Magazin für Datenschutz & Informationssicherheit

Die derzeitige ePrivacy-Richtlinie, die elektronische Kommunikation bzgl. der Nutzung von Cookies und E-Marketing regelt, wird in Kürze durch die ePrivacy-Verordnung ersetzt (vollständiger Name: Verordnung des Europäischen Parlaments und Rates bezüglich des Respektes der Privatsphäre und des Schutzes personenbezogener Daten in elektronischer Kommunikation die die Richtlinie 2002/58/EC widerruft (Richtlinie über Privatsphäre und Elektronische Kommunikation)).

Wie lange dürfen die Daten von einer Videoüberwachung gespeichert werden? Wann müssen laut Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) Videoaufnahmen gelöscht werden? Wie sehen die Datenschutz-Aufsichtsbehörden und deutsche Gerichte die Speicherungsdauer bei der Videoüberwachung? Ein Überblick.

Völlig selbstverständlich werden beim Betrieb einer Apotheke personenbezogene Daten verarbeitet. Diesem Begriff unterfallen sämtliche Informationen, die im Zusammenhang mit einer konkreten Person stehen, wie beispielsweise Name, Telefonnummer oder auch ein Foto. Das Persönlichkeitsrecht beinhaltet, dass es jedem Menschen im Grunde zusteht, selbst zu bestimmen, ob und wie seine Daten durch Dritte verwendet werden. Dies will der Gesetzgeber durch die Regelungen zum Datenschutz sicherstellen. Dabei ist es unerheblich, in welchem Verhältnis man zur betroffenen Person steht: Grundsätzlich sind etwa die Daten von Mitarbeitern ebenso zu schützen, wie die von Kunden.

Wer als Vermieter den Namen eines Mieters am Klingelschild des Mietobjektes anbringt, verstößt nicht gegen die europäische Datenschutz-Grundverordnung (DSGVO). In der Regel können Vermieter sich beim Anbringen eines namentlich gekennzeichneten Klingelschilds auf ihr berechtigtes Interesse berufen. Nur in Einzelfällen überwiegt das berechtigte Interesse des Mieters an der Anonymisierung seines Namens überwiegen.

Richtlinien zum Datenschutz und zur Informationssicherheit im Unternehmen schaffen Klarheit über gewünschtes Verhalten, Pflichten und Verbote für Mitarbeiter. Mit gut implementierten und durch das Management vorgelebten Richtlinien beugen Sie Datenmissbrauch vor und schaffen ein transparentes Arbeitsklima. Welche Richtlinien Sie dafür benötigen, was diese enthalten sollten und wie Sie die Richtlinien am besten umsetzen, zeigt Ihnen unsere Anleitung.

Die Datenminimierung ist ein in der europäischen Datenschutz-Grundverordnung (DSGVO) verankertes Prinzip (Art. 5 DSGVO). Demnach sind immer so wenig wie möglich Daten zu verarbeiten, wie zur Erreichung des Zwecks notwendig sind. Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an.

Wenn ein Unternehmen nach Beendigung eines Auftrages von seinem Kunden erfahren möchte, wie zufrieden dieser mit der erbrachten Leistung war, könnte man dies als ein zuvorkommendes Verhalten des Anbieters verstehen, der den Service für seine Kunden optimieren möchte. Rechtlich gesehen kann eine solche Handlung aber durchaus als unlautere Werbung gewertet werden, insbesondere wenn die Befragung telefonisch erfolgt.

Beschäftigte bzw. Mitarbeiter sind zur Einhaltung der Datenschutzgesetze bzw. auf Vertraulichkeit zu verpflichten – zumindest sobald sie Umgang mit personenbezogenen Daten haben. Die EU-Datenschutz-Grundverordnung (DSGVO) lässt diesbezüglich keinen Spielraum. Wie diese Verpflichtung von Mitarbeitern auf Vertraulichkeit in der Praxis am besten funktioniert und wie Sie etwaige Hindernisse überwinden, erläutern wir Ihnen in dieser Anleitung (inkl. kostenlosem Muster).

Viele Unternehmensgruppen oder Konzerne verfügen über Standorte auch außerhalb Europas. Oft sehen sich selbige als rechtliche Einheit und vergessen, dass das Datenschutzrecht auch unter der EU-Datenschutz-Grundverordnung (DSGVO) weiterhin kein Konzernprivileg kennt. Der Datentransfer ist auch innerhalb eines Konzerns oder einer Unternehmensgruppe grundsätzlich zu behandeln, wie ein Transfer zwischen völlig fremden Unternehmen. Es muss eine Rechtsgrundlage für die Verarbeitung gegeben sein, ggf. müssen die Voraussetzungen einer Auftragsverarbeitung erfüllt werden und die Empfängerstelle muss ein angemessenes Datenschutzniveau gewährleisten bzw. Datenschutzgarantien bieten. Für letzteres bieten sich sogenannte Binding Corporate Rules (BCR) an.

Erhebung und Verarbeitung personenbezogener Daten dürfen nicht unsystematisch erfolgen, sondern ausschließlich zweckgebunden. Die EU-Datenschutz-Grundverordnung (DSGVO) führt die Pflicht zur Zweckbindung der Datenverarbeitung als einen der Grundsätze in Art. 5 DSGVO auf. Wer personenbezogene Daten verarbeiten will, muss bei Festlegung und Ausgestaltung des Zwecks einige wichtige Kriterien beachten.