Häufige Fragen – FAQ
Wann benötige ich eine Datenschutzerklärung für meinen Internetauftritt?
Eine Datenschutzerklärung für den Internetauftritt wird benötigen, sobald personenbezogen Daten verarbeitet oder weitergeleitet werden. Beispielsweise durch die Eingabe personenbezogener Daten in ein Kontaktformular oder durch Links zu externen Seiten, bei der die IP-Adresse übermittelt wird.
Wann benötige ich ein Einwilligung zur Speicherung und Verarbeitung von Kundendaten?
Generell benötigen Sie entweder eine Rechtsgrundlage oder eine Einwilligung zur Speicherung und zur Verarbeitung von personenbezogenen Daten. Mit der Einwilligung können Sie sich ggf. beispielsweise Speicherdauer der Daten verlängern oder die Daten für weitere Zwecke verarbeiten.
Muss ich meine Mitarbeiter zur Einhaltung der Datenschutz-Grundverordnung verpflichten und unterweisen?
Der Verantwortlicher hat gegenüber der Aufsichtsbehörde eine Nachweispflicht für die Einhaltung der getroffenen Datenschutzmaßnahmen im Unternehmen. Daher empfiehlt es sich die Mitarbeiter darauf zu verpflichten und jährlich zu unterweisen.
Benötige ich ein Verzeichnis der Verarbeitungstätigkeiten?
Im Gesetz steht zwar die Grenze von weniger als 250 Mitarbeiter. Aber sobald sie Mitarbeiter haben, verarbeiten sie in der Regel die Religionszugehörigkeit bei der Gehaltsabrechnung, d.h. besonderer Kategorien personenbezogener Daten und somit benötigen sie ein Verzeichnis der Verarbeitungstätigkeiten. Unabhängig davon empfiehlt es sich eine „Inventur“ ihrer personenbezogenen Daten zu machen und für jede Kategorie die Löschfristen zu benennen. Warum fragen Sie sich? Mit der DSGVO gilt das Prinzip der Datenminimierung und somit der Speicherbegrenzung. Folglich bietet sich das Verzeichnis als Basis für das benötigte Löschkonzept an.
Wann benötige ich eine Datenschutz-Folgenabschätzung? (DSFA)
Eine DSFA benötigen Sie, wenn die Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. Beispielsweise die Religionszugehörigkeit für die Gehaltsabrechnung oder die Beschäftigung von Freigängern einer Justizvollzugsanstalt.
Benötige ich ein Löschkonzept?
Mit der DSGVO gilt das Prinzip der Datenminimierung und der Speicherbegrenzung, folglich sollten Sie eine Art Löschkonzept haben.
Was sind technische und organisatorische Maßnahmen (TOMs)?
Laut Gesetz muss jedes Unternehmen ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleisten. Hierzu bilden die technischen und organisatorischen Maßnahmen die Basis und sie sind somit wichtige Eckpfeiler des Datenschutzes in ihrem Unternehmen.
Was muss ich bei WhatsApp beachten?
Das Problem von WhatsApp ist, dass alle Adressbucheinträge nach USA übertragen werden. Haben Sie 100 Kontakte, davon nutzen 50 Personen WhatsApp und 50 nicht, dann werden von 50 Personen ihre personenbezogene Daten ohne ihre Einwilligung in ein Drittland übertragen. Daher sollten die Adressbucheinträge mittels einer Mobile-Device-Management Software voneinander getrennt werden, um eine Übertragung zu verhindern.
Benötige ich eine Interessensabwägung für eine Videoüberwachung?
Laut § 4 BDSG Bundesdatenschutzgesetz ist eine Videoüberwachung im öffentlich zugänglichen Raum nur zulässig zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke. Weiterhin darf kein Anhaltspunkt bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Punkte sollten vor der Installation der Videoüberwachung bewertet und dokumentiert werden.
Wann benötige ich eine Einwilligung zu Fotoaufnahmen?
Eine Einwilligung zu Fotoaufnahmen wird benötigt, sobald sie Bilder ihrer Mitarbeiter auf ihrer Homepage oder in soziale Medien veröffentlichen. Sie sollten dabei darauf hinweisen, dass Fotos im Internet von beliebigen Personen abgerufen werden können. Es kann nicht ausgeschlossen werden, dass solche Personen die Fotos weiterverwenden oder an andere Personen weitergeben.
Wann benötige ich einen Vertrag oder Vereinbarung zur Auftragsverarbeitung (AVV)?
Typisches Beispiel hierfür ist ihr Web-Host oder Cloudanbieter, hier erfolgt in der Regel nur eine Verarbeitung im Auftrag des Verantwortlichen (Chef des Unternehmens und Auftraggeber). Der Auftragnehmer, also der Auftragsverarbeiter sollte Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen werden, dass die Verarbeitung gesetzeskonform erfolgt und den Schutz der Rechte der betroffenen Person sichergestellt ist. Hierfür benötigen sie Vertrag oder Vereinbarung.
PS: Für Ihren Steuerberater oder Rechtsanwalt benötigen sie kein AVV, da diese nicht weisungsgebunden arbeiten.
Sollten ihr Unternehmen allerdings in Nordrhein-Westfalen oder in Baden-Württemberg sein, benötigen sie einen AVV für die Lohnbuchhaltung. Warum? Da die dortigen Aufsichtsbehörden der Auffassung sind, dass die Lohnbuchhaltung weisungsgebunden arbeiten.
Wann benötige ich einen Datenschutzbeauftragten?
Einen Datenschutzbeauftragten benötigen sie, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind. Monteure oder Arbeiter in der Produktion zählen somit nicht dazu, da diese nicht regelmäßig, sondern vereinzelt mit personenbezogene Daten arbeiten.
Wie gehe ich in meiner Firmengruppe mit den Ländergesellschaften bzw. Vertretungen um, deren Firmensitz nicht in der EU, sondern in einem Drittland ist?
Werden personenbezogene Daten in Länder außerhalb der EU (sog. Drittstaaten, beispielsweise Serbien, USA oder China) übermittelt, benötigt es entweder ein Angemessenheitsbeschluss der EU, wie beispielsweise für die Schweiz, oder geeignete Garantien.
Geeignete Garantien können unter anderem sein, entweder von der EU erlassene Standardvertragsklauseln (müssen unverändert übernommen werden), oder binding corporate rules (BCR), eignet sich für international tätige Unternehmen mit internem Datenaustausch.