Datenschutz

Beim Arbeitsmedizinischen Dienst liegt eine eigenständige Verarbeitung vor, ein Vertrag zur Auftragsverarbeitung ist nicht erforderlich.

Begründung:
Keine Auftragsverarbeitung liegt lt. DSK Kurzpapier Nr. 13 vor bei Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, der für die Verarbeitung personenbezogener Daten eine eigene Rechtsgrundlage gemäß Art. 6 DSGVO besitzt.
Beispiele dafür sind die Einbeziehung eines Berufsgeheimnisträgers wie Steuerberater, Rechtsanwälte, Wirtschaftsprüfer oder ext.Betriebsarzt.
Es besteht autonome Entscheidungskompetenz mit einem unabhängigen Zweck der Verarbeitung.

Die Datenverarbeitung findet auf Rechtsgrundlage DSGVO Art. 9 Abs. 2 Lit. h) statt.

Unser Angebot - Ihr externer Datenschutzbeauftragter.

Der Umfang hängt erheblich davon ab, welche Voraussetzungen vorhanden sind (z.B. Firmengröße, Art der verarbeiteten Daten, Datenschutzdokumente, Sicherheitskonzepte, Verfahrensverzeichnis, vorhandene Schulungen und Dienstanweisungen) und welche Leistungen Sie selbst erbringen möchten.
Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.

Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht als Ansprechpartner zur Verfügung. Die Abrechnung erfolgt monatsbezogen pauschal oder auf Basis der erbrachten Einzelleistungen.
Die Kosten betragen je nach Umfang ab ca. 150,- EUR p.m. Netto.


Es kommt vor dass die Polizei mit einem Auskunftsersuchen Unternehmen dazu auffordert, personenbezogene Daten ihrer Kunden hinsichtlich der Ermittlung in einer bestimmten Strafsache preiszugeben.
Hierbei handelt es sich um eine Datenweitergabe an Dritte, die einer Rechtsgrundlage nach DSGVO bedarf.

Da die Daten in den wenigsten Fällen zum Zwecke der Übermittlung an Strafverfolgungsbehörden erhoben werden, liegt außerdem eine sogenannte „Weiterverarbeitung“ vor. Mehr dazu im Artikel.

Die Strafverfolgungsbehörden müssen die Datenerhebung durch Abfrage auf eine Rechtsgrundlage stützen können.

Unternehmen sollten folgende Punkte prüfen:
  • den Tatvorwurf
  • den Zweck der Verarbeitung durch die Ermittlungsbehörde
  • die Rechtsgrundlage der Anfrage
  • ggf. gesetzliche Verpflichtung zur Übermittlung.
Außerdem muß die Identität des Anfragenden vor der Datenübermittlung geprüft werden.

Nach § 24 Abs.1 Nr.1 BDSG können Daten u.a. übermittelt werden, wenn sie zur Verfolgung von Straftaten erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen.
Eine Übermittlung ist demnach nur zulässig bei Straftaten, nicht bei Ordnungswidrigkeiten.

Ebenfalls zu berücksichtigen ist, dass bestimmte Berufsgruppen und Geheimnisträger ein Zeugnisverweigerungsrecht haben, weil sie gemäß § 203 StGB der Schweigepflicht unterliegen.

Bei ehemaligen Mitarbeitern sind die Löschfristen der Personendaten zu beachten.

Da § 24 BDSG nur die Zulässigkeit der Übermittlung, aber keine Pflicht dazu vorsieht, sollten Unternehmen bei Behörden nach einer gesetzlichen Verpflichtung zur Übermittlung fragen (bspw. Auskunftsersuchen durch die Staatsanwaltschaft oder durch die Polizei im Auftrag der Staatsanwaltschaftm §§ 161 a Abs. 1, 163 Abs. 3 StPO).

Soll eine Übermittlung der Personendaten stattfinden, hat zunächst die Information des Betroffenen nach Art. 13 Abs. 3 DSGVO zu erfolgen.

Wenn andere Unternehmen Zugriff auf Ihre Personendaten haben, handelt es sich meist um Auftragsverarbeitung nach DSGVO Art.28.
Leider ist das alles andere als klar.
Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon.
Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz.
Der externe Auftragnehmer wird bei der Auftrags(daten)verarbeitung nur unterstützend tätig.

Keine Auftragsverarbeitung liegt bei einer sogenannten Funktionsübertragung vor.
Dabei ist die genaue Abgrenzung von Auftragsverarbeitung und Funktionsübertragung nicht immer eindeutig.
Der externe Auftragnehmer/Dienstleister ist im Rahmen einer Funktionsübertragung nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht und er hat ein eigenes Interesse an den Daten des Unternehmens.

Auftragsverarbeitung muß mit einem Vertrag zur Auftragsverarbeitung entsprechend DSGVO Art. 28 geregelt werden.
Die Verantwortung für die Daten und somit auch für den Vertrag liegt beim Auftraggeber.
Der Vertrag muß alle im Gesetz definierten Punkte beinhalten, seine Existenz ist zwingend vorgeschrieben und bußgeldbewährt.
Der Vertrag muß nicht schriftlich, sondern kann auch elektronisch abgeschlossen werden.

Zur Zeit werden Fragebögen zur Umsetzung der DS-GVO vom Thüringer Landesdatenschutz an rund 17.000 Thüringer Firmen versendet.
Die Beantwortung der Fragebogen ist freiwillig.
Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, wenn zu wenige Antworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Das ist gerade jetzt in der Weihnachtszeit eine sehr kurze Zeitspanne.

Der Fragebogen besteht aus 7 Absätzen:
  1. Betrieblicher Datenschutzbeauftragter nach Art. 37 DS-GVO i. V. m. § 38 BDSG
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Erlaubnistatbestände Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung
Bis auf das Techn. Objektmanagment (TOM) und die IT-Sicherheit sind das die wesentlichen Fragen bei der Umsetzung der DS-GVO.
Ob und welche Probleme aus einer eventuell selbst belastenden Antwort entstehen, kann man bisher nur mutmaßen.
Wer bisher gar nichts oder zu wenig zur Umsetzung der DSGVO getan hat, wird sicher diesen Fragebogen nicht ausfüllen.
Aber vielleicht ist dieser Fragebogen ein Anlaß, um sich intensiver mit den Pflichten der DS-GVO zu beschäftigen.

Mehr zu allen Punkten des Fragebogens erfahren Sie in diesem Beitrag.

Für Unternehmen bedeuten die DS-GVO einige Anpassungen und einen deutlichen organisatorischen Mehraufwand.
Wir stehen für Sie unter anderem für folgende Aufgaben mit oder ohne Vertrag (außer ext. Datenschutzbeauftragter) zur Verfügung:
  • kostenloses Beratungsgespräch vor Ort
  • Benennung als Ihr externer Datenschutzbeauftragter
  • Unterstützung Ihres internen Datenschutzbeauftragten
  • Beratung in Datenschutz und IT-Grundschutz
  • Schulung, Senibilisierung und regelmäßige Information zu aktuellen Datenschutz-Themen
  • Einrichtung einer Datenschutz-Management Software zur Dokumentation und vereinfachten Bearbeitung aller Vorgänge
  • Überprüfung der Internetseite auf Datenschutz-Konformität, Erstellung einer Datenschutzerklärung
  • Erarbeitung von Mitarbeiterverpflichtungen und Unternehmensrichtlinien
  • Überprüfung Ihrer Partnerverträge, Erarbeitung einer Vereinbarung zur Auftragsdatenverarbeitung
  • Iststand-Analyse und Erstellung einer Anlage TOM (Technisch organisatorische Maßnahmen)
  • Unterstützung bei der Erarbeitung eines Verfahrensverzeichnisses
  • Erarbeitung von Formularen, Informationsblättern und Verfahren für den datenschutzkonformen Umgang mit Personendaten
  • Unterstützung bei der Bearbeitung von Datenschutzvorfällen oder Betroffenenanfragen
  • Datenschutzrechtliche Beurteilung von Prozessen und Verfahren
Aus gesetzlichen Gründen leisten wir keine Rechtsberatung.

Die Datenschutzkonferenz (DSK), die Gemeinschaft der deutschen Datenschutzbehörden, hat im Oktober die Liste aktualisiert, für welche Arten von Datenverarbeitungen auf jeden Fall eine Datenschutz-Folgenabschätzung durchgeführt werden sollte.
Selbst wenn keine der eigenen Verarbeitungen einem der 17 genannten Szenarien entspricht, bietet die Liste einen guten Überblick, welche Art von Verarbeitungen nach einer Datenschutz-Folgenabschätzung gemäß Art. 35. DSGVO verlangt.

Anfang September waren rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter von Knuddels-Nutzern im Netz aufgetaucht.
Für die unverschlüsselte Speicherung muss das Forum nun zahlen.
Damit habe das Unternehmen aus Karlsruhe nach DSGVO Art. 32 gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink mit.

Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

Immer mehr Menschen kommunizieren im privaten und zunehmend auch im geschäftlichen Umfeld mit Messengern.
Die Kommunikation ist unkompliziert, schnell und ergänzt oder verdrängt häufig klassische Kommunikationswege wie Brief oder E-Mail.
Als Datenschutzbeauftragter wurde ich nach meiner Einschätzung zur Nutzung gefragt.
Dabei stehen die Datenschutz-Bedenken oft gar nicht im Vordergrund.

1. Lizenzrecht
Nicht jeder Messenger ist für die kommerzielle Nutzung frei gegeben.
Die Nutzung ohne Genehmigung einer kommerziellen Nutzung führt zu einer Vertrags- und Urheberrechtsverletzung, die entsprechende Unterlassungs- und Schadenersatzansprüche des Betreibers nach sich ziehen kann. Darüber hinaus können Urheberrechtsverletzungen sogar strafrechtlich relevant sein (§ 106 UrhG).

2. Datenschutz
Wenn ein Messenger-Dienst nach Anmeldung auf einem Firmen-Smartphone auf das gesamte Kontaktverzeichnis des Anmelders zugreift, um zu überprüfen, welche Kontakte des Anmelders bereits bei dem entsprechenden Dienst registriert sind, würden regelmäßig auch die Kontaktdaten von Personen, die nicht als Nutzer bei dem jeweiligen Dienst registriert sind, an diesen übermittelt.
Für diese Übermittlung fehlt es jedoch datenschutzrechtlich an der notwendigen Legitimation (DSGVO Art. 6).
Die Nutzung stellt einen bußgeldbewährten Verstoß gegen die DSGVO dar.

3. Datensicherheit
In Chats werden oft sensible Firmendaten und Personendaten übermittelt.
Ein Messenger-Dienst muss hier ähnlich wie ein E-Mail-Dienst betrachtet werden.
Eine durchgehende Ende-zu-Ende Verschlüsselung ist notwendig zum Schutz der o.g. Daten. Sie ist andererseits auch notwendig, um den datenschutzrechtlichen Verpflichtungen zum Ergreifen technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, die im Rahmen der Chat-Verläufe ausgetauscht werden könnten, vor unbefugtem Zugriff gerecht zu werden.

4. Unternehmerische Form-Pflichten
Wird ein Messenger-Dienst betrieblich genutzt, sind unternehmerische Pflichten auch im Rahmen der Form dieser Kommunikation gegenüber Kunden einzuhalten.
Ein Geschäftsbrief ist jede nach außen gerichtete Mitteilung des Unternehmens, die inhaltlich deren geschäftliche Betätigung betrifft, und muß bestimmte Mindestangaben wie Rechtsform, Sitz der Gesellschaft, das Registergericht etc. beinhalten.

5. Aufbewahrungspflichten nach HGB und AO
So wie bei E-Mails besteht auch bei Chat-Nachrichten eine Archivierungspflicht.

Fazit
Die dargestellten Handlungspflichten der Unternehmen machen es notwendig, Nutzungsregelungen zum Umgang mit den Messenger-Diensten aufzustellen, die die jeweiligen Pflichten widerspiegeln.

Nur ausgewählte Business-Lösungen erfüllen alle genannten Anforderungen.
Mehr dazu im Artikel.

Das niederländische Ministerium für Sicherheit und Rechtbeauftragte Spezialisten mit der Prüfung, ob die eingesetzte Software die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllen.
Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend.

Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation.
Die konkreten Punkte finden Sie im Artikel.

Microsoft bietet zudem Dienste über das Internet an, die in Office 365 (und auch Office 2016 und 2019) prominent beworben und heraus gestellt werden. Aus technischer Sicht ist es aber unvermeidlich, dass Nutzer Microsoft Daten wie den Header ihrer E-Mail und ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Das alleine sind aber schon persönliche Informationen, die nach DSGVO ohne explizite Zustimmung des Benutzers nicht verarbeitet und gespeichert werden.
Wer also Office 2016 in Firmen einsetzt, verstößt als DSGVO-Verantwortlicher gegen die DSGVO.

 
- Seite: 1 -