Home / Aktuelles & Termine / it.sec blog

Die Datenschutzgrundverordnung (DSGVO) ist nun fast ein Jahr alt. Die anfängliche Aufregung in Europa war spürbar, doch es ist etwas ruhiger geworden um die DSGVO. Aktuell werden aber auch nicht EU ansässige Firmen langsam auf die DSGVO aufmerksam.

 

Unternehmen, die keinen Firmensitz in der EU haben, aber ihre Produkte oder Dienstleistungen in der Europäischen Union anbieten, müssen – sofern sie personenbezogene Daten von in der EU befindlichen Personen verarbeiten – einen Vertreter in der Union bestellen (Art. 27 Abs. 1 DSGVO). Durch das im Rahmen der DSGVO eingeführte sogenannte Marktortprinzip gilt die Verordnung nämlich nicht mehr nur für Unternehmen, die innerhalb der Europäischen Union niedergelassen sind. Vielmehr wird darauf abgestellt, ob Unternehmen, unabhängig vom Firmensitz, ihre Waren oder Dienstleistungen innerhalb der EU anbieten und dabei personenbezogene Daten von in der EU befindlichen Personen verarbeiten. In welchem Land tatsächliche die Verarbeitung der Daten erfolgt ist dabei nicht relevant.

 

Dieser EU-Vertreter ist die Anlaufstelle für alle Fragen zum Datenschutz von betroffenen Personen sowie der Kontakt für Datenschutz-Aufsichtsbehörden und hat die Aufgabe, den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen nach der EU-DSGVO obliegenden Pflichten zu vertreten. Der EU-Vertreter kann sowohl eine natürliche als auch eine juristische Person sein.

 

Auch die Aufsichtsbehörden haben bereits darauf aufmerksam gemacht, dass Sie auch für diese Fälle vermehrt Kontrollen durchführen werden. Nicht in der EU ansässige Unternehmen sollten zeitnah prüfen ob Sie für Ihre Datenverarbeitung einen solchen Vertreter benötigen und anschließend, wenn nötig, einen solchen bestellen. Auch die it.sec bietet die Möglichkeit der Bestellung eines EU-Vertreters. Kontaktieren Sie uns gerne.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Einleitung

Eigentlich sollte es ganz einfach sein: Durch das sogenannte One-Stop-Shop-Prinzip gibt es immer eine Aufsichtsbehörde, die sich federführend um Datenschutzbelange kümmert. Dadurch soll erreicht werden, dass einerseits die Verbraucher nicht mehr von einer Aufsichtsbehörde an die nächste verwiesen werden, andererseits sind besonders für international agierende Unternehmen nur noch eine Aufsichtsbehörde zuständig. So zumindest die Theorie.
Datenschutzverletzungen sind den jeweils zuständigen Aufsichtsbehörden zu melden. Dabei ist die Aufsichtsbehörde zuständig, in deren Bereich die Datenschutzverletzung stattgefunden hat. Insbesondere im Fall der grenzüberschreitenden Datenverarbeitung kann es jedoch mitunter schwierig sein, die zuständige Aufsichtsbehörde zu identifizieren.

Grenzüberschreitende Datenverarbeitung mit mehr als einem Mitgliedsstaat

Im Falle der grenzüberschreitenden Datenverarbeitung an der mehr als ein Mitgliedsstaat beteiligt ist, ist die Datenschutzbehörde zuständig, in der der Hauptsitz des Unternehmens ist.Wissenswert ist in diesem Zusammenhang, dass die Art. 29-Gruppe eine Leitlinie (WP 244) dazu veröffentlicht hat, wonach maßgeblich sein soll, wo (in welchem Land) die Entscheidung über die Verarbeitung getroffen wird. Im Zweifel soll das Unternehmen selbst ermitteln (dürfen), wo seine Hauptniederlassung ist und welche Aufsichtsbehörde damit als federführende Behörde fungiert. Diese Entscheidung kann jedoch von der jeweiligen Aufsichtsbehörde überprüft und ggfs. abgeändert werden. Die letztliche Entscheidung trifft die Europäische Aufsichtsbehörde.

Grenzüberschreitende Datenverarbeitung mit Hauptsitz außerhalb der EU

Für den Fall, dass der Hauptsitz außerhalb der EU ist und dort auch alle Entscheidungen getroffen werden sieht die DSGVO allerdings keine Lösung vor (Vergl. unter Ziff. 2.2 WP244).

Handlungsempfehlung

Als Handlungsempfehlung sollten Sie daher bei grenzüberschreitender Datenverarbeitung prüfen, in welchem Land die jeweiligen Entscheidungen getroffen werden. Es kann durchaus sein, dass z.B. in Kundenfragen eine andere Aufsichtsbehörde zuständig sein kann als in Beschäftigtenfragen. Im Zweifel sollte die Datenschutzverletzung sicherheitshalber sowohl in dem Land gemeldet werden, in dem die Verletzung stattgefunden hat als auch in dem Land, in dem die diesbezüglichen Entscheidungen zu der Verarbeitung getroffen wurde.

Wir können davon ausgehen, dass die Aufsichtsbehörden sich untereinander unterstützen, sie sind ohnehin verpflichtet, sich gegenseitig Amtshilfe zu leisten.

Céline Lürmann

Rechtsanwältin

Consultant für Datenschutz

Letzte Woche hat das EU-Parlament für eine Aussetzung des EU-US-Privacy Shields (informelle datenschutzrechtliche Absprache, zwischen der Europäischen Union und den USA) gestimmt. Und zwar so lange bis die USA ausnahmslos alle Bedingungen des Datenschutzabkommens erfüllen.

Das EU-Parlament hat mit 303 zu 223 Stimmen für eine Nachbesserung gestimmt. Wenn diese nicht zügig erfolgt, wird das Privacy Shield ab 1.September 2018, mit großen Folgen für die Wirtschaft, ausgesetzt. Das Privacy Shield ist schlichtweg mangelhaft. Es wurde eine lange Mängelliste aufgeführt. Hauptsächlich werden hier die mangelnden Zusagen der US-Regierung und die weitreichenden Zugriffsmöglichkeiten der amerikanischen Behörden auf persönliche Daten von EU-Bürgern kritisiert. Es bietet aktuell kein angemessenes Schutzniveau, wie es seitens der EU gefordert wird.

Es bleibt abzuwarten in welche Richtung man hier tendiert, wir halten Sie dazu auf dem Laufenden.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angreifer Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Britische Datenschutzbehörde Browser BSI Bund Bundesarbeitsgericht Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL ehrenamtlich tätiger Vereine Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entlastung Entsorgung Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Union externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Office Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware schutzwürdige Interessen Schwachstellen Schweiz Security by Design Seitenbetreiber SHA1 sicher Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31