Folge 4: Datenschutz
Die Datenschutz-Grundverordnung und die E-Privacy-Verordnung regeln zukünftig den Umgang mit personenbezogenen Daten in Europa. Der folgende Überblick soll die Inhalte der Datenschutz-Grundverordnung vereinfacht darstellen. Zunächst finden Sie die Verlinkungen auf die Gesetze und Verordnungen, anschließend eine Erläuterung verschiedener Artikel und abschließend Hinweise zu weiteren Angeboten, wie Literaturtipps, Online-Angebote, Textbaustein-Generatoren und u.a. das Video des Webtalks auf erwachsenenbildung.at oder Checklisten für Ihre Einrichtung. Ergänzend finden Sie eine Box mit Informationen zum Thema "Fotografieren" und eine mit einer wachsenden Urteilssammlung.
Bitte beachten Sie, dass wir keine Rechtsberatung machen dürfen. Wir versuchen hier den Inhalt der DSGVO anschaulich darzustellen und hilfreiche Informationen zu sammeln und zur Verfügung zu stellen. Sollten Sie interessante Hinweise haben, wenden Sie sich bitte an die Redaktion. Unter "Das könnte Sie auch interessieren" finden Sie Verweise auf weitere Informationen zur DSGVO.
Gesetze und Verordnungen
Gesetz zur Datenschutz-Grundverordnung
Datenschutz-Grundverordnung (Info 6)
Bundesdatenschutzgesetz (neu)
ePrivacy-Richtlinie
ePrivacy-Verordnung
Liste Datenschutz-Folgeerklärung
Die Aufsichtsbehörde arbeitet an einer Liste zur Datenschutz-Folgeerklärung. Sobald diese vorliegt, werden wir diese hier veröffentlichen.
Literaturtipp:
Gutachten zu Auswirkungen der DSGVO in der betrieblichen Praxis
Das Hugo Sinzheimer Institut für Arbeitsrecht (HSI) beauftragte Prof. Dr. Marita Körner damit, die Auswirkungen der Datenschutz-Grundverordnung in der betrieblichen Praxis zu untersuchen. Für ihr Gutachten untersuchte sie
- die Rolle des Betriebsrats im Beschäftigtendatenschutz,
- Datenschutzrechtliche Anforderungen an Betriebsvereinbarungen zum Beschäftigtendatenschutz,
- zu regelnde Datenschutzinhalte in Betriebsvereinbarungen,
- Umgang mit alten Betriebsvereinbarungen,
- die eigene Datenverarbeitung des Betriebsrats,
- Aufsichtsbehörden und Betriebsrat.
Körner, M. (2019). Die Auswirkungen der Datenschutz-Grundverordnung (DSGVO) in der betrieblichen Praxis. IN Hugo Sinzheimer Institut für Arbeitsrecht (Hrsg.) HSI-Schriftenreihe Band 28. Frankfurt am Main: Bund-Verlag GmbH.
Die Datenschutz-Grundverordnung
Im Folgenden erklären wir auszugsweise die Datenschutz-Grundverordnung. An besonderen Stellen weisen wir auf nationale Regelungen des neuen Bundesdatenschutzgesetzes hin. Im Anschluss finden Sie Link- und Literaturhinweise sowie Hinweise zu Cookies und Newsletterversand.
Grundprinzipien des Datenschutzrechts
Die Grundprinzipien des Datenschutzrechts werden in der neuen Datenschutz-Grundverordnung im Wesentlichen fortgeschrieben und weiterentwickelt.
Dies sind die Grundsätze
- des Verbots mit Erlaubnisvorbehalt,
- der Datenvermeidung und Datensparsamkeit,
- der Zweckbindung und
- der Transparenz.
Als zentrales Prinzip wurde die Gewährleistung der Datensicherheit in der DSVGO gesetzlich verankert.
Ergänzt werden diese mit Regelungen zur Datenübermittlung ins Ausland aufgrund der besonderen Bedeutung für die Rechte des Einzelnen an seinen personenbezogenen Daten.
Geltungsbereich des Datenschutzrechts
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, zum Beispiel auf Festplatten oder anderen Speichermedien.
Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen, sind davon ausgenommen. Aber: sobald auf diesen Seiten zum Beispiel Bannerwerbung oder Affiliate-Links verwendet bzw. geschaltet werden und damit eine kommerzielle Nutzung eintritt, unterliegen auch diese Seiten der DSGVO.
Personenbezogene Daten
Unternehmensseiten müssen wie Online-Shops, Blogs und Webauftritte von Vereinen und Einrichtungen ab dem 25. Mai 2018 den Anforderungen der DSGVO entsprechen. Dazu gehört auch der an das Gesetz angepasste Umgang mit personenbezogenen Daten.
Nach der DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff "alle" deutet darauf hin, dass diese Auswahl von Informationen weit auszulegen ist.
Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. In der Praxis fallen darunter also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten.
Personenbezogene Daten sind zum Beispiel
- Name,
- Kennnummer,
- KFZ-Kennzeichen,
- Standortdaten (Adresse),
- E-Mail-Adresse,
- Kontonummern,
- IP-Adressen als Online-Kennung.
Dabei ist es unwesentlich, ob diese Daten seitens der Technik statisch oder dynamisch zugewiesen werden.
Unabhängig einer Einwilligung der Person dürfen diese Daten nur in wenigen Fällen weiterverarbeitet werden.
Darüber hinaus gilt nach dem Gesetz, dass die Informationen für einen Personenbezug sich auf eine natürliche Person beziehen müssen. Das heißt im Umkehrschluss, dass der Datenschutz für Angaben über juristische Personen wie Körperschaften, Stiftungen und Anstalten nicht greift.
Einen besonders hohen Schutz erhalten genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.
"Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt." (Art. 9 DSGVO) Ausnahmen sind in Satz 2 des Art. 9 DSGVO nachzulesen.
Der Verantwortliche, der die Daten erhebt unterliegt zum Zeitpunkt der Datenerhebung einer Informationspflicht gegenüber der Person deren Daten er erhebt. Er teilt dabei unter anderem Folgendes mit:
- "den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung"
(Art.6 DSGVO).
Grundsätze der Datenverarbeitung
Bei der Datenverarbeitung gelten die folgenden Grundsätze:
- Rechtmäßigkeit,
- Verarbeitung nach Treu und Glauben und
- Transparenz.
Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Es ist verboten diese in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterzuverarbeiten. Aber: eine Weiterverarbeitung der Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken. (Artikel 89 Absatz 1)
Beauftragt der Webseiten-Betreiber einen Dienstleister mit dem Hosting seiner Seite, benötigt er die Einwilligung seiner Besucher oder er muss eine andere Rechtsgrundlage schaffen. Nach Artikel 28 DSGVO kann der Auftraggeber mit dem Webhoster eine Auftragsverarbeitung abschließen. Diese regelt, dass der Dienstleister personenbezogene Daten gemäß den Weisungen des für die Verarbeitung Verantwortlichen verarbeitet. Mit diesem Konstrukt bleibt der Webseiten-Betreiber "Herr über seine Daten", der Webhoster gilt nicht mehr als außenstehender Dritter. Eine DSGVO-konforme Mustervereinbarung zur Auftragsdatenverarbeitung finden Sie kostenpflichtig zum Beispiel hier.
Datenminimierung ist ein weiterer Grundsatz. Es sollen so wenig wie möglich personenbezogene Daten gespeichert werden. Die Speicherung muss nach neuesten Standards erfolgen. Fehlerhafte Daten sind unverzüglich zu löschen bzw. zu berichtigen. Die Daten sind zu schützen, dass heißt, dass niemand unbefugt Zugang zu den Daten erhält oder diese verloren gehen.
Rechtmäßigkeit der Datenverarbeitung
In Artikel 6 DSGVO werden die Bedingungen für die Rechtmäßigkeit der Datenverarbeitung festgelegt. Mindestens eine der Bedingungen muss hierzu erfüllt werden.
- "Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
- die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
- die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
- die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."
(Quelle: Art. 6 DSGVO)
Die Einwilligung einer Person muss der Verantwortliche nachweisen können, sie muss schriftlich in verständlicher Sprache formuliert sein und kann jederzeit widerrufen werden.
Rechte der Betroffenen
Transparenz
Alle Mitteilungen, die sich auf die Verarbeitung beziehen, sind vom Verantwortlichen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Es existiert unter einer bestimmten Auflage auch die Möglichkeit einer mündlichen Information.
Auskunftsrechte
Unternehmen müssen also über gespeicherte Daten informieren und auf Nachfrage über deren Weitergabe berichten. Auch sind sie verpflichtet auf Nachfrage zu belegen,
- zu welchem Zweck die personenbezogenen Daten verarbeitet werden und wenn möglich,
- wie lange die Daten gespeichert werden sowie
- wer die Empfänger der personenbezogenen Daten sind.
- Ebenso muss die Logik des Profilings, zum Beispiel bei Banken, erklärt werden und welche Folgen das Profiling für den Betroffenen hat.
(Art. 15 DSGVO)
Die Information, die der Verantwortliche zur Verfügung stellen muss, muss eine Kopie des Datensatzes enthalten.
Dabei ist ein Fernzugriff dem Betroffenen zu ermöglichen. Der genutzte Kommunikationsweg muss die angemessenen Sicherheitsbedingungen erfüllen.
Dabei gilt eine Frist von einem Monat, kann jedoch um zwei Monate verlängert werden.
Recht auf Berichtigung
Die betroffene Person kann von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. (Art. 16 DSGVO)
Löschrechte
Mit den Artikeln 17 und 19 erhalten betroffene Personen das Recht, die Löschung der sie bezogenen Daten von dem Verantwortlichen zu verlangen. Der Verantwortliche ist verpflichtet, diese unverzüglich zu löschen, wenn zum Beispiel einer der folgenden Gründe zutrifft:
- "Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt."
Die vollständige Liste der Gründe finden Sie in Art. 17 DSGVO.
Wünscht eine betroffene Person von dem Verantwortliche die Löschung der Daten und hat dieser diese zum Beispiel im Internet veröffentlicht, so ist er verpflichtet, die veröffentlichen Daten zu löschen und Dritte, die sie ebenfalls verbreitet haben, davon zu unterrichten. Der Verantwortliche genügt den Anforderungen, wenn er angemessene Maßnahmen anwendet, die die verfügbare Technologie und die Implementierungskosten berücksichtigt.
Das Recht auf Löschung gilt unter anderem nicht
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
- zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit ,
- für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(Alle Gründe finden Sie in Art. 17 DSGVO.)
Der Verantwortliche hat nach Art. 19 DSGVO die Mitteilungspflicht über die Löschung oder Einschränkung personenbezogener Daten gegenüber dem Betroffenen.
Betroffene Personen können nach den Grundlagen des Art. 18 DSGVO die Beschränkung der Datenverarbeitung verlangen.
Recht auf Datenübertragung
Nach Art. 20 DSGVO hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem hat sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. Die Übertragung soll direkt von einem Unternehmen zu einem anderen erfolgen. Es gelten dieselben Fristen wie für Auskünfte.
Widerspruchsrecht
Die Person kann jederzeit der Verarbeitung ihrer personenbezogenen Daten widersprechen.
"Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen." (Artikel 21 DSGVO)
Privacy-by-design und Privacy-by-default
Hinter den Begriffen verbergen sich technische und organisatorische Maßnahmen, um die Datenschutzgrundsätze sicherzustellen, wie zum Beispiel die Datenminimierung.
Der Verzicht auf die Speicherung und Weitergabe der IP-Adresse wäre ein Beispiel für den Privacy-by-design-Ansatz.
Der Ansatz Privacy-by-default setzt auf datenschutzangemessene Voreinstellungen in Apps, Programmen oder sonstigen Anwendungen.
Ziel ist es, dass nur die erforderlichen personenbezogenen Daten erhoben und verarbeitet werden. (Art. 25 DSGVO)
Verantwortlicher und Auftragsverarbeiter
In Kapitel 4 finden Verantwortliche und Auftragsverarbeiter die Vorgaben zur Verarbeitung von personenbezogenen Daten.
Sie setzen geeigtnete technische und organisatorische Maßnahmen um mit dem Ziel, sicherzustellen und auch den Nachweis dafür erbringen zu können, dass bei der Verarbeitung der Daten die Vorgaben der DSGVO eingehalten werden. Dies erfolgt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie verschiedener Risiken für die Rechte und Freiheiten natürlicher Personen. Darüber hinaus sind sie verantwortlich für die Überprüfung und Aktualisierung der Maßnahmen falls erforderlich.
Der Verantwortliche kann die Erfüllung seiner Pflichten mittels der Einhaltung der genehmigten Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) nachweisen. (Art. 24. DSGVO)
Gemeinsam Verantwortliche legen in einer Vereinbarung fest, wer von ihnen
- welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und
- wer welchen Informationspflichten nachkommt.
(Art. 26 DSGVO)
Dabei muss die Vereinbarungen ihren Funktionen entsprechen.
Ein Auftragsverarbeiter muss hinreichend Garantien dafür bieten, dass die Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen entsprechend der DSGVO durchgeführt und der Schutz der Rechte der betroffenen Person gewährleistet wird. (Art. 28 DSGVO) Der Auftragsverarbeiter handelt entsprechend einem mit dem Verantwortlichen geschlossenen Vertrag. In diesem sind die Weisungen des Verantwortlichen zum Umgang und zur Verarbeitung der personenbezogenen Daten zu dokumentieren. Auch die Datenübertragung und Löschung sowie weitere Einzelheiten seitens des Auftragsverarbeiters sind im Einzelnen in dem Artikel 28 DSGVO geregelt.
Dem Auftragsverarbeiter oder dem Verantwortlichen unterstellte Personen haben bei der Verarbeitung der Daten deren Weisungen zu befolgen.
Verzeichnis der Verarbeitungstätigkeiten
Jeder Verantwortliche führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis wird schriftlich oder in elektronischer Form erstellt.
Es enthält sämtliche folgenden Angaben:
- "den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
- den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
- die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1."
(Art. 30 DSGVO)
Datensicherheit
Der Verantwortliche und der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei berücksichtigen sie
- den Stand der Technik,
- der Implementierungskosten,
- die Art,
- den Umfang,
- den Verarbeitungszweck sowie
- die Wahrscheinlichkeit und Schwere des Risikos.
Hierzu zählen folgende Maßnahmen
- "die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung."
(Art. 32 DSGVO)
Die Datensicherheit muss auch bei der Datenverarbeitung, wie Bearbeiten, Vernichtung oder Löschen gewährleistet werden.
Darüber hinaus achten der Verantwortliche und der Auftragsverarbeiter darauf, dass ihnen untergebene Angestellte den notwendigen Zugang zur Verarbeitung erhalten und entsprechend der Weisung ihre Tätigkeit ausführen.
Datenschutz-Folgeabschätzung
Der Verantwortliche nimmt eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten vor – entsprechend dem Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung der Daten. Für ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken reicht eine einzige Abschätzung.
Unterstützt wird der Verantworliche bei der Durchführung der Datenschutz-Folgenabschätzung von dem Datenschutzbeauftragen, sofern ein solcher benannt wurde.
Ein hohes Risiko des Datenmissbrauchs für die Betroffenen stellen Daten dar, die eine Identifizierung und Kategorisierung der Person ermöglichen, wie Daten zur Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politische Ansichten.
Die Aufsichtsbehörde arbeitet an einer Liste, die besagt, welche Verarbeitungsvorgänge eine Datenschutz-Folgeabschätzung erfordern.
Das Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte zu erkennen und geeignete Schutzmaßnahmen zu treffen. Sie enthält mindestens folgende Kriterien:
- Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung,
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
(Art. 35 DSGVO)
Darüber hinaus können/sollen folgende Inhalte dokumentiert werden:
- Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
- Wie wird im Falle eines Leaks verfahren?
- Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?
Wichtig: Die Landesdatenschutzbehörden haben eine beratende Funktion.
Literaturtipp:
In dem folgenden Whitepaper finden Sie erste Handlungsanweisungen zur Durchführung einer Datenschutz-Folgeabschätzung:
Zoche, H. et al. (Hrsg.) (2018). White Paper DATENSCHUTZ-FOLGENABSCHÄTZUNG. Ein Werkzeug für einen besseren Datenschutz.
Datenschutzbeauftragter
In den Artikeln 37 bis 39 regelt die DSGVO die Bennenung, die Stellung und die Aufgaben des Datenschutzbeauftragten.
Benennung
Unter folgenden Voraussetzungen müssen Verantwortliche und Verarbeiter einen Datenschutzbeauftragten benennen:
- "die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."
(Art. 37 DSGVO)
Der Artikel 37 Absatz 4 DS-GVO ermöglicht, dass der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten auf freiwilliger Basis benennen können. Es sei denn, ein Mitgliedsstaat schreibt die Benennung ausdrücklich vor.
Der Bundesgesetzgeber nutzt diesen Spielraum, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten in nichtöffentlichen Stellen anzupassen (vgl. § 38 BDSG-neu).
Demnach ist eine Benennung eines Datenschutzbeauftragten in folgenden Fällen erforderlich:
- es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
- es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
- es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
(§ 38 BDSG (neu))
Betriebe mit neun Mitarbeitenden oder weniger benötigen keinen Datenschutzbeauftragten und der Geschäftsführer kann den Datenschutz selbst übernehmen. Aber, wenn das kleine Unternehmen Daten verarbeitet, für die eine Datenschutz-Folgenabschätzung vorgesehen ist, entfällt diese Ausnahmeregelung und es entsteht die Pflicht zur Benennung eines Datenschutzbeauftragen.
Dieser Fall tritt ein, wenn durch die Daten, zum Beispiel zur ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung, ein hohes Risiko für die Betroffenen besteht. In diesem Fall kann auch eine Arztpraxis oder eine psychotherapeutische Einrichtung einen Datenschutzbeauftragten benötigen.
Der Datenschutzbeauftragte muss mittels Fortbildungen seine Fachkunde sicherstellen.
Das Unternehmen muss seinen Datenschutzbeauftragten so ausweisen, dass dieser sofort als Ansprechpartner gut sichtbar ist, zum Beispiel auf der Startseite der Homepage im Rahmen seiner Datenschutzerklärung.
Stellung
Der Verantwortliche und der Auftragsverarbeiter haben den Datenschutzbeauftragten frühzeitig in alle Fragen zum Schutz der Daten hinzuzuziehen. Der Datenschutzbeauftragte handelt weisungsfrei und darf in der Ausübung seiner Tätigkeit nicht eingeschränkt werden. Auch muss ihm ausreichend Zeit für die Tätigkeit zur Verfügung gestellt werden. Der Datenschutzbeauftragte berichtet direkt an die höchste Managementebene des Verantwortlichen und des Auftragsverarbeiters.
Betroffene können sie direkt an den Datenschutzbeauftragten mit ihren Anliegen wenden.
Der Datenschutzbeauftragte ist zur Geheimhaltung verpflichtet.
Aufgaben des Datenschutzbeauftragten
- "Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen,
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen."
(Art. 39 DSGVO)
Zertifizierung
Die Gesetzgeber fördern die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen. Diese dienen dazu, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.
Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein
Die Zertifizierung hat keinen Einfluss auf die Arbeit und die Verantwortung des Verantwortlichen und des Auftragsverarbeiters.
(Art. 42 DSGVO Zertifizierung)
Zertifizierungsstellen werden in Art. 43 DSGVO geregelt.
Rechtsbehelfe, Haftung und Sanktionen
In den Art. 77 bis 84 DSGVO finden Sie Anlaufstellen für Beschwerden und mögliche Sanktionen.
Verstöße gegen Rechte der Betroffenen, wie zum Beispiel das Auskunfts- und Löschungsrecht, können für Unternehmen hohe Geldbußen verursachen. Maximal werden bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nach dem, was höher ist - veranschlagt.
In wie weit diese Ultima Ratio in der Rechtsprechung vor Gericht umgesetzt wird, bleibt abzuwarten.
Checklisten , Mustervorlagen, weitere Informationen
Checklisten zur DSGVO
Hier finden Sie eine kleine Auswahl zu Checklisten zur DSGVO in alphabetischer Reihenfolge der Anbieter. Im Internet finden Sie viele weitere Angebote.
- akademie.de (2018). DSGVO-Checkliste: Das sollte bis 25. Mai 2018 erledigt sein.
Vorbereitung auf die Datenschutz-Grundverordnung für Website-Betreiber, Selbstständige und kleinere Unternehmen - BLOGMOJO (2018) DSGVO-Checkliste für Blogger und Online-Unternehmer.
Neben umfassenden Informationen zur DSGVO finden Sie hier auch einen Onlinekurs. - Händlerbund. (2018). Checkliste zur DSGVO.
Mit der Checkliste des Händlerbundes können Sie Ihren Shop auf die Passung Ihres Angebots prüfen. - Haufe (2018). DS-GVO: Checkliste für Datenschutzbeauftragte.
Mit der Checkliste von WTS Legal können Sie den Umsetzungsstand für den Bereich des Datenschutzbeauftragten prüfen und etwaige bestehende Anpassungsbedarfe festzustellen. - Impulse (2018). DSGVO Website: Neue Datenschutzregeln: Was Sie jetzt tun müssen.
Mit der Checkliste können Sie Ihr Unternehmen prüfen und ein Verarbeitungsverzeichnis anlegen, das Beispiel zeigt ein Kleinunternehmen.
Mustervorlagen für die Auftragsdatenvereinbarung
- Bitkom.org. (2018). Mustervertragsanlage
- datenschutz.org (2018).Mustervereinbarung für die Auftragsdatenvereinbarung
- Wirtschaftskammer Österreich. (2018). Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO
Datenschutzerklärung - Checkliste
Pflichtangaben:
- Name und Kontaktdaten des Website-Betreibers (Anschrift und E-Mail-Adresse)
- Zweck(e) der Datenverarbeitung
- Rechtsgrundlagen der Datenverarbeitung
- Speicherdauer
- Betroffenenrechte ( Informationen zum Widerspruchsrecht, die optisch herausgehoben werden müssen, etwa durch Fettung oder Rahmung.)
- Der Datenschutzbeauftragte muss namentlich benannt werden.
Situationsabhängige Informationen:
- bei geplanter Weitergabe von Daten, die Empfänger oder Kategorien von Empfängern (zum Beispiel der Auftragsverarbeiter)
- wenn die Absicht besteht, Daten ins EU-Ausland zu übermitteln (Hinweis auf das Datenschutzabkommen)
- Umstände der Bereitstellung der Daten
- Bestehen einer automatisierten Entscheidungsfindung
Quelle: Impulse (2018). DSGVO-Checkliste: Was Sie jetzt tun müssen.
Muster für Datenschutzerklärungen
- active Mind.AG. (2018). Datenschutzerklärungsgenerator
- WissWeit (2018). Datenschutzerklärung
Datenschutzerklärung: Textbaustein-Generatoren
Mithilfe der folgenden Anbieter können Sie Textbausteine finden und eine eigene Datenschutzregelung erstellen.
- Süssmayer, M., CONEDU (2018). https://drschwenke.de/dsgvo/
- Schwenke, T. (2018). Datenschutz-Generator
- Süssmayer, M. , CONEDU (2018). Datenschutz-Guru.
- activeMind.AG (2018). Datenschutzerklärungsgenerator.
- WissWeit (2018). Datenschutzerklärung.
BDVT: Datenschutzerklärungen für Weiterbildungsveranstaltungen
Auch in Weiterbildungsveranstaltungen werden viele personenbezogene Daten gesammelt. Für den Berufsverband Training, Beratung und Coaching hat Bruno Schmalen Vorlagen erstellt, die unter der CC BY 4.0 DE- Lizenz zur Verfügung stehen.
Die Vorlagen finden Sie hier.
wEBtalk "DSGVO für Erwachsenenbildungseinrichtungen"
Die Plattform erwachsenenbildung.at bietet auf ihrer Seite die Aufzeichnung: wEBtalk „DSGVO für Erwachsenenbildungseinrichtungen" unter der CC BY SA 4.0 Lizenz an. Rechtsanwalt Michael Lanzinger gibt in seiner Präsentation einen ausführlichen Einblick in die verschiedenen Bereiche, die Bildungseinrichtungen wie Lehrende gleichermaßen bei ihrer Tätigkeit betreffen.
Den ganzen Artikel von Karin Kulmer auf erwachsenenbildung.at und weitere Informationen, wie die Präsentation als Foliensatz, Textbausteine sowie Informationen zu Michael Lanzinger finden Sie unter dem folgenden Link.
Cookies
Die Online-Kennungen "Cookies" fallen zukünftig in vielen Fällen in den Anwendungsbereich der Datenschutz-Grundverordnung. Dies gilt auch, wenn die Kennung pseudonymisiert wird. Von daher gilt grundsätzlich das Verbot mit Erlaubnisvorbehalt, sprich: ohne vorhergehende Erlaubnis, kann der Webanbieter keine Cookies auf der Seite des Users verwenden. Der Benutzer muss mittels einer "informierten Einwilligung" seine Zustimmung geben.
Das bedeutet, dass der bisherige Hinweis auf den Einsatz durch Cookies, zum Beispiel mittels Banner, nicht mehr ausreicht.
Der Anbieter kann auf seiner Seite einen kurzen allgemeinen Text zum Einsatz von Cookies veröffentlichen und diesen zu einer detaillierten Beschreibung verlinken. Alternativ kann man beim Besuch der Webseite ein Pop-up-Fenster mit der Aufforderung zur Einwilligung dem User ausspielen.
Der Einsatz von Cookies ohne Einwilligung der User ist nur unter begrenzten Voraussetzungen möglich. Hierbei gilt es abzuwägen, ob dem Einsatz zur Wahrung berechtigter Interessen des Website-Betreibers den Interessen und Grundfreiheiten des betroffenen Nutzers entgegenstehen.
Im Rahmen der Webanalyse kann der Einsatz von Cookies gerechtfertigt sein. Die Reichweitenmessung per Google Analytics als Auftragsverarbeiter mit Kürzung der IP-Adressen wäre weiterhin möglich. Allerdings steht die Beurteilung von Einzelfällen durch die Aufsichtsbehörde noch aus.
Das Opt-Out-Verfahren, um dem Einsatz von Cookies zu widersprechen bleibt wie bislang bestehen.
(Quelle: Maekler, N. (2018) Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber. c't Heft 5.)
Newsletter
Die Anmeldung zu einem Newsletter soll nach der neuen Verordnung zur Datenminimierung beispielsweise nicht mehr das Geburtsdatum oder die postalischen Kontaktdaten abfragen. Wenn Sie diese Daten trotzdem anfragen wollen, unterscheiden Sie zwischen Pflicht- und optionalen Feldern, die entsprechend zum Beispiel mit einem Sternchen gekennzeichnet werden.
So kann der User selber entscheiden, ob er die sogenannten "Nice-to-have-Daten" angibt oder eben nicht.
Der Anbieter eines Newsletters sollte vor dem Versand desselben eine Einwilligung des Users einholen. Der Text dieses Anschreibens muss erkennen lassen, welche personenbezogenen Daten zu welchem Zweck erhoben und gespeichert werden. Insbesondere muss auf das Widerrufsrecht hingewiesen werden.
Zum Nachweis für die Einwilligung hat sich das Double-Opt-In-Verfahren bewährt. Der Anbieter sendet dem User in diesem Fall zu erst eine Einladungsmail, in der dieser mit einem Klick auf einen Link sein Einverständnis zum Mail-Empfang signalisiert. Danach startet erst der Versand des Newsletters.
(Quelle: Maekler, N. (2018) Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber. c't Heft 5.)
Muster: Datenschutzrechtliche Einwilligungserklärung
[] Ich willige ein, dass mich [Name oder Firma] per E-Mail über [genaue Bezeichnung von Produkt oder Dienstleistung] informiert. Meine Daten werden ausschließlich zu diesem Zweck genutzt. Eine Weitergabe an Dritte erfolgt nicht. Ich kann die Einwilligung jederzeit per E-Mail an [E-Mail-Adresse], per Brief an [Postadresse] oder durch Nutzung des in den E-Mails enthaltenen Abmeldelinks widerrufen.
(Quelle: Maekler, N. (2018). Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber. c't Heft 5.)
Fotografieren
In Zusammenhang mit der "Fotografie" gibt es verschiedene Einschätzungen zur Herstellung, Verarbeitung und Nutzung von Fotografien im Kontext der DSGVO. Ganz sicher ist wohl nur, dass mit der Nutzung der Öffnungsklausel national die Bestimmungen und damit der Umgang mit der Fotografie genauer geregelt werden kann. Aber bisher hat der Bund diese Möglichkeit noch nicht genutzt. Die Folge ist eine gewisse Rechtsunsicherheit. Im Folgenden finden Sie drei Beschreibungen von öffentlichen Stellen bzw. aus einem exemplarischen Fachmagazin. Gerne nehmen wir laufend weitere Aspekte auf. Bitte schicken Sie diese Informationen an die Redaktion.
Bundesministerium des Innern, für Bau und Heimat
Nach dem BMI unterliegt die Anfertigung und Veröffentlichung einer personenbezogenen Fotografie den allgemeinen Regelungen des Datenschutzrechts. Danach dürfen nur Fotos verarbeitet werden, wenn
- die betroffenen Person eingewilligt hat oder
- eine Rechtsgrundlage dies erlaubt.
Die Einwilligung der betroffenen Person(en) ist wie bisher jederzeit widerrufbar.
Bei Aufnahmen größerer Menschenmengen ist die datenschutzrechtliche Einwilligung keine praktikable Rechtsgrundlage.
Neben der Einwilligung kommen als weitere Rechtsgrundlagen für die Anfertigung und Veröffentlichung zur Durchführung eines Vertrags oder zur Wahrnehmung berechtigter Interessen des Fotografen in Betracht.(vgl. Art. 6 DSGVO)
Die grundrechtlich geschützte und garantierte Meinungs- und Informationsfreiheit stellen berechtigte Interessen dar. (Art. 6 DSGVO)
Die DSGVO bestimmt, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss (Erwägungsgrund 4).
Für die Veröffentlichung von Fotografien enthält das Kunsturhebergesetz (KunstUrhG) ergänzende Regelungen, die auch unter der DSGVO fortbestehen.
Das Kunsturhebergesetz stützt sich auf Artikel 85 Absatz 1 der Datenschutz-Grundverordnung, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Es steht nicht im Widerspruch zur Datenschutz-Grundverordnung, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der Datenschutz-Grundverordnung ein.
Quelle: Bundesministerium des Innern, für Bau und Heimat. (2018). Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
In dem Vermerk: "Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von
Menschen nach der DSGVO außerhalb des Journalismus" beschreibt der Autor
"die derzeitige Rechtslage in Bezug auf Fotografien einer unüberschaubaren Anzahl von Menschen oder von Menschen als Beiwerk anderer Motive ist überwiegend unsicher. Dies beruht insbesondere darauf, dass der deutsche Gesetzgeber bisher keinen ausdrücklichen Gebrauch von der Öffnungsklausel des Art. 85 Abs. 2 DSGVO gemacht hat. Dies wäre aber im Sinne der Rechtssicherheit nötig.
Bis dahin ist es möglich, die Datenerhebung in den meisten Fällen über Art. 6 Abs. 1 lit. f
DSGVO zu rechtfertigen. Eine Informationspflicht gegenüber den Abgelichteten besteht nicht.
Dies ergibt sich aus Art. 11 Abs. 1 DSGVO, hilfsweise aus Art. 14 Abs. 5 lit. b DSGVO."
Quelle: Hamburger Bauauftragte für Datenschutz und Informationsfreiheit (2018). Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus
fotoMAGAZIN:
Dr. Endress Wanckel, Rechtsanwalt und Dozent für Medienrecht, sieht schon die Herstellung eines Personenfotos als eine Datenerhebung an.
Auch problematisch ist seines Erachtens der jederzeit mögliche Widerruf der Einwilligung.
"Ein Widerruf macht zwar bis dahin erfolgte Nutzungen nicht rechtswidrig, das oder die betroffenen Fotos dürfen aber ab Zugang des Widerrufs nicht mehr genutzt werden und sind im Regelfall auch unverzüglich zu löschen, sofern nicht noch (neben der Einwilligung) eine andere Rechtsgrundlage greift. Die Vermarktungsmöglichkeiten von Personenfotos werden dadurch erheblich eingeschränkt."
Ein Ausweg wäre zur rechtlichen Absicherung der Herstellung und Nutzung von Personenfotos der Abschluss eines Vertrags, der Herstellung, Verarbeitung und Nutzung regelt.
Quelle: Wanckel, E. (2018). DSGVO für Fotografen: eine erste fotorechtliche Einordnung. IN fotoMAGAZIN.
Datenschutzbeauftragter INFO
Der Landesbeauftragte für Datenschutz- und Informationssicherheit Baden-Württemberg hat hilfreiche Antworten zum Fotografieren unter der DSGVO zur Verfügung gestellt. Auf der Seite erhalten Sie Informationen über die wichtigsten Punkte und stellen Ihnen die FAQ der Aufsichtsbehörde zu folgenden Punkten zur Verfügung:
- Rechtsgrundlage für das Anfertigen und Verbreiten von Fotos,
- Informationspflichten,
- Verhältnis zu anderen rechtlichen Bestimmungen, insbesondere KUG,
- weitere Papiere der Aufsichtsbehörden zur Fotografie und DSGVO.
Darüber hinaus finden Sie Beiträge zu der Veröffentlichung von Fotos, der Haftung des Datenschutzbeauftragten oder Kategorisierung von personenbezogenen Daten.
Quelle: DatenschutzbeauftragterINFO (2018). Fotos und DSGVO: Aufsichtsbehörde beantwortet wichtige Fragen.
Urteile
- Landgericht Bochum
Verstoß gegen die Informationspflichten (Art. 13 DSGVO) kann nicht im Rahmen einer wettbewerbsrechtlichen Abmahnung verfolgt werden.
Urteil vom 07.08.2018 - Landgericht Frankfurt am Main (2018).Für die Verwendung von Videos und Fotos ist eine nachweisbare Einwilligung erforderlich, um das Bildmaterial zum Beispiel für Werbezwecke zu verwenden. Urteil vom 13.09.2018
- Gerichtshof der Europäischen Union (2018). Der Betreiber einer Facebook-Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.Urteil vom 5. Juni 2018
- Verwaltungsgericht Karlsruhe (2017).Urteil zur zeitlichen Geltung der DSGVO: Datenschutzbehörde hat keine Ermächtigungsgrundlage vor Inkrafttreten der EU-DSGVOUrteil vom 6. Juli 2017
Quellen
Im Folgenden finden Sie die verwendeten Quellen. Teilweise sind die Online-Angebote kostenpflichtig.
- Bundesdatenschutzgesetz.
bereitgestellt von der intersoft consulting services AG
- Datenschutz-Grundverordnung
bereitgestellt von der intersoft consulting services AG - Bleich, H. und Heidrich, J. (2018). Jetzt handeln! EU-Datenschutz: Neue Rechte und Pflichten. c't Heft 5
- Dralle, T. und Werner, T. (2018). Die Roadmap zur neuen Datenschutz-Grundverordnung. Wissensmanagement Heft 6-7
- Heidrich, J. (2018). Aufgewertet. Die DSGVO bringt den Bürgern neue Rechte. c't Heft 5
- Heidrich, J. (2018). Verschärft - Strengere Datenschutz-Vorschriften für Unternehmen und Konzerne. c't Heft 5
- Landesbeauftragte für Datenschutz- und Informationsfreiheit des Landes NRW (2018). Datenschutzbeauftragte nach der DS-GVO und der JI-RL.
- Lanzinger, M. (2018). DSGVO für Erwachsenenbildungseinrichtungen.
- Maekler, N. (2018). Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber. c't Heft 5.
- Rosenthal, S. (2018). DSGVO: Das Recht auf Löschung - Einfallstor für Bußgelder?. Wissensmanagement Heft 2
- Bundesministerium des Innern, für Bau und Heimat. (2018). Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?
- Hamburger Bauauftragte für Datenschutz und Informationsfreiheit (2018). Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus
- Wanckel, E. (2018). DSGVO für Fotografen: eine erste fotorechtliche Einordnung. IN fotoMAGAZIN.
Literatur
- Batke-Spitzer, B. Praxisfragen der EU-Datenschutzgrundverordnung und des neuen Bundesdatenschutzgesetzes für Bildungseinrichtungen und Schulen. Weil im Schönbuch: HDS Verlag. ca. 300 Seiten. ISBN: 978-3-95554-369-3 , Preis 49,90 €
Erscheinungstermin: ca. Mitte Juni 2018! - datenschutz.org (2018). Auftragsdatenverarbeitung (ADV) nach § 11 BDSG: Datenschutz outsourcen?
- Zoche, H. et al. (Hrsg.) (2018). White Paper DATENSCHUTZ-FOLGENABSCHÄTZUNG. Ein Werkzeug für einen besseren Datenschutz
- Schwenke, T. (2018) Die Datenschutzreform - Auswirkungen der DSGVO.
auf dem SOCIAL HUB BLOG
Handlungsanleitungen
Material zu Data Literacy for Citizenship
Stiftung Datenschutz
Auf ihrem Portal bietet die unabhängige Stiftung Datenschutz Informationen zur Umsetzung der Datenschutzgrundverordnung.
Hier finden Sie das Informations-Portal.
IWWB - Informationsseite
Das Infoweb Weiterbildung hat als Service für Datenbankanbieter eine neue Informationsseite erstellt, um Informationen und Tipps sowie Muster für Auftragsverarbeitungs-Verträge u.ä. zusammenzutragen.
Leitfaden "EU-Datenschutz-Grundverordnung (DSGVO) und Journalismus"
Der Deutsche Fachjournalisten Verband veröffentlichte einen Leitfaden, der sich an Journalisten wendet, aber auch für Betreiber von Portalen oder Blogger interessant ist.
Der Leitfaden steht Ihnen hier als PDF zur Verfügung.