ausblenden > Talk

DSGVO

<< < (5/30) > >>

MacFlieger:

--- Zitat von: MacFlieger am März 21, 2018, 08:31:22 ---Personenbezogene Daten dürfen verarbeitet werden, wenn
- eine explizite Erlaubnis vorliegt oder

--- Ende Zitat ---

Nachtrag dazu:
Hierbei gibt es ein paar Voraussetzungen:
- Dies kann durch eine explizite Erklärung oder eindeutige bestätigende Handlung erfolgen.
- Sie muss informiert erfolgen, d.h. man muss dabei genau erklären, wozu man einwilligt.
- Wenn bei einer Einwilligung in schriftlicher Form diese in Kombination mit anderen Sachverhalten, dann muss die Einwilligung von den anderen Sachverhalten klar zu unterscheiden sein (z.B. Fettdruck/Umrandung etc.).
- Sie muss jederzeit widerrufbar sein und darauf muss bei der Einwilligung hingewiesen werden.
- Man muss diese Einwilligung nachweisen können, z.B. durch Protokollierung.
- Sie muss freiwillig erfolgen. Rechtlich umstritten ist aktuell dabei der Passus, dass unter größtmöglichen Umfang dem Umstand Rechnung getragen werden soll, dass die Einwilligung nicht verpflichtend für andere Sachverhalte sein darf, für welche die Datenverarbeitung nicht notwendig ist ("Kopplungsverbot"). Soll heißen: Wenn man eine Dienstleistung erbringen will, dann darf man dafür nicht zwingend die Einwilligung zur Verarbeitung von Daten verlangen, wenn diese für die Dienstleitung nicht benötigt werden, d.h. darüber hinaus gehen.

Großer Nachteil: Die Erlaubnis kann jederzeit zurückgenommen werden. In dem Fall müssen alle Daten wieder gelöscht werden, was evtl. mit viel Arbeit und Schwierigkeiten verbunden sind. Daher würde ich nach Möglichkeit auf diese Rechtsgrundlage ebenfalls verzichten.

MacFlieger:
Thema "Auftragsverarbeitung"

Wenn man jemanden anderen als Auftragsverarbeiter beauftragt, ist dieser rechtlich kein "Dritter" mehr und es muss nicht mehr direkt darüber informiert werden, dass personenbezogene Daten von diesem verarbeitet werden. Hat man z.B. mit seinem Hosting-Provider eine Auftragsverarbeitung geschlossen, ist es nach außen hin kein Unterschied mehr, ob man selber einen Mailserver betreibt oder dieser vom Provider betrieben wird.

Eine Auftragsverarbeitung liegt nicht vor (sondern dann stattdessen eine gemeinsame Verantwortlichkeit), wenn die betroffene Stelle (Person, Firma, Behörde etc.) allein über die Mittel und Zwecke der Verarbeitung entscheidet, wobei das Hauptaugenmerk wohl darauf liegt, ob die betroffene Stelle über den Zweck entscheiden kann.

Betreibt man also ein normales Hosting-Paket, dann entscheidet der Hosting-Provider nicht darüber, zu welchem Zweck die gespeicherten Daten verwaltet werden. Somit ist der Provider ein Auftragsverarbeiter und man muss mit ihm einen Vertrag schliessen.
In diesem Vertrag steht dann hauptsächlich drin, dass sich der Auftragsverarbeiter die DSGVO einhält.

Vorlagen für einen Vertrag (und andere Praxishilfen) gibt es hier:
https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Viele Provider bieten schon fertige Verträge zum Download für ihre Kunden an.

MacFlieger:
Nun zum heiklen Thema "Informationspflichten":

Wenn von jemandem personenbezogen Daten verarbeitet werden, muss dieser darüber informiert werden. So etwas trifft seit kurzem bei mir zunehmend von verschiedenen Firmen ein.

Vorgaben für die Information:
- Die Formulierungen müssen präzise und in verständlicher Sprache sein.
- Die Informationen müssen leicht zugänglich sein.
- Die Informationen müssen innerhalb einer angemessenen Frist (max. 1 Monat) nach Erlangung der Daten mitgeteilt werden.

Inhalt der Informationen:
1. Name und Kontaktdaten des Verantwortlichen
2. Art der betroffenen Daten
3. Zweck der Verarbeitung
4. Rechtsgrundlage, meistens Art. 6 der DSGVO, bei Mail-Newslettern aber auch §7 UWG.
5. Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer
6. Werden die Daten an Dritte weiter gegeben? Wenn ja, an welche?
7. Werden Daten außerhalb der EU verarbeitet? Wenn ja, wie ist das angemessene Datenschutzniveau garantiert.
8. Werden Daten auf Basis einer Einwilligung verarbeitet? Wenn ja, muss auf das Widerrufsrecht hingewiesen werden.
9. Werden Daten auf Basis einer Interessenabwägung verarbeitet? Wenn ja, wie lautet das Interesse?
10. Rechte des Betroffenen, d.h. Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und ein etwaiges Recht auf Datenübertragbarkeit
11. Kontaktdaten des Datenschutzbeauftragten. Ein DSB wird nur dann benötigt, wenn min. 10 Personen regelmäßig mit der Verarbeitung der Daten beschäftigt ist.
12. Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
13. Sofern Daten auf einem Formular oder einer Internetseite angegeben werden müssen, muss angegeben werden, ob derjenige dazu gesetzlich oder vertraglich verpflichtet ist und ob diese für einen Vertragsschluss erforderlich sind. Auch muss angegeben werden, welche Folgen es hat, wenn die Daten nicht angegeben werden.
14. Kommt ein Verfahren zur automatisierten Entscheidungsfindung zum Einsatz, müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkung der Verarbeitung gemacht werden.

Falls die Daten nicht vom Betroffenen selber erhoben wurden, muss man zusätzlich angeben:
- Herkunft der Daten

Bei der Zusendung der Informationen ist evtl. schwierig das per Mail zu senden, wenn das als unverlangte Werbung nach §7 UWG angesehen werden könnte.

Ändert sich etwas an den übersandten Informationen (z.B. möchte man nachträglich die Daten doch anders verwenden), muss die Information neu versendet werden.

Ausnahmen für die Informationspflicht:
- wenn die Person bereits über die Informationen verfügt
- wenn sich die Erteilung der Information als unmöglich erweist, weil man z.B. keine Kontaktadresse hat.
- wenn ein unverhältnismäßiger Aufwand erforderlich wäre

Was ich mich momentan frage:
Gilt das jetzt auch für alle alten Daten oder nur für Daten, die ab dem 25.5. neu erhoben/verarbeitet werden?

MacFlieger:
Pflichten des für die Verarbeitung Verantwortlichen:

- geeignete technische und organisatorische Maßnahmen über Art/Umfang und Risiken des Umgangs mit den Daten treffen. Diese müssen nachweisbar sein
- verhältnismäßiger Umgang
- Technik und Vorgaben müssen entsprechend gestaltet sein (Privacy by design/default).
- Erstellung eines Verarbeitungsverzeichnisses. Dies gilt zunächst nur für Firmen mit mehr als 250 Mitarbeitern, außer es werden bestimmte besonders schutzbedürftige Daten (wie z.B. Religionszugehörigkeit) verarbeitet. D.h. effektiv gilt es in D doch für alle Firmen, da in der Lohnabrechnung die Religionszugehörigkeit benötigt wird.
- regelmäßiges Überprüfen/Evaluieren der getroffenen Maßnahmen
- Meldepflicht von Vorfällen gegenüber der Aufsichtsbehörde und Betroffenen (Melden innerhalb von 72h nach Kenntnis)
- evtl. eine Datenschutzfolgenabschätzung

Jochen:
Interessante Infos hier über DSGVO. ;)
@macflieger
Viele Kriterien die Du auflistest sind doch nicht auf der eigentlichen evtl. eigenen website (Firma) zu dokumentieren?
Ähnlich wie der Verweis auf die Norm EN ISO 9001 oder ISO/IEC 17025 bei Firmen.

Jochen

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete

Antwort