Fragen & Antworten

In bestimmten Fällen sieht Art. 35 DSGVO die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) zwingend vor. In diesem Kontext wurde hier eine Frage gestellt: Die Frage Wenn ich eine Datenschutz-Folgenabschätzung erstellt habe, muss bzw. sollte ich sie interessierten Personen (deren Daten ich verarbeiten will) zur Verfügung stellen? Meine Antwort Nein!Der Auskunftsanspruch von Betroffenen ist in Art. 15 DSGVO geregelt. Weiter eingeschränkt wird dieser Anspruch in Deutschland zudem durch § 34 BDSG. Wenn ein Unternehmen oder eine öffentliche Stelle eine DSFA durchgeführt hat, gibt es keinen Anspruch des Betroffenen darauf, diese zu bekommen oder einsehen zu dürfen. Dies ist in Art. 15 DSGVO schlicht …

Muss ich meine Datenschutz-Folgenabschätzung (DSFA) auf Anfrage herausgeben? Weiter lesen »

Das Recht aus Auskunft des Art. 15 DSGVO gehört sicher zu den Themen, die für viel Diskussion und Streit (auch vor Gerichten) sorgen. Passend dazu erreichte mich diese Frage: Die Frage Ist das Recht auf Erhalt einer Kopie gem. Art. 15 Abs 3 DSGVO automatisch bei Stellung eines Auskunftsantrags zu erfüllen oder bedarf es eines eigenen Antrags? Ist mit “Kopie” eine Herausgabe von Dokumenten, Datenbankstrukturen etc. gemeint? Meine Antwort Nach herrschender Meinung (h.M.) – und dafür sprechen schon Struktur und Wortlaut der Norm des Art. 15 DSGVO – ist das Recht auf Erhalt einer Kopie nach Art. 15 Abs. 3 …

Auskunftsanspruch: Muss automatisch eine Kopie der Daten gesendet werden? Weiter lesen »

Eine Frage, die recht häufig von Mandantinnen gestellt wird, ist hier „eingetrudelt“. Und da passt es ganz gut, diese einmal „generell“ zu beantworten: Die Frage Reicht es aus, einen Vertrag mit einer Konzerngesellschaft (GmbH) zu schließen oder muss dies mit jeder Konzerngesellschaft (GmbH) der Unternehmensgruppe gemacht werden, von der man Leistungen/Beratung für die eigenen Kunden bezieht? Meine Antwort Ob ein Vertrag zustande kommt oder nicht, hängt rechtlich zunächst von übereinstimmenden „Willenserklärungen“ ab. Ein Vertrag ist ein Rechtsgeschäft, das nach den §§ 145 ff. BGB aus einem Angebot und einer Annahme besteht und zwischen mindestens zwei natürlichen und/oder juristischen Personen geschlossen wird. …

Müssen Auftragsverarbeitungsverträge in Unternehmensgruppen einzeln abgeschlossen werden? Weiter lesen »

Eine spezifische und kurze Frage zum „Do Not Track“ (DNT)-Header wurde über das Fragenformular gestellt: Die Frage In Borlabs Cookies gibt es die Option, Nutzern, die die Option “Do not track” voreingestellt haben, die Dialogbox “zu ersparen” und einfach von “Nein” auszugehen – also nur unbedingt erforderliche Cookies – zuzulassen. Ist dieser stillschweigende Dissens rechtens? Meine Antwort Die werbetreibende Industrie hat sich viele Jahre dagegen gesträubt, den DNT-Header, den der Browser des Nutzenden sozusagen mitsendet, als „bewusste“ Auswahl des Nutzenden anzuerkennen, sofern diese Funktion standardmäßig aktiviert ist. Für das Setzen von Cookies, die nicht unbedingt erforderlich sind, benötigt man nach …

Der „Do Not Track“-Header als Standardauswahl für die Nichtanzeige von Cookie-Bannern Weiter lesen »

Neulich wurde über das Fragenformular für Datenschutz-Coaching-Mitglieder diese Frage gestellt: Konferenzteilnehmer an Online-Meetings sollten ja zuvor über die damit verbundene Verarbeitung personenbezogener Daten informiert werden. Ist dafür jeweils derjenige, der das Meeting initiiert, verantwortlich? Oder wie ist es, wenn unsere MA dazu eingeladen werden, z. B. von Kunden? Kann man die Datenschutzhinweise zu diversen eingesetzten Online-Meeting-Tools zusammenfassen, als Deeplink auf die Website stellen und einen Link dorthin bei Einladung zum Online-Meeting in die Signatur integrieren? Gibt es irgendwo Vorlagen für Datenschutzhinweise zu MS Teams? Meine Antwort Die Antwort ist eigentlich ganz „einfach“. In der Theorie. Denn die Pflicht, über Zweck, …

Wer muss Teilnehmende an Online-Meetings über den „Datenschutz“ informieren und wie mache ich das? Weiter lesen »

Es wird häufiger gefragt, wie es eigentlich damit aussieht, wenn mehrere Unternehmen gemeinsam eine Internetseite betreiben wollen. Das kommt häufig z.B. in Unternehmensgruppen vor, in denen z.B. rechtlich selbstständige Tochterunternehmen die Internetseiten des Mutterunternehmens nutzen, um sich zu präsentieren. Wenn es dann über reine Informationen hinausgeht, sondern sich die Inhalte so darstellen, dass sie wie eine jeweils eigene Internetseite des Tochterunternehmens wird, stellen sich die ersten kniffligeren Fragen danach, wer hier datenschutzrechtlich „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO ist. Es kommt aber auch in anderen Konstellationen mal vor. Wenn z.B. mehrere Unternehmen ein gemeinsames Projekt im Internet präsentieren wollen. …

„Ein“ Internetauftritt von mehreren Verantwortlichen Weiter lesen »