Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]
mb-datenschutzsued
Zur Ausgestaltung von Entgelten in Auftragsverarbeitungsverträgen für bayerische öffentliche Stellen
In Verträgen zur Auftragsverarbeitung sind die in Art. 28 DSGVO normierten Regelungen umzusetzen. Es obliegt dem Verantwortlichen, im Rahmen von Kontrollen beim Auftragsverarbeiter sicherzustellen, dass die Datenverarbeitung beim Auftragsverarbeiter in zulässiger Weise erfolgt. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem […]
Parkraumüberwachung – Wo kann ich mich beschweren?
Parkplätze in Innenstädten sind häufig rar gesät. Wer trotzdem mit dem Auto fährt, ist schnell in der Versuchung, den Parkplatz eines Supermarkts oder Baumarkts zu nutzen, auch wenn in dem jeweiligen Geschäft gar nicht eingekauft werden soll. Einzelhändler haben hingegen ein Interesse daran, dass ihre Parkflächen den eigenen zahlenden Kunden zur Verfügung stehen und nicht […]
Wer ist Verantwortlicher für die Verarbeitung personenbezogener Daten?
Sobald unterschiedliche Stellen an einer Verarbeitung personenbezogener Daten beteiligt sind, stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Diese Beitragsreihe soll einen verständlichen Überblick zu den häufigsten Situationen geben, um die eigene datenschutzrechtliche Verantwortlichkeit mit den sich daraus ableitenden Rechten und Pflichten besser einordnen zu können. Auf eine Wiedergabe der gesetzlichen Definitionen wird nach Möglichkeit verzichtet. […]
Dark Data reduzieren – Wie weniger Datenmüll die Umwelt schützt
Es stellt sich die Frage, in welchem Umfang die immer wachsenden Anforderungen des Datenschutzrechts, insbesondere im Rahmen der strengen Datenschutzgrundverordnung (DSGVO) sowie weiterer Datenschutzgesetze weltweit den Umweltschutz unterstützen könnten. Insbesondere mit Corona wurde das Homeoffice stärker zur neuen Regel. Eine Folge davon war zwar der gesunkene CO2 Ausstoß durch weniger Berufsverkehr, jedoch stieg und steigt […]
Muss ich bei Daten meiner Geschäftspartner auch die Datenschutz-Grundverordnung beachten?
Hierfür gibt es eine eindeutige Antwort der DSGVO selbst und zwar unter Art. 1 Abs. 2 DSGVO. „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ Die DSGVO findet daher ausschließlich Anwendung, wenn es um die Daten natürlicher Personen geht. Nun muss man zunächst wissen, was natürliche […]
Auswertung der Telematikdaten von Dienstwagen durch den Arbeitgeber
Der Begriff Telematik setzt sich zusammen aus den Begriffen Telekommunikation und Informatik. Ein Telematiksystem in einem Fahrzeug erfasst permanent Daten über mobile Einheiten im Fahrzeug („On-Board Unit“) und sendet diese an einen Server, der die Systemplattform speist. Die Fahrzeughersteller können solche Daten aufbereiten und dem Arbeitgeber zur Verfügung stellen. Laut ADAC können hier unzählige Daten […]
Hinweisgeberschutzgesetz in Deutschland
Beschäftigte in Unternehmen und Behörden nehmen Missstände oftmals als erste wahr. Sie sorgen durch ihre Hinweise dafür, dass Rechtsverstöße aufgedeckt, untersucht, verfolgt und unterbunden werden können. Um die Hinweisgeberinnen und Hinweisgeber vor Benachteiligungen zu schützen, die ihnen wegen ihrer Meldung drohen und sie davon abschrecken könnten, wurde die EU-Whistleblower-Richtlinie erlassen, die eigentlich bis zum 17.12.2021 […]
BayLDA prüft die Absicherung von E-Mail-Accounts
Wie bereits hier vorgestellt, führt das Bayerische Landesamt für Datenschutzaufsicht (kurz: BayLDA) im Rahmen seiner gesetzlichen Aufgaben regelmäßig anlassbezogene und anlasslose Datenschutzprüfungen durch. Die neu gegründete „Stabstelle Prüfverfahren“ hat sich auf anlasslose Kontrollen fokussiert. Nach den beiden Verfahren „Ransomware Prävention“ und „Selbstauskünfte von Mietinteressent/innen“ wird nun eine Präventionsprüfung zum Thema Absicherung von E-Mail-Accounts durchgeführt. Im […]
Die Zulässigkeit der Leistungskontrolle
Unter welchen Voraussetzungen ist eine Leistungskontrolle durch Arbeitgeber gegenüber ihren Beschäftigten zulässig? Diese Frage wird in datenschutzrechtlichen Diskussionen recht unterschiedlich beantwortet. Arbeitnehmer und Betriebsräte vertreten häufig, dass eine Leistungskontrolle datenschutzrechtlich unzulässig sei. Arbeitgeber gehen hingegen häufig vom Gegenteil aus und nehmen eine weitgehende Zulässigkeit an. Zum Teil werden Maßnahmen, die der Leistungskontrolle dienen, auch bewusst […]
Datenschutzrechtliche Fallstricke bei Umfragen im Rahmen von Bachelor- und Masterarbeiten
Erhält man im Alter zwischen 20 und 30 unerwartet eine Nachricht von einem alten Schulfreund, ist die Wahrscheinlichkeit hoch, dass diese einen von zwei möglichen Inhalten hat: 1.) eine einmalige Investment-Gelegenheit in seinem brandneuen Business für Sporternährung, das leider in Wirklichkeit bloß ein Schneeballsystem ist, oder 2.) die Bitte, an der Online-Umfrage für seine Masterarbeit […]
Kann auch eine unvollständige Auskunft gegenüber den Betroffenen genügen?
Mit genau dieser Frage hatte sich die 4. Kammer des Verwaltungsgerichts Bremen in einer Entscheidung vom 22.06.2022 zu befassen (Az.: 4 K 1/21). Das Verwaltungsgericht Bremen kam dann zu der Entscheidung, dass in gewissen Konstellationen auch eine unvollständige Auskunft gegenüber Betroffenen einen Auskunftsanspruch gemäß Art. 15 Datenschutz-Grundverordnung (DSGVO) erfüllen kann. Was war passiert? Die Kläger […]
405 Millionen Euro Bußgeld gegen Instagram
Die irische Datenschutzbehörde (DPC) hat am Montag verkündet, dass sie gegen das soziale Netzwerk Instagram eine Strafe in Höhe von 405 Millionen Euro verhängt hat. Begründet wurde die Entscheidung damit, dass zeitweise auf der sozialen Plattform Telefonnummern und E-Mail-Adressen von Jugendlichen im Alter von 13 bis 17 Jahren veröffentlicht wurden. Ermöglicht wurde dieser Umstand dadurch, […]
Datenschutz im Krankenhaus: Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern
Der Datenschutz in Krankenhäusern wird nicht nur über die DSGVO und/oder das BDSG geregelt, sondern es finden sich auch in den Landeskrankenhausgesetzen der einzelnen Bundesländer datenschutzrechtliche Regelungen. Dies führt dazu, dass die Vorgaben zu Patientendaten ganz unterschiedlich geregelt sein können. Insbesondere in Bayern waren die Handlungsmöglichkeiten in öffentlichen Krankenhäusern bei der Beauftragung von externen Dienstleistern […]
Multi-Faktor-Authentifizierung im Homeoffice
Die Multi-Faktor-Authentifizierung (MFA), auch Multi-Faktor-Authentisierung genannt, ist eine Methode bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Gerade in Zeiten von Cloud-Systemen und Homeoffice wird diese Methode zur Sicherung der Systeme immer beliebter. Grundsätzlich muss sich der Mitarbeiter mit seinen Zugangsdaten am betroffenen System (Benutzername und Passwort) anmelden und durch einen zweiten […]