Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden?

Das Recht aus Auskunft des Art. 15 DSGVO gehört sicher zu den Themen, die für viel Diskussion und Streit (auch vor Gerichten) sorgen. Passend dazu erreichte mich diese Frage: Die Frage Ist das Recht auf Erhalt einer Kopie gem. Art. 15 Abs 3 DSGVO automatisch bei Stellung eines Auskunftsantrags zu erfüllen oder bedarf es eines eigenen Antrags? Ist mit “Kopie” eine Herausgabe von Dokumenten, Datenbankstrukturen etc. gemeint? Meine Antwort Nach herrschender Meinung (h.M.) – und dafür sprechen schon Struktur und Wortlaut der Norm des Art. 15 DSGVO – ist das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 …

Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden? Weiter lesen »

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden?

Eine Frage, die recht häufig von Mandantinnen gestellt wird, ist hier „eingetrudelt“. Und da passt es ganz gut, diese einmal „generell“ zu beantworten: Die Frage Reicht es aus, einen Vertrag mit einer Konzerngesellschaft (GmbH) zu schließen oder muss dies mit jeder Konzerngesellschaft (GmbH) der Unternehmensgruppe gemacht werden, von der man Leistungen/Beratung für die eigenen Kunden bezieht? Meine Antwort Ob ein Vertrag zustande kommt oder nicht, hängt rechtlich zunächst von übereinstimmenden „Willenserklärungen“ ab. Ein Vertrag ist ein Rechtsgeschäft, das nach den §§ 145 ff. BGB aus einem Angebot und einer Annahme besteht und zwischen mindestens zwei natürlichen und/oder juristischen Personen geschlossen wird. …

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden? Weiter lesen »

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern

Eine spezifische und kurze Frage zum „Do Not Track“ (DNT)-Header wurde über das Fragenformular gestellt: Die Frage In Borlabs Cookies gibt es die Option, Nutzern, die die Option “Do not track” voreingestellt haben, die Dialogbox “zu ersparen” und einfach von “Nein” auszugehen – also nur unbedingt erforderliche Cookies – zuzulassen. Ist dieser stillschweigende Dissens rechtens? Meine Antwort Die werbetreibende Industrie hat sich viele Jahre dagegen gesträubt, den DNT-Header, den der Browser des Nutzenden sozusagen mitsendet, als „bewusste“ Auswahl des Nutzenden anzuerkennen, sofern diese Funktion standardmäßig aktiviert ist. Für das Setzen von Cookies, die nicht unbedingt erforderlich sind, benötigt man nach …

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern Weiter lesen »

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO?

Über das Fragenformular kam mal wieder eine schöne Frage hier auf den Schreibtisch „geflogen“. Die lautete wie folgt: Die Frage Eine Aufsichtsbehörde hat mir gegenüber geäußert, dass Mitarbeiterdaten von Kunden (juristische Personen) nicht unter die DSGVO fallen, da diese nur für natürliche Personen gilt. Bisher war ich der Meinung, dass die Daten von Mitarbeiterinnen und Mitarbeitern (Name, „persönliche“ Mailadresse; private Handynummer usw.) von Kunden oder Lieferanten sehr wohl DSGVO-relevant sind. Wie siehst du das? Meine Antwort Ich bin Fragen dieser Art immer ein wenig besorgt. Und frage mich zugleich, ob es da zwischen den Beteiligten ggf. ein Missverständnis oder Kommunikationsproblem …

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO? Weiter lesen »

Datenschutz-Update Nr. 2020-02

Hier findest du als Datenschutz-Coaching-Mitglied die Aufzeichnung zum „Datenschutz-Update 2020-02“ vom 25.09.2020: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: Download der Datei: (MP3) Besprochen haben wir diese Dokumente: Datenschutzkonferenz, Beschluss vom 10.09.2020, Einsatz von Wärmebildkameras bzw. elektronischer Temperaturerfassung im Rahmen der Corona-Pandemie (PDF)BGH, Urteil vom 07.07.2020, Az.: VI ZR 250/19LG Hamburg, Urteil vom 04.09.2020, Az.: 324 S 9/19BGH, Urteil vom 27.07.2020, Az.: VI ZR 405/18

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung „Fragen und Antworten zum Datenschutz“

Im heutigen „offenen“ Webinar, für das eine Datenschutz-Coaching-Mitgliedschaft nicht erforderlich war, habe ich hier zuvor von Newsletter-Lesern eingegangene Fragen beantwortet. Und dazu noch ein paar „live“ gestellte. Die Aufzeichnung kannst du dir hier ansehen: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: Download der Datei: (MP3) Folgende Fragen wurden u.a. beantwortet. Die Fragen haben ich von den Anfragenden im Wortlaut übernommen. Ausgangslage : Drei eigenständige Firmen die dem gleichen Inhaber gehören sollen von einem zentralen betrieblichen DSB betreut werden ( das bin dann wohl ich ). Was gibt es zu beachten und wie sieht es rechtlich aus? …

Webinaraufzeichnung „Fragen und Antworten zum Datenschutz“ Weiter lesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Office Hours für Profis vom 23.09.2020

Am 23.09.2020 haben die Office Hours für Profis stattgefunden. Die Themen, die wir besprochen haben, findest du weiter unten. Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: Download der Datei: (MP3) Und um diese Themen ging es u.a.: Einbindung von Jobbörsen. Viele Unternehmen schreiben ihre Jobs bei Jobbörsen aus. Oft ist es so, dass man auf der Webseite des Unternehmens die Jobs sieht und bei einem Klick dann auf der Jobbörse landet und dann eigentlich dort seine Daten eingibt die dann wiederum bei dem eigentlichen Unternehmen landen. Wie siehst Du hier die Themen AVV, gemeinsame Verantwortlichkeit und …

Office Hours für Profis vom 23.09.2020 Weiter lesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Zwei kurze Gedanken zu (1.) § 64 BDSG und (2.) zur Rolle von Agenturen

Ich gebe zu, dass diese Folge im Wesentlichen nur deswegen erscheint, weil ich meine Kette („Streak“) von Montags-Folgen nicht unterbrechen möchte. In dieser Folge gibt es nur zwei kleine Gedanken. Einen zu § 64 BDSG. Übrigens: Die im Podcast angesprochene ältere Folge „Nach 44 ist Schluss“ findest du hier. Und der andere Gedanke ist eine Bitte an Agenturen bzw. der Einbindung von Google Webfonts sowie der dem Einsatz von Google Analytics.

Webinaraufzeichnung „Vertrag, Interessenabwägung oder Einwilligung – Grundlagen des Art. 6 DSGVO“

Am 16.09.2020 hat das monatliche Webinar für Datenschutz-Coaching-Mitglieder stattgefunden. Thema war diesmal „Vertrag, Interessenabwägung oder Einwilligung – Grundlagen des Art. 6 DSGVO“ Wir haben uns die wohl drei wichtigsten Zulässigkeitstatbestände für die Verarbeitung von personenbezogenen Daten angesehen. Hierbei wurden jeweils die wesentlichen Problempunkt angesprochen. Konkret ging es auch darum, wie man die „Erforderlichkeit“ beurteilt und wie eine „Interessenabwägung“ ablaufen könnte. Hier führen „viele Wege nach Rom“. Die Aufzeichnung kannst du dir hier ansehen: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

ISO 27001 als Freifahrtschein für Auftragsverarbeiter – Im Gespräch mit Rechtsanwältin Anna Cardillo

Es kommt durchaus häufig vor, dass Mandantinnen einen neuen Dienstleister nutzen wollen und sich erquickt vor Freue bei mir melden. Denn bei diesem Dienstleister dürfte es ja wegen „Datenschutz“ überhaupt keine Probleme geben. Schließlich sei der ISO-zertifiziert. Und zwar sogar nach ISO 27001. Dann kann ja nichts mehr anbrennen, oder? Und ob da etwas anbrennen kann. Denn eine ISO 27001 Zertifizierung ist mitnichten eine Freifahrtschein, um sich vor Kontrollen der technischen und organisatorischen Maßnahmen von Auftraggebern zu schützen. Wieso, weshalb, warum? Darüber spreche ich in dieser Podcast-Folge mit der geschätzten Rechtsanwältin Anna Cardillo. Der in dem Podcast erwähnte Beitrag aus …

ISO 27001 als Freifahrtschein für Auftragsverarbeiter – Im Gespräch mit Rechtsanwältin Anna Cardillo Weiter lesen »

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das?

Neulich wurde über das Fragenformular für Datenschutz-Coaching-Mitglieder diese Frage gestellt: Konferenzteilnehmer an Online-Meetings sollten ja zuvor über die damit verbundene Verarbeitung personenbezogener Daten informiert werden. Ist dafür jeweils derjenige, der das Meeting initiiert, verantwortlich? Oder wie ist es, wenn unsere MA dazu eingeladen werden, z. B. von Kunden? Kann man die Datenschutzhinweise zu diversen eingesetzten Online-Meeting-Tools zusammenfassen, als Deeplink auf die Website stellen und einen Link dorthin bei Einladung zum Online-Meeting in die Signatur integrieren? Gibt es irgendwo Vorlagen für Datenschutzhinweise zu MS Teams? Meine Antwort Die Antwort ist eigentlich ganz „einfach“. In der Theorie. Denn die Pflicht, über Zweck, …

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das? Weiter lesen »

LfDI BW: FAQ Verantwortlicher/Auftragsverarbeiter

Als „Nachklapp“ und Ergänzung zu den „Guidelines 07/2020 on the concepts of controller and processor in the GDPR“ des European Data Protection Boards (EDPB) hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) nun ein Dokument vorgelegt, das häufig gestellte Fragen zum Thema Verantwortlicher / Auftragsverarbeiter beantworten soll: LfDI BW, FAQ Verantwortlicher/Auftragsverarbeiter (PDF) Zu 23 Fragen werden Antworten in Form einer Auslegung der o.g. „Guidelines“ des EDPB unter jeweiliger Zitierung der Randnummer in den Guidelines gegeben. Das mag sicher hilfreich für die eine oder den anderen sein. Die Qualität der Antworten ist m.E. aber in Teilbereichen …

LfDI BW: FAQ Verantwortlicher/Auftragsverarbeiter Weiter lesen »