Praktische Beispiele und Handlungsempfehlungen

Größe: px
Ab Seite anzeigen:

Download "Praktische Beispiele und Handlungsempfehlungen"

Transkript

1 Vorbemerkung Die Übermittlung personenbezogener Daten zählt häufig zu den wesentlichen Bestandteilen der Anbahnung und Abwicklung von Verträgen und anderen Transaktionen zahlreicher Unternehmen. Dabei macht auch die Datenübermittlung wie der Handel schon lange nicht mehr an den Landesgrenzen Deutschlands halt, sondern erfolgt häufig grenzübergreifend zwischen europäischen Staaten oder international. Insbesondere durch die Globalisierung gewinnt dieser grenzübergreifende Datenaustausch zunehmend an Bedeutung. Maßgeblich unterstützt wird dieser Prozess durch die rasante Entwicklung der Informationstechnik. Der Datenaustausch betrifft nicht nur denjenigen zwischen Vertragspartnern, sondern auch den Austausch und die Weitergabe im Unternehmensverbund. Letzteres ist bereits eine datenschutzrechtliche Herausforderung innerhalb Deutschlands, umso komplexer wird die Fragestellung in internationalen Konzernen. Daneben werden auch zunehmend Daten an weltweit tätige EDV-Dienstleistungsanbieter übermittelt. Unter wirtschaftlichen Gesichtspunkten ist das Outsourcing häufig eine Lösung, die keine Unternehmensleitung ignorieren kann. Allerdings sind die beteiligten Akteure nicht immer hinreichend mit den rechtlichen Anforderungen einer Datenübermittlung vertraut. Entspricht eine Datenübermittlung nicht den gesetzlichen Voraussetzungen, kann dies als Ordnungswidrigkeit oder sogar Straftatbestand mit Bußgeldern (bis zu EUR) bzw. Freiheitsstrafe geahndet werden ( 43, 44 BDSG). Ganz zu schweigen von eventuellen Reputationsrisiken, die aus einer unzulässigen oder fehlerhaften Datenübermittlung entstehen können. Dem Datenschutzbeauftragten fehlt bei dieser komplexen Materie häufig das notwendige Knowhow, was seine Möglichkeiten beeinträchtigt, den Beteiligten die überzeugenden Argumente zu vermitteln, warum bestimmte Datenübermittlungen nicht oder nur unter ganz bestimmten Voraussetzungen umsetzbar sind. Vor diesem Hintergrund ist die vorliegende Praxishilfe zweigeteilt: Der erste Teil der Praxishilfe ermöglicht Ihnen den Direkteinstieg in konkrete Einzelthemen. Damit lassen sich schnell aktuelle Fragestellungen beantworten und konkrete Problemstellungen vorgesehener Datenübermittlungen lösen. Durch entsprechende Verweisungen auf den Grundlagenteil der Praxishilfe erhalten Sie die erforderlichen Hintergrundinformationen. Der Praxisbezug wird durch eine Vielzahl von Checklisten sowie konkrete Handlungsempfehlungen unterstützt. Im Anhang finden Sie abschließend eine Reihe weiterer Hintergrundmaterialien. Auf der beiliegenden CD-ROM erhalten Sie konkrete Werkzeuge, Materialien und andere Hilfen, mit denen Sie mit geringem Aufwand gezielt und systematisch an die Lösung der an Sie herangetragenen Probleme herangehen können. Damit wird Ihnen zum einen Ihre Arbeit erheblich erleichtert. Zum anderen werden Ihnen so hinreichend Argumente bereitgestellt, um Ihren Gesprächspartnern die für eine gesetzeskonforme Umsetzung notwendigen Maßnahmen professionell vermitteln zu können. Angesichts der komplexen Materie kann die vorliegende Praxishilfe keinen Anspruch auf Vollständigkeit erheben. Darüber hinaus ist die Regelung des grenzüberschreitenden Datenverkehrs der fortlaufenden Entwicklung des Rechts und der Technik unterworfen. Diese Praxishilfe 15

2 Vorbemerkung stellt keine Rechtsberatung dar und kann eine solche auch nicht ersetzen. Auf jeden Fall sollten Sie aktuelle Entwicklungen, die sich nach dem Redaktionsschluss der Praxishilfe ergeben, in Ihre Überlegungen einfließen lassen. 16

3 Teil I: Praktische Beispiele und Handlungsempfehlungen

4

5 1 Zentralisierung (von Teilbereichen) der Personalverwaltung Häufig werden innerhalb von Unternehmensverbünden oder Konzernen Daten der Beschäftigten von einer zentralisierten Personalverwaltung verarbeitet. Die damit verbundene Weitergabe der Mitarbeiterdaten vom Beschäftigungsunternehmen an z.b. die ausländische Muttergesellschaft muss rechtmäßig sein. Folgende Möglichkeiten können in Betracht kommen. 1.1 Auftragsdatenverarbeitung nach 11 BDSG Werden innerhalb einer Unternehmensgruppe die Personalzuständigkeiten oder Teile davon zentral wahrgenommen, dann kann dies ggf. in der Form der Auftragsdatenverarbeitung (ADV) abgewickelt werden. Das gilt aber nur dann, wenn die zentrale Funktion die Verantwortlichkeit des Arbeitgeberunternehmens nicht beeinträchtigt. Wird die zentrale Personalabteilung als reiner Dienstleister bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und -entwicklung bis hin zur Entlassung von Mitarbeitern tätig, sollte dies im Rahmen einer Auftragsdatenverarbeitung nach 11 BDSG möglich sein. In diesem Fall sind bei einer Stelle mit Sitz in der EU bzw. dem EWR (siehe Übersicht Mitgliedstaaten der EU sowie des EWR (Stand September 2010), Seite 70) oder in einem Land mit angemessenem Datenschutzniveau (siehe im Anhang C, Übersicht Länder mit angemessenem Datenschutzniveau, Seite 129) die entsprechenden Anforderungen nach 11 BDSG (z.b. schriftlicher Vertrag) zu erfüllen (vgl. im Teil II Kapitel 2.2 Hinweis auf Besonderheiten bei der Auftragsdatenverarbeitung nach 11 BDSG, Seite 71). Soweit der Sitz der zentralen Stelle in einem Drittland ohne angemessenes Datenschutzniveau liegt, bietet sich für den genannten Fall der Abschluss der Standardvertragsklauseln für Auftragsdatenverarbeitung (C2P) an (vgl. im Teil II Kapitel 6.3 Standardvertragsklauseln für die Auftragsdatenverarbeitung, Seite 82). Soweit es sich um ein Safe Harbor-zertifiziertes US-amerikanisches Unternehmen handelt, wird kein Standardvertrag benötigt, sondern es kann ein Vertrag entsprechend 11 BDSG abgeschlossen werden (vgl. im Teil II Kapitel 4 Sonderfall Safe Harbor bei Datenübermittlungen in die USA, Seite 73). Dabei sind die vom Düsseldorfer Kreis entschiedenen Anforderungen zu beachten 1 (vgl. Anhang B.2 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen, Seite 126). Meistens gehen die Zuständigkeiten der zentralisierten Personalverwaltung über eine reine Auftragsdatenverarbeitung hinaus. Deshalb wird eher eine der beiden folgenden Alternativen zu prüfen sein. 1 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich am 28./29. April 2010 in Hannover 19

6 1 Zentralisierung (von Teilbereichen) der Personalverwaltung 1.2 Zulässigkeit für Zwecke des Arbeitsvertrages Dient die Übermittlung der Zweckbestimmung des Beschäftigungsverhältnisses, ist sie nach 32 Abs. 1 Satz 1 BDSG zulässig. Das ist der Fall, wenn der Arbeitsvertrag einen Konzernbezug aufweist, wenn darin also ein Tätigwerden des Arbeitnehmers auch in anderen, insbesondere internationalen Konzernunternehmen vorgesehen ist. Wenn z.b. ein Mitarbeiter in seinem Arbeitsvertrag die Bereitschaft erklärt hat, auch in anderen Konzernunternehmen eingesetzt zu werden, so liegt es in der Zweckbestimmung des Arbeitsvertrages, dass seine Daten z.b. in einem zentralen Personalsystem zur Verfügung stehen. Da die Datenübermittlung an das ausländische Mutterunternehmen in diesem Fall zur Erfüllung der Zwecke des Arbeitsvertrages erforderlich ist, bedarf es auch keiner weiteren Maßnahmen, um eine rechtlich zulässige Datenweitergabe zu gewährleisten. Die hier dargestellte Konstellation trifft meistens nur auf einen kleinen Teil der Mitarbeiter zu, so dass diese Lösung häufig nicht für die Gesamtmitarbeiterschaft geeignet ist. 1.3 Zulässigkeit bei eigenen oder fremden berechtigten Interessen Werden der datenempfangenden Muttergesellschaft Befugnisse und Funktionen übertragen, die an sich dem Arbeitgeber zustehen, kann 28 Abs. 1 Satz 1 Nr. 2 (erforderlich aus berechtigtem Interesse des Arbeitgebers) bzw. 28 Abs. 2 Nr. 2a BDSG (berechtigtes Interesse des dritten Unternehmens) die Übermittlung rechtfertigen, wenn bei der erforderlichen Interessenabwägung die schutzwürdigen Interessen der Arbeitnehmer nicht überwiegen. Es kann nur im Einzelfall beurteilt werden, welche Maßnahmen die Konzernunternehmen in die Waagschale der Abwägung zugunsten der Betroffenen einbringen müssen. In Betracht kommt bei Mutterunternehmen in der EU, im EWR oder in Drittstaaten mit angemessenem Datenschutzniveau (oder Safe Harbor-zertifizierten Unternehmen) beispielsweise die Schaffung eines konzernweiten Datenschutzkonzepts, das einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen und koordinierte Sicherheitsmaßnahmen festschreibt, oder der Abschluss einer Betriebsvereinbarung. Entscheidend ist aber auch, dass die Prozesse der Verarbeitung für die betroffenen Mitarbeiter transparent sind. Bei einer Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau muss auf jeden Fall den gesetzlichen Ansprüchen der Mitarbeiter auf den Schutz ihrer Daten entsprochen werden. Dazu bietet sich in der Praxis häufig der Abschluss der Standardvertragsklauseln für Übermittlungen an (C2C) (vgl. im Teil II Kapitel 6 EU-Standardvertragsklauseln, Seite 80). 20

7 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG Zu beachten sind bei Abschluss der Alternativen Standardvertragsklauseln (vgl. im Teil II Kapitel 6.2 Alternative Standardvertragsklauseln für die Übermittlung, Seite 80) die vom Düsseldorfer Kreis festgelegten besonderen Garantien, die der Arbeitgeber gegenüber seinen Beschäftigten erklären muss. 2 Soweit auf Safe Harbor-Zertifizierungen abgestellt wird, ist insbesondere zu prüfen, ob Mitarbeiterdaten erfasst sind. Darüber hinaus sollten die besonderen Anforderungen des Düsseldorfer Kreises berücksichtigt werden (vgl. im Teil II Kapitel 4.3 Besondere Anforderungen des Düsseldorfer Kreises, Seite 73). 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten ist durch die Erlaubnistatbestände des 28 Abs. 1-3 BDSG nicht gedeckt. Daher kann der Arbeitgeber besondere Arten personenbezogener Daten nur auf der Grundlage bereits bestehender bereichsspezifischer Regelungen, beispielsweise der Abgabenordnung, oder nach 28 Abs. 6 Nr. 3 BDSG verarbeiten. 2 Nach 28 Abs. 6 Nr. 3 BDSG ist die Erhebung, Verarbeitung und Nutzung der besonderen Arten personenbezogener Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt. Überträgt nun der Arbeitgeber zulässigerweise Funktionen auf andere Konzernunternehmen, stellt sich die Frage, ob dies die Befugnis zur Übermittlung von besonderen Arten personenbezogener Daten und deren Verarbeitung und Nutzung durch den Funktionsübernehmer umfassen kann. Die Rechtslage ist unklar (vgl. unter Punkt 1. im Kapitel 1.2 im Teil II Zweistufige Zulässigkeitsprüfung bei der Übermittlung in ein Drittland, Seite 67). Es spricht jedoch vieles dafür, dass jedenfalls bei einer als zulässig bewerteten Funktionsübertragung auch besondere Arten personenbezogener Daten im erforderlichen Umfang übermittelt und vom Funktionsübernehmer verarbeitet und genutzt werden dürfen. Diese Ansicht wird allerdings von einigen Aufsichtsbehörden nicht geteilt. Es empfiehlt sich eine Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde. 2 Vgl. Seite 2 Abgestimmte Positionen der Aufsichtsbehörden in der Arbeitsgruppe Internationaler Datenverkehr am 12./13. Februar Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni

8 1 Zentralisierung (von Teilbereichen) der Personalverwaltung 1.5 Zulässigkeit aufgrund einer Einwilligung Nach herrschender Ansicht ist die Einwilligung von Mitarbeitern gegenüber ihrem Arbeitgeber nur dann rechtswirksam, wenn der Beschäftigte eine echte Wahl hat. Und er muss seine Einwilligung zu einem späteren Zeitpunkt widerrufen können, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.r. als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten an ein anderes Konzernunternehmen für Zwecke der Personalverwaltung aus. Von Ausnahmen abgesehen, ist die Einwilligung im Beschäftigungsverhältnis für eine Datenübermittlung an ein anderes Konzernunternehmen für Zwecke der Personalverwaltung ungeeignet. 1.6 Zulässigkeit aufgrund von Betriebsvereinbarungen Konzern-, Gesamt- oder Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat stellen Rechtsvorschriften i.s.d. 4 Abs. 1 BDSG dar. Somit können sie als Erlaubnisnorm für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten herangezogen werden. Das Bundesarbeitsgericht (BAG) hat entschieden, dass Betriebsvereinbarungen auch zuungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen können. Es muss allerdings den Grundsätzen über den Persönlichkeitsschutz der Beschäftigten Rechnung getragen werden. Wenn z.b. die Übermittlung der Beschäftigtendaten an die ausländische Muttergesellschaft geregelt werden soll, dann sind dazu in der Betriebsvereinbarung besondere Regelungen zum Schutz der Persönlichkeitsrechte der Mitarbeiter zu treffen. Diese Schutzregelungen dürfen aber nicht das Niveau der Anforderungen des 4c BDSG unterschreiten, weil sich aus 4b BDSG ein grundsätzliches Übermittlungsverbot ergibt, das durch eine Betriebsvereinbarung allein nicht überwunden werden kann. In der Betriebsvereinbarung sollten die vorgesehenen Schutzmechanismen zugunsten der Beschäftigten geregelt werden (z.b. Standardvertragsklauseln, Safe Harbor-Zertifizierung). 22

9 1.6 Zulässigkeit aufgrund von Betriebsvereinbarungen Weitergabe von Mitarbeiterdaten (zentrale Personalverwaltung) an verbundene Unternehmen/Muttergesellschaft mit Sitz im Ausland 1. Wird die zentrale Personalabteilung als reiner Dienstleister bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und -entwicklung bis hin zur Entlassung von Mitarbeitern tätig und dabei die zentrale Funktion der Verantwortlichkeit des Arbeitgeberunternehmens nicht beeinträchtigt? 2. Dient die Übermittlung der Zweckbestimmung des Arbeitsvertragsverhältnisses? (Das ist z.b. der Fall, wenn der Arbeitsvertrag einen Konzernbezug aufweist.) 3. Bestehen berechtigte Interessen des Arbeitgebers oder eines anderen (Konzern-) Unternehmens? Ja Wenn ja, dann kann es sich um eine Auftragsdatenverarbeitung handeln. Wenn ja, ergibt sich eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG. Wenn ja, bitte weiter mit Punkt 4. Nein Wenn nein, bitte weiter mit Frage 2. Wenn nein, bitte weiter mit Frage 3. Wenn nein, ist eine Übermittlung nur mit freiwilliger Einwilligung möglich. 4. Es sind Maßnahmen zugunsten der Beschäftigten zu treffen (z.b. konzernweites Datenschutzkonzept, Standardvertragsklauseln, Safe Harbor und/oder besondere Regelungen in einer Betriebsvereinbarung). Ferner sind die Verarbeitungsprozesse den Beschäftigten transparent zu machen. Einzelheiten sind in den vorherigen Abschnitten beschrieben. Checkliste: Weitergabe von Mitarbeiterdaten an verbundene Unternehmen im Ausland 23

10 2 Zentrale Gehaltsabrechnung durch Auslandsgesellschaft Hier ist zunächst zu unterscheiden, ob die Abrechnung von einem Unternehmen mit Sitz innerhalb der EU, des EWR oder in einem Drittland (ungeachtet dessen, ob dort ein angemessenes Datenschutzniveau besteht oder nicht) stattfindet. Innerhalb der EU bzw. des EWR ergeben sich keine Besonderheiten. Es sollte ein Vertrag entsprechend 11 BDSG abgeschlossen werden. Bei einer Verarbeitung im Drittstaat stellt sich das bereits im Rahmen des Kapitels 1 Zentralisierung (von Teilbereichen) der Personalverwaltung angesprochene Problem der sensitiven Daten im Abschnitt 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG. Soweit die für Sie zuständige Aufsichtsbehörde aufgrund der aktuellen Gesetzeslage eine Übermittlung von sensitiven Mitarbeiterdaten in Drittstaaten für nicht zulässig erachtet, kann eine abschließende Erstellung der Lohn- und Gehaltsabrechnung nicht im Drittstaat erfolgen. In der Praxis haben sich aber bereits Konstrukte entwickelt, um die Abrechnungen in Europa zu erstellen, wobei die notwendigen allgemeinen Daten von der zentralen Datenbank im Drittstaat, die sensitiven Daten (wie z.b. Religionszugehörigkeit, Krankentage, Schwerbehinderteneigenschaft) unmittelbar von dem deutschen Unternehmen an den (Unter-) Auftragnehmer in der EU bzw. im EWR weitergegeben werden. 24

11 3 Zentralisiertes Kundenmanagementsystem Es ist zunächst immer zu fragen, wer welche Daten für welche Zwecke an wen übermittelt. Die verantwortliche Stelle ist üblicherweise die, die eine Vertragsbeziehung zu den Kunden hat. Die Zulässigkeit der Erhebung und Verarbeitung dieser Kundendaten ergibt sich i.d.r. nach 28 Abs. 1 Nr. 1 BDSG, also zum Zweck der Erfüllung eines Vertrages oder im Vorfeld eines Vertrages, oder in der Sprache des BDSG: wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Daran ist zunächst auch eine evtl. Übermittlung an ein anderes Unternehmen derselben Unternehmensgruppe zu knüpfen. Dabei ist es auch im ersten Schritt unerheblich, ob das andere Unternehmen seinen Sitz im Inland oder z.b. in einem Drittland hat. 3.1 Zur Erfüllung von Vertragszwecken Eine Fallgestaltung, bei der eine solche Übermittlung personenbezogener Daten an ein anderes Unternehmen derselben Unternehmensgruppe zum Zweck der Vertragserfüllung stattfinden kann, ist z.b. die Vermittlung von Produkten und Dienstleistungen, die von dem die Daten erhebenden Unternehmen nur deshalb erhoben werden, um diese dann an das eigentliche Vertragspartnerunternehmen weiterzureichen. Diese Konstellation ist beispielsweise bei Banken oder Versicherungsunternehmen anzutreffen, bei denen das vermittelnde Unternehmen den Kundenkontakt hat, die Vertragsbeziehung des Kunden aber mit der Muttergesellschaft besteht. Wenn die Daten an das Vertragspartnerunternehmen im Drittland weitergegeben werden, ist dies eine der Katalogausnahmen des 4b BDSG (Vertragserfüllung). Ob und inwieweit das datenimportierende Unternehmen angemessene Datenschutzgarantien gewährleistet, ist eine geschäfts- und marketingpolitische Fragestellung. Häufig wird ein im Drittland ansässiges Unternehmen gegenüber Wettbewerbsunternehmen mit Sitz in der EU/ EWR nur bei Erklärung eines angemessenen Datenschutzniveaus konkurrenzfähig sein. Wenn sich die Unternehmensgruppe für ein angemessenes Datenschutzniveau entscheidet, dann kommen hier Konstrukte nach den Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor infrage. 3.2 Internationale Kundenbetreuung Ein Sonderfall bei international aufgestellten Unternehmensverbünden ist, dass diese auch global tätigen Unternehmen für eine umfassende Kundenbetreuung zur Verfügung stehen wollen. Deshalb gibt es Fälle, in denen eine evtl. weltweite Kundendatenbank existiert. Solche Konstellationen sind allerdings kaum im Bereich privater Verbraucher zu erwarten, sondern primär nur 25

12 3 Zentralisiertes Kundenmanagementsystem im gewerblichen Kundengeschäft (B2B). Sofern es sich bei diesen Kunden aber nicht um juristische Personen handelt bzw. im Rahmen des Kundenmanagementsystems auch Ansprechpartner und damit personenbezogene Daten enthalten sind, sind die Voraussetzungen an eine zulässige Datenübermittlung zu beachten. Die Datenweitergabe an das Unternehmen im Drittland oder deren Zugriff auf die Datenbank erfordert ein angemessenes Datenschutzniveau, wenn nicht der eher ungewöhnliche Fall der Einwilligung angenommen werden kann. Das bzw. die datenimportierende(n) Unternehmen kann (können) ein angemessenes Datenschutzniveau durch Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor gewährleisten. Ob und in welchem Umfang Kundendaten aus dem Bereich der EU an andere Unternehmen weitergegeben werden können, bedarf eine entsprechenden Analyse und Interessenabwägung nach 28 Abs. 1 Nr. 2 BDSG. 3.3 Zentrale Kundendatenbank als Auftragsdatenverarbeitung Bleiben die Kundendaten unter der Verantwortung der deutschen verarbeitenden Stelle und werden die Daten nur deshalb in die zentrale Datenbank transferiert, weil eine konzernangehörige Gesellschaft (z.b. die Muttergesellschaft) die Datenverarbeitung zentralisiert hat, dann ist im Grundsatz von einer Auftragsdatenverarbeitung auszugehen. Für diesen Fall gelten die Ausführungen im Kapitel 7 Zentralisierung von Dienstleistungen: Shared Service Center, Seite

13 4 Datenübermittlung für Werbezwecke und Cross-Selling Besonders innerhalb von Konzerngebilden besteht häufig der Wunsch, Kundendaten zum Zwecke der Werbung oder zum Cross-Selling an andere Konzerneinheiten weiterzugeben. Die Zulässigkeit richtet sich zunächst einmal nach 28 Abs. 3 BDSG, wonach eine Übermittlung von personenbezogenen Daten für Werbezwecke nur unter ganz bestimmten Voraussetzungen zulässig ist. Soweit damit eine grenzüberschreitende Datenweitergabe verbunden ist, sind zusätzlich die Vorschriften nach den 4b und 4c BDSG zu beachten. 4.1 Gewährleistung eines angemessenen Datenschutzniveaus Die Gewährleistung eines angemessenen Datenschutzniveaus bei der datenempfangenden Stelle im Ausland, und hier insbesondere im Drittland, wird wohl unabdingbar sein, weil bei einer Übermittlung ohne Einwilligung die entgegenstehenden Interessen der Betroffenen zu berücksichtigen sind (vgl. 28 Abs. 3 letzter Satz BDSG). Eine Datenübermittlung an eine Stelle im Drittland wird häufig bereits wegen der Sprachproblematik nicht sonderlich produktiv sein. Anders ist dies sicherlich dann zu beurteilen, wenn auch der Kunde als globaler Kunde auftritt, was aber bei natürlichen Personen eher die Ausnahme ist. Die Datenweitergabe an das Unternehmen im Drittland auf Basis der gesetzlichen Erlaubnis erfordert ein angemessenes Datenschutzniveau, weil andernfalls im Rahmen der Interessenabwägung eine Übermittlung unzulässig wäre. Das bzw. die datenimportierende(n) Unternehmen kann (können) ein angemessenes Datenschutzniveau durch Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor gewährleisten. 4.2 Grundlage Einwilligung Je nach Konstellation wird es sogar zweckmäßig sein, sich vom Kunden für die Datenübermittlung an andere Konzernunternehmen zum Zwecke der Werbung eine entsprechende Einwilligung geben zu lassen. Das ist sogar in den meisten Fällen dann zwingend erforderlich, wenn mit der Datenweitergabe für Werbezwecke dem Dritten auch die Möglichkeit eingeräumt werden soll, den Kunden telefonisch oder per zu kontaktieren. An sich würde eine informierte und freiwillige Einwilligung als eine der Katalogausnahmen des 4c BDSG eine Datenübermittlung an Stellen in Länder ohne angemessenes Datenschutzniveau ermöglichen. Aus marketing- und 27

14 4 Datenübermittlung für Werbezwecke und Cross-Selling vertriebspolitischen Überlegungen wird man jedoch nur eher selten von dieser Option Gebrauch machen. Der Grund ist darin zu sehen, dass ein nicht angemessenes Datenschutzniveau in der Einwilligungserklärung auch transparent gemacht werden müsste, was die Bereitschaft der Kunden zur Abgabe der Einwilligung tendenziell verringern dürfte. Eine Einwilligung zur Datenübermittlung für Werbezwecke könnte wie folgt gestaltet sein (Beispiel): Einwilligung Der Kunde ist damit einverstanden, dass seine personenbezogenen Daten (und soweit der Kunde zugestimmt hat einschließlich seiner -Adressen sowie Telefon- und Faxnummern) zur Durchführung von Werbe- und Marketingmaßnahmen sowie zur Verbesserung des Produktangebotes auch an andere Unternehmen des XYZ- Konzerns* weitergegeben werden. Dabei können die Daten auch an solche konzernangehörigen Unternehmen übermittelt werden, die ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumes (EU/ EWR) haben. Das Unternehmen stellt durch geeignete Maßnahmen sicher, dass bei den empfangenden Stellen ein angemessenes Datenschutzniveau im Sinne des Bundesdatenschutzgesetzes (BDSG) gewährleistet ist. Ferner willigt der Kunde darin ein, zu Zwecken der Kundebetreuung, der Information über Produkte und Dienstleistungen des XYZ-Konzerns* sowie zu Zwecken der Markt- und Meinungsforschung über folgende Kommunikationswege kontaktiert zu werden: Telefon Fax * Die konzernangehörigen Unternehmen sind eine Aktualisierung der XYZ- Unternehmensgruppe können Sie jederzeit über die Website erfahren. Die vorstehende Einwilligungserklärung kann ohne Einfluss auf den Vertrag jederzeit ganz oder teilweise für die Zukunft widerrufen werden. Beispiel einer Einwilligungserklärung zur Datenweitergabe zu Werbezwecken 28

15 5 Konzernweites -System Oft wird in Konzernen oder anderen Unternehmensverbünden ein unternehmensweit einheitliches -System genutzt. Damit einhergehend stehen üblicherweise sämtlichen Mitarbeitern des Konzerns weltweit die entsprechenden Namens-, Telefon- und -Verzeichnisse zur Verfügung. 5.1 Zulässigkeit nach Arbeitsvertrag Die Einstellung der Daten in die entsprechenden Verzeichnisse oder ins Intranet ist nach 32 Abs. 1 Satz 1 BDSG zulässig, wenn es für die Durchführung des Beschäftigungsverhältnisses jedes Mitarbeiters erforderlich ist, dass er auf die dienstlichen Kommunikationsdaten (Name, Funktion, Abteilung, Standort, dienstliche Telefon- und Telefaxnummer, -Adresse, evtl. Vorgesetzter) aller anderen im Verzeichnis aufgeführten Mitarbeiter zugreifen kann und diese auf seine Daten zugreifen können. 3 Vergleichbare Überlegungen gelten auch für den Verzeichnisdienst von Microsoft Windows Server, genannt Active Directory. Auch hier kann die Konzernholding die Nutzung eines einheitlichen und zentralisierten Active Directories vorgeben. Für die damit verbundene Datenübermittlung von Beschäftigtendaten im Rahmen der Zugriffsberechtigungen gelten die hier in diesem Kapitel beschriebenen Grundsätze. Da die damit verbundene Übermittlung von Beschäftigtendaten zur Zweckerfüllung des Arbeitsvertrages erforderlich ist, werden im Regelfall auch keine weiteren Maßnahmen erforderlich sein. Aufgrund der Verarbeitung der personenbezogenen Daten der Mitarbeiter für die Zwecke zur Erfüllung des Arbeitsvertrages wird damit auch die entsprechende Voraussetzung des 4c BDSG zum grenzüberschreitenden Datenverkehr erfüllt und damit die Datenübermittlung zulässig. Auch für die Bereitstellung des zentralen -Systems ergeben sich im Regelfall keine weiteren Maßnahmen. Innerhalb des Unternehmensverbundes wird schon aus vitalem Eigeninteresse der Konzernverbund eine gesicherte Übermittlung der Kommunikationsdaten gewährleisten. Außerhalb des Konzernnetzes ist nicht besonders geschützt, sofern diese nicht verschlüsselt wird. Insofern kann im Regelfall davon ausgegangen werden, dass die für die Systeme angemessenen Schutzmaßnahmen getroffen sind. Die Vorgaben des Arbeitgebers überschreiben allerdings nicht das Mitbestimmungsrecht des Betriebsrats. So wird ein -System typischerweise durchaus für eine Leistungs- oder Verhaltenskontrolle geeignet sein. Soweit Betriebsvereinbarungen dem Arbeitgeberunternehmen besondere Verpflichtungen auferlegen (vgl. Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 3 Vgl. Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Seite 11, erstellt durch Regierungspräsidium Darmstadt, Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am (redaktionelle Änderungen am ) 29

16 5 Konzernweites -System BetrVG), ist es empfehlenswert, mit der zuständigen Stelle des das System betreibenden Unternehmens entsprechende Verabredungen zu treffen. Voraussetzung ist, dass es sich um eine Vorgabe der ausländischen Muttergesellschaft handelt. Typischerweise geschieht dies in Form einer Weisung gegenüber den nachgeordneten Tochtergesellschaften. Das Arbeitgeberunternehmen kann (auf Weisung der Muttergesellschaft bzw. der Holding) von den Mitarbeitern im Rahmen der Erfüllung ihrer vertraglichen Leistungen vorgeben, welche Arbeitsmittel einzusetzen sind. 5.2 Zulässigkeit bei eigenen oder berechtigten Interessen Dritter Sollte es zweifelhaft sein, dass es erforderlich ist, dass jeder mit jedem kommunizieren kann und es insoweit zur Zweckerfüllung des Arbeitsvertrages nicht notwendig ist, könnte als Rechtfertigung auch ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen nach 28 Abs. 1 Satz 1 Nr. 2 oder 28 Abs. 2 Nr. 2a BDSG in Betracht kommen. Für ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen muss jedoch zumindest ein vernünftiger Grund für ein konzernweites Verzeichnis vorliegen (z.b. zentrale Versendung von s zur zeitgleichen Information aller Mitarbeiter, grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen). Allerdings würde ein berechtigtes Interesse nicht ausreichen, um die Ausnahmeanforderungen an eine zulässige Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau zu rechtfertigen. Insoweit kann die hier dargestellte Zulässigkeitsnorm nur innerhalb der EU/des EWR sowie in Drittstaaten angewandt werden, die ein angemessenes Datenschutzniveau gewährleisten. Ein Zugriff auf eine deutsche -Adresse durch einen Mitarbeiter in einem Drittland ohne angemessenes Datenschutzniveau wäre danach unzulässig, wenn nicht eine der Ausnahmen des 4c BDSG herangezogen werden kann. Wegen der Problematik, dass der Zulässigkeitstatbestand des berechtigten Interesses nur in sehr begrenztem Umfang weitere Maßnahmen nicht erforderlich macht, sollte immer konkret geprüft werden, ob nicht die Voraussetzungen der vorbeschriebenen Vertragserfüllung nach 32 Abs. 1 Satz 1 BDSG vorliegen. 30

17 5.4 Einwilligungserfordernis bei weitergehenden Daten 5.3 Anforderungen der Datenschutzaufsichtsbehörden Einige Datenschutzaufsichtsbehörden erwarten, dass bei global eingesetzten Verzeichnissen den schutzwürdigen Belangen der betroffenen Mitarbeiter, soweit sie Nicht-Funktionsträger (z.b. Lkw- oder Gabelstaplerfahrer) sind, Rechnung getragen wird. Ihnen soll insoweit ein Widerspruchsrecht eingeräumt werden (falls gegen eine Eintragung besondere Gründe vorliegen). 4 Erfahrungsgemäß sind die von den Datenschutzaufsichtsbehörden zitierten Mitarbeitergruppen nicht oder nur selten von der Erfassung in entsprechenden Verzeichnissen betroffen. Sollte dies aber der Fall sein, so empfiehlt sich eine Prüfung, ob denn ein Widerspruchsrecht technisch ohne gravierende Auswirkungen überhaupt umsetzbar sein könnte. Soweit eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG festgestellt werden kann, dürfte ein Widerspruchsrecht nicht zum Tragen kommen können. 5.4 Einwilligungserfordernis bei weitergehenden Daten Aus Gründen der Unternehmenskultur möchten manche Unternehmen u.u. auch persönliche Daten der Beschäftigten im Unternehmensverbund veröffentlichen (z.b. Familienstand, Kinder, Hobby, Foto). Dies kann nur mit einer freiwilligen Einwilligung des einzelnen Mitarbeiters erfolgen. Dies sollte technisch so gestaltet ist, dass der jeweilige Mitarbeiter seine Daten selbst eingeben/hochladen kann ( Self Service ), dann beinhaltet diese Handlung implizit die Einwilligung des Mitarbeiters. Mit der hiermit verbundenen Einwilligung wird im Regelfall auch die Anforderung nach 4c BDSG erfüllt, womit die Veröffentlichung in einem ggf. auch weltweit im Konzernverbund abrufbaren Verzeichnis gesetzeskonform ist. 4 Vgl. Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Seite 12, erstellt durch Regierungspräsidium Darmstadt, Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am (redaktionelle Änderungen am ) 31

18 5 Konzernweites -System Mitarbeiterdaten in international unternehmensübergreifenden -Systemen und Verzeichnissen 1. Besteht eine Vorgabe der weisungsberechtigten Muttergesellschaft/Holding an das deutsche Arbeitgeberunternehmen für ein konzernweites Verzeichnis (z.b. zentrale Versendung von s zur zeitgleichen Information aller Mitarbeiter, grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen)? 2. Haben Nicht-Funktionsträger (z.b. Lkw- oder Gabelstaplerfahrer) ein Widerspruchsrecht, falls gegen eine Eintragung besondere Gründe vorliegen? 3. Beschränken sich die Daten auf Name, Funktion, Abteilung, Standort, dienstliche Telefon- und Telefaxnummer, -Adresse, evtl. Vorgesetzter? Ja Wenn ja, dann ergibt sich eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG. Bitte weiter mit Frage 2. Wenn ja, bitte weiter mit Frage 3. Wenn ja, bitte weiter mit Frage 4. Nein Wenn nein, könnte ein berechtigtes Interesse infrage kommen ( 28 Abs. 1 Nr. 2 oder 28 Abs. 2 Nr. 2a BDSG), das allerdings bei Übermittlung in Drittländer ohne angemessenes Datenschutzniveau entsprechende Schutzmaßnahmen nicht überflüssig macht. Wenn nein, sollte geprüft werden, ob ein Widerspruch überhaupt umgesetzt werden könnte, ohne dass der Mitarbeiter an der Ausübung der zugewiesenen Tätigkeit gehindert würde. Weiter mit Frage 3. Wenn nein, weil z.b. auch Familienstand, Kinder, Hobby, Foto veröffentlicht werden sollen, erfordert dies die freiwillige Einwilligung des einzelnen Mitarbeiters (z.b. im Rahmen des Self Service ). Bitte weiter mit Frage 4. Checkliste: Mitarbeiterdaten in unternehmensübergreifenden -Systemen und Verzeichnissen 32

19 5.4 Einwilligungserfordernis bei weitergehenden Daten Mitarbeiterdaten in international unternehmensübergreifenden -Systemen und Verzeichnissen 4. Sind Regelungen zum Schutz der Persönlichkeitsrechte der Mitarbeiter in einer Betriebsvereinbarung getroffen (soweit Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG besteht)? Ja Wenn ja, sollten mit der zuständigen Stelle des das System betreibenden Unternehmens entsprechende Verabredungen getroffen werden. Nein Wichtig ist, dass die Beschäftigten hinreichend Transparenz über den Datenfluss erhalten. Checkliste: Mitarbeiterdaten in unternehmensübergreifenden -Systemen und Verzeichnissen (Forts.) 33

20 6 Whistleblowing (Sarbanes-Oxley oder J-SOX) Auf der Grundlage des US-amerikanischen Sarbanes-Oxley Act von 2002 (häufig auch SOX genannt), der auch auf europäische Tochterunternehmen oder Dienstleistungsunternehmen durchschlagen kann, muss ein System eingerichtet werden, über das Mitarbeiter Fehlverhalten ihrer Kollegen oder Vorgesetzten melden können ( Whistleblowing ). Inzwischen werden ähnliche Bedingungen auch von japanischen Unternehmen gefordert (J-SOX). Auch Unternehmen mit Sitz außerhalb der USA und Japan übernehmen inzwischen vergleichbare Meldeverfahren. Zulässig ist dies nach dem BDSG nur dann, wenn bestimmte datenschutzrechtliche Voraussetzungen erfüllt werden. 6.1 Verstöße gegen unternehmensinterne Verhaltensregeln Das Whistleblowing stellt ein internes Verfahren zur Meldung von Missständen durch die Beschäftigten dar. Dabei werden bestimmte Kommunikationswege vorgeschrieben. Neben den datenschutzrechtlichen Anforderungen sind bei der Einführung von Verhaltensregeln auch arbeitsrechtliche Erfordernisse zu berücksichtigen und die Mitbestimmungsrechte des Betriebsrats zu wahren. 6.2 Inhalte und Datenströme beim Whistleblowing Im Rahmen einer Meldung von Verstößen gegen Verhaltensregeln werden Angaben über die meldende Person, die beschuldigte Person und die entsprechenden Sachverhalte (Verhaltensverstöße) erhoben und verarbeitet. Je nach Ausgestaltung des Meldeverfahrens besteht die Möglichkeit der internen Nutzung durch die dafür vorgesehene Abteilung (beispielsweise Revision, Compliance), bei international aufgestellten Konzernunternehmen ist eine Übermittlung der personenbezogenen Daten an die im Ausland ansässige Konzernmutter oder andere zum Konzern gehörende Unternehmen im Ausland die Regel. 6.3 Sarbanes-Oxley Act oder J-SOX keine Rechtsvorschriften im Sinne des BDSG SOX oder J-SOX können nicht als dem BDSG vorgehende Rechtsvorschrift angesehen werden, weil amerikanisches/japanisches Recht in Deutschland keine unmittelbare Rechtswirkung entfaltet. Wird durch die lokale Geschäftsleitung das Whistleblowing im Rahmen ihres Direktions- 34

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Konzerninterne Datentransfers

Konzerninterne Datentransfers Datenschutz Ergonomie Mitbestimmung Konzerninterers Datenschutz und Mitbestimmung BvD AK Externe DSB, 23. September 2011 Lothar Bräutigam Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 -

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße

Mehr

Übermittlung personenbezogener Daten ins Ausland

Übermittlung personenbezogener Daten ins Ausland Übermittlung personenbezogener Daten ins Ausland September 2014 Wichtige Datenschutzinformationen für Ihr Unternehmen Inhalte Datenschutzinformationen September 2014 Inhaltsverzeichnis Begrüßung Ihr Datenschutzbeauftragter

Mehr

Datenübermittlung ins Ausland

Datenübermittlung ins Ausland Die Landesbeauftragte für den Datenschutz Niedersachsen Datenübermittlung ins Ausland I) Allgemeines Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.b. beim Outsourcing von einzelnen

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort... V Teil 1: Grundzüge des BDSG Kapitel 1: Einführung.... 1 I. Einleitung... 1 II. Entwicklung des BDSG von 1977 2010... 2 1. Verkündung 1977... 3 2. Volkszählungsurteil von 1983... 3 3. Erste

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Cristina Baier Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Verlag Dr. Kovac Hamburg 2010 -IX- Inhaltsverzeichnis Literaturverzeichnis XVII Einleitung.. > «>..»..». 1 1. Teil:

Mehr

Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer

Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer Regierungspräsidium Darmstadt Hillenbrand-Beck Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer 1. Allgemeines Die Anzahl großer, häufig multinationaler Konzerne wächst ständig. Konzernstrukturen

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datenverwendung und Datenweitergabe - was ist noch legal?

Datenverwendung und Datenweitergabe - was ist noch legal? RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. Pariser Str. 37 53117 Bonn Tel.: 0228-694313 Fax: 0228-695638 E-Mail: jaspers@gdd.de Die GDD e.v. Die GDD

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Inhaltsverzeichnis. A. Einleitung 17. B. Allgemeine Wettbewerbssituation 21. C. Internationalisierung der Wirtschaft 23

Inhaltsverzeichnis. A. Einleitung 17. B. Allgemeine Wettbewerbssituation 21. C. Internationalisierung der Wirtschaft 23 Inhaltsverzeichnis A. Einleitung 17 B. Allgemeine Wettbewerbssituation 21 C. Internationalisierung der Wirtschaft 23 I. Multinationale Unternehmen 24 II. Multinationale Konzerne 25 III. Internationale

Mehr

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Vortrag im Rahmen der Tagung Green IT und Industrialisierung der IT IGBCE; HBS; Borderstep; Stiftung Arbeit

Mehr

Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015

Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015 Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015 Der Schutz Ihrer Persönlichkeitsrechte und personenbezogener Daten bei der Erhebung,

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Das Bundesdatenschutzgesetz (BDSG) regelt in seinem 32, zu welchen Zwecken und unter welchen Voraussetzungen der Arbeitgeber Mitarbeiterdaten vor der

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort zur zweiten Auflage.... Vorwort zur ersten Auflage... V VI Teil 1: Grundzüge des BDSG Kapitel 1: Einführung...................................... 1 I. Einleitung.... 1 II. Was sollte man zur Entwicklung

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden

Mehr

Alexander Jung, Managing Consultant / legitimis GmbH

Alexander Jung, Managing Consultant / legitimis GmbH Alexander Jung, Managing Consultant / legitimis GmbH Strategische Managementberatung mit Schwerpunkt Datenschutz International operierende Strategie- und Managementberatung mit den Schwerpunkten Datenschutz,

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Lebensversicherung Nr.: Versicherte Person Die Regelungen des Versicherungsvertragsgesetzes, des

Mehr

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK 1 CLOUD COMPUTING - RECHTLICHE RAHMENBEDINGUNGEN Dr. Martin Schirmbacher Berlin, 24. April 2012 Gliederung 2 ÜBERBLICK Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Nutzungsrechte Folgen

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 29.04.2013: Einführung ins BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 29.04.2013: Einführung ins BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 29.04.2013: Einführung ins BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung" personenbezogener Daten

Mehr

Von Stefan Lang und Ralf Wondratschek

Von Stefan Lang und Ralf Wondratschek - Umgang von Betrieben mit - Mitarbeiterdaten - Kundendaten - Technisierung der Betriebe - Grenzen der Datensammlung / -speicherung bei Betrieben - Strafen - aktuelles Beispiel - Quellen Es gibt 2 Arten

Mehr

GDD-Arbeitskreis Datenschutz-Praxis

GDD-Arbeitskreis Datenschutz-Praxis GDD-Arbeitskreis Datenschutz-Praxis Praxishilfe V Mitarbeiterdaten im Unternehmensverbund 2. Auflage 2014 Vorbemerkung Zunehmend werden unternehmerische Ziele in nationalen und multinationalen Unternehmensverbünden

Mehr

DATENSCHUTZ bei. Öffentliches Verfahrensverzeichnis. Name der verantwortlichen Stelle. 1. Name oder Firma der verantwortlichen Stelle: BITZER SE

DATENSCHUTZ bei. Öffentliches Verfahrensverzeichnis. Name der verantwortlichen Stelle. 1. Name oder Firma der verantwortlichen Stelle: BITZER SE Öffentliches Verfahrensverzeichnis 1. Name oder Firma der verantwortlichen Stelle: Name der verantwortlichen Stelle BITZER SE BITZER Kühlmaschinenbau GmbH BITZER Kühlmaschinenbau Schkeuditz GmbH 2. Inhaber,

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

TCI-Whitepaper. Datenübermittlung in die USA. Was passiert nach dem EuGH-Urteil zu Safe Harbor?

TCI-Whitepaper. Datenübermittlung in die USA. Was passiert nach dem EuGH-Urteil zu Safe Harbor? TCI-Whitepaper Datenübermittlung in die USA Was passiert nach dem EuGH-Urteil zu Safe Harbor? (Version 1.0; Stand: 07.10.2015) 1. Was ist das Safe Harbor -Abkommen? Die Übermittlung personenbezogener Daten

Mehr

Fälle mit Lösungsskizzen

Fälle mit Lösungsskizzen Fall 1: Der Versicherungsrabatt Die mit der X-Bank konzernverbundene Y-Versicherung bittet die X-Bank um die Mitteilung von Namen und (Post-)Anschriften der neu eingestellten Auszubildenden. Sie teilt

Mehr

Google Analytics. - datenschutzrechtliche Betrachtung -

Google Analytics. - datenschutzrechtliche Betrachtung - Google Analytics - datenschutzrechtliche Betrachtung - 1 Agenda Terms & Conditions Datenschutzhinweise Google Analytics Allgemeine Datenschutzhinweise von Google Regelungssachverhalte: Cookies Nutzungsprofile

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

INFORMATIONS- UND DATENSCHUTZRECHT

INFORMATIONS- UND DATENSCHUTZRECHT INFORMATIONS- UND DATENSCHUTZRECHT Frühjahrssemester 2008 Medien- und Telekommunikationsrecht WIEDERHOLUNG 6b BDSG ist primär für private Videoüberwachung relevant Videoüberwachung durch öffentliche Stellen

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG Autoren: Daniela Weller (DIIR e.v.) In Zusammenarbeit mit Uwe Dieckmann (GDD e.v.) und Volker Hampel

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden Bundesgesetz Haftungsrisiken vermeiden Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt

Mehr

der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD)

der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) Stellungnahme der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) im Rahmen der Konsultation der Europäischen Kommission zum Rechtsrahmen für das Grundrecht auf Schutz personenbezogener Daten

Mehr

Zum aktuellen Stand von Social-Media-Guidelines

Zum aktuellen Stand von Social-Media-Guidelines Hans Böckler-Stiftung: Fachtagung Social Media in der internen Zusammenarbeit Was ist bisher geregelt? Zum aktuellen Stand von Social-Media-Guidelines 29.06.2015 - Frankfurt AfA Arbeitsrecht für Arbeitnehmer

Mehr

Datenschutz Haftungsfragen für das Management

Datenschutz Haftungsfragen für das Management Datenschutz Haftungsfragen für das Management IT-Sicherheit im Mittelstand IHK Nürnberg für Mittelfranken Referent: Rechtsanwalt Thilo Märtin Thilo Märtin & Collegen Rechtsanwalts GmbH 29.04.2015 Datenschutz

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 4. Übung im SoSe 2014: Mitarbeiterdatenschutz (3)

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 4. Übung im SoSe 2014: Mitarbeiterdatenschutz (3) und der IT-Sicherheit Musterlösung zur 4. Übung im SoSe 2014: Mitarbeiterdatenschutz (3) 4.1 Intranet Aufgabe: Ein Unternehmen möchte im Intranet ein innerbetriebliches Mitteilungsforum einrichten. Über

Mehr

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Präsentation für AMC Arbeitskreis Mittwoch, 13. Juni 2012 Düsseldorf 13. Juni 2012 l 1 24.04.2012

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht?

E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht? E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht? Dr. Hendrik Schöttle Rechtsanwalt Fachanwalt für IT-Recht OSDC Nürnberg 7. April 2011 Übersicht E-Mail-Marketing Spam

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Der betriebliche Datenschutzbeauftragte Stand: Januar 2010 Impressum: Bayerisches Landesamt für Datenschutzaufsicht in

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Bearbeitungshinweise

Bearbeitungshinweise DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Bearbeitungshinweise zur Meldung eines automatisierten Datenverarbeitungsverfahrens nach 4d des Bundesdatenschutzgesetzes (BDSG) zum Register nach 38 Absatz 2

Mehr

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Mitarbeiteraußendarstellung: Vom Namensschild zur Internetpräsentation

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Mitarbeiteraußendarstellung: Vom Namensschild zur Internetpräsentation Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 4: Mitarbeiteraußendarstellung: Vom Namensschild zur Internetpräsentation Frau Barbara Körffer Präsentation der Mitarbeiter Entwicklung

Mehr

Konzernrahmenrichtlinie. Datenschutz für Kunden- und Partnerdaten.

Konzernrahmenrichtlinie. Datenschutz für Kunden- und Partnerdaten. Konzernrahmenrichtlinie. Datenschutz für Kunden- und Partnerdaten. 02 Vorwort Sehr geehrte Damen und Herren, liebe Mitarbeiterinnen und Mitarbeiter, Datenschutz beim Umgang mit den Daten unserer Interessenten

Mehr

Countdown für den Datenschutzbeauftragten Prüfung der Kundendaten bis 31.08.2012

Countdown für den Datenschutzbeauftragten Prüfung der Kundendaten bis 31.08.2012 / IT-/Datenschutzrecht Countdown für den Datenschutzbeauftragten Prüfung der Kundendaten bis 31.08.2012 Das Zeitfenster schließt sich: Unternehmen, die Kundendaten für Werbezwecke verwenden, sollten ihre

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Rheinischer Unternehmertag 12. Juli 2011

Rheinischer Unternehmertag 12. Juli 2011 www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011 Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz

Mehr

ITKwebcollege.DATENSCHUTZ

ITKwebcollege.DATENSCHUTZ ITKwebcollege.DATENSCHUTZ Inhaltsverzeichnis ITKwebcollege.DATENSCHUTZ Themenübersicht Der Datenschutzbeauftragte 2 Verarbeitungsübersicht Meldepflicht 2 Auftragsdatenverarbeitung 2 Kontrollen durch die

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

Beispiele aus der anwaltlichen Praxis

Beispiele aus der anwaltlichen Praxis Die Nutzung von personenbezogenen Daten in Deutschland, der Schweiz und cross-border Beispiele aus der anwaltlichen Praxis Auftragsdatenverarbeitung zwischen Anbieter von IT- Lösungen und TK-Provider schweizerisches

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke

Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke VORBEMERKUNG Der Düsseldorfer Kreis als Gremium

Mehr

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Ihr Info-Pfad: Datenschutz Datenschutzrecht Vereine Faltblatt zum Datenschutz im Verein Herausgegeben von den Landesbeauftragten

Mehr

REFERENTEN: Dr. Dennis Voigt, Markus Faust MELCHERS, FRANKFURT AM MAIN Business-Frühstück Keine Website ohne Datenschutz

REFERENTEN: Dr. Dennis Voigt, Markus Faust MELCHERS, FRANKFURT AM MAIN Business-Frühstück Keine Website ohne Datenschutz REFERENTEN: Dr. Dennis Voigt, Markus Faust MELCHERS, FRANKFURT AM MAIN Business-Frühstück Keine Website ohne Datenschutz BIEG Hessen / IHK Offenbach am Main 06. Februar 2014 Gliederung Datenschutzerklärung

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Einsichtnahme in die Personalakte ein Rechtsanspruch? Gibt es eine Rechtsgrundlage für die Einsichtnahme?

Einsichtnahme in die Personalakte ein Rechtsanspruch? Gibt es eine Rechtsgrundlage für die Einsichtnahme? Einsichtnahme in die Personalakte ein Rechtsanspruch? Gibt es eine Rechtsgrundlage für die Einsichtnahme? Die rechtliche Grundlage zur Einsichtnahme in die Personalakte findet sich in 83 Abs. 1 Betriebsverfassungsgesetz

Mehr