Wer überlegt, wer die Vorgaben der DSGVO beachten muss, denkt eventuell zumeist an die Antwort: „Der, der personenbezogene Daten von EU-Bürgern verarbeitet, muss die DSGVO einhalten.“ Diese Antwort ist nicht falsch, aber umfassender zu beantworten. Um ein weitreichendere Antwort zu erhalten, können Sie natürlich auch einen Blick in die DSGVO werfen oder aber diesen Beitrag lesen.
Wenn wir über den Datenschutz schreiben, erwähnen wir unermüdlich die Wichtigkeit der zu erstellenden Datenschutzdokumente. Dabei handelt es sich um Dokumente wie die Datenschutzinformationen, die Richtlinien für Prozesse, die den Datenschutz beeinflussen können, die Leitlinie etc. Was hat es aber mit der Rechenschaftspflicht eines Verantwortlichen auf sich?
Eines der wichtigsten Dokumente eines Verantwortlichen ist die Datenschutzinformation nach Art. 13 DSGVO (auch bekannt als Datenschutzhinweis sowie unter dem populären Begriff „Datenschutzerklärung“, obwohl dieser aus juristischer Sicht inkorrekt ist). Worauf sollten Verantwortliche hierbei also achten?
Jeder Verantwortliche, der personenbezogene Daten verarbeitet, muss Maßnahmen zur Sicherheit und zum Schutzes dieser Daten ergreifen. Das bedeutet, dass folglich u. a. entsprechende Richtlinien zum Datenschutz existieren müssen.
Das Profiling ist ein zeiteffektiver Weg, um schnellstmöglich Auswertungen zutreffen, Tendenzen vorherzusagen oder auch Verhalten zu analysieren. Bei diesem Thema gibt es aber auch Fragen: Was ist Profiling? Was ist beim Profiling im Zusammenhang mit dem Datenschutz zu beachten? Gibt es da vielleicht sogar schwerwiegendere datenschutzrechtliche Bedenken?
Jeder, der über Datenschutz spricht, verwendet diesen Begriff sicherlich mit hoher Häufigkeit. Folglich stellt sich so manchem dabei möglicherweise aber die Frage, was ein Verantwortlicher gemäß der DSGVO eigentlich ist. Mehr zur Definition des Begriffes eines Verantwortlichen gemäß der DSGVO erfahren Sie im Folgenden.
Wir nennen diesen Begriff oft. In Art. 4 Nr. 1 DSGVO finden wir eine Erklärung dazu, wie der Gesetzgeber betroffene Personen gemäß der DSGVO definiert.
Wer sich diese Standarddatenschutzklauseln genauer anschaut, findet unter Klausel 14 einen Satz, bei dem Datenimporteur dem Datenexporteur zusichert, dass jegliche Rechtsvorschriften, Gepflogenheiten etc. kein Hindernis für den Datenimporteur bei der Erfüllung seiner Pflichten gemäß den Standarddatenschutzklauseln darstellen. Diese Klausel sieht indirekt die Erstellung eines sich damit befassenden Dokumentes vor: das Transfer Impact Assessment.
Beginnen wir mit einer kleinen Quiz-Frage: Was haben das Berechtigungskonzept und das Löschkonzept gemeinsam? Die Antwort: Keine der beiden werden explizit in der DSGVO erwähnt.
In wahrscheinlich jedem unserer Blog-Beiträge wird sie erwähnt: die Aufsichtsbehörde bzw. den -beauftragten. Bisher haben wir aber noch nicht die Datenschutzaufsichtsbehörden und ihre Aufgaben und Befugnisse im ausführlicheren Stil erläutert. Dies ändert sich mit diesem Beitrag.
Einer Einrichtung, die sich mit dem Datenschutz beschäftigt bzw. eine Datenschutzorganisation etabliert hat, sind Begriffe der DSGVO nicht unbekannt. Mit Sicherheit sind personenbezogene Daten besonderer Kategorien kein Fremdbegriff. Dennoch entstehen in Bezug zu diesen Daten Situationen, in denen sich ein Verantwortlicher eventuell darüber unsicher ist, wie er sich datenschutzkonform verhalten muss. Darauf gehen wir näher in diesem Beitrag ein.
Die Verarbeitung personenbezogener Daten sieht nicht nur vor, dass eine Rechtsgrundlage dafür existiert und technische, organisatorische Maßnahmen implementiert worden sind etc., sondern auch die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten durch den Verantwortlichen. In diesem Beitrag gehen wir näher auf diesen wichtigen Abschnitt der DSGVO ein: Art. 5.
Der Datenschutz und Authentisierung, Authentifizierung und Autorisierung gehen nah beieinander. Oftmals werden die Begriffe der Authentisierung, Authentifizierung und Autorisierung versehentlich sogar verwechselt. In diesem Beitrag möchten wir näher auf die Begriffe selbst und damit die Unterschiede dieser untereinander, auch anhand von Beispielen, eingehen.
Art. 25 DSGVO behandelt einen wichtigen Aspekt des Datenschutzes, den Verantwortliche teilweise übersehen. Im folgenden Artikel gehen wir näher auf Art. 25 DSGVO ein und erklären, wobei es sich bei Datenschutz durch Technikgestaltung (bzw. Privacy by Design) und Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) handelt.
Wenn man die Bekanntheit spezieller Themen der DSGVO in einer Rangliste einordnen würde, wäre dieses Thema wahrscheinlich einen der letzten Sätze besetzen, weil unbegründeter Weise sehr selten darüber gesprochen und dieser Vertrag dazu gescheut wird: die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO. Der Auftragsverarbeitungsvertrag scheint einfach eine höhere Popularität zu besitzen. Weshalb dies wirklich der Fall ist, scheint unklar. Zu vernachlässigen ist der Vertrag zur gemeinsamen Verantwortlichkeit allerdings auf keinen Fall.
Man kann wahrscheinlich behaupten, dass die Mehrheit der Einrichtungen und Unternehmen personenbezogene Daten verarbeiten. Das lässt sich meist einfach nicht vermeiden. Weshalb auch immer ein Unternehmen personenbezogene Daten verarbeitet, es muss darauf achten, dass eine Rechtmäßigkeit zur Verarbeitung dieser Daten vorliegt.
Wann immer eine Einrichtung – der Verantwortliche – plant, Unternehmensdaten von einer anderen Firma verarbeiten zu lassen, sollte sich der Verantwortliche vor Abschluss des Dienstleistungsvertrages bzw. vor Beginn der Verarbeitung mehrere wichtige Fragen zur Eignung dieses Dienstleisters stellen. Eine essentielle Frage dabei ist, ob ein Auftragsverarbeitungsvertrag gemäß Artikel 28 DSGVO abzuschließen ist und der potentielle Auftragsverarbeiter die Bereitschaft zum Abschluss eines solchen Vertrages zeigt.
Sobald Sie anfangen, sich in Ihrem Unternehmen mit dem Datenschutz auseinanderzusetzen, sollte Sie überlegen, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen. Darauf und was dabei zu beachten ist, erklären wir in diesem Beitrag.
Die DSGVO und die Medien erwähnen es entweder nicht explizit oder nicht oft, aber ein brisantes Thema und wichtiger Aspekt des Datenschutzmanagements ist es dennoch. Schon anhand des aktuell viel diskutierten – inzwischen unwirksamen – Bußgeldbescheides gegen Deutsche Wohnen SE wird ersichtlich, dass ein Löschkonzept von hoher Wichtigkeit ist.
Eine mögliche Meldung einer Datenpanne an die Datenschutzaufsichtsbehörde und auch den betroffenen Personen ist immer ein Ereignis, was möglichst jeder Verantwortliche vermeiden möchte. Dabei sollte ein Verantwortlicher aber auch beachten, welchem Prozedere er bei der Meldung folgen muss, sofern denn eine zu melden ist.
Technische und organisatorische Maßnahmen – ein Unternehmen sollte diesen bei der Umsetzung des Datenschutzes auf jeden Fall Beachtung schenken. Wem sie ein Fremdwort sind, der sollte weiterlesen.
Beim Datenschutz gibt es Themen, welche immer wieder für Verwirrung sorgen. Eines davon ist die Auftragsverarbeitung. Zum einen rührt die Verwirrung eventuell daher, dass dieser Begriff nach dem BDSG a. F. als Auftragsdatenverarbeitung bekannt ist. Seit dem 25. Mai 2018 nennt es die DSGVO, die an diesem Tag in Kraft trat, aber Auftragsverarbeitung. Zum anderen kann die Ratlosigkeit auch daher kommen, dass es sich generell nicht auf einfache Weise erklären lässt, bei welchen Vorgängen es sich um Auftragsverarbeitung handelt.
Wie in einem der früheren Beiträge zum Thema der Rechte betroffener Personen erwähnt, besitzt ein Betroffener die Hoheit über seine Daten. Dies weitet sich auch auf das Widerspruchsrecht, auch gegen automatisierte Entscheidungen im Einzelfall aus. Allerdings gibt es wiederum auch Einschränkungen zu diesen Rechten: wenn Interessen, Freiheiten etc. die Rechte des einzelnen Betroffenen überwiegen.
Die Datenschutzerklärung ist ein wichtiger Bestandteil beim Aufbau eines guten Datenschutzmanagementsystems. Hat ein Unternehmen diese nicht auf der Webseite oder nicht korrekt, drohen empfindliche Bußgelder, Schadenersatzansprüche Betroffener oder Abmahnverfahren des Wettbewerbs.
Rechte nach Artikel 15 – 20 DSGVO – betroffene Personen, deren Daten verarbeitet werden, haben bestimmte Rechte, wenn es um die Verarbeitung ihrer Daten geht. Darüber genauer informieren kann man sich in Art. 15 – 20 DSGVO.
Bei der Erarbeitung des Datenschutzes gibt es ein Dokument, was ein Unternehmen oft vor sich hinschiebt: das Verzeichnis von Verarbeitungstätigkeiten. Wir betrachten es näher und erklären, wann es zu erstellen ist und was es beinhalten sollte.
Kapitel 3 DSGVO beschäftigt sich ausschließlich mit den Rechten betroffener Personen bei der Verarbeitung ihrer Daten. In diesem Beitrag betrachten wir die Rechte nach Artikel 12 – 14 DSGVO etwas näher.
Mit Einführung der DSGVO haben die Personen, deren Daten Unternehmen verarbeiten, mehr Rechte bezüglich ihrer Daten. In der DSGVO befasst sich ein ganzes Kapitel damit: die Rechte Betroffener. Nicht nur das, man erhält auch Einblick in die Pflichten, die verantwortliche Unternehmen treffen und die sie einzuhalten haben.
So manch eine Person hat sich beim Gespräch über Datenschutz schon dabei ertappt, die Bedeutung eines Wortes im Sinne der DSGVO noch nicht so ganz zu kennen. Dies passiert oft mit dem Wort (Daten-)Verarbeitung (Art. 4 Nr. 2 DSGVO). Hier erklären wir kurz den Begriff und helfen, ihn so zu verstehen, wie er in der DSGVO definiert wurde.
Die EU-Datenschutzgrundverordnung – kurz EU-DSGVO – hat so einige neue Begriffe eingeführt bzw. altbekannte Begriffe teilweise neu definiert, die seit dem 25. Mai 2018 an Wichtigkeit gewonnen haben. Die Ausdrücke „personenbezogenes Datum“ bzw. in der Mehrzahl „personenbezogene Daten“ sind zwei davon.
| +49 (0) 355 - 78427884 | |
| +49 (0) 355 - 49459824 |
| info@dpc-datenschutz.de | |
| www.dpc-datenschutz.de |
