Die Datenschutzgrundverordnung war von Anfang an ein heikles Thema und wurde scharf kritisiert. „Es träfe die Falschen“ hatte man damals oft vernehmen können. Dennoch wurde sie durchgesetzt, doch als was hat sich die Verordnung entpuppt?
Trotz harscher Kritik und Schwarzmalerei scheint sich entsprechend wenig geändert zu haben, den Alltag hat es also offenbar nicht wirklich verändert.
Doch warum wurde damals so heftig aufgeschrien?
Das Problem war nicht die Verordnung selbst, sondern das „Überbringen der Nachricht“ – in vielen Medien, vor allem in sozialen Netzwerken, wurden doch die Intentionen und Ziele zum Teil falsch bzw. nur...
Sind massenhafte Abmahnungen durch Mitbewerber zu befürchten?
Abmahnungen sind im Grundsatz dann berechtigt, wenn ein Rechtsverstoß vorliegt. Dabei werden Abmahner vor allem einen Blick auf die Datenschutzerklärungen werfen. Datenschutzerklärungen sind auf Webseiten, die nicht ausschließlich persönlichen oder familiären Zwecken dienen, verpflichtend.
Denn sobald ein Besucher die geschäftlich betriebene Webseite aufruft, werden Daten (wie z. B. über Cookies) verarbeitet.
Bereits in dem Moment des Anklickens der Webseite sind alle Informationen an den Webseitenbesucher im Zuge der Datenschutzerklärung zu übermitteln. Keine Datenschutzerklärung auf der Webseite zu führen ist übrigens nicht die Lösung, da dies anhand der bereits...
Die DSGVO verpflichtet vor allem zur Übermittlung von Informationen zu der vorgenommenen Datenverarbeitung. Diese Verarbeitungen müssen dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden. Vorgelagerte Pflichten bei der technischen Gestaltung der Erhebung der Daten gibt es nicht.
Richtig
Data Protection by Design vor Beginn der Datenverarbeitung
Vor Beginn der Datenerhebung muss eine Planung der Datenerhebung ("Data Protection by Design") mit einer Gestaltung der Technik durch datenschutzfreundliche Voreinstellungen ("Data Protection by Default") stattfinden nach Art. 25 DSGVO, damit nur solche Daten überhaupt erhoben werden, die vom (legitimen) Zweck umfasst sind.
Im Rahmen der DSGVO dürften personenbezogene Daten verarbeitet werden. Voraussetzung hierfür ist lediglich, dass die Sicherheitsbestimmungen und andere Grundsätze, wie die Datenminimierung eingehalten werden - und los gehts! Dann können alle Daten von Personen verarbeitet werden.
Richtig
Grundsatz des Verbots der Datenverarbeitung
Die DSGVO verbietet im Grundsatz die Verarbeitung jeglicher personenbezogener Daten. Die Verarbeitung der Daten ist gemäß Art. 6 DSGVO nur dann erlaubt, wenn die betroffene Person dazu ihre Einwilligung erteilt hat oder eine Rechtsvorschrift dies erlaubt oder anordnet (Verbotsprinzip mit Erlaubnisvorbehalt).
Die DSGVO schreibt im Grunde nur noch die Bestellung eines Datenschutzbeauftragten fest, wenn die Kerntätigkeit des Unternehmens in "einer umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen" besteht (Art. 37 Abs. 1 b DSGVO - siehe Checkliste). Da waren die Vorschriften früher im BDSG strenger.
Richtig
Datenschutzbeauftragter bei mind. 10 Personen erforderlich
Das neue BDSG macht in § 38 von der Öffnungsklausel der DSGVO Gebrauch und bestimmt weiterhin die Pflicht zur Bestellung eines Datenschutzbeauftragten, sofern u. a. mindestens 10 Personen ständig mit Datenverarbeitung in dem Unternehmen beschäftigt sind. Die DSGVO erlaubt es den Mitgliedstaaten ausdrücklich, in diesem Aspekt strenger zu...
Datenschutzgrundverordnung - Artikelreihe
8. Erläuterungen zur Checkliste
Die Checkliste wird zum besseren Verständnis in einigen Punkten noch noch weiter erläutert:
sichere Datenverabeitung
Die Daten dürfen nicht anders verarbeitet werden, als eine angemessene Sicherheit der personenbezogenen Daten ausreichend gewährleistet ist. Im Wege von technischen (z.B. Schutz durch Passwörter) und organisatorischen Maßnahmen (z.B. Verschließen von Räumlichkeiten) muss sichergestellt werden, dass Unbefugte keinen Zugang zu den Daten erhalten können.
Art. 25 DSGVO erlegt dem Verantwortlichen Pflichten zum Datenschutz durch die Wahl der Technik sowie durch datenschutzfreundliche Voreinstellungen auf. Der Verantwortliche soll durch technische und organisatorische Maßnahmen die Vorgaben der DSGVO umsetzen. Auch hier taucht das Gebot...
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder indentifizierbare natürliche Person beziehen. Die Verarbeitung der Daten bedeutet beispielsweise das Erheben, das Speichern, den Abgleich, das Auslesen usw.
⇒ Check 1: Verarbeiten Sie personenbezogene Daten? (z. B. in der Buchhaltung, im Online-Geschäft, im Newsletter-Verteiler, Arbeitnehmerdaten, Fotos, Videos, ...)
2. Die Verarbeitung der Daten darf nur zu dem vertraglich vereinbarten, gesetzlich festgelegtem oder zu dem in Einwilligung genannten Zweck...
Datenschutzgrundverordnung - Artikelreihe
6. Informationspflichten gemäß Art. 13 und Art. 14 DSGVO, II. Teil
Art. 13 DSGVO regelt den Umfang der Informationspflichten des Verantwortlichen gegenüber der betroffenen Person, wenn die personenbezogenen Daten bei der betroffenen Person erhoben werden, was hier im Detail nachgelesen werden kann. Wird eine Datenverarbeitung zu einem anderen Zweck als ursprünglich angegeben durchgeführt, sind wiederum Informationen von dem Verantwortlichen an den Betroffenen zu übermitteln. Allerdings scheidet eine Informationspflicht generell aus, "wenn und soweit die betroffene Person bereits über die Informationen verfügt" (Art. 13 Abs. 4 DSGVO).
Die aktive Einwilligung in die Verwendung von Cookies ("Cookie-Banner") wird auch in Zukunft keine Pflicht für die Websiten-Betreiber. Es genügt unzweifelhaft die Information über die Verwendung von Cookies in der Datenschutzerklärung. Es genügt daher, eine entsprechende Klausel innerhalb der Datenschutzbelehrung zu formulieren und für die Nutzer der Webseite klar und eindeutig lesbar bereitzuhalten.
Richtig
Einbindung von Cookies über Cookie-Banner sicherer
Die Einholung einer aktiven Einwilligung für die Nutzung von Cookies ist in jedem Fall sicherer. In dem Positionspapier der Datenschutzbehörden des Bundes und der Länder heißt es: "...dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung...
Datenschutzgrundverordnung - Artikelreihe
5. Informationspflichten gemäß Art. 13 und Art. 14 DSGVO, I. Teil
Art. 12 DSGVO beinhaltet als "Generalklausel" die Vorgaben für die Unterrichtung der betroffenen Personen, also derjenigen Personen, von welcher die personenbezogenen Daten verarbeitet werden. Über die Definitionen der "personenbezogenen Daten" sowie "die betroffene Person" kann hier nachgelesen werden.
a) "Verarbeitung" personenbezogener Daten
Zur Begrifflichkeit der "Verarbeitung" von Daten nennt Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
Datenschutzgrundverordnung - Artikelreihe
4. Transparenz und Verhaltensanforderungen
Welche Daten dem Schutz der Datenschutzgrundverordnung unterliegen, war Thema des letzten Artikels. In diesem Artikel wird es um die Verhaltensspflichten des Verantwortlichenn bei der Erhebung der Daten, und damit um eine erweiterte Pflicht, die ab dem 25.05.2018 aus der DSGO für die Unternehmen entsteht, gehen.
"Verantwortlicher" ist jede natürliche oder juristische Person oder Behörde, Einrichtung usw. und damit jede Stelle, die Daten für sich verarbeitet, also z. B. Daten erhebt, speichert und weitergibt. Die Datenverarbeitung kann auch an Auftragsverarbeiter, die die personenbezogenen Daten im Auftrag des Veranwortlichen verarbeiten, abgegeben sein.
Nachdem die Ziele und die neue Ideen der Datenschutzgrundverordnung dargestellt wurden, wird es nun konkret. Der sachliche Anwendungsbereich der DSGVO, nämlich welche Datenverarbeitungen überhaupt betroffen sind, soll näher beleuchtet werden. Denn längst nicht alle Daten sind von der Datenschutzgrundverordnung betroffen.
a) Gegenstand der DSGVO
Die Datenschutzgrundverordnung findet gemäß Artikel 3 Absatz 1 DSGVO Anwendung auf die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter:
"Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt."
Datenschutzgrundverordnung - Artikelreihe
2. Neuschöpfung des Datenschutzes
Eine einheitliche Datenschutzgrundverordnung wird es künftig Unternehmen ermöglichen, die Datenverarbeitung in allen 28 Mitgliedstaaten einheitlich zu regeln. Umgekehrt gelten für Unternehmen, die in den 28 Mitgliedstaaten ansässig sind bzw. die Daten von EU-Bürgern verarbeiten, die gleichen gesetzlichen Regelungen und die gleichen Sanktionen.
Damit wird es durch ein einheitlich hohes Datenschutzniveau künftig nicht mehr möglich sein, den hohen Datenschutzanforderungen der Europäischen Union durch die Verlagerung der Firmensitze in bestimmte EU-Staaten mit eher lockerem Datenschutz zu entgehen.
Diese Vereinheitlichung der Anforderungen zum Schutz der personenbezogenen Daten soll eine Stärkung des EU-Binnenmarkts herbeiführen. Einige Öffnungsklauseln erlauben es den...
Datenschutzgrundverordnung - Artikelreihe
1. Einführung in die Datenschutzgrundverordnung
Ein überall präsentes Thema ist die Datenschutzgrundverordnung, die ab 25. Mai 2018 den Datenschutz in Europa grundlegend geändert und reformiert hat.
Als europäische Verordnung gilt sie per se geltendes Recht in allen EU-Mitgliedstaaten und muss nicht erst noch von den einzelnen Parlamenten in einem langen Gesetzgebungsprozess in nationales Recht umgesetzt werden (anders bei europäischen Richtlinien). Die EU-Vereinheitlichung auch auf diesem Rechtsgebiet ist angesichts der bestehenden Umgehungsmöglichkeiten in einigen europäischen Ländern und der damit einhergehenden unterschiedlichen Gewichtung des Datenschutzes sinnvoll.
Deutschland hält allerdings seit jeher ein hohes Niveau auf dem Gebiet des Datenschutzes, so dass...
Die Datenschutzgrund-Verordnung ist als europäisches Recht nur von den großen Unternehmen in Europa zu beachten und entsprechend umzusetzen.
Richtig
Die DSGVO gilt für alle Verarbeiter personenbezogener Daten.
Eine europäische Verordnung gilt für alle Mitgliedstaaten der EU als eigenes nationales Recht. Die DSGVO ist von allen Webseiten-Betreibern umzusetzen.
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
