Schlagwort-Archive: BDSG

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Mitautor: Christian Frerix

Viele Unternehmensverantwortliche wissen um die Pflicht zur Bestellung einer/s Datenschutzbeauftragten (DSB; die im Folgenden verwendete männliche Form gilt für Personen beiderlei Geschlechts gleichermaßen). Dennoch führt die „Spezies“ der Datenschutzbeauftragten in der unternehmerischen Wahrnehmung oftmals noch ein Schattendasein. Und ebenso so oft scheint es so zu sein, als habe derjenige den Hut des internen DSB auf, der schlicht den Kopf nicht schnell genug weggezogen hat. Ein Grund dafür mag darin liegen, dass die Beschäftigung mit diesem Thema häufig mehr Fragen aufwirft, als sie beantwortet. Brauche ich einen DSB? Was macht dieser überhaupt? Wer darf es überhaupt sein sein? Und ist dieser dann echt unkündbar? Und überhaupt, was muss denn noch alles beachtet werden?

Sollten auch Sie zu denjenigen gehören, die sich Tag und Nacht  (okay, okay, hin und wieder, eben wenn Sie denken „Da war doch noch was….?“) mit diesen Fragen beschäftigen, dann sollten Sie mit den folgenden Zeilen Ihre Antworten finden.

Und auch wenn Sie bereits einen DSB beschäftigen oder selbst einer sind,  lohnt sich das Weiterlesen. Als datenverarbeitende Stelle kommen Sie nämlich gerade in Zeiten der Anpassung interner Betriebsabläufe an die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) bis 2018 nicht um dieses Thema herum. Weiterlesen

Google Play verlangt jetzt Datenschutzerklärung für Apps bis zum 15.03! (was nach dem Gesetz und den bestehenden Entwicklerrichtlinien an sich keine neue Anforderung ist)

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 5

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 4

Mitautor: Christian Frerix*

Huch! Da bin ich ja schon wieder, obwohl wir noch gar nicht September haben. Doch wohl an. Diesmal geht es wieder um die EU-Datenschutzgrundverordnung, kurz DSGVO. In Teil 4 geht es um:

Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten 

[Bonustrack: Der Datenschutzbeauftragte unter der DSGVO]

Wir wir schon in Teil 1 „Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung“ sagten, bringt die im Mai 2018 Geltung erlangende und ab dann auch den Datenschutz in Deutschland regelnde europäische Datenschutzgrundverordnung (DSGVO)  jede Menge Änderungen mit sich, auf die sich Unternehmen künftig einstellen müssen. Es ändern sich sowohl die Begrifflichkeiten (siehe dazu Teil 2 „Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt“) als auch etliche Voraussetzungen zur Datenverarbeitung (Teil 3 – „Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen“).

Doch damit nicht genug. Die DSGVO verschärft die Dokumentationspflichten, die Datensicherungspflichten und die Meldepflichten. (Auch die Informations- und Auskunftspflichten, aber dazu wird es einen weiteren Artikel geben…). Das bedeutet, dass alle Unternehmen Ihre datenschutzrechtlichen Strukturen bis 2018 unbedingt auf den Prüfstand stellen sollten.

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 3

Mitautor: Christian Frerix*

Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Mit großen Schritten stapft die DSGVO auf Europa zu. Seit Mai 2016 ist sie in Kraft. Ab Mai 2018 wird sie ihre Wirkung über den Kontinent entfalten. Ach? Das sagten wir schon mal? Stimmt. In Teil 1 und Teil 2 unserer kleinen Serie zur europäischen Datenschutzgrundverordnung (DSGVO).

Nachdem in Teil 1 der grundlegende Aufbau des neuen (unmittelbar wirkenden) Gesetzes erläutert wurde und wir uns in Teil 2 den wichtigsten Begriffen der DSGVO zugewendet hatten, stellen wir hier nun die Grundprinzipien vor, auf denen der Datenschutz in Europa künftig fußt.

Das heißt, wir gucken uns heute an, unter welchen Voraussetzungen eine Datenverarbeitung nach der DSGVO künftig möglich sein wird.

Voraussetzungen? Grundprinzipien? Datenschutz? Ja, ja, ich kann ihre Gedanken lesen. Heimlich drücken Sie gerade das Kotz-Emoj. (Erwischt! Ich weiß.) Auch wenn Ihnen per se Spannenderes einfällt, als den Ausführungen einer Anwältin zu den Voraussetzungen einer rechtmäßigen Datenverarbeitung nach der DSGVO zu lauschen/lesen, ist das dennoch sehr empfehlenswert. Schließlich sind Sie bzw. Ihr Unternehmen sowie alle Datenverarbeiter im europäischen Raum an diese Verordnung gebunden. Und wenn Sie sich nicht dran halten, dann erwarten Sie – je nach dem gegen welche Norm Sie verstoßen haben – Bußgelder in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres  gemäß Art. 83 Abs. 4 DSGVO oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres gemäß Art. 83 Abs. 5 DSGVO (siehe dazu bereits Teil 2).

Ja, das sind Summen, da bilden die meisten Unternehmen nicht „mal eben“ eine Rückstellung für. Also, vielleicht doch weiterlesen…

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 2

Mitautor: Christian Frerix*

Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt

Wie wir in der letzten Woche in Teil 1 dieser Serie erläuterten, ist die EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2016 in Kraft getreten und wird ihre Wirkungen im Mai 2018 in aller Pracht entfalten.

Bis dahin sollten sich Unternehmen mit den damit für sie einhergehenden Änderungen tunlichst auseinandersetzen. Warum? Warum nicht wie bisher ignorieren? Nun, der alte Tiger Datenschutz hat – wie wir bislang nur zaghaft andeuteten – neue Zähne bekommen. Das bedeutet unter anderem, dass Verstöße gegen die Verordnung – je nach dem gegen welche Norm Sie verstoßen haben – mit Bußgeldern in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres  oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres mit Geldbußen  geahndet werden können (vgl. Art. 83 Abs. 4 u 5 DSGVO). Daneben sind nun auch klar Schadensersatzansprüche in der DSGVO verankert (vgl. Art. 82 DSGVO). Tja, bei diesen Beträgen fällt es schon schwer, eine „Rückstellung“ zu budgetieren geschweige denn tatsächlich einzukalkulieren. Dazu ein anderes Mal mehr; aber dies vielleicht als kleinen Anreiz, mit einem wachen Auge auf die anstehenden Änderungen zu schauen.

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 1

Mitautor: Christian Frerix*

Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Im Dezember 2015 haben sich EU-Kommission, EU-Parlament und EU-Ministerrat nach vierjährigem Hin und Her auf eine Reform des Datenschutzrechts geeinigt. Das Ergebnis ist die unter dem leicht einprägsamen Namen erarbeitete „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (kurz: EU-Datenschutzgrundverordnung, noch kürzer: DSGVO). Nachdem jüngst auch das Europäische Parlament zugestimmt hat, ist die DSGVO am 04. Mai 2016 im EU-Amtsblatt veröffentlicht worden und damit 20 Tage später am 25. Mai 2016 in Kraft getreten.

Was?! In Kraft getreten?! Himmel! Schon? Und jetzt?! Und wieso wird erst heute darüber gebloggt!? Ganz ruhig. Alles ist gut. Und zwar einfach aus dem folgenden Grund: Die DSGVO ist zwar schon seit dem 25. Mai 2016 in Kraft, jedoch entfaltet sie gemäß Artikel 99 Absatz 2 DSGVO erst zwei Jahre nach dem Inkraftreten der Verordnung ihre Wirkung.

Folglich haben Unternehmen von nun an bis Mai 2018 zwei Jahre Zeit, ihre Datenverarbeitungsprozesse an die neuen gesetzlichen Rahmenbedingungen anzupassen. Sich angesichts dieser Übergangsfrist bis zum Februar 2018 mit geschlossenen Augen zurückzulehnen, könnte sich aber als äußerst unvorteilhaft erweisen. Denn aufgrund der vielen neuen Regelungen und Anforderungen sowie der stark erhöhten Bußgeldandrohungen sollten Unternehmen  besser jetzt beginnen, sich mit den kommenden Veränderungen im Umgang mit personenbezogenen Daten vertraut zu machen, um die Übergangszeit konstruktiv und ohne Hektik nutzen zu können.

Weiterlesen

Meldung in eigener Sache II: RA’in Diercks ist Sachverständige für IT-Produkte (rechtlich)

Und zum zweiten Mal nutzen wir den Blog heute nicht, um ein rechtliches Problem verständlich zu sezieren, sondern zu einer weiteren Meldung in eigener Sache:

RA’in Diercks ist Sachverständige für IT-Produkte (rechtlich)

Weiterlesen

Neue Orientierungshilfe der Datenschutzbehörden: Arbeitgeber sind TK-Anbieter – oder doch nicht!?!

Die Datenschutzaufsichtsbehörden des Bundes und der Länder haben kürzlich eine aktuelle „Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ herausgegeben. Diese Orientierungshilfen sind nicht nur deswegen interessant, weil sie unter anderem oft auch Checklisten und Mustervereinbarungen, hier z.B. für Arbeitgeber, enthalten, sondern weil die Datenschutzbehörden über die Datenschutzkonferenz bzw. die Orientierungshilfen auch ihre Postion zu bestimmten datenschutzrechtlichen Themen erkennen lassen.

Weiterlesen

Der „One Pager“ des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) – Die schnelle und einfache Alternative zur Datenschutzerklärung?

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Das BMJV hat vor gut zwei Wochen, am 19.11.2015, als Ergebnis des diesjährigen IT-Gipfels ein „Muster für Datenschutzhinweise“ auf nur einer DIN-A4-Seite vorgestellt. Dieser sog. „One Pager“ soll nach eigener Aussage nun von Unternehmen genutzt werden können, um ihre Datenverarbeitung gegenüber Verbraucherinnen und Verbrauchern auf einfache Weise im Internet transparent zu machen. Hilfestellungen gibt’s im Rahmen einer Erläuterung für den Verwender des „One Pagers“. Das klingt erstmal nicht schlecht. Haben doch selbst schon einfache Unternehmenswebseiten Datenschutzerklärungen, die gerne vier DIN-A4-Seiten umfassen. Bei etwas komplexeren Telemediendiensten bzw. Geschäftsmodellen können es auch einmal fünfzehn Seiten werden.

Doch wer sich jetzt schon auf das Ende des Leidens (ergo, der umfangreichen Informationspflichten) und eine knackige Lösung zum „Selbermachen“ freut, den müssen wir an dieser Stelle leider enttäuschen. Die gesetzlichen Anforderungen an den Inhalt von Datenschutzerklärungen haben sich nämlich nicht geändert.

Angesichts dieser Tatsache drängt sich  förmlich die Frage auf, wie das BMJV den Regelungsinhalt von fünf bis zehn Seiten auf einer Seite unterbringen kann? Die Antwort führt leider zur nächsten Enttäuschung: Gar nicht.

Denn noch bleibt ein Gedanke: Wenn also weiterhin umfangreich informiert werden muss und das BMJV das irgendwie mit einer DIN-A4-Seite schafft, dann kann ich das als Unternehmen schon lange! Deshalb spar ich mir die „richtige“ Datenschutzerklärung in Zukunft einfach! Oder?

Nun ja, sagen wir es mal so:

Warum der „One Pager“ eine Datenschutzerklärung nicht ersetzt und für wen er dennoch nützlich sein kann, wird im nachfolgenden Beitrag geklärt.

Weiterlesen