Datenschutzbeauftragter

Das Amtsgericht Wiesbaden, Teilurteil vom 26.04.2021, Az. 93 C 2338/20 hat festgestellt, dass die DSGVO auch im Verhältnis Mieter/Vermieter Anwendung findet. In den Leitsätzen heißt es wie folgt:

  1. Eine Sammlung mehrerer Mietverträge eines Vermieters stellt ein Dateisystem gemäß Art. 2 Abs. 1, Art. 4 Nr. 6 der Datenschutz-Grundverordnung dar. Der Mieter hat in diesem Fall grundsätzlich einen Anspruch auf Datenauskunft gegen den Vermieter nach Art. 15 der Datenschutz-Grundverordnung.
  2. Die Speicherung von Namen und Telefonnummer eines Mieters im Mobiltelefon des Vermieters stellt eine automatisierte Verarbeitung personenbezogener Daten gemäß Art. 2 Abs. 1 der Datenschutz-Grundverordnung dar. Gleiches gilt für die Speicherung der Daten durch ein Serviceunternehmen, die im Rahmen der Betriebskostenabrechnung tätig werden. Diese sind Auftragsverarbeiter gemäß Art. 28, Art. 4 Nr. 8 der Datenschutz-Grundverordnung. Der Anspruch auf Datenauskunft richtet sich in diesem Fall gegen den Vermieter.

Der Vermieter wurde verurteilt eine vollständige Datenauskunft über die bei der Beklagten zur Person des Klägers gespeicherten Daten im Sinne des Art. 15 der Datenschutz-Grundverordnung (DSGVO) zu erteilen, und zwar auch über die Verarbeitungszwecke; die Kategorien personenbezogener Daten, die verarbeitet werden; die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; das Bestehen eines Rechts auf Berichtigung und Löschung der ihn betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; wenn die personenbezogenen Daten nicht beim Kläger erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für den Kläger.

Das Urteil ist noch nicht rechtskräftig.

Das Urteil hat weitreichende Auswirkungen und dürfte viele Vermieter vor große Herausforderungen stellen. Sollten Sie Vermieter sein und Hilfe im Datenschutz benötigen stehen wir gerne mit Rat und Tat zur Seite.

 

 

Der Wegfall des EU-US-Privacy-Shield war ein großer Paukenschlag für den E-Commerce Markt. Viele Dienste externer Serviceanbieter durften aus datenschutzrechtlichen Gründen plötzlich nicht mehr genutzt werden.

Insbesondere beim Versand von Newslettern bedienen sich viele Onlinehändler solcher externer Anbieter, die die Organisation, Gestaltung und Versendung von Werbemails übernehmen.

Da jedoch die Datenübermittlung an die USA ohne weiteres nicht mehr möglich ist, wurde die Nutzung solcher Dienstleister, die Daten nach USA übermitteln nun riskant.

Am 15.03.2021 hat das Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) einem Onlinehändler die Nutzung des Mailing-Dienstes Mailchimp untersagt.

Bei der Nutzung von Mailchimp werden Mailadressen der Mailingteilnehmer (also auch von EU-Bürgern) an Server von Mailchimp übertragen, die sich in den USA befinden.

Mailchimp hatte für derartige Datentransfers Standardvertragsklauseln aufgenommen. Dabei handelt es sich grundsätzlich um ein anerkanntes Instrument für die notwendige Datensicherheit bei Transfers von Daten in das europäische Ausland, das anstelle eines Angemessenheitsbeschlusses fungieren kann. Für die USA sind die Standardvertragsklauseln jedoch anscheinend kein adäquates Mitteln. Diese Klauseln verpflichten nämlich US Diensteanbieter zur Einhaltung europäischer Datenschutzbestimmungen im Verhältnis zum Diensteempfänger. Sie gelten also nur zwischen den Vertragsparteien, nämlich hier dem Händler und Mailchimp. Beispielsweise werden aber US-Behörden eben nicht durch diese Klauseln mitverpflichtet. Sie haben daher uneingeschränkte Zugriffsbefugnisse auf Daten und Server. Die Klauseln können Zugriffe von Behörden auch nicht verhindern. Daher sind sich die EU-Datenschutzbehörden weitestgehend einig darüber, dass die bloße Aufnahme von Standardvertragsklauseln nicht ausreicht. Es müssten weitergehende technische und organisatorische Maßnahmen getroffen werden, die den Zugriff von US-Behörden auf EU-Daten verhindern. Denkbar wäre etwas eine entsprechende Verschlüsselung, die nicht von US-Behörden ausgelesen werden kann.

Aufgrund dieses Defizits sieht das BayLDA das notwendige Datenschutzniveau bei der Nutzung von Mailchimp als nicht gegeben.

Das BayLDA hält die Datenübermittlungen an Mailchimp für unzulässig, weil durch die reine Implementierung von Standardvertragsklauseln nicht ausgeschlossen werden könne, dass US-Nachrichtendienste Zugriff auf Daten von Mailchimp bekommen könnten.

Doch das BayLDA ging noch weiter: der Händler hätte im Zuge des Einsatzes von Mailchimp überprüfen müssen, ob neben dem Einbezug von Standardvertragsklauseln noch weitere Maßnahmen für die Datensicherheit getroffen werden müssten. Es war also nicht der reine Einsatz von Mailchimp rechtswidrig, sondern die fehlende Interessen- und Risikoabwägung durch den Händler, die zum Ergebnis eine Entscheidung über weitere datenschutzrechtliche Sicherheitsmaßnahmen hätte.

Dem Händler wurde daher die Nutzung von Mailchimp untersagt, ein Bußgeld wurde ihm nicht auferlegt.

Nach unserer Ansicht ist jedoch eine Bewertung der Datensicherheit und damit auch eine Interessen-und Risikoabwägung durch den Händler nie möglich. Der Händler wird kaum Einsicht in die Datenverarbeitungsprozesse von den genutzten US-Diensten erhalten, jedenfalls nicht hinreichend detailliert. Damit kann er schon den ersten Schritt nicht erfüllen: die Erfassung des Umfangs und der Art aller Datenverarbeitungen. Außerdem hätte der Händler auch nicht die notwendige Expertise, um hier eine Bewertung mit einem tragfähigen Ergebnis zu erlangen.

Am Ende stehen auch noch die jeweiligen Dienste, die individuelle Maßnahmen vornehmen müssten, wozu sie sicher auch nicht bereit wären.

In der Konsequenz ist weiterhin davon abzuraten, Dienste in Anspruch zu nehmen, die Daten in das europäische Ausland, insbesondere USA, weiterleiten, dort verarbeiten oder speichern.

Weiterhin bleibt es bei der Auffassung, dass die Nutzung von US-Diensten, die sich bloß auf Standardvertragsklauseln berufen, nach wie vor grundsätzlich nicht zulässig.

 

Sie haben Fragen zum Datenschutz? Dann sind Sie bei uns richtig!

 

Viele Ärzte und Arztpraxen sind unsicher, ob sie einen Datenschutzbeauftragten benötigen.

 

Grds. ist  ein Datenschutzbeauftragter (DSB) in Unternehmen immer zu benennen wenn 20 oder mehr Personen einschließlich der oder dem Verantwortlichen mit der Verarbeitung von Gesundheitsdaten befasst sind. Bei weniger als 10 Personen benötigen Sie dennoch einen Datenschutzbeauftragten

 

Ob ein Datenschutzbeauftragter in der Arztpraxis zwingend notwendig ist, hängt von konkreten Umständen ab, die in Art. 37 DSGVO festgelegt sind.

Demnach ist in drei Fällen ein Datenschutzbeauftragter zwingend zu benennen.

  1.  

 Die  Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle, mit Ausnahme von Gerichten.

Dies dürfte eher die Ausnahme sein.

  1.  

Die Kerntätigkeit der Arztpraxis bzw. Auftragsverarbeiter besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Auch dies dürfte bei Ärzten eher die Ausnahme darstellen

  1.  

Die Kerntätigkeit besteht in der umfangreichen Verarbeitung von Daten nach Artikel 9 und 10 DSGVO. Dazu gehören Nach Art. 9 DSGVO auch „Gesundheitsdaten“.

Die aktuell herrschende Meinung nimmt an, dass eine umfangreiche Verarbeitung nicht bei einer Praxis mit einem Arzt stattfindet. Unklar ist aber, ob dies auch für zwei, drei oder vier Ärzte gilt. Die wohl herrschende Auffassung geht hier von einer umfassenden Verarbeitung von Gesundheitsdaten aus.

Ab fünf Ärzten stellt sich die Frage in der Regel nicht mehr, da durch die Anzahl der Sprechstundenhilfen  wieder die „20 Personen Regel“ nach § 38 BDSG eingreift, so dass man in jedem Fall  einen Datenschutzbeauftragten benötigt.

Zusammenfassend lässt sich sagen, dass bei einer Arztpraxis mit mehreren Berufsträgern ein Datenschutzbeauftragter zwingend benannt werden muss .Das gilt folglich für Gemeinschaftspraxen mit mehr als einem Arzt.

Auch wenn bei einem Einzelarzt ein Datenschutzbeauftragter nicht zwingend vorgeschrieben ist, sollte dennoch überlegt werden, ob nicht trotzdem einer bestellt wird. Denn auch der Einzelarzt muss viele datenschutzrechtliche Vorgaben beachten.

Wir sind u.a. auf die Beratung von Arztpraxen spezialisiert und helfen ihnen schnell  und effektiv bei der Umsetzung der Vorschriften der DSGVO. Wir sind als externe Datenschutzbeauftragte in Arztpraxen tätig.

 

Nutzen Sie unsere kostenlose telefonische Ersteinschätzung um sich zu orientieren. Wir helfen gern!

Wir bieten auch Schulungen zum Thema Datenschutz in Arztpraxen an.

Es kommt regelmäßig vor, dass in den Kitas und in der Schulen Fotos oder auch Videos aufgenommen werden. Sie dienen als Erinnerung für die Kinder und Eltern oder auch um die Kita/Schule zu präsentieren, etwa durch Veröffentlichung auf der Webseite im Internet auch durch Aufhängen im Eingangsbereich.

Aber ist das eigentlich so erlaubt? Braucht man eine Einwilligung? Wie muss eine Einwilligung aussehen? Viele Lehrkräfte sind hier unsicher, was sie beachten müssen.

Grds. gilt zunächst, dass jede Person ein Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Sie darf grundsätzlich selbst über die Preisgabe  und  Verwendung  ihrer  persönlichen  Daten  bestimmen.  Dies gilt natürlich auch für Kinder. Bei Bild-, Ton- und Videoaufnahmen von Kindern im Kindergartenalter sind dann die Erziehungsberechtigten entscheidungsbefugt.

Das wichtigste ist, dass es für jedes Foto jede Videoaufzeichnung einer Einwilligung der Erziehungsberechtigten (Eltern bedarf). Dies muss auch schon bei der Fertigung der Fotos eingeholt werden nicht erst, wenn diese veröffentlicht werden!

Dies gilt auch für Gruppen und Klassenfotos!

Eine einzige Ausnahme gibt es, wenn die Personen auf dem Foto der Videoaufnahme „nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“.  Wenn also etwa das Gebäude der Schule aufgenommen wird und am Rand ein Schüler zu sehen ist.

Welchen Inhalt muss eine Einwilligung haben.

Zunächst muss die Einwilligung informiert und freiwillig sein. Es muss beschriebenen werden, für welche möglichst genau beschriebenen Zwecke die Fotos/Videoaufzeichnungen angefertigt werden sollen. Auch bedarf es der Festlegung, was mit den Aufnahmen geschehen soll und wie lange diese aufbewahrt werden. Auch müssen die Eltern darüber informiert werden, dass sie die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Folgende Punkte müssen in der Einwilligungserklärung enthalten sein:

  1. Zweckbestimmung der Aufnahmen

In der Einwilligung muss der Rahmen, in denen die Aufnahmen gemacht werden, genannt werden (z.B. Sportfest) und zum anderen zu welchem Zweck (i. d. R. Beobachtung und Dokumentation, Erinnerung an die Kita-Zeit) die Kita/die Schule beabsichtigt, Fotos bzw. Video- und Tonaufnahmen der Kinder anzufertigen.

Der Zweck sollte genau beschrieben werden. Gegebenenfalls  bietet  es  sich  an,  zwischen Foto-, Video- und Tonaufnahmen in der Einwilligung auch zu differenzieren.

 

  1. Nutzung der Aufnahmen

 In der Einwilligungserklärung muss darüber aufgeklärt werden, in welcher Weise die Fotos/Videoaufnahmen  genutzt  werden und auch wem sie  gezeigt  oder  vorgeführt  werden.  Die Eltern sollten  hier auch Angaben machen können, ob sie einer Nennung des Namens und/oder des Alters ihrer Kinder unter Bildern zustimmen oder nicht.

  1. Aufbewahrungszeit und Zeitpunkt der Löschung

In eine wirksame Einwilligungserklärung ist auch zu informieren wie lange die Aufnahmen aufbewahrt und wann diese gelöscht bzw. vernichtet werden. Aufnahmen, die z. B. nach einem Entwicklungsgespräch nicht mehr gebraucht werden, sind zu löschen.

werden von den Festplatten oder mobilen Datenträgern gelöscht oder vernichtet. Das Gleiche gilt, wenn ein Kind die Einrichtung verlässt. 

  1. Freiwilligkeit/Möglichkeit des Widerrufs

Die Eltern sollten ebenso darauf hingewiesen werden, dass die Einwilligung freiwillig ist und ihnen keine Nachteile entstehen, wenn sie die Einwilligung nicht erteilen oder sie widerrufen möchten.

Insbesondere darf die Aufnahme eines Kindes in die Kita nicht von der Erteilung  der  Einwilligung  abhängig  gemacht  werden.  Eine erteilte Einwilligung kann für die Zukunft wiederrufen werden. Bei Druckwerken ist ein Widerruf nicht mehr möglich ist, wenn der Druckauftrag bereits erteilt ist.

Wenn Sie Fragen haben oder Hilfe brauchen stehen wir Ihnen gerne mit Rat und Tat zu Seite.

 

Nächste Seite »