Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Mitteilungspflicht Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, bestehen grundsätzlich die gleichen Informationspflichten wie bei der Direkterhebung. Da die betroffene Person aber nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis davon hat, welche personenbezogenen Daten erhoben wurden, ist der Verantwortliche nach Art. 14 Ab...mehr

Den Verantwortlichen treffen bereits bei der Erhebung personenbezogener Daten Informationspflichten gegenüber der betroffenen Person. Der Umfang der Informationspflichten ist davon abhängig, ob die personenbezogenen Daten direkt bei der betroffenen Person (Direkterhebung, Art. 13 DSGVO) oder bei einem Dritten (Dritterhebung, Art. 14 DSGVO) erhoben werden und ob die Verarbeit...mehr

Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Sollte aber eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten bestehen (z. B. aus dem Handels- oder Steuer...mehr

Nach Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten dem Zweck nach angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Wichtig Nur notwendige Daten Die Formulare sollten nur Eingabefelder für solche Daten enthalten, die notwendig sind, um den Sinn und Zweck der Kontaktaufnahme zu erfüllen. Werden darüber hinaus weitere Anga...mehr

mehr

Betroffene haben unter bestimmten Voraussetzungen einen Anspruch darauf, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Betroffene kann damit seine Daten von einem Anbieter zu einem anderen "mitnehmen". Das Recht besteht bei jeder automatisierten Verarbeitung personenbezogener Daten auf der Basis e...mehr

Durch geeignete technische und organisatorische Maßnahmen (vgl. Art. 25 und 32 DSGVO) ist eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Informationen, die ohne Verschlüsselung über das Internet gesendet werden, können während der Übertragung unberechtigt gelesen werden. Um die Integrität der erfassten Daten zu gewährleisten, sollten Kontaktformular...mehr

Der Verantwortliche und der Auftragsverarbeiter haben nach Art. 37 DSGVO zwingend einen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder die ...mehr

Unter Direktwerbung versteht man die unmittelbare Ansprache von Zielpersonen, z. B. postalisch, per E-Mail, Telefon, Fax oder SMS. Bei Wohnungsunternehmen beschränkt sich die Direktwerbung von Kunden oder potenziellen Kunden hauptsächlich auf die Versendung von Werbung per Brief oder E-Mail. Dementsprechend wird im Folgenden ein besonderes Augenmerk auf diese beiden Kommunik...mehr

Will der Auftragsverarbeiter Subunternehmer (also weitere Auftragsverarbeiter) für die Erbringung der vereinbarten Dienstleistung einsetzen, so bedarf dies der vorherigen schriftlichen Genehmigung durch den Verantwortlichen, sofern keine allgemeine Genehmigung vorliegt. Ist im Vertrag zwischen Auftraggeber und Auftragsverarbeiter eine allgemeine Genehmigung für den Einsatz v...mehr

Zusammenfassung Überblick Der betriebliche Datenschutzbeauftragte spielt auch in der EU-einheitlichen Gesetzgebung unter der DSGVO eine entscheidende Rolle in der betrieblichen Selbstkontrolle nichtöffentlicher Unternehmen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben. Das folgende Kapitel soll über die Pflicht zur Bestellung eines Datenschutzbeauftragten so...mehr

Zusammenfassung Überblick Der Verantwortliche, also das Geschäftsführungsorgan, ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Jederzeit muss der Nachweis erbracht werden können, dass bei der Verarbeitung dieser Daten die Datenschutzgrundsä...mehr

Mitzuteilen sind: der Name bzw. die Firma und die Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, das berechtigte Interesse, falls die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten ber...mehr

Verantwortliche müssen nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten haben. Daraus ergeben sich Dokumentationspflichten. 8.1 Verfahrensverzeichnisse Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu ...mehr

Verpflichtungen für Wohnungsunternehmen, die sich aus der DSGVO ergebenmehr

Kommt es zu Datenschutzverletzungen, hat der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen. Die Meldepflicht entfällt, wenn die Datenschutzverletzung voraussichtlich nich...mehr

"Betroffener" ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.mehr

Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, hat der Verantwortliche den Betroffenen vor dieser Weiterverarbeitung zu unterrichten. Eine Betroffenheit bei Wohnungsunternehmen könnte dann bestehen, wenn die Daten von Personen, die dem Wohnungsunternehmen im Rahmen der WEG-Verwaltung bekannt geworden sind, z...mehr

"Empfänger" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden.mehr

Der Verantwortliche hat vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung – insbesondere bei Verwendung neuer Technologien – voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen kann. Der D...mehr

Die getroffenen technischen und organisatorischen Maßnahmen sind zu dokumentieren. Schutzziele der Gesamtheit der getroffenen technischen und organisatorischen Maßnahmen sind die Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit (Art. 32 Abs. 1 DSGVO) und der Belastbarkeit der Maßnahmen/Systeme (engl. resilience). Nähere Angaben, wie die Belastbarkeit zu g...mehr

Auftragsverarbeiter: ______________________________________ Auftragsverhältnis: _______________________________________mehr

Die Maßnahmen zum Datenschutz sollen die personenbezogenen Daten von natürlichen Personen vor Missbrauch schützen. Die Datensicherheit zielt originär auf die zu schützenden Daten ab, ungeachtet ihrer Verwendung und ihres Informationsgehalts. Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine ang...mehr

Eine Einwilligung ist jede freiwillig und in informierter Weise (also in Kenntnis des geplanten Zwecks) und unmissverständlich abgegebene Willensbekundung des Betroffenen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der er zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Auch wenn eine s...mehr

Bei der Direkterhebung sind folgende Informationen mitzuteilen: der Name bzw. die Firma und die Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, das berechtigte Interesse, falls die Datenerhebung auf einem berechtigten Interes...mehr

Verantwortliche haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen. Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein solches Verzeichnis zu führen, sofern die Verarbeitung personenbezogener Daten gelegentlich erfolgt und keine besonders schutzwürdigen pe...mehr

Dem Betroffenen sind folgende Informationen zur Verfügung zu stellen: die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer, die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit), das Recht zum jederzeitigen Widerruf einer Einwilligung und die Ta...mehr

Der Auftragsverarbeiter hat den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung seiner Pflichten bei erfolgten Datenschutzverletzungen und bei Datenschutz-Folgenabschätzung zu unterstützen. Einschlägig sind folgende gesetzliche Vorschriften: Art. 33 DSGVO: Meldung von Datenschutzverletzungen an d...mehr

Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss die Einhaltung nachweisen können. Daraus ergeben sich Dokumentationspflichten (vgl. Dokumentationspflichten).mehr

Für den Benutzer muss transparent sein, ob und welche personenbezogenen Daten erhoben und wie sie genutzt werden. Dies ergibt sich aus dem Transparenzprinzip, das zu den bereits genannten Informationspflichten führt. In der Datenschutzerklärung müssen demnach Ausführungen über Art, Umfang und Zweck der Onlineformulare enthalten sein. In den Formularen selbst muss auf die Date...mehr

7.1 Berichtigung (Art. 16 DSGVO) Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden. Weiter kann verlangt werden, dass unter Berücksichtigung der Zwecke der Verarbeitung unvollständige personenbezogene Daten ggf. mittels ergänzender Erklärung vervollständigt werden. 7.2 Löschungsrechte (Art. 17 DSGVO) Sind Daten für die V...mehr

Auftragsverarbeiter erheben, verarbeiten oder nutzen personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen. Die eigentlich betroffene Aufgabe/ Funktion verbleibt beim Auftraggeber. Bei der Auftragsverarbeitung bestehen besondere einzuhaltende vertragliche Pflichten. Zusätzlich bestehen Dokumentationspflichten. Auftragsverarbeitungen in der Wohnungswirtschaft...mehr

"Profiling" ist jede Art der automatisierten Verarbeitung, bei der personenbezogene Daten dazu verwendet werden, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, zu analysieren oder vorherzusagen. Das Profiling kann sich auf die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort ...mehr

"Pseudonymisierung" ist die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Pseudonymisierung ist nur gegeben, wenn die zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahme...mehr

Betroffene haben das Recht, vom Verantwortlichen eine Bestätigung zu verlangen, ob eine Verarbeitung personenbezogener Daten erfolgt ist. 2.1 Form und Inhalt des Auskunftsbegehrens Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonderen Anforderungen an Form und Inhalt und ist auch nicht zu begründen. Nach Erwägungsgrund 63 DSGVO dient das Auskunftsr...mehr

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Onlinekennung oder einem oder mehreren besonderen Merkmalen, ...mehr

Der Begriff der Verarbeitung ist weit gefasst. Damit wird jedes Verfahren (also auch solche ohne Einsatz elektronischer Datenverarbeitung) erfasst, mit dem personenbezogene Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, übermittelt, verbreitet, abgeglichen, verknüpft, gelöscht oder vernichtet werden.mehr

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Sicherheit verarbeiteter personenbezogener Daten unbeabsichtigt oder unrechtmäßig verletzt wird – durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung.mehr

Überblick Der Verantwortliche, also das Geschäftsführungsorgan, ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Jederzeit muss der Nachweis erbracht werden können, dass bei der Verarbeitung dieser Daten die Datenschutzgrundsätze der DSGVO u...mehr

Nach Art. 40 DSGVO können Verbände, die Verantwortliche oder Auftragsverarbeiter vertreten, Verhaltensregeln, mit denen die Anwendung der DSGVO präzisiert wird, ausarbeiten, ändern oder erweitern. Bisher sind solche Verhaltensregeln für die Dienstleister von Wohnungsunternehmen noch nicht herausgegeben worden.mehr

Es erscheint sinnvoll, ein Datenschutzkonzept zu erstellen und zu dokumentieren, das auf den Säulen Dokumentation, Information und Einzelfallprüfungen der entsprechenden Prozesse und ggf. Einschaltung eines internen oder externen Datenschutzbeauftragten beruht. Nach Art. 32 DSGVO sind alle Sicherungsmaßnahmen am Risiko auszurichten. Deshalb sollte zunächst eine Risikoanalyse...mehr

Erfolgt die Verarbeitung aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), ist die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation darüber zu informieren, dass sie der Verarbeitung widersprechen kann. Zu Einzelheiten des Widerspruchsrechts vergleiche Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5.5 Widerspruchsrechte und z...mehr

Zusammenfassung Überblick Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden: Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO), Pflichten bei der Auftragsverarbeitung, Informationspflichten bei der Datenerhebung, Auskunfts- und Berichtigungspflichten ...mehr

Stammdaten Name oder Firma der verantwortlichen Stelle ___________________________ Anschrift der verantwortlichen Stelle ___________________________ Datenschutzbeauftragter Externer Datenschutzbeauftragter bestellt über WTS Wohnungswirtschaftliche Treuhand Stuttgart GmbH Herdweg 52/54, 70174 Stuttgart Telefon: 0711/16345410 Mail: dsb-wts@wts-vbw.de Aufsichtsbehörde Der Landesbeauftrag...mehr

Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, bestehen grundsätzlich die gleichen Informationspflichten wie bei der Direkterhebung. Da die betroffene Person aber nicht an der Datenerhebung mitgewirkt hat und somit auch keine Kenntnis davon hat, welche personenbezogenen Daten erhoben wurden, ist der Verantwortliche nach Art. 14 Abs. 1 lit. d D...mehr

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der Auftragsverarbeitungen zu führen. Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten. 8.3.1 Checkliste: Prüfung und Dokumentation der Auftragsverarbeitung Auftragsverarbeit...mehr

Teilweise installieren Bewohner eines Mehrparteienhauses eine Videoüberwachung in ihrer Wohnung. Wird eine Videoüberwachung von einer natürlichen Person ausschließlich zum Zweck "ausschließlich persönlicher und familiärer Interessen" betrieben, ist die Datenschutz-Grundverordnung nicht anwendbar. Dies ist aber nur dann der Fall, wenn die Videoüberwachung auf die eigenen Wohn...mehr

Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO und der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und auch nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Zur Erfüllung der Nachweispflichten ist es deshalb zu empfehlen, die Mitarbeiter schriftlich auf das Datengeheimnis zu verpflichten. Mitarbe...mehr

Gemäß Art. 35 DSGVO ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Form der Verarbeitung – insbesondere bei Verwendung neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Der Verantwo...mehr

Nach Art. 42 DSGVO ist vorgesehen, Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen einzuführen, um die Transparenz zu erhöhen und die Einhaltung der DSGVO zu verbessern. Durch diese Zertifizierungen soll den betroffenen Personen ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglicht werden. Die Zertifizierung...mehr