Controller-Controller-Vertrag

Controller-Controller-Vertrag Abschluss unter Einhaltung der DSGVO zwischen zwei Personen an einem Schreibtisch.

Ist ein Vertrag zwischen Verantwortlichen, die nicht gemeinsame Verantwortliche sind, notwendig? Werden zwischen Unternehmen personenbezogene Daten ausgetauscht oder nutzen zwei oder mehrere Unternehmen einen gemeinsamen Datenpool, das findet sich häufig in Konzernkonstellationen, regelt die DSGVO zwei Fallkonstellationen: Die Auftragsverarbeitung (Art. 28 DSGVO) und die gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Ein Unternehmen ist dann Auftragsverarbeiter (Begriffsbestimmung … Weiterlesen

Outlook E-Mails verschlüsseln

Ein Geschäftsmann der auf einen virtuellen Breifumschlag zeigt um E-Mails zu symbolisieren. Installation von Gpg4win um Ihre Microsoft Outlook E-Mails zu verschlüsseln.

Immer wieder geht es beim Thema DSGVO und Datenschutz um das Problem, wie unsicher der Versand von E-Mail ist. Zumindest immer dann, wenn sensible personenbezogene Daten (sog. besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO) oder eine große Anzahl personenbezogener Daten übermittelt werden sollen, sind dem risiko-basierten Ansatz der DSGVO folgend weitere Sicherheitsmaßnahmen erforderlich. Bei … Weiterlesen

Datenschutz und Brexit – Besteht Handlungsbedarf?

Datenschutz und Brexit. Ein Mann im Anzug hält einen Gegenstand nach vorne auf dem die UK- und EU-Flaggen abgebildet sind.

Die Übergangsregelung für das Datenschutzrecht bezüglich des Brexits verschafft erneut Zeit für alle betroffenen Unternehmen, um sich für einen etwaigen Datenverkehr ins Vereinigte Königreich abzusichern. Es ist dabei nicht ratsam, dass sich betroffene Unternehmen auf den fristgerechten Abschluss eines Angemessenheitsbeschlusses der EU-Kommission verlassen. Unternehmen sollten sich vielmehr auf die Situation vorbereiten, dass das Vereinigte Königreich zumindest vorübergehend zu einem Drittland wird.

Homeoffice und Datenschutz – Was ist zu beachten?

Mann im Homeoffice am Laptop auf dem Sofa mit Datenschutz beschäftigt.

Homeoffice und mobiles Arbeiten manifestieren sich als Arbeitsform in Unternehmen. Der Lockdown und die seit dem 27.01.2021 geltende SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) befördern das. Unternehmen müssen neben den organisatorischen und arbeitsrechtlichen Voraussetzungen auch die Datenschutzaspekte beachten und umsetzen. Schwerpunkt ist der technische Datenschutz.

SCHUFA-Scoring und Datenschutz

SCHUFA-Zentrale / Schufa-Scoring

Der heutige Blog-Beitrag hat das Thema: SCHUFA-Scoring und Datenschutz inkl einem Ausblick auf das Vielwechlser-Scoring. Nach eigener Aussage hat die SCHUFA über 1 Milliarde Daten zu 6 Millionen Unternehmen und 67,9 Millionen natürlichen Personen. Sie erteilt pro Tag im Schnitt 460.000 Auskünfte an Unternehmen. Da verwundert es nicht, dass fast alle schon einmal von einer SCHUFA-Auskunft gehört haben. Eine Auskunft kann auch in einem SCHUFA-Scoring der bestehen. Was ist eigentlich ein SCHUFA-Scoring und was beudetet das für den Datenschutz? Was ist ein Vielwechsler-Scoring und wie passt das zum Datenschutz?

BGH Urteil zu Cookies – Verschärfte Anforderungen an die Einwilligung

BGH Urteil zu Cookies und Einwilligung

Der BGH hat entschieden, dass Cookies nur mit expliziter Einwilligung des Webseitenbesuchers gesetzt werden dürfen. Entsprechende Cookie-Banner sind damit nun unumgänglich. Vorausgewählte Checkboxen für eine Einwilligung sind nicht zulässig.

M&A Transaktionen und Datenschutz

Gestikulation während einer sozialen Interaktion über M&A Transaktionen

Integraler Bestandteil jeder Unternehmenstransaktion (M&A Transaktionen) ist die sorgfältige Prüfung des zu erwerbenden Unternehmens im Hinblick auf seine wirtschaftliche, rechtliche, steuerliche und finanzielle Situation. Im Allgemeinen haben potenzielle Erwerber ein erhebliches Interesse daran, das Zielunternehmen mit all seinen Informationen möglichst umfassend zu analysieren. Beziehen sich die übermittelten Informationen auf Lieferanten, Kunden oder die Beschäftigten der … Weiterlesen

Cookies & Einwilligung – Höchstrichterliche Stellungnahme des EUGH

BGH Urteil zu Cookies und Einwilligung

Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: C-673/17) hinsichtlich des Setzens von Cookies entschieden, dass eine aktive Einwilligung des Internetnutzers erforderlich ist. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, genüge diesen Anforderungen nicht. Das Betätigen einer Schaltfläche für die Teilnahme am Gewinnspiel stelle … Weiterlesen

Anpassung des § 38 BDSG durch das zweite Datenschutzanpassungsgesetz

Bestellung eines Datenschutzbeauftragten / das zweite Datenschutzanpassungsgesetz / Datenschutzbeauftragter

Was bringt die Absenkung der Anforderungen an die Bestellung eines Datenschutzbeauftragten? Nachdem nun der Bundesrat dem zweiten Datenschutzanpassungsgesetz (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU –  2. DSAnpUG-EU) zugestimmt hat, ist die von Wirtschaft, Verbänden und Vereinen geforderte Absenkung der Anforderungen an die Bestellungen eines Datenschutzbeauftragten (DSB) in greifbare Nähe gerückt. Sobald das Gesetz in Kraft tritt, … Weiterlesen

Zulässigkeit von Videoüberwachung zu privaten Zwecken – obiter dictum schafft Klarheit für die Praxis

Videoueberwachung

Das BVerwG hat mit seinem Urteil vom 27.03.2019 klargestellt, dass sich die Zulässigkeit von Videoüberwachungen zu privaten Zwecken direkt nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO richte. Die Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO für eine Verarbeitung von Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO … Weiterlesen

Schonfrist abgelaufen (Update)

Schonfrist abgelaufen / Datenschutz

Die französische Datenschutzbehörde hat gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat angekündigt gegen die Hotelkette Marriott ein Bußgeld von 99,2 Millionen britischen Pfund, umgerechnet rund 110 Millionen Euro, zu verhängen. Gegen die Fluggesellschaft British Airways hat die … Weiterlesen

Consent Management Database: Verwaltung von Einwilligungserklärungen

Consent_Management_Mip_Consult_GmbH / Verwaltung von Einwilligungserklärungen

Auch mit der Datenschutz-Grundverordnung (DSGVO) bleibt es beim bisher in Deutschland bestehenden grundlegenden Prinzip des Datenschutzrechts: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten; nur wenn es im Gesetz eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, dürfen diese Daten verarbeitet werden. Neben den unter anderem in Art. 6 DSGVO Abs. 1 b bis f geregelten … Weiterlesen

DSGVO: Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Unternehmen sollten sich im Zuge der Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) rechtzeitig mit der Datenschutz-Folgenabschätzung vertraut machen. Diese ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung sind Unternehmen gehalten, vor Einführung eines Datenverarbeitungsverfahrens eine Risikoeinschätzung vorzunehmen und zu dokumentieren 1). Es handelt sich insofern um eine Pflicht zur vorherigen Analyse der Folgen, welche die Verarbeitung für den Schutz personenbezogener Daten mit sich bringt. Völlig unbekannt ist die Vornahme einer solchen Prüfung nicht, denn mit der Vorabkontrolle in § 4 d Abs. 5 BDSG waren Unternehmen auch bisher schon verpflichtet, bestimmte Verfahren speziellen Prüfungen zu unterziehen. Dieser Artikel gibt einen Überblick über die Datenschutz-Folgenabschätzung.

Wozu ist die Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung ist eine Ausprägung des datenschutzrechtlichen Grundsatzes Privacy by Design 2). Dieser hält dazu an, durch datenschutzfreundliche Technikgestaltung und Voreinstellung, zur Verringerung des Gefahrenpotenzials beizutragen. Im Kern geht es um die Wahrung des informationellen Selbstbestimmungsrechts der betroffenen Personen. Damit knüpft die Datenschutz-Folgenabschätzung (genau wie bisher die Vorabkontrolle) bereits vor Implementierung eines Verfahrens an, um Risiken bei der Verarbeitung personenbezogener Daten einzuschätzen und letztlich durch organisatorische Vorkehrungen einzudämmen.

Die Datenschutz-Folgenabschätzung ist als Instrument zur Risikoerkennung und -bewertung zu verstehen. Ihr Ziel ist es, das persönlichkeitsgefährdende Potenzial eines Verfahrens zu erkennen, welches dem Individuum in seinen unterschiedlichen Rollen (als Bürger, Mitarbeiter eines Unternehmens, Kunde etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems droht 3). Die Abschätzung dient als Basis für sinnvolle Gegenmaßnahmen.

Wann kommt die Datenschutz-Folgenabschätzung zum Einsatz?

Eine Folgenabschätzung ist immer dann durchzuführen, wenn das geplante Verfahren auf die Verarbeitung personenbezogener Daten abzielt und dies ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.4)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird dabei eine Person angesehen, die anhand direkter oder indirekter Merkmale bestimmt werden kann, also insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung.5) Der Begriff der personenbezogenen Daten wird dabei im Sinne eines effektiven Schutzes von Betroffenen sehr weit ausgelegt, d.h. ein Personenbezug ist immer schon dann anzunehmen, wenn ein solcher nicht auszuschließen ist. Beispiele für personenbezogene Daten sind Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf und Ausbildungsstand.

Ferner muss ein hohes Risiko vorliegen. Ein Risiko ist jedenfalls dann als hoch einzustufen, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen droht. Droht ein hoher Schaden, genügt eine geringe Eintrittswahrscheinlichkeit. Bei hoher Wahrscheinlichkeit genügt bereits ein geringer zu erwartender Schaden.6)

Beispielhaft werden in der DSGVO u.a. folgende Fälle genannt, bei denen eine Folgenabschätzung grundsätzlich zu erfolgen hat:

  • Verarbeitung besonderer Kategorien personenbezogener Daten; diese Daten werden umgangssprachlich auch sensible oder sensitive Daten bezeichnet und umfassen nach Art. 9 Abs. 1 DSGVO:
    • Rassische oder ethnische Herkunft
    • Politische Meinung
    • Religiöse und weltanschauliche Überzeugung
    • Gewerkschaftszugehörigkeit
    • Genetische Daten
    • Biometrische Daten
    • Gesundheitsdaten
    • Sexualleben sowie sexuelle Orientierung
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische und weiträumigen Überwachungen öffentlich zugänglicher Bereiche (z.B. durch Videokameras)
  • Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring, Online Kreditanträge oder Online-Einstellungsverfahren)

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Folgenabschätzung unerlässlich ist (black list). Ebenso können diese auch Listen erstellen, bei denen festgelegt wird, dass keine Folgenabschätzung gemacht werden muss (white list).

Hinweis: Wurden für die bereits laufenden Verarbeitungsverfahren bisher keine Prüfungen auf etwaige notwendige Folgenabschätzungen durchgeführt, sollte dies nachgeholt werden, um das Risiko etwaiger Persönlichkeitsrechtsverletzungen zu vermeiden.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

In Art. 35 Abs. 7 DSGVO ist der Mindestinhalt einer Datenschutz-Folgenabschätzung geregelt. Zusammengefasst beinhaltet eine Folgenabschätzung folgende schriftlich zu dokumentierende Schritte:

  1. Beschreibung des vorgesehenen Verarbeitungsverfahrens und der Zwecke der Verarbeitung, Art. 35 Abs. 7 lit. a DSGVO
  2. Ggf. Einholung des Standpunkts der betroffenen Personen (konkret betroffenen Personen bzw. aber auch Gruppen wie Verbraucherverbände), Art. 35 Abs. 9 DSGVO
  3. Bewertung, Art. 35 Abs. 7 lit. b und c DSGVO
    • Verarbeitungsverfahren notwendig?
    • Verhältnismäßigkeitsprüfung bezüglich Verarbeitungszwecks
    • Bewertung der Risiken hinsichtlich der Rechte und Freiheiten der betroffenen Personen
  4. Ausarbeitung von Abhilfemaßnahmen zum Schutz der Daten, Art. 35 Abs. 7 lit. d DSGVO

In der Folge ist eine Überprüfung und Überwachung der Vorgaben auch der Folgenabschätzung, auch im Hinblick auf eventuelle Änderungen, erforderlich.

Im Gegensatz zur Vorabkontrolle, für die bisher die Zuständigkeit explizit beim Datenschutzbeauftragten lag, obliegt die Durchführung der Folgenabschätzung nach Art. 35 Abs. 2 DSGVO dem Verantwortlichen, also dem jeweiligen Unternehmen. Allerdings ist der Rat des Datenschutzbeauftragte einzuholen.

Benachrichtigung der Aufsichtsbehörde

Verbleiben bei dem geplanten Verfahren trotz Maßnahmen zur Eindämmung der Risiken potenzielle Gefahren für Betroffenem, so hat das Unternehmen nach Art 36 Abs. 1 DSGVO die Pflicht, die Aufsichtsbehörde vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Kommt der Unternehmer dieser Pflicht nicht nach, kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes verhängen; je nachdem, welcher der Beträge höher ist.7) Nach Konsultation der Aufsichtsbehörde sind diese angehalten, auf das Ersuchen innerhalb von acht Wochen zu antworten.

Folgen der Nichtdurchführung

Wird eine erforderliche Datenschutz-Folgenabschätzung erst gar nicht durchgeführt, kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben. Auch hier gilt, genau wie bei Verletzung der Konsultationspflicht, dass jeweils der höhere der beiden Beträge angesetzt wird.8)

Fazit

Mit Inkrafttreten der DSGVO wird das bestehende Prüfungsverfahren der Vorabkontrolle durch die Datenschutz-Folgenabschätzung abgelöst. Grundsätzlich sind beide Instrumente ähnlich. Allerdings weist die Datenschutz-Folgenabschätzung gegenüber ihrem Vorgänger unter anderem einen erweiterten Anwendungsbereich auf und erfasst sämtliche Verarbeitungen (nicht nur automatisierte Verarbeitungen). Ferner wird die grundsätzliche Zuständigkeit der Durchführung auf das Unternehmen verlagert. Allerdings bleibt die Einbeziehung eines Datenschutzbeauftragten als Ansprechpartner weiterhin unausweichlich, Art 35 Abs. 2 DSGVO.

Nach der Konzeption der DSGVO versteht sich die Datenschutz-Folgenabschätzung nicht nur als Last für Unternehmen. Sie eröffnet auch die Chance, ungewollte Datenschutzrisiken frühzeitig zu erkennen, aufsichtsbehördliches Verhalten zu antizipieren und spätere Anpassungsnotwendigkeiten durch „Privacy by Design“-Maßnahmen zu vermeiden – und dadurch im Idealfall Ressourcen zu sparen.9)

Sollten Sie Unterstützung im Bereich der Erfüllung datenschutz-rechtlicher Anforderungen benötigen, können wir Ihnen als zertifizierte Datenschutzbeauftragte gerne helfen. Nehmen Sie dazu Kontakt zu uns auf.

Der richtige Weg zum Beratungsgespräch

Informationspflichten und Transparenz

DSGVO Informationspflichten und Transparenz

Die im Mai 2018 in Kraft tretende Datenschutz Grundverordnung (DSGVO) führt in einigen Bereichen zu erheblichen Änderungen der aktuellen Gesetzeslage. Eine wichtige Neuerung betrifft die nunmehr notwendigen Informationspflichten bei der Erhebung von personenbezogenen Daten. Dies bedeutet, dass Unternehmen in jedem Fall ihre Datenschutzerklärungen überarbeiten müssen, insbesondere auf ihren Webseiten, sofern dort über Formulare oder auf … Weiterlesen

Social Plugins für Unternehmen

Social Plugins für Unternehmen

Für viele Unternehmen ist die Nutzung von Social Plugins als Marketinginstrument auf ihren Webseiten nicht mehr wegzudenken. Datenschutzrechtlich ist dies jedoch nicht immer ganz unbedenklich. So erklärte das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein 2011 den Facebook-Like-Button als nicht datenschutzkonform. Dieser Einschätzung schlossen sich mittlerweile auch diverse Gerichte an. Etwas anderes gilt wohl nur für … Weiterlesen

Google Analytics: Datenschutzkonforme Anwendung

Es sind ein aufgestelltes Tablet und ein Smartphone zu erkennen auf denen Statistiken, ähnlich denen von Google Analytics, zu erkennen sind. Eine Hand deutet mit einem Stift auf ein Schaubild des Tablets.

Die Unternehmenswebseite ist die Visitenkarte im Netz. In vielen Unternehmen wird sogar ein beträchtlicher Teil des Umsatzes über das Internet generiert. Hierfür ist die professionelle Pflege der Webseite essentiell. Ein wichtiges Werkzeug für die Performance einer Webseite ist die Web-Analyse. Eines der meist genutzten Tools zur Webanalyse ist Google Analytics. Google Analytics ist ein Online-Dienst … Weiterlesen

Datenschutzbeauftragter – Wer, wann, wie

Bestellung eines Datenschutzbeauftragten / das zweite Datenschutzanpassungsgesetz / Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten – Muss das sein? Die Antwort hierauf lautet in den meisten Fällen „Ja“. Vor allem kleinere Unternehmen sehen die Datenschutzvorschriften als kostspieliges Hindernis in der Unternehmensführung und vernachlässigen das sensible Thema Datenschutz. Diese Vernachlässigung kann allerdings für Unternehmen sehr teuer werden, da Datenschutz nicht nur für etablierte Konzerne relevant ist. Gerade … Weiterlesen

Die größten unternehmerischen Datenschutzbrüche

Ein Mann mit einem Tablet in einer Hand, hantiert mit der anderen Hand an einem Server herum / Datenschutz

Täglich vertrauen Verbraucher Unternehmen online ihre Daten an. Wie verarbeiten Unternehmen diese Daten? Wie gehen sie mit einem Datenschutzverstoß um? Was passiert bei sogenannten Datenschutzpannen? Viele große Unternehmen gerieten in letzter Zeit durch ihren Umgang mit Nutzerdaten in Verruf. Drei große Unternehmen davon haben wir unter die Lupe genommen: Yahoo, Vodafone und LinkedIn. Yahoo Das … Weiterlesen

EU-Datenschutzgrundverordnung – Das ist neu

Es ist ein Schreibtisch zu sehen auf dem eine Brille, ein Kugelschreiber, eine EU-Flagge, ein Vertrag und ein Tablett liegen. Dahinter erkennt man in Unschärfe, einen zum Fenster hinausblickenden Herren. / Datenschutzgrundverordnung

Der Weg zur neuen europäischen Datenschutzgrundverordnung (DSGVO) war lang und beschwerlich. Über vier Jahre dauerte der harte Kampf durch das Gesetzgebungsverfahren der Europäischen Union. Nie zuvor hatte ein Verfahren dermaßen viel Zeit in Anspruch genommen. Nie zuvor gab es so viele Anträge und Änderungswünsche (über 4000).Am 25. Mai 2018 wird die neue europäische Datenschutzgrundverordnung die … Weiterlesen