Nach der neuen DSGVO stehen dem Betroffenen umfangreiche Rechte zu, die gegenüber dem Verarbeiter formlos geltend gemacht werden können. Hierzu zählen das Recht auf Information und Auskunft über die Datenverarbeitung, das Recht auf Berichtigung und Löschung der Daten, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragung, sowie das Recht auf Widerspruch der Verarbeitung. … Weiterlesen
Die Verarbeitung von persönlichen Daten darf nicht willkürlich erfolgen. Sie muss auf eine (Rechts-)Grundlage gestützt sein. So ist die Verarbeitung nur rechtmäßig, wenn wenigstens eine der folgenden Voraussetzungen vorliegt: Der Nutzer willigt dem Zweck der Datenerhebung ein. Praxisbeispiel: Ein Kunde teilt schriftlich mit, dass seine Telefonnummer auch für Werbeanrufe genutzt werden darf. Die Datenverarbeitung … Weiterlesen
Aufbewahrungspflichtige Dokumente und Daten müssen in einer sicheren und vor Änderungen oder Manipulationen geschützten Weise elektronisch gespeichert werden. Welche genauen Anforderungen das sind, regeln unter anderem das Handelsgesetzbuch (HGB), Steuergesetze und die Grundsätze über die ordnungsgemäße Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form, sowie zum Datenzugriff (GoBD). Grundsätze einer revisionssicheren Archivierung … Weiterlesen
Nach der DSGVO umfasst das Risiko den möglichen Eintritt eines Ereignisses, das zu einem Schaden führt oder zu einem solchen führen kann. Umfasst sind sowohl materielle Schäden (Geldschäden), aber auch Grundrechts- und Freiheitsverletzungen des Betroffenen. Eine Datenverarbeitung, die nicht den Grundsätzen der DSGVO entspricht, stellt einen solchen Schaden dar. Dadurch entsteht für den Betroffenen bspw. … Weiterlesen
Ein Rollenkonzept vereinfacht die Erstellung eines Berechtigungskonzepts, indem deckungsgleiche Zugriffsberechtigungen von Mitarbeitern, Geräten oder Anwendungen (jegliche Datenverarbeiter) in Rollen zusammengefasst werden, sodass das Berechtigungskonzept an Übersichtlichkeit gewinnt und Zugriffsberechtigungen gerade bei einer Vielzahl von Datenverarbeitern einfacher überprüft werden können. Praxisbeispiel: Die Verwaltungsfachwirte Herr Mustermann und Herr Müller sowie die von ihnen genutzte Organisationsapp „Orga“ speichern, … Weiterlesen
Die Verarbeitung der personenbezogenen Daten muss auf einem angemessenen Schutzniveau stattfinden. Der Verantwortliche hat dazu geeignete technische und organisatorische Maßnahmen zu treffen, um ausreichenden Schutz zu gewährleisten und Risiken für die Rechte des Betroffenen einzudämmen. Die DSGVO selbst führt einige Beispiele solcher Maßnahmen an. Danach sollten Daten pseudonymisiert und verschlüsselt gespeichert und im Falle einer … Weiterlesen
Als TOM werden technische und organisatorische Maßnahmen bezeichnet, die der Verantwortliche und der Auftragsverarbeiter treffen müssen, um den personenbezogenen Daten während der Datenverarbeitung ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die DSGVO führt einige Beispiele auf: Die Pseudonymisierung ist das Verändern der personenbezogenen Daten, sodass diese nicht mehr ohne unverhältnismäßigen Aufwand einer natürlichen Person zugeordnet … Weiterlesen
Die DSGVO definiert den Verantwortlichen als eine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder eine andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Er ist damit derjenige, der im Unternehmen für die Datenverarbeitung verantwortlich ist. Praxisbeispiel: Geschäftsführer eines Floristikgeschäfts (nicht jedoch der von ihm benannte Datenschutzbeauftragte). https://dsgvo-gesetz.de/art-4-dsgvo/
Die DSGVO selbst definiert die Verarbeitung als jeden ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob sie mit (Bspw. eine Software zur Patientenaufnahme in einer Praxis) oder ohne Hilfe (Bspw. eine selbst geschriebene Akte eines Mandanten) von automatisierten Verfahren vorgenommen wird. Praxisbeispiele: Das Erheben von Daten eines neuen Kunden … Weiterlesen
Ein Verfahren wird auch als Verarbeitungstätigkeit bezeichnet und beschreibt die Art und Weise, wie eine Verarbeitung von personenbezogenen Daten abläuft. Die DSGVO fordert, dass die Verfahren in einem Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden müssen. Praxisbeispiel: die Gesichtserkennung ist ein Verfahren zur Erhebung und Erfassung von biometrischen Daten des Betroffenen, das Schreddern von Dokumenten ist ein … Weiterlesen