Ist Meetergo datenschutzkonform?

Was ist Meetergo?

Meetergo ist eine Conversion- und Terminplanungs-Software.

Ist Meetergo datenschutzkonform einsetzbar?

Meetergo 

Fazit:
Meetergo ist datenschutzkonform verwendbar, wenn ein entsprechender Hinweis in der Datenschutzerklärung auf der Website erfolgt.

Stand: 28.09.2022

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVO,  Art. 49 DSGVO und § 25 TTDSG?

Was steht im Art. 6 DSGVO?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

(1)Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f)die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Was steht im Art. 49 DSGVO?

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a)die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,

c)die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,

e)die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f)die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g)die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

Was steht in § 25 TTDSG?

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

1.Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

2.Die Einwilligung nach Absatz 1 ist nicht erforderlich,

 (1) wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

(2) wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Worin besteht der Unterschied der drei Einwilligungsarten nach Art. 6 DSGVOArt. 49 DSGVO und § 25 TTDSG?

Art. 6 DSGVO - Rechtmäßigkeit der Verarbeitung

Art. 6 DSGVO bildet die Rechtsgrundlage für alle Arten der Verarbeitung personenbezogener Daten.

Art. 49 DSGVO - Ausnahmen für bestimmte Fälle

Art. 49 DSGVO findet Anwendung, wenn eine Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation stattfindet. Die Norm wird restriktiv ausgelegt und gilt für alltägliche immer wiederkehrende Übermittlungen, z.B. Hotelbuchungen, Flugreservierungen, Überweisungen oder Warenbestellungen.

§ 25 TTDSG - Schutz der Privatsphäre bei Endeinrichtungen

§ 25 TTDSG findet Anwendung bei allen Fällen, bei denen personenbezogene Daten über Endeinrichtungen gespeichert werden, die nicht technisch zwingend nötig sind, um den entsprechenden Dienst zu erbringen, z.B. Cookies oder Analysetools.

Stand: 21.09.2022

Welche Regeln gelten bei einem Löschkonzept bzgl. Archive und Backups?

Welche Vorschriften gelten für ein Löschkonzept?

Art. 17 DSGVO regelt die Löschung von Daten.

Diese Punkte sollten in einem Löschkonzept berücksichtigt werden:

Gibt es ein Muster für ein gutes Löschkonzept?

Es gibt kein universelles Muster für ein Löschkonzept.

Jedes Löschkonzept ist unternehmensspezifisch, und kann auch je nach Abteilung sehr unterschiedlich aussehen.

LiiDU-Tipp:

Löschkonzept Schritt für Schritt in einer Excel-Tabelle erstellen:

Alle Punkte der vorherigen Folie Punkt für Punkt durchgehen und sich von Unternehmensbereich zu Unternehmensbereich vorarbeiten.

Wie ist der richtige Umgang mit Archiven und Backups?

Stand: 25.05.2022

Durch die Polizei wurde der dienstliche Laptop eines Mitarbeiters beschlagnahmt. Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Auszug aus der Strafprozessordnung (StPO)


§ 94 Sicherstellung und Beschlagnahme von Gegenständen zu Beweiszwecken

(1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.

(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.

(3) …

(4) Die Herausgabe beweglicher Sachen richtet sich nach den §§ 111n und 111o.

Wie geht man mit dieser Einsichtnahme eines Dritten auf möglicherweise personenbezogene Daten um?

Fall 1:

Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) nimmt die Einsicht vor in Daten, die zu anderen Zwecken vorher erhoben wurdenà zulässig nach § 24 BDSG

§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.

Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.

Fall 2:

Falls andere Stellen diese personenbezogenen Daten „nutzen“ à dann Vorgehen gemäß den Vorgaben der DSGVO nach „Datenverlust“

Es gibt die Regelung: keine personenbezogenen Daten lokal speichern

Sollte es eine Strafverfolgungshörde sein, die die Daten beschlagnahmt hat, dann wird sie nochmal wiederkommen und den Server zu beschlagnahmen.

Alternativ wird ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

Laptop ist verschlüsselt (ob Kennwörter rausgegeben wurden, ist nicht bekannt)

Die Polizei wird vielleicht versuchen, den Administrator dazu zu bewegen, im Rahmen einer Zeugenaussage die Kennwörter herauszugeben. Alternativ wird auch hier ein Auskunftsverfahren nach §§ 22, 23 TTDSG durchgeführt.

VPN wurde abgedreht

Auch hier ist zu erwarten, dass die Staatsanwaltschaft/Polizei nochmal eventuell wegen des Servers wiederkommt.

Empfehlung:

Stand: 18.05.2022

Wie ist FontAwesome datenschutzrechtlich zu bewerten?

Ausführliche Informationen über Font Awesome finden Sie in unserem Blog.

Wie weit ist das neue „EU-Datengesetz“?

EU-Data-Act-Verordnung

Im Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data Acts.

Ziel:
Zugang zu Daten und die Nutzung von Daten soll gefördert werden.
So soll ein „Datenbinnenmarkt“ entstehen, der die Wettbewerbsfähigkeit der EU erhöht.

5 wichtige Regelungsbereiche des Data-Acts:

--> sehr weiter Anwendungsbereich, da nicht nur auf personenbezogene Daten bezogen.

Mehr Infos

Februar 2022: Gesetzesvorschlag der EU-Kommission des sogenannten Data-Acts.

Weiterer Verlauf des Gesetzgebungsverfahrens:

Verschiedene Lesungen im EU-Parlament und dem Rat der EU, am Ende müssen beide mit Mehrheit zustimmen.

Skizzierter Ablauf

In welchem Verhältnis wird dieses Gesetz bzw. diese Verordnung zur DSGVO stehen?

Parallele Geltung. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weiter, als der der DSGVO.

Einzelheiten sind noch unklar.

Stand: 27.04.2022

Ein Verein ist in NRW beim Registergericht gemeldet, die Geschäftsstelle des Vereins ist in Bayern. Welches Landesamt für Datenschutzaufsicht ist die zuständige Behörde?

Ein Verein, dessen Zweck nicht auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, erlangt Rechtsfähigkeit durch Eintragung in das Vereinsregister des zuständigen Amtsgerichts, vgl. § 21 BGB.

Damit eine Geschäftsstelle eingerichtet werden kann, muss dies in der Vereinssatzung geregelt sein.
Es ist deshalb ratsam, schon bei Vereinsgründung eine Regelung aufzunehmen, die grundsätzlich die Einrichtung einer Geschäftsstelle ermöglicht. Ob, wann und wo diese dann tatsächlich eingerichtet wird, bleibt der Beschlussfassung in der Mitgliederversammlung vorbehalten. Es sollte in der Satzung auch geregelt werden, welche Aufgaben die Geschäftsstelle hat (z.B. Bearbeitung von Anträgen für die Aufnahme neuer Mitglieder, Postbearbeitung, Aktualisierungen der Mitgliederkartei, Einkauf von Büroartikeln, …).

In der Praxis sind Verwaltungssitz und Vereinssitz meist identisch. Es ist jedoch möglich, dass Vereins- und Verwaltungssitz auseinanderfallen.

Das heißt im vorliegenden Fall wäre das Vorliegen von zwei Zuständigkeiten (Bayern und NRW) grundsätzlich möglich.

Konkret zur Zuständigkeit:  Art. 55 DSGVO

  1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
  2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
  3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde

  1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. (One-Stop-Shop)
  2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. (= Lokale Fälle)
  3. …. https://dsgvo-gesetz.de/art-56-dsgvo/

Unabhängig von Zuständigkeitsfragen können sich betroffene Personen mit Beschwerden an jede Datenschutzaufsichtsbehörde wenden!

Ergebnis:

Hier ist die Hauptniederlassung der Vereinssitz in NRW. Es kann aber nach Art. 56 Abs. 2 DSGVO jede Aufsichtsbehörde zuständig sein, wenn in ihrem Gebiet eine Datenschutzverletzung begangen  wurde.

Das Verfahren zum Ablauf regelt Art. 60 DSGVO.

Stand: 23.03.2022

Darf ein Dienstleister auf dem Firmenrechner ein Screencast erstellen? 

Die konkrete Fragestellung lautet:

Eine Firma beauftragt einen externen Dienstleister (z.B. IT-Unternehmen) mit der Wartung des Systems.

Darf von der Tätigkeit des Dienstleisters auf dem Firmenrechner ein Screencast erstellt werden?

Falls ja: welche Voraussetzungen gelten hier? Muss z.B. der Dienstleister über die Aufnahme informiert werden?

Regelfall:

Man kennt die Person, die die Tätigkeiten vornimmt
 --> Verarbeitung personenbezogener Daten!

-->Screencast kann erstellt werden, sofern eine Einwilligung vorliegt.

--> Falls keine Einwilligung vorliegt: Stichprobenkontrolle
(gestützt auf Art. 6 Abs. 1 S. 1 lit. f DSGVO) zulässig.

Stand: 09.03.2022

Ist Zoom datenschutzkonform einsetzbar? 

Zoom ist datenschutzkonform einsetzbar.

Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.

Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.

Empfehlungen:

            von Zoom in die Datenschutzerklärung aufnehmen

Stand: 23.02.2022

Ist Microsoft-Teams datenschutzkonform einsetzbar?

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

Stand: 23.02.2022