Als Arbeitgeber digitale Tools einzusetzen, um den eigenen Beschäftigten Prozesse wie Zeiterfassung, Urlaubsanträge oder Reisekostenabrechnungen schnell und einfach im Self-Service zu ermöglichen, ist mittlerweile weitverbreitete Praxis. Im Normalfall ist der Anbieter der jeweiligen Software dabei Auftragsverarbeiter nach Art. 28 DSGVO – die Daten der Beschäftigten werden, soweit seitens des Dienstleisters z. B. zu Wartungszwecken im Einzelfall […]
Joint Controller
Datenschutz innerhalb einer Unternehmensgruppe
Datenübermittlungen innerhalb einer Gruppe verbundener Unternehmen oder auch innerhalb eines Konzerns (im Folgenden Unternehmensgruppe genannt) unterstehen den gleichen datenschutzrechtlichen Vorgaben wie die Übermittlung von personenbezogenen Daten an externe Unternehmen. Die DSGVO kennt insofern kein „Konzernprivileg“, was zur Folge hat, dass gerade auch für die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe die datenschutzrechtlichen Vorgaben der DSGVO […]
Verarbeitung personenbezogener Daten – gemeinsame Verantwortung oder Übermittlung an eigenständigen Dritten
Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]
Datenschutzrechtliche Vorgaben für ERP-Systeme
In vielen produzierenden Unternehmen kommen standardmäßig ERP-Systeme zum Einsatz. Ein Enterprise-Resource-Planning-System oder kurz ERP-System dient der funktionsbereichsübergreifenden Unterstützung sämtlicher in einem Unternehmen ablaufenden Geschäftsprozesse. Entsprechend enthält es Module für die Bereiche Beschaffung/Materialwirtschaft, Produktion, Vertrieb, Forschung und Entwicklung, Anlagenwirtschaft, Personalwesen, Finanz- und Rechnungswesen, Controlling usw., die über eine (in Form einer relationalen Datenbank realisierte) gemeinsame Datenbasis […]
Die (gemeinsame) Verantwortlichkeit im Rahmen einer klinischen Studie
Der Durchführung einer klinischen Studie gehen in der Regel mehrjährige Forschungstätigkeiten voraus. Ein großer Teil der Arbeit ist getan und eine klinische Studie soll die gewünschten Ergebnisse zur Wirkung und Wirksamkeit des Medikaments bringen. Auf dem Weg heraus aus dem Labor und hinein in die Klinik wird der Datenschutz ein stetiger Begleiter einer jeden klinischen […]
Gemeinsame Verantwortlichkeit von YouTube & Co: Gibt es Fortschritte?
In der Beratungspraxis entstehen nicht selten Abgrenzungsprobleme zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit. Je nachdem, ob und wie viele Parteien dabei involviert sind, welche Daten verarbeitet werden, wer dabei die Verantwortung trägt und so weiter, schwingt das Pendel mal zur einen, mal zur anderen Seite. So verhält es sich beispielsweise auch mit der Nutzung eines YouTube-Kanals. […]
Who is the controller for data processing and who is the processor?
An attempt at delimitation by the European Data Protection Board On 2 September 2020, the European Data Protection Board (EDPB) adopted a first version of a guideline on the concepts of data controller and processor in the GDPR, which we would like to briefly present here. The guidelines are currently only available in English. The […]
EuGH-Entscheidung zur gemeinsamen Verantwortlichkeit bei Datenverarbeitung durch Webseitenplugins
Fashion ID – und der „Webseitenplugin“-Button[1] Am 29.07.2019 verkündete der Europäische Gerichtshof (EuGH) sein Urteil in der Rechtssache C‑40/17 (Fashion ID). In diesem Vorabentscheidungsverfahren sollte der EuGH aufgrund eines Vorlagebeschlusses des Oberlandesgerichts Düsseldorf von Januar 2017 (Beschluss vom 19.01.2017, I-20 U 40/16) im Hinblick auf Webseitenbetreiber und die Einbindung sog. Plugins unter anderem Fragen zur […]
Joint Controller – Vertrag von der Stange?
Mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) gab es eine Reihe von Neuerungen – eine wesentliche betraf den Bereich „Gemeinsam für die Verarbeitung Verantwortliche, kurz Joint Controllership, vgl. Art. 26 DSGVO“. Wir berichteten bereits über diese Rechtsfigur und die dazugehörigen gesetzlichen Voraussetzungen, einschließlich der von der Datenschutzkonferenz bereitgestellten Liste von Anwendungsfällen sowie über die Abgrenzungskriterien zur Auftragsverarbeitung. […]
Office 365 – neuer Datenschutz-GAU für Microsoft?
Ende 2016 war bekannt geworden, dass Microsoft bei Windows 10 in erheblichem Maße Ereignisdaten aus der Nutzung von Windows 10 an eigene Server weiterleitet. Sinn dieser Datenweitergabe ist die Weiterentwicklung von Windows durch Verfolgung von Fehler- und Problemsituationen in Echtzeit. Wir berichteten darüber. Man kann bei Windows 10 diese Datenübertragung zwar jetzt abschalten, hat dann aber […]
Facebook Fanpagebetrieb – Es bewegt sich was!
Hinsichtlich des Betriebes von Fanpages gibt es Neuigkeiten von Seiten der Aufsichtsbehörden (wir berichteten am 11. September) und von Seiten Facebooks. Zur Erinnerung Vor einiger Zeit hat sich der Europäische Gerichtshof (EuGH) mit Urteil vom 05.06. zur Frage geäußert, inwieweit Seitenbetreiber für die Datenverarbeitung auf Ihrer Facebook-Fanpage verantwortlich sind und welche Verantwortlichkeit Facebook als Plattformbetreiber […]
Joint Control bei der Arbeitnehmerüberlassung- Eine datenschutzkonforme Lösung?
Personaldienstleister stehen aktuell vor der Frage, ob bei einer Arbeitnehmerüberlassung aus datenschutzrechtlicher Sicht ein Auftragsverarbeitungsvertrag abgeschlossen werden muss? Gemäß § 1 Abs. 1 S. 2 Arbeitnehmerüberlassungsgesetz (AÜG) werden Arbeitnehmer zur Arbeitsleistung überlassen, wenn sie in die Arbeitsorganisation des Entleihers eingegliedert sind und seinen Weisungen unterliegen. Voraussetzung hierfür ist das Bestehen eines Arbeitsverhältnisses zwischen dem Leiharbeitnehmer […]