Office Hours für Beginner – 11.01.2022
Heute haben die Office Hours für Beginner stattgefunden. Und du kannst dir hier die Aufzeichnung anhören:
Audio
Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen:
Fragen
Wir haben uns u.a. mit diesen Fragen beschäftigt:
VVT bei AV – Art. 30(4) DSGVO
„Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.”
> In dem Muster A“uftragsverarbeitungsvertrag auftragnehmerfreundlich“ gibt es in Anlage 3 unter Punkt 4 “Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung” die Frage: „Gibt es ein Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 und 2 DSGVO?“
Ich bin der Meinung, dass Art.30 Abs 1 (Verarbeitungen jenseits des Auftrages z.B. Lohnabrechnung) den Auftraggeber gar nichts angehen.
-> Wie begründest Du den Verweis auf Art. 30 Abs 1 DSGVO?
Der Hinweis ist ein Fehler. Ich habe heute neue Versionen der Auftragsverarbeitungsverträge hochgeladen.
Noch 2 Fragen zur Erwähnung von Art 30. Abs 2 DSGVO (Nur die Verarbeitungen des Auftrages)
-> Hat der Auftraggeber ein RECHT dieses zu erhalten bzw. zu prüfen?
-> Ist es üblich, dass der Auftragnehmer ein solches Verzeichnis an den Auftraggeber übermittelt?
Wir wollen Fotos der Mitarbeiter auf der Homepage, auf Facebook und auch in Print-Podukten zur Außendarstellung des Unternehmens nutzen. Kann die Einwilligung so formuliert werden, dass für die einzelnen Vebreitungswege eine Gesamteinwilligung gegeben wird, oder muss es pro Verbreitungsweg eine eigene Checkbox sein, wie in manchen Vorlagen gesehen? Der Zweck ist doch immer der selbe, oder?
„Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“
In deiner E-Mail kurz vor Weihnachten „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ steht unter Punkt 2 Button oder Link zu „Datenschutz-Einstellungen“ sagst du „Die DSK hält es offenbar für erforderlich, einen DAUERHAFTEN Link oder ein Icon anzuzeigen, mit dem z.B. der Widerruf bzgl. Cookies leicht durchgeführt werden kann“ meist du damit das der Button/ Icon um die Cookie Einstellungen ändern zu können immer fix auf dem Bildschirm sichtbar sein sollte? Sprich ein Cookie anpassen Button im Footer der Webseite währe hier nicht ausreichend?
Wenn ein Betroffener ganz allgemein und unpräzise um die Löschung “aller seiner pbD” bittet, muss dann alles gelöscht werden, oder sollte ich rückfragen, was genau er möchte?
Die AWO bietet unter (awo-freiwillich.de) ein Portal zur Suche von Stellen für Freiwilligendienste an. Mein Auftraggeber (öff. Dienst) möchte dort nun ein Angebot einstellen, dazu sind u.a. Kontaktinformationen (pbD) anzugeben. Die AWO sendete dazu eine Beitrittserklärung zu einem AVV, den ein Landesverband (AG) und der Bundesverband der AWO (AN u. Betreiberin der Plattform) untereinander geschlossen haben, um die Plattform zu realisieren. Das kommt mir komisch vor. Es kann doch weder im Sinne meines (nicht-AWO) Mandanten sein, plötzlich für die gesamte Datenverarbeitung auf der Plattform verantwortlich zu sein, noch im Sinne der AWO, einen Externen zu haben, der plötzlich weisungsberechtigt für die Zwecke und Mittel der Verarbeitung (also die Plattform) wird. In der Realität werden dies beide Parteien doch gar nicht so machen – kurz: (1) liegt hier eine AV vor? (2) Ist dieses Beitrittsmodell üblich?
Einer meiner Kunden hat das Problem, dass ein ehemaliger Mitarbeiter sich bei der DS-Behörde beschwert hat, weil seine personalisierte Mailadresse weiter genutzt und eingesehen wurde, obwohl er das Unternehmen bereits verlassen hatte. Nun hat die Bremer Behörde sich gemeldet, hat den Sachverhalt angemahnt und umfangreiche Dokumentationen angefordert. Wie wäre die korrekte Vorgehensweise beim Austritt des Mitarbeiters sein können, um weiterhin geschäftliche Mails einsehen zu dürfen? Wir möchten bei der Beantwortung der Fragen nun eine einsichtige + defensive Taktik wählen. Kann man sagen welche Strafe oder welches Bußgeld aus so einer Beschwerde ergehen kann?
Wenn man die Anmerkungen zur „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ nicht umsetzt, kann man dann abgemahnt werden? Oder können nur Behörden dagegen vorgehen?
Wenn der Betroffene mit einem mir bekannten Namen und E-Mail-Adresse eine Löschung anfragt, reicht das zur Indentifikation aus?
In unserem CRM-System sollen zukünftig erfasste Geschäftspartner vom zuständigen Mitarbeiter mit ein bis vier Sternen bewerten werden.
Es soll zur Bewertungslogik eine objektiv nachvollziehbare Erklärung je vergebenen Stern im Handbuch hinterlegt werden.
Abhängig von der Bewertung sollen die Geschäftspartner häufiger vom zuständigen Mitarbeiter oder auch dem Management angesprochen werden.
Abwägung des Fachbereichs: Die objektive Versachlichung und deutlich geschäftsorientierte Bewertung wäre auch im Interesse des Geschäftspartners.
Ist dieses Vorgehen datenschutzrechtlich vertretbar?
Ich habe vor einigen Tagen einem guten Freund beim Ausfüllen des Generators für das Impressum und die Datenschutzhinweise geholfen (gratis).
Er fragte mich danach, ob ich das nicht auch für ein paar seiner Freunde machen könne – natürlich gegen Bezahlung. Er wäre ohne mich verloren gewesen …
Nun befürchte ich, dass das RDG mir da reingrätscht – da ich nicht ext. DSB bin – darf ich das oder wegen RDG verboten?
Unsere GF möchte auf der LinkedIn-Firmenseite nun monatlich die neuen Mitarbeiter veröffentlichen.
Aus meiner Sicht ist die einzig mögliche Rechtsgrundlage die Einwilligung. Deren Freiwilligkeit ist im Verhältnis Arbeitgeber / Arbeitnehmer nicht immer unumstritten ist. Was sollten wir beachten, um das sauber aufzusetzen?
Diverse Stellen im Unternehmen wollen, dass ich die Datenschutzrisiken aus Sicht des Unternehmens bewerte und sogar ein Datenschutzrisikomanagement aus diesem Blickwinkel etabliere. Ist das meine Aufgabe? Kann das nicht zu Interessenskonflikten führen, wenn ich eigentlich für die Risiken der Betroffenen zuständig bin?
Welche Punkte gehören in ein Löschprotokoll?
Wir bieten Besuchern unseres Hauses ein Gast-WLAN Zugang an.
Der Zugang ist passwortgeschützt und der Nutzer muss vorher die Nutzungsbedingungen akzeptieren.
Sind wir hiermit TK-Anbieter?
Wenn ja, was bedeutet dies im Hinblick auf Überprüfung von Protokolldaten etc. im Missbrauchsverdacht?
Ist das dann überhaupt möglich?
Was sind die wesentlichen Stichpunkte/ Inhalte, die in ein Antwortschreiben nach vollzogener Löschung gehören? Wie konkret muss das sein?
Wie geht man am besten mit der Whistleblower-RL um? Bei vielen Unternehmen besteht da Unsicherheit und es wird Service für viel Geld angeboten. Kann eine Meldestelle nicht auch vom (externen) DSB oder BR übernommen werden? Nach meinem Verständnis muss die Bearbeitung vertraulich aber nicht anonymisiert erfolgen, richtig?
Kannst du mal sagen, wie man am geschicktesten seiner Informationspflicht (Art. 13./14) nachkommen kann, ohne zu nerven. Danke!
Gibt es einen guten Richtwert festzustellen, wo die Grenze zwischen Datenschutzrecht und anderer Rechtsberatung liegt? Sachverhalt: Frage eines Pflegeunternehmens, ob ein Behandlungsvertrag nach § 630a BGB vorliegt.
Es gibt virtuelle Assistenten die auch Datenschutzleistungen anbieten zum Beispiel Pakete mit Musterdokumenten – (Datenschutzhinweise, AVV, Impressum, Hinweise Videokonferenz etc.)
Sie sind zwar zertifizierte DSBs aber keine Juristen.
Fällt das in den Bereich Datenschutzmanagementberatung oder bewegen die sich hier auf ganz dünnem Eis?
Transfer Impact Assessment – bringt das wirklich was, um mehr Compliance in den EU-SCCs zu erreichen?
Wir würden gerne Signal als Messenger einsetzen, aber bekommen keinen Auftragsverarbeitungsvertrag. Hast Du einen Tipp, was wir tun können?
Zur Auftragserfüllung nutzen wir einen Dienstleister. Nach Auftragserfüllung tritt ein Garantiefall mit dem Produkt des Dienstleisters auf. Muss in den Datenschutzhinweisen das explizit erwähnt werden das wir im Garantiefall die PB Daten nochmal an den Dienstleister übermitteln?
Wir sind Dienstleister mit einem Call Center.
Unser Auftraggeber möchte nun alle Gespräche per AI analysieren lassen und dem Mitarbeiter dann „Ergebnisse“ zur QM Erfüllung anzeigen. (spezielle Worte die gesprochen wurden etc pp)
Alles über einen Dienstleister. Angeblich ohne Speicherung und ohne dass Vorgesetze diese Informationen erhalten.
Da dies allerdings 100% der Gespräche analysiert werden, ist es doch eine Dauerüberwachung – oder?
Wie erstelle ich eine TIA? wie gehst du damit um? ich bin etwas überfordert mit dieser Thematik.
Eine Firma verwendet ein Tool, welches auch ermöglicht einen Bradford Faktor der Mitarbeiter zu erstellen. Also eine Bewertung der Krankheitstage im Jahr. Unter welchen Voraussetzungen ist das Datenschutzrechtlich möglich? Evtl. durch eine DSFA? oder ist davon generell abzuraten?
Nach Auffassung der DSK in der OH zum TTDSG kann Tracking unter Einsatz von US Unternehmen oder die Einbindung von Dritt-Inhalten z.B. Youtube Videos nicht auf eine Einwilligung (Art. 49 DSGVO) gestützt werden. Als DSB würde ich hier empfehlen alternative Möglichkeiten wie z.B. Matomo, Videos lokal hosten etc. zu nutzen. In manchen Fällen wird eine Alternative aber nicht umsetzbar sein. Was kann man als DSB dann empfehlen, ohne direkt ein Haftungsrisiko zu haben.
Ein Kunde hat gekündigt und nun soll eine Kündigerbefragung durchgeführt werden. Der Kunde kann selbst entscheiden, ob er teilnehmen möchte, aber wenn er teilnimmt, sollen die Antworten mit seinen Kundendaten verknüpft werden. Geht das unter der RGL berechtigtes Interesse (kann der Kunde damit rechnen, dass bei einer solchen Befragung seine Daten verknüpft werden?) Eine Einwilligung würden wir ungern nehmen wollen wg. der Möglichkeit des Widerrufs.
Kann man mit vimeo datenschutzrechtlich sauber nutzen? ist ja auch ein US Dienstleister
DSB im Konzern, reicht es da aus, wenn eine Gesellschaft (alle mit Sitz in NRW) den DSB meldet und dann z.B. im Meldeformular unter Bemerkungen angibt, dass DSB für die Unternehmensgruppe benannt ist und dort dann die einzelnen Gesellschaften aufführt? Oder muss jede einzelne Gesellschaft der Unternehmensgruppe selber melden?
Ist in einem Internet Shop im Cookie Consent Banner ein Hinweis mit Verlinkung einer Liste aller verendeten Cookies (mit Beschreibung) erforderlich?
Für eine deutsche Firma mit amerikanischer Muttergesellschaft benötige ich SCC und TIA. Für den Abschluss soll der DSB die Vorlagen liefern, inwieweit ist der DSB da einzubinden oder ist das Sache der Rechtsabteilungen???
Es soll ein Telepräsenz-Roboter eines Herstellers mit Sitz in USA Kalifornien, in Kindergärten oder Schulen eingesetzt werden. Kinder, die wegen Krankheit nicht in der Schule sein können sollen Kontakt zu den Mitschülern halten. Über eine APP wird mittels WebRFC verschlüsselt eine Verbindung zwischen dem Roboter und dem Rechner von dem aus der Roboter gesteuert wird hergestellt. Die Server stehen in den USA. Es werde weitere personenbezogene Daten beim Anmelden usw. verarbeitet.
Hier kommt man um Standardvertagsklauseln nicht herum, oder ?
Ein Betroffener fragt, welche Daten von ihm nach längerem ausscheiden noch im Unternehmen sind. Wo kann man überall nach Daten schauen (Backups? Akten? etc.?) bzw. welche Daten müssen preisgegeben werden?
Ist meine Nutzung von XING eher als beruflicher Nutzer oder privater Nutzer anzusehen? Ich habe dem Handelsblatt eine berufliche Anfrage geschickt. Abends habe ich gesehen, dass eine Mitarbeiterin des Handelsblatts auf meinem XING-Profil war. Wenn ich XING nicht in derem Datenschutzhinweis finde, ist dass dann i.O.?