Gem. Art. 32 DSGVO ist das Unternehmen für die Sicherheit der Verarbeitung verantwortlich. Ausdrücklich ist in Art. 32 Abs. 1 lit. c) DSGVO geregelt, dass zu der Sicherheit der Verarbeitung auch eine rasche Wiederherstellung des Computersystems und IT-Infrastruktur gehört. Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen und technischen Zwischenfall rasch wiederherzustellen, muss sichergestellt werden, und diese Fähigkeit ist entsprechend nachzuweisen. Um einen solchen Nachweis zu erbringen, wird im Unternehmen ein Notfallplan zu erstellen sein. Ein Notfall kann beispielsweise eintreten, wenn Netzwerkkomponenten oder ein Server ausfallen. Auch ein Feuer, ein Einbruchsdiebstahl oder der Wegfall der Stromversorgung können solche …

Mehr lesen

Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 kam es in Deutschland bis jetzt nur vereinzelt zu Bußgeldern. Nun aber wurde ein weiterer Fall aus Dezember 2018 bekannt. Das kleine Unternehmen Kolibri Image wurde aufgrund eines Verstoßes gegen Artikel 28 Absatz 3 DSGVO von der Datenschutzbehörde aufgefordert, einen Bußgeldbetrag von 5000 Euro zu zahlen. Der Vorfall Ausgangssituation für die Geldstrafe war eine E-Mail des Unternehmens an den Hessischen Beauftragten für den Datenschutz im Mai 2018. Das Unternehmen bat um Rat bezüglich eines beauftragten Dienstleisters, der Kundendaten verarbeitete, jedoch trotz mehrfacher Anfrage keinen Vertrag zur Auftragsverarbeitung aufgesetzt hatte. Daraufhin antwortete …

Mehr lesen

Uns liegt eine Abmahnung der Wettbewerbszentrale vor, die einen Verstoß gegen die DSGVO beanstandet. Die Zentrale zur Bekämpfung unlauteren Wettbewerbs Frankfurt am Main e. V. (Wettbewerbszentrale) verfolgt offensichtlich auch Verstöße gegen die DSGVO. Dabei nimmt die Wettbewerbszentrale Bezug auf eine Information eines Dritten, der Empfänger eines E-Mail-Newsletters war. Von dem Dritten wird behauptet, dass eine Abmeldung von dem Newsletter nicht umgesetzt worden sei. In der Abmahnung wird darauf verwiesen, dass nach dem § 12 Abs. 1, 8 Abs. 3 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) die Wettbewerbszentrale Abmahnungen aussprechen darf und Klagen erheben darf. Es wird weiterhin auf § 3 Abs. 1 Nr. 2 des Unterlassungsklagengesetzes verwiesen. Die von …

Mehr lesen

Das hanseatische Oberlandesgericht hat in einem Urteil vom 25.10.2018 (Az. 3 U 66/17) zu der Frage Stellung genommen, inwieweit das Wettbewerbsrecht auf Vorschriften der DSGVO zugreifen kann. In dem Rechtsstreit, der dem 3. Zivilsenat des OLG Hamburg vorlag, ging es um zwei Anbieter für Therapieallergene für die spezifische Immuntherapie. In dem Klageverfahren ging es darum, ob die datenschutzrechtlichen Vorschriften nach altem Recht und auch nach neuem Recht zu beachten sind. Diese Situation trat dadurch ein, dass das Gerichtsverfahren zwar im alten Recht startete, nunmehr aber im neuen Recht zu Ende ging. Insbesondere wurde argumentiert, dass nach Inkrafttreten der DSGVO am 25.05.2018 die …

Mehr lesen

Für die Schulungen von Beschäftigten ist die Unternehmensleitung verantwortlich. Zwar soll gem. Art. 39 Abs. 1 lit. b) DSGVO der betriebliche Datenschutzbeauftragte die Strategien des Verantwortlichen bzgl. der Schulung von Mitarbeitern überwachen. Dies führt aber nicht dazu, dass er für die Durchführung der Schulung verantwortlich ist. Die Verantwortung bleibt bei der Geschäftsführung. In der Praxis wird häufig die Durchführung von Mitarbeiterschulungen dennoch an den betrieblichen Datenschutzbeauftragten delegiert. Dies ist auch sinnvoll, da dem Datenschutzbeauftragten gem. Art. 39 Abs. 1 lit. a) DSGVO die Unterrichtung und Beratung von Beschäftigten auferlegt ist. Dazu muss ein Unternehmen dem betrieblichen Datenschutzbeauftragten ausreichend Ressourcen und Zeit zur Verfügung stellen. Die Mitarbeiter müssen …

Mehr lesen

In vielen Unternehmen ist eine Videoüberwachung installiert. Die im Rahmen einer Videoüberwachung verarbeiteten und gespeicherten personenbezogenen Daten unterliegen ebenfalls den gesetzlichen Anforderungen der DSGVO. Ergänzend wurde in § 5 BDSG eine Neuregelung geschaffen, die die Videoüberwachung in öffentlich zugänglichen Räumen betrifft. Grundsätzlich ist eine Videoüberwachung zulässig, um beispielsweise das Hausrecht wahrzunehmen oder weitere berechtigte Interessen zu verfolgen. Dazu gehört beispielsweise auch die Vermeidung von gefährlichen Situationen in dem Unternehmen. Für eine Videoüberwachung ist ein Verzeichnis der Verarbeitungstätigkeiten zu stellen. In diesem Verzeichnis der Verarbeitungstätigkeiten sind die verschiedenen Videokameras mit den Sichtausschnitten zu dokumentieren. Aus dem Verzeichnis der Verarbeitungstätigkeiten soll erkennbar …

Mehr lesen

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Rechtsgrundlage für die Datenverarbeitung Für „normale“ personenbezogene Daten sind die verschiedenen Rechtsgrundlagen in Art. 6 DSGVO aufgeführt. Für besondere Kategorien personenbezogener Daten, unter anderem Gesundheitsdaten, sind die Rechtsgrundlagen in Art. 9 DSGVO aufgeführt. Einwilligung als Rechtsgrundlage Eine zentrale Rolle spielt dabei die „Einwilligung“. Gem. Art. 6 Abs. 1 lit. a) DSGVO kann mit einer Einwilligung die Zustimmung und die Rechtsgrundlage für die Verarbeitung personenbezogener Daten geschaffen werden. Gleiches gilt nach Art. 9 Abs. 2 lit. a) DSGVO. Auch dort kann eine betroffene Person in die Verarbeitung besonderer Kategorien personenbezogener Daten ausdrücklich einwilligen. Einzelheiten zur Einwilligung sind zum einen in Art. 7 DSGVO geregelt, zum anderen …

Mehr lesen

Übersicht DSGVO In jedem Unternehmen werden verschiedene personenbezogene Daten verarbeitet. Seit dem 25.05.2018 ist die DSGVO zu beachten. Die DSGVO formuliert verschiedene Anforderungen und differenziert zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten. Dabei ist es aus datenschutzrechtlicher Sicht zunächst einmal nicht erheblich, ob wenige oder viele personenbezogene Daten verarbeitet werden, ob ein Unternehmen klein, mittelständig oder groß ist. Für alle Unternehmensgrößen gelten die gleichen rechtlichen Anforderungen. Dies wird teilweise als ungerecht empfunden, erleichtert aber die Erstellung eines Leitfadens und die Erstellung von Mustern, da die Anforderungen überall gleich sind. Personenbezogene Daten sind in Art. 4 Nr. 1 …

Mehr lesen

Der Wohnungsmarkt ist besonders in den Großstädten heute hart umkämpft. Ist man auf der Suche nach einer Wohnung, sind umfangreiche Selbstauskünfte keine Seltenheit mehr. Doch ist man als potenzieller Mieter verpflichtet, wirklich alles von sich bekannt zu geben? Rechtsgrundlage nach der DSGVO Es ist nachvollziehbar, dass Vermieter vor der Vermietung ihrer Wohnungen persönliche Daten ihrer Interessenten erfragen. Die verwendeten Fragebögen übersteigen jedoch häufig das zulässige Maß. Generell muss ein Vermieter ein berechtigtes Interesse an der Beantwortung der Fragen haben. So dürfen nur Daten eingefordert werden, die eine tatsächliche Relevanz für das potenzielle Mietverhältnis haben. Darüber hinaus müssen die Interessen …

Mehr lesen

Der Datenschutz ist ein immer wichtiger werdender Teil nicht nur der Rechtsrealität, sondern auch des täglichen Lebens. Der Datenschutz ist dabei jedoch nicht allein für natürliche Personen äußerst bedeutsam – grade im Wirtschaftsleben ist es wichtig, dass Unternehmen die datenschutzrechtlichen Regelungen einhalten. Werden Normen des Datenschutzes verletzt, so können sogar Geldstrafen folgen. Doch nicht immer kann schnell und zweifelsfrei festgestellt werden, ob die Maßnahmen, die hinsichtlich des Datenschutzes ergriffen werden, überhaupt ausreichen, um die rechtlichen Vorgaben einzuhalten. Um dieser Unsicherheit entgegen zu wirken, findet sich im Gesetz die Möglichkeit des sog. Datenschutzaudit. In Deutschland regelt die DSGVO und auf …

Mehr lesen