Datenschutz

Nicht jede Verarbeitung personenbezogener Daten greift gleichermaßen stark in das Persönlichkeitsrecht von Betroffenen ein. Mit der Datenschutz-Folgenabschätzung (DSFA) sollen Verantwortliche die Risiken und Folgen evaluieren, die für Betroffene aus Datenverarbeitungen folgen können. Unsere praktische Anleitung hilft beim Einstieg!

Die EU-Datenschutz-Grundverordnung (DSGVO) hält verschiedene Rechtsgrundlagen bereit, auf die eine Verarbeitung personenbezogener Daten gestützt werden kann. Da sich die Anwendungsbereiche der Grundlagen oftmals überschneiden, kommt es in der Praxis ganz entscheidend darauf an, die geeignetste und nachhaltigste Rechtsgrundlage zu finden. Der folgende Leitfaden soll hierbei Orientierung bieten.

Mitarbeiter, die als (interner) betrieblicher Datenschutzbeauftragter bestellt sind, genießen gemeinhin Kündigungsschutz. Ein aktuelles Gerichtsurteil erweitert diesen Schutz nun auch auf Stellvertreter des Datenschutzbeauftragten. Unternehmen, die ein ganzes Team bzw. eine Abteilung mit dem unternehmerischen Datenschutz beauftragen, sollten also sehr genau darauf achten, welche Mitarbeiter sie dort einsetzen. Doch es gibt eine Alternative für alle, die sich durch diesen Kündigungsschutz zu sehr eingeschränkt fühlen.

Mobile Endgeräte wie Smartphones oder Tablets ermöglichen mit ihren zugehörigen Anwendungen ein ortsunabhängiges Arbeiten. Viele Unternehmer sind sich jedoch selten der erheblichen Risiken für den Datenschutz bewusst, die der Einsatz mobiler Endgeräte in der Praxis mit sich bringt.

Geht es um Speicherung und Löschung personenbezogener Daten, können verschiedene Aspekte des Datenschutzrechts sowie andere Gesetze sich (scheinbar) widersprechen. Insbesondere Dokumentations- und Aufbewahrungspflichten müssen mit der Speicherbegrenzung als Pflicht zum Löschen abgewogen werden. Um dabei im Unternehmen den Überblick zu behalten und in allen Abteilungen datenschutzkonform zu arbeiten, ist ein Löschkonzept die beste Lösung.

Unternehmen, die im Gesundheitssektor aktiv sind, können sich derzeit über zwei sehr interessante Megatrends freuen: Zum einen ermöglicht die Individualisierung medizinischer Bedürfnisse und gesundheitlicher Vorsorge eine Vielzahl neuer Geschäftsmodelle. Zum anderen hilft die Digitalisierung dabei, Interessierte immer gezielter anzusprechen und Kunden – Patienten ebenso wie Ärzte und Therapeuten – jederzeit mit passenden Dienstleistungen zu versorgen. Eine besonders große Herausforderung stellt jedoch der Datenschutz im medizinischen Bereich dar. Denn Daten über Diagnosen von Ärzten, Medikamente und Therapien sind besonders sensibel. Warum es sich für Gesundheitsunternehmen daher besonders lohnt, einen externen Datenschutzbeauftragten beratend hinzuzuziehen, erklärt Dirk Becker, Geschäftsführer von iPrax Systems im Best-Practice-Interview.

Die Kontrollen der Aufsichtsbehörden im Bereich des unternehmerischen Datenschutzes nehmen stark zu; häufig werden Versäumnisse aufgedeckt. Dabei ist die Erfüllung der wichtigsten Anforderungen oft schon mit geringen Aufwand möglich. Deshalb haben wir Ihnen regelmäßig auftretende Datenschutz-Versäumnisse und ihre schnelle Behebung zusammengetragen.

Im Rahmen des Online-Marketings werden auf Unternehmenswebsites häufig Dienste von Dritten eingesetzt. Dabei handelt es sich zum Beispiel um Analysetools, Produktwerbungsdienste (insbesondere zum Retargeting) oder sogenannte Social Plugins. Zu Letzteren hat sich das Landgericht Düsseldorf in einem aktuellen Urteil positioniert und eine unzulässige Einbindung durch den beklagten Websitebetreiber (ein bekannter Onlineshop) festgestellt. Der Beitrag beleuchtet die datenschutzrechtlichen Fallstricke für Websitebetreiber bei der Einbindung von Werbetechnologien und zeigt auf, wie eine rechtskonforme Nutzung möglich ist.

Wenn ein Internetnutzer sich ein Produkt nicht nur auf dem Laptop, sondern auch auf dem Tablet oder dem Smartphone ansieht, ist das ein Problem für Analyse- und Werbedienste: Sie erhalten kein einheitliches Bild mehr vom Verhalten des Nutzers. Die Lösung ist das „Cross-Device-Tracking“, also Technologien, die eine geräteübergreifende Profilbildung des Nutzers ermöglichen. Was technisch mittlerweile möglich ist, muss deswegen aber noch lange nicht datenschutzkonform sein. Deshalb analysiert dieser Artikel zunächst die wesentlichen rechtlichen Gesichtspunkte von Nachverfolgungstechnik, um anschließend die datenschutzrechtliche Zulässigkeit unterschiedlicher Cross-Device-Tracking-Technologien zu diskutieren.

Das von den deutschen Aufsichtsbehörden entwickelte Standard-Datenschutzmodell (SDM) soll in vier Schritten zur selbsttätigen Prüfung und Verbesserung des Datenschutzes im Unternehmen befähigen: Auf die Kontextanalyse der Datenverarbeitung sowie eine rechtliche Bewertung der einzelnen Datenverarbeitungen folgt die Spezifizierung der Gewährleistungsziele, um anschließend einen Soll-Ist- bzw. Soll-Plan-Vergleich durchführen zu können. Im dritten Beitrag der activeMind Artikelserie erläutern wir Ihnen die erfolgreiche Anwendung des Standard-Datenschutzmodells inklusive aller notwendigen Prüfschritte.