Name: Webinar „Erstellung eines Tätigkeitsberichts (für interne & externe DSB)“
Start: 2020-11-19T16:00:00+01:00
End: 2020-11-19T17:00:00+01:00
Location: Internet

Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden?

21/10/2020 21/10/2020 / Von Stephan Hansen-Oest / Fragen & Antworten

Das Recht aus Auskunft des Art. 15 DSGVO gehört sicher zu den Themen, die für viel Diskussion und Streit (auch vor Gerichten) sorgen. Passend dazu erreichte mich diese Frage: Die Frage Ist das Recht auf Erhalt einer Kopie gem. Art. 15 Abs 3 DSGVO automatisch bei Stellung eines Auskunftsantrags zu erfüllen oder bedarf es eines eigenen Antrags? Ist mit “Kopie” eine Herausgabe von Dokumenten, Datenbankstrukturen etc. gemeint? Meine Antwort Nach herrschender Meinung (h.M.) – und dafür sprechen schon Struktur und Wortlaut der Norm des Art. 15 DSGVO – ist das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 …

Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden? Weiter lesen »

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden?

20/10/2020 20/10/2020 / Von Stephan Hansen-Oest / Fragen & Antworten

Eine Frage, die recht häufig von Mandantinnen gestellt wird, ist hier „eingetrudelt“. Und da passt es ganz gut, diese einmal „generell“ zu beantworten: Die Frage Reicht es aus, einen Vertrag mit einer Konzerngesellschaft (GmbH) zu schließen oder muss dies mit jeder Konzerngesellschaft (GmbH) der Unternehmensgruppe gemacht werden, von der man Leistungen/Beratung für die eigenen Kunden bezieht? Meine Antwort Ob ein Vertrag zustande kommt oder nicht, hängt rechtlich zunächst von übereinstimmenden „Willenserklärungen“ ab. Ein Vertrag ist ein Rechtsgeschäft, das nach den §§ 145 ff. BGB aus einem Angebot und einer Annahme besteht und zwischen mindestens zwei natürlichen und/oder juristischen Personen geschlossen wird. …

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden? Weiter lesen »

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern

20/10/2020 20/10/2020 / Von Stephan Hansen-Oest / Fragen & Antworten

Eine spezifische und kurze Frage zum „Do Not Track“ (DNT)-Header wurde über das Fragenformular gestellt: Die Frage In Borlabs Cookies gibt es die Option, Nutzern, die die Option “Do not track” voreingestellt haben, die Dialogbox “zu ersparen” und einfach von “Nein” auszugehen – also nur unbedingt erforderliche Cookies – zuzulassen. Ist dieser stillschweigende Dissens rechtens? Meine Antwort Die werbetreibende Industrie hat sich viele Jahre dagegen gesträubt, den DNT-Header, den der Browser des Nutzenden sozusagen mitsendet, als „bewusste“ Auswahl des Nutzenden anzuerkennen, sofern diese Funktion standardmäßig aktiviert ist. Für das Setzen von Cookies, die nicht unbedingt erforderlich sind, benötigt man nach …

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern Weiter lesen »

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO?

20/10/2020 21/10/2020 / Von Stephan Hansen-Oest / Empfohlen, Fragen & Antworten

Über das Fragenformular kam mal wieder eine schöne Frage hier auf den Schreibtisch „geflogen“. Die lautete wie folgt: Die Frage Eine Aufsichtsbehörde hat mir gegenüber geäußert, dass Mitarbeiterdaten von Kunden (juristische Personen) nicht unter die DSGVO fallen, da diese nur für natürliche Personen gilt. Bisher war ich der Meinung, dass die Daten von Mitarbeiterinnen und Mitarbeitern (Name, „persönliche“ Mailadresse; private Handynummer usw.) von Kunden oder Lieferanten sehr wohl DSGVO-relevant sind. Wie siehst du das? Meine Antwort Ich bin Fragen dieser Art immer ein wenig besorgt. Und frage mich zugleich, ob es da zwischen den Beteiligten ggf. ein Missverständnis oder Kommunikationsproblem …

Fallen Daten von Beschäftigten von Kunden in den Anwendungsbereich der DSGVO? Weiter lesen »

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das?

10/09/2020 10/09/2020 / Von Stephan Hansen-Oest / Fragen & Antworten

Neulich wurde über das Fragenformular für Datenschutz-Coaching-Mitglieder diese Frage gestellt: Konferenzteilnehmer an Online-Meetings sollten ja zuvor über die damit verbundene Verarbeitung personenbezogener Daten informiert werden. Ist dafür jeweils derjenige, der das Meeting initiiert, verantwortlich? Oder wie ist es, wenn unsere MA dazu eingeladen werden, z. B. von Kunden? Kann man die Datenschutzhinweise zu diversen eingesetzten Online-Meeting-Tools zusammenfassen, als Deeplink auf die Website stellen und einen Link dorthin bei Einladung zum Online-Meeting in die Signatur integrieren? Gibt es irgendwo Vorlagen für Datenschutzhinweise zu MS Teams? Meine Antwort Die Antwort ist eigentlich ganz „einfach“. In der Theorie. Denn die Pflicht, über Zweck, …

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das? Weiter lesen »

„Ein“ Internetauftritt von mehreren Verantwortlichen

02/09/2020 02/09/2020 / Von Stephan Hansen-Oest / Fragen & Antworten

Es wird häufiger gefragt, wie es eigentlich damit aussieht, wenn mehrere Unternehmen gemeinsam eine Internetseite betreiben wollen. Das kommt häufig z.B. in Unternehmensgruppen vor, in denen z.B. rechtlich selbstständige Tochterunternehmen die Internetseiten des Mutterunternehmens nutzen, um sich zu präsentieren. Wenn es dann über reine Informationen hinausgeht, sondern sich die Inhalte so darstellen, dass sie wie eine jeweils eigene Internetseite des Tochterunternehmens wird, stellen sich die ersten kniffligeren Fragen danach, wer hier datenschutzrechtlich „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO ist. Es kommt aber auch in anderen Konstellationen mal vor. Wenn z.B. mehrere Unternehmen ein gemeinsames Projekt im Internet präsentieren wollen. …

„Ein“ Internetauftritt von mehreren Verantwortlichen Weiter lesen »

Schriftformerfordernis beim Auftragsverarbeitungsvertrag?

02/09/2020 02/09/2020 / Von Stephan Hansen-Oest / Empfohlen, Fragen & Antworten

Häufiger kommen Fragen von Datenschutz-Coaching-Mitgliedern, die sich auf die erforderliche „Form“ des Abschlusses von Auftragsverarbeitungsverträgen beziehen. Dazu gehört auch diese Frage: Unternehmen mit einer Vielzahl von Kunden, stellen einen Auftragsverarbeitungsvertrag als Download bereit, der zum Teil bereits unterschrieben ist oder überhaupt keine Unterschrift enthält. Im eigenen Account steht dann nur, dass der Vertrag (mit Datum) abgeschlossen wurde. Benötigt ein Auftragsverarbeitungsvertrag keine Unterschrift der Vertragspartner, wenn ein Nachweis vorhanden ist, dass der Auftragnehmer nachweisen kann, dass der Auftraggeber diesen erhalten hat (z.B. durch einen Download)? Wie verhält es sich, wenn die Unterschrift digital in den Vertrag eingesetzt wird (eingescannte Unterschrift des …

Schriftformerfordernis beim Auftragsverarbeitungsvertrag? Weiter lesen »

Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis?

29/03/2020 29/03/2020 / Von Stephan Hansen-Oest / Fragen & Antworten / Corona-Virus

Über das Corona-Virus-Fragenformular ist diese Frage hereingekommen: Muss ich für die Corona Thematik wie z.B. die Datenerfassung "Erkrankte Mitarbeiter" als separate Verarbeitung im Verarbeitungsverzeichnis führen? Wie ist der Zweck, die Rechtsgrundlage, die Löschfristen etc.? Meine Antwort Das ist eine sehr schöne Frage. Ich würde vermuten, dass das Meinungsbild der Datenschutzrechtler zu dieser Frage sehr uneinheitlich sein dürfte. Und das hat mit dem Begriff der „Verarbeitung“ und dem Sinn und Zweck des Verarbeitungsverzeichnisses zu tun. Letztlich kommt es für die Beantwortung der Frage darauf an, wie „eng“ bzw. wie „weit“ wir den Begriff der Verarbeitung fassen wollen. So gibt es durchaus …

Verarbeitung von Corona-Virus-Infos zu Beschäftigten ins Verarbeitungsverzeichnis? Weiter lesen »

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus

27/03/2020 27/03/2020 / Von Stephan Hansen-Oest / Fragen & Antworten, Podcast / Corona-Virus

In der heutigen Podcast-Episode geht es um die Beantwortung von Fragen, die über das der Corona-Virus-Fragenformular hier eingegangen sind. Einige der eingegangenen Fragen zielen auf das Arbeitsrecht ab. Da ich kein Arbeitsrechtler bin und hier nicht gefährliches Halb- oder 2/3-Wissen kundtun möchte, habe ich mir in diesem Podcast Verstärkung dazugeholt. Und zwar hat sich der geschätzte Kollege Alexander Hausner bereit erklärt, mir einige Fragen am Telefon zu beantworten. Alexander Hausner ist Rechtsanwalt und Fachanwalt für Arbeitsrecht in der Kanzlei Roser Rechtsanwälte Steuerberater Wirtschaftsprüfer in Hamburg. Außerdem berät er auch im Datenschutzrecht. Ich kenne Alexander als kompetenten Ansprechpartner. Ein Kollege, an …

Fragen & Antworten zu Datenschutz & Arbeitsrecht in Zeiten des Corona-Virus Weiter lesen »

Auftragsverarbeitung: Erweiterung des Gegenstands der Verarbeitung

25/03/2020 25/03/2020 / Von Stephan Hansen-Oest / Fragen & Antworten / Corona-Virus

Im Rahmen der Corona-Virus-Fragen ist diese Frage aufgekommen: Mit unserem IT-Dienstleister haben wir einen Auftragsverarbeitungsvertrag zu Fernwartung, Nutzereinrichtung, Hardwarebereitstellung usw. geschlossen. Normalerweise erhalten neue Mitarbeiter während des Onboardings die entsprechende Hardware. Neue Mitarbeiter werden in diesen Tagen nicht persönlich in Empfang genommen und sollen daher die Hardware per Post direkt von unserem IT-Dienstleister erhalten. Nun haben wir in der AVV die "persönlichen Kontakt- und Adressdaten" NICHT inkludiert. Können wir die Datenverarbeitung ausnahmsweise auf Art. 6 Abs. 1 lit. f) DSGVO stützen oder muss zwangsläufig die AVV für die einmalige Datenverarbeitung erweitert werden? Wie können wir in dem Fall vorgehen? Ein …

Auftragsverarbeitung: Erweiterung des Gegenstands der Verarbeitung Weiter lesen »

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?

25/11/2019 29/11/2019 / Von Stephan Hansen-Oest / Empfohlen, Fragen & Antworten

Hier kommt wieder eine schöne Frage, die bei einem Datenschutz-Coaching-Mitglied entstanden ist: Die Frage Meine Frage zu Prüfungen durch das Finanzamt in einer Praxis für Krankengymnastik: Dürfen Prüfer die Patientenkartei und/oder die dort befindlichen Rezepte einsehen, um z. B. Termine und Abrechnungen zu vergleichen? Auf den Karteien befinden sich neben den Patientendaten auch Diagnoseschlüssel und in den Karteien werden Rezepte, Diagnoseunterlagen, Atteste etc. aufbewahrt. Reicht es, wenn alle Dokumente aus der Kartei vor der Einsichtnahme entfernt werden oder ist der Zugriff, ohne die Einwilligung des Patienten zu verweigern? Als Physiotherapeut unterliegt er der Schweigepflicht § 203 Abs. 1 Nr. 1 …

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen? Weiter lesen »

Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht

20/11/2019 02/12/2019 / Von Stephan Hansen-Oest / Fragen & Antworten / Datenschutzbeauftragte

Letzte Woche hatte ich mich mit dem Thema „Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?“ beschäftigt. Zu dem Beitrag gab es nun eine Nachfrage: Die Frage Wie verhält es sich mit § 6 Abs. 4 BDSG, wenn der DSB noch aufgrund einer Pflicht benannt wurde, diese Pflicht jedoch durch die Erhöhung der möglichen Mitarbeiteranzahl auf 20 jetzt entfällt oder sich aber die Mitarbeiteranzahl im Betrieb reduziert? Ist der interne DSB dann dennoch weiterhin geschützt oder hat er Pech gehabt? Meine Antwort Die Lösung ist in diesem Fall – wie so häufig – im Gesetz zu finden. Einschlägig ist hier die Regelung in § …

Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht Weiter lesen »