Die Datenschutzgrundverordnung war von Anfang an ein heikles Thema und wurde scharf kritisiert. „Es träfe die Falschen“ hatte man damals oft vernehmen können. Dennoch wurde sie durchgesetzt, doch als was hat sich die Verordnung entpuppt?
Trotz harscher Kritik und Schwarzmalerei scheint sich entsprechend wenig geändert zu haben, den Alltag hat es also offenbar nicht wirklich verändert.
Doch warum wurde damals so heftig aufgeschrien?
Das Problem war nicht die Verordnung selbst, sondern das „Überbringen der Nachricht“ – in vielen Medien, vor allem in sozialen Netzwerken, wurden doch die Intentionen und Ziele zum Teil falsch bzw. nur...
Die Datenschutzgrund-VO schreibt dann die Bestellung eines Datenschutzbeauftragten nicht vor, wenn das Unternehmen weniger als 10 Mitarbeiter hat. Nur die "Großen" müssen einen Datenschutzbeauftragten vorweisen, da diese Unternehmen regelmäßig umfangreich Daten verarbeiten. Meldungen oder Veröffentlichungen über den bestellten Datenschutzbeauftragten sind jedoch nicht erforderlich.
Richtig
Datenschutzbeauftragter bei besonderer Datenverarbeitung
Die DSGVO fordert einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in "einer umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen" besteht oder das Unternehmen umfangreiche sensible Daten oder Daten über Straftaten verarbeitet. Die Kontaktdaten des Datenschutzbeauftragten sind der Datenschutzbehörde mitzuteilen.
Auch wenn sich viele wahrscheinlich gefragt haben, wann es denn endlich soweit ist, hat wohl keiner erwartet, dass es ein Unternehmen wie Knuddels treffen würde. Unser Tipp wäre ja Facebook gewesen, nachdem diese wegen des WhattsApp-Skandals ja regelrecht darum gebeten hatten. Doch Knuddels? Nein, damit hat nun wirklich niemand gerechnet.
Dem Unternehmen wurde vorgeworfen, personenbezogene Daten nicht ausreichend geschützt zu haben. So wurden im Juli diesen Jahres Passwörter, Pseudonyme und E-Mail-Adressen gehackt, weil Knuddels diese nicht ausreichend schützen ließ. Im September kam dann raus, dass rund 808.000 E-Mail-Adressen, 1.872.000 Pseudonyme und 330.000 Passwörter betroffen sind. ´Ne ganz...
Facebook - ein Unternehmen, dass in Sachen Datenschutz hinhalten will
Nachdem im Mai diesen Jahres die DSGVO in Kraft trat, hatte sich der ein oder andere wahrscheinlich schon gefragt, wie die großen Datenkraken mit Sache umgehen würden. Schließlich ist es ja kein Gerücht mehr, dass Datenhandel bei Großkonzernen mittlerweile sehr beliebt zu sein scheint.
Und so ist es auch kein Wunder, dass trotz DSGVO einfach auf gut Glück weiter gemacht wird. Denn auch wenn ein Recht auf Widerspruch der Datenweitergabe besteht, scheint es immerhin (für Facebook) eine kleine Grauzone im Gesetz zu geben. So kann man die Frist zur Verarbeitung von Widersprüchen –
Das Recht am eigenen Bild nach Inkrafttreten der DSGVO
Das OLG Köln hat sich in seinem Beschluss vom 08.10.2018 zu der Frage geäußert, ob Bilder und Berichterstattungen über Prominente gegen die DSGVO verstoßen.
Gemäß dem deutschen Kunsturhebergesetz (KUG) sind Bildveröffentlichungen von Prominenten auch ohne dessen Zustimmung erlaubt. Bei der oft mangelnden Wahrheit in der Berichterstattung über den Promi, musste die Grenze der Persönlichkeitsverletzung bisher nur im Rahmen der Pressefreiheit eingehalten werden. Dabei kam es darauf an, ob der Text einen Sachgehalt hat oder ob er nur dazu dient, die Neugier zu wecken. Je größer dabei der Informationswert, desto mehr musste das...
Dass die DSGVO seit ihrem Release viele Menschen verwirrt hat, ist wohl kein Geheimnis. Vor allem aber stellt sich die Frage, ob Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden können.
LG Bochum - kontra Abmahnung
In einem Fall vor dem Landgericht Bochum (Urteil vom 07.08.2018; Az.: I-12 O 85/18) musste der Verstoß gegen Art. 13 der DSGVO, den ein Mitbewerber abmahnte, geprüft werden. Es fehlten die Informationspflichten der DSGVO in der Datenschutzerklärung: der Name und die Kontaktdaten des Verantwortlichen sowie ggfs. seines Vertreters bzw. ggf. die Kontaktdaten des Datenschutzbeauftragten, die Speicherdauer der personenbezogenen Daten bzw.
Sind massenhafte Abmahnungen durch Mitbewerber zu befürchten?
Abmahnungen sind im Grundsatz dann berechtigt, wenn ein Rechtsverstoß vorliegt. Dabei werden Abmahner vor allem einen Blick auf die Datenschutzerklärungen werfen. Datenschutzerklärungen sind auf Webseiten, die nicht ausschließlich persönlichen oder familiären Zwecken dienen, verpflichtend.
Denn sobald ein Besucher die geschäftlich betriebene Webseite aufruft, werden Daten (wie z. B. über Cookies) verarbeitet.
Bereits in dem Moment des Anklickens der Webseite sind alle Informationen an den Webseitenbesucher im Zuge der Datenschutzerklärung zu übermitteln. Keine Datenschutzerklärung auf der Webseite zu führen ist übrigens nicht die Lösung, da dies anhand der bereits...
Die DSGVO verpflichtet vor allem zur Übermittlung von Informationen zu der vorgenommenen Datenverarbeitung. Diese Verarbeitungen müssen dokumentiert und den Aufsichtsbehörden auf Verlangen vorgelegt werden. Vorgelagerte Pflichten bei der technischen Gestaltung der Erhebung der Daten gibt es nicht.
Richtig
Data Protection by Design vor Beginn der Datenverarbeitung
Vor Beginn der Datenerhebung muss eine Planung der Datenerhebung ("Data Protection by Design") mit einer Gestaltung der Technik durch datenschutzfreundliche Voreinstellungen ("Data Protection by Default") stattfinden nach Art. 25 DSGVO, damit nur solche Daten überhaupt erhoben werden, die vom (legitimen) Zweck umfasst sind.
Im Rahmen der DSGVO dürften personenbezogene Daten verarbeitet werden. Voraussetzung hierfür ist lediglich, dass die Sicherheitsbestimmungen und andere Grundsätze, wie die Datenminimierung eingehalten werden - und los gehts! Dann können alle Daten von Personen verarbeitet werden.
Richtig
Grundsatz des Verbots der Datenverarbeitung
Die DSGVO verbietet im Grundsatz die Verarbeitung jeglicher personenbezogener Daten. Die Verarbeitung der Daten ist gemäß Art. 6 DSGVO nur dann erlaubt, wenn die betroffene Person dazu ihre Einwilligung erteilt hat oder eine Rechtsvorschrift dies erlaubt oder anordnet (Verbotsprinzip mit Erlaubnisvorbehalt).
Datenschutzgrundverordnung - Artikelreihe
8. Erläuterungen zur Checkliste
Die Checkliste wird zum besseren Verständnis in einigen Punkten noch noch weiter erläutert:
sichere Datenverabeitung
Die Daten dürfen nicht anders verarbeitet werden, als eine angemessene Sicherheit der personenbezogenen Daten ausreichend gewährleistet ist. Im Wege von technischen (z.B. Schutz durch Passwörter) und organisatorischen Maßnahmen (z.B. Verschließen von Räumlichkeiten) muss sichergestellt werden, dass Unbefugte keinen Zugang zu den Daten erhalten können.
Art. 25 DSGVO erlegt dem Verantwortlichen Pflichten zum Datenschutz durch die Wahl der Technik sowie durch datenschutzfreundliche Voreinstellungen auf. Der Verantwortliche soll durch technische und organisatorische Maßnahmen die Vorgaben der DSGVO umsetzen. Auch hier taucht das Gebot...
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder indentifizierbare natürliche Person beziehen. Die Verarbeitung der Daten bedeutet beispielsweise das Erheben, das Speichern, den Abgleich, das Auslesen usw.
⇒ Check 1: Verarbeiten Sie personenbezogene Daten? (z. B. in der Buchhaltung, im Online-Geschäft, im Newsletter-Verteiler, Arbeitnehmerdaten, Fotos, Videos, ...)
2. Die Verarbeitung der Daten darf nur zu dem vertraglich vereinbarten, gesetzlich festgelegtem oder zu dem in Einwilligung genannten Zweck...
Datenschutzgrundverordnung - Artikelreihe
6. Informationspflichten gemäß Art. 13 und Art. 14 DSGVO, II. Teil
Art. 13 DSGVO regelt den Umfang der Informationspflichten des Verantwortlichen gegenüber der betroffenen Person, wenn die personenbezogenen Daten bei der betroffenen Person erhoben werden, was hier im Detail nachgelesen werden kann. Wird eine Datenverarbeitung zu einem anderen Zweck als ursprünglich angegeben durchgeführt, sind wiederum Informationen von dem Verantwortlichen an den Betroffenen zu übermitteln. Allerdings scheidet eine Informationspflicht generell aus, "wenn und soweit die betroffene Person bereits über die Informationen verfügt" (Art. 13 Abs. 4 DSGVO).
Die aktive Einwilligung in die Verwendung von Cookies ("Cookie-Banner") wird auch in Zukunft keine Pflicht für die Websiten-Betreiber. Es genügt unzweifelhaft die Information über die Verwendung von Cookies in der Datenschutzerklärung. Es genügt daher, eine entsprechende Klausel innerhalb der Datenschutzbelehrung zu formulieren und für die Nutzer der Webseite klar und eindeutig lesbar bereitzuhalten.
Richtig
Einbindung von Cookies über Cookie-Banner sicherer
Die Einholung einer aktiven Einwilligung für die Nutzung von Cookies ist in jedem Fall sicherer. In dem Positionspapier der Datenschutzbehörden des Bundes und der Länder heißt es: "...dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung...
Datenschutzgrundverordnung - Artikelreihe
5. Informationspflichten gemäß Art. 13 und Art. 14 DSGVO, I. Teil
Art. 12 DSGVO beinhaltet als "Generalklausel" die Vorgaben für die Unterrichtung der betroffenen Personen, also derjenigen Personen, von welcher die personenbezogenen Daten verarbeitet werden. Über die Definitionen der "personenbezogenen Daten" sowie "die betroffene Person" kann hier nachgelesen werden.
a) "Verarbeitung" personenbezogener Daten
Zur Begrifflichkeit der "Verarbeitung" von Daten nennt Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
Datenschutzgrundverordnung - Artikelreihe
4. Transparenz und Verhaltensanforderungen
Welche Daten dem Schutz der Datenschutzgrundverordnung unterliegen, war Thema des letzten Artikels. In diesem Artikel wird es um die Verhaltensspflichten des Verantwortlichenn bei der Erhebung der Daten, und damit um eine erweiterte Pflicht, die ab dem 25.05.2018 aus der DSGO für die Unternehmen entsteht, gehen.
"Verantwortlicher" ist jede natürliche oder juristische Person oder Behörde, Einrichtung usw. und damit jede Stelle, die Daten für sich verarbeitet, also z. B. Daten erhebt, speichert und weitergibt. Die Datenverarbeitung kann auch an Auftragsverarbeiter, die die personenbezogenen Daten im Auftrag des Veranwortlichen verarbeiten, abgegeben sein.
Nachdem die Ziele und die neue Ideen der Datenschutzgrundverordnung dargestellt wurden, wird es nun konkret. Der sachliche Anwendungsbereich der DSGVO, nämlich welche Datenverarbeitungen überhaupt betroffen sind, soll näher beleuchtet werden. Denn längst nicht alle Daten sind von der Datenschutzgrundverordnung betroffen.
a) Gegenstand der DSGVO
Die Datenschutzgrundverordnung findet gemäß Artikel 3 Absatz 1 DSGVO Anwendung auf die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter:
"Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt."
Datenschutzgrundverordnung - Artikelreihe
2. Neuschöpfung des Datenschutzes
Eine einheitliche Datenschutzgrundverordnung wird es künftig Unternehmen ermöglichen, die Datenverarbeitung in allen 28 Mitgliedstaaten einheitlich zu regeln. Umgekehrt gelten für Unternehmen, die in den 28 Mitgliedstaaten ansässig sind bzw. die Daten von EU-Bürgern verarbeiten, die gleichen gesetzlichen Regelungen und die gleichen Sanktionen.
Damit wird es durch ein einheitlich hohes Datenschutzniveau künftig nicht mehr möglich sein, den hohen Datenschutzanforderungen der Europäischen Union durch die Verlagerung der Firmensitze in bestimmte EU-Staaten mit eher lockerem Datenschutz zu entgehen.
Diese Vereinheitlichung der Anforderungen zum Schutz der personenbezogenen Daten soll eine Stärkung des EU-Binnenmarkts herbeiführen. Einige Öffnungsklauseln erlauben es den...
Datenschutzgrundverordnung - Artikelreihe
1. Einführung in die Datenschutzgrundverordnung
Ein überall präsentes Thema ist die Datenschutzgrundverordnung, die ab 25. Mai 2018 den Datenschutz in Europa grundlegend geändert und reformiert hat.
Als europäische Verordnung gilt sie per se geltendes Recht in allen EU-Mitgliedstaaten und muss nicht erst noch von den einzelnen Parlamenten in einem langen Gesetzgebungsprozess in nationales Recht umgesetzt werden (anders bei europäischen Richtlinien). Die EU-Vereinheitlichung auch auf diesem Rechtsgebiet ist angesichts der bestehenden Umgehungsmöglichkeiten in einigen europäischen Ländern und der damit einhergehenden unterschiedlichen Gewichtung des Datenschutzes sinnvoll.
Deutschland hält allerdings seit jeher ein hohes Niveau auf dem Gebiet des Datenschutzes, so dass...
Die Datenschutzgrund-Verordnung ist als europäisches Recht nur von den großen Unternehmen in Europa zu beachten und entsprechend umzusetzen.
Richtig
Die DSGVO gilt für alle Verarbeiter personenbezogener Daten.
Eine europäische Verordnung gilt für alle Mitgliedstaaten der EU als eigenes nationales Recht. Die DSGVO ist von allen Webseiten-Betreibern umzusetzen.
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
