Blog

Was ist eigentlich Auftragsverarbeitung?

Was ist eigentlich Auftragsverarbeitung?

Fast jedes Unternehmen oder jeder Soloselbständige lässt irgendwelche Daten von einem Dritten verarbeiten. Das kann der IT-Dienstleister sein oder der Lieferservice um die Ecke. Oder aber die externe Buchhaltung, die externe Rechnungsschreibung oder der Lettershop zum Versand von Newslettern. Nun geht es in der DSGVO ja vor allem um den Schutz der personenbezogenen Daten und nicht um irgendwelche Daten, die in keiner Beziehung zu einer natürlichen Person gebracht werden können. Bleibt die Frage, wie sich eine Auftragsverarbeitung von der Erbringung einer Dienstleistung abgrenzt.

Datenerhebung und -weitergabe im E-Commerce

Jetzt zu Weihnachten und durch die Einschränkung des stationären Handels durch Corona boomt der E-commerce und Onlinehandel wie nie zuvor. Die meisten Onlinehändler bedienen sich dabei verschiedener externer Dienstleister um Nebenleistungen wie Zahlungsabwicklung, Transport, Garantiebearbeitung etc. abzuwickeln.
Das bringt besondere Herausforderungen an den legalen Datentransfer und die korrekte Datenerhebung mit sich. Die allgemeinen Grundsätze der DSGVO, einer verbindlichen Rechtsnorm, müssen ohnehin von jedem umgesetzt werden, der in irgendeiner Form personenbezogene Daten erfasst und verarbeitet.
Zu beantworten sind die spezifischen Fragen:
Welche Daten dürfen im Zusammenhang mit einem Bestellvorgang überhaupt erfasst werden?
Welcher externe Dienstleister darf korrekterweise welche Daten erhalten?

TRANSPARENZ – die Grundlage der informationellen Selbstbestimmung der DSGVO

TRANSPARENZ – die Grundlage der informationellen Selbstbestimmung der DSGVO

Die Regeln der DSGVO und des Datenschutzes sind seit 2018 der „Informationellen Selbstbestimmung“ natürlicher Personen gewidmet. Das bedeutet, dass jeder Mensch gesetzlicher Eigentümer seiner personenbezogenen Daten ist und dass nur der Eigentümer über die Verwendung dieser Daten entscheidet.

Um die Entscheidung über eine Verwendung treffen zu können, muss die Person jedoch zunächst wissen, welche Daten erhoben werden und was mit diesen Daten im Einzelnen passiert. Genau das will der Artikel 5 der DSGVO erreichen, der fordert, dass personenbezogene Daten auf „rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise“ verarbeitet werden müssen.

Privacy_Shield_off

Die Rechtsgrundlage EU-US privacy shield wurde vom EuGH gekippt – Was nun?

Am 16.7.2020 beschloss der EuGH, dass der EU-US privacy shield für die Übertragung von Daten in die Vereinigten Staaten nicht mehr das geforderte Sicherheitsniveau garantiert. Damit wurde eine der grundlegenden Rechtsgrundlagen für die Übertragung von personenbezogenen Daten in die Vereinigten Staaten gekippt. Man mag jetzt sagen, wir übertragen ja nichts in die USA! Stimmt aber i.d.R. nicht.

Darf der Arbeitgeber auf Inhalte Arbeitsrechners eines Mitarbeiters zugreifen?

Stellen wir uns einmal folgendes Szenario vor:

Ein Arbeitgeber hat einem Mitarbeiter im Home Office die benötigte Hardware in Form eines Rechners/Laptops für dienstliche Anwendungen zur Verfügung gestellt. Der Mitarbeiter speichert jedoch auch private Daten auf diesem Rechner – was er tunlichst unterlassen sollte.

Der Arbeitgeber hat einen begründeten Verdacht einer Pflichtverletzung und greift per Remote-Zugriff auf alle Inhalte zu und findet z.B. Sachverhalte, die dem Beschäftigungsvertrag entgegenstehen. Daraufhin spricht er eine Kündigung aus.

Ist das erlaubt?

4 Irrmeinungen zur DSGVO

  • Wir sind zu klein, die DSGVO trifft auf uns nicht zu
    Das trifft auf zu gut wie kein Unternehmen, keinen Einzelunternehmer oder Selbstständigen zu. Sobald personenbezogene Daten von Kunden, Mitarbeitern, Lieferanten oder Bewerbern digital oder analog (im Ordner, im Terminbuch) gespeichert oder verarbeitet werden, müssen Sie für einen angemessenen Schutz dieser Daten sorgen und unterliegen den Vorschriften der DSGVO. Dazu gehört nicht nur eine an die Funktionen der Webseite angepasste Datenschutzerklärung, sondern einige grundlegende Prozesse und Dokumentationen, die die Rechte der Benutzer sicherstellen.

Datenschutz geht alle an

Entgegen der landläufigen Meinung gilt das nicht nur für die Großen. Auch Kleinbetriebe und Selbstständige sind davon betroffen. Nicht zuletzt gilt das für die Bürger, die Betroffenen, dieses Landes. Da sich das noch nicht herumgesprochen zu haben scheint, habe ich den nachstehenden - vielleicht etwas philosophischen - Artikel verfasst.

Corona hält die Welt fest im Griff. Alles bewegt sich rasend schnell in Richtung Digitalisierung. Da bekommen persönliche Daten insbesondere im Bereich Gesundheit eine neue Bedeutung und einen neuen Wert. Geolokalisierung zur Kontaktermittlung möglicherweise Infizierter, Gesundheitsdatenbanken und nicht zu vergessen die vielen privaten Messages in den sozialen Medien und Registrierungsprozeduren auf Webseiten – soll das wirklich nur Handelsware sein?

Der 10-Punkteplan zur DSGVO-Umsetzung für kleine Unternehmen und Selbstständige

 Das Jahr 2020 wird von vielen renommierten Datenschutzkanzleien als das Jahr der Prüfungen und Bussgelder gesehen. Zwar kann man davon ausgehen, dass Kleinunternehmen nach wie vor eine gewisse Kulanz bei der Umsetzung erwarten können, aber das Vorgehen der Behörden bei Prüfung und Ahndung von Datenschutzverletzungen ist um einiges konsequenter geworden; wie auch die Anzahl der gemeldeten Verstöße erheblich gestiegen ist.

Es reicht eben nicht, eine Musterdatenschutzerklärung etwas anzupassen und auf die Webseite zu stellen. Vielmehr sind etliche Informationspflichten zu erfüllen, um die Betroffenenrechte wahren zu können. In diesem Zusammenhang sind auch betriebsintern einige Massnahmen zu ergreifen und Prozesse zu entwickeln um den Vorschriften der DSGVO zu genügen.

In 4 Schritten zur DSGVO-Konformität

Das teils eher stiefmütterlich behandelte Thema Datenschutz darf nicht auf die leichte Schulter genommen werden. Denn der europäische Gesetzgeber und die Aufsichtsbehörden der Länder haben sich entschieden, die Bußgelder für Datenschutzverstöße drastisch zu erhöhen, auch um dadurch eine abschreckende Wirkung zu erzielen.

Weit verbreitet ist die Meinung, dass die Einhaltung der DSGVO nicht für Selbstständige und Kleinbetriebe gilt. Das ist ein Irrtum. Die Vorschriften der DSGVO gelten für alle juristischen und natürlichen Personen, die personenbezogene Daten erheben, erfassen und verarbeiten. Unabhängig von der Menge oder Größe oder der Art der Verarbeitung.

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.