Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern ist die Vertraulichkeit und Integrität der Daten zu schützen. Auch beim Transport von Datenträgern ist sicherzustellen, dass diese nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Transporte physischer Datenträger betreffen i. d. R. den Transport von Datensicherungsmedien. Die ...mehr

Alle Funktionen des IT-Systems müssen zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Die Zuverlässigkeit ist ein Teilaspekt der Verfügbarkeitskontrolle. Unternehmen haben ein starkes Interesse daran, ihre IT-Systeme funktionsfähig zu halten und frühzeitig über auftretende Fehlfunktionen informiert zu werden. Informationen der Aufsichtsbehörden, wie die ...mehr

Zu unterschiedlichen Zwecken erhobene personenbezogene Daten müssen getrennt verarbeitet werden können. Das Trennungsgebot soll die zweckgebundene Verarbeitung personenbezogener Daten sicherstellen. Das bedeutet, dass zu unterschiedlichen Zwecken erfasste Daten nicht zusammengeführt und nur nach ihrer Zweckbestimmung getrennt voneinander verarbeitet werden dürfen. Getrennt w...mehr

Das Internet und die E-Mail-Dienste bieten für Betrüger große Vorteile, weil ohne großen Aufwand schnell eine große Anzahl von Menschen erreicht werden kann, und dies, ohne sich selbst zeigen zu müssen. Durch das Kapern von Kontaktdaten auf Servern können Kriminelle ihre Schadsoftware schnell weiterverbreiten. Letztlich basieren auch die Betrugsversuche im Internet auf den "...mehr

Der Datenschutzbeauftragte fungiert als "Anwalt der Betroffenen" und überwacht die Einhaltung der Datenschutzvorschriften. Operative Aufgaben treten dabei eher in den Hintergrund. Die Tätigkeit ist aufgrund des Schwerpunkts in der Überwachung zunehmend der Compliance zuzuordnen. Darüber hinaus berät er das Unternehmen und dessen Mitarbeiter zu Fragen des Datenschutzes. Er bi...mehr

Bei der Pseudonymisierung wird ein Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt und damit die Identifizierung des Betroffenen ausgeschlossen oder zumindest erschwert. Werden Kundendaten zur Analyse des Kundenverhaltens für Zwecke der Marktforschung ausgewertet, werden hierfür die Namen der Kunden nicht benötigt und eine Pseudonymisierung ist sinn...mehr

Die Mitarbeiter des Auftragsverarbeiters sind auf Vertraulichkeit zu verpflichten. Es verwundert, dass die Mitarbeiter des Auftragnehmers auf die Verschwiegenheit zu verpflichten sind, während diese Verpflichtung für die Mitarbeiter des Auftraggebers nicht zwingend sein soll. Zu Einzelheiten der Verpflichtungserklärung vergleiche oben Kap. 4 Verpflichtung der Mitarbeiter auf...mehr

Nur Berechtigte dürfen Zugang zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten haben. Personenbezogene Daten sollen davor geschützt werden, bei der Verarbeitung, Nutzung oder nach ihrer Speicherung unbefugt gelesen, kopiert, verändert oder entfernt zu werden. Damit hängt auch die Zugriffskontrolle eng mit der Zugangskontrolle zusammen. Zahlreiche Maßnah...mehr

Die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten ist zu verhindern. Instrumente der Speicherkontrolle sind: Festlegung von Berechtigungen in den IT-Systemen, Differenzierung der Berechtigungen (lesen, löschen und ändern), Verwaltung der Rechte durch Systemadministratoren, Minimi...mehr

Bei der Verschlüsselung werden Daten in eine Form umgewandelt, die auch als "Chiffretext" bezeichnet werden kann und die von nicht autorisierten Personen ohne den passenden Code oder Schlüssel nicht zu verstehen ist. Bei der Entschlüsselung werden diese verschlüsselten Daten wieder in ihre ursprüngliche Form konvertiert, um sie lesbar zu machen. Es gibt verschiedene Verschlü...mehr

Die eingesetzten IT-Systeme müssen im Störungsfall wiederhergestellt werden können. Die Daten sind zu dem Zeitpunkt wiederherzustellen, zu dem ein Ausfall erfolgt ist. Die Wiederherstellung nach einem Störfall erfordert nicht nur die Verfügbarkeit aktueller Datensicherungen, sondern es muss auch ein vordefinierter Plan vorhanden sein (Notfallplan), um Daten auf neuer Hardware...mehr

Gespeicherte personenbezogene Daten dürfen nicht durch Fehlfunktionen des Systems beschädigt werden können. Die Datenintegrität wird vor allem durch die Maßnahme "Zugangskontrolle" gewährleistet. Praxis-Beispiel Musterformulierung "Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten betroffener Personen d...mehr

Bereits bei der Erhebung personenbezogener Daten treffen den Verantwortlichen Informationspflichten. Datenerhebung ist immer ein aktiver Prozess. Werden dem Unternehmen personenbezogene Daten offenbart, ohne dass es dazu aufgefordert hat (z. B. bei Blindbewerbungen), bestehen die Informationspflichten nicht. Man kann darüber diskutieren, wann eine Datenerhebung erfolgt. Ist ...mehr

Nach § 9b WEG wird die Gemeinschaft durch den Verwalter gerichtlich und außergerichtlich vertreten. Eine Einschränkung erfährt diese Vertretungsmacht im Außenverhältnis nur dadurch, dass vor dem Abschluss eines Grundstückskauf- oder Darlehensvertrags eine Beschlussfassung der Wohnungseigentümer erforderlich ist. Nach § 27 Abs. 1 WEG ist der Verwalter gegenüber der Gemeinscha...mehr

Leitsatz Ein Schadensersatzanspruch nach Datenschutzgrundverordnung (DSGVO) kommt nur bei Nachweis eines konkreten Schadens in Betracht. Sachverhalt Der Kläger machte Schadensersatzforderungen wegen einer Verletzung der datenschutzrechtlichen Rechten geltend. Diese Verletzung sah er im Wesentlichen in Bezug auf die Verarbeitung seiner personenbezogenen Daten durch das Finanza...mehr

Überblick Werden personenbezogene Daten erhoben, ist der Betroffene darüber zu informieren, was mit seinen Daten geschieht, damit er die ihm zustehenden Rechte, insbesondere diejenigen aus Art. 15 ff. DSGVO, wahrnehmen kann. Bei den Informationspflichten ist zu unterscheiden, ob die personenbezogenen Daten beim Betroffenen direkt (Direkterhebung nach Art. 13 DSGVO) oder bei e...mehr

Das Auskunftsbegehren unterliegt nach den Bestimmungen der DSGVO keinen besonderen Anforderungen an Form und Inhalt und ist auch nicht zu begründen. Nach Erwägungsgrund 63 DSGVO dient das Auskunftsrecht dem Zweck, dass sich der Betroffene der Verarbeitung bewusst wird und deren Rechtmäßigkeit überprüfen kann. Ist eine Verarbeitung erfolgt, besteht im Weiteren das Recht, eine...mehr

Cookies sind kleine Textdateien, die auf dem Rechner der Nutzer abgelegt und vom Browser gespeichert werden. Sie ermöglichen eine Identifikation der Nutzer und können Aufschluss über das Surfverhalten geben. Neben Cookies gibt es noch weitere Technologien wie beispielsweise Pixel (Bilddateien) und Browser-Fingerprinting, die ebenfalls eine Auswertung des Nutzerverhaltens erm...mehr

Art. 83 DSGVO gibt die Bedingungen für die Verhängung und die maximale Bußgeldhöhe vor. Zusätzlich sind in § 43 Abs. 1 BDSG noch zwei bußgeldbewehrte Tatbestände aufgeführt: Es haftet, wer fahrlässig oder vorsätzlich einen Verstoß gegen das Auskunftsrecht des Betroffenen nach § 30 Abs. 1 BDSG zu vertreten hat oder entgegen § 30 Abs. 2 Satz 1 BDSG (Abschluss eines Verbraucherdar...mehr

Die DSGVO unterscheidet Informationen, die der betroffenen Person mitzuteilen (Art. 13 Abs. 1 DSGVO), und solchen, die zur Verfügung zu stellen sind. Welche Konsequenzen sich aus der "Mitteilung" bzw. der "Zurverfügungstellung" ergeben, ist weder aus den Erwägungsgründen der DSGVO noch aus den bisher veröffentlichten Verlautbarungen der Aufsichtsbehörden zu entnehmen. "Mitte...mehr

Personenbezogene Daten sind gegen Zerstörung oder Verlust zu schützen. Die Regelung zielt auf den Schutz der Daten vor zufälliger Zerstörung oder Verlust ab. Im Kern geht es um den sicheren Betrieb der Datenverarbeitungssysteme und ihren Schutz vor einem plötzlichen Systemausfall. Besonderes Augenmerk ist hierbei auf die Funktionsfähigkeit der Server und deren Absicherung zu ...mehr

Passwörter sind – wie bereits weiter oben dargestellt – das zentrale Element zur Zugangskontrolle von Nutzern bei der Anmeldung zu einer Anwendung, einem Web-Dienst oder einem Datenverarbeitungsgerät. Ein sicherer Umgang mit Passwörtern und ein sicheres Passwort sind deshalb entscheidend für die Datensicherheit. Achtung Sicherer Umgang mit Passwörtern Keine Doppelvergabe von P...mehr

Phishing Phishing ist ein Neologismus und leitet sich aus dem englischen fishing (Angeln) ab. Hierbei versucht der Angreifer, sich über gefälschte Websites, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es z. B., an persönliche Daten eines Internetbenutzers zu gelangen (Zugänge Onlinebanking oder Online-Bezahlsystem...mehr

Der Zugang zu Verarbeitungsanlagen ist Unbefugten zu verwehren. Die Zugangskontrolle umfasst sowohl die Verhinderung des unberechtigten körperlichen Zutritts in Räumlichkeiten mit Datenverarbeitungsanlagen (Zutrittskontrolle) als auch das unbefugte Eindringen in Datenverarbeitungsanlagen. Hier geht es um den Schutz vor einer unbefugten Benutzung (Zugang) der Systeme, auf den...mehr

Nach den Vorgaben der DSGVO sind bei der Ermittlung der Löschfristen auch für Banken grundsätzlich die handels- und steuerrechtlichen Aufbewahrungsfristen maßgeblich (vgl. Art. 17 Abs. 3 lit. b DSGVO). Bei Sparbüchern, insbesondere in Loseblattsammlungen, kann es vorkommen, dass sie erst nach Jahren wieder gefunden werden oder seit dem letzten Eintrag neue Sparurkunden ohne E...mehr

In der DSGVO sind keine speziellen Regelungen zur Zulässigkeit der Beobachtung öffentlich zugänglicher Räume mittels optisch-elektronischer Einrichtungen (Videoüberwachung) enthalten. Maßgebliche Rechtsgrundlage ist im Regelfall das berechtigte Interesse gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO. Danach ist die Verarbeitung zulässig, wenn sie "zur Wahrung der berechtigten Inte...mehr

Mieterhöhungsverlangen können nach § 558a Abs. 2 Nr. 4 BGB anhand von 3 Vergleichswohnungen begründet werden. Durch die Benennung einzelner Wohnungen soll der Mieter die Möglichkeit haben, sich über die Vergleichswohnungen zu informieren und die behauptete Vergleichbarkeit nachzuprüfen.[1] Es ist deshalb erforderlich, dass die Vergleichswohnungen so genau bezeichnet werden, ...mehr

Bei der Formulierung von Löschregeln für einzelne Datenarten kann ein hoher Analyseaufwand entstehen. Um den Aufwand möglichst gering zu halten und die begrenzten Kapazitäten zu schonen, empfiehlt es sich, Standardlöschfristen festzulegen. Die Zahl der Standardlöschfristen sollte auf ein Minimum begrenzt werden. Dies trägt zur Verringerung der Komplexität des Löschkonzepts u...mehr

Wie bereits in Rechtsgrundlagen, Grundbegriffe und Grundprinzipien, Kap. 3.5.3 Löschungsrechte erwähnt, sind personenbezogene Daten gemäß Art. 17 DSGVO zu löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind. Die Löschpflicht ergibt sich damit aus den Grundsätzen der Verarbeitung personenbezogener Date...mehr

Daten sind zu löschen, wenn die in Art. 17 Abs. 1 DSGVO aufgeführten Voraussetzungen erfüllt sind – z. B. nach Art. 17 Abs. 1 lit. a DSGVO, wenn die personenbezogenen Daten für die Zwecke (Wohnungsbewerbung), für die sie erhoben wurden, nicht mehr notwendig sind. 1.2.3.1 Ein Mietverhältnis wurde begründet Wurde mit dem Bewerber ein Mietvertrag abgeschlossen, können seine Daten...mehr

Die Aufsichtsbehörden beurteilen die Weitergabe der Kontaktdaten von Mietern an Handwerker zur Abstimmung von Reparaturterminen teilweise unterschiedlich.[1] Eine pragmatische Auffassung vertritt das Bayerische Landesamt für Datenschutzaufsicht, die den Interessen von Mietern und Vermietern Rechnung trägt. Danach dürfen Vermieter die Telefonnummer von Mietern an Handwerker a...mehr

Bei der Erhebung von personenbezogenen Daten über die Homepage – was grundsätzlich der Fall ist – werden die allgemeinen Informationspflichten nach den Art. 12–14 der DSGVO ausgelöst. Hinsichtlich der zu veröffentlichenden Pflichtinhalte wird auf die Ausführungen zu den Informationspflichten in Informations- und Auskunftspflichten bei der Datenerhebung verwiesen. Entscheidend...mehr

Während die automatisierte Verarbeitung in § 3 Abs. 2 BDSG a. F. noch als "die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen" definiert war, fehlt im neuen Datenschutzrecht eine Definition automatisierter Verfahren, obwohl sowohl in der DSGVO als auch im BDSG n. F. weiterhin von automatisierten Verfahren gesprochen wi...mehr

Erfolgt die Verarbeitung aufgrund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO), ist die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation darüber zu informieren, dass sie der Verarbeitung widersprechen kann. Zu Einzelheiten des Widerspruchsrechts vergleiche Kap. 3.5.5 in Datenschutz: Rechtsgrundlagen, Grundbegriffe und Grundprinzipien. Nach Auf...mehr

Grundsätzlich ist in diesem Fall wie beim Verkauf einer Wohnung vorzugehen (vgl. oben Kap. 3.1) und es sind die Informationen nach Art. 13 DSGVO zu geben. Sollte der Verwalter die personenbezogenen Daten vom Bauträger erhalten, liegt eine Dritterhebung vor (vgl. vorstehendes Kap. 3.2) und es ist gemäß Art. 14 DSGVO zu informieren.mehr

Überblick Die datenschutzrechtlichen Vorgaben der DSGVO machen die Ausarbeitung und Umsetzung eines Konzepts zur Löschung personenbezogener Daten notwendig. Die Umsetzung eines Löschkonzepts bietet einen vielseitigen Nutzen. Zunächst dient ein dokumentiertes Löschkonzept der Wahrung der Rechenschaftspflicht (accountability) über die Einhaltung der Grundsätze für die Verarbeit...mehr

Erfolgt die Verarbeitung aufgrund einer Einwilligung des Betroffenen (vgl. oben Kap. 2.9), kann der Betroffene seine Einwilligung jederzeit widerrufen. Der Widerruf wirkt für die Zukunft – die bis zum Widerruf der Einwilligung erfolgten Verarbeitungen bleiben rechtmäßig. Der Betroffene ist vor Abgabe der Einwilligung über sein Widerrufsrecht zu informieren. Der Widerruf der ...mehr

Das Datenschutzrecht betrifft ausschließlich die personenbezogenen Daten natürlicher Personen: Die betrieblichen Kontaktdaten oder betriebliche Funktionen sind keine personenbezogenen Daten – private Kontaktdaten oder Fotografien von Mitarbeitern hingegen sind welche und unterliegen damit dem Schutz der DSGVO. Auch die Daten von anderen Unternehmen sind keine personenbezogen...mehr

Teilweise statten Wohnungsunternehmen ihre Hausmeister in Problemobjekten mit Bodycams (bewegliche Körperkameras) aus, da diese Hausmeister bedroht wurden. Zweck des Einsatzes dieser Kameras ist der Schutz der Beschäftigten vor Übergriffen oder auch die Beschaffung von Beweismitteln für zivilrechtliche Ansprüche. Zusätzlich erhofft man sich eine abschreckende oder deeskalier...mehr

Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche die Einhaltung der datenschutzrechtlichen Vorgaben nachweisen können ("Rechenschaftspflicht"). Die Rechenschaftspflicht führt zu einer Beweislastumkehr. Wird dem Unternehmen durch die Aufsichtsbehörde oder einen Betroffenen vorgehalten, gegen Datenschutzregeln verstoßen zu haben, muss sich das Unternehmen entlasten. Dies setz...mehr

Um Gewinnspiele DSGVO-konform zu veranstalten, sind mehrere Vorgaben zu beachten. Zwangsläufig werden personenbezogene Daten der Teilnehmer erhoben. Dementsprechend sind die Informationspflichten gemäß Art. 13 DSGVO zu erfüllen. Neben den Teilnahmebedingungen muss daher zwingend eine Datenschutzerklärung über Art und Umfang der Datenverarbeitung informieren. Nach dem Grundsat...mehr

Von den Aufsichtsbehörden wird die Auffassung vertreten, dass eine direkte Übertragung von Bilddaten auf einen Monitor eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten darstellt, selbst wenn keine Speicherung erfolgt. Dies führt dazu, dass die Vorgaben der DSGVO einzuhalten sind. Neben der Erforderlichkeit, die regelmäßig gegeben ist, ist insbesond...mehr

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, steht aber unter dem Erlaubnisvorbehalt des Art. 6 DSGVO. Erlaubt ist die Verarbeitung personenbezogener Daten durch Unternehmen, wenn ein Rechtfertigungsgrund vorliegt.mehr

Rechtsgrundlage der Datenverarbeitung während des Mietverhältnisses ist Art. 6 Abs. 1 lit. b DSGVO, weil die Verarbeitung für die Erfüllung des Mietvertrags mit der betroffenen Person erforderlich ist. 2.1 Mieterakte Für das Mietverhältnis ist eine Mieterakte anzulegen. Datenschutzrechtlich stellt sich die Frage, welche Unterlagen diese Akte enthalten darf. 2.1.1 Namen der einz...mehr

Wohnungsunternehmen haben sich häufig damit auseinanderzusetzen, dass Mieter Mietschulden anhäufen und dann die Räumung droht oder dass Mieter durch Verstoß gegen die Hausordnung (Lärm, Schmutz) den Hausfrieden stören. Teilweise beschäftigen Wohnungsunternehmen Sozialarbeiter, die im Rahmen des Mietvertrags auch eingesetzt werden, wenn der Mieter durch Nichtzahlung das Vertr...mehr

Der Großteil der geschäftlichen Kommunikation erfolgt inzwischen per E-Mail. Häufig werden dabei auch personenbezogene Daten übertragen. Die Anforderungen an die Datensicherheit und den Datenschutz werden hierbei regelmäßig nur sehr ungenügend beachtet. Insgesamt besteht in diesem Zusammenhang noch kein ausreichendes Problembewusstsein. Der Versand einer ungeschützten E-Mail ...mehr

Nach altem Recht konnten Hausgeldschulden von Eigentümern erst nach einem Beschluss durch die Eigentümerversammlung eingeklagt werden. Damit die Eigentümer sich auf die Beschlussfassung in der Eigentümerversammlung vorbereiten konnten, waren ihnen die Namen säumiger Eigentümer und die rückständigen Beträge bereits vor der Versammlung mitzuteilen; die Mitteilung der Hausgeldr...mehr

Unternehmen analysieren häufig das Surfverhalten der Nutzer der unternehmenseigenen Homepage unter Einsatz webbasierter Dienste oder Programme, beispielsweise Google Analytics oder Matomo (Tracking). Die Auswertung erfolgt zu Zwecken der Marktforschung und bedarfsgerechten Gestaltung des Internetangebots. Anhand der Auswertungen können die Bewegungen der Nutzer nachvollzogen...mehr

Nachdem der Verwalter vom Eigentumswechsel Kenntnis erhalten hat, schreibt er den neuen Eigentümer an, erhebt die für die Verwaltung notwendigen Daten und teilt dem neuen Eigentümer die nach Art. 13 DSGVO erforderlichen Informationen mit.mehr

Selbst wenn eine Bußgeld- oder eine Schadenersatzforderung wegen behaupteter immaterieller Schäden erfolgreich abgewehrt werden kann, werden doch zeitliche Kapazitäten gebunden. Eine Verurteilung führt dann auch noch zu finanziellen Einbußen. Unternehmen sollten deshalb bereits im Vorfeld versuchen, solchen Forderung vorzubeugen. Wichtig ist hierzu in erster Linie ein Datensc...mehr