Fragen & Antworten

Ich biete Datenschutz-Coaching-Mitglieder und manchmal auch Newsletter-Lesern die Möglichkeit Fragen zum Datenschutz zu stellen. Die Antworten finden sich dann in dieser Kategorie.

Muss ich meine Datenschutz-Folgenabschätzung (DSFA) auf Anfrage herausgeben?

In bestimmten Fällen sieht Art. 35 DSGVO die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) zwingend vor. In diesem Kontext wurde hier eine Frage gestellt: Die Frage Wenn ich eine Datenschutz-Folgenabschätzung erstellt habe, muss bzw. sollte ich sie interessierten Personen (deren Daten ich verarbeiten will) zur Verfügung stellen? Meine Antwort Nein!Der Auskunftsanspruch von Betroffenen ist in Art. 15 DSGVO geregelt. Weiter eingeschränkt wird dieser Anspruch in Deutschland zudem durch § 34 BDSG. Wenn ein Unternehmen oder eine öffentliche Stelle eine DSFA durchgeführt hat, gibt es keinen Anspruch des Betroffenen darauf, diese zu bekommen oder einsehen zu dürfen. Dies ist in Art. 15 DSGVO schlicht …

Muss ich meine Datenschutz-Folgenabschätzung (DSFA) auf Anfrage herausgeben? Weiter lesen »

Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden?

Das Recht aus Auskunft des Art. 15 DSGVO gehört sicher zu den Themen, die für viel Diskussion und Streit (auch vor Gerichten) sorgen. Passend dazu erreichte mich diese Frage: Die Frage Ist das Recht auf Erhalt einer Kopie gem. Art. 15 Abs 3 DSGVO automatisch bei Stellung eines Auskunftsantrags zu erfüllen oder bedarf es eines eigenen Antrags? Ist mit “Kopie” eine Herausgabe von Dokumenten, Datenbankstrukturen etc. gemeint? Meine Antwort Nach herrschender Meinung (h.M.) – und dafür sprechen schon Struktur und Wortlaut der Norm des Art. 15 DSGVO – ist das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 …

Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden? Weiter lesen »

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden?

Eine Frage, die recht häufig von Mandantinnen gestellt wird, ist hier „eingetrudelt“. Und da passt es ganz gut, diese einmal „generell“ zu beantworten: Die Frage Reicht es aus, einen Vertrag mit einer Konzerngesellschaft (GmbH) zu schließen oder muss dies mit jeder Konzerngesellschaft (GmbH) der Unternehmensgruppe gemacht werden, von der man Leistungen/Beratung für die eigenen Kunden bezieht? Meine Antwort Ob ein Vertrag zustande kommt oder nicht, hängt rechtlich zunächst von übereinstimmenden „Willenserklärungen“ ab. Ein Vertrag ist ein Rechtsgeschäft, das nach den §§ 145 ff. BGB aus einem Angebot und einer Annahme besteht und zwischen mindestens zwei natürlichen und/oder juristischen Personen geschlossen wird. …

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden? Weiter lesen »

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern

Eine spezifische und kurze Frage zum „Do Not Track“ (DNT)-Header wurde über das Fragenformular gestellt: Die Frage In Borlabs Cookies gibt es die Option, Nutzern, die die Option “Do not track” voreingestellt haben, die Dialogbox “zu ersparen” und einfach von “Nein” auszugehen – also nur unbedingt erforderliche Cookies – zuzulassen. Ist dieser stillschweigende Dissens rechtens? Meine Antwort Die werbetreibende Industrie hat sich viele Jahre dagegen gesträubt, den DNT-Header, den der Browser des Nutzenden sozusagen mitsendet, als „bewusste“ Auswahl des Nutzenden anzuerkennen, sofern diese Funktion standardmäßig aktiviert ist. Für das Setzen von Cookies, die nicht unbedingt erforderlich sind, benötigt man nach …

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern Weiter lesen »

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO?

Über das Fragenformular kam mal wieder eine schöne Frage hier auf den Schreibtisch „geflogen“. Die lautete wie folgt: Die Frage Eine Aufsichtsbehörde hat mir gegenüber geäußert, dass Mitarbeiterdaten von Kunden (juristische Personen) nicht unter die DSGVO fallen, da diese nur für natürliche Personen gilt. Bisher war ich der Meinung, dass die Daten von Mitarbeiterinnen und Mitarbeitern (Name, „persönliche“ Mailadresse; private Handynummer usw.) von Kunden oder Lieferanten sehr wohl DSGVO-relevant sind. Wie siehst du das? Meine Antwort Ich bin Fragen dieser Art immer ein wenig besorgt. Und frage mich zugleich, ob es da zwischen den Beteiligten ggf. ein Missverständnis oder Kommunikationsproblem …

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO? Weiter lesen »

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das?

Neulich wurde über das Fragenformular für Datenschutz-Coaching-Mitglieder diese Frage gestellt: Konferenzteilnehmer an Online-Meetings sollten ja zuvor über die damit verbundene Verarbeitung personenbezogener Daten informiert werden. Ist dafür jeweils derjenige, der das Meeting initiiert, verantwortlich? Oder wie ist es, wenn unsere MA dazu eingeladen werden, z. B. von Kunden? Kann man die Datenschutzhinweise zu diversen eingesetzten Online-Meeting-Tools zusammenfassen, als Deeplink auf die Website stellen und einen Link dorthin bei Einladung zum Online-Meeting in die Signatur integrieren? Gibt es irgendwo Vorlagen für Datenschutzhinweise zu MS Teams? Meine Antwort Die Antwort ist eigentlich ganz „einfach“. In der Theorie. Denn die Pflicht, über Zweck, …

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das? Weiter lesen »

„Ein“ Internetauftritt von mehreren Verantwortlichen

Es wird häufiger gefragt, wie es eigentlich damit aussieht, wenn mehrere Unternehmen gemeinsam eine Internetseite betreiben wollen. Das kommt häufig z.B. in Unternehmensgruppen vor, in denen z.B. rechtlich selbstständige Tochterunternehmen die Internetseiten des Mutterunternehmens nutzen, um sich zu präsentieren. Wenn es dann über reine Informationen hinausgeht, sondern sich die Inhalte so darstellen, dass sie wie eine jeweils eigene Internetseite des Tochterunternehmens wird, stellen sich die ersten kniffligeren Fragen danach, wer hier datenschutzrechtlich „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO ist. Es kommt aber auch in anderen Konstellationen mal vor. Wenn z.B. mehrere Unternehmen ein gemeinsames Projekt im Internet präsentieren wollen. …

„Ein“ Internetauftritt von mehreren Verantwortlichen Weiter lesen »

Schriftformerfordernis beim Auftragsverarbeitungsvertrag?

Häufiger kommen Fragen von Datenschutz-Coaching-Mitgliedern, die sich auf die erforderliche „Form“ des Abschlusses von Auftragsverarbeitungsverträgen beziehen. Dazu gehört auch diese Frage: Unternehmen mit einer Vielzahl von Kunden, stellen einen Auftragsverarbeitungsvertrag als Download bereit, der zum Teil bereits unterschrieben ist oder überhaupt keine Unterschrift enthält. Im eigenen Account steht dann nur, dass der Vertrag (mit Datum) abgeschlossen wurde. Benötigt ein Auftragsverarbeitungsvertrag keine Unterschrift der Vertragspartner, wenn ein Nachweis vorhanden ist, dass der Auftragnehmer nachweisen kann, dass der Auftraggeber diesen erhalten hat (z.B. durch einen Download)? Wie verhält es sich, wenn die Unterschrift digital in den Vertrag eingesetzt wird (eingescannte Unterschrift des …

Schriftformerfordernis beim Auftragsverarbeitungsvertrag? Weiter lesen »

Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis?

Über das Corona-Virus-Fragenformular ist diese Frage hereingekommen: Muss ich für die Corona Thematik wie z.B. die Datenerfassung "Erkrankte Mitarbeiter" als separate Verarbeitung im Verarbeitungsverzeichnis führen? Wie ist der Zweck, die Rechtsgrundlage, die Löschfristen etc.? Meine Antwort Das ist eine sehr schöne Frage. Ich würde vermuten, dass das Meinungsbild der Datenschutzrechtler zu dieser Frage sehr uneinheitlich sein dürfte. Und das hat mit dem Begriff der „Verarbeitung“ und dem Sinn und Zweck des Verarbeitungsverzeichnisses zu tun. Letztlich kommt es für die Beantwortung der Frage darauf an, wie „eng“ bzw. wie „weit“ wir den Begriff der Verarbeitung fassen wollen. So gibt es durchaus …

Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis? Weiter lesen »

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus

In der heutigen Podcast-Episode geht es um die Beantwortung von Fragen, die über das der Corona-Virus-Fragenformular hier eingegangen sind. Einige der eingegangenen Fragen zielen auf das Arbeitsrecht ab. Da ich kein Arbeitsrechtler bin und hier nicht gefährliches Halb- oder 2/3-Wissen kundtun möchte, habe ich mir in diesem Podcast Verstärkung dazugeholt. Und zwar hat sich der geschätzte Kollege Alexander Hausner bereit erklärt, mir einige Fragen am Telefon zu beantworten. Alexander Hausner ist Rechtsanwalt und Fachanwalt für Arbeitsrecht in der Kanzlei Roser Rechtsanwälte Steuerberater Wirtschaftsprüfer in Hamburg. Außerdem berät er auch im Datenschutzrecht. Ich kenne Alexander als kompetenten Ansprechpartner. Ein Kollege, an …

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus Weiter lesen »

Auftragsverarbeitung: Erweiterung des Gegenstands der Verarbeitung

Im Rahmen der Corona-Virus-Fragen ist diese Frage aufgekommen: Mit unserem IT-Dienstleister haben wir einen Auftragsverarbeitungsvertrag zu Fernwartung, Nutzereinrichtung, Hardwarebereitstellung usw. geschlossen. Normalerweise erhalten neue Mitarbeiter während des Onboardings die entsprechende Hardware. Neue Mitarbeiter werden in diesen Tagen nicht persönlich in Empfang genommen und sollen daher die Hardware per Post direkt von unserem IT-Dienstleister erhalten. Nun haben wir in der AVV die "persönlichen Kontakt- und Adressdaten" NICHT inkludiert. Können wir die Datenverarbeitung ausnahmsweise auf Art. 6 Abs. 1 lit. f) DSGVO stützen oder muss zwangsläufig die AVV für die einmalige Datenverarbeitung erweitert werden? Wie können wir in dem Fall vorgehen? Ein …

Auftragsverarbeitung: Erweiterung des Gegenstands der Verarbeitung Weiter lesen »

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?

Hier kommt wieder eine schöne Frage, die bei einem Datenschutz-Coaching-Mitglied entstanden ist: Die Frage Meine Frage zu Prüfungen durch das Finanzamt in einer Praxis für Krankengymnastik: Dürfen Prüfer die Patientenkartei und/oder die dort befindlichen Rezepte einsehen, um z. B. Termine und Abrechnungen zu vergleichen? Auf den Karteien befinden sich neben den Patientendaten auch Diagnoseschlüssel und in den Karteien werden Rezepte, Diagnoseunterlagen, Atteste etc. aufbewahrt. Reicht es, wenn alle Dokumente aus der Kartei vor der Einsichtnahme entfernt werden oder ist der Zugriff, ohne die Einwilligung des Patienten zu verweigern? Als Physiotherapeut unterliegt er der Schweigepflicht § 203 Abs. 1 Nr. 1 …

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen? Weiter lesen »