Datenschutz-Lexikon

A

Nach der DSGVO bezeichnet Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der verantwortliche Auftraggeber darf nur mit Auftragsverarbeitern zusammenarbeiten, die Garantien dafür bieten, dass

  • geeignete technische und organisatorische Maßnahmen vorliegen
  • die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt
  • der Schutz der Rechte der betroffenen Personen gewährleistet ist.

Unter Auftragsverarbeitung ist die Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags zu verstehen. Die erforderlichen Vertragsinhalte sind in Artikel 28 DSGVO geregelt.

Der Begriff ist nicht in der DSGVO definiert. Unter Anonymisierung wird eine solche Datenminimierung verstanden, dass kein Personenbezug hergestellt werden kann. D.h. die betroffene Person ist nicht mehr identifizierbar und insoweit findet die DSGVO keine Anwendung. In diesem Zusammen sollte daran gedacht werden, dass die verantwortliche Stelle die Beweislast für eine ausreichende Anonymisierung trägt.

Der Begriff der automatisierten Verarbeitung ist wichtig für den sachlichen Anwendungsbereich der DSGVO und ist weit auszulegen. Insoweit erfolgt eine automatisierte Verarbeitung beim Einsatz von PCs, Notebooks, Kopierer, Handys, Videokameras, Smart-Home-Anwendungen usw.

B

Am 25. Mai 2018 ist das BDSG-neu zeitgleich mit der DSGVO in Kraft getreten. Im BDSG-neu wurden datenschutzrechtliche Regelungen an die DSGVO angepasst und die in der DSGVO enthaltene „Öffnungsklauseln“ berücksichtigt. Insoweit enthält das BDSG-neu spezielle Regelungen zu den Themen Beschäftigtendatenschutz, Scoring, Bonitätsauskünfte, Profiling sowie zum betrieblichen Datenschutzbeauftragten.

Der Begriff Beschäftigte ist weit auszulegen und betrifft in Anlehnung an § 26 BDSG-neu u.a.:

  • Bewerber
  • Arbeitnehmer einschließlich Leiharbeitnehmer
  • Auszubildende
  • Praktikanten
  • In Heimarbeit Beschäftigte
  • GmbH-Geschäftsführer
  • Ehemalige Mitarbeiter

Unter besonderen personenbezogene Daten sind die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit zu verstehen. Ebenso ist die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person betroffen. Die Verarbeitung von den zuvor genannten Daten ist grundsätzlich untersagt und nur unter bestimmten Voraussetzungen erlaubt.

Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden, wenn dies zur Entscheidung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Als Rechtsgrundlage zur Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis sind die Kollektivvereinbarungen neu hinzugekommen. Zu den Kollektivvereinbarungen zählen die Betriebs- und Dienstvereinbarungen.

Ist die zu schützende natürliche Person über die personenbezogene Daten verarbeitet werden. Betroffene sind z.B. Kunden, Patienten, Mandanten sowie Mitarbeiter.

Binding Corporate Rules (BCR) als verbindliche Unternehmensrichtlinie können nach der DSGVO eine “geeignete Garantie” sein für die unternehmensinterne Datenübermittlung in unsichere Drittländer außerhalb der EU, wie z.B. USA und China. Allerdings ist die Einführung von BCR ein langwieriger und kostenintensiver Prozess, in dem alle Unternehmensgesellschaften in allen Ländern sich auf die Einhaltung der DSGVO-Anforderungen verpflichten.

Höhere Bußgelder sind eine wesentliche Änderung durch die DSGVO. Der Bußgeldrahmen hat sich mit bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes erhöht. Die DSGVO enthält Kriterien zur Bußgeldbemessung. Hieran sollten sich die Unternehmen bei der Umsetzung der datenschutzrechtlichen Anforderungen orientieren.

C

Mit einem Code of Conduct (CoC) im Sinne von Verhaltensregeln nach Art. 40 DSGVO werden Vorgaben eines Verbandes oder einer anderen Vereinigung gegenüber ihren Mitgliedern als Datenschutzstandard eines bestimmten Bereiches oder einer Branche festgelegt. Zum Beispiel hat der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) für die Versicherungswirtschaft weitestgehend einheitliche datenschutzrechtliche Standards abgestimmt und dokumentiert.

D

Die DSGVO bezeichnet unter Dateisystem jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Beispiele hierfür sind auch die alphabetisch sortierten Personalakten und Visitenkarten in Papierform.

Datenschutz ist ein Persönlichkeitsrecht und betrifft Informationen bzw. personenbezogene Daten über Personen. Die jeweilige Person soll selbst über die Preisgabe und Verwendung seiner Daten bestimmen dürfen (informationelle Selbstbestimmung). Der Datenschutz soll die Menschen vor Datenmissbrauch schützen.

Als Verletzung des Schutzes personenbezogener Daten wird eine Verletzung der Sicherheit verstanden. Dies führt unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten. Für evtl. Datenschutzverletzungen sieht der Gesetzgeber Geldbußen bis zu 4% des Jahresumsatzes oder 20 Mio. Euro vor!

Die Datenschutz-Grundverordnung wird im englischen General Data Protection Regulation genannt und ist eine Verordnung der Europäischen Union mit unmittelbarer Wirkung für die EU-Länder. Mit der DSGVO sollen die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. In Artikel 1 der DSGVO steht die Zielsetzung einerseits den Schutz personenbezogener Daten innerhalb der Europäischen Union sicherzustellen, und andererseits den freie Datenverkehr innerhalb des Europäischen Binnenmarktes zu gewährleisten.

Dieses Verfahren wird für den Newsletter-Versand eingesetzt. Es handelt sich um ein zweistufiges Anmeldeverfahren. Als erstes trägt der Interessent seine E-Mail-Adresse in ein Anmeldeformular ein und sendet dieses ab. Anschließend erhält der Interessent eine Bestätigungsnachricht an die angegebene Mail-Adresse. Diese Bestätigungsnachricht enthält einen Bestätigungsbutton oder Link, den der Interessent im zweiten Schritt bestätigt.

Als Dritter bezeichnet die DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

E

Die DSGVO bezeichnet als Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stellen, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Eine Einwilligung der betroffenen Person ist jede freiwillige, unmissverständliche und in informativer Weise für den bestimmten Fall abgegebene Willensbekundung. Die Willensbekundung erfolgt in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Die Privacy-Shield-Vereinbarung ist ein Nachfolge-Instrument des Safe-Harbor-Abkommens, um einen Rechtsrahmen für den Austausch von personenbezogenen Daten zwischen den USA und der EU zu ermöglichen. Mit dem Privacy-Shield soll das erforderliche Schutzniveau sichergestellt werden. Jedoch bestehen Bedenken bzgl. der datenschutzrechtlichen Zulässigkeit.

F

Der Europäische Gerichtshof (EuGH) hat am 05.06.2018 entschieden, dass die Betreiber von Facebook-Fanseiten mit für die Verarbeitung der personenbezogenen Daten der Besucher verantwortlich sind. Insoweit weist die Datenschutzkonferenz (DSK) darauf hin, dass Besuchern einer Fanpage transparent und in verständlicher Form die Informationen nach Art. 13 DSGVO zu übermitteln sind.

G

Genetische Daten sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

Gesundheitsdaten werden in der DSGVO als personenbezogene Daten beschrieben, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Google Analytics ist ein beliebtes Analysetools für Webseiten und wichtig für das Online-Marketing. Jeder Betreiber einer Webseite ist für den datenschutzkonformen Einsatz verantwortlich und muss die Webseitennutzer ausreichend über den Einsatz in einer Datenschutzerklärung informieren.

H

Grundsätzlich haftet der Verantwortliche und der Auftragsverarbeiter für materielle und immaterielle Schäden, die dem Betroffenen entstehen. Wenn ein Unternehmen auf Schadenersatz in Anspruch genommen wird oder ein Bußgeld zahlen muss, dann stellt sich im nächsten Schritt die Frage nach Regressmöglichkeiten. Hierbei sind verschiedene Verantwortliche zu berücksichtigen:

  • Geschäftsführung und Vorstände
    Es ist die Pflicht des Geschäftsführers, sich umfassend über das Datenschutzrecht zu informieren und die Einhaltung der Regeln im Unternehmen zu kontrollieren. Es gilt der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG.
  • Mitarbeiter:
    Nach den arbeitsrechtlichen Grundsätzen haftet der Arbeitnehmer nur bedingt. Es hängt vom Verschuldungsgrad (z.B. Fahrlässigkeit bzw. Vorsatz) und dem Einzelfall ab.
  • Datenschutzbeauftragter:
    Gegenüber dem Verantwortlichen wäre eine vertragliche Pflichtverletzung unter Berücksichtigung eines evtl. Mitverschulden der Geschäftsleitung zu prüfen. 

I

Die Integrität ist ein klassisches Ziel der IT-Sicherheit und bedeutet u.a. die Sicherstellung der Korrektheit und Unverfälschbarkeit der Daten. 

J

Nach Erwägungsgrund 14 der DSGVO gilt die Verordnung nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

K

Das in Art. 7 Abs. 4 DSGVO im Rahmen der Einwilligung geregelte Kopplungsverbot ist eine Verschärfung der bisherigen Rechtslage. Bei einer Kopplung wird eine Sache mit einer anderen Sache verbunden bzw. verknüpft. Wenn z.B. ein Arbeitgeber für den verbilligten Einkauf von Waren die Einwilligung in die Zusendung von Werbesendungen eines anderen Konzernunternehmens einholt, dann ist eine solche Kopplung verboten.

L

Artikel 17 Abs. 1 DSGVO fordert die unverzügliche Löschung von personenbezogenen Daten, wenn u.a.:

  • die Zwecke für die die Daten erhoben oder verarbeitet wurden nicht mehr notwendig sind
  • der Betroffene seine Einwilligung widerruft und keine anderweitige Rechtsgrundlage für die Verarbeitung vorliegt
  • die personenbezogene Daten unrechtmäßig verarbeitet wurden
  • die personenbezogene Daten eine Kindes z.B. im Rahmen von Internetangeboten, Webshops oder Online-Spiele erhoben wurden.

M

Die Mitarbeiterschulung sollte nicht nur wegen der gesetzlichen Erfordernis durchgeführt werden. Es könnte die wichtigste Umsetzungsmaßnahme im Datenschutz sein. Wenn die Mitarbeiter sich nicht ausreichend im Datenschutz auskennen, dann können sie schnell Fehler machen und es drohen Datenschutzverletzungen. Bitte kontaktieren Sie mich, damit ich ein kostengünstiges Angebot machen kann.

N

Newsletter dürfen nur an E-Mail-Adressen versendet werden, wenn von den entsprechenden Besitzern eine ordnungsgemäße Erlaubnis vorliegt. D.h. eine Person muss aktiv und explizit eine Einwilligung für die Nutzung der E-Mail-Adresse erteilen, bevor an die Adresse ein Newsletter verschickt wird. Hierfür bietet sich ein entsprechendes Formular zur Newsletter-Anmeldung auf der Website an. Hierbei sind einige Punkte zu beachten, wie z.B.:

  • Prinzip der Datenminimierung
  • Double Opt-In-Verfahren
  • Zweckbindung (Beschreibung, wofür die Daten benötigt werden)
  • Nachweisverpflichtung (Dokumentation bzw. Protokollierung der Anmeldung)
  • Widerrufsmöglichkeit (Abmeldelink vom Newsletter)

O

Die DSGVO enthält ca. 35 Öffnungsklauseln an unterschiedlichen Stellen. Aufgrund der Öffnungsklauseln durften die Länder der EU zu den entsprechenden Themen eigene Regelungen schaffen, wenn dadurch das Schutzniveau der DSGVO nicht unterschritten wurde. In Deutschland wurden die Öffnungsklauseln im sogenannten BDSG-neu umgesetzt.

P

Nach der DSGVO sind personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Klassische personenbezogene Daten sind z.B.:

  • Adressdaten
  • Vertragsdaten
  • Abrechnungs- /Leistungsdaten
  • Bankdaten
  • Mitarbeiterdaten (Gehalt, Beurteilungen)
  • Videoaufzeichnungen
  • Gesundheitsdaten bzw. Rezeptdaten

Aber auch Daten mit denen eine Person identifiziert werden kann, wie z.B.:

  • Telefon-Nr.
  • Kunden-Nr.
  • Mitarbeiter-Nr.
  • E-Mail-Adresse
  • IP-Nummer
  • Versicherungs-Nr

Piwik ist ein Analyse-Tool für den Web-Auftritt; ähnlich wie Google-Analytics. Allerdings hält das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) das Analyse-Tool Piwik für datenschutzkonform, wenn noch einige Einstellungen vorgenommen werden.

Beim Profiling werden nach der DSGVO personenbezogene Daten automatisiert verarbeitet, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu analysieren, bewerten oder vorherzusagen. Bei den persönlichen Aspekten handelt es sich insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.

Die Pseudonymisierung bezeichnet nach der DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Mit der Pseudonymisierung wird eine Datenminimierung erreicht und nach Erwägungsgrund 78 die datenschutzfreundliche und sichere Technikgestaltung unterstützt.

Q

Art. 37 Abs. 5 DSGVO fordert folgende Qualifikation vom Datenschutzbeauftragten:

  • berufliche Qualifikation
  • Fachwissen im Datenschutzrecht und Datenschutzpraxis
  • Fähigkeit zur Aufgabenerfüllung nach Art. 39 DSGVO. D.h. im Wesentlichen Beratung, Schulung sowie Überwachung im Datenschutz sowie die Zusammenarbeit mit der Aufsichtsbehörde.

R

Gemäß der DSGVO und dem BDSG-neu haben die Betroffenen unter bestimmten Voraussetzungen umfangreiche Rechte auf:

  • Auskunft der gespeicherten Daten (Art. 15 DSGVO und § 34 BDSG)
  • Berichtigung der Daten (Art. 16 DSGVO)
  • Löschung der Daten (Art. 17 DSGVO und § 35 BDSG)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)

Außerdem besteht nach Art. 77 DSGVO und § 19 BDSG ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

Im allgemeinen Sprachgebrauch wird unter einem Risiko ein mögliches negatives Ergebnis verstanden. In der DSGVO gibt es keine Definition des Risikobegriffs. Allerdings befinden sich im Erwägungsgrund 75 folgende Beispiele für Risiken: Rufschädigung, Diskriminierung, Identitätsdiebstahl oder finanzieller Verlust. Und im Erwägungsgrund 89 ist der Einsatz neuer Technologien als hohes Risiko genannt.

Der Risikobegriff wird bei der Auswahl der technischen und organisatorischen Maßnahmen sowie bei dem Thema der Datenschutzverletzung erwähnt. Bei einem hohen Risiko für die Rechte und Freiheiten einer natürlichen Person wird in Art. 35 DSGVO die Durchführung einer Datenschutzfolgenabschätzung vorgeschrieben.

S

Ein Beispiel für Social Plugin ist der Facebook - Like oder Gefällt mir - Button auf der Webseite. Hierdurch werden unbemerkt Daten, wie z.B. die IP-Adresse, an den Server des sozialen Netzwerks geschickt. Der Einsatz von Social Plugins ist rechtlich riskant, weil der Internetnutzer nicht weiß, welche Daten übertragen werden und was mit ihnen geschieht.

T

Das Telemediengesetz gilt nach § 1 Abs. 1 für alle elektronischen Informations- und Kommunikationsdienste, soweit diese nicht dem Telekommunikationsgesetz oder dem Rundfunkstaatsvertrag unterstehen. Es findet Anwendung für alle Anbieter von Telemedien, wie z.B. für die Website von Unternehmen. Der Datenschutz ist im Telemediengesetz in den §§ 11-15a geregelt. Seit dem Inkrafttreten der DSGVO am 25.05.2018 ist die Anwendung dieser Vorschriften fraglich. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hält die Vorschriften des TMG nicht mehr für anwendbar. Insoweit dürften Tracking-Maßnahmen bzw. das Erstellen von Nutzerprofilen nur mit Einwilligung der Website-Besucher erfolgen.

Nach Art. 32 DSGVO sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen. Die TOMs sollen u.a. die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherstellen. Hierbei hilft z.B. die Pseudonymisierung und Verschlüsselung der Daten sowie die Durchführung ordnungsgemäßer Datensicherungen.

U

In den Artikeln 44 bis 50 der DSGVO wird die Datenübermittlung in Drittländern geregelt. Als Drittländer werden Länder außerhalb der EU bzw. des europäischen Wirtschaftsraums bezeichnet. Bei einer evtl. geplanten Datenübermittlung von z.B. Kunden-, Mitarbeiter- bzw. Internet-Daten in ein Drittland wie z.B. die USA ist eine zweistufige Zulässigkeitsprüfung durchzuführen:

1. Stufe:

Das Unternehmen muss zunächst sicherstellen, dass die Datenübermittlung an den Empfänger im Drittland auf eine rechtliche Grundlage der DSGVO gestützt werden kann. In Betracht kommen hierbei etwa die Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO oder im Bereich des Beschäftigtendatenschutzes Art. 88 DSGVO i. V. m. § 26 BDSG-neu. Die anderen Anforderungen der DSGVO, wie z.B. die Datenschutzgrundsätze nach Art. 5 DSGVO, sind ebenfalls einzuhalten.

2. Stufe:

Auf der zweiten Stufe ist zu prüfen, ob die Datenübermittlung in Drittländer möglich ist (Art. 44 ff. DSGVO). In Betracht kommen z.B. 

  • ein Angemessenheitsbeschluss der EU-Kommission, wie z.B. EU-US Privacy Shield
  • Binding Corporate Rules (BCRs), als verbindliche von der Aufsichtsbehörde genehmigte Unternehmensvorschrift
  • EU-Standarddatenschutzklauseln 
  • oder eine Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO durch die betroffene Person (Kunden bzw. Mitarbeiter). 

Ein USB-Stick wird in Unternehmen gerne eingesetzt um Daten ohne großen Aufwand zu speichern und zu transportieren. Auf dem USB-Stick befinden sich nicht nur vertrauliche Unternehmensinformationen, sondern häufig auch personenbezogene Daten, die der DSGVO unterliegen. Studienergebnissen von Kingston Technology zufolge gehen in 75 % der befragten Unternehmen hin und wieder USB-Sticks verloren. Das kann fatale Folgen, inkl. evtl. Datenschutzverletzung, haben. Hiergegen kann eine Verschlüsselung der USB-Sticks helfen, die für vertretbares Geld möglich ist.

V

Nach der DSGVO ist der Verantwortliche die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die DSGVO beschreibt Verarbeitung als einen Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Jeden Unternehmen hat nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen und führen. Laut Aussage der Datenschutzkonferenz ist das Verzeichnis eine „wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht). Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar. Jeder Verantwortliche und Auftragsverarbeiter ist verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die einzelnen Verarbeitungsvorgänge bzw. –verfahren anhand dieser Verzeichnisse kontrolliert werden können.“

Unter Verarbeitungstätigkeit sind Verfahren, Prozesse bzw. IT-Systeme zu verstehen, in denen personenbezogene Daten verarbeitet werden. Die erforderlichen Inhalte für das Verzeichnis sind in Art. 30 aufgelistet, wie z.B.: Kontaktdaten des Unternehmens, Zweck der Verarbeitung, Empfänger der Daten, Löschfristen.

Unter Vertraulichkeit wird u.A. die Geheimhaltung und der Schutz der personenbezogenen Daten vor unbefugten Zutritt, Zugang bzw. Zugriff verstanden. Der Schutz ist mit technischen und organisatorischen Maßnahmen, wie z.B. abschließbare Türen, Passwortschutz, Berechtigungskonzept, sicherzustellen.

Die Videoüberwachung von öffentlich zugänglichen Räumen ist in § 4 BDSG-neu geregelt. Allerdings sind die erweiterten Informationspflichten sowie die erforderliche Datenschutzfolgenabschätzung aus der DSGVO zu berücksichtigen. Öffentlich Zugängliche Räume sind z.B.: Verkaufsräume, Tankstellen, Parkhäuser, Geldautomaten, Eingangsbereiche, Treppenaufgänge.

W

Die Internetauftritte, die ausschließlich familiären oder persönlichen Zecken dienen sind nicht betroffen. Aber Internetseiten von allen Unternehmen, da nach der Rechtsprechung IP-Adressen als personenbezogenes Datum klassifiziert werden. Die rechtliche bzw. datenschutzrechtliche Gestaltung Ihres Internetauftrittes ist wegen der sofort sichtbaren Auswirkung mit Gefahr von Abmahnungen wichtig und auch komplex. Es ist u.A. der Einsatz von

zu prüfen. Im Übrigen ist die Datenschutzerklärung ggf. zu aktualisieren.

In der DSGVO befindet sich kein Artikel, der die Werbung ausdrücklich regelt. Aber im Erwägungsgrund 47 steht, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als ein berechtigtes Interesse betrachtet werden kann. Trotz dieser Erlaubnismöglichkeit ist dies im Einzelfall zu bewerten und ein Widerspruchsrecht zu ermöglichen. Zusätzlich sind für die Werbung spezifische Regelungen nach dem Gesetz gegen unlauteren Wettbewerb zu berücksichtigen.

X

In den sozialen Netzwerken nimmt Xing eine Sonderstellung ein. Die Unternehmen und sonstigen Nutzer haben die Möglichkeit Profile anzulegen, um Leistungen und Qualifikationen zu präsentieren. Mit Xing können Mitarbeiter gesucht werden. Insoweit macht das Anlegen eines Accounts insbesondere im Recruiting-Bereich Sinn. Aber nur aufgrund der Profilanlage in Xing darf kein Kontakt via Telefon oder Mail aufgenommen werden. Hierfür sollt z.B. in der Profilbeschreibung unter der Rubrik „Ich Suche“ neue Herausforderungen oder neue Arbeitsstelle erwähnt sein. Im Übrigen sollte bei der Einbindung des Social Plugins die entsprechenden Informationen in der Datenschutzerklärung der Webseite aufgenommen werden.

Y

Auf der weltweit größten Videoplattform können u.a. Videos geteilt und kommentiert werden. Wegen der großen Verbreitung der Videos ist das Videoportal auch für Unternehmen interessant, um Neuigkeiten zu verbreiten oder Werbung zu machen. Bei auf der Webseite eingebetteten YouTube Videos sollte der Besucher informiert werden, was mit den Daten passiert, wenn das Video angeklickt wird. Wer sicher gehen möchte, sollte eine 2-Click Lösung verwenden, bei der man eine Einwilligung anfordert, bevor das Video gezeigt wird und ggf. Daten an YouTube USA geschickt und dort verarbeitet werden.

Z

Die datenschutzrechtliche Zertifizierung dient dem Nachweis, dass bestimmte Verarbeitungsvorgänge, Dienstleistungen bzw. IT-Produkte die Anforderungen der DSGVO einhalten. Ein zusätzlicher Zertifikatsnutzen, neben der Werbewirksamkeit, liegt im Rahmen der erforderlichen Prüfung eines Auftragsverarbeiters. Die Zertifizierung kann von der Aufsichtsbehörde oder einer akkreditierten Zertifizierungsstelle durchgeführt werden. Ein Zertifikat hat höchstens eine Gültigkeit von 3 drei Jahren.