Home / Aktuelles & Termine / it.sec blog

Gemäß Art. 33 und 34 Datenschutzgrundverordnung (DSGVO) ist ein Unternehmen verpflichtet, eingetretene Datenschutzverletzungen (z.B. Liegenlassen des Notebooks im Zug, E-Mail-Versand an falschen Empfänger, Hacker-Angriffe) der Aufsichtsbehörde unverzüglich zu melden und ggf. die Personen, deren personenbezogene Daten hiervon betroffen sind, zu benachrichtigen. Ein Verstoß gegen diese Melde- und Benachrichtigungspflichten ist bußgeldbewehrt.

Die Regelungen in Art. 33 und 34 DSGVO sind dabei strenger als die bisherige Regelung in § 42a BDSG, die lediglich eine Meldepflicht vorsah, wenn durch die Datenpanne besonders sensible Daten (z.B. Gesundheitsdaten oder Bankdaten) Dritten zur Kenntnis gelangt sind und den betroffenen Personen dadurch schwerwiegende Beeinträchtigungen drohen.

Mit der Datenschutzgrundverordnung muss der Verantwortliche nämlich nun jede Datenschutzverletzung der Aufsichtsbehörde melden, unabhängig davon ob die Datenschutzverletzung fahrlässig oder vorsätzlich herbeigeführt wurde oder ob dabei Unbefugten tatsächlich personenbezogene Daten offengelegt wurden oder ein Zugang zu personenbezogenen Daten nur eventuell ermöglicht wurde.

Die Meldung muss dabei unverzüglich und innerhalb von 72 Stunden erfolgen. Eine Meldung darf nur dann unterbleiben, wenn der Verantwortliche nachweisen kann, dass die betroffenen Personen durch die Datenschutzverletzung gegenwärtig und zukünftig keinen physischen, materiellen oder immateriellen Schaden (z.B. Identitätsdiebstahl oder -betrug, finanzielle Verluste, Diskriminierung, Rufschädigung) erleiden werden.

Es empfiehlt sich daher, einen entsprechenden Ablaufplan im Unternehmen zu implementieren, um auf solche Datenschutzverletzungen unverzüglich reagieren und die Fristen zur Meldung bzw. Benachrichtigung einhalten zu können.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Oftmals wird innerhalb einer Unternehmensgruppe nicht zwischen den einzelnen Unternehmen unterschieden und es werden personenbezogene Daten unüberlegt ausgetauscht, z.B. im Personalwesen oder bei der Einbindung von Kollegen aus anderen Unternehmen in den Kundensupport.

Dabei sind auch die einzelnen Unternehmen einer Unternehmensgruppe zueinander grundsätzlich Dritte. Auch die Datenschutzgrundverordnung (DSGVO) enthält kein Konzernprivileg. Sofern ein Unternehmen personenbezogene Daten, für die es verantwortlich ist, gegenüber anderen Unternehmen, die derselben Unternehmensgruppe angehören, offenlegt, muss diese Offenlegung daher datenschutzrechtlich abgesichert werden:

Der Verantwortliche kann die anderen Unternehmen, die derselben Unternehmensgruppe angehören, als Auftragsverarbeiter einsetzen und diese Auftragsverhältnisse über Verträge zur Auftragsverarbeitung absichern. Hierzu muss der Verantwortliche einen Vertrag zur Auftragsverarbeitung mit jedem Unternehmen oder mit dem Mutterkonzern, welcher wiederum die anderen Unternehmen als weitere Auftragsverarbeiter einsetzt, abschließen. Dies kann über einen Intercompany-Vertrag geregelt werden. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f) DSGVO i.V.m. der bestehenden Datenschutzvereinbarung bzw. dem Intercompany-Vertrag i.S.v. Art. 28 Abs. 3 DSGVO.

Der Datenaustausch innerhalb eines Konzerns ist durch den Erwägungsgrund 48 der DSGVO als „berechtigtes Interesse“ privilegiert. Der Verantwortliche, der Teil einer Unternehmensgruppe ist, darf daher personenbezogene Daten innerhalb der Unternehmensgruppe übermitteln, sofern die empfangenden Unternehmen dieser Unternehmensgruppe ebenso angehören, die empfangenden Unternehmen dieser Unternehmensgruppe ihren Sitz innerhalb der EU/EWR haben, es internen Verwaltungszwecken dient und im Falle einer gemeinsamen Verarbeitung eine Vereinbarung i.S.v. Art. 26 Abs. 1 S. 2 DSGVO geschlossen wurde. Im Fall der gemeinsamen Verarbeitung kann dies in den Intercompany-Vertrag aufgenommen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.

Sofern mit dem konzerninternen Datenaustausch Datenübermittlungen in Drittstaaten verbunden sind (z.B. weil ein Unternehmen seinen Sitz in den USA hat), müssen zusätzlich die Vorgaben der Art. 44 ff DSGVO beachtet werden.

Wir empfehlen, die konzerninternen Datenflüsse zu ermitteln, zu prüfen, auf welcher Rechtsgrundlage diese beruhen und etwaige damit verbundene Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau datenschutzrechtlich abzusichern.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Da die Datenübermittlung an Dritte und die dadurch bedingte Offenlegung personenbezogener Daten eine für die betroffene Person besonders belastende Datenverarbeitung darstellt, muss der Verantwortliche prüfen, ob diese Datenverarbeitung zulässig ist.

Dritte sind dabei Personen oder Stellen außerhalb des Verantwortlichen, davon ausgenommen sind die betroffene Personen selbst sowie die Auftragsverarbeiter.

Die Zulässigkeit der Übermittlung personenbezogener Daten an Dritte bestimmt sich ebenso nach Art. 6 Abs. 1 Datenschutzgrundverordnung (DSGVO). Danach ist die Übermittlung personenbezogener Daten an Dritte nur zulässig

  • mit wirksamer Einwilligung der betroffenen Person,
  • zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist,
  • zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person,
  • zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses,
  • zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt,
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten, sofern nicht schutzwürdige Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person am Ausschluss einer solchen Übermittlung überwiegen,
  • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person oder
  • zur Erfüllung hoheitlicher Aufgaben, die dem Verantwortlichen übertragen wurden.

Eine mit der Datenübermittlung verbundene Begründung gemeinsamer Kontrolle ist abzusichern über einen Joint Control-Vertrag nach Art. 26 DSGVO.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die it.sec bietet für Unternehmen eine EU-DSGVO konforme Datenschutz-Zertifizierung, das ADCERT Datenschutzsiegel, an.

Das ADCERT Siegel bietet mit Stand heute das erste (uns und den befragten Aufsichtsbehörden bekannte), anwendungsfertige, voll EU-DSGVO konforme Datenschutz-Zertifizierungsverfahren an. Es integriert sich zudem vollständig in ein ISO/IEC 27001 ISMS, kann aber auch "Stand Alone" betrieben werden.

Das Siegel bildet alle Anforderungen der aktuellen EU-Gesetzgebung (wie z.B. Management System, Privacy Impact Analyse) ab und adressiert außerdem die besonderen Anforderungen der Aufsichtsbehörden im Düsseldorfer Kreis. Konzeptionell ist es international und multiregulatorisch konzipiert – das heißt, dass auch andere Rechtsräume oder interne Zielsetzungen durch entsprechende Anforderungsdefinition leicht darstellbar sind.

Das Verfahren kann daher innerhalb und außerhalb der EU angewendet werden, um die Konformität mit der EU-DSGVO und/oder anderen Vorgaben nachzuweisen.

Ein Highlight für Kenner: das gesamte Verfahren ist gemäß der offiziellen Erweiterungsschnittstelle für Sektor-spezifische Standards (ISO/IEC 27009) entwickelt. Es lässt sich stand-alone einsetzen, aber auch als Ergänzung zu einem bestehenden ISO/IEC 27001 ISMS.

Der Vorteil liegt auf der Hand: die Herangehensweise ist mittlerweile vielerorts bekannt und vertraut, sie ist international anerkannt und entsprechend zukunftssicher.

Das Verfahren ist zwar ebenso neu, wie die zugrundeliegende Gesetzgebung, hat aber schon Kunden wie die Deutschen Post AG überzeugen können.

Mehr Informationen gibt es bei unserem akkreditierten Auditor Hrn. Witt (bcwitt@it-sec.de) oder direkt über die ADCERT mit Sitz in Berlin.

Holger Heimann
Geschäftsführer it.sec

Die EU-Justizkommissarin Vera Jourova droht mit Kündigung des Privacy Shield. Von Beginn an stand das Privacy Shield Abkommen zwischen der Europäischen Union und den USA unter Kritik.

Das Privacy Shield (Nachfolger von Safe Harbour) ist ein informelles Übereinkommen im Bereich des Datenschutzrechts, das zwischen der Europäischen Union und den USA ausgehandelt wurde. Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Jetzt soll damit eventuell schon wieder Schluss sein. Die EU-Justizkommissarin will sich Ende März mit Vertretern der neuen US-Regierung treffen um das Thema neu zu besprechen. Nach Trumps Executive Order vom 25.01.2017 werden Nicht-US-Bürger nämlich vom Schutz des Privacy Act ausgenommen. Das US-Justizministerium hat jedoch versichert, dass die USA weiter zum Privacy Shield stehe. Bei dem Termin Ende März soll nun geklärt werden, ob die bisher zugesagten Bedingungen von der USA tatsächlich eingehalten werden.

Andernfalls will die EU-Justizkommissarin das Privacy Shield-Abkommen außer Kraft setzen.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Ein Grundprinzip des Datenschutzes ist es, dass personenbezogene Daten nur solange gespeichert werden, wie man sie für die Zwecke, für die sie erhoben wurden, benötigt gemäß Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO).

Art. 17 DSGVO verpflichtet daher den Verantwortlichen, personenbezogene Daten in den Fällen des Art. 17 Abs. 1 DSGVO unverzüglich zu löschen: So sind u.a. personenbezogene Daten zu löschen, sobald die Zwecke, für welche die Daten erhoben worden sind, wegfallen. Beispiel: Sofern einem Bewerber nach Sichtung seiner Bewerbungsunterlagen eine Absage erteilt wird, benötigt man die Bewerbungsunterlagen anschließend nicht mehr.

Art. 17 Abs. 3 DSGVO sieht jedoch Ausnahmen von der Datenlöschung vor, d.h. trotz Vorliegen eines Falls gemäß Art. 17 Abs. 1 DSGVO, dürfen die personenbezogenen Daten weiterhin verarbeitet werden, u.a. wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen oder der Verantwortliche die Daten zur Geltendmachung und Ausübung von Rechtsansprüchen oder zur Verteidigung gegen Rechtsansprüche weiterhin benötigt. Beispiel: Zur Entkräftung etwaiger Diskriminierungsvorwürfe dürfen Bewerbungsunterlagen des Bewerbers noch für 3 Monate, nachdem ihm eine Absage erteilt wurde, aufbewahrt werden.

Die Datenschutzgrundverordnung (DSGVO) enthält zwar keine Definition des Begriffs "Löschen". Dennoch sollte eine Art der Datenlöschung gewählt werden, durch welche die personenbezogenen Daten nach dem Vorgang nicht mehr vorhanden oder in einer Weise unkenntlich sind, dass sie nicht mehr verwendet oder rekonstruiert werden können.

Im Rahmen der Datenlöschung treffen den Verantwortlichen zudem Informationspflichten: So muss der Verantwortliche im Verzeichnis von Verarbeitungstätigkeiten die Regellöschfristen dokumentieren, die betroffenen Personen, deren Daten er verarbeitet, über die Speicherdauer informieren und andere Verantwortliche, denen gegenüber er die Daten öffentlich gemacht hat, benachrichtigen, wenn eine betroffene Person die Löschung dieser Daten verlangt.

Da Verstöße gegen die Prinzipien in Art. 5 DSGVO sowie ein Verstoß gegen Art. 17 DSGVO bußgeldbewehrt sind, sollte jeder Verantwortliche hinsichtlich der von ihm verarbeiteten Daten die für ihn geltenden Regellöschfristen sowie die Arten der Datenlöschung bestimmen, die datenschutzgerechte Umsetzung der Datenlöschung in seinem Unternehmen überwachen und seinen Informationspflichten nachkommen.

S. Kieselmann
Beraterin für Datenschutz

Sowohl bei Arbeitgebern als auch bei Arbeitnehmern wird das Home-Office immer beliebter. Es bringt sehr viele Vorteile für beide Seiten mit sich! Jedoch sollte aus datenschutzrechtlicher Sicht so einiges beachtet werden. Um nur ein paar Punkte zu nennen, sollten sowohl Arbeitgeber als auch Arbeitnehmer in Sachen Datenschutz zusammenarbeiten und folgende Vorgaben beachten:

  • Der zur Verfügung gestellte PC/Notebook ist in einem von den anderen Wohnungsräumen klar separierten Arbeitszimmer aufzustellen, wobei das Arbeitszimmer verschließbar sein muss.
  • Der Bildschirm ist so aufzustellen, dass keine unbefugte Einsichtnahme (weder im Zuge des Betretens des betreffenden Arbeitszimmers noch durch Beobachtung durch etwaige Fenster) stattfinden kann.
  • Ordnungsgemäße Entsorgung datenschutzrelevanter Datenträger und Unterlagen, wenn diese nicht mehr benötigt werden.
  • Sollten Unterlagen mit Daten, die dem Datengeheimnis unterliegen, am häuslichen Arbeitsplatz bearbeitet werden, dürfen diese außerhalb der Telearbeit ausschließlich in verschließbaren Behältnissen gelagert werden. Dies gilt auch für den Transport von Unterlagen zwischen Dienststelle und häuslichem Arbeitsplatz.
  • Die mit Telearbeit betrauten Mitarbeiter haben für ihre betriebliche Tätigkeit im Home-Office ausschließlich IT-Komponenten (Hardware und Software) vom Arbeitgeber einzusetzen und dürfen an den Einstellungen keine Änderungen vornehmen sowie keine weiteren IT-Komponenten anschließen.
  • Auf dem PC/Notebook ist ein aktueller Virenscanner zu installieren.
  • Die Zugangs- und Zugriffspassworte sind unter Einhaltung der Komplexitätsvorschriften nach 90 Tagen zu ändern.
  • Die Bildschirmsperre wird bei einer fehlenden Aktivität von 5 Minuten automatisch aktiviert und darf nur gegen entsprechende Authentifizierung (Passworteingabe) aufgehoben werden.

Damit Ihnen datenschutzrechtlich auch im Home-Office nichts anbrennt, sollten Sie einheitliche Regelungen implementieren und diese auch regelmäßig kontrollieren. Andernfalls machen Sie sich schnell haftbar, wenn im Home-Office Datenpannen passieren. Dies kann mit In-Kraft-Treten der Datenschutzgrundverordnung im Mai 2018 richtig teuer werden.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Die Datenschutzgrundverordnung regelt die Auftragsverarbeitung europaweit einheitlich. Die neuen Regelungen orientieren sich inhaltlich weitestgehend an § 11 BDSG. Über die in Art. 28 DSGVO enthaltenen Neuerungen gegenüber dem alt Bekannten möchten wir Sie heute in unserem Blogbeitrag informieren.

Zum einen finden sich sprachliche Änderungen in der neuen Gesetzesnorm. So wird nicht mehr vom Auftragsdatenverarbeiter gesprochen, sondern lediglich nur noch vom Auftragsverarbeiter. Neu ist zudem, dass eine Datenverarbeitung im Auftrag nun auch außerhalb der Europäischen Union stattfinden kann. Der Auftragsverarbeiter hat ferner den Verantwortlichen zu unterstützen, damit dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachkommen kann. Des Weiteren muss eine Unterstützungsleistung bezüglich der Pflichten des Verantwortlichen aus Art. 32 ff DSGVO erfolgen. Diese neuen Pflichten müssen in die aktuell bestehenden Verträge zur Auftrags(daten)verarbeitung bis Mai 2018 mit aufgenommen werden.

Unabhängig vom Vertragswerk werden künftig einige neue Regelungen und Pflichten für die Auftragsverarbeiter zu beachten sein. Nach Art. 30 Abs. 2 DSGVO beispielsweise, müssen anders als nach dem BDSG auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen.

Als Unternehmen sollten Sie bereits in der aktuell bestehenden Übergangsphase Ihre bestehenden Prozesse und Verträge zur Auftragsverarbeitung überprüfen und die erforderlichen Änderungen zeitnah und zügig vornehmen. Neue Verträge sollten Sie bereits auf Grundlage der DSGVO schließen. Ein entsprechendes Muster hierzu hat it.sec bereits in deutscher und englischer Sprache für ihre Kunden erstellt.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Über das Tracking der Internetaktivitäten der Webseitennutzer mit diversen Tools werden Daten und Werte des Webseitennutzers erhoben, wie Online-Kennungen (z.B. statische und dynamische IP-Adresse, Cookie-Kennung), Standortdaten (z.B. Länderkennung) sowie sonstige Verhaltens-, Bewegungs- und Nutzungsdaten (z.B. Anzahl der Klicks), um Aspekte bezüglich persönlicher Vorlieben, Interessen, Verhalten oder Aufenthaltsort dieser natürlichen Person zu analysieren oder vorherzusagen (Profiling).

 

Dabei endet das Profiling regelmäßig mit einer automatisierten Einzelentscheidung, d.h. in personalisierter Werbung (z.B. Einkaufsvorschläge, die dem Nutzer eingeblendet werden und die sich aufgrund der Analyse der über ihn erfassten Daten und Werte bei seinen Internetaktivitäten ergeben).

 

Auch wenn über solche Tracking Tools die Betreiber von Webseiten und mobilen Applikationen (= Verantwortliche) umfangreiche Daten und Werte erheben und sehr detailliert auswerten, so dass man nicht mehr von willentlich und bewusst von den betroffenen Personen angegebenen Informationen reden kann, soll eine solche personalisierte Werbung und eine sonstige vergleichbare Individualisierung nicht das Gefährdungspotential haben, um die betroffene Person i.S.v. Art. 22 Abs. 1 DSGVO erheblich zu beeinträchtigen.

 

Die Beurteilung der Zulässigkeit des Profilings zu Werbezwecken bestimmt sich somit nicht nach Art. 22 DSGVO, sondern nach Art. 6 Abs. 1 DSGVO.

 

Das Profiling zum Zwecke der Direktwerbung kann als eine dem berechtigten Interesse des Verantwortlichen dienende automatisierte Verarbeitung personenbezogener Daten betrachtet werden gemäß Art. 6 Abs. 1 lit. f) DSGVO, jedoch dürfen die Grundrechte und Grundfreiheiten der betroffenen Personen oder ihre schutzwürdigen Interessen am Ausschluss des Profilings zu Werbezwecken nicht überwiegen.

 

Hierbei müssen die Bewertungen aus dem Telemediengesetz (TMG) bzw. der E-Privacy-Richtlinie herangezogen werden:

 

Der Verantwortliche (= Diensteanbieter) darf gemäß § 15 Abs. 1 TMG Nutzungsdaten nur erheben und verarbeiten, soweit dies erforderlich ist, um die Inanspruchnahme der Telemedien (z.B. Webseite) zu ermöglichen. Darüber hinaus (z.B. zum Zwecke der Werbung) dürfen Nutzungsdaten gemäß § 15 Abs. 3 TMG nur in pseudonymisierter Form erhoben bzw. weiterverarbeitet werden (z.B. durch Kürzung der IP-Adresse auf Länderkennung) werden.

 

Allerdings müssen die Verantwortlichen die betroffenen Personen über die von ihnen verwendeten Tracking Tools sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informieren, über ihre Rechte in Kenntnis setzen und insbesondere eine Widerspruchslösung zu jedem Tracking-Tool implementieren, damit die betroffenen Personen dem Profiling zu Werbezwecken widersprechen können gemäß Art. 21 Abs. 2, 2. HS DSGVO i.V.m. § 15 Abs. 3 S. 2, § 13 Abs. 1 TMG.

 

Sofern die Nutzungsdaten nicht pseudonymisiert werden, bedarf das Profiling zu Werbezwecken der Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a) DSGVO.

 

S. Kieselmann

 

Beraterin für Datenschutz

Profiling wird in Art. 4 Nr. 4 DSGVO wie folgt definiert: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten genutzt werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, anhand von Algorithmen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die Rechtmäßigkeit der damit verbundenen Datenverarbeitung bestimmt sich nach Art. 6 Abs. 1 DSGVO.

Der betroffenen Person steht aber ein Widerspruchsrecht gegen das Profiling, also gegen die systematische und umfassende Bewertung der über sie erfassten Daten und Werte, gemäß Art. 21 DSGVO zu.

Die betroffenen Personen müssen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO über das Bestehen eines Profiling sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informiert und auf ihr Widerspruchsrecht gemäß Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO, Art. 21 Abs. 4 DSGVO hingewiesen werden.

Sofern das Profiling zu einer automatisierten Einzelentscheidung führt, richtet sich diese Datenverarbeitung darüber hinaus nach Art. 22 DSGVO.

Eine automatisierte Einzelentscheidung liegt vor, wenn die Entscheidung ausschließlich algorithmenbasiert getroffenen wird ohne zusätzlich durch einen Menschen überprüft worden zu sein.

Eine solche automatisierte Einzelentscheidung lässt Art. 22 Abs. 2 DSGVO nämlich nur in den folgenden drei Ausnahmefällen zu:

  • Die automatisierte Einzelentscheidung ist für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, erforderlich (Art. 22 Abs. 2 lit. a) DSGVO).
  • Die automatisierte Einzelentscheidung beruht auf Unionsrecht oder dem Recht eines Mitgliedstaats (Art. 22 Abs. 2 lit. b) DSGVO).
  • Die automatisierte Einzelentscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person (Art. 22 Abs. 2 lit. c) DSGVO).

Eine automatisierte Einzelentscheidung, basierend auf besonderen Kategorien personenbezogener Daten und Werte, darf darüber hinaus gemäß Art. 22 Abs. 4 DSGVO nur stattfinden

  • mit Einwilligung der betroffenen Person gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. a) DSGVO oder
  • auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. g) DSGVO.

Eine automatisierte Einzelentscheidung, basierend auf personenbezogenen Daten und Werten minderjähriger betroffenen Personen, sollte nach Erwägungsgrund 71 Abs. 1 S. 5 DSGVO nicht erfolgen.

Auch über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung müssen die betroffenen Personen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO informiert werden und, sofern die automatisierte Einzelentscheidung auf der Einwilligung der betroffenen Person beruht, über ihr Widerrufsrecht gemäß Art. 13 Abs. 2 lit. c) DSGVO, Art. 14 Abs. 2 lit. d) DSGVO, Art. 7 Abs. 3 S. 3 DSGVO in Kenntnis gesetzt werden. Der betroffenen Person muss zudem ein Einspruchsrecht gegen die Analyseergebnisse der automatisierten Einzelentscheidung eingeräumt werden gemäß Art. 22 Abs. 3 DSGVO.

Des Weiteren muss der Verantwortliche zusätzliche technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreifen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

ADCERT Anwendbarkeit Art. 17 DSGVO Art. 26 DSGVO Art. 32 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftsrecht Automatisierte Einzelentscheidung Autsch Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Betroffenenrechte BGH Compliance Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzgrundverordnung Datenschutzverletzung Datenübermittlung Datenübermittlung in Drittstaaten Datenverarbeitung Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Konzern konzerninterner Datentransfer Löschung personenbezogener Daten Meldepflicht Meldescheine Passwörter. 2016 Personalausweiskopien personenbezogene Daten Privacy Shield Profiling Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Sony PSN Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediengesetz Tracking Tools Übermittlung personenbezogener Daten unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Videoüberwachung Vorteile Webseite Webseiten Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 42a BDSG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31