Im aktuellen „Tätigkeitsbericht Datenschutz 2022“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) werden die in der Praxis vermehrt auftretenden Auskunftsansprüche bei Identitätsdiebstählen datenschutzrechtlich analysiert und bewertet. In vielen Fällen begehren die betroffenen (geschädigten) Personen von den Onlineshops oder Dienstleistern Auskunft über die Datenverarbeitung nach Art. 15 Abs. 1 DSGVO bzw. eine Kopie nach Art. […]
Verantwortlicher
Art. 15 DSGVO: Sind Subunternehmen auch Empfänger – was gilt im Auftragsverhältnis innerhalb eines Konzerns?
Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21). Im Anschluss […]
Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!
Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]
Keine fristlose Kündigung, wenn der Chef keine Ahnung vom Datenschutz hat
Datenschutzbeauftragte genießen nach deutschem Recht einen Sonderkündigungsschutz (wir berichteten). Für eine (fristlose) Kündigung muss schon ein wichtiger Grund vorliegen. Klage eines Datenschutzbeauftragten gegen fristlose Kündigung Mit dem Fall der fristlosen Kündigung eines internen Datenschutzbeauftragten hatte sich vor Kurzem das Arbeitsgericht Heilbronn (ArbG Heilbronn, Urteil vom 29.09.2022, Az. 8 Ca 135/22) zu befassen. Das ArbG Heilbronn […]
Verarbeitung personenbezogener Daten – gemeinsame Verantwortung oder Übermittlung an eigenständigen Dritten
Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]
Wer ist Verantwortlicher für die Verarbeitung personenbezogener Daten?
Sobald unterschiedliche Stellen an einer Verarbeitung personenbezogener Daten beteiligt sind, stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Diese Beitragsreihe soll einen verständlichen Überblick zu den häufigsten Situationen geben, um die eigene datenschutzrechtliche Verantwortlichkeit mit den sich daraus ableitenden Rechten und Pflichten besser einordnen zu können. Auf eine Wiedergabe der gesetzlichen Definitionen wird nach Möglichkeit verzichtet. […]
Die neuen Standardvertragsklauseln zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern
Im Sommer 2021 veröffentlichte die EU-Kommission neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer. Etwas untergegangen und zunächst vielleicht auch wieder in Vergessenheit geraten ist dabei, dass die EU-Kommission zeitgleich auch Standardvertragsklauseln zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern (wir berichteten) veröffentlicht hat. Es handelt sich dabei quasi um ein Muster für Verträge zur Auftragsverarbeitung. […]
Wer ist verantwortlich für eine Datenverarbeitung und wer ist Auftragsverarbeiter? – Ein Abgrenzungsversuch des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat am 02.09.2020 eine erste Version einer Leitlinie zu den Konzepten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters in der DSGVO verabschiedet, die wir hier kurz vorstellen wollen. Die Leitlinie ist derzeit nur in englischer Sprache verfügbar. Die veröffentlichte, erste Version der Leitlinie ist Gegenstand einer öffentlichen Konsultation. Bis zum […]
Der Betriebsrat als Verantwortlicher
Nachdem die DSGVO im Mai letzten Jahres ihre Gültigkeit erlangt hat, ist das Verhältnis zwischen Arbeits- und Datenschutzrecht wieder in den Fokus geraten. Neben der Frage, ob Einwilligungen im Beschäftigtenverhältnis möglich sind, wird wieder diskutiert, ob der Betriebsrat ein eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist. Arbeitgeber und Betriebsräte stellen sich ganz praktische […]