Datenschutz

Zentrale Ansprechstellen
Cybercrime der Polizeien für Wirtschaftsunternehmen


Der Berliner Datenschutzbeauftragte hat das zweithöchste Bußgeld seit Inkrafttreten der DSGVO verhängt.
Die Immobiliengesellschaft "Deutsche Wohnen" hatte personenbezogene Daten gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist.

Dieser Entscheid ist aus mehreren Gründen bedeutsam.

• Wie erwartet steigen die DSGVO-Bußgelder in Deutschland
• Löschfristen werden ein wichtiges Thema
• Überprüfen Sie Ihre Datenverarbeitung auf eine Rechtsgrundlage nach DSGVO Art. 6

Beim Arbeitsmedizinischen Dienst liegt eine eigenständige Verarbeitung vor, ein Vertrag zur Auftragsverarbeitung ist nicht erforderlich.

Begründung:
Keine Auftragsverarbeitung liegt lt. DSK Kurzpapier Nr. 13 vor bei Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, der für die Verarbeitung personenbezogener Daten eine eigene Rechtsgrundlage gemäß Art. 6 DSGVO besitzt.
Beispiele dafür sind die Einbeziehung eines Berufsgeheimnisträgers wie Steuerberater, Rechtsanwälte, Wirtschaftsprüfer oder ext.Betriebsarzt.
Es besteht autonome Entscheidungskompetenz mit einem unabhängigen Zweck der Verarbeitung.

Die Datenverarbeitung findet auf Rechtsgrundlage DSGVO Art. 9 Abs. 2 Lit. h) statt.

Unser Angebot - Ihr externer Datenschutzbeauftragter.

Der Umfang hängt erheblich davon ab, welche Voraussetzungen vorhanden sind (z.B. Firmengröße, Art der verarbeiteten Daten, Datenschutzdokumente, Sicherheitskonzepte, Verfahrensverzeichnis, vorhandene Schulungen und Dienstanweisungen) und welche Leistungen Sie selbst erbringen möchten.
Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.

Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht als Ansprechpartner zur Verfügung. Die Abrechnung erfolgt monatsbezogen pauschal oder auf Basis der erbrachten Einzelleistungen.
Die Kosten betragen je nach Umfang ab ca. 150,- EUR p.m. Netto.


Es kommt vor dass die Polizei mit einem Auskunftsersuchen Unternehmen dazu auffordert, personenbezogene Daten ihrer Kunden hinsichtlich der Ermittlung in einer bestimmten Strafsache preiszugeben.
Hierbei handelt es sich um eine Datenweitergabe an Dritte, die einer Rechtsgrundlage nach DSGVO bedarf.

Da die Daten in den wenigsten Fällen zum Zwecke der Übermittlung an Strafverfolgungsbehörden erhoben werden, liegt außerdem eine sogenannte „Weiterverarbeitung“ vor. Mehr dazu im Artikel.

Die Strafverfolgungsbehörden müssen die Datenerhebung durch Abfrage auf eine Rechtsgrundlage stützen können.

Unternehmen sollten folgende Punkte prüfen:
  • den Tatvorwurf
  • den Zweck der Verarbeitung durch die Ermittlungsbehörde
  • die Rechtsgrundlage der Anfrage
  • ggf. gesetzliche Verpflichtung zur Übermittlung.
Außerdem muß die Identität des Anfragenden vor der Datenübermittlung geprüft werden.

Nach § 24 Abs.1 Nr.1 BDSG können Daten u.a. übermittelt werden, wenn sie zur Verfolgung von Straftaten erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen.
Eine Übermittlung ist demnach nur zulässig bei Straftaten, nicht bei Ordnungswidrigkeiten.

Ebenfalls zu berücksichtigen ist, dass bestimmte Berufsgruppen und Geheimnisträger ein Zeugnisverweigerungsrecht haben, weil sie gemäß § 203 StGB der Schweigepflicht unterliegen.

Bei ehemaligen Mitarbeitern sind die Löschfristen der Personendaten zu beachten.

Da § 24 BDSG nur die Zulässigkeit der Übermittlung, aber keine Pflicht dazu vorsieht, sollten Unternehmen bei Behörden nach einer gesetzlichen Verpflichtung zur Übermittlung fragen (bspw. Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaftm §§ 161 a Abs. 1, 163 Abs. 3 StPO).

Soll eine Übermittlung der Personendaten stattfinden, hat zunächst die Information des Betroffenen nach Art. 13 Abs. 3 DSGVO zu erfolgen.

Wenn andere Unternehmen Zugriff auf Ihre Personendaten haben, handelt es sich meist um Auftragsverarbeitung nach DSGVO Art.28.
Leider ist das alles andere als klar.
Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon.
Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz.
Der externe Auftragnehmer wird bei der Auftrags(daten)verarbeitung nur unterstützend tätig.

Keine Auftragsverarbeitung liegt bei einer sogenannten Funktionsübertragung vor.
Dabei ist die genaue Abgrenzung von Auftragsverarbeitung und Funktionsübertragung nicht immer eindeutig.
Der externe Auftragnehmer/Dienstleister ist im Rahmen einer Funktionsübertragung nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht und er hat ein eigenes Interesse an den Daten des Unternehmens.

Auftragsverarbeitung muß mit einem Vertrag zur Auftragsverarbeitung entsprechend DSGVO Art. 28 geregelt werden.
Die Verantwortung für die Daten und somit auch für den Vertrag liegt beim Auftraggeber.
Der Vertrag muß alle im Gesetz definierten Punkte beinhalten, seine Existenz ist zwingend vorgeschrieben und bußgeldbewährt.
Der Vertrag muß nicht schriftlich, sondern kann auch elektronisch abgeschlossen werden.

Zur Zeit werden Fragebögen zur Umsetzung der DS-GVO vom Thüringer Landesdatenschutz an rund 17.000 Thüringer Firmen versendet.
Die Beantwortung der Fragebogen ist freiwillig.
Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, wenn zu wenige Antworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Das ist gerade jetzt in der Weihnachtszeit eine sehr kurze Zeitspanne.

Der Fragebogen besteht aus 7 Absätzen:
  1. Betrieblicher Datenschutzbeauftragter nach Art. 37 DS-GVO i. V. m. § 38 BDSG
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Erlaubnistatbestände Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung
Bis auf das Techn. Objektmanagment (TOM) und die IT-Sicherheit sind das die wesentlichen Fragen bei der Umsetzung der DS-GVO.
Ob und welche Probleme aus einer eventuell selbst belastenden Antwort entstehen, kann man bisher nur mutmaßen.
Wer bisher gar nichts oder zu wenig zur Umsetzung der DSGVO getan hat, wird sicher diesen Fragebogen nicht ausfüllen.
Aber vielleicht ist dieser Fragebogen ein Anlaß, um sich intensiver mit den Pflichten der DS-GVO zu beschäftigen.

Mehr zu allen Punkten des Fragebogens erfahren Sie in diesem Beitrag.

Für Unternehmen bedeuten die DS-GVO einige Anpassungen und einen deutlichen organisatorischen Mehraufwand.
Wir stehen für Sie unter anderem für folgende Aufgaben mit oder ohne Vertrag (außer ext. Datenschutzbeauftragter) zur Verfügung:
  • kostenloses Beratungsgespräch vor Ort
  • Benennung als Ihr externer Datenschutzbeauftragter
  • Unterstützung Ihres internen Datenschutzbeauftragten
  • Beratung in Datenschutz und IT-Grundschutz
  • Schulung, Senibilisierung und regelmäßige Information zu aktuellen Datenschutz-Themen
  • Einrichtung einer Datenschutz-Management Software zur Dokumentation und vereinfachten Bearbeitung aller Vorgänge
  • Überprüfung der Internetseite auf Datenschutz-Konformität, Erstellung einer Datenschutzerklärung
  • Erarbeitung von Mitarbeiterverpflichtungen und Unternehmensrichtlinien
  • Überprüfung Ihrer Partnerverträge, Erarbeitung einer Vereinbarung zur Auftragsdatenverarbeitung
  • Iststand-Analyse und Erstellung einer Anlage TOM (Technisch organisatorische Maßnahmen)
  • Unterstützung bei der Erarbeitung eines Verfahrensverzeichnisses
  • Erarbeitung von Formularen, Informationsblättern und Verfahren für den datenschutzkonformen Umgang mit Personendaten
  • Unterstützung bei der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen
  • Datenschutzrechtliche Beurteilung von Prozessen und Verfahren
Aus gesetzlichen Gründen leisten wir keine Rechtsberatung.

Die Datenschutzkonferenz (DSK), die Gemeinschaft der deutschen Datenschutzbehörden, hat im Oktober die Liste aktualisiert, für welche Arten von Datenverarbeitungen auf jeden Fall eine Datenschutz-Folgenabschätzung durchgeführt werden sollte.
Selbst wenn keine der eigenen Verarbeitungen einem der 17 genannten Szenarien entspricht, bietet die Liste einen guten Überblick, welche Art von Verarbeitungen nach einer Datenschutz-Folgenabschätzung gemäß Art. 35. DSGVO verlangt.

Anfang September waren rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter von Knuddels-Nutzern im Netz aufgetaucht.
Für die unverschlüsselte Speicherung muss das Forum nun zahlen.
Damit habe das Unternehmen aus Karlsruhe nach DSGVO Art. 32 gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit.

Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

 
- Seite: 1 -