Antwort: Sie hilft bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) mit entsprechenden Dokumenten, Vorlagen und anderen Materialien, um die gesetzlichen Anforderungen einzuhalten.

Beispiel: Ein IT-Unternehmen konnte in kürzester Zeit ein DSGVO-konformes Löschkonzept aufsetzen.

Antwort: Ja, auch die einfache Erstellung von DSGVO-Dokumenten wie Löschkonzepte, Verarbeitungsverzeichnisse, Auftragsverarbeitungsverträgen, und sogar TOMs (technische und organisatorische Maßnahmen) sind Bestandteil der Plattform.

Beispiel: Ein Transportunternehmen hatte bisher noch keine Auftragsverarbeitungsverträge mit seinen Kunden abgeschlossen und konnte diese nun mit den einfachen und verständlichen Vorlagen der legalcloud24-Plattform in kürzester Zeit nachholen.

Die Verantwortung für die Einhaltung der DSGVO (Datenschutz-Grundverordnung) liegt primär bei Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Dies betrifft sowohl Verantwortliche als auch Auftragsverarbeiter gemäß den Bestimmungen der DSGVO. Der Verantwortliche ist in der Regel die natürliche oder juristische Person, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Der Auftragsverarbeiter handelt im Auftrag des Verantwortlichen und sorgt für die Umsetzung der Datenschutzvorgaben.

Die Einhaltung der DSGVO wird von den Datenschutzbehörden der jeweiligen EU-Mitgliedstaaten überwacht. In Deutschland sind dies die Landesdatenschutzbehörden der einzelnen Bundesländer sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Unternehmen sind jedoch auch selbst verpflichtet, intern für die Einhaltung der Datenschutzrichtlinien zu sorgen.

Mit einer digitalen Rechtsabteilung können Sie die DSGVO-Konformität Ihres Unternehmens effizient sicherstellen. Unsere Plattform legalcloud24 unterstützt Sie bei der Erstellung von DSGVO-Dokumenten, der Umsetzung technischer und organisatorischer Maßnahmen (TOMs) sowie der Durchführung von Datenschutz-Audits. So bleiben Sie rechtssicher und minimieren das Risiko von Verstößen.

Die DSGVO (Datenschutz-Grundverordnung) betrifft die personenbezogenen Daten aller natürlichen Personen, deren Daten von einem Unternehmen oder einer Organisation verarbeitet werden. Dies umfasst sämtliche identifizierte oder identifizierbare Personen, wie Kunden, Mitarbeiter, Lieferanten, Bewerber oder Website-Besucher.

Die DSGVO gilt für die Verarbeitung von Daten, die es ermöglichen, eine Person direkt oder indirekt zu identifizieren, wie z.B. Namen, E-Mail-Adressen, Telefonnummern, Standortdaten oder IP-Adressen. Unternehmen müssen sicherstellen, dass diese Daten auf eine rechtmäßige, transparente und sichere Weise verarbeitet werden.

Wenn Ihr Unternehmen personenbezogene Daten von EU-Bürgern verarbeitet, müssen Sie sicherstellen, dass Sie die Anforderungen der DSGVO erfüllen. Unsere digitale Rechtsabteilung bietet Ihnen maßgeschneiderte DSGVO-Dienstleistungen, die Ihnen helfen, alle Anforderungen der Verordnung zu verstehen und umzusetzen, um Ihre Datenschutz-Compliance zu gewährleisten und potenzielle Risiken zu minimieren.

Erstmals hat ein Oberlandesgericht die Abmahnfähigkeit von DSGVO-Verstößen bejaht und die Datenverarbeitung ohne vorliegende Einwilligung gem. Art. 9 DSGVO als wettbewerbsrechtliche Marktverhaltensregel eingestuft. (Oberlandesgericht Naumburg 07.11.2019, AZ: 9 U 6/19)

Mit dieser Entscheidung wird der Weg für Abmahnungen nach § 9 UWG geöffnet. Ob nun eine Abmahnwelle zu rollen beginnt, ist noch offen. Es ist jedoch weiterhin höchste Vorsicht geboten.

Die Beauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltzczyk, hat gegen die Firma Deutsche Wohnen SE, Mecklenburgische Straße 57, 14197 Berlin, die über 163.000 Wohnungen in ihrem Eigentum hält und verwaltet, einen Bußgeldbescheid über 14.500.000,00 EUR verhängt. Zur Begründung wurde angeführt, dass Altdaten von Mietern nicht innerhalb der Löschfristen gelöscht wurden. Smoltczyk vermutet in vielen anderen Branchen ähnliche Fälle lediglich das Personal, um allen Hinweisen nachgehen zu können. (Pressemitteilung von 11-2019) Das Thema ist nach wie vor hochaktuell.

Gemäß Art. 33 Abs. 1 Satz 1 DSGVO muss ein datenschutzrechtlich Verantwortlicher im Fall einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde melden.

Dies gilt nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Artikel 33 Abs. 1 DSGVO umfasst auch Bagatellsachverhalte!

Dies wird gerade heiß zwischen den Behörden diskutiert, ob diese Vorschrift geändert werden muss. Derzeit gilt Sie allerdings noch.

Umstritten ist hier die 72-Stunden-Frist.

Es ist unklar, wann diese Frist beginnt. Die Frage ist, ob die Frist bei absoluter Gewissheit des Datenschutzvorfalls beginnt oder schon bei Kenntnis einer Wahrscheinlichkeit.

So hat sich der Bayerische Landesbeauftragte für den Datenschutz dafür ausgesprochen eine 24-Stunden-Übergangsphase zu akzeptieren, in welcher der Datenschutzvorfall und deren Umfang geprüft werden darf und die 72-Stunden-Frist erst danach beginnt.

Ferner ist streitig, ob die Frist auch beginnt bei „kennen müssen“, das heißt der Verantwortliche kennt den Datenschutzvorfall nicht, hätte ihn aber bei sorgfältiger Prüfung kennen müssen.

Diese Frage ist allerdings noch unbeantwortet.

Ein weiteres umstrittenes Thema ist auch, ob die Sonn- und Feiertage ebenfalls zur Fristberechnung gehören.

Dies wird von den Datenschützern derzeit bejaht, was natürlich zu extremer Verkürzung von Fristen in praktischer Hinsicht führen kann.

Insgesamt kann jedoch eine gewisse Entwarnung gegeben werden, da die 72-Stunden-Frist nur eine Frist ist, die bei optimalen Verhältnissen einzuhalten ist, das heißt wenn es keine besonderen Umstände des Einzelfalles gibt. Wenn besondere Umstände vorliegen, kann diese Frist auch noch verlängert werden. Genaue Kriterien wurden von den Datenschutzbehörden derzeit allerdings noch nicht festgelegt.

In einer bemerkenswerten Entscheidung hat das Arbeitsgericht Berlin geurteilt, dass ein Zeiterfassungssystem mittels Fingerprint nur zulässig ist, sofern die Arbeitnehmer ausdrücklich einwilligen. Die Einwilligung bedarf daher der Schriftform.

Es ging um die Rechtsfrage, ob die Datenverarbeitung im Rahmen der Durchführung des Arbeitsverhältnisses erforderlich im Sinne von § 26 BDSG ist. In diesem Fall wäre eine Zustimmung nicht erforderlich gewesen. Das Arbeitsgericht verneint diese Frage.

Es ist an dieser Stelle jedoch festzuhalten, dass dies momentan noch eine Einzelmeinung darstellt. Sollte sich diese Meinung allerdings höchstrichterlich bestätigten, wären entsprechende Maßnahmen zu treffen.

Die DSGVO bzw. das korrespondierende „BDSG neu“ regelt auch die Berechtigung der Nutzung von Bonitätsdaten.

Bei offenen Forderungen ist gemäß § 31 Abs. 2 Nr. 4 BDSG neu unter folgenden Voraussetzungen die Bonitätsauskunft zulässig:

• Mindestens 2 Mahnungen
• Hinweis in einer Mahnung an die betroffenen Schuldner, dass eine Bonitätsauskunft eingeholt wird
• die Forderung ist unstreitig geblieben
• Verzug nach 1. Mahnung mindestens 4 Wochen
• kein Wegfall des berechtigten Interesses, d.h. keine Bezahlung der Forderung oder ähnliche Wegfallgründe

Wir empfehlen Ihnen daher in Ihren Mahnschreiben auf die Möglichkeit einer Bonitätsauskunft hinzuweisen, ansonsten ist deren Einholung datenschutzrechtlich problematisch.

Nochmals zu betonen ist, dass diese Einschränkungen nur im Rahmen der Einholung von Bonitätsauskünften im Rahmen der Einziehung von Forderungen gelten und gerade nicht im Falle der Prüfung der Bonität vor Vertragsabschluss. Diese ist nach wie vor ebenfalls zulässig.

stimmt so glaub nicht?!

Das bayerische Landesamt für Datenschutzaufsicht hat auf eigene Rückfrage von uns bestätigt, dass die Informationspflichten der Art. 13/14 DSGVO nicht für Bestandskunden gilt, sondern nur für diejenigen Kunden, die nach Geltung der DSGVO neu erfasst werden.

Eine Rückwirkung für Altfälle auf Art. 13/14 DSGVO ist definitiv nicht gegeben. Dies wurde nunmehr von der Datenschutzaufsichtsbehörde offiziell bestätigt.

Für diejenigen Unternehmen, die in Baden-Württemberg ihren Sitz haben gilt gleiches.

Im Bereich Informationspflichten Videoüberwachung eine große Rechtsunsicherheit entstanden, nachdem das Bundesverwaltungsgericht den erst mit der DSGVO neu eingeführten § 4 BDSG neu für europarechtswidrig erklärt hat.

Es besteht nunmehr Unklarheit darüber, nach welcher Vorschrift die Videoüberwachung zu handhaben ist, dies gilt insbesondere für die Informationspflichten der Betroffenen. Wie bekannt sein dürfte, hatte § 4 BDSG neu im Hinblick auf die Informationspflichten nur vorgeschrieben, dass der Umstand der Beobachtung und die verantwortliche Stelle genannt werden müssen.

Die DSGVO enthält keine ausdrückliche Vorschrift, wie über Videoüberwachung zu informieren ist.

In diesem Zusammenhang ist deshalb ein heftiger Streit unter den Datenschützern entstanden, wie dies nun bewerkstelligt werden muss.

Wie versprochen habe ich eine GM-Lösung (gesunder Menschenverstand) entwickelt, die im Hinblick auf die neue Rechtslage datenschutzrechtskonform sein dürfte.

In diesem Zusammenhang ist jedenfalls notwendig, die Beschilderung zu ändern und über weitere Tatsachen zu informieren. Die wesentlichen Informationen sind jedoch auf einer speziellen „Datenschutzinformation Videoüberwachung“ enthalten, die auf der Homepage neben den anderen Belehrungen zu implementieren ist.

Bitte setzen Sie eine entsprechende Ausschilderung sowie Datenschutzinformation in Bezug auf Videoüberwachung zeitnah um, da gegebenenfalls Bußgelder von Behörden drohen. Wir halten dies zwar für derzeit eher unwahrscheinlich, da es für einen Ordnungswidrigkeiten Tatbestand schlichtweg am Bestimmtheitserfordernis fehlt, sodass die Behörden die Füße stillhalten. Eine Garantie gibt es hierfür jedoch nicht.