Was genau versteht man im Datenschutz unter Vertraulichkeit?

Sicher ist Ihnen der Begriff „Vertraulichkeit“ mehr als bekannt, vielleicht sogar aus dem Bereich IT und IT-Sicherheit. Doch bedeutet Vertraulichkeit im Datenschutz auch das, was Sie sich darunter vorstellen? Gerade Alltagsbegriffe können schnell zu Unschärfen oder Missverständnissen führen.

Einmal ganz im Vertrauen gesagt

Vielleicht wundern Sie sich über die Frage, was man denn genau unter Vertraulichkeit im Datenschutz versteht. Offensichtlich geht es im Datenschutz in vielen Fällen darum, Vertrauliches zu schützen, nämlich die personenbezogenen Daten, die nicht jeder sehen, lesen und kennen darf.

Ein gutes Beispiel sind Gesundheitsdaten, die kein Dritter kennen soll. Sie gehen nur Sie, Ihre Ärztin oder Ihren Arzt oder die Krankenversicherung etwas an, aber sicherlich nicht einen Pharma-Hersteller oder den Betreiber einer Drogeriekette.

Datenschutz und Vertraulichkeit hängen tatsächlich eng zusammen. Doch Datenschutz ist mehr als Vertraulichkeit. So müssen personenbezogene Daten nicht nur vertraulich, sondern auch verfügbar sein, sie dürfen nicht manipuliert werden, und die Dienste, mit denen die personenbezogenen Daten verarbeitet werden, müssen vor Ausfällen und Störungen geschützt sein.

Was aber bedeutet nun genau die Vertraulichkeit im Datenschutz?

Es geht um Verschwiegenheit und Zugangsschutz

Zum einen gehört es zur Vertraulichkeit im Datenschutz, dass die Beschäftigten und die beauftragten Dienstleister, die personenbezogene Daten verarbeiten, keine personenbezogenen Daten an unbefugte Dritte verraten, also verschwiegen sind. Das gilt auch für die Datenschutzbeauftragten selbst.

Dann darf niemand die zu schützenden Daten unerlaubt oder ungewollt offenlegen. Unbefugte Dritte dürfen keinen Zugang zu und Zugriff auf die Daten haben. Um das zu erreichen, fordert der Datenschutz geeignete technische und organisatorische Schutzmaßnahmen. Dazu gehört vor allem eine Verschlüsselung, die dem aktuellen Stand der Technik entspricht, also nicht veraltet ist.

Die IT hat ein etwas anderes Bild von Vertraulichkeit

Vielleicht arbeiten Sie in der IT oder IT-Sicherheit, oder Sie wissen einfach, dass auch die IT-Sicherheit das sogenannte Schutzziel Vertraulichkeit besitzt. Tatsächlich nutzt die IT-Sicherheit ähnliche oder sogar die gleichen Schutzmaßnahmen wie der Datenschutz, insbesondere die Verschlüsselung.

Ist deshalb Vertraulichkeit in Datenschutz und IT-Sicherheit wirklich das Gleiche? Nicht ganz, denn der Datenschutz will personenbezogene Daten schützen, die IT-Sicherheit generell Daten mit entsprechendem Schutzbedarf.

Dabei müssen personenbezogene Daten wie die Daten eines IT-Nutzers aus Sicht der IT nicht zwingend einen hohen Bedarf an Vertraulichkeit haben. Es kann der IT-Sicherheit um einen anderen Schutzbedarf gehen.

Dem Datenschutz aber geht es immer um die Daten, die personenbezogen sind, also zu einer Person gehören, oder die personenbeziehbar sind, sich also auf eine bestimmte Person beziehen lassen. Solche Daten dürfen nicht ungewollt oder unerlaubt offengelegt werden, wie in dem Eingangsbeispiel die Gesundheitsdaten. Sie dürfen nicht einfach einem Händler übergeben werden, der diese Daten für ein passendes Angebot an frei verkäuflichen Medikamenten nutzen möchte.

Vertraulichkeit ist deshalb ein Kernthema für den Datenschutz, mit gewissen Unterschieden zur Sicht der IT oder auch zur Alltagssicht.

14. Juli 2021

Datentransfer in die USA – eine Dauerbaustelle?

Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft.

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen. Meist laufen sie über Server in den USA.

Die USA – ein Drittland

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).

Der goldene Weg: generelle Regelungen

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.

„Safe Harbour“ und „Privacy Shield“ sind Geschichte

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen.

Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben.

Der aktuelle Stand: Ratlosigkeit

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben. Einwilligungen betroffener Personen taugen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.

Ein dringender Geburtstagswunsch

Den dritten Geburtstag der DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die EU und die USA haben versprochen, sich darum in der nächsten Zeit intensiv zu bemühen.

1. September 201814. Juli 2019

DSGVO und Visitenkarten

Eine Frage, die ich sehr häufig von meinen Kunden höre ist: Jemand überreicht mir auf einer Messe oder sonstiger Begebenheit seine Visitenkarte. Muss meine Firma denjenigen über unsere Datenschutzhinweise informieren?

Der Betroffene nimmt in diesem Fall persönlich den Kontakt auf. Eine formalistischer gestufter Informationsprozess wäre hier angebracht. Dazu gehört zum einen die mündliche Basisinformation mit dem Hinweis auf die Datenschutzerklärung auf der Internetseite.

Pragmatisch und nach dem Sinn und Zweck der Regelung zur Informationspflicht handelt es sich bei der Abspeicherung der Angaben einer Vistenkarte um eine Fallgestalltung des Art. 13, Abs. 4 der DSGVO:

Die Informationspflicht entfällt. Denn der Betroffene hat damit, dass er mit seiner Vistenkarte ausgehändigt, schon zum Ausdruck gebracht, dass er über alle Informationen verfügt, die es Ihm gestatten, die weitere Datenverarbeitung hinzunehmen.

Nicht desto Trotz, dürfen Sie den Betroffenen nun nicht einfach mit Werbemails beschicken. In der Regel spricht man hier auch von einem „Singel Opt-In“ (SOI). Heißt, Sie dürfen den Betroffenen nur bezüglich der bei der Übergabe besprochenen Thematik anschreiben (Zweckbindung). Gegen eine weitere gegenseitige Kommunikation ist auch nichts einzuwenden. Weitere E-Mails werblicher Form bedürfen jedoch eines Doppel-Opt-Ins (DOI).

Spätestens wenn Sie dem Kontakt ein Angebot schicken und seine personenbezogenen Daten in einem CRM System oder ERP System speichern, ist ein Hinweis zum Datenschutz notwendig.

Auf jeden Fall sollten Sie nicht vergessen, auch in Ihren E-Mails einen Hinweis mit Verlinkung auf Ihre Datenschutzerklärung zu geben. Damit kommen Sie ganz automatisch Ihrer Informationspflicht nach DSGVO innerhalb Ihrer Korrepondenz nach.

27. Juli 201818. August 2018

Muss mit Steuerberatern ein Vertrag zur Auftragsverarbeitung nach der DS-GVO geschlossen werden?

Im DSK-Kurzpapier vom 20.7.2018 der Datenschutzkonferenz wird hierzu nun ganz klar Stellung genommen:

In dem bundesweit abgestimmten DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung nach der DSGVO steht u.a. folgendes:
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einemeigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines – Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) …“
Bei Steuerberatern ist nach unserer Auffassung zu sehen, dass diese nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen (vgl. z. B. § 57 Steuerberatungsgesetz, § 203 Abs. 1 Nr. 3 des Strafgesetzbuches). Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 lit. a
DS-GVO. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt (§ 57 Abs. 4 Nr. 1 Steuerberatungsgesetz). Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können
sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.

Weiterführende Links:
Datenschutzkonferenz, Kurzpapier 13

Steuerberater arbeiten deshalb aus unserer Sicht regelmäßig eigenverantwortlich aufgrund eines Mandantenvertrags und dürfen von den Mandanten im Rahmen der Erforderlichkeit für ihre Tätigkeit im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO personenbezogene Kunden- und/oder Arbeitnehmerdaten verarbeiten.

16. Juni 20189. Oktober 2018

AV Verträge (Auftragsverarbeitung) ehem. Auftragsdatenverarbeitung

Wann brauche ich einen AV-Vertrag?

Immer wenn personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden, muss mit dem Verarbeiter ein AV-Vertrag geschlossen werden.
Dieser AV- Vertrag sichert den DSGVO konformen Umgang mit den personenbezogenen Daten.

Firmen haben in der Regel eingehende AV-Verträge und ausgehende AV-Verträge.

AV-Vertrag Eingang:

Ein von Ihnen beauftragter Dienstleister verarbeitet personenbezogene Daten von Ihnen oder einem Kunden von Ihnen und sichert uns durch den AV-Vertrag den DSGVO konformen Umgang damit zu.
Beispiel: Werbeagentur, Hosting Anbieter, IT Dienstleister, Google, usw. Diese AV-Verträge müssen proaktiv eingefordert werden

AV-Vertrag Ausgang:

Sie verarbeiten für Dritte personenbezogene Daten und sichern unseren Kunden durch den AV-Vertrag den DSGVO konformen Umgang damit zu.
Beispiel: Auftragsdatenverarbeitung, Sonstige Service Leistungen
Diese AV-Verträge werden in der Regel von Ihren Kunden angefordert

AV- Vertrag Koppelung:

Wenn Sie Leistungen Dritter in Anspruch nehmen um Ihren Kunden Produkte oder Dienstleistungen anzubieten, müssen Sie die Eingangs AV-Verträge mit diesen Dritten mit den Ausgangs AV-Verträge an Ihre Kunden gegebenenfalls abgleichen. Sie sollten in den Ausgangs AV-Verträgen nie ein höheres Datenschutzniveau zusichern als das welches Ihnen von dem Dritten zugesichert wird. Ob Sie Koppelungen haben, geht aus dem Verzeichnis der verarbeitenden Tätigkeiten hervor.

Für Fragen und Erläuterungen stehe ich gern zur Verfügung.

24. März 201814. März 2020

externer Datenschutzbeauftragter Kosten

Wenn Sie für Ihre Firma einen Datenschutzbeauftragten benennen müssen, steht die Entscheidung an, entweder einen internen oder einen externen Datenschutzbeauftragten zu benennen. Ohne der folgenden Kostenaufstellung zuweit vorgreifen zu wollen, so wird die Auswahl des externen Datenschutzbeauftragten unter dem Strich die günstigere Lösung sein.

Genaue Angaben über die Kosten für einen externen Datenschutzbeauftragten sind nur möglich, wenn man alle Sachverhalte in Ihrer Firma betrachtet. Der Gesamtpreis ist extrem abhängig davon verschiedenen Faktoren:

Kostenfaktoren

Anzahl der Mitarbeiter
Anzahl der Abteilungen und Verantwortlichen
Anzahl der datenverarbeitender Tätigkeiten
Anzahl der technischen und organisatorischen Maßnahmen
Anzahl der IT Einheiten in Ihrer Firma
Anzahl der eingesetzten Softwareprogramme
Anzahl der Verträge zur Auftragsdatenverarbeitung
Anzahl der Datenschutzfolgeabschätzungen

Alle diese Punkte sind mit gewissen Analysen und Protokollen verbunden und können sich im Laufe eines Jahres auch ändern oder ergänzen, was auch Aufwand bedeutet.

Zusätzlich hat der externe Datenschutzbeauftragte auch noch weitere Aufgaben:

Sonstige Kostenfaktoren

Schulung und Sensibilisierung der Mitarbeiter
Ansprechpartner für Datenschutz Themen
Ansprechpartner für Betroffene
Ansprechpartner für Aufsichtsbehörden
Ansprechpartner bei Initialisierung neuer Prozesse
Kümmerer bei den Auftragsdatenverarbeitungsverträgen
Regelmäßige interne und externe Prüfung und Überwachung der oben genannten Punkte
Erstellen eines Quartals- und Jahresberichtes

Kosten Datenschutzmanagemantsystem

Um alle diese Punkte schnell und unkompliziert zu erledigen, nutzt der externe Datenschutzbeauftragte in der Regel ein softwaregestütztes Datenschutzmanagementsystem (DSMS) sowie eine online Schulungssystem für die Sensibilisierung der Mitarbeiter.

Die monatlichen Preise für das DSM System liegen je nach Anbieter zwischen €25 und €150 Euro. Bei dem online Schulugssystem ist die Preisspanne deutlich größer. Hier liegen die Preise Preise zwischen €8 und €15 pro Mitarbeiter und Monat. Es gibt aber auch DMS Systeme, die das Schulungssystem schon beinhalten.

Kosten für den externen Datenschutzbeauftragten

Zur Feststellung des IST-Zustand und für das Setup des Datenschutzmanagementsystem werden in der Regel Audits zu Tagessätzen veranschlagt.

Die Tagessätze von externen Datenschutzbeauftragten liegen je nach Ausbildung und Qualifikation des Datenschutzbeauftragten
zwischen € 580 und € 1.200.

Zusätzlich zu den Audits wird eine Monatspauschale mit einer Vertragslaufzeit von mindestens 1 Jahr vereinbart. In einige Bundesländer ist eine Vertragslaufzeit von mindestens 2 oder 3 Jahren vorgeschrieben. In dieser Monatspauschale ist auch die Nutzung des oben genannten Datenschutzmanagemensystems enthalten.

Beispiele für Kosten des externen Datenschutzbeauftragten

Um Ihnen bei der Masse der bisherigen Informationen eine Konkrete Vorstellung zu geben, hier nun ein paar Beispiele aus meinem eigenen Kundenkreis:

Beispiel: Software & Beratungsfirma
3 Tage Audit à € 780 plus € 300 monatliche Pauschale für
45 Mitarbeiter
88 Verarbeitende Tätigkeiten
20 TOMS
10 ADV´s
2 Datenschutzfolgeabschätzungen
1 Datenschutzmanagementsystem (online)
1 Datenschutzschulungsplattform
Beispiel: Firma für Bürobedarf
2 Tage Audit à € 780 plus € 210 monatliche Pauschale für
21 Mitarbeiter
60 Verarbeitende Tätigkeiten
20 TOMS
5 ADV´s
1 Datenschutzfolgeabschätzungen
1 Datenschutzmanagementsystem (online)
1 Datenschutzschulungsplattform
Beispiel: Pharma Hersteller
4 Tage Audit à € 780 plus € 480 monatliche Pauschale für
300 Mitarbeiter
120 Verarbeitende Tätigkeiten
60 TOMS
20 ADV´s
5 Datenschutzfolgeabschätzungen
1 Datenschutzmanagementsystem (online)
1 Datenschutzschulungsplattform
Beispiel: Pharma Hersteller
4 Tage Audit à € 780 plus € 480 monatliche Pauschale für
300 Mitarbeiter
120 Verarbeitende Tätigkeiten
60 TOMS
20 ADV´s
5 Datenschutzfolgeabschätzungen
1 Datenschutzmanagementsystem (online)
1 Datenschutzschulungsplattform
Beispiel: Garten & Landschaftsbaubetrieb
1 Tag Audit à € 780 plus € 180 monatliche Pauschale für
12 Mitarbeiter
25 Verarbeitende Tätigkeiten
10 TOMS
3 ADV´s
1 Datenschutzfolgeabschätzungen
1 Datenschutzmanagementsystem (online)
1 Datenschutzschulungsplattform

Sicherlich wollen Sie wissen mit welchen Kosten für den externen Datenschutzbeauftragten Sie für Ihre Firma rechnen müssen. Für ein unverbindliches Angebot nutzen Sie bitte das folgenden Formular.

27. Februar 201822. Mai 2022

Wann brauche ich einen Datenschutzbeauftragten?

Diese Fragen stellen sich viele Firmen. Leider ist die Beantwortung auch bei hinzuziehen der Gesetzestexte nicht 100% klar, zu mindestens nicht bei kleineren Betrieben. Ich beziehe mich hier ausschließlich auf die Regelungen ab dem 25.5. sowie die nicht öffentlichen Stellen.

Generell ist die Benennung zum Datenschutzbeauftragten Pflicht für Firmen, die mehr als 9 Personen beschäftigen (Aushilfen eingeschlossen) welche sich mit der automatisierten (Computer) Verarbeitung mit personenbezogenen Daten beschäftigen. Nehmen die Verantwortlichen oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgeabschätzung unterliegen, oder verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben Sie unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten zu bennen. Bei nicht automatisierter Verarbeitung gibt die Benennungspflicht ab 20 Mitarbeiter (BDSG § 38, DSGVO Art. 37)

Wenn Sie Definitionen zu den Begriffen automatisierte Verarbeitung, personenbezogene Daten oder Datenschutz-Folgeabschätzung haben, lesen Sie bitte über die jeweiligen Links mehr darüber.

Was heißt das nun konkret? Da in Firmen fast überall personenbezogene Daten verarbeitet werden und in den meisten Firmen alle Mitarbeiter Zugang zu Computern haben, sollte jede Firma mit mehr als 9 Mitarbeitern einen Datenschutzbeauftragten benennen. Bei Handwerksbetrieben zum Beispiel, sollte auf jeden Fall ab 20 Mitarbeitern ein Datenschutzbeauftragten benannt werden. In der Regel haben auch bei kleineren Handwerksbetrieben die Mitarbeiter Zugriff auf personenbezogene Daten. Auch der Arbeitszettel mit Kundendaten wie Name, Anschrift, Telefonnummer sowie detaillierten Angaben über Handwerksprojekte, stellen personenbezogene Daten dar.

Aber was ist nun mit Betrieben mit 2,3 oder 4 Mitarbeitern? Die Antwort liegt in der Frage ob in der Firma vorbereitende Arbeiten zur Lohnbuchhaltung durchführt werden. Damit liegen besondere personenbezogene Daten von den Mitarbeitern vor, die in der Regel an den Steuerberater oder an das Lohnbüro übertragen werden. Hier wäre auf jeden Fall eine Datenschutz-Folgeabschätzung fällig und somit auch die Benennung eines Datenschutzbeauftragten.

Viele kleinere Betriebe werden wahrscheinlich abwarten bis die ersten Bußgelder fällig werden. Experten vermuten, das die fehlende Bestellung des Datenschutzbeauftragten der Hauptgrund für Bußgelder sein wird.

Wenn Sie sich nicht sicher sind ob Sie für Ihre Firma einen Datenschutzbeauftragten benennen müssen, nehmen Sie einfach Kontakt mit mir auf oder nutzen Sie meinen DSGVO-Check.

24. Februar 20189. April 2022

Für wen gilt die DSGVO?

Die DSGVO wurde zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr personenbezogener Daten verordnet (DSGVO Art. 1,2 und 3). Was exakt unter personenbezogener Daten zu verstehen ist lesen Sie bitte hier nach: „personenbezogene Daten“

Die Verarbeitung selber ist in Artikel 2 (1) geregelt: „Ganz und teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten , die in einem Dateisystem gespeichert sind oder in einem Dateisystem gespeichert werden sollen“.

Dies lässt nun Vermuten, dass die klassischen Akten (gedrucktes Papier) davon ausgeschlossen sind. Das ist leider nicht so. Dazu komme ich an anderer Stelle (wie betrifft die DSGVO den guten alten Akten)

Damit wäre grundlegend geklärt worum es geht aber wen betrifft das nun genau? Einfacher ist vielleicht zu beschreiben, für wen es nicht gilt:

Tätigkeiten die nicht in den Rahmen der Union fallen
Tätigkeiten natürlicher Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten
Behörden zum Zwecke der Verhütung , Ermittlung, Aufdeckung, oder Verfolgung von Straftaten oder der Vollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit

Das heißt konkret, die strenge Einhaltung der DSGVO betrifft Firmen, Organisationen, gewerbetreibende Einzelpersonen, Ärzte, sowie Vereine.

Besonders streng sind die Regelungen bei Daten nach Artikel 9: Personenbezogene Daten aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischer oder biometrischer Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung).

Als Arbeitgeber mit Angestellten, wenn auch nur lohnpauschaliert, fallen einige dieser Datenkatgorien an.

Nach meiner Meinung sollte jede Firma, die Lohndaten oder ähnliches führt und bearbeitet einfach das tun was sie auf die „sichere Seite“ bringt: Beauftragen eines externen Datenschutzbeauftragten um die Anforderungen (inklusive Artikel 9) zu prüfen und umzusetzen. Bei kleinen Firmen muss das nicht wirklich teuer sein.

Für eine konkrete Anfrage nutzen Sie bitte das Formular für den ersten DSGVO Check

Kategorie: Fragen DSGVO