Selbstprüfung

Self-Audit

A. Datenschutzbeauftragter

1. Einleitung
2. Anforderungen an den Datenschutzbeauftragten
3. Intern oder Extern
4. Stellung des Datenschutzbeauftragten
5. Aufgaben des Datenschutzbeauftragten
6. Konsultationsrecht der Betroffenen
7. Unterstützung für den Datenschutzbeauftragten
8. Bußgelder
9. Veröffentlichungs- und Meldepflicht der Kontaktdaten

B. Verzeichnis von Verarbeitungstätigkeiten

1. Einleitung
2. Verantwortlichkeit Verzeichnis von Verarbeitungstätigkeiten 3. Inhalt des Verzeichnis von Verarbeitungstätigkeiten
4. Templates und Verzeichnis

C. Datenschutzerklärung
D. Auftragsdatenverarbeitung

1. Tauglichkeit des Auftragsdatenverarbeiter
2. Auftragsdatenvereinbarung
3. Weitergabe von Daten an Dienstleister außerhalb der europäischen Union

E. Auskunftsrecht

1. Zu erteilende Informationen 2. Form der Erteilung
3. Kosten
4. Bußgeld

5. Weitere Informationen

F. Datenportierbarkeit

Einleitung
1. Vorraussetzungen
2. Bereitstellung der Daten 3. Übermittlung
4. Ausnahmen
5. Kosten
6. Geldbuße
7. Weitere Informationen

G. Datengeheimnis

1. Verpflichtung der Mitarbeiter auf das Datengeheimnis

2. Datenschutzsensibilisierung

H. Betriebsvereinbarungen

Betriebsvereinbarung

I. Umgang mit Datenpannen / Krisenreaktionsplan

1. Einleitung

2. Rechtliche Pflichten bei Datenpannen

J. Datenminimierung – “Privacy by Design” & “Privacy by Default”

1. Datenminimierung 2. Privacy by Design 3. “Privacy by Default” 4. Löschkonzept

K. Maßnahmen zur Überprüfung, Bewertung und Verbesserung der Sicherheitsmaßnahmen

1. Maßnahmen zur Überprüfung, Bewertung und Verbesserung der Sicherheitsmaßnahmen

L. Datenerhebung auf Basis von Einwilligungen

1. Aktuelle Gesetzeslage in Deutschland Gesetzeslage nach Inkrafttreten der DS-GVO

A. Datenschutzbeauftragter

1. Einleitung

Ausweislich Ihrer Angaben im Fragebogen benötigen Sie gesetzlich keinen Datenschutzbeauftragten.

Sie können jedoch freiwillig einen solchen bestellen.

2. Anforderungen an den Datenschutzbeauftragten

Der Datenschutzbeauftragte muss beruflich ausreichend qualifiziert sein und genügendes Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen.

Hierzu kann sich an den Anforderungen des Düsseldorfer Kreises orientiert werden, welche sich allerdings noch auf die alte Rechtslage bezieht.
https://www.lda.bayern.de/media/dk_mindestanforderungen_dsb.pdf

3. Intern oder Extern

Der Datenschutzbeauftragte kann sowohl intern wie extern bestimmt werden.

Bei einem internen Datenschutzbeauftragter übernimmt die Rolle ein Mitarbeiter entweder eigens oder parallel zu seinen anderen Aufgaben.
Die Wahrnehmung anderer Aufgaben darf jedoch nicht zu einem Interessenskonflikt führen.
Aus diesem Grund kann ein Datenschutzbeauftragter nicht Teil der Unternehmensleitung oder Leiter von datenschutzrelevanten Bereichen sein.

Ein externer Datenschutzbeauftragter wird als Dienstleister für das Unternehmen tätig.

4. Stellung des Datenschutzbeauftragten

Der Datenschutzbeauftrage berichtet unmittelbar an die höchste Managementebene des Unternehmens.

Er ist unabhängig, und weisungsfrei bezüglich der Erfüllung seiner Aufgaben.
Der Datenschutzbeauftragte darf wegen seiner Tätigkeiten keine Nachteile entstehen.
In Deutschland darf ihm, sofern er gesetzlich verpflichtend zu bestellen ist, nur gekündigt werden, so der Kündigungsgrund eine fristlose Kündigung rechtfertigen würde.

5. Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte hat mindestens folgende Aufgaben

-Die Unterrichtung und Beratung des Verantwortlichen und der mit Datenverarbeitung beschäftigten Mitarbeiter zu den Pflichten nach der DS-GVO
– Die Überwachung der Einhaltung der Verordnung sowie anderer Datenschutzvorschriften im Unternehmen.
– Die Schulung und Sensibilisierung der Mitarbeiter

– Die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung – Die Zusammenarbeit mit der Aufsichtsbehörde

6. Konsultationsrecht der Betroffenen

Der Datenschutzbeauftragter gilt als Bindeglied zwischen den Unternehmen und einer von Datenvearbeitung betroffenen Person.

7. Unterstützung für den Datenschutzbeauftragten

Dem Datenschutzbeauftragten müssen ausreichend Ressourcen zur Verfügung gestellt werden, um seine Aufgaben zu erfüllen sowie um sein Fachwissen zu erhalten.

Ressourcen um seine Aufgaben zu erfüllen können Räumlichkeiten, Geräte und finanzielle Mittel darstellen. Unter Umständen sind auch weitere Mitarbeiter zur Unterstützung abzustellen.
Sofern der Datenschutzbeauftragte seine Aufgaben parallel zu anderen Tätigkeiten erfüllt, muss ihm ausreichend Zeit zur Verfügung stehen.

Ebenfalls benötigt er Zugang zu Systemen und Bereichen, sofern dies zur Prüfung der Datenverarbeitungen notwendig ist.

Um sein Fachwissen zu erhalten sollte ihm einschlägige Fachliteratur (juristische Kommentare, Fachzeitschriften) und Zugang zu Fort- und Weiterbildungsmaßnahmen zur Verfügung stehen.

8. Bußgelder

Hat ein Unternehmen keinen Datenschutzbeauftragten, obwohl diese gesetzlich dazu verpflichtet ist, kann eine Geldbuße von 10.000.000EUR bzw. bis zu 2% des Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden!

9. Veröffentlichungs- und Meldepflicht der Kontaktdaten

Die Kontaktdaten des Datenschutzbeauftragen müssen vom Unternehmen veröffentlicht werden, etwa in der Datenschutzerklärung.

Zusätzlich müssen die Daten der zuständigen Aufsichtsbehörde mitgeteilt werden. Dies muss vor dem 25.Mai 2018 passieren!

B. Verzeichnis von Verarbeitungstätigkeiten 1. Einleitung

Sie haben angegeben, bereits ein Verfahrensverzeichnis zu führen. Damit erfüllen Sie aktuell die Vorgabe des BDSG.

Bis zum 25.Mai 2018 müssten Sie das Verfahrensverzeichnis überarbeiten, um die neuen Vorgaben der Ds-GVO zu erfüllen.

2. Verantwortlichkeit Verzeichnis von Verarbeitungstätigkeiten

Nach aktuellen Recht ist der Datenschutzbeauftragte (sofern vorhanden) explizit zur Führung des Verfahrensverzeichnis verpflichtet. Zukünftig liegt die Verantwortung direkt bei der Unternehmensleitung, wie auch schon bisher, so kein Datenschutzbeauftragter im Unternehmen vorhanden ist.

Es spricht jedoch nichts dagegen, das Führen und die Aufrechterhaltung auch zukünftig dem Datenschutzbeauftragten zu übertragen, so ein solcher im Unternehmen vorhanden ist.

3. Inhalt des Verzeichnis von Verarbeitungstätigkeiten

– Name und Kontaktdaten des Unternehmens und gegebenenfalls seiner Vertreter und des Datenschutzbeauftragten (so vorhanden)
– Im Falle der gemeinsamen Datenverarbeitung mit einem anderen Unternehmen sind auch dessen Daten zu nennen
– Zweck(e) der Verarbeitung
– Beschreibung der Kategorien der betroffenen Personen und die Kategorien der verarbeiteten personenbezogenen Daten
– Kategorien von Empfängern von personenbezogenen Daten einschließlich Empfängern in Drittstaaten oder internationalen Organisationen
– Umstand, ob Übermittlung in Drittstaaten stattfindet
– Löschfristen, so bestimmbar
– Allgemeine Beschreibung von technischen und organisatorischen Maßnahmen so möglich

4. Templates und Verzeichnis

Mit den Templates und dem Verzeichnis für Verarbeitungstätigkeiten des Datenschutz-Compliance-Produktes können Sie sich dieses leicht erstellen.

C. Datenschutzerklärung

Sie haben angegeben, bereits eine Datenschutzerklärung zu verwenden, welche DS-GVO konform ist, damit brauchen Sie sich hier keine Sorgen zu machen.

D. Auftragsdatenverarbeitung
1. Tauglichkeit des Auftragsdatenverarbeiter

Sie haben angegeben, einen Auftragsverarbeiter zu nutzen.

Auch bei Nutzung eines externen Auftragsverarbeiter bleiben Sie jedoch verantwortlich für die Daten Ihrer Kunden. Der Auftragsverarbeiter ist lediglich “ausführendes Organ”.

Die DS-GVO verpflichtet Sie, zu prüfen, dass der Auftragsdatenverarbeiter die technischen und organisatorischen Maßnahmen trifft, die Daten im Einklang mit dem Datenschutz verarbeitet.

2. Auftragsdatenvereinbarung

Zwischen Ihnen als Verantwortlichen und dem Auftragsdatenverarbeiter muss ein Vertrag, eine sogenannte Auftragsvereinbarung schriftlich getroffen werden.

In der Auftragsverarbeitung muss insbesondere geregelt werden:

– Das der Auftragsverarbeiter die Daten nur auf Weisung von Ihnen verarbeitet, außer zur Erfüllung

einer gesetzlichen Pflicht
– Die Personen, welche beim Auftragsverarbeiter Daten verarbeiten, müssen zur Vertraulichkeit und Verschwiegenheit verpflichtet sein.
– Der Auftragsverarbeiter muss gemeinsam mit dem Verantwortlichen für ein dem Risiko angemessenem Schutzniveau sorgen
– Der Auftragsverarbeiter unterstützt den Verantwortlichen in seinen datenschutzrechtlichen Pflichten, insbesondere bezüglich der Auskunftspflicht gegenüber dem Betroffenen
– Nach Abschluss der Datenverarbeitung müssen die Daten gelöscht oder an den Verantwortlichen zurückgegeben werden, so keine gesetzliche Verpflichtung eine weitere Speicherung erfordert.

Sollte der Auftragsverarbeiter selbst einen Dienstleister für die Verarbeitung der Daten nutzen, ist dieser in gleicher Weise zu verpflichten.

Musterverträge zur Auftragsverarbeitung sind hier erhältlich:

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-

Anlage-Mustervertrag-online.pdf https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_4.pdf https://www.lda.bayern.de/media/muster_adv.pdf

Viele Anbieter bieten selbst entsprechende Verträge an.
Diese werden insbesondere bei amerikanischen Unternehmen auch als “Data Processing Agreement” oder “Data Processing Addendum” genannt.

3. Weitergabe von Daten an Dienstleister außerhalb der europäischen Union

3.1 Sie haben angegeben, Daten auch an Dienstleister außerhalb der europäischen Union zu geben. Dies ist nur unter engen Vorraussetzungen zulässig.

3.2 Für folgende Länder gibt es Beschlüsse der Europäischen Kommission, die diesen ein angemessenen Schutzniveau bescheinigen:

Europa:
– Andorra

– Faröer
– Guernsey<(li> – Insel Man
– Jersey
– Schweiz

Nord- und Südamerika: – Argentinien

– Kanada(Bei Datenverarbeitung von kanadischen Organisationen im Rahmen kommerz. Tätigkeit
– Uruguay
– USA (EU-US – Privacy Framework) US-Organisationen müssen in Datenschutz-Schild-Liste von US- Handelsministerium auftauchen
– Dies können Sie hier überprüfen:
https://www.dataprivacyframework.gov/list

Asien&Ozeanien:
– Israel(Nur automatisierte Datenverarbeitungen, nur völkerrechtliches Gebiet des Staat Israel) – Neuseeland

3.3 Ansonsten dürfen Daten nur weitergegeben werden, sofern Garantien für ein angemessenes Schutzniveau gegeben werden können, durch:

Verbindlich interne Datenschutzvorschriften
Standarddatenschutzklauseln welche durch die EU-Kommission erlassen wurden Standarddatenschutzklauseln welche durch die Aufsichtsbehörden genehmigt wurden Genehmigte Verhaltensregeln
Genehmigte Zertifizierungsmechanismen
Vertragsklauseln, welche durch die zuständige Aufsichtsbehörde genehmigt wurden

E. Auskunftsrecht

Sie haben angegeben, bereits Verfahren entwickelt zu haben, um betroffenen Personen Auskünfte über sie betreffende gespeicherte Daten geben zu können.

Damit sind Sie für die Erfüllung des zukünftigen Auskunftsrecht bereits gerüstet. Im Anschluss erfahren Sie, welche Daten Sie zur Verfügung stellen müssen.

1. Zu erteilende Informationen

Sie müssen folgende Informationen auf Antrag der betroffenen Person erteilen:

– Den oder die Verarbeitungszwecke, also wofür die Daten benötigt und verarbeitet werden
– Die Kategorien personenbezogener Daten, die verarbeitet werden
– die Empfänger oder Kategorien von Empfängern, gegenüber welchen Daten offengelegt werden. Insbesondere muss über Empfänger hingewiesen werden, welche außerhalb der EU liegen, oder internationale Organisationen sind.
– Die geplante Dauer der Speicherung soweit möglich, bzw. die Kriterien für die Festlegung der Dauer – Die Rechte der betroffenen Person (Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung und das Recht auf Widerspruch gegen Verarbeitung)
– Bestehen eines Beschwerderechts gegen Aufsichtsbehörde
– Herkunft der Daten sofern die Daten nicht beim Betroffenen erhoben
– Bei Automatisierter Entscheidungsfindung (Profiling), z.B. automatischer Bonitätsprüfung darüber das eine solche stattfindet und welche Folgen dadurch entstehen können.
– Bei Übermittlung in ein Drittland oder an eine internationale Organisation muss auf die Garantien hingewiesen werden, welche personenbezogenen Daten hier schützen.

Die Rechte und Freiheiten anderer Personen sollen dadurch nicht beinträchtigt werden.
Hier ist an Geschäftsgeheimnisse und Rechte des geistigen Eigentum(z.B. Urheberrecht an Software) zu denken. Diese sollen jedoch höchstens zu einer Einschränkung der gegebenen Daten führen, nicht zu einer völligen Abweisung eines Auskunftsanspruches.

2. Form der Erteilung

Das Unternehmen muss dem Auskunftsersuchenden eine Kopie seiner Daten zur Verfügung stellen.

Bei elektronischen Auskunftsersuchen, etwa per E-Mail, sind die Informationen auch elektronisch in einem gängigen elektronischen Format zur Verfügung zu stellen.

3. Kosten

Die Erteilung einer Kopie hat unentgeltlich zu erfolgen.
Für weitere Kopien dürfen Entgelte gefordert werden, welche den entstehenden Verwaltungsaufwand decken.

4. Bußgeld

Eine Nichterfüllung des Auskunftes kann zu einer Geldbuße führen.

5. Weitere Informationen

Näheres zum Auskunftsrecht erfahren Sie auch hier:

/infothek/whitepaper/ds-gvo-die-ausweitung-der-betroffenenrechte-stand-maerz-2018#Auskunftsrecht

In Kürze werden wir ein Online-Formular zur Verfügung stellen, welches Ihnen die Erfüllung des Auskunftsrecht erleichtert.

F. Datenportierbarkeit Einleitung

Sie haben angegeben, bereits ein Verfahren für die Portierung von Daten bereitzustellen.

Im Weiteren erhalten Sie nähere Informationen, um das Verfahren sofern benötigt noch auf die Vorgaben anzupassen.

1. Vorraussetzungen

Für ein Recht auf Datenübertragbarkeit muss der Nutzer die Daten dem Verantwortlichen selbst bereitgestellt haben. Darüber hinaus muss die Erhebung der Daten auf eine der Rechtsgrundlagen der Einwilligung oder eines Vertrags beruhen.

Beides ist im Onlinehandel bei einer Bestellung eines Kunden grundsätzlich der Fall.

2. Bereitstellung der Daten

Die Daten müssen als Datensatz in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Grundsätzlich sollte das Format unabhängig von etwa einem Betriebssystem zu verwenden sein.
Es besteht jedoch keine Pflicht zur Übernahme oder Bereithaltung technisch miteinander kompatibler Datenverarbeitungssysteme.

3. Übermittlung

Der Antragssteller hat das Recht, die Daten einem Dritten, im Normalfall dem neuen Anbieter zur Verfügung zu stellen. Technische Maßnahmen die diese Übermittlung erschweren oder sogar komplett verhindern sind daher unzulässig.

Der Antragsteller kann auch verlangen, dass der Datensatz vom ursprünglichen Anbieter direkt an den neuen Anbieter übermittelt wird, soweit dies technisch machbar ist.

4. Ausnahmen

Die Datenportierbarkeit ist zunächst einmal unabhängig vom Recht auf Löschung
Insbesondere müssen für die Erfüllung eines Vertrages notwendige Daten nicht gelöscht werden.

Auch aufgrund gesetzlicher Vorgaben wie etwa die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe kann die Datenportabilität ausgeschlossen werden.

Wenn Rechte und Freiheiten anderer Personen beeinträchtigen würden könnte dies dazu führen dass die Daten nicht (vollständig) übertragt werden dürfen.

Auch müssen offenkundig unbegründeten oder exzessiven Anträgen ebenso wenig entsprochen werden, wie solchen, bei welchen eine Identifizierung des Antragsstellers nicht möglich ist.

5. Kosten

Für die Übermittlung der Daten sollen dem Nutzer keine Kosten entstehen.

Eine Ausnahme besteht nur bei missbräuchlichen oder exzessiven Anfragen

6. Geldbuße

Eine Nichterfüllung des Antrags auf Datenportabilität kann zu einer Geldbuße führen.

7. Weitere Informationen

Näheres zum Datenübertragunstrecht erfahren Sie auch hier:

/infothek/whitepaper/ds-gvo-die-ausweitung-der-betroffenenrechte-stand-maerz-

2018#Datenuebertragbarkeitsrecht

G. Datengeheimnis
1. Verpflichtung der Mitarbeiter auf das Datengeheimnis

Sie haben angegeben, die mit der Verarbeitung von personenbezogenen Daten beschäftigten Mitarbeiter bereits auf das Datengeheimnis zu verpflichten.

2. Datenschutzsensibilisierung

In jeden Fall sollten Sie darauf achten, Ihre Mitarbeiter auf Einhaltung des Datenschutzes zu sensibilisieren. Machen Sie klar, dass alle Daten, seien es die von Kunden, Mitarbeitern, Lieferanten oder anderen natürlichen Personen zu schützen sind und ein verantwortungsvoller Umgang von Nöten ist.

H. Betriebsvereinbarungen Betriebsvereinbarung

Bestehende Betriebsvereinbarungen müssen auf die Vereinbarung mit der DS-GVO geprüft werden.

So muss geprüft werden, ob die Erlaubnis für die Verarbeitung der Daten der Beschäftigten auch nach der DS- GVO weiterhin zulässig ist.

Auch die Grundprinzipien der DS-GVO sollte in den Betriebsvereinbarungen Anwendung finden.
So sollte beispielsweise aufgrund des Grundsatzes der Datenminimierung stets nur die benötigten Daten der Beschäftigten erfaßt werden.

Besondere Regeln gelten für die besonderen Arten der personenbezogenen Daten wie solche zur rassischen oder ethnischen Herkunft, Religiösität, Gesundheitsdaten und biometrischen Daten.
HIerunter fallen insbesondere Regelungen, welche Zugangsbeschränkungen unter Nutzung von biometrischen Daten(z.B. Fingerabdruckscanner) regeln.

Auch sind Informationspflichten gegenüber den Beschäftigten zu erfüllen.

I. Umgang mit Datenpannen / Krisenreaktionsplan 1. Einleitung

Sie haben angegeben, bereits einen Krisenreaktionsplan erarbeitet zu haben.

Dieser sollte bis zum 25.05.2018 jedoch überarbeitet werden, um den neuen Vorgaben der DS-GVO zu entsprechen.

2. Rechtliche Pflichten bei Datenpannen

Bei Vorliegen eines Datenschutzverstoßes, wie dem Hacken eines Servers unter Zugriff auf Kundendaten oder unbefugten Zugriff durch einen Mitarbeiter, ist dieser mit den Auswirkungen und den ergriffenen Abhilfemaßnahmen in für die Aufsichtsbehörden nachvollziehbarer Art zu dokumentieren.

Im Normalfall muss die Datenpanne unverzüglich, d.h. ohne schuldhaftes Zögern, und sofern möglich innerhalb von 72 Stunden ab Kenntnis an die Aufsichtsbehörden zu melden.

Die Meldepflicht entfällt, sofern die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.
Etwa, wenn die Kundendaten auf die durch einen Hack zugegriffen wurde, nach aktuellen technischen Standard verschlüsselt wurden, und ein Missbrauch daher ausgeschlossen werden kann.

Sofern das Risiko des Daten-Mißbrauches für die betroffene Person(en) als hoch eingeschätzt werden muss,

etwa bei Zugriff auf Kreditkartendaten oder Einsicht auf intime Details, muss zusätzlich die Betroffene Person informiert werden.
Diese Pflicht entfällt, so der Aufwand für die individuelle Benachrichtigung zu hoch ist, und dies durch eine öffentliche Bekanntmachung passieren kann.

Genaue Informationen zum Vorgehen bei Datenpannen erhalten Sie hier:

/infothek/allgemein/ds-gvo-wie-geht-man-mit-datenpannen-um

Wir werden in Kürze ein Onlineformular zur Erfüllung der Meldepflicht zur Verfügung stellen.

J. Datenminimierung – “Privacy by Design” & “Privacy by Default” 1. Datenminimierung

Sie haben angegeben, bereits jetzt sowenige Daten wie notwendig zu erheben. Auch bei zukünftig zu konzipierenden Anwendungen sollten Sie darauf achten, nähere Informationen erhalten Sie nachfolgend.

2. Privacy by Design

Die DS-GVO sieht vor, dass der Verantwortliche, also das Unternehmen, angemessene technische organisatorische Maßnahmen trifft, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen.

Hierbei soll der Stand der Technik, die Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitung berücksichtigt werden. Ebenso spielt die Eintrittswahrscheinlichkeit und Schwere der Risiken für Rechte und Freiheiten von natürlicher Personen eine Rolle.

Beispielsweise kann die Pseudonymisierung von Daten eine Methode sein, den Grundsatz der Datenminimierung zu erreichen.

3. “Privacy by Default”

Ebenso müssen Unternehmen darauf achten, dass anhand der Grund- oder Voreinstellung einer Anwendung personenbezogene Daten nur verarbeitet werden, wenn dies für die jeweilige Funktionalität erforderlich ist.

Die Sparsamkeit bezieht sich dabei auf die Menge der personenbezogenen Daten, den Umfang der Datenverarbeitung, die Dauer der Speicherung von Daten und den Zugriff, den Dritte auf die Daten haben.

Sie sollten alle verwendeten Formulare, etwa im Bestellverlauf, Kontaktformulare oder solche um Newsletterbestellung überprüfen.
Fragen Sie sich bei jedem abgefragten Datum:
Benötige ich dieses zur Erfüllung des Zweckes wirklich?

Sollte dies nicht der Fall sein, sollten Sie dieses entweder nicht abfragen oder deutlich machen, dass es sich hier um kein Pflichtfeld handelt. Hierzu empfiehlt sich etwa bei allen Pflichtfeldern eine Sternchenmarkierung zu verwenden und diese unterhalb des Formulares mit “*Pflichtfeld” zu markieren.

4. Löschkonzept

Ein Löschkonzept, also Regeln, wann Daten wie zu löschen sind, ist nicht zwingend vorgeschrieben, aber dringend anzuraten.

Nähere Informationen dazu erhalten Sie hier:

https://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf

In jedem Fall sollten Sie in regelmäßigen Abständen, mindestens jährlich, überprüfen, ob Daten noch benötigt werden, und diese gegebenfalls löschen. In den Templates des Verfahrenverzeichnisses finden Sie empfehlenswerte Löschfristen für die einzelnen Verarbeitungstätigkeiten.

K. Maßnahmen zur Überprüfung, Bewertung und Verbesserung der Sicherheitsmaßnahmen

1. Maßnahmen zur Überprüfung, Bewertung und Verbesserung der Sicherheitsmaßnahmen

Sie haben angegeben bereits einen Plan haben, die genutzten Technischen und Organisatorischen Maßnahmen regelmäßig zu überprüfen.
Damit erfüllen Sie bereits diese Vorgabe der Datenschutzgrundverordnung.

L. Datenerhebung auf Basis von Einwilligungen 1. Aktuelle Gesetzeslage in Deutschland

Nach der aktuellen Gesetzeslage des BDSG stellt die Einwilligung eine der Erlaubnistatsbestände dar, unter welchen eine Datenerhebung erlaubt ist.

Tatsächlich ist dies aktuell eine der sichersten und verläßlichsten Methoden Daten zu erheben und zu nutzen. Vorausgesetzt, die Einwilligung wurde nach den gesetzlichen Vorgaben eingeholt (nicht vorangekreuzte Checkbox, Double-Opt-In, Protokollierung) steht einer Datennutzung im Normalfall nichts im Wege.

Gerade für E-Mailwerbung ist dies aktuell der beste Weg.

Gesetzeslage nach Inkrafttreten der DS-GVO

2.1 Auch nach der DS-GVO ist die Einwilligung ein nutzbarer Erlaubnistatbestand.
Die Anforderungen für die Einholung einer wirksamen Einwilligung steigen jedoch teilweise deutlich.

2.2 Form:
Bezüglich der Form einer Einwilligung vereinfacht die DS-GVO die Lage.
Außer der schriftlichen Einwilligung können Einwilligungen auch durch Anklicken einer Checkbox, per E-Mail, mündlich oder unter Umständen auch durch Voreinstellungen im Browser gegeben werden.
Allerdings ist das Unternehmen nachweispflichtig, das die Einwilligung erteilt wurde, was etwa bei einer mündlichen Einwilligung die Protokollierung erschwert

2.3 Informiertheit
Damit einer Einwilligung wirksam ist, muss der Nutzer im Vorfeld ausreichend informiert worden sein.

– Es muss mindestens das Unternehmen welche die Daten erhebt genannt werden – Sowie der Zweck bzw. die Zwecke für welche die Daten erhoben werden.

2.4 Kopplungsverbot

Nach der Vorgabe des DS-GVO soll eine Einwilligung freiwillig erfolgen.
Eine Einwilligung die mit einem Vertrag verknüpft ist, wobei die Datenverarbeitung in die eingewilligt werden soll nicht für den Vertrag notwendig ist, wird hierbei eher nicht als freiwillig erachtet.

2.5 Widerruf von Einwilligungen

Eine Einwilligung kann nach der DS-GVO jederzeit mit Wirkung für die Zukunft widerrufen werden.

Hierzu muss bei der Einholung der Einwilligung un in der Datenschutzerklärung hingewiesen werden. Es muss auch darauf hingewiesen werden, dass dies nicht an der bis zum Widerruf erfolgten Datenverarbeitung ändert

2.6 Schwierigkeiten
Ingesamt ist die Einwilligung als Erlaubnistatbestand unter der DS-GVO deutlich unattraktiver.

Denn gerade die aktuelle Rechtssicherheit gibt es unter der DS-GVO nicht.

Durch das Kopplungsverbot und die Annahme der Unfreiwilligkeit bei klaren Ungleichgewicht zwischen beiden Parteien besteht stets die Gefahr, dass eine Einwilligung als unwirksam erklärt wird, was dazu führen kann das die gesamte Datenverarbeitung unzulässig ist. Angesichts der mit DS-GVO eingeführten hohen Bußgeldern birgt dies für Unternehmen eine reale Gefahr.

Daher sollte geprüft werden, ob bisher auf Basis der Einwilligung erhobenen Daten auf anderen gesetzlichen Grundlagen erhoben werden können(z.B. auf Grund “berechtigter Interessen”)

2.7 Weitere Informationen zum Thema Einwilligung erhalten Sie hier:

/infothek/whitepaper/rechtsgrundlagen-fuer-datenverarbeitung-nach-der-datenschutz-grundverordnungds-

gvo#Einwilligung