Wenn personenbezogene Daten verarbeitet werden, ist ab dem 25.05.2018 die DS-GVO zu beachten. Für eine rechtmäßige Datenverarbeitung formuliert die DS-GVO verschiedene Anforderungen. Es wird dabei zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten differenziert. Für „normale“ personenbezogene Daten erwartet die DS-GVO von dem Verantwortlichen, sprich von dem Unternehmen oder der öffentlichen Einrichtung, dass die in Art. 5 formulierten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dabei stellt das Gesetz in Art. 5 Abs. 2 klar, dass der Verantwortliche für die Einhaltung dieser Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss. Rechenschaftspflicht und Grundsätze der DSGVO Unter den Grundsatz „Rechenschaftspflicht“ …

Mehr lesen

Wenn die Informationspflichten im Rahmen des Projekts „DS-GVO für Spätstarter“ ausreichend umgesetzt wurden, sollte kurzfristig eine Datenschutzorganisation eingerichtet werden. Es gibt weitere vielfältige Anforderungen, die unter Ziff. 3 „DS-GVO für Einsteiger“ und Ziff. 4 „DS-GVO für Fortgeschrittene“ in diesem Leitfaden näher beschrieben sind. Nach unserer Erfahrung kann dies nicht „nebenbei“ von jemandem mit erledigt werden, sondern es sind bestimmte organisatorische Rahmenbedingungen zu schaffen. Die Mitarbeiterinnen und Mitarbeiter, die sich um das Thema „Datenschutz“ kümmern sollen, brauchen ausreichende zeitliche und teilweise auch finanzielle Ressourcen, beispielsweise für Fortbildungen. Es ist die Entscheidung zu treffen, ob ein Datenschutzbeauftragter zu bestellen ist, und wenn ja, …

Mehr lesen

Nach den vor dem 25.05.2018 geltenden Regelungen im Bundesdatenschutzgesetz war eine Einwilligung nur wirksam, wenn sie freiwillig und informiert war. Dieses Grundprinzip ist auch durch die EU-Datenschutz-Grundverordnung (DSGVO) übernommen worden. Gemäß Art. 6 DSGVO ist die Einwilligung eine Möglichkeit, eine rechtmäßige Verarbeitung personenbezogener Daten vorzunehmen. Auch nach der DSGVO muss die Einwilligung freiwillig und bezogen auf einen bestimmten Fall informiert abgegeben werden. Die Einwilligung muss nicht immer in Schriftform erfolgen, sondern kann auch durch andere eindeutige bestätigende Handlungen der betroffenen Person, sprich des Einwilligenden, erfolgen. Insbesondere bei Online-Registrierungen oder Online-Anmeldungen wird erwartet, dass durch das Setzen eines Häkchens oder eine …

Mehr lesen

Der Europäische Gerichtshof hat in einer Entscheidung vom 05.06.2018 klargestellt, wie die datenschutzrechtliche Verantwortlichkeit bei dem Betreiben von Fanpages bei Facebook zu sehen ist. Der EuGH hat der Argumentation den Riegel vorgeschoben, dass bei dem Einsatz von Fanpages allein Facebook für die datenschutzrechtlichen Vorgaben verantwortlich ist. Deutlich weist der EuGH darauf hin, dass der Betreiber der Seite bei Facebook und damit auch bei allen anderen sozialen Medien für die Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) verantwortlich ist. Es liegt eine Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 06.06.2018 vor. Darin weist die Datenschutzkonferenz (DSK) darauf hin, …

Mehr lesen

In den Diskussionen um die Einführung der EU-Datenschutzgrundverordnung (DSGVO) richtet sich der Fokus vor allen Dingen auf die hohen Geldbußen, die in Art. 83 DSGVO festgeschrieben sind. In zwei Stufen hat der Gesetzgeber festgelegt, dass bei Verstößen gegen die DSGVO in einem Rahmen bis zu 10.000.000 oder in der zweiten Stufe bis zu 20.000.000 Euro oder für Unternehmen im Rahmen eines Bußgeldes bis 2 % des weltweiten Jahresumsatzes und in einer zweiten Stufe bis 4 % des weltweiten Jahresumsatzes Geldstrafen festgelegt werden können. Daneben darf nicht außer Acht gelassen werden, dass zusätzlich zu den Geldbußen nach Art. 83 DSGVO auch Schadensersatzansprüche nach Art. 82 DSGVO …

Mehr lesen

Die EU-Datenschutzgrundverordnung (DSGVO) könnte für Auskunfteien wie die Schufa zu einem Problem werden. Denn nicht nur sind gem. Art. 83 DSGVO hohe Bußgelder für Datenschutzverstöße vorgesehen, Art. 82 DSGVO sieht sogar Schadensersatz und erstmalig auch Schmerzensgeldansprüche für datenschutzwidrige Handlungen vor. Auch wenn Auskunfteien wie die Schufa im Regelfall wohl datenschutzkonform handeln, kommt es immer wieder einmal zu datenschutzwidrigen Vorgängen, die nunmehr mit Geldbußen und den genannten Schadensersatz- und Schmerzensgeldansprüchen geahndet werden können. DSGVO-Verstoß und damit verbundene Ansprüche der Betroffenen Der Art. 82 DSGVO ist klar und deutlich: Jeder Verstoß gegen die Verordnung kann einen Schadensersatzanspruch begründen. Hierbei ist wichtig …

Mehr lesen