Hilfe & Kontakt
Schnell einen Anwalt fragen:
 Antworten,  Bewertungen
503.259
Registrierte
Nutzer
Anwalt? Hier lang

1
 
Frage stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

Datenschutzgrundverordnung Mitarbeiter bzw. Kunden

11.07.2018 03:55 |
Preis: 60,00 € |

Datenschutzrecht


Beantwortet von


Sehr geehrte Damen und Herren,

seit Wochen versuche ich mich durch den "Dschungel" der neuen DSGVO durchzuschlagen, ohne jeglichen Erfolg.

Zuvor ein paar Eckdaten meiner Firma:

Angestellte: zur Zeit 26, davon 21 als Leiharbeitnehmer, 2 gewerbliche sowie 3 kfm. Angestellte.

Anzahl der Mitarbeiter, welche persönliche Daten erfassen = 3

Laut DSGVO benötige ich somit keinen Datenschutzbeauftragten.

Eine Verpflichtungserklärung gegenüber der 3 Mitarbeiter, sowie ein Verzeichnis der Verarbeitungstätigkeiten existiert bereits. Mein Problem besteht vielmehr darin, ob und wieweit ich verpflichtet bin, meine Kunden bzw. Mitarbeiter zu informieren. Und wie eine solches Informationsblatt auszusehen hat.

Des Weiteren würde ich Ihnen gerne die Entwürfe der Verpflichtungserklärung, sowie des Verzeichnisses zur Durchsicht zukommen lassen.

Mit freundlichen Grüßen


11.07.2018 | 11:58

Antwort

von



Charlottenstr. 20
70182 Stuttgart
Tel: 0711 9580 1250
Web: http://www.hos-recht.de
E-Mail:
Diese Anwältin zum Festpreis auswählen Zum Festpreis auswählen

Sehr geehrter Fragesteller,

Ihre Anfrage möchte ich Ihnen auf Grundlage der angegebenen Informationen verbindlich wie folgt beantworten:

Mangels Angaben Ihrerseits kann ich nicht genau einordnen, um welches Unternehmen bzw. um welchen Betrieb es sich in Ihrem Fall handelt. Da Sie angeben 23 gewerblich tätige Mitarbeiter und 3 kaufmännische Angestellte zu beschäftigen, gehe ich an dieser Stelle von einem Produktionsbetrieb aus. Um etwas „Licht" ins Dunkle der DSGVO (neu) zu bringen, stelle ich zunächst die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen darunter auch Produktionsbetriebe dar:

1. Datenschutzbeauftragter (DSB): Bei weniger als 10 Personen im regelmäßigen Umgang mit personenbezogenen Daten muss kein DSB ernannt werden. Sie geben an, dass in Ihrem Betrieb nur 3 Mitarbeiter regelmäßigen Umgang mit personenbezogenen Daten haben. Somit dürfen Sie keinen DSB brauchen.
2. Verzeichnis von Verarbeitungstätigkeiten: Wegen der regelmäßigen Verarbeitung personenbezogener Daten ist die Erstellung eines Verarbeitungsverzeichnisses notwendig.
3. Datenschutz-Verpflichtung von Beschäftigten: Eine Datenschutz-Verpflichtung von Beschäftigten ist durchzuführen. Dabei sind die Mitarbeiter auf das Datengeheimnis zu verpflichten, die mit personenbezogenen Daten umgehen – nicht die in der Produktion.
4. Information- und Auskunftspflichten – Es bestehen Informationspflichten, vor alle bei den Beschäftigten und Kunden sowie auf der Webseite in der Datenschutzerklärung. (hierzu unten mehr)
5. Löschen von Daten: Es gibt eine Anforderung zur Datenlöschung, jedoch erst nach Ablauf gesetzlicher Aufbewahrungspflichten.
6. Sicherheit: Müssen die Daten besonders gesichert werden? Nein, etablierte Standardmaßnahmen sind ausreichend, um die Daten effektiv zu schützen. Eine besondere Sicherung ist nicht notwendig.
7. Auftragsverarbeitung: Es ist ein Vertrag zur Auftragsverarbeitung notwendig, vor allem mit dem Hosting-Anbieter für die Website des Betriebs
8. Datenschutzverletzungen: Bestimmte Vorfälle müssen gemeldet werden, jedoch nur bei relevanten Risiken – eine einfache Online-Meldung beim LDA ist möglich.
9. Datenschutz-Folgeabschätzung (DSFA): Da kein hohes Risiko bei der Datenverarbeitung dieser Art besteht, muss eine DSFA vom Betrieb nicht durchgeführt werden.
10. Videoüberwachung (VÜ): Es besteht eine Ausschilderungspflicht bezüglich einer VÜ.


Näher zu Informations- und Auskunftspflichten:

Jeder Verantwortliche hat den betroffenen Personen schon bei der Datenerhebung bestimmte Informationen über die Verarbeitung ihrer Daten zu geben. Zumindest muss er darauf hinweisen, wo die Informationen leicht zugänglich sind (z. B. Informationsblatt, Homepage). Die betroffenen Personen haben auch das Recht, Auskunft über die Verarbeitung ihrer Daten zu erhalten.

Die DSGVO regelt die Informationsverpflichtungen des Verantwortlichen gegenüber der betroffenen Person in Abhängigkeit davon, ob personenbezogene Daten bei der betroffenen Person direkt (Direkterhebung, Art. 13 DS-GVO) oder bei Dritten (Dritterhebung, Art. 14 DS-GVO) erhoben werden.

a) Informationspflichten bei Direkterhebung:

Bei der Informationspflicht im Falle der Direkterhebung wird zwischen den Informationen unterschieden, die der betroffenen Person mitzuteilen sind (Art. 13 Abs. 1 DGS-GVO) und solchen, die zur Verfügung zu stellen sind, um eine faire und transparente Verarbeitung der personenbezogenen Daten zu gewährleisten (Art. 13 Abs. 2 DS-GVO). Mitzuteilen sind nach Abs. 1:

• Name (ggf. Firmenname gem. § 17 Abs. 1 HGB und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter
• Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten
• Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und zusätzlich die Rechtsgrundlage, auf der die Verarbeitung fußt
• das berechtigte Interesse, insofern die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht (Art. 6 Abs. 1 lit. f DS-GVO)
• Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (vgl. Art. 4 Nr. 9 DS-GVO)
• Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln und zugleich Information, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist oder nicht (bei Fehlen eines solchen Beschlusses ist auf geeignete oder angemessene Garantien zu verweisen und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind)

Zusätzlich sind nach Abs. 2 sind Informationen zur Verfügung zu stellen über:

• die geplante Speicherdauer
• die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit),
• das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt,
• das Beschwerderecht bei einer Aufsichtsbehörde,
• ggf. die gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten und
• im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung zur Verfügung zu stellen.

b) Informationspflichten bei Dritterhebung

Auch im Falle einer Dritterhebung unterscheidet die DS-GVO zwischen mitzuteilenden Informationen (Art. 14 Abs. 1 DS-GVO) und zusätzlichen Informationen, die zur Gewährung einer fairen und transparenten Verarbeitung zur Verfügung zu stellen sind (Art. 14 Abs. 2 DS-GVO).

Art und Inhalt der mitzuteilenden bzw. der zur Verfügung zu stellenden Informationen entsprechen in wesentlichen Teilen denjenigen, die auch im Falle einer Direkterhebung mitgeteilt werden müssen.

Allerdings hat die betroffene Person im Gegensatz zur Direkterhebung nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis darüber, welche personenbezogene Daten erhoben wurden. Daher ist der Verantwortliche nach Art. 14 Abs. 1 lit. d DS-GVO verpflichtet, die Kategorien der verarbeiteten personenbezogenen Daten mitzuteilen. Diese Information muss so konkret sein, dass für den Betroffenen erkennbar wird, zu welchen Folgen die Verarbeitung führen kann.

Bei der Dritterhebung ist zudem nach Art. 14 Abs. 2 lit. f DS-GVO die Datenquelle anzugeben und, ob es sich dabei um eine öffentlich zugängliche Quelle handelt. Stammen die Daten aus mehreren Quellen und kann die Herkunft nicht mehr eindeutig festgestellt werden, muss dennoch eine allgemeine Information gegeben werden.

Bei der Dritterhebung ist weiterhin zu beachten, dass Angaben über die berechtigten Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f DS-GVO) nicht – wie bei der Direkterhebung – unter Abs. 1 fallen, sondern im Rahmen der zusätzlichen Informationen nach Abs. 2 zur Verfügung gestellt werden müssen (Art. 14 Abs. 2 lit. b DSGVO).

c) Zweckänderung und Übermittlung

Die Informationspflichten im Falle einer Zweckänderung gelten sowohl für die Direkterhebung als auch für die Dritterhebung. Neben der Information über die geänderte Zweckbestimmung sind alle Informationspflichten gemäß Art. 13 Abs. 2 DS-GVO (Direkterhebung) oder gemäß Art. 14 Abs. 2 DSGVO (Dritterhebung) erneut zu erfüllen.

d) Zeitpunkt der Erfüllung der Informationspflichten

Bei der Direkterhebung müssen die Informationen zum Zeitpunkt der Erhebung der Daten mitgeteilt bzw. zur Verfügung gestellt werden. Im Falle der Dritterhebung ist der Verantwortliche verpflichtet, die Informationen nachträglich innerhalb einer angemessenen Frist nach Erlangung der Daten mitzuteilen (Art. 14 Abs. 3 DS-GVO). Diese Frist bestimmt sich nach den spezifischen Umständen, darf aber einen Monat nicht überschreiten. Die Monatsfrist ist eine Maximaldauer und sollte nicht pauschal angesetzt werden.

Werden die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet, sind die Informationen spätestens zum Zeitpunkt der ersten Kontaktaufnahme mitzuteilen. Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Offenlegung erteilt werden

e) Ausnahmen

Die Informationspflichten nach den Art. 13 und 14 DS-GVO bestehen nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Im Falle der Dritterhebung bestehen darüber hinaus keine Informationspflichten, wenn die Informationserteilung sich z. B. als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, die Daten einem Berufsgeheimnis unterliegen oder die Erlangung durch Rechtsvorschrift ausdrücklich geregelt ist.

f) Form der Informationspflicht

Gemäß Art. 12 Abs. 1 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln. Die Informationen sind schriftlich oder in anderer Form (ggf. elektronisch) zur Verfügung zu stellen. Wird aber auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese leicht auffindbar sein. Hierbei können auch Bildsymbole hilfreich sein. Die leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.

g) Nachweise der Informationspflichten

Der Verantwortliche hat im Hinblick auf das Transparenzgebot stets den Nachweis einer ordnungsgemäßen Erledigung der Informationspflichten zu erbringen (Art. 5 Abs. 1 lit. a und Abs. 2 DS-GVO).

h) Folgen eines Verstoßes

Der Verstoß gegen die Informationspflichten kann nach Art. 83 Abs. 5 lit. b DS-GVO mit einer Geldbuße bestraft werden.

Ich hoffe, Ihre Frage verständlich beantwortet zu haben und bedanke mich für das entgegengebrachte Vertrauen. Bei Unklarheiten können Sie die kostenlose Nachfragefunktion benutzen.

Für die Einzelprüfung Ihrer Unterlagen/Dokumente möchte ich Sie bitten, mich direkt zu kontaktieren, gerne auch per E-Mail. Auch kann ich Ihnen gerne bei der Erstellung eines Informationsblattes behilflich sein. Ich bitte Sie um Verständnis, dass die Analyse bzw. Erstellung von Unterlagen nicht von der Erstberatung umfasst sein kann.


Mit freundlichen Grüßen

Anna O. Orlowa, LL.M.
Rechtsanwältin und Fachanwältin
für Bank- und Kapitalmarktrecht
Datenschutzbeauftragte (TÜV)

T 0711 9580 1250
F 0711 9580 9119
a.orlowa@hos-recht.de

www.hos-recht.de


Nachfrage vom Fragesteller 11.07.2018 | 16:26

Sehr geehrte Frau Orlowa,

die oben genannten Vorschriften, Informationen und evtl. Konsequenzen sind mir bereits bekannt, da ich mich seit mehreren Wochen damit beschäftige. Meine einzige Frage bezieht sich auf Die Datenschutzverordnung gegenüber Kunden (Info).

Vielleicht gibt es da irgendwie ein Musterexemplar für, woran ich mich etwas orientieren kann.

Mit freundlichen Grüßen

Antwort auf die Nachfrage vom Anwalt 12.07.2018 | 11:03

Sehr geehrter Fragesteller,

gegenüber Ihren Kunden treffen Sie Information- und Auskunftspflichten. Grundsätzlich haben Sie Ihre Kunden über die oben von mir dargestellten Punkte zu informieren. Ich empfehle Ihnen alle Neukunden sofort bei der Datenerhebung zu informieren. Auch gilt meine Empfehlung dahin, die Bestandskunden ebenfalls zu informieren. Ein mögliches Muster, überschreiben als Muster „Information über die Erhebung von Kundendaten ", finden Sie z.B.im Internet auf der Homepage der Handwerkskammer Hannover.

Mit freundlichen Grüßen

Anna O. Orlowa, LL.M.
Rechtsanwältin und Fachanwältin
für Bank- und Kapitalmarktrecht
Datenschutzbeauftragte (TÜV)

T 0711 9580 1250
F 0711 9580 9119
a.orlowa@hos-recht.de

www.hos-recht.de

ANTWORT VON


Charlottenstr. 20
70182 Stuttgart
Tel: 0711 9580 1250
Web: http://www.hos-recht.de
E-Mail:
RECHTSGEBIETE
Arbeitsrecht, Datenschutzrecht, Fachanwalt Bank- und Kapitalmarktrecht
Durchschnittliche Anwaltsbewertungen:
4,6 von 5 Sternen
(basierend auf 64990 Bewertungen)
Aktuelle Bewertungen
5,0/5,0
Die Antwort kam schnell und absolut verständlich. Ich bin sehr zufrieden! ...
FRAGESTELLER
5,0/5,0
Kurze und prägnante Antwort, die nachvollziehbar ist, auch hinsichtlich der weiteren Schritte. ...
FRAGESTELLER
5,0/5,0
Sehr schnelle Antwort, auch auf unsere Rückfrage. Herr Bohle ist ganz konkret auf unsere Fragestellungen eingegangen. Nach der Rückfrage waren die Antworten für uns verständlich und haben uns sehr geholfen. Vielen Dank! ...
FRAGESTELLER