Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Auch im Hinblick auf die Bestellpflicht existiert eine Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO, die dem nationalen Gesetzgeber das Recht auf weitergehende Regelungen einräumt. Die Öffnungsklausel beschränkt den Gesetzgeber jedoch auf die Formulierung zusätzlicher Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Eine von der DSGVO abweichende ...mehr

Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden.mehr

In Art. 39 Abs. 1 lit. d und e DSGVO wird das Verhältnis des Datenschutzbeauftragten zur Aufsichtsbehörde bestimmt. Der Datenschutzbeauftragte hat mit der Aufsichtsbehörde zusammenzuarbeiten und dient als ihr direkter Ansprechpartner in Bezug auf die Verarbeitung personenbezogener Daten.mehr

Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen spezifischen Pflichten als Auftragsverarbeiter aus der DSGVO nicht nachgekommen ist oder rechtmäßig erteilte Anweisungen des für die Datenverarbeitung Verantwortlichen nicht beachtet oder gegen diese Anweisungen gehandelt hat.mehr

Der Datenschutzbeauftragte hat neben der Überwachungsfunktion insbesondere eine Beratungsfunktion. Nach Art. 39 Abs. 1 lit. a DSGVO berät und unterrichtet er die Unternehmensleitung und auch die Beschäftigten über die sich aus den datenschutzrechtlichen Vorschriften ergebenden Pflichten.mehr

In Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOM) wird dargelegt, dass bei der Verarbeitung von personenbezogenen Daten immer ein dem Risiko angemessenes Schutzniveau zu gewährleisten ist. Daraus ergibt sich, dass sowohl die Aufzeichnungen selbst als auch die Übertragungswege von der Kamera bis zum Speichermedium insbesondere vor unbefugtem Z...mehr

Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, hat der Verantwortliche den Betroffenen vor dieser Weiterverarbeitung zu unterrichten. Die Pflicht könnte bei Wohnungsunternehmen allenfalls dann bestehen, wenn die dem Wohnungsunternehmen in einem anderen Zusammenhang bekannt gewordenen Daten (z. B. bei der WEG...mehr

Aufgaben des Datenschutzbeauftragten Vorangehend wurde bereits eine Kernaufgabe des Datenschutzbeauftragten als "Anwalt der Betroffenen" erwähnt. Die weiteren konkreten Aufgaben ergeben sich aus Art. 39 DSGVO: Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsich...mehr

Aus Art. 28 Abs. 1 DSGVO ergibt sich zunächst die Pflicht, die Geeignetheit eines Auftragsverarbeiters zu prüfen. Der Auftraggeber muss sich also vor Auftragserteilung darüber informieren, ob der Auftragnehmer in der Lage ist, die notwendigen technischen und organisatorischen Maßnahmen in geeigneter Weise umzusetzen und auf einem ausreichenden Stand zu halten. Dabei muss der...mehr

Ein Datenschutzbeauftragter ist gemäß Art. 37 Abs. 5 DSGVO nach Maßgabe der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts sowie der Datenschutzpraxis und der Fähigkeit, die ihm nach Art. 39 DSGVO zugewiesenen Aufgaben zu erfüllen, zu benennen. Der zu benennende Datenschutzbeauftragte muss dementsprechend über rechtliche, organisatorische ...mehr

Merkblatt zur Verpflichtungserklärung Dieses Merkblatt soll Ihnen einen Überblick über die einzuhaltenden datenschutzrechtlichen Vorschriften geben. Die Darstellung ist nicht vollständig. Sollten Sie sich in Bezug auf die Einhaltung datenschutzrechtlicher Vorschriften nicht sicher sein, wenden Sie sich bitte an Ihren Vorgesetzten. Weiter...mehr

Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlichkeit zu wahr...mehr

Art. 38 Abs. 1 und 2 DSGVO regeln den Anspruch des Datenschutzbeauftragten auf Einbindung und Unterstützung. Die verantwortliche Stelle und der Auftragsverarbeiter haben Folgendes sicherzustellen: Die ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen, Unterstützung bei der Erfüllung der Aufgaben nach Art. 39 DSGVO...mehr

Überblick Der betriebliche Datenschutzbeauftragte spielt auch in der EU-einheitlichen Gesetzgebung unter der DSGVO eine entscheidende Rolle in der betrieblichen Selbstkontrolle nichtöffentlicher Unternehmen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben. Das folgende Kapitel soll über die Pflicht zur Bestellung eines Datenschutzbeauftragten sowie dessen Rech...mehr

Die Bestellung des Datenschutzbeauftragten ist an keine besondere Form gebunden. Somit wäre auch eine mündliche Bestellung denkbar. Aus Gründen der Dokumentation und vor allem der Rechtssicherheit empfiehlt sich jedoch die schriftliche Bestellung. Musterschreiben: Bestellung zum Datenschutzbeauftragten Die _____________ eG / GmbH _______________________ (Straße und Hausnummer) _...mehr

Die dokumentierte Weisung umfasst die Beschreibung des Umfangs bzw. des Gegenstands der Dienstleistung des Auftragsverarbeiters, die Dauer des Auftragsverhältnisses und die Verpflichtung des Auftragnehmers, den Auftraggeber darauf hinzuweisen, wenn nach Auffassung des Auftragnehmers die Weisung gegen die datenschutzrechtlichen Bestimmungen verstößt. Musterformulierung: Dokument...mehr

Der Auftraggeber und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und orga...mehr

Alternativ zur Bestellung eines betrieblichen Datenschutzbeauftragten auf Basis eines Beschäftigungsverhältnisses kann nach Art. 37 Abs. 6 DSGVO auch ein externer Datenschutzbeauftragter auf Grundlage eines Dienstvertrags bestellt werden. Eine Unternehmensgruppe (Konzern) kann einen gemeinsamen Datenschutzbeauftragten (Konzerndatenschutzbeauftragter) bestellen. Die Voraussetz...mehr

Nach Art. 28 DSGVO sind bei Auftragsverarbeitungen folgende vertragliche Vereinbarungen zu treffen: Es muss ein schriftlich oder elektronisch dokumentierter Vertrag über die Auftragsverarbeitung vorliegen. Der Auftragsverarbeiter wird nur auf dokumentierte Weisung des Verantwortlichen handeln. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung rechtswidrig ist, hat ...mehr

mehr

Zur Prüfung und Dokumentation, ob die datenschutzrechtlichen Verpflichtungen bei Einschaltung eines Auftragsverarbeiters eingehalten sind, empfiehlt sich die Verwendung einer Checkliste. Mit dieser Checkliste kann dokumentiert werden, dass die Geeignetheit des Auftragnehmers vorab geprüft wurde und die – in der Regel von den Auftragnehmern vorbereiteten – vertraglichen Verei...mehr

Um die Mitarbeiter für den Datenschutz zu sensibilisieren, empfiehlt es sich, sie bereits bei der Einstellung auf die Einhaltung des Datengeheimnisses zu verpflichten, obwohl nach Art. 28 Abs. 3 lit. b DSGVO nur Auftragsverarbeiter ihre Mitarbeiter zur Vertraulichkeit verpflichten müssen. Zu Einzelheiten siehe Kap. 4 Verpflichtung der Mitarbeiter auf das Datengeheimnis.mehr

Eine weitere Hauptaufgabe ist die Überwachung der Einhaltung der Datenschutzvorgaben (Art. 39 Abs. 1 lit. b DSGVO). Dies ist im Sinne der Compliance des Unternehmens zu verstehen. Der Datenschutzbeauftragte bezieht in die Überwachung auch die Unternehmensstrategien zum Schutz personenbezogener Daten ein. Hierunter fallen auch die organisatorischen Zuständigkeiten sowie die V...mehr

Gemäß Art. 37 Abs. 7 DSGVO muss der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Die Kontaktdaten sind sowohl innerhalb des Unternehmens (Intranet, Organigramm) als auch außerhalb, beispielsweise auf der Unternehmenshomepage, zu veröffentlichen, damit Betroffene mit dem Datenschutzbeauftragten...mehr

Der Datenschutzbeauftragte ist gemäß den gesetzlichen Vorgaben ausschließlich und unmittelbar der höchsten Managementebene berichtspflichtig (Art. 38 Abs. 3 Satz 3 DSGVO). Eine gesetzliche Pflicht zur Erstellung eines Tätigkeitsberichts besteht nicht. Es ist allerdings empfehlenswert, dass der Datenschutzbeauftragte in regelmäßigen Abständen einen Bericht erstellt, um den Do...mehr

Nach Art. 30 DSGVO hat der Auftraggeber ein Verzeichnis der bestehenden Auftragsverarbeitungen zu führen. Hinweis Praxishinweis Es empfiehlt sich, die gesamten Unterlagen zur Auftragsverarbeitung an einer zentralen Stelle im Unternehmen aufzubewahren – entweder in einem separaten physischen Ordner (ggf. auch nur die Kopien der Vereinbarungen) oder im digitalen Archiv. Im Fall ...mehr

Verpflichtungserklärung zur Wahrung des Datengeheimnisses Sehr geehrter Herr ________ / Sehr geehrte Frau ________, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen sind Sie mit der Verarbeitung personenbezogener Daten befasst. Wir weisen Sie hiermit darauf hin, dass es Ihnen untersagt ist, personenbezogene Daten ...mehr

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt (Art. 39 Abs. 2 DSGVO). Diese Regelung bedingt die Unabhängigkeit des Datenschutzbeauftragten. Nur wenn er weisungsfrei darüber entscheiden kann, ...mehr

Gemäß Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorische...mehr

Während die DSGVO eher allgemein von den Schutzzielen spricht, wird im BDSG in den Absätzen 2 und 3 des § 64 BDSG konkretisiert, wie diese Ziele in Bezug auf die IT-Anlagen erreicht werden sollen. Zwar ist § 64 BDSG nur für Justiz und Polizei anzuwenden, doch ergeben sich daraus auch Hinweise, wie die technischen und organisatorischen Maßnahmen in anderen Bereichen zu gestal...mehr

Es sind vertragliche Regelungen zu treffen, die es dem Auftraggeber erlauben, die Einhaltung der datenschutzrechtlichen Regelungen beim Auftragsverarbeiter vor Ort zu überprüfen. Das Inspektionsrecht hat das Ziel, die Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO bzw. dem BDSG vor Ort überprüfen zu können. Praxis-Beispiel Musterformulierung "Der ...mehr

Werden personenbezogene Daten im Auftrag durch andere Personen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung vor (Art. 8 Abs. 1 DSGVO). Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Dem Auftragsverarbei...mehr

2.1 Grundätze Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlic...mehr

1.1 Bestellpflicht nach DSGVO und BDSG 1.1.1 Nach Art. 37 DSGVO Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten: Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihres W...mehr

Es ist sicherzustellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mithilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Die Maßnahmen der Zugangskontrolle dienen auch der Übertragungskontrolle. Praxis-Beispiel Musterformulierung "Die Datenübertragung erfolgt grundsätzlich v...mehr

1.2.1 Qualifikation des Datenschutzbeauftragten Ein Datenschutzbeauftragter ist gemäß Art. 37 Abs. 5 DSGVO nach Maßgabe der beruflichen Qualifikation und des Fachwissens auf dem Gebiet des Datenschutzrechts sowie der Datenschutzpraxis und der Fähigkeit, die ihm nach Art. 39 DSGVO zugewiesenen Aufgaben zu erfüllen, zu benennen. Der zu benennende Datenschutzbeauftragte muss dem...mehr

Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Wir verweisen auf die Ausführungen in Kap. 5 Auftragsverarbeitung. Praxis-Beispiel Musterformulierung "Die Auftragskontrolle ergibt sich aus der gesonderten Dokumentation der Auftragsverarbeitung, hierauf wird verwiesen."mehr

2.1 Unabhängigkeit Bei der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte unabhängig und weisungsfrei (Art. 38 Abs. 3 Satz 1 DSGVO). Ihm dürfen keine Vorgaben zur Art und Weise der Ausübung seiner datenschutzrechtlichen Tätigkeit gemacht werden. 2.2 Abberufungs- und Benachteiligungsverbot Des Weiteren besteht ein gesetzliches Abberufungs- und Benachteiligungsverbot (A...mehr

4.1 Grundsätze Der Verantwortliche hat nach Art. 24 Abs. 1 DSGVO und der Auftragsverarbeiter nach Art. 28 Abs. 1 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und auch nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Zur Erfüllung der Nachweispflichten ist es deshalb zu empfehlen, die Mitarbeiter schriftlich auf das Datengeheimnis zu verpfli...mehr

Durch die technischen und organisatorischen Maßnahmen sollen dauerhaft die Schutzziele Vertraulichkeit (Schutz vor unberechtigtem Zugriff), Integrität (keine unbefugte Änderung), Verfügbarkeit (ständige Erreichbarkeit/Einsatzfähigkeit bzw. keine unbefugte Veränderung der Funktionalität), Belastbarkeit der Systeme und Dienste (Widerstandsfähigkeit der IT im Fehlerfall, bei Störun...mehr

Für die vom Auftragnehmer gespeicherten personenbezogenen Daten gelten die gleichen Löschpflichten, wie die vom Auftraggeber gespeicherten personenbezogenen Daten. Praxis-Beispiel Musterformulierung "Nach Abschluss der Datenverarbeitung löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht...mehr

Wesentlich für die Gewährleistung des Datenschutzes und der Datensicherheit ist das Verhalten der Mitarbeiter. Die Mitarbeiter sollten jährlich durch Schulungen für den Datenschutz und die Datensicherheit sensibilisiert werden. Bei der Neueinstellung sollten sie auf das Datengeheimnis verpflichtet werden. 3.3.1 Verpflichtung auf das Datengeheimnis Um die Mitarbeiter für den Da...mehr

Unklar ist, wie weit der Auskunftsanspruch des Betroffenen und insbesondere die Aushändigung von Kopien geht. Nach Art. 15 Abs. 4 DSGVO ist das Recht auf Erhalt einer Kopie begrenzt, wenn dadurch die Rechte und Freiheiten anderer Personen beeinträchtigt werden; darunter fallen nach Erwägungsgrund 63 Satz 5 auch Geschäftsgeheimnisse, geistiges Eigentum oder Urheberrechte an S...mehr

Ohne eine ausreichende Kennzeichnung ist der Betrieb einer Videoüberwachung grundsätzlich unzulässig. Es muss sichergestellt sein, dass der Umstand der Videoüberwachung für Betroffene vor dem Betreten des überwachten Bereichs leicht erkennbar ist. Bei der Speicherung von Videoaufzeichnungen werden zudem die Informationspflichten nach Art. 13 DSGVO ausgelöst. Schilder mit nur...mehr

Der Begriff "Malware" ist eine Zusammensetzung aus den englischen Wörtern malicious (bösartig) und software. Damit werden Computerprogramme bezeichnet, die vom Benutzer unerwünschte und ggf. schädliche Funktionen ausführen. "Malware" wird als Ober- oder Sammelbegriff verwendet, um die große Bandbreite an feindseliger und/oder unerwünschter Software zu beschreiben. Sie lassen...mehr

mehr

Folgende Rechte der Betroffenen können sich auf die Auftragsverarbeitung auswirken (vgl. Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5 Rechte der Betroffenen): Auskunftsrechte, Berichtigungs- und Vervollständigungsrechte, Löschungsrechte bzw. das Recht auf Einschränkung der Verarbeitung. Da der Auftragsverarbeiter quasi im Innenverhältnis für den Verantwortlichen...mehr

Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern ist zu verhindern. Die Datenträgerkontrolle dient der Sicherstellung, dass Übermittlungen von personenbezogenen Daten nur im Rahmen der Kompetenzen der berechtigten Personen möglich sind. Instrumente der Datenträgerkontrolle sind: das sichere Aufbewahren von Datenträgern, die Einrichtung von Standleitungen o...mehr

Es muss nachträglich überprüft und festgestellt werden können, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Diese Vorgabe ist durch Protokollierungen zu gewährleisten (analog § 76 BDSG). Die Protokolle müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und,...mehr

Die Benutzerkontrolle soll die Nutzung automatisierter Verarbeitungssysteme durch Unbefugte verhindern, z. B. durch die Vergabe von Passwörtern. Instrumente der Benutzerkontrolle sind: Festlegung der zugangsberechtigten Mitarbeiter, Authentifizierung mit Benutzername und Passwort, regelmäßige Kontrolle der vergebenen Berechtigungen, Sperrung von Berechtigungen ausscheidender Mita...mehr