Beruflich Dokumente
Kultur Dokumente
DSGVO
Die DSGVO gilt für "Verantwortlicher" und "Auftragsverarbeiter". Ein Verantwortlicher
bestimmt die Zwecke und Mittel zur Verarbeitung personenbezogener Daten. Ein
Auftragsverarbeiter ist verantwortlich für die Verarbeitung personenbezogener Daten im
Auftrag eines Verantwortlichers. Wir machen beides, also müssen wir alle Vorschriften
einhalten.
☐ Wir haben Informationen über die Zwecke der Verarbeitung und die rechtmäßige
Grundlage für die Verarbeitung in unsere Datenschutzerklärung aufgenommen.
☐ Für die Verarbeitung von Daten der Spezialkategorie haben wir ebenfalls eine Bedingung
für die Verarbeitung von Daten der Spezialkategorie ermittelt und diese dokumentiert.
Wir müssen jetzt im Voraus über unsere rechtmäßige Grundlage für die Verarbeitung ihrer
personenbezogenen Daten informieren. Daher müssen wir diese Informationen bis zum 25.
Mai 2018 an Einzelpersonen weitergeben und sicherstellen, dass wir sie in alle künftigen
Datenschutzhinweise aufnehmen.
* Relevante Bestimmungen in der DSGVO - Siehe Artikel 6 und Erwägungsgrund 171 sowie
Artikel 5 Absatz 2
Der erste Grundsatz erfordert, dass wir alle personenbezogenen Daten rechtmäßig, fair und
transparent verarbeiten. Verarbeitung ist nur dann zulässig, wenn wir zumindest eine
gesetzliche Grundlage nach Artikel 6 haben (wir werden zwei haben). Und um dem
Grundsatz der Rechenschaftspflicht nach Artikel 5 Absatz 2 zu entsprechen, müssen wir
nachweisen können, dass die gesetzlichen Grundlagen gelten.
Das Recht der Person, gemäß Artikel 13 und 14 informiert zu werden, verlangt von uns, den
Menschen Informationen über unsere rechtmäßige Grundlage für die Verarbeitung zur
Verfügung zu stellen. Dies bedeutet, dass wir diese Details in unsere Datenschutzerklärung
aufnehmen müssen.
* Relevante Bestimmungen in der DSGVO - Siehe Artikel 6 und die Erwägungsgründe 39,
40 und Kapitel III (Rechte der betroffenen Person)
Viele der gesetzlichen Grundlagen für die Verarbeitung hängen davon ab, dass die
Verarbeitung "notwendig" ist. Dies bedeutet nicht, dass die Verarbeitung immer wichtig sein
muss. Es muss jedoch ein zielgerichteter und verhältnismäßiger Weg sein, um den Zweck
zu erreichen. Die gesetzliche Grundlage wird nicht gelten, wenn wir den Zweck durch
andere weniger einschneidende Mittel vernünftigerweise erreichen können.
Es reicht nicht aus, zu argumentieren, dass eine Verarbeitung notwendig ist, weil wir uns
entschieden haben, unser Geschäft in einer bestimmten Weise zu betreiben. Die Frage ist,
ob die Verarbeitung für den angegebenen Zweck notwendig ist und nicht, ob es ein
notwendiger Teil unserer gewählten Methode zur Verfolgung dieses Zwecks ist.
Wir müssen daher aufzeichnen, auf welcher Grundlage wir für jeden Verarbeitungszweck
beruhen, und eine Begründung dafür, warum wir davon ausgehen, dass sie zutrifft. Hierfür
gibt es kein Standardformular, solange wir sicherstellen, dass unsere Unterlagen
ausreichen, um nachzuweisen, dass eine rechtmäßige Grundlage besteht. Dies wird uns
helfen, Rechenschaftspflichten zu erfüllen, und wird uns auch beim Schreiben unserer
Datenschutzhinweise helfen.
Zustimmung
Die DSGVO ist klarer, dass ein Hinweis auf die Einwilligung eindeutig sein muss und eine
klare positive Maßnahme (Opt-in) beinhalten muss. Es verbietet ausdrücklich vor-
angekreuzte Opt-in-Boxen. Es erfordert auch individuelle ("granulare") Einwilligungsoptionen
für unterschiedliche Verarbeitungsvorgänge.
Die Einwilligung ist angemessen, da wir den Menschen eine echte Auswahl und Kontrolle
darüber bieten können, wie wir ihre Daten verwenden und ihr Vertrauen und Engagement
ausbauen wollen.
Zustimmung muss frei gegeben werden; Das bedeutet, dass Sie den Menschen eine echte
fortlaufende Wahl und Kontrolle darüber geben, wie Sie ihre Daten verwenden.
Die Einwilligung sollte offensichtlich sein und eine positive Einwilligung erfordern. Die
Einwilligungsersuchen müssen im Vordergrund stehen, von anderen Geschäftsbedingungen
abgekoppelt sein, prägnant und leicht verständlich sein und benutzerfreundlich sein.
Die Zustimmung muss insbesondere den Namen des für die Verarbeitung Verantwortlichen,
den Zweck der Verarbeitung und die Art der Verarbeitung umfassen.
Die ausdrückliche Zustimmung muss ausdrücklich in Worten und nicht durch andere positive
Maßnahmen bestätigt werden.
Es gibt kein festgelegtes Zeitlimit für die Zustimmung. Wie lange es dauert, hängt vom
Kontext ab.
Wir müssen die Leute bitten, sich aktiv zu beteiligen. Wir können keine vorgekreuzten
Kästchen, Opt-out-Kästchen oder andere Standardeinstellungen verwenden.
Wir müssen es den Menschen leicht machen, die Einwilligung jederzeit zu widerrufen.
* Einschlägige Bestimmungen in der DSGVO - siehe Artikel 4 Absatz 11, Artikel 6 Absatz 1
Buchstabe a Ziffern 7, 8, 9 Absatz 2 Buchstabe a und Erwägungsgründe 32, 38, 40, 42, 43,
171
Checklisten
Um Zustimmung bitten
☐ Wir haben die Einwilligung zur Einwilligung auf unserer Website und den Karten in den
Geschäften gemacht.
☐ Wir verwenden keine vorgekreuzten Kästchen oder eine andere Art von
Standardzustimmung.
☐ Wir geben an, warum wir die Daten haben wollen und was wir damit machen wollen.
☐ Wir nennen unsere Organisation und alle Drittanbieter, die sich auf die Zustimmung
verlassen.
Einverständniserklärung
☐ Wir bewahren eine Kopie des unterschriebenen und datierten Formulars des Kunden auf,
aus dem hervorgeht, dass sie ihre Zustimmung zu der spezifischen Verarbeitung erteilt
haben.
☐ Wir führen Aufzeichnungen mit einer ID und den online übermittelten Daten zusammen
mit einem Zeitstempel. Sie behalten auch eine Kopie der Version des
Datenerfassungsformulars und anderer relevanter Dokumente, die zu diesem Zeitpunkt
verwendet werden.
Einwilligung verwalten
☐ Wir überprüfen regelmäßig die Zustimmungen, um sicherzustellen, dass sich die
Beziehung, die Verarbeitung und die Zwecke nicht geändert haben.
"Die Verarbeitung ist im Hinblick auf die berechtigten Interessen des für die Verarbeitung
Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch
die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den
Schutz personenbezogener Daten erfordern, außer Kraft gesetzt, insbesondere wenn die
Daten betroffen sind Thema ist ein Kind. "
Die DSGVO nennt ausdrücklich die Verwendung von Kunden- oder Mitarbeiterdaten,
Marketing, Betrugsprävention, gruppeninterne Transfers oder IT-Sicherheit als potenzielle
legitime Interessen.
Wir müssen unsere Interessen gegen die Interessen des Einzelnen abwägen. Insbesondere,
wenn sie nicht erwarten würden, dass wir Daten auf diese Art und Weise verwenden, oder
wenn sie ihnen ungerechtfertigten Schaden zufügen würden, würden ihre Interessen
wahrscheinlich unseren Vorrang haben. Unsere Interessen müssen jedoch nicht immer mit
den individuellen Interessen übereinstimmen. Wenn es zu einem Konflikt kommt, können
unsere Interessen immer noch bestehen, solange es eine klare Rechtfertigung für die
Auswirkungen auf den Einzelnen gibt.
Wir können uns auf legitime Interessen für Marketingaktivitäten verlassen, wenn wir zeigen
können, dass die Art und Weise, wie wir personenbezogene Daten verwenden,
verhältnismäßig ist, minimale Auswirkungen auf die Privatsphäre hat und die Leute nicht
überrascht oder wahrscheinlich dagegen wären.
Wir können uns auf legitime Interessen verlassen, um personenbezogene Daten rechtmäßig
an Dritte weiterzugeben. Wir müssen nachweisen, dass die Offenlegung gerechtfertigt ist.
Um sich auf legitimes Interesse zu verlassen, müssen wir diese Frage in unserer
Datenschutzrichtlinie beantworten (legitime Interessenbewertung - LIA):
● Warum wollen wir die Daten verarbeiten? Was wollen wir erreichen?
● Wer profitiert von der Verarbeitung? Inwiefern?
● Gibt es einen größeren öffentlichen Nutzen für die Verarbeitung?
● Wie wichtig sind diese Vorteile?
● Was wäre der Effekt, wenn wir nicht weitermachen könnten?
● Wäre unsere Verwendung der Daten in irgendeiner Weise unethisch oder
rechtswidrig?
● Hilft diese Verarbeitung tatsächlich, dieses Interesse zu fördern?
● Ist das ein vernünftiger Weg?
● Gibt es noch eine weniger aufdringliche Art, dasselbe Ergebnis zu erzielen?
● Was ist die Natur unserer Beziehung mit dem Individuum?
● Ist eine der Daten besonders sensibel oder privat?
● Würden die Leute erwarten, dass wir ihre Daten auf diese Weise nutzen?
● Gibt es Leute, die wahrscheinlich etwas einwenden oder es aufdringlich finden?
● Was ist die mögliche Auswirkung auf den Einzelnen?
● Wie groß ist der Einfluss auf sie?
● Verarbeiten wir Daten von Kindern?
● Sind irgendwelche der Personen auf irgendeine andere Weise angreifbar?
● Können wir Sicherheitsvorkehrungen treffen, um die Auswirkungen zu
minimieren?
● Können wir eine Abmeldung anbieten?
Es ist wichtig, unser Denken festzuhalten, um zu zeigen, dass wir richtige
Entscheidungsprozesse haben und das Ergebnis rechtfertigen.
Wir müssen den Personen in unserer Datenschutzerklärung mitteilen, dass wir uns auf
legitime Interessen verlassen und erklären, was diese Interessen sind.
Da wir uns auf legitime Interessen für Direktmarketing verlassen, ist das Recht auf
Einspruch absolut und wir müssen die Verarbeitung einstellen, wenn jemand widerspricht.
Checklisten
☐ Wir haben eine legitime Interessenbewertung (LIGA) durchgeführt und aufgezeichnet, um
sicherzustellen, dass wir unsere Entscheidung rechtfertigen können.
☐ Wir haben überprüft, dass die Verarbeitung notwendig ist und es gibt keinen weniger
aufdringlichen Weg, um das gleiche Ergebnis zu erzielen.
☐ Wir haben eine Abwägungsprüfung durchgeführt und sind zuversichtlich, dass die
Interessen des Einzelnen diese legitimen Interessen nicht außer Kraft setzen.
Wir müssen:
Verträge
● Die DSGVO schreibt schriftliche Verträge zwischen Verantwortlichern und
Auftragsverarbeitern als allgemeine Anforderung vor.
● Diese Verträge müssen jetzt mindestens bestimmte spezifische Bedingungen
enthalten.
● Mit diesen Bedingungen soll sichergestellt werden, dass die Verarbeitung durch
einen Auftragsverarbeiter alle Anforderungen der DSGVO erfüllt (nicht nur
diejenigen, die im Zusammenhang mit der Sicherheit personenbezogener Daten
stehen).
Verträge zwischen Verantwortlichern und Auftragsverarbeitern stellen sicher, dass beide ihre
Verpflichtungen, Verantwortlichkeiten und Verbindlichkeiten verstehen.
Die Verträge müssen mindestens die folgenden Bedingungen enthalten, die den
Auftragsverarbeiter verpflichten:
* Relevante Bestimmungen in der DSGVO - siehe Artikel 28-36 und Erwägungsgründe 81-
83
Checklisten
☐ die Art der personenbezogenen Daten und Kategorien der betroffenen Person; und
☐ der Auftragsverarbeiter darf nur auf schriftliche Anweisungen des für die Verarbeitung
Verantwortlichen reagieren (es sei denn, es ist gesetzlich vorgeschrieben, ohne solche
Anweisungen zu handeln);
☐ Der Auftragsverarbeiter muss sicherstellen, dass Personen, die die Daten verarbeiten,
einer Vertrauenspflicht unterliegen.
☐ der Auftragsverarbeiter darf nur mit vorheriger Zustimmung des für die Verarbeitung
Verantwortlichen und einem schriftlichen Vertrag einen Unterauftragsverarbeiter
beauftragen;
☐ der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen bei der
Bereitstellung von Subjekten unterstützen und es den betroffenen Personen ermöglichen,
ihre Rechte gemäß der Datenschutz-Grundverordnung auszuüben;
☐ der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen bei der Erfüllung
seiner DSGVO-Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung, die Meldung
von Verstößen gegen die Datenschutzvorschriften und die Folgenabschätzungen für den
Datenschutz unterstützen;
☐ Der Auftragsverarbeiter muss alle personenbezogenen Daten löschen oder an den für die
Verarbeitung Verantwortlichen zurückgeben, wie dies am Ende des Vertrags erforderlich ist.
und
☐ Der Auftragsverarbeiter muss Audits und Inspektionen vorlegen, dem für die Verarbeitung
Verantwortlichen alle Informationen zur Verfügung stellen, die er benötigt, um
sicherzustellen, dass beide seine Verpflichtungen nach Artikel 28 erfüllen, und dem für die
Verarbeitung Verantwortlichen mitteilen, wenn er etwas gegen die
Datenschutzgrundverordnung oder andere Datenschutzgesetze zu tun hat der EU oder
eines Mitgliedstaates.
☐ erklären, dass nichts in dem Vertrag den Auftragsverarbeiter von seinen eigenen direkten
Verantwortlichkeiten und Verbindlichkeiten gemäß der DSGVO befreit; und
Datenschutzbeauftragte
Die Mindestaufgaben des Datenschutzbeauftragten sind in Artikel 39 definiert:
● Informieren und beraten Sie die Organisation und ihre Mitarbeiter über ihre
Verpflichtungen zur Einhaltung der DSGVO und anderer Datenschutzgesetze.
● Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze,
einschließlich der Verwaltung interner Datenschutzaktivitäten, in Bezug auf
Folgenabschätzungen zum Datenschutz; Mitarbeiter schulen und interne Audits
durchführen.
● Die erste Anlaufstelle für Aufsichtsbehörden und für Personen, deren Daten
verarbeitet werden (Angestellte, Kunden usw.).
Wir können die Rolle von DPO einem bestehenden Mitarbeiter zuweisen, solange die
beruflichen Pflichten des Mitarbeiters mit den Pflichten des DSB vereinbar sind.
Die Datenschutz-Grundverordnung gibt nicht die genauen Angaben an, die ein
Datenschutzbeauftragter voraussichtlich haben wird.
Beispiel
Eine Verletzung des Schutzes personenbezogener Daten kann im weitesten Sinne als
Sicherheitsvorfall definiert werden, der die Vertraulichkeit, Integrität oder Verfügbarkeit
personenbezogener Daten beeinflusst hat. Kurz gesagt, es wird zu einer Verletzung
persönlicher Daten kommen, wenn persönliche Daten verloren gehen, zerstört, beschädigt
oder offen gelegt werden; wenn jemand auf die Daten zugreift oder sie ohne entsprechende
Genehmigung weitergibt; oder wenn die Daten nicht verfügbar sind und diese
Nichtverfügbarkeit erhebliche negative Auswirkungen auf Einzelpersonen hat.
Wir müssen eine meldepflichtige Verletzung unverzüglich, spätestens aber 72 Stunden nach
Kenntniserlangung dem ICO melden. Wenn wir länger brauchen, müssen wir die
Verzögerung begründen.
Wird ein Verstoß nicht angezeigt, wenn dies erforderlich ist, kann dies zu einer erheblichen
Geldbuße von bis zu 10 Millionen Euro oder 2 Prozent Ihres weltweiten Umsatzes führen.
* Relevante Bestimmungen der DSGVO - Siehe Artikel 33, 34, 58, 83 und Erwägungsgründe
75, 85-88