+49 6201 8725124 info@suhling.biz

    Frequently asked questions

    Finden Sie die Antworten auf Ihre Fragen. Häufig gestellte Fragen zum Thema Datenschutz und IT-Sicherheit.

    Was versteht man unter einem Auftragsverarbeiter?

    Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
    1Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. 2Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

    1Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
    die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
    gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
    alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
    die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
    angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
    unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
    nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;

    dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
    Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

    1Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. 2Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
    Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
    Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
    Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
    Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
    Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
    Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

    #dsgvo28 #gdpr28

    Was versteht man unter Sicherheit der Verarbeitung?

    Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
    die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
    die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
    Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
    Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
    Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

    #dsgvo32 #gdpr32

    Was versteht man unter Rechtmäßigkeit der Verarbeitung?

    Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
    Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
    die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
    die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
    die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
    die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
    die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
    2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

    Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
    Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
    Unionsrecht oder
    das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
    Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. 4Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

    Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem
    jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
    den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
    die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
    die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
    das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

    #dsgvo06 #gdpr06

    Was versteht man unter Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person?

    Damit ist Artikel 12 der DSGVO gemeint:

    1Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. 2Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. 3Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
    1Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. 2In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
    1Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 2Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. 3Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. 4Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
    Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
    1Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. 2Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
    ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
    sich weigern, aufgrund des Antrags tätig zu werden.
    3Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

    Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
    1Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. 2Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
    Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

     

    #dsgvo12 #gdpr12

    Was versteht man unter der ISO 19011?

    Darunter versteht man den Leitfaden zur Auditierung von Managementsystemen. Korrekt ausgeschrieben heißt diese ISO
    DIN EN ISO 19011:2018

    Diese Norm ist nicht nur für Zertifizierungsgesellschaften wichtig, sondern ebenfalls für Auditoren.

    suhling tooling #19011

    Was sind angemessene Maßnahmen für Unternehmen die Mitarbeiter zu schützen?

    Unternehmen haben angemessene Maßnahmen zu ergreifen, um Mitarbeiter und Dritte vor einer möglichen Ansteckung zu schützen.

    Die verpflichtende Abfrage von Daten aller Mitarbeiter von Informationen zu Reisezielen und Reisezeiten, Gesundheitszuständen oder gar die Mitteilung über das pauschale Vorkommen von Grippe-Symptomen gegenüber anderen Mitarbeitern ist in Ermangelung einer datenschutzrechtlichen Rechtsgrundlage unzulässig.

    Es steht Unternehmen frei, strengere Regeln zum Beispiel für die Einlasskontrolle festzulegen und beispielsweise Fiebermessungen durchzuführen. Solange keine Speicherung der Messergebnisse stattfindet, unterfällt dies wohl nicht dem Datenschutzrecht. Fiebermessen dürfte aber wohl ohnehin nur eine Datenverarbeitung darstellen, wenn die Messergebnisse aufgezeichnet werden. Der bloße temporäre Messvorgang ist eventuell keine Datenverarbeitung und würde demnach nicht unter die Anforderungen des Datenschutzrechts fallen. Wenn Messdaten länger aufgezeichnet werden sollen, bedarf es einer Rechtsgrundlage für die Datenverarbeitung der systemischen Erfassung.

    Bei Torkontrollen lässt sich die Verarbeitung „normaler“ personenbezogener Daten, wie des Namens eines Besuchers, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Sofern auch Fiebermessungen vor dem Einlass stattfinden sollen, gilt das Vorerwähnte. Ohne eine Speicherung der Messergebnisse bedarf es keiner datenschutzrechtlichen Erlaubnisnorm. Wenn die Daten gespeichert werden sollen, bedarf es einer ausdrücklichen Einwilligung der betroffenen Person nach Art. 9 Abs. 1 lit. a DSGVO oder einer behördlichen Anordnung nach Art. 9 Abs. 2 lit. i DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. c BDSG.

    Die Abfrage von Risikodaten mittels einer Excelliste, ob Personen in den letzten 2 Wochen (also der max. Inkubationszeit) in einem Risikogebiert waren oder Kontakt mit einem Infizierten hatten, lässt sich in Bezug auf die „normalen“ personenbezogener Daten, wie den Namen, auf Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO stützen. Die Abfrage der Risikokriterien sollte idealerweise negativ formuliert werden (z.B.: Ich war in den letzten zwei Wochen nicht in einem der Risikogebiete) und binär mittels ja oder nein zu beantworten sein. In dieser Variante lässt sich die Angabe nämlich aller Voraussicht nach noch nicht als Gesundheitsdatum ansehen. Dann wäre auch keine zusätzliche Ausnahme nach Art. 9 Abs. 2 DSGVO erforderlich.  Die Abfrage der Risikokriterien wird auch seitens der irischen Aufsichtsbehörde als zulässig erachtet.

    Aufgrund der Risikolage einer möglichen Infektion im Falle der Erfüllung der örtlichen und personellen Risikokriterien ließe sich aus Sicht eines Arbeitgebers eine Datenverarbeitung auch von Gesundheitsdaten der Mitarbeiter wohl auf Grundlage von § 26 Abs. 3 BDSG (zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis) rechtfertigen. Eine Abwägung mit den Persönlichkeitsrechten der Mitarbeiter ist aber durchzuführen.

    suhling tooling #dsgvo09 #corona #dsgvo06

    Ist Telearbeit/Home-Office mit dem Datenschutz vereinbar und was muss dabei beachtet werden?

    In den letzten Jahren stieg ständig die Anzahl der Arbeitsplätze die aus dem Büroraum nach Hause verlagert werden. Sei es komplett oder nur teilweise im Rahmen neuer Arbeitszeitmodelle. Um den technischen und organisatorischen Anforderungen hinsichtlich des Datenschutzes und der Datensicherheit zu entsprechen, sind dazu jedoch einige Maßnahmen umzusetzen.

    Kein Telearbeitsplatz ohne schriftliche Vereinbarung

    Als Arbeitgeber oder Arbeitnehmer sollte unbedingt darauf achten werden, dass die Tätigkeit am Heimarbeitsplatz schriftlich (Betriebs-/Dienstvereinbarung) vereinbart ist. In einer solchen Vereinbarung wird der Umfang der alternierenden Telearbeit aber auch die räumlichen und technischen Voraussetzungen genau geregelt. Der Heimarbeitsplatz ist dabei genauso zu behandeln, wie der Büroarbeitsplatz in der Firma!

    suhling tooling #homeoffice #dsgvo09 #dsgvo28 #sgbx80 #dsgvo32 

    Können Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als Legitim betrachtet werden?

    Ja, die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch den Arbeitgeber oder Dienstherren um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen zählt dazu. Auch zählen insbesondere Informationen zu den Fällen:
    – in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat
    – in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

    Die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Gästen und Besuchern, insbesondere um festzustellen, ob dieseselbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen gehören auch dazu. Sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben ist ein wichtiger Faktor. Sowie auch die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen zur Information von Kontaktpersonen ist demgegenüber allerdings nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

    #dsgvo

    Darf man im Zusammenhang mit der Corona-Epidemie weiter Daten verarbeiten?

    Maßstab jeder Datenverarbeitung ist weiterhin die Erforderlichkeit für die vorgenannten Zwecke (Gesundheitsschutz der Angestellten und Bediensteten sowie die Erfüllung gesetzlicher Meldepflichten) und die Orientierung am Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).

    #dsgvo #dsgvo5

    Ist aufgrund der Corona-Epedemie eine Verarbeitung der personenbezogenen Daten zulässig?

    Aus Anlass der Corona-Pandemie kann die Verarbeitung personenbezogener Daten, die mit den üblicherweise verarbeiteten Daten des Verantwortlichen nichts zu tun hat – wie z.B. die Bitte um Angabe einer Handynummer -, erforderlich sein.

    #Corona #dsgvo

    Welche Art von Weiterbildungen muss der Datenschutzbeauftragte eines Unternehmens besucht haben, um anerkannt zu werden?

    Nach Art. 37 Abs. 5 DSGVO ist ein betrieblicher Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und besonders seines Fachwissens im Bereich des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm nach Art. 39 DSGVO obliegenden Aufgaben zu benennen. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach Erwägungsgrund 97 in erster Linie nach den von dem Unternehmen durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten.
    Darüber hinausgehende Vorgaben zum Fachkundeerwerb hat der Verordnungsgeber nicht gemacht, insbesondere hat er auch keine speziellen Ausbildungen und Abschlüsse vorgeschrieben. Vor diesem Hintergrund haben Unternehmer bei der Auswahl geeigneter Weiterbildungsveranstaltungen also einen gewissen Spielraum, müssen insoweit aber sicherstellen, dass der zu bestellende Datenschutzbeauftragte im spezifischen Unternehmenskontext fachlich und persönlich zur Erfüllung seiner Aufgaben in der Lage ist.

    #dsgvo #dsgvo37

    Wie vereinbart sich das Recht auf Löschung mit gesetzlichen Aufbewahrungsfristen?

    Gesetzliche Aufbewahrungsfristen (z. B. nach AO, HGB) gehen datenschutzrechtlichen Löschpflichten vor. Soweit solche Aufbewahrungsfristen bestehen, dürfen personenbezogene Daten nicht gelöscht werden (Art. 17 Abs. 3 lit. b DS-GVO).

    #dsgvo17 #dsgvo #aufbewahrungsfristen

    Wem ist das Verarbeitungsverzeichnis vorzulegen?

    Das Verarbeitungsverzeichnis bzw. „das Verzeichnis der Verarbeitungstätigkeiten“ muss vom Unternehmer auf Anfrage der Aufsichtsbehörde vorgelegt werden, damit die Verarbeitungsvorgänge anhand des Verzeichnisses kontrolliert werden können (Art. 30 Abs. 4 DS-GVO, Erwägungsgrund 82).

    #dsgvo #dsgvo38

    Muss die Ernennung des Datenschutzbeauftragten veröffentlicht werden?

    Der Unternehmensinhaber muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Dies kann z. B. auf der Homepage geschehen. Zudem muss er diese Kontaktdaten der Aufsichtsbehörde mitteilen (Art. 37 Abs. 7 DS-GVO). Die Mitteilung gegenüber der Aufsichtsbehörde soll über das elektronische Portal der Aufsichtsbehörde des jeweils zuständigen Landes erfolgen. Dort stehen standardisierte Formulare zur Anmeldung oder auch Abmeldung des Datenschutzbeauftragten bereit.

    #dsgvo37 #dsgvo #Datenschutzbeauftragter

    Welche Aufgaben hat der Datenschutzbeauftragte?

    Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DS-GVO festgelegt. Der Datenschutzbeauftragte muss über datenschutzrechtlichen Pflichten unterrichten und beraten, die Einhaltung der Vorgaben der DS-GVO und des BDSG-neu überwachen, die Mitarbeiter schulen und mit der Aufsichtsbehörde zusammenarbeiten.

    #dsgvo #dsgvo39

    Wie muss man seine Mitarbeiter informieren?

    Eine bedeutsame Aufgabe des Datenschutzbeauftragten stellt die Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Betriebsangehöriger dar (Art. 39 Abs. 1 lit. b DSGVO).

    Alle Betriebsangehöriger, die in Ihrem Firmierungen mit personenbezogenen Wissen, exemplarisch von Adressaten, Anbieter, Kollegen oder Bewerbern wirken, haben die DSGVO sowohl nationale Vorschriften, Gesetze und vergleichbare Richtlinien und Klauseln des Unternehmens einzuhalten!

    Auch aus den Meldepflichten der verantwortlichen Lokalität gem. Artikel 33 und 34 DSGVO ergibt sich die Notwendigkeit von geschulten Mitarbeitern um dem Schutzbedarf der Fakten entsprechen zu können.

    Neben turnusmäßigen Awarness-Maßnahmen sind Präsenzschulungen und / oder e-Learning Tools das geeignete Mittel um gleichfalls den Nachweis führen zu können.

    #dsgvo39 #dsgvo33 #dsgvo34

    Was genau ist die Verarbeitungstätigkeit und das dazugehörige Verzeichnis?

    Die Datenschutz-Grundverordnung verpflichtet nach Artikel 30 EU-DSGVO hierzu eine schriftliche Dokumentation und Übersicht über Verfahren zu führen, im Zuge deren personenbezogene Daten verarbeitet werden. In dem Verzeichnis von Verarbeitungstätigkeiten müssen wesentlichen Angaben zur Datenverarbeitung vorgetragen werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Menschen, der Vorsatz der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde völlig zur Bereitschaft zu stellen.

    Das Verarbeitungsverzeichnis gestattet den Verantwortlichen und den Datenschutzbeauftragten, die Verarbeitungstätigkeiten binnen der Initiative zu überschauen. Dies ist Voraussetzung für eine gute Überwachungstätigkeit und fördert die Nachvollziehbarkeit der internen Verarbeitungsprozesse. Die Verantwortlichen erstellen die Verarbeitungstätigkeiten, der Datenschutzbeauftragte überwacht das Verzeichnis der Verarbeitungstätigkeiten.

    suhling tooling: #dsgvo30 #gdpr30

    Wie wird mit externen Dienstleistern umgegangen?

    Im Zuge des Zusammenwirkens mit dritten Dienstleistern ist zu prüfen, ob eine Auftragsverarbeitung vorliegt. Signifikant für Auftragsverarbeitung ist, dass ein Firmen außenstehende Dienstleister hiermit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Ebenfalls wenn die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Adressaten verbleibt, haftet trotzdem genauso derjenige, der die Informationen im Auftrag verarbeitet (Verantwortlicher). Und zwar genau gegenüber dem Betroffenen, wenn er mit dem Wissen nicht gesetzeskonform vermeidet und sie exemplarisch für eigene Zwecke verarbeitet oder an Dritte weitergibt. Gleichermaßen innerhalb Datenpannen haftet ebenso der Auftragsverarbeiter.

    Ein Auftragnehmer darf lediglich mit Auftragsverarbeitern funktionieren, die „hinreichende Garantien“ dazu bieten, dass geeignete technologische und organisatorische Maßnahmen in dieser Art eingesetzt werden, dass die Verarbeitung im Einklang mit den Voraussetzungen der EU-DSGVO geschieht und die Sicherheit der Rechte der betroffenen Person eingehalten wird.

    Grundlage für die Auftragsverarbeitung ist ein schriftlicher Vertrag zwischen Verantwortlichen und Auftragsverarbeiter. Dies kann gleichwohl in einem elektronischen Format erfolgen, jedoch müssen die Voraussetzungen aus Artikel 28 DSGVO erfüllt sein. Unterschriften sind laut herrschender Meinung nicht zwingend erforderlich.

    Der Datenschutzbeauftragte ins rechtzeitig in dieses Thema einzubinden.

    suhling tooling: #dsgvo28 #gdpr28

    Ab welchen Zeitpunkt benötige ich einen Datenschutzbeauftragten?

    Die Klauseln zur Bestellpflicht für einen Datenschutzbeauftragten sind in Ausprägung. 37 DSGVO und § 38 BDSG (n.F.) enthalten. Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich grundsätzlich aus 3 Punkten:

    – Spezielle Kategorien von Daten entsprechend Artikel 9 EU-DSGVO werden verarbeitet oder

    – Die „Haupttätigkeit“ macht eine „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ erforderlich

    – es gibt (als Angestellte oder gleichfalls freie Mitarbeiter) mehr als 19 Menschen mit der automatisierten Verarbeitung personenbezogener Daten befasst.

    Sobald einer der Punkte zutrifft, wird ein Datenschutzbeauftragter benötigt. Dieser ist schriftlich als DSB zu benennen.

    suhling tooling: #dsgvo37 #gdpr37 #bdsg38 #fdpa38

    Welche Daten (über Erkrankte und Nichterkrankte) haben Leistungserbringer im Gesundheitsbereich (z. B. Krankenhäuser/Ärzte) insoweit zu erheben und an Gesundheitsbehörden zu melden?

    Die Meldepflichten von Ärzten, Krankenhäusern und anderen Einrichtungen, beispielsweise Laboren, ergeben sich insbesondere aus den detaillierten Regelungen der §§ 6, 7, 8 und 9 IfSG (Infektionsschutzgesetz) in Verbindung mit der Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“) des Bundesministeriums der Gesundheit vom 30. Januar 2020 (CoronaVMeldeV).

    Nach § 9 Absatz 1 IfSG muss die namentliche Meldung durch einen Arzt u. a. folgende Angaben, soweit vorliegend, enthalten:

    • Name und Vorname,

    • Geschlecht,

    • Geburtsdatum,

    • Anschrift der Hauptwohnung oder des gewöhnlichen Aufenthaltsortes und, falls abweichend: Anschrift des derzeitigen Aufenthaltsortes,

    • weitere Kontaktdaten,

    • Diagnose oder Verdachtsdiagnose,

    • Tag der Erkrankung, Tag der Diagnose, gegebenenfalls Tag des Todes und wahrscheinlicher Zeitpunkt oder Zeitraum der Infektion,

    • wahrscheinliche Infektionsquelle, einschließlich der zugrunde liegenden Tatsachen, in

    Deutschland: Landkreis oder kreisfreie Stadt, in dem oder in der die Infektion wahrscheinlich erworben worden ist, ansonsten Staat, in dem die Infektion wahrscheinlich erworben worden ist.

    Demnach sind Ärzte aus datenschutzrechtlicher Sicht nicht verpflichtet, ihnen bislang nicht vorliegende Informationen aus dem umfangreichen Katalog des § 9 Absatz 1 IfSG erst noch, eventuell unter beträchtlichem Einsatz von Zeit und anderen Ressourcen, zu erheben, um danach ihre namentliche Meldung nach den Vorschriften des Infektionsschutzgesetzes zu machen. Soweit es Ärzten, etwa aus medizinischen oder epidemiologischen Gründen, sachgerecht oder angezeigt scheint, bestimmte Ihnen noch nicht vorliegende Informationen zu erheben, dürfen sie dies versuchen. Selbstverständlich müssen sie dann in datenschutzrechtlicher Hinsicht u. a. prüfen, ob sie eine entsprechende Erhebungsbefugnis haben.

    Die Leistungserbringer sollten zudem überprüfen, ob die Möglichkeit einer Meldung von Gesundheitsdaten an Gesundheitsbehörden aufgrund des Infektionsschutzgesetzes in ihren jeweils erteilten Informationen gemäß Artikel 13 und 14 EU-DSGVO enthalten ist.

    suhling tooling: #dsgvo13 #dsgvo14 #CoronaVMeldeV #ifsg