Datenschutz

Datenschutz

Was ist die Datenschutzgrundverordnung (DSGVO)?

Die DSGVO ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen, Vereine und öffentliche Stellen EU-weit geregelt werden. Sie ist seit Mai 2018 in Kraft und steht als europäisches Gesetz über den Ländergesetzen.

Die Umsetzung der DSGVO wir durch die jeweiligen Landesbehörden für den Datenschutz beaufsichtigt und kontrolliert. Diese sind auch berechtigt Bußgelder (bis 4 % des Jahresumsatzes bzw. bis zu 20 Mio. €) bei Verstößen zu verhängen.

Die 7 wichtigsten Punkte der DSGVO

DSGVO 8 wichtige Punkte

Das Verzeichnis der Verarbeitungstätigkeiten, das jedes Unternehmen als Nachweis für die Aufsichtsbehörde erstellen muss
Der Nachweis der Rechtmäßigkeit der Verarbeitung, d.h. unter welchen Voraussetzungen Sie überhaupt Daten verarbeiten dürfen.
Die Erstellung einer Liste mit welchen Auftragsverarbeitern Sie zusammenarbeiten und die jeweilige Erstellung eines Auftragsverarbeitungsvertrages.
Die TOMs – eine Dokumentation Ihrer technischen und organisatorischen Maßnahmen zur Sicherheit der von Ihnen verarbeiteten Daten.
Die Erfüllung der Informationspflichten; d.h. Kunden, Lieferanten, Bewerber und Besucher einer Website sind zu Beginn des Kontakts über die Verarbeitung ihrer Daten durch Ihr Unternehmen zu informieren.
Welche Pflichten Sie bei Datenschutzverletzungen haben, und wie Sie diese einfach und korrekt erfüllen können.
Das Datenschutzhandbuch, in dem schriftlich festgelegt ist, wie Ihr Unternehmen im Datenschutz aufgestellt ist. Es dient auch als Leitfaden für Mitarbeiter und zeigt ihnen, wie sie personenbezogene Daten in Übereinstimmung mit geltenden Gesetzen und Vorschriften verarbeiten dürfen und sollen.

DMS Infos schnell finden

Bei der Umsetzung der DSGVO stellen sich gerade bei Selbständigen und kleinen Unternehmen immer wieder eine Vielzahl von Fragen.

Hier die 10 häufigsten Fragen zum Datenschutz und die Antworten des Bayerischen Landesamtes für Datenschutzaufsicht

Zunächst sollten die Inhalte von Google Maps erst dann geladen werden, wenn der Nutzer aktiv den Kartendienst in Anspruch nimmt, z.B. durch einen extra Klick. Außerdem sind Kartendienste Dritter im Rahmen der Datenschutzerklärungen der Webseite zu berücksichtigen. Da beim Aktivieren des Tools eine Verbindung zu den Servern der Drittanbieter hergestellt wird, führen solche Dienste oft zur Übermittlung personenbezogener Daten in Drittländer. Dies ist der Fall bei der Einbindung von Google Maps.

Aufgrund der Tatsache, dass durch WhatsApp weiterhin Metadaten zu den WhatsApp-Nachrichten in den USA verarbeitet werden und Adressdaten aus dem telefoneigenen Adressbuch des Nutzers ohne Einwilligung der Betroffenen und damit regelmäßig auch nicht dem Betrieb angehörende Dritter erhoben werden, ist ein datenschutzkonformer Einsatz des Messenger WhatsApp in der Regel nicht zu begründen.

Ja, denn die Nutzer müssen wenigstens über den Verantwortlichen und über die Betroffenenrechte informiert werden.

Das Risiko für die Rechte und Freiheiten betrifft immer die Grundrechte und Grundfreiheiten einer einzelnen Person. Insofern muss das Risiko für jeden einzelnen Betroffenen bestimmt werden – sollte mindestens ein Risiko dabei festgestellt werden, ist eine Meldung nach Art. 33 DS-GVO an die Behörde erforderlich.

Nach Art. 32 DSGVO muss ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden. Dieses wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Wir sehen es so, dass bei einem hohen Risiko neben der (opportunistischen) Transportverschlüsselung (einfache Einstellung am Mail Server) zusätzlich eine Inhaltsverschlüsselung (z.B. PGP, PDF mit Passphrase, ZIP-Datei mit Passwort, …) umzusetzen ist. Bei keinem hohen Risiko sehen wir eine (opportunistische) Transportverschlüsselung als ausreichend an.
Über das Auswahlverfahren hinaus dürfen Bewerberdaten (nach entsprechender Information der Bewerber) noch maximal sechs Monate aufgehoben werden, um bei Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können. Darüber hinaus ist die weitere Speicherung (nur) mit Einwilligung der Bewerber zulässig
Die Informationspflicht nach Art 13 und 14 DSGVO können auch in einer abgestuften Form (mit „Medienbruch“) erfüllt werden. In der ersten Stufe ist „weniger oft mehr“. Alle notwendigen Informationen müssen aber „irgendwo“, z.B. auf der Webseite oder als Infoblatt, bereitgehalten werden, worauf hinzuweisen ist.
Ja, aber nur wenn dem Ausweisinhaber die Möglichkeit angeboten wird, alle zur Identifizierung nicht nötigen Daten zu schwärzen (d.h. bis auf Name, Vorname, Adresse und Geburtsdatum).
Ja, das Impressum richtet sich nicht nach der DSGVO und ist keine datenschutzrechtliche Pflicht. Dennoch benötigt jede Webseite ein Impressum. Der Inhalt des Impressums richtet sich nach §5 des Telemediengesetzes (TMG)
In den meisten Fällen keine, da die Kontaktdaten der Verantwortlichen und der Zweck (Zusendung von Informationsmaterial) klar sind. Nur wenn ein abweichender Zweck beabsichtigt ist, bestehen weitergehende Informationspflichten.