Diese Website ist eine Initiative der intersoft consulting services AG, Spezialist für Unterstützungsleistungen auf den Gebieten Datenschutz, IT-Sicherheit und IT-Forensik. intersoft consulting stellt externe Datenschutzbeauftragte für Unternehmen und gehört zu den führenden Dienstleistern in diesem Bereich.
Unser Fachwissen und unsere Erfahrung aus der Beratungspraxis möchten wir hier mit Ihnen teilen. Wir wünschen uns – durch Ihre Fragen und Anregungen – eine breit gefächerte Diskussion über Themen, die im Brennpunkt stehen, für die Wirtschaft ebenso wie für den einzelnen Bürger, für Verbände oder Vereine.
Klicken Sie auf den Namen für weitere Beiträge des Autors.
Die – dem Autor – bekannten Fälle, in denen in Richtung Art. 29 DSGVO beraten wurde sind:
• die Beauftragung von Freelancern als Einzelpersonen,
• sowie bei Beratungsfirmen angestellte Projektbeschäftigte
Im Übrigen sind dem Autor aus seiner bisherigen Beratungspraxis keine Fälle bekannt, in die in Richtung von Art. 29 DSGVO beraten wurde.
Ja, es geht um die personenbezogenen Daten eines EU-Bürgers. Und man mag implizit meinen, dass ohne Zugriff von US-Diensten einfach eine Negativerklärung gereicht hätte. Alles Weitere ist Spekulation.
Mangels bisheriger relevanter Auseinandersetzung der Gerichte und juristischen Literatur sind die Maßstäbe für eine tragfähige Unterstellung oder faktische Eingliederung noch ungeklärt.
Um diese auf eine rechtssichere Grundlage zu stellen, sollten bestenfalls die folgenden Punkte bedacht und geregelt werden:
Wer verarbeitet,
wann wird (...)
Es gibt jedenfalls nur wenige von den Aufsichtsbehörden oder Gerichten festgelegte Maßstäbe dafür, wann eine Person, die einen Werk- oder Dienstvertrag abgeschlossen hat, unter Aufsicht arbeitet.
Dies lässt sich am ehesten bei Projekten abbilden, bei denen die externen Projektteilnehmer einen vom Auftraggeber bereitgestellten Arbeitsplatz und Arbeitsmittel erhalten. Ein Beispiel hierfür ist die (...)
Sind es nicht personenbezogene Daten eines EU-Bürgers um die es dort geht? Was bitte ist dabei für US-Unternehmen und US-Behörden so geheim dass man mit Geheimhaltungspflichten argumentiert?
Das sind tatsächlich sehr schöne Ideen zur Umsetzung der Informationspflichten! Da der EuGH nicht gesagt hat, wie die Umsetzung konkret zu erfolgen hat, sind der Phantasie keine Grenzen gesetzt. :-)
Eine Möglichkeit ist sicherlich auch, einen Aushang z. B. in der Nähe der Türen anzubringen, vergleichbar zur „normalen“ Videoüberwachung.
Für Menschen, die Videos in sozialen Medien (...)
Vielen Dank für die Darstellung - tatsächlich stellt sich mir die Frage, ob die betriebliche Eingliederung einer zu weisenden Person dann nicht wiederum einer Arbeitnehmerüberlassung gleichkommt, womit ohnehin § 26 Abs. 8 BDSG einschlägig wäre... Dienst-/Werkleistungsverträge lassen sich für mein Dafürhalten jedenfalls nur schwer über Art. 29 DSGVO abbilden.
Eine Überlegung zu Ihren Beitrag: Wie Relay-Attacken Keyless-Fahrzeuge gefährden.
Wäre es denkbar, dass ein Mitarbeiter einer Werkstatt oder beim Fahrzeug Überführungen (die meinen "Keyless-Schlüssel" haben diesen) so zu kopieren bzw. auszulesen, dass sie das Auto später zu stehlen. Zudem wäre auch noch meine Adresse bekannt...??
Vielen Dank für diesen Newsletter. Art 29 liegt mir sehr am Herzen.
Es würde mich sehr freuen, von Dr. Datenschutz eine Rückmeldung zu erhalten, ob weitere Einzelfälle neben den bereits genannten durch den Newsletter bekannt geworden sind.
Im Fall der gesetzlichen Unfallversicherung fällt der sogenannte Beratungsarzt unter diese Vorschrift.
Interessante Überlegungen, nur fehlt leider eine Auseinandersetzung mit den entscheidenden Begriffen: "unterstellt" und "faktische Eingliederung". Wie kann z.B. ein Anwalt oder Steuerberater "faktisch unterstellt" werden?
Auch wenn ein Wechsel des Unterauftragsverarbeiters im Krisenfall erforderlich sein kann und im Vergleich zum Leistungsausfall vielleicht sogar „das kleinere Übel“ ist, bleibt es bei der gesetzlichen Regelung aus Art. 28 Abs. 2 DSGVO.
Unter anderem verleiht die DSGVO den Behörden Befugnisse, um gegen Verstöße vorzugehen. Bei Vorliegen der entsprechenden Voraussetzungen können im schlimmsten (...)
volle Zustimmung!!
Ich hatte heute morgen als ich den Artikel gelesen habe auch schon die absurdesten Bilder vor meinem geistigen Auge :-)
Die Kontrolleure bekommen jetzt neue Uniformen mit aufgedruckten Hinweisschildern für die Videoüberwachung. Natürlich inkl. Informationen nach Art. 13. , auf dem Rücken einen QR Code zum Scannen für die Tech-Freaks, die Blinden bekommen eine mündliche Belehrung (...)
Der wichtigste Aspekt zur Lösung liegt direkt in Ihrem ersten Satz, nämlich „bei guter Planung“. Der Idealfall wäre es, einen Backup-Dienstleister von vornherein als Unterauftragsverarbeiter im AV-Vertrag zu benennen.
Neben den wirtschaftlichen Abwägungen im Vorfeld sollten bestenfalls auch Exit-Strategien erarbeitet werden, um den schnellen Wechsel realisieren zu können.
Um eine von Ihnen (...)
Sie haben völlig recht: Der sauberste und sicherste Weg ist, einen Backup-Dienstleister von vornherein als Unterauftragsverarbeiter im AV-Vertrag zu benennen.
Die Herausforderung in der Praxis liegt in den Details:
– Kosten: Ein zweiter Dienstleister, der im Notfall sofort einspringen kann, verursacht in der Regel laufende Kosten, auch wenn er nicht aktiv genutzt wird. Auf Zusicherungen ohne (...)
Muss bei der „besonderen Situation“ die in der Vergangenheit erfolgte Datenschutzverletzung beim gleichen Unternehmen erfolgt sein, wo der Widerspuch abgegeben wird oder ist das völlig unabhängig. Die gleiche Frage stelle ich für die vertragliche Geheimhaltungsvereinbarung.
Interessantes Thema!
Könnte man nicht auch argumentieren, im Krisenfalle im Interesse der Betroffenen (bzw. deren Kunden) zu handeln, wenn man dann den Unterauftragsverarbeiter wechseln muss? Na ja, vermutlich nicht, weil Art. 28 Abs. 2 immer noch dagegenspricht.
Aber nehmen wir mal an, es wird in der Krise einfach ohne Genehmigung auf einen anderen Auftragsverarbeiter mit mindestens gleich hohen TOMs (...)
Meine Bedenken sind in diesem Punkt eher der Umfang der Daten, bspw. dass nur notwendige herausgegeben werden. Der Zweck der Verarbeitung beschrieben wird. Und die Speicherung und Löschung ebenfalls festgelegt wird. Zu dem Zeitpunkt, an dem bspw. das Oppositionsmitglied den Verein verlässt ist nicht klar was mit den Daten ist. Daher befürworte ich die einvernehmliche Lösung und Verarbeitung über den (...)
Guten Tag
Vielen Dank für ihren wertvollen und guten, regelmäßigen Newsletter. Bezüglich der IT - Mitarbeiter in Unternehmen finde ich es wichtig einmal zu betonen, dass diese unabhängig vom TDDDG angemessen geschult und zum Datenschutz schriftlich verpflichtet sein müssen. IT - Admins haben Zugang zu allen möglichen IT Systemen und Fachanwendungen und den darin verarbeiteten personenbezogenen (...)
Tatsächlich sehe ich den Konflikt zwischen SLA und AVV bei guter Planung eigentlich nicht. Um mal bei dem beschriebenen Beispiel zu bleiben: Wenn der Subdienstleister ein Problem mit dem E-Mail-Versand hat, würde der Dienstleister ja in der Regel nicht völlig spontan auf dem Markt eine Alternative suchen, diese dann anbinden, testen, Preise verhandeln etc.
Vielmehr würde er sich im Vorfeld auf (...)
Informieren Sie sich über unsere praxisnahen Webinare
