Fragen & Antworten

Ich biete Datenschutz-Coaching-Mitglieder und manchmal auch Newsletter-Lesern die Möglichkeit Fragen zum Datenschutz zu stellen. Die Antworten finden sich dann in dieser Kategorie.

Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht

Letzte Woche hatte ich mich mit dem Thema „Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?“ beschäftigt. Zu dem Beitrag gab es nun eine Nachfrage: Die Frage Wie verhält es sich mit § 6 Abs. 4 BDSG, wenn der DSB noch aufgrund einer Pflicht benannt wurde, diese Pflicht jedoch durch die Erhöhung der möglichen Mitarbeiteranzahl auf 20 jetzt entfällt oder sich aber die Mitarbeiteranzahl im Betrieb reduziert? Ist der interne DSB dann dennoch weiterhin geschützt oder hat er Pech gehabt? Meine Antwort Die Lösung ist in diesem Fall – wie so häufig – im Gesetz zu finden. Einschlägig ist hier die Regelung in § …

Abberufung der internen Datenschutzbeauftragten bei späterem Wegfall der Benennungspflicht Weiter lesen »

Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten?

In der letzten Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf: Die Frage Was ist bei einer freiwilligen Benennung eines Datenschutzbeauftragten im Gegensatz zur gesetzlich erforderlichen Benennung eines Datenschutzbeauftragten zu beachten?Besonders in Hinblick auf den Wegfall der Gesetzesgrundlage zur Heraufsetzung der Bestellgrenze. Ändert sich etwas bei der Haftung, den Aufgaben oder der Möglichkeit der Abberufung? Meine Antwort Es gibt einige Unternehmen, die einen Datenschutzbeauftragte benennen, obwohl sie weder nach § 38 BDSG noch nach Art. 37 DSGVO verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Ob nun freiwillig benannte Datenschutzbeauftragte oder nicht…grundsätzlich gibt es nur wenige Unterschiede. Weder die Aufgaben noch die Haftung …

Unterschiede bei freiwilliger Benennung eines Datenschutzbeauftragten? Weiter lesen »

Auftragsverarbeitungsvertrag bei Softwaretest erforderlich?

In dieser Woche kam diese Frage unter Datenschutz-Coaching-Mitgliedern auf: Die Frage Unsere Marketingabteilung möchte eine Trackingsoftware (SaaS) für die Firmenwebseite ausprobieren. Der Test soll 14 Tage dauern (Angebot des Anbieters). Sehe ich das richtig, dass ich aus Sicht Datenschutz auch für diesen Test "das volle Programm" benötige, also AV-Vertrag, Info für Besucher (Art. 13 DSGVO) und technische Widerspruchsmöglichkeit? Meine Antwort Die Antwort lautet: Ja (keine Pointe) Datenschutzrechtlich ist es nicht relevant, ob der Zweck der Datenverarbeitung nur ein Test ist oder nicht. Rechtlich werden hier personenbezogene Daten im Auftrag durch den SaaS-Anbieter verarbeitet. Daher ist ein Auftragsverarbeitungsvertrag zu schließen. Und …

Auftragsverarbeitungsvertrag bei Softwaretest erforderlich? Weiter lesen »

Nachweis von Double-Opt-Ins bei Wechsel des E-Mail-Marketing-Providers

Wenn du einen professionellen Newsletter hast, wirst du in aller Regel den E-Mail-Versand über einen E-Mail-Marketing-Provider abwickeln. Bei mir ist das z.B. „mailchimp“. Und natürlich sind Nutzer dann auch mal mit ihrem Dienstleister nicht zufrieden und möchten zu einem anderen Anbieter wechseln. Nur: Was ist denn mit den Nachweisen für einen Double-Opt-In? Darauf bezog sich eine Frage aus dem Kreise der Datenschutz-Coaching-Mitglieder: Die Frage Wenn ein Kunde Daten von eMail-Provider A zu eMail-Provider B transferiert, wie kann dann die bei Provider A dokumentierte Einwilligung (Double Opt-In) für Provider B sichergestellt werden? Hintergrund ist, dass die Features von Provider B besser …

Nachweis von Double-Opt-Ins bei Wechsel des E-Mail-Marketing-Providers Weiter lesen »

Warum empfehle ich, Datenschutzinformationen nicht als „Datenschutzerklärung“ zu bezeichnen?

Dieser Beitrag ist zugleich ein Beitrag dazu, warum es niemals eine gute Idee ist, Datenschutzhinweise neben AGB bei einer Registrierung via Checkbox akzeptieren zu lassen. AGB und Datenschutzhinweise sind getrennte Dinge und sollten unbedingt getrennt behandelt werden. Sehr häufig finden wie z.B. auf Internetseiten die Bezeichnung „Datenschutzerklärung“ für Informationen zum Datenschutz, die als Informationen zum Datenschutz i.S.d. Art. 13 DSGVO dienen sollen. Ich empfehle meinen Mandantinnen und Datenschutz-Coaching-Mitglieder immer, statt dessen lieber den Begriff „Datenschutzhinweise“ zu verwenden. Passend dazu ist diese Frage eines Datenschutz-Coaching-Mitglieds: Ich erinnere mich, dass Du ausdrücklich darauf hingewiesen hastm für den Datenschutzhinweis auf der Internetseite nur …

Warum empfehle ich, Datenschutzinformationen nicht als „Datenschutzerklärung“ zu bezeichnen? Weiter lesen »

Anforderungen an eine wirksame Benennung eines Datenschutzbeauftragten

Aus dem Kreise der Datenschutz-Coaching-Mitglieder gab es diese Fragen bzw. Fragen: Welche Tatbestandsmerkmale müssen zwingend erfüllt sein, sodass eine rechtswirksame Benennung eines (e)DSB tatsächlich stattgefunden hat? Welche Voraussetzungen für das Vorliegen einer rechtswirksamen Benennung eines Konzern(e)DSB müssen erfüllt sein? Meine Antwort Zur ersten Frage Das ist eine sehr gute Frage. Denn genau genommen sieht die DSGVO hier gar keine konkreten Regelungen vor. Neulich wurde ich auch einmal gefragt, ob ein Unternehmen auch eine Person als Datenschutzbeauftragten benennen kann, die das gar nicht möchte oder dem gar nicht zugestimmt hat. Aufgrund der Tatsache, dass ein Datenschutzbeauftragte auch einige Pflichten hat, die …

Anforderungen an eine wirksame Benennung eines Datenschutzbeauftragten Weiter lesen »

Muss ich die Namen von eingestellten Bewerbern an die Agentur für Arbeit übermitteln?

Der Bereich Sozialdatenschutz gehört nicht gerade zu den von mir favorisierten Bereichen. Warum ist das so? Das lässt sich leicht erklären. Das Problem mit dem Sozialdatenschutzrecht Das deutsche Sozialrecht ist ein historisch dicht gewachsener Rechtsdschungel. Das meine ich gar nicht unbedingt negativ. Schließlich wissen wir heute, wie wichtig z.B. Regenwälder oder dichte Wälder für unser Weltklima sind. Aber Regenwälder und Dschungel sind eben häufig schwer zu durchdringen und zu durchblicken. Und so ist es auch mit dem Sozialrecht. Datenschutzrecht im Bereich der öffentlichen Stellen ist in der Regel einfach konstruiert. Denn im Grundsatz dürfen öffentliche Stellen die personenbezogenen Daten verarbeiten, …

Muss ich die Namen von eingestellten Bewerbern an die Agentur für Arbeit übermitteln? Weiter lesen »

Wie lange „gilt“ eine Einwilligung?

Folgende Frage kam von einem Datenschutz-Coaching-Mitglied: Frage zur Einwilligung in die längerfristige Aufbewahrung von Bewerberdaten (Pool): für welchen Zeitraum sollte/kann die Einwilligung erfolgen? Ist eine Einwilligung in unbegrenzte Speicherung statthaft? Meine Antwort Ich möchte meine Antwort nicht auf die hier in Frage stehende Speicherung im „Bewerber-Pool“ beschränken, sondern eher allgemein auf die Frage eingehen, ob eine Einwilligung zeitlich „abläuft“. Gerne wird hier z.B. von Aufsichtsbehörden vertreten, dass eine Einwilligung zeitlich ablaufe, also dem „Verfall“ unterliegen würde: 3.5 „Verfall“ der Einwilligung, Verwirkung Die Zivilgerichte sehen bei erteilten Einwilligungen zur werblichen Kontaktaufnahme teilweise keine unbegrenzte Gültigkeit. So hat das LG München I …

Wie lange „gilt“ eine Einwilligung? Weiter lesen »

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren?

Wenn Unternehmen Firmenwagen für Beschäftigte zur Verfügung stellen, stellt sich die datenschutzrechtliche Frage, ob in dem Zusammenhang die Kopie von Führerscheinen von Beschäftigten zulässig ist? Um diese Frage zu beantworten, müssen wir uns im Ergebnis die Frage stellen, ob die Kopie von Führerscheinen rechtlich erforderlich ist und davor vor allem, welche Rechtsgrundlage hierfür in Betracht kommt. Richtig ist zunächst, dass die Arbeitgeberin wohl ein Recht der Überprüfung hat, ob eine Beschäftigte im Besitz einer gültigen Fahrerlaubnis hat. Dieses Recht leitet sich aus § 21 Abs. 1 Nr. 2 StVG her. Dort heißt es nämlich (verkürzt): (1) Mit Freiheitsstrafe bis zu …

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren? Weiter lesen »

Einbindung der Datenschutzbeauftragten bei einem „Sozialplan“

In der Rubrik „Fragen & Antworten“ kommen erfreulicherweise auch manchmal Fragen, die ich zwischen Tür & Angel kurz beantworten kann. So wie diese: Bei meinem Arbeitgeber muss ein Sozialplan erstellt werden. Ist dieses Thema ausschließlich zwischen Betriebsrat und Arbeitgeber zu sehen oder gibt es ggf. Mitwirkungsanforderungen/-pflichten für die betriebliche Datenschutzbeauftragte? Und wenn ja, welche? Meine Antwort Ich sehe bei der Erstellung von Sozialplänen keine gesonderten Mitwirkungspflichten seitens der Datenschutzbeauftragten. Gleichwohl sind Sozialpläne jedoch häufig mit der Verarbeitung besonders schutzbedürftiger personenbezogener Daten verbunden. Und da kann es schon sein, dass die Beratungsaufgabe der Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. a) …

Einbindung der Datenschutzbeauftragten bei einem „Sozialplan“ Weiter lesen »

Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag

Es sind offenbar einige Auftragsverarbeitungsverträge im Umlauf, bei denen die Auftragnehmer einer „sehr, sehr auftragnehmerfreundliche“ Klausel bzgl. eingeschränkter Kontrollrechte durch den Auftraggeber vorsehen. So wird z.B. diese Klausel häufiger verwendet: Wenn im Einzelfall dennoch eine Inspektion beim Auftragnehmer erforderlich sein sollte, wird diese auf Kosten des Auftraggebers durch einen unabhängigen externen Prüfer / eine unabhängige externe Prüferin durchgeführt, den / die der Auftragnehmer benennt. Der Auftragnehmer darf nur solche Prüfer/Prüferinnen benennen, die gegenüber dem Auftraggeber ihre Unabhängigkeit vom Auftragnehmer versichert und sich zur Verschwiegenheit verpflichtet haben. Ich denke, wir sind uns einig, dass das sicher einigen Auftraggebern einer Auftragsverarbeitung nicht …

Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag Weiter lesen »

Als externe Datenschutzbeauftragte bei eigener Arbeitgeberin tätig?

Datenschutz-Coaching-Mitglieder habe die Möglichkeit, Fragen zum Datenschutz über ein Formular zu stellen. Einen Teil dieser Fragen beantworte ich dann im Rahmen der mir zur Verfügung stehenden Zeit als Anwalt. Folgende Frage wurde gestellt: Ich bin demnächst als Angestellte in einem Unternehmen beschäftigt, für das ich momentan als externe Datenschutzbeauftragte (DSB) benannt bin. Kann dies so weitergeführt werden oder muss die externe zur internen DSB werden? Abrechnungstechnisch ist für mich natürlich die Tätigkeit als externe DSB lukrativer und zeitmäßig wird es sonst auch kaum funktionieren. Als Anwalt würde ich darauf wie folgt antworten: Mein erster Gedanke… …war, dass das wohl kaum …

Als externe Datenschutzbeauftragte bei eigener Arbeitgeberin tätig? Weiter lesen »