Information
gem. Art. 12-19, 21 DSGVO
DatCon GmbH | Datenschutzrechtliche Informationspflicht gem. Art. 12-19, 21 DSGVO
Verantwortliche Stelle und Ansprechpartner für Datenschutz
Name und Kontaktdaten der verantwortliche Stelle: DatCon GmbH | Ingenieurbüro für Datenschutz & Unternehmensberatung, vertreten durch Herrn Andreas Sorge, Am Osterfeuer 26, 37176 Nörten-Hardenberg, Telefon: (05503) 915 96 48, Email: sorge@datcon.de
Verarbeitungsrahmen
Kategorien personenbezogener Daten, die verarbeitet werden
- Initiativbewerber: Stammdaten (z.B. Lebenslaufinhalte, Kontakt, Familienverhältnisse, Gesundheit, Kenntnisse, Fähigkeiten)
- Mitarbeiter: Stammdaten (z.B. Lebenslaufinhalte, Kontakt, Familienverhältnisse, Gesundheit, Kenntnisse, Fähigkeiten), Vertrags- und Abrechnungsdaten, Protokolldaten der IT-Systeme (z.B. Firewall, Serverprotokolle), personenbezogene Bild-/Videodaten auf Unternehmensdarstellungen
- Mandanten: Vertragsdaten, Stammdaten, Rechnungsdaten, Kommunikationsdaten, Dokumentationen und Inhalte im Rahmen der Mandantentätigkeit
- Interessenten: Kontaktdaten, übermittelte Inhaltsdaten
- Lieferanten: Vertragsdaten, Kontaktdaten, übermittelte Inhaltsdaten
- Videokonferenz- und Webinarteilnehmer: Kontaktdaten (Vorname, Name, Mailadresse), übermittelte Inhaltsdaten
Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
- Initiativbewerber: Prüfung der Bewerbung
- Mitarbeiter: Abwicklung aller notwendigen und erforderlichen Maßnahmen in einem Angestelltenverhältnis, Sicherstellung des möglichst störungsfreien Betriebes, Marketing (Bild-/Videodaten auf Website und/oder anderen Online-Plattformen, Mitarbeitermotivation bei Vorstellung neuer Mitarbeiter auf z.B. „schwarzem Brett“)
- Mandaten: Mandatserfüllung
- Interessenten: Informationsaustausch
- Lieferanten: Dienstleistungen, Bestellungen
- Videokonferenz- und Webinarteilnehmer: Vertragserfüllung, Informationsaustausch
Rechtsgrundlage der Verarbeitungen gem. Art. 6 Abs. 1
(Je nach Datenverarbeitung trifft nicht jede Rechtsgrundlage zu.)
- Initiativbewerber: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, ggf. Einwilligung zur Verarbeitung
- Mitarbeiter: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, ggf. Einwilligung zur Verarbeitung, Erfüllung einer rechtlichen Verpflichtung, Wahrung der berechtigten Interessen
- Mandanten: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung, Wahrung der berechtigten Interessen
- Interessenten: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Wahrung der berechtigten Interessen
- Lieferanten: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung
- Videokonferenz- und Webinarteilnehmer: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Einwilligung zur Verarbeitung
Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- Vertragsdauer
- gesetzliche Fristen
- Entzug der Einwilligung (sofern notwendig)
- Widerspruch zur Datenverarbeitung
- Dauer der Videokonferenz und des Webinars: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung
Es besteht keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO
Weitergabe und Auslandsbezug
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (je nach Zielgruppe)
- Steuerberater
- interne Nutzung (z.B. Backoffice, Personalbereich, IT)
- Behörden
- Banken
- Versicherungen
- bei Bilddaten (Provider, Marketingagentur, Fotograf)
- Subunternehmer und Kooperationspartner (sofern vertraglich geregelt bzw. geklärt)
- Provider
- Dienstleister (z.B. IT-Support)
Erhebungsquelle: direkt
Es besteht grundsätzlich keine Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Durch die Nutzung von Microsoft Office 365 bzw. weiteren MS-Cloud-Applikationen findet ggf. z.B. im Rahmen von Support-Dienstleistungen von Microsoft teilweise eine Übermittlung von personenbezogenen Daten in die USA statt. Bestandteil des Auftragsverarbeitungsvertrages mit Microsoft sind EU-Standardvertragsklauseln, welche gem. Art. 46 Abs. 2 lit. c DSGVO geeignete Garantien zur Datenübermittlung in Drittländern darstellen.
Datenverarbeitung außerhalb der Europäischen Union
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich Teilnehmende an „Online-Meeting“ in einem Drittland aufhalten.
Auch besteht die Möglichkeit eines Zugriffs durch den amerikanischen Gesetzgeber auf Grundlage amerikanischen Rechts („Cloud-Act“, „Patriot-Act“).
Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.
Betroffenenrechte
- Sie haben das Recht gem. Art. 7 Abs. 3 DSGVO Ihre erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Die Folge ist, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, zukünftig nicht mehr fortführen dürfen;
- Sie haben das Recht gem. Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
- Sie haben das Recht gem. Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- Sie haben das Recht gem. Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit keine anderen Gründe, wie z.B. Erfüllung einer rechtlichen Verpflichtung oder Verteidigung von Rechtsansprüchen, dagegen sprechen.
- Sie haben das Recht gem. Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Absatz 1 Buchstaben e oder f DSGVO verarbeitet werden, haben Sie das Recht, gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
- Die verantwortliche Stelle teilt gem. Art. 19 DSGVO allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit.
- Sie haben das Recht gem. Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
- Sie haben das Recht gem. Art. 22 nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Sie haben das Recht gem. Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
HINGESCHAUT
Hier werden in regelmäßigen Abständen interessante und wichtige Informationen rund um die Themen Datenschutz und Datensicherheit online gestellt.
Auch, wenn Sie vermutlich regelmäßig mit einer Vielzahl von Informationen förmlich zugeschüttet werden, so möchte ich Ihnen dennoch ans Herz legen hier ein wenig zu schmökern.
Durch die Digitalisierung, die unser Leben immer mehr bestimmt, ist die Beachtung von Datenschutz und Datensicherheit sowohl für Unternehmen als auch für Privatpersonen eine absolute Notwendigkeit.
Viel Spaß beim Lesen wünscht Ihnen die DatCon GmbH.
Der US-Privacy-Shield ist weg. Was muss man machen? Was kann man machen?
Die eine Rechtsgrundlage existiert nicht mehr, die andere, die EU-Standardvertragsklauseln für die Zusammenarbeit mit Dienstleistern in Drittländern, wackelt. Auch, wenn ganz langsam Licht ins Dunkel kommt, so besteht noch viel Klärung- und Handlungsbedarf bei den Unternehmen. Kann man weiterhin Dienste, wie beispielsweise Microsoft Office 365, Amazon Web Services oder diverse kleine Tools nutzen bzw. in […]
Boom! Der Privacy Shield ist unwirksam, er ist weg.
Der Europäische Gerichtshof (EuGH) hat am 16.07.2020 das sogenannte „Privacy-Shield“ für unwirksam erklärt. Damit hat er für die Nutzung von einer Vielzahl von Diensten die rechtliche Grundlage zur Nutzung entzogen. Der „Privacy Shield“ war der Nachfolger von „Safe Harbour“ und hat durch Richtlinien und Anforderungen die datenschutzrechtliche Sicherheit für die Verarbeitung und Übertragung von personenbezogenen […]
Verbandbuch? Pflicht! Aber bitte den Datenschutz nicht vergessen.
Jedes Unternehmen, egal welcher Größe, benötigt ein Verbandbuch. Was früher noch „normal“ war, bei einem Unfall hat man einfach die notwendigen Angaben und Informationen eingetragen und alle Mitarbeiter konnten über die Unfälle schmunzeln, ist heute im Zeitalter des Datenschutzes nicht mehr so. Es ist anders! Warum? Es handelt sich bei diesen Informationen um Gesundheitsdaten. Auch […]
Höherer Umsatz = Höheres Bußgeld
Es haben mich einige meiner Mandanten auf dieses unschöne Thema angesprochen: „Können Sie mir in etwa sagen mit welchen Bußgeldern ich rechnen muss?“. Natürlich hängt dies von vielen Faktoren ab, wie z. B. Unternehmensgröße, Umsatz, Stand der Datenschutzorganisation, Kooperation mit den Aufsichtsbehörden, in welchen Bereichen soll das Bußgeld verhängt werden, „Wiederholungstäter“, etc. Ja, man kann […]
Home-Office! Gut? Schlecht? Auf jeden Fall mit Risiken!
Die Corona-Krise hat uns gezeigt. Home-Office ist für das Überleben für eine Vielzahl von Unternehmen sehr wichtig geworden. Allerdings bedeutet dies, dass dadurch der Datenschutz oftmals mehr in Gefahr ist. Früher hieß es beim Thema Home-Office bzw. mobilen Arbeiten, dass dies nur mit guter technischer Vorbereitung möglich sei. Das hat sich nun geändert. Vieles geht […]
„Datenschutzkonforme Dokumentation zum Schutz vor Neuinfektionen mit dem Corona-Virus“
Seit dem 11. Mai 2020 gelten für eine Vielzahl von Unternehmen besondere Anforderungen zum Schutz vor Neuinfektionen mit dem Corona-Virus. Es handelt sich hierbei um die Pflicht zur Erfassung von personenbezogenen Daten. Konkret geht es um: die Kontaktdaten aller Kundinnen und Kunden bzw. aller Teilnehmenden (Vorname, Familienname, vollständige Anschrift und Telefonnummer) den Zeitpunkt des Besuchs […]
Ferienjobber – Gilt da auch der Datenschutz?
Für alle Beschäftigten, die Umgang mit personenbezogenen Daten haben, ist der Datenschutz verpflichtend. Aber schnell gehen z.B. Ferienjobber unter, obwohl diese keine Ausnahme hiervon haben. Auch hier müssen Sie als verantwortliche Stelle alle notwendigen Maßnahmen ergreifen. Die Ferienjobber müssen die Regelungen zum Datenschutz kennen und wissen, worauf sie bei der Verwendung sensibler Daten und Informationen […]
Richtige Nutzung des Bcc-Feldes bei Mails
Sehr häufig sehe ich bei Mandanten eine umfangreiche Liste von Mail-Adressen im An- oder Cc-Feld. Die Mail-Adressen, die Sie in diese Felder eintragen, sind für alle Empfänger sichtbar. Oft ist das ein datenschutzrechtliches Problem. Denn sofern Sie für die Weitergabe der Mail-Adresse keine Einwilligung bzw. keine gesetzliche Grundlage haben, ist dies nicht erlaubt und somit […]
„Cyberangriff! Und was passiert nun?“
Und es trifft nicht nur die großen Unternehmen. Ein Cyberangriff bedeutet eigentlich in allen Fällen für das betroffene Unternehmen Probleme und Stress. Daher sollten Sie sich als Geschäftsführung Gedanken um das notwendige Handeln machen, solange man davon nicht betroffen ist. Was passiert bei einem solchen Angriff? 1. Ihre IT wird „attackiert“. 2. Dadurch funktionieren die […]
Datenschutz: ein Motor für die Digitalisierung
Diese jährlich steigende Zahl ist als kritisch anzusehen, da jeder Kontenabruf einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Der automatisierte Abruf von Kontoinformationen (Kontenabruf) wurde seinerzeit als Folge der Terroranschläge vom 9. November 2001 eingeführt. Es sollte ein Überwachungsprozess für Geldwäsche und Terrorismusfinanzierung sein. Das bedeutet, dass Kreditinstitute die Aufgabe haben bestimmte Kontoinformationen […]
Es bleibt spannend!