Welche Qualität müssen TOMs haben, um den Anforderungen der DSGVO zu genügen?

Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.

Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.

Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.

Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.

Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.

Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.

Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik

Stand: 23.11.2022

Welche Frist gilt bei Auskunftsersuchen nach Art. 15 DSGVO?

In Artikel 12 Abs. 3 DSGVO ist die Frist zur Beantwortung eines Auskunftsersuchens geregelt.

Artikel 12 Abs. 3 S. 1 DSGVO bestimmt, dass einem Auskunftsersuchen unverzüglich (unverzüglich meint „ohne schuldhaftes Zögern“, vgl. § 121 Abs. 1 BGB) nachzukommen ist, in jedem Fall aber innerhalb eines Monats nach Eingang des Ersuchens.

Die Monatsfrist (was nicht unbedingt 30 Tagen entspricht) ist damit eine Höchstfrist. Die Höchstfrist darf nach der gesetzlichen Konzeption nur ausgenutzt werden, wenn vom Verantwortlichen (oder Auftragsverarbeiter) keine schnellere Antwort erwartet werden konnte/durfte. Ist dem Verantwortlichen aber eine schnellere Antwort zumutbar, muss er vor Verstreichen der Monatsfrist antworten. Faktoren, die bei der Bemessung der Antwortfrist eine Rolle spielen, können insbesondere die in Artikel 12 Abs. 3 S. 2 DSGVO zur Fristverlängerung genannten sein, wie z.B. die Komplexität des Antrages oder die Anzahl von Ersuchen, die der Verantwortliche noch beantworten muss.
In der Praxis lässt sich sagen, dass die Monatsfrist aus Art. 12 Abs. 3 DSGVO quasi zur Regelfrist geworden ist. Aufsichtsbehörden gewähren einem Verantwortlichen zur Beantwortung i.d.R. die Monatsfrist.

Wenn ein Rechtsanwalt (oder ein Betroffener) eine kürzere Frist setzt, ist mit Blick auf den eigentlichen Grundsatz der Unverzüglichkeit aber die gesetzte Frist einzuhalten, so lange sie nicht unangemessen kurz ist. Es spiel übrigens keine Rolle, wer die Frist setzt. Ob das Ersuchen von einem Anwalt stammt oder dem Betroffenen selbst, spielt für die Bemessung der Frist keine Rolle.

Stand: 16.11.2022

Kann Adobe Acrobat Sign datenschutzkonform eingesetzt werden?

Ausführliche Informationen über Adobe Acrobat Sign finden Sie in unserem Blog.

Was muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden?

Mögliches Szenario – Unternehmen bewirbt sich für ein Qualitätsaudit

Um sich zertifizieren zu lassen, müssen Unternehmen einen Auditprozess unterlaufen. Teilweise werden hierfür Dokumente vorab an die auditierende Stelle übersandt (z.B. für Managementsysteme ISMS und QMS). Eine solche Auditierung findet jährlich statt, wobei die Kategorien betroffener Personen in der Regel speziell die Mitarbeiter umfassen.

Der Zertifizierungsprozess selbst berührt jedoch zumeist auch personenbezogene Daten und schließlich ist die auditierende Stelle eine dritte Partei, die über eine Vertragsbeziehung Einblick in Unternehmensinterna enthält.

Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten für einen Verantwortlichen ist in Art. 30 Abs. 1 DSGVO festgelegt:

(1) 1Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. 2Dieses Verzeichnis enthält sämtliche folgenden Angaben:

(a)   den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie  

        etwaigen Datenschutzbeauftragten;

(b)   die Zwecke der Verarbeitung;

(c)   eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

(d)die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

(e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des 

        betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen            

        die Dokumentierung geeigneter Garantien;

(f)   wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

(g)wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Erwägungsgrund 82 wiederholt die in Art. 30 DSGVO niedergelegten Pflichten des Verantwortlichen und des Auftragsverarbeiters.

Inwieweit muss die Tatsache, dass ein Auditor Einsicht in Dokumente erhält, die personenbezogene Daten enthalten, im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden?

Eine Ausnahme vom Führen eines Verzeichnisses der Verarbeitungstätigkeit sieht Art. 30 Abs. 5 DSGVO für Kleinstunternehmen und KMUs unter gewissen Voraussetzungen vor:

(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Dies wird in Satz 3 des 13. Erwägungsgrundes bestätigt.

Ergebnis:

Ja, auch Audis sollten in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen werden.

Die Übermittelung von personenbezogenen Daten an die auditierende Stelle ist ein Verarbeitungsprozess nach Art. 4 Nr. 2 DSGVO. Als solcher ist er nach Art. 30 Abs. 1 S. 1 DSGVO in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.

Die auditierende Stelle ist Empfänger nach Art. 4 Nr. 9 DSGVO.

Das Verzeichnis der Verarbeitungstätigkeiten sollte, soweit noch nicht geschehen, angepasst werden.
Gegebenenfalls änderungsbedürftige Abschnitte im Verzeichnis sind:

Stand: 19.10.2022

Gilt die DSGVO auch für die Schweiz?

Konkretisierung der Fragestellung:

Ein Unternehmen mit Sitz in der Schweiz bietet Beratungsdienstleistungen für Unternehmen (!) in der EU an: Es berät bei der Instandhaltung mit SAP und unterstützt mit der Analyse, über Konzeption und Implementierung bis hin zum Betrieb bei SAP; es unterstützt dabei Betreiber, Hersteller und Instandhalter von Assets dabei, ein nachhaltiges Asset Management auf Basis von SAP zu realisieren. Dabei gewinnt es etwa bei der Erstellung von Instandhaltungsplänen via SAP Einsicht darin, welche Beschäftigten der B2B-Kunden wann wo zur Instandhaltung eingesetzt sind. 

Gilt die DSGVO für diesen Sachverhalt? 

Ja, denn es ist Art. 3 Abs. 1 DSGVO bzw. Art. 3 Abs. 2 DSGVO anwendbar.

Stand: 12.10.2022

Braucht man mit Cookie-Banner-Anbietern einen AV-Vertrag?

Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.

Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TTDSG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die  z.B. mittels eines Cookie-Banners eingeholt werden kann. 

Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW

Verarbeitet nun die Anwendung „Cookie-Banner-Tool“ eines Anbieters selbst personenbezogene Daten im Auftrag?

Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor,  dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.

Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!

Begründung:

Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.

Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?

Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.

Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.

Stand: 05.10.2022

Darf ein Onlineshopbetreiber IP-Adressen seiner Kunden ohne Einwilligung speichern? 

Ausführliche Informationen zur Speicherung von IP-Adressen finden Sie in unserem Blog.

Ist eine Videoüberwachung eines Privathaushaltes im Falle des regelmäßigen Besuch eines Pflegers zulässig?

Konkreter Sachverhalt:

Eine Person eines Haushaltes nimmt die Dienste mobiler Pflegeleistungen in Anspruch. Offiziell wurde die Videoüberwachung installiert, sodass Familienmitglieder die zu pflegende Person helfen können, falls diese stürzt. Dadurch wird die Pflegekraft jedoch während des gesamten Besuchs überwacht. Es gibt keine Hinweisschilder, Einwilligungen oder diesbezügliche Vereinbarungen.

Vorliegend geht es nicht nur um die eigene private Sphäre. DSGVO ist m.E. also anwendbar. Etwas anderes gilt z.B., wenn Videokameras auf privaten Grundstücken angebracht werden – und nur das eigene Grundstück überwachen. Dies eröffnet den Anwendungsbereich der DSGVO nicht (vgl. Art. 2 Abs. 2 lit.c DSGVO).

Als Rechtsgrundlage stehen aber immer zur Verfügung:

Das Recht auf informationelle Selbstbestimmung („Volkszählurteil von 1983“ - Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG)) sowie das Recht am eigenen Bild nach KUG.

Sobald Dritte von den Überwachungen betroffen sind, müssen also deren berechtigte Interessen berücksichtigt werden
--> Abwägung!

Vorliegend halten wir die dauerhafte Überwachung der Pflegeperson, aber auch der zu pflegenden Person für einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht.

Welche Möglichkeiten gibt es seitens des Arbeitgebers der Pflegekraft zu reagieren?

Es ist darauf hinzuweisen, dass eine Überwachung der Pflegekräfte nicht geduldet wird
(Fürsorgepflicht des Arbeitgebers).

Die Kamera ist während der Anwesenheit der Pflegekraft abzuschalten.

Sofern die Pflegekraft mit der Videoüberwachung einverstanden ist, darf die Kamera weiterhin auch den Pflegebesuch aufzeichnen. Hierzu ist eine schriftliche Einwilligung von der Pflegekraft einzuholen und sie muss m.E. auch über ihre Rechte aufgeklärt werden.

Stand: 21.09.2022

Was steht im BAG-Urteil bzgl. des Anspruchs auf  immateriellen Schadenersatz bei Verstoß gegen die DSGVO?

BAG-Urteil vom 05.05.2022 (2 AZR 363/21)

Sachverhalt:

Eine Hausangestellte hat von ihrem Arbeitgeber Auskunft nach Art. 15 DSGVO verlangt, einschließlich der über sei erfassten Arbeitszeit. Im Wege der Stufenklage machte sie zudem eine sich aus der Auskunft ergebende Nachzahlung der Vergütung geltend. Mit einem weiteren Antrag verlangte die Klägerin dann die Zahlung eines in das Ermessen des Gerichts gestellten immateriellen Schadensersatzes „auf der Grundlage von Art. 15 DS-GVO“. Die Arbeitszeitaufzeichnungen wurden zwar von der Beklagten übersandt, allerdings nicht innerhalb der Fristen des Art. 12 Abs. 3 und 4 DSGVO.

Da die Beklagte dem Auskunftsbegehren nicht vollständig nachgekommen sei, habe sie Anspruch auf immateriellen Schadensersatz nach Art. 82 DS-GVO, der mindestens 6.000 EUR betrage.

Entscheidung: EUR 1.000,- Schadensersatz ist angemessen.

Begründung:

Es gibt einen weiten Ermessensspielraum des Gerichts, in dem die Besonderheiten des jeweiligen Einzelfalls zu berücksichtigen sind. Wesentlicher Grund der Klage waren vorliegend die Arbeitszeitaufzeichnungen. Diese waren übersandt worden. Die Klägerin habe nicht vorgetragen, dass ihr durch die zu späte Zusendung ein immaterieller Schaden entstanden sei. Nicht jeder Eingriff in das allgemeine Persönlichkeitsrecht in Form des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm. Art. GG Artikel 1 Satz 1 GG habe einen Entschädigungsanspruch zur Folge. Im vorliegenden Fall sei eine Persönlichkeitsrechtsverletzung der Klägerin nicht so schwerwiegend, dass sie nur durch eine Geldentschädigung in befriedigender Weise ausgeglichen werden könne. Der Klägerin sei es mit ihrem Auskunftsanspruch ausweislich ihres Prozessverhaltens nicht um den Schutz ihrer persönlichen Daten, sondern um die Beschaffung von Informationen zur Vorbereitung eines Zahlungsanspruchs gegen die Beklagte gegangen. Eine rechtswidrige Beschaffung oder Verwendung personenbezogener Daten durch die Beklagte behaupte die Klägerin indes nicht.

Stand: 20.09.2022

Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen?

Bedürfen Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen besonderer Schulungen/Verpflichtungen, damit mit deren Wissen um Löhne und Gehälter einzelner Personen rechtlich korrekt umgegangen wird?

Wie definiert die DSGVO einen Konzern?

Art. 4 Nr. 19 DSGVO: „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“.

Personenbezogene Daten dürfen laut Erwägungsgrund 48 DSGVO  bei berechtigtem Interesse zu ganz bestimmten Zwecken innerhalb von Konzernstrukturen ausgetauscht werden. Hierfür muss (zumindest) die rechtliche Grundlage des Art. 6 Abs. (1) f DSGVO (Rechtmäßigkeit der Verarbeitung) erfüllt sein.

Gehaltsdaten könnten z.B. auch anonymisiert bzw. pseudonymisiert verarbeitet werden, sodass keine Zuordnung zu natürlichen Personen möglich ist. Grundsätzlich ist immer der Grundsatz der Datensparsamkeit (Art. 5 DSGVO) zu beachten.

Es gibt keine allgemeingültige Regelung, dass Controlling-Mitarbeiter in Unternehmen bzw. Konzernstrukturen bzgl. der Gehaltsdaten spezielle Schulungen absolvieren müssen. 

Wie wird mit der Situation in Konzernstrukturen umgegangen, wenn etwa in einem Unternehmen nur eine Person angestellt ist? Das Controlling z.B. des Mutterkonzerns hat dann die Möglichkeit, die Kostenstelle „Löhne/Gehälter“ dieses Tochterunternehmens einzusehen, in welchem nur eine Person arbeitet – und weiß somit das Gehalt jener Person. 

Antwort: Das Wissen über Gehälter ist  der Position des Controlling-Mitarbeiters immanent. Betroffene Personen müssen darüber auch nicht gesondert informiert werden. Über Geheimhaltungsverpflichtungen kann (und sollte) allerdings die Verschwiegenheit vereinbart werden. Nur aufgrund der Möglichkeit der konkreten Zuordnung von Gehaltsdaten mehr Personen als benötigt im Unternehmen zu beschäftigen, wäre vermutlich wirtschaftlich gesehen wenig sinnvoll.

Stand: 14.09.2022