Datenschutzrecht
Schutz persönlicher Daten im digitalen und analogen Bereich.
Wie soll ein Verarbeitungsverzeichnis ausschauen und was gehört dort eingetragen?
Das Verarbeitungsverzeichnis muss folgende Informationen enthalten: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen…
Brauche ich nur ein Verarbeitungsverzeichnis oder noch andere schriftliche Unterlagen/Nachweise?
Diese Frage ist so generalisiert nicht zu beantworten. Es kommt auf die folgenden Punkte an: Falls Sie personenbezogene Daten an…
Müssen Aktivitäten (zB Newsletter „X“ am „Y“ etc.) im Verarbeitungsverzeichnis aufgezeichnet werden?
Nein, das Verarbeitungsverzeichnis soll einen allgemeinen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierfür ist der Verarbeitungszweck (zB Marketing…
Müssen Hacker-Abwehr Daten (zB IP Adressen bei DDOS-Attacken) im Verarbeitungsverzeichnis protokolliert werden?
Auch eine IP-Adresse ist ein personenbezogenes Datum und unterliegt daher der DSGVO. Dass die IP-Adresse gespeichert wird ist daher im…
Eine Ausnahme von der Verzeichnisführung im Verarbeitungsverzeichnis besteht, wenn „die Verarbeitung nur gelegentlich erfolgt“. Was ist „gelegentlich“?
Der Begriff „gelegentlich“ ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit…
Soll man die IT Dokumentation in die Dokumentation im Verarbeitungsverzeichnis aufnehmen?
Im Verarbeitungsverzeichnis müssen allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten.
Muss man im Verarbeitungsverzeichnis auch den Ordner anführen, in dem die Rechnung von dem Kunden aufbewahrt wird mit Name Adresse etc.?
Nein! Das Verarbeitungsverzeichnis soll lediglich einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierbei ist es nicht notwendig, dass…
Müssen Auftragsverarbeiter den Prozess des Verarbeitungsverzeichnisses auch dokumentieren oder reicht die Dokumentation im datenverarbeitenden Unternehmen?
Nein, auch der Auftragsverarbeiter muss ein Verzeichnis führen. Dieses unterscheidet sich jedoch im Umfang vom Verarbeitungsverzeichnis des Verantwortlichen, da der…
Müssen in einem EPU beide Verarbeitungsverzeichnisse (für Verantwortliche + Auftragsverarbeiter) von derselben Person geführt werden?
Ja, jedes Unternehmen kann für unterschiedliche personenbezogene Daten gleichzeitig Verantwortlicher und Auftragsverarbeiter sein. Ich bin beispielsweise als IT-Dienstleister Verantwortlicher im…
Kann man das Datenanwendungsverzeichnis für mehrere Firmen gemeinsam erstellen?
Grundsätzlich ist jedes Unternehmen verpflichtet ein eigenes Verarbeitungsverzeichnis zu führen. Sind die Datenverarbeitungen jedoch in den Unternehmen zum Teil ident,…
Aus meiner Datenbank generiere ich eine Excelliste mit personenbezogenen Daten, um z.B. einen oder mehrere Gesichtspunkte genauer zu analysieren. Was muss ich aus datenschutzrechtlicher Sicht bzgl. dieser Excel Datei tun/dokumentieren?
Diese Datenverarbeitung ist im Verarbeitungsverzeichnis anzuführen. Hierbei sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien…
Die einzigen personenbezogenen Daten sind die der Mitarbeiter. Müssen wir trotzdem ein Verarbeitungsverzeichnis erstellen?
Ja, denn auch die personenbezogenen Daten von Mitarbeitern werden durch die DSGVO geschützt. Darüber hinaus werden nach der derzeitigen Rechtslage…
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden oder nur muss es nur einmal erstellt werden?
Sollte sich in der Datenverarbeitung in Ihrem Unternehmen nichts ändern – beispielsweise keine neuen Datenverarbeitungen, Datenkategorien oder Empfänger hinzukommen -,…
Muss mein Outlooksystem, welches Kundendaten (Name, Tel, Anschrift) automatisch auf Handys synchronisiert, im Verarbeitungsverzeichnis verzeichnet werden?
Der genaue Vorgang ist nicht im Verarbeitungsverzeichnis anzugeben. Im Verarbeitungsverzeichnis müssen jedoch unter anderem die Kategorien von Empfängern (Auftragsverarbeiter und…
Muss ich über jedes Mail mit Kundendaten ein Verarbeitungsverzeichnis-Protokoll verfassen?
Nein, es ist nicht jede einzelne tatsächlich durchgeführte Datenverarbeitung anzugeben. Das Verarbeitungsverzeichnis dient lediglich als Überblick über die im Unternehmen…
Wie funktioniert die Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente (Geschäftsbriefe, Protokolle, etc.), die Texte und Daten beliebiger Art enthalten können?
Im Verarbeitungsverzeichnis sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien…
Muss ich ein eigenes Verarbeitungsverzeichnis für Deutschland führen?
Nein. Aufgrund des Territorialitätsprinzips gilt für Unternehmen, die eine Niederlassung in Österreich haben das österreichische Datenschutzgesetz sowie die DSGVO. Ein…
Gibt es für die Dokumentation des Verarbeitungsverzeichnisses eine Formvorschrift?
Das Verarbeitungsverzeichnis ist schriftlich zu führen. Die DSGVO lässt auch ein elektronisches Verarbeitungsverzeichnis zu. Abgesehen davon sind in der DSGVO…
Muss das Datenverarbeitungsverzeichnis öffentlich gemacht werden, oder reicht es dieses „griffbereit“ zu haben?
Nein, das Verarbeitungsverzeichnis ist ein bloß „internes“ Dokument, das lediglich der Datenschutzbehörde vorgewiesen werden muss, wenn diese danach fragt.
Datenverarbeitungsverzeichnis und die Weitergabe von Daten an Steuerberater/Rechtsanwalt (Buchhaltung, Steuerabwicklung, etc)
Im Verarbeitungsverzeichnis sind unter anderem die Kategorien von Empfängern (Auftragsverarbeiter, andere Verantwortliche, sonstige Empfänger) anzugeben. Der Steuerberater wäre daher unter…
Ich notiere Gesundheitsdaten, Namen, Adressen und Telefonnummer von Patienten schriftlich auf Papier, nur die Buchhaltung und Rechnungen laufen über den PC. Wie soll das Datenverarbeitungsverzeichnis aussehen?
Hierbei sind mehrere Punkte zu beachten: Die DSGVO findet auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer…
Muss ich als Auftragsverbeiter (IT-Dienstleister) pro Kunde ein Verfahrensverzeichnis führen oder reicht eines, wo ich die Datenzwecke, -kategorien, -typen allgemein erfasse?
Grundsätzlich muss zumindest pro Verantwortlichen ein eigenes Stammblatt geführt werden. Es gibt Meinungen in der Literatur, die bei Auftragsverarbeitern im Massengeschäft (Cloud…
Muss ich alle Quellen aufzeichnen woher ich Firmendaten (zB UST-ID Nummern) habe?
Im Verarbeitungsverzeichnis sind nicht alle Datenquellen aufzuzeichnen, allerdings muss im Rahmen der Informationspflichten bzw beim Auskunftsersuchen über die Herkunft der…
Wie protokolliere ich die Löschung eines konkreten Empfängers aus einem Newsletterverteiler, ohne die Daten in der Protokollierung zu nennen (dort zu speichern)? Und was ist mit Sicherungsbackups, in denen die Daten (noch lange) enthalten sein werden?
Im Verarbeitungsverzeichnis ist lediglich die vorgesehene Frist für die Löschung zu protokollieren. Jeder einzelne Löschvorgang muss nicht verzeichnet werden. Das…
Urlaub und Workation – Was bedeutet das für den Datenschutz?
Die Urlaubssaison steht vor der Tür. Mit auf Reisen geht heutzutage oft nicht nur das Diensthandy, sondern auch gleich das…
Automatisierte Entscheidung im Einzelfall – Anforderungen an datenschutzrechtliche Transparenz
Eine Bank in Deutschland bekam von der zuständigen Datenschutzbehörde eine Strafe in Höhe von EUR 300.000 auferlegt. Hintergrund war die…
Dürfen Website-Betreiber Google Analytics noch verwenden?
Viele Unternehmer nutzen unterschiedliche Tools der Google Ireland Ltd bzw der Google LLC („Google“) zur Analyse und Optimierung des Userverhaltens…
Verteilung von Event-Einladungen: Was darf ich, was darf ich nicht?
Mit manchen Event-Einladungen möchten Event-Manager eine breite Öffentlichkeit ansprechen. Um möglichst viele Einladungen zu versenden, würde es sich auf den…
Data Breach: Was tun bei einer Datenpanne?
Viele Unternehmen treffen erst Vorkehrungen, wenn der Data Breach bereits passiert ist. Dabei sollte bereits bevor eine Datenschutzverletzung im Raum…
Wer braucht einen EU-Vertreter für Datenschutz?
Unternehmer aus Staaten außerhalb der EU/ des EWR benötigen oft nach Art 27 DSGVO einen Vertreter in der Union. Doch…
Confirmed Opt-in
Confirmed Opt-in ist eine alternative Anmeldemethode für Newsletter Confirmed Opt-in ist eine Variante des Newsletter-Anmeldeverfahrens, die ähnlich dem Double Opt-in…
Ist fehlendes Double Opt-in ein DSGVO-Verstoß im Newsletter Marketing?
Das Double Opt-in-Verfahren ist in der Datenschutz-Grundverordnung (DSGVO) für die Newsletter-Anmeldung neuer Abonnent:innen nicht explizit vorgeschrieben. Dennoch könnte das Nichtverwenden…
Single Opt-in
Das Single Opt-in, auch einfaches Opt-in genannt, ermöglicht es Interessent:innen, sich durch Eingabe ihrer E-Mail-Adresse in ein Formular auf der…
Double Opt-in im Newsletter-Marketing
Beim Double-Opt-in, einer Methode aus dem Bereich E-Mail-Marketing speziell für Newsletter, muss ein Nutzer, der sich in einen E-Mail-Verteiler einträgt,…
Newsletter-Versand an Bestandskunden: Konformität mit der DSGVO
Im E-Mail-Marketing garantiert das Double Opt-in Verfahren, dass eine ausdrückliche Zustimmung aller Abonnenten für den Empfang von Newslettern vorliegt. Dies…
Informed Consent
Grundlage aller medizinischen Entscheidungen, Basis für den „Behandlungsvertrag“ Kompetenz: Patient muss urteilsfähig sein und die Tragweite seiner Entscheidung erkennen: Freiwilligkeit…
Der Europäische Datenschutzbeauftragte
Das Amt des Europäischen Datenschutzbeauftragten wurde 2001 geschaffen. Der Datenschutzbeauftragte hat sicherzustellen, dass alle Organe und Einrichtungen der Gemeinschaft bei…
Auskunft
Bei einer Auskunft handelt es sich um die Mitteilung über Tatsachen. Auskunft von Privatpersonen Behörden haben Auskunft nach bestem Wissen…
Auskunftei
(= Detektei), gewerbliche Auskunftserteilung über persönliche Angelegenheiten od. Vermögensverhältnisse.
Auskunftsanspruch
Zivilrecht Anspruch auf Mitteilung bestimmter Umstände durch Wissenserklärung. Sonderform ist die Rechenschaftspflicht. Erbrecht Zu nennen sind die Ansprüche des Pflichtteilberechtigten…
Ärztliche Schweigepflicht
Die Schweigepflicht des Arztes ist eine der höchsten ärztlichen Standes- und Rechtspflichten, sie ist eine wesentliche Voraussetzung für das zwischen…
Berechtigtes Interesse
Darunter ist jedes nach vernünftiger Erwägung durch die Sachlage gerechtfertigtes Interesse zu verstehen. Ein schon vorhandenes oder gar rechtskräftig festgestelltes…
Betroffener
Betroffener im weiteren Sinn ist jeder, der von einem Vorgang, einer behördlichen Massnahme berührt wird (z. B. Einziehungsbeteiligte); im engeren…
Ausweiskontrolle
Von einer Ausweiskontrolle spricht man, wenn der Personalausweise einer Person zur Feststellung ihrer Identität oder anderer auf dem Ausweis vermerkter…
Datensicherheit
Mit Datensicherheit bezeichnet man den Zweig der Datenverarbeitung der sich mit der Bewahrung von Daten vor Beeinträchtigungen, d.h. mit Fragen…
Datengeheimnis
Mit Datengeheimnis wird das geregelt Verbot für in der Datenverarbeitung Beschäftigte bezeichnet, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder…
Identitätsstreit
Von einem Identitätsstreit spricht man, bei dem Verfahren in dem ein Scheinbeklagter klarstellt, dass er nicht die Person ist, die…
Privatsphäre
Mit Privatsphäre wird der unantastbare Bereich des menschlichen Lebens bezeichnet, der dem Zugriff Anderer vollständig entzogen ist. Zur Privatsphäre gehören…
Pseudonymisierte Daten
Von pseudonymisierten Daten spricht man, wenn in einem Datensatz die zur Identifizierung einer bestimmten Person geeigneten Daten durch ein Pseudonym…
Verarbeitungsklausel
Datenschutzgesetz
Vorbeugende Maßnahmen
Muss ich als Personaler jeden Bewerber in das Verarbeitungsverzeichnis schreiben?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Wie protokolliert man alle Daten im Verarbeitungsverzeichnis?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…