DSGVO Archiv

Controller-Controller-Vertrag

Ist ein Vertrag zwischen Verantwortlichen, die nicht gemeinsame Verantwortliche sind, notwendig? Werden zwischen Unternehmen personenbezogene Daten ausgetauscht oder nutzen zwei oder mehrere Unternehmen einen gemeinsamen Datenpool, das findet sich häufig in Konzernkonstellationen, regelt die DSGVO zwei Fallkonstellationen: Die Auftragsverarbeitung (Art. 28 DSGVO) und die gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Ein Unternehmen ist dann Auftragsverarbeiter (Begriffsbestimmung siehe Art. 4 Nr. 8 DSGVO), wenn es personenbezogene Daten für die Zwecke eines Verantwortlichen weisungsgebunden verarbeitet. In dieser Fallkonstellation sieht die DSGVIO vor, dass der...

Outlook E-Mails verschlüsseln

Immer wieder geht es beim Thema DSGVO und Datenschutz um das Problem, wie unsicher der Versand von E-Mail ist. Zumindest immer dann, wenn sensible personenbezogene Daten (sog. besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO) oder eine große Anzahl personenbezogener Daten übermittelt werden sollen, sind dem risiko-basierten Ansatz der DSGVO folgend weitere Sicherheitsmaßnahmen erforderlich. Bei den dann diskutierten Sicherheitsmaßnahmen steht die Verschlüsselung von E-Mails zwar oft an erster Stelle, aber so richtig durchgesetzt hat sich die Verschlüsselung von E-Mails...

Berliner Aufsichtsbehörde kämpft weiter gegen Deutsche Wohnen

Im Oktober 2019 hatte die Berliner Aufsichtsbehörde (BlnBDI) ein Bußgeld in Höhe von 14,5 Millionen EUR gegen die Deutsche Wohnen SE erlassen. Sie warf der Deutschen Wohnen vor, ein Archivsystem für Mieterdaten nicht DSGVO-konform geführt zu haben. Die Gesellschaft, die mit einem Bestand von rund 165.700 Einheiten zu den größten Vermietern der Hauptstadt zählt, habe darin personenbezogene Informationen wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Steuer-, Sozial- und Krankenversicherungsangaben sowie Kontoauszüge gespeichert und nicht überprüft, ob dies zulässig oder überhaupt erforderlich gewesen sei. Gegen diesen...

Meldefrist bei Datenschutz-Verletzung: (keine) Probleme bei der Berechnung?

Nach Artikel 33 Abs. 1 der Datenschutzgrundverordnung (DSGVO) hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, bei der zuständigen Aufsichtsbehörde nach deren Bekanntwerden zu melden. Aber wie wird die Meldefrist bei Datenschutz-Verletzung berechnet? 1. Anwendbare Normen Zunächst ist festzustellen, dass die aus dem deutschen Recht bekannten Normen zur Berechnung von Fristen (insbes. §§ 186 ff. BGB) für eine europäische Verordnung nicht anwendbar sind. Es existiert auch keine Regelung innerhalb der DSGVO, die nationale...