Kontakt

Kontaktieren Sie uns!

Zum Kontaktformular

+ 49 3578 7837 197 mail@edelmann-co.de

Gern informieren wir hier über unsere aktuelle Beobachtungen und Erfahrungen zum Datenschutz in Unternehmen:

Aus unser Beratungspraxis:

Einer unserer Mandanten übernimmt als Logistikdienstleister die Abwicklung von Lieferaufträgen an Privatkunden für einen Auftraggeber, der ein Onlineshop betreibt. Es traten u.a. folgende Fragen auf:

  1. Wer benötigt mit wem einen AVV (AuftragsVerarbeitungsVertrag)?
    Maßgeblich ist hier der zugrunde liegende Dienstleistungsvertrag zwischen unserem Mandanten (Auftragnehmer) und dem Onlineshopbetreiber (Auftraggeber). Der Auftraggeber ist verpflichtet einen entsprechenden Vertrag (AVV) nach Art. 28 DSGVO abzuschließen. In diesem AVV verpflichtet sich der Auftragnehmer alle Anforderungen zur Einhaltung der DSGVO zu erfüllen. (Art. 28, Absatz (3) a) bis h)).
  2. Muss unser Mandant mit dritten Auftragnehmern, die in die Abwicklung des eigentlichen Auftrages eingebunden werden, ebenfalls einen AVV abschließen (Bsp: Paketauslieferung)?
    Dazu heißt es in Art. 28 Abs. (4) der DSGVO: “Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags … dieselben Datenschutzpflichten auferlegt, … Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.”
    Die Antwort lautet: “Ja”, auch wenn dies im konkreten Fall aufwendig ist, mit einem Konzern wie DHL, UPS oder anderen eine solche Vereinbarung zu schließen. Hilfreich kann sein, sich ich hier an den Konzern-Datenschutzbeauftragten zu wenden, was wir auch getan haben.

 

Aus der Aktuellen Ausgabe des DATENSCHUTZ-BERATER 06/2020:

“BayLDA veröffentlicht Stellungnahme zur Erhebung von Kontaktdaten in der Gastronomie in Bayern

Das Bay LDA hat eine kurze datenschutzrechtliche Stellungnahme zu der verbindlich vorgegebenen Erhebung von Kontaktdaten in der Gastronomie in Bayern veröffentlicht. Zu erfassen sind demnach der Name und Kontaktdaten (Telefonnummer, E-Mail-Adresse oder postalische Adresse) sowie der Zeitraum des Aufenthalts. Zur Verfolgung von Infektionsketten genügt es nach Sicht der Behörde aber, dass in Fällen, in denen mehrere in demselben Hausstand lebende Personen gemeinsam die Gaststätte besuchen, nur eine Person dieses Hausstands ihre Kontaktdaten angibt. Zudem wird besonders betont, dass die Daten ausschließlich auf Anforderung des zuständigen Gesundheitsamtes zum Zweck der Nachverfolgung von Infektionsketten dorthin weitergegeben werden dürfen. Eine Verwendung für andere Zwecke – etwa für Zwecke der Werbung durch den Gastronomiebetrieb – ist datenschutzrechtlich unzulässig. Nach Ablauf eines Monats sind die Daten zu vernichten.

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 750.000 € gegen Unternehmen, das Fingerabdruck-Technologie für Anwesenheits- und Zeiterfassung verwendet

In dem vorliegenden Fall führte das Unternehmen ein neues Fingerabdrucksystem ein, um den betrügerischen Missbrauch des früheren Anwesenheits- und Zeiterfassungssystems zu verringern. Obwohl es theoretisch möglich war, dass die Mitarbeiter weiterhin das ältere System benutzten, ergab die Untersuchung der Behörde, dass die Nichtbereitstellung der Fingerabdrücke zu individuellen Gesprächen mit der Geschäftsleitung führte. Darüber hinaus wurde festgestellt, dass das jeweilige Unternehmen seine Mitarbeiter nicht ausreichend über das Fingerabdrucksystem informiert hatte. Die Behörde weist auch darauf hin, dass die Fingerabdrücke ehemaliger Mitarbeiter noch lange nach deren Ausscheiden aus dem Unternehmen im System vorhanden waren. In Ermangelung einer freien Entscheidungsmöglichkeit wurde eine Legitimierung auf Grundlage eine Einwilligung ausgeschlossen und das Vorgehen des Unternehmens als rechtswidrig eingestuft, was zur Verhängung des Bußgelds in signifikanter Höhe von 750.000 € führte.

 

Die rückwirkende Heilung rechtswidriger Datenverarbeitungen

… Die dargestellten Ansichten zeigen, dass eine rückwirkende Einwilligung für eine rechtswidrige Datenverarbeitung grundsätzlich denkbar ist. Beschreitet der Verantwortlichen diesen Weg, ist jedoch zu bedenken, dass die Auf¬DSB 2020 S. 148 (150)sichtsbehörde bei einer Prüfung im Einzelfall einer anderen Ansicht sein kann, was im äußersten Fall eine gerichtliche Überprüfung der Frage nach sich ziehen könnte. Zudem ist freilich zu beachten, dass die rückwirkende Einwilligung alle Anforderungen der DSGVO erfüllen muss.

Den ausführlichen Artikel haben wir hier für Sie abgelegt: 2020-06 Die rückwirkende Heilung rechtswidriger Datenverarbeitungen