nach Verschuldensgrad: gering/unbewusste Fahrlässigkeit, Inkaufnahme/Kenntnis oder absichtliches Verschulden
  • Zuschlag bei wiederholten Datenschutzverstößen

Wie diese Berechnung jedoch dann in der Praxis aussieht, ist noch abzuwarten. Vorteil ist jedoch, dass aufgrund der gewählten Bemessungsgrundlage mehr Gerechtigkeit mit sich bringt.

DSK-Kurzpapier Nr. 2

Quelle

DKonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_2.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die DSK hat ein Kurzpapier über das Verfahrensverzeichnis herausgegeben. Hier werden die Fragen geklärt, wer ein Verfahrensverzeichnis erstellen muss, was diese zu beinhalten hat und warum dieses überhaupt zu erstellen ist.

Wer muss ein Verfahrensverzeichnis erstellen?

  • Verantwortliche / Auftragsverarbeiter (z.B. Geschäftsführer)
  • Unternehmen mit mehr als 250 Mitarbeiter
  • AUSNAHME des oben genannten Schwellenwert, wenn
  1. ein Risiko für die Rechte und Freiheiten für die betroffenen Person besteht (z.B. in Fällen von Scoring und Überwachungsmaßnahmen) ODER
  2. die Datenverarbeitung NICHT regelmäßig erfolgt ODER
  3. besondere Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, etc.) verarbeitet werden

Trifft eine der genannten Ausnahmekategorien zu, ist der Verantwortliche ebenfalls zur Führung eines Verfahrensverzeichnisses verpflichtet.

Anmerkung der Datenbeschützerin

Schlussfolgernd aus den oben genannten Punkten ist daraus zu schließen, dass viele Unternehmen / Organisationen / Vereine zur Erstellung eines Verfahrensverzeichnis verpflichtet sind. Sofern Mitarbeiter eingestellt werden, ist eine regelmäßige Datenverarbeitung unumgänglich.

Muss das Verfahrensverzeichnis öffentlich zugänglich sein?

  • Nein, das war im BDSG-alt gefordert
  • Des Weiteren ist das Verfahrensverzeichnis auch nicht mehr der Aufsichtsbehörde zu melden
  • Das Verfahrensverzeichnis es jedoch auf Verlangen der Aufsichtsbehörde offenzulegen

Hinweise der Datenbeschützerin

Dieser Punkt ist dem Verantwortlichen unbedingt mitzuteilen. Möchten Kunden / Geschäftspartner Einsicht in das Verfahrensverzeichnis haben, ist diese zu verneinen und auf die Informationspflichten zu verweisen.

Welche Inhalte müssen in das Verfahrensverzeichnis?

  • Rechtsgrundlage: Art. 30 DSGVO
  • Zwecke der Verarbeitung
  • Betroffene Personen (z.B. Kunden / Geschäftspartner / Mitarbeiter)
  • Datenkategorien der betroffenen Personen (z.B. Name, Adresse, Telefonnummer etc.)
  • Empfänger (intern / extern) der Daten (z.B. interne Mitarbeiter, Steuerberater etc.)
  • Beschreibung der technischen und organisatorischen Maßnahmen

Hinweise der Datenbeschützerin

Weitere Angaben sind nach Art. 30 DSGVO noch erforderlich (diese wurden im Papier nicht genannt):

  • Namen und Kontaktdaten des Verantwortlichen/gemeinsamen Verantwortlichen sowie des Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
  • Übermittlung der Daten in ein Drittland oder internationale Organisations mit Beschreibung der Schutzmaßnahmen (besondere Bedingung nach Art. 44 ff.)
  • Löschfristen (wenn möglich)

Was passiert, wenn kein Verfahrensverzeichnis erstellt wird?

  • Es kann ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO durch die Aufsichtsbehörde erlassen werden

Anmerkung der Datenbeschützerin

In Deutschland wurde noch kein Bußgeld aufgrund eines fehlenden bzw. fehlerhaften Verfahrensverzeichnisses bekannt.

Warum muss ein Verfahrensverzeichnis erstellt werden?

  • Das Verfahrensverzeichnis ist nur ein Teilbereich des Datenschutzmanamgents
  • Mit der Erstellung und Pflege des Verfahrensverzeichnisses kommt der Verantwortliche seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nach

Weitere Dokumentation für das Datenschutzmanamgent

  • Vorliegen und Nachweis von Einwilligungen
  • Prüfung der ordnungsgemäßen Datenverarbeitung
  • Ergebnis der Datenschutz-Folgeabschätzung

Anmerkungen der Datenbeschützerin

Weitere Informationen zum Verfahrensverzeichnis finden Sie in unserem Blogartikel: Datenschutz Verfahrensverzeichnis mit Muster.

DSK-Kurzpapier Nr. 1

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf