Praktische Beispiele und Handlungsempfehlungen

Größe: px
Ab Seite anzeigen:

Download "Praktische Beispiele und Handlungsempfehlungen"

Transkript

1 Vorbemerkung Die Übermittlung personenbezogener Daten zählt häufig zu den wesentlichen Bestandteilen der Anbahnung und Abwicklung von Verträgen und anderen Transaktionen zahlreicher Unternehmen. Dabei macht auch die Datenübermittlung wie der Handel schon lange nicht mehr an den Landesgrenzen Deutschlands halt, sondern erfolgt häufig grenzübergreifend zwischen europäischen Staaten oder international. Insbesondere durch die Globalisierung gewinnt dieser grenzübergreifende Datenaustausch zunehmend an Bedeutung. Maßgeblich unterstützt wird dieser Prozess durch die rasante Entwicklung der Informationstechnik. Der Datenaustausch betrifft nicht nur denjenigen zwischen Vertragspartnern, sondern auch den Austausch und die Weitergabe im Unternehmensverbund. Letzteres ist bereits eine datenschutzrechtliche Herausforderung innerhalb Deutschlands, umso komplexer wird die Fragestellung in internationalen Konzernen. Daneben werden auch zunehmend Daten an weltweit tätige EDV-Dienstleistungsanbieter übermittelt. Unter wirtschaftlichen Gesichtspunkten ist das Outsourcing häufig eine Lösung, die keine Unternehmensleitung ignorieren kann. Allerdings sind die beteiligten Akteure nicht immer hinreichend mit den rechtlichen Anforderungen einer Datenübermittlung vertraut. Entspricht eine Datenübermittlung nicht den gesetzlichen Voraussetzungen, kann dies als Ordnungswidrigkeit oder sogar Straftatbestand mit Bußgeldern (bis zu EUR) bzw. Freiheitsstrafe geahndet werden ( 43, 44 BDSG). Ganz zu schweigen von eventuellen Reputationsrisiken, die aus einer unzulässigen oder fehlerhaften Datenübermittlung entstehen können. Dem Datenschutzbeauftragten fehlt bei dieser komplexen Materie häufig das notwendige Knowhow, was seine Möglichkeiten beeinträchtigt, den Beteiligten die überzeugenden Argumente zu vermitteln, warum bestimmte Datenübermittlungen nicht oder nur unter ganz bestimmten Voraussetzungen umsetzbar sind. Vor diesem Hintergrund ist die vorliegende Praxishilfe zweigeteilt: Der erste Teil der Praxishilfe ermöglicht Ihnen den Direkteinstieg in konkrete Einzelthemen. Damit lassen sich schnell aktuelle Fragestellungen beantworten und konkrete Problemstellungen vorgesehener Datenübermittlungen lösen. Durch entsprechende Verweisungen auf den Grundlagenteil der Praxishilfe erhalten Sie die erforderlichen Hintergrundinformationen. Der Praxisbezug wird durch eine Vielzahl von Checklisten sowie konkrete Handlungsempfehlungen unterstützt. Im Anhang finden Sie abschließend eine Reihe weiterer Hintergrundmaterialien. Auf der beiliegenden CD-ROM erhalten Sie konkrete Werkzeuge, Materialien und andere Hilfen, mit denen Sie mit geringem Aufwand gezielt und systematisch an die Lösung der an Sie herangetragenen Probleme herangehen können. Damit wird Ihnen zum einen Ihre Arbeit erheblich erleichtert. Zum anderen werden Ihnen so hinreichend Argumente bereitgestellt, um Ihren Gesprächspartnern die für eine gesetzeskonforme Umsetzung notwendigen Maßnahmen professionell vermitteln zu können. Angesichts der komplexen Materie kann die vorliegende Praxishilfe keinen Anspruch auf Vollständigkeit erheben. Darüber hinaus ist die Regelung des grenzüberschreitenden Datenverkehrs der fortlaufenden Entwicklung des Rechts und der Technik unterworfen. Diese Praxishilfe 15

2 Vorbemerkung stellt keine Rechtsberatung dar und kann eine solche auch nicht ersetzen. Auf jeden Fall sollten Sie aktuelle Entwicklungen, die sich nach dem Redaktionsschluss der Praxishilfe ergeben, in Ihre Überlegungen einfließen lassen. 16

3 Teil I: Praktische Beispiele und Handlungsempfehlungen

4

5 1 Zentralisierung (von Teilbereichen) der Personalverwaltung Häufig werden innerhalb von Unternehmensverbünden oder Konzernen Daten der Beschäftigten von einer zentralisierten Personalverwaltung verarbeitet. Die damit verbundene Weitergabe der Mitarbeiterdaten vom Beschäftigungsunternehmen an z.b. die ausländische Muttergesellschaft muss rechtmäßig sein. Folgende Möglichkeiten können in Betracht kommen. 1.1 Auftragsdatenverarbeitung nach 11 BDSG Werden innerhalb einer Unternehmensgruppe die Personalzuständigkeiten oder Teile davon zentral wahrgenommen, dann kann dies ggf. in der Form der Auftragsdatenverarbeitung (ADV) abgewickelt werden. Das gilt aber nur dann, wenn die zentrale Funktion die Verantwortlichkeit des Arbeitgeberunternehmens nicht beeinträchtigt. Wird die zentrale Personalabteilung als reiner Dienstleister bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und -entwicklung bis hin zur Entlassung von Mitarbeitern tätig, sollte dies im Rahmen einer Auftragsdatenverarbeitung nach 11 BDSG möglich sein. In diesem Fall sind bei einer Stelle mit Sitz in der EU bzw. dem EWR (siehe Übersicht Mitgliedstaaten der EU sowie des EWR (Stand September 2010), Seite 70) oder in einem Land mit angemessenem Datenschutzniveau (siehe im Anhang C, Übersicht Länder mit angemessenem Datenschutzniveau, Seite 129) die entsprechenden Anforderungen nach 11 BDSG (z.b. schriftlicher Vertrag) zu erfüllen (vgl. im Teil II Kapitel 2.2 Hinweis auf Besonderheiten bei der Auftragsdatenverarbeitung nach 11 BDSG, Seite 71). Soweit der Sitz der zentralen Stelle in einem Drittland ohne angemessenes Datenschutzniveau liegt, bietet sich für den genannten Fall der Abschluss der Standardvertragsklauseln für Auftragsdatenverarbeitung (C2P) an (vgl. im Teil II Kapitel 6.3 Standardvertragsklauseln für die Auftragsdatenverarbeitung, Seite 82). Soweit es sich um ein Safe Harbor-zertifiziertes US-amerikanisches Unternehmen handelt, wird kein Standardvertrag benötigt, sondern es kann ein Vertrag entsprechend 11 BDSG abgeschlossen werden (vgl. im Teil II Kapitel 4 Sonderfall Safe Harbor bei Datenübermittlungen in die USA, Seite 73). Dabei sind die vom Düsseldorfer Kreis entschiedenen Anforderungen zu beachten 1 (vgl. Anhang B.2 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen, Seite 126). Meistens gehen die Zuständigkeiten der zentralisierten Personalverwaltung über eine reine Auftragsdatenverarbeitung hinaus. Deshalb wird eher eine der beiden folgenden Alternativen zu prüfen sein. 1 Vgl. Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich am 28./29. April 2010 in Hannover 19

6 1 Zentralisierung (von Teilbereichen) der Personalverwaltung 1.2 Zulässigkeit für Zwecke des Arbeitsvertrages Dient die Übermittlung der Zweckbestimmung des Beschäftigungsverhältnisses, ist sie nach 32 Abs. 1 Satz 1 BDSG zulässig. Das ist der Fall, wenn der Arbeitsvertrag einen Konzernbezug aufweist, wenn darin also ein Tätigwerden des Arbeitnehmers auch in anderen, insbesondere internationalen Konzernunternehmen vorgesehen ist. Wenn z.b. ein Mitarbeiter in seinem Arbeitsvertrag die Bereitschaft erklärt hat, auch in anderen Konzernunternehmen eingesetzt zu werden, so liegt es in der Zweckbestimmung des Arbeitsvertrages, dass seine Daten z.b. in einem zentralen Personalsystem zur Verfügung stehen. Da die Datenübermittlung an das ausländische Mutterunternehmen in diesem Fall zur Erfüllung der Zwecke des Arbeitsvertrages erforderlich ist, bedarf es auch keiner weiteren Maßnahmen, um eine rechtlich zulässige Datenweitergabe zu gewährleisten. Die hier dargestellte Konstellation trifft meistens nur auf einen kleinen Teil der Mitarbeiter zu, so dass diese Lösung häufig nicht für die Gesamtmitarbeiterschaft geeignet ist. 1.3 Zulässigkeit bei eigenen oder fremden berechtigten Interessen Werden der datenempfangenden Muttergesellschaft Befugnisse und Funktionen übertragen, die an sich dem Arbeitgeber zustehen, kann 28 Abs. 1 Satz 1 Nr. 2 (erforderlich aus berechtigtem Interesse des Arbeitgebers) bzw. 28 Abs. 2 Nr. 2a BDSG (berechtigtes Interesse des dritten Unternehmens) die Übermittlung rechtfertigen, wenn bei der erforderlichen Interessenabwägung die schutzwürdigen Interessen der Arbeitnehmer nicht überwiegen. Es kann nur im Einzelfall beurteilt werden, welche Maßnahmen die Konzernunternehmen in die Waagschale der Abwägung zugunsten der Betroffenen einbringen müssen. In Betracht kommt bei Mutterunternehmen in der EU, im EWR oder in Drittstaaten mit angemessenem Datenschutzniveau (oder Safe Harbor-zertifizierten Unternehmen) beispielsweise die Schaffung eines konzernweiten Datenschutzkonzepts, das einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen und koordinierte Sicherheitsmaßnahmen festschreibt, oder der Abschluss einer Betriebsvereinbarung. Entscheidend ist aber auch, dass die Prozesse der Verarbeitung für die betroffenen Mitarbeiter transparent sind. Bei einer Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau muss auf jeden Fall den gesetzlichen Ansprüchen der Mitarbeiter auf den Schutz ihrer Daten entsprochen werden. Dazu bietet sich in der Praxis häufig der Abschluss der Standardvertragsklauseln für Übermittlungen an (C2C) (vgl. im Teil II Kapitel 6 EU-Standardvertragsklauseln, Seite 80). 20

7 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG Zu beachten sind bei Abschluss der Alternativen Standardvertragsklauseln (vgl. im Teil II Kapitel 6.2 Alternative Standardvertragsklauseln für die Übermittlung, Seite 80) die vom Düsseldorfer Kreis festgelegten besonderen Garantien, die der Arbeitgeber gegenüber seinen Beschäftigten erklären muss. 2 Soweit auf Safe Harbor-Zertifizierungen abgestellt wird, ist insbesondere zu prüfen, ob Mitarbeiterdaten erfasst sind. Darüber hinaus sollten die besonderen Anforderungen des Düsseldorfer Kreises berücksichtigt werden (vgl. im Teil II Kapitel 4.3 Besondere Anforderungen des Düsseldorfer Kreises, Seite 73). 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG Die Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten ist durch die Erlaubnistatbestände des 28 Abs. 1-3 BDSG nicht gedeckt. Daher kann der Arbeitgeber besondere Arten personenbezogener Daten nur auf der Grundlage bereits bestehender bereichsspezifischer Regelungen, beispielsweise der Abgabenordnung, oder nach 28 Abs. 6 Nr. 3 BDSG verarbeiten. 2 Nach 28 Abs. 6 Nr. 3 BDSG ist die Erhebung, Verarbeitung und Nutzung der besonderen Arten personenbezogener Daten gestattet, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt. Überträgt nun der Arbeitgeber zulässigerweise Funktionen auf andere Konzernunternehmen, stellt sich die Frage, ob dies die Befugnis zur Übermittlung von besonderen Arten personenbezogener Daten und deren Verarbeitung und Nutzung durch den Funktionsübernehmer umfassen kann. Die Rechtslage ist unklar (vgl. unter Punkt 1. im Kapitel 1.2 im Teil II Zweistufige Zulässigkeitsprüfung bei der Übermittlung in ein Drittland, Seite 67). Es spricht jedoch vieles dafür, dass jedenfalls bei einer als zulässig bewerteten Funktionsübertragung auch besondere Arten personenbezogener Daten im erforderlichen Umfang übermittelt und vom Funktionsübernehmer verarbeitet und genutzt werden dürfen. Diese Ansicht wird allerdings von einigen Aufsichtsbehörden nicht geteilt. Es empfiehlt sich eine Abstimmung mit der zuständigen Datenschutzaufsichtsbehörde. 2 Vgl. Seite 2 Abgestimmte Positionen der Aufsichtsbehörden in der Arbeitsgruppe Internationaler Datenverkehr am 12./13. Februar Bezug: Protokoll der Sitzung mit Wirtschaftsvertretern am 23. Juni

8 1 Zentralisierung (von Teilbereichen) der Personalverwaltung 1.5 Zulässigkeit aufgrund einer Einwilligung Nach herrschender Ansicht ist die Einwilligung von Mitarbeitern gegenüber ihrem Arbeitgeber nur dann rechtswirksam, wenn der Beschäftigte eine echte Wahl hat. Und er muss seine Einwilligung zu einem späteren Zeitpunkt widerrufen können, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.r. als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten an ein anderes Konzernunternehmen für Zwecke der Personalverwaltung aus. Von Ausnahmen abgesehen, ist die Einwilligung im Beschäftigungsverhältnis für eine Datenübermittlung an ein anderes Konzernunternehmen für Zwecke der Personalverwaltung ungeeignet. 1.6 Zulässigkeit aufgrund von Betriebsvereinbarungen Konzern-, Gesamt- oder Betriebsvereinbarungen zwischen Arbeitgeber und Betriebsrat stellen Rechtsvorschriften i.s.d. 4 Abs. 1 BDSG dar. Somit können sie als Erlaubnisnorm für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten herangezogen werden. Das Bundesarbeitsgericht (BAG) hat entschieden, dass Betriebsvereinbarungen auch zuungunsten der Arbeitnehmer von den Vorschriften des BDSG abweichen können. Es muss allerdings den Grundsätzen über den Persönlichkeitsschutz der Beschäftigten Rechnung getragen werden. Wenn z.b. die Übermittlung der Beschäftigtendaten an die ausländische Muttergesellschaft geregelt werden soll, dann sind dazu in der Betriebsvereinbarung besondere Regelungen zum Schutz der Persönlichkeitsrechte der Mitarbeiter zu treffen. Diese Schutzregelungen dürfen aber nicht das Niveau der Anforderungen des 4c BDSG unterschreiten, weil sich aus 4b BDSG ein grundsätzliches Übermittlungsverbot ergibt, das durch eine Betriebsvereinbarung allein nicht überwunden werden kann. In der Betriebsvereinbarung sollten die vorgesehenen Schutzmechanismen zugunsten der Beschäftigten geregelt werden (z.b. Standardvertragsklauseln, Safe Harbor-Zertifizierung). 22

9 1.6 Zulässigkeit aufgrund von Betriebsvereinbarungen Weitergabe von Mitarbeiterdaten (zentrale Personalverwaltung) an verbundene Unternehmen/Muttergesellschaft mit Sitz im Ausland 1. Wird die zentrale Personalabteilung als reiner Dienstleister bei der Einstellung, Gehaltsabrechnung, Personalverwaltung und -entwicklung bis hin zur Entlassung von Mitarbeitern tätig und dabei die zentrale Funktion der Verantwortlichkeit des Arbeitgeberunternehmens nicht beeinträchtigt? 2. Dient die Übermittlung der Zweckbestimmung des Arbeitsvertragsverhältnisses? (Das ist z.b. der Fall, wenn der Arbeitsvertrag einen Konzernbezug aufweist.) 3. Bestehen berechtigte Interessen des Arbeitgebers oder eines anderen (Konzern-) Unternehmens? Ja Wenn ja, dann kann es sich um eine Auftragsdatenverarbeitung handeln. Wenn ja, ergibt sich eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG. Wenn ja, bitte weiter mit Punkt 4. Nein Wenn nein, bitte weiter mit Frage 2. Wenn nein, bitte weiter mit Frage 3. Wenn nein, ist eine Übermittlung nur mit freiwilliger Einwilligung möglich. 4. Es sind Maßnahmen zugunsten der Beschäftigten zu treffen (z.b. konzernweites Datenschutzkonzept, Standardvertragsklauseln, Safe Harbor und/oder besondere Regelungen in einer Betriebsvereinbarung). Ferner sind die Verarbeitungsprozesse den Beschäftigten transparent zu machen. Einzelheiten sind in den vorherigen Abschnitten beschrieben. Checkliste: Weitergabe von Mitarbeiterdaten an verbundene Unternehmen im Ausland 23

10 2 Zentrale Gehaltsabrechnung durch Auslandsgesellschaft Hier ist zunächst zu unterscheiden, ob die Abrechnung von einem Unternehmen mit Sitz innerhalb der EU, des EWR oder in einem Drittland (ungeachtet dessen, ob dort ein angemessenes Datenschutzniveau besteht oder nicht) stattfindet. Innerhalb der EU bzw. des EWR ergeben sich keine Besonderheiten. Es sollte ein Vertrag entsprechend 11 BDSG abgeschlossen werden. Bei einer Verarbeitung im Drittstaat stellt sich das bereits im Rahmen des Kapitels 1 Zentralisierung (von Teilbereichen) der Personalverwaltung angesprochene Problem der sensitiven Daten im Abschnitt 1.4 Sonderproblem: Sensitive Daten nach 3 Abs. 9 BDSG. Soweit die für Sie zuständige Aufsichtsbehörde aufgrund der aktuellen Gesetzeslage eine Übermittlung von sensitiven Mitarbeiterdaten in Drittstaaten für nicht zulässig erachtet, kann eine abschließende Erstellung der Lohn- und Gehaltsabrechnung nicht im Drittstaat erfolgen. In der Praxis haben sich aber bereits Konstrukte entwickelt, um die Abrechnungen in Europa zu erstellen, wobei die notwendigen allgemeinen Daten von der zentralen Datenbank im Drittstaat, die sensitiven Daten (wie z.b. Religionszugehörigkeit, Krankentage, Schwerbehinderteneigenschaft) unmittelbar von dem deutschen Unternehmen an den (Unter-) Auftragnehmer in der EU bzw. im EWR weitergegeben werden. 24

11 3 Zentralisiertes Kundenmanagementsystem Es ist zunächst immer zu fragen, wer welche Daten für welche Zwecke an wen übermittelt. Die verantwortliche Stelle ist üblicherweise die, die eine Vertragsbeziehung zu den Kunden hat. Die Zulässigkeit der Erhebung und Verarbeitung dieser Kundendaten ergibt sich i.d.r. nach 28 Abs. 1 Nr. 1 BDSG, also zum Zweck der Erfüllung eines Vertrages oder im Vorfeld eines Vertrages, oder in der Sprache des BDSG: wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Daran ist zunächst auch eine evtl. Übermittlung an ein anderes Unternehmen derselben Unternehmensgruppe zu knüpfen. Dabei ist es auch im ersten Schritt unerheblich, ob das andere Unternehmen seinen Sitz im Inland oder z.b. in einem Drittland hat. 3.1 Zur Erfüllung von Vertragszwecken Eine Fallgestaltung, bei der eine solche Übermittlung personenbezogener Daten an ein anderes Unternehmen derselben Unternehmensgruppe zum Zweck der Vertragserfüllung stattfinden kann, ist z.b. die Vermittlung von Produkten und Dienstleistungen, die von dem die Daten erhebenden Unternehmen nur deshalb erhoben werden, um diese dann an das eigentliche Vertragspartnerunternehmen weiterzureichen. Diese Konstellation ist beispielsweise bei Banken oder Versicherungsunternehmen anzutreffen, bei denen das vermittelnde Unternehmen den Kundenkontakt hat, die Vertragsbeziehung des Kunden aber mit der Muttergesellschaft besteht. Wenn die Daten an das Vertragspartnerunternehmen im Drittland weitergegeben werden, ist dies eine der Katalogausnahmen des 4b BDSG (Vertragserfüllung). Ob und inwieweit das datenimportierende Unternehmen angemessene Datenschutzgarantien gewährleistet, ist eine geschäfts- und marketingpolitische Fragestellung. Häufig wird ein im Drittland ansässiges Unternehmen gegenüber Wettbewerbsunternehmen mit Sitz in der EU/ EWR nur bei Erklärung eines angemessenen Datenschutzniveaus konkurrenzfähig sein. Wenn sich die Unternehmensgruppe für ein angemessenes Datenschutzniveau entscheidet, dann kommen hier Konstrukte nach den Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor infrage. 3.2 Internationale Kundenbetreuung Ein Sonderfall bei international aufgestellten Unternehmensverbünden ist, dass diese auch global tätigen Unternehmen für eine umfassende Kundenbetreuung zur Verfügung stehen wollen. Deshalb gibt es Fälle, in denen eine evtl. weltweite Kundendatenbank existiert. Solche Konstellationen sind allerdings kaum im Bereich privater Verbraucher zu erwarten, sondern primär nur 25

12 3 Zentralisiertes Kundenmanagementsystem im gewerblichen Kundengeschäft (B2B). Sofern es sich bei diesen Kunden aber nicht um juristische Personen handelt bzw. im Rahmen des Kundenmanagementsystems auch Ansprechpartner und damit personenbezogene Daten enthalten sind, sind die Voraussetzungen an eine zulässige Datenübermittlung zu beachten. Die Datenweitergabe an das Unternehmen im Drittland oder deren Zugriff auf die Datenbank erfordert ein angemessenes Datenschutzniveau, wenn nicht der eher ungewöhnliche Fall der Einwilligung angenommen werden kann. Das bzw. die datenimportierende(n) Unternehmen kann (können) ein angemessenes Datenschutzniveau durch Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor gewährleisten. Ob und in welchem Umfang Kundendaten aus dem Bereich der EU an andere Unternehmen weitergegeben werden können, bedarf eine entsprechenden Analyse und Interessenabwägung nach 28 Abs. 1 Nr. 2 BDSG. 3.3 Zentrale Kundendatenbank als Auftragsdatenverarbeitung Bleiben die Kundendaten unter der Verantwortung der deutschen verarbeitenden Stelle und werden die Daten nur deshalb in die zentrale Datenbank transferiert, weil eine konzernangehörige Gesellschaft (z.b. die Muttergesellschaft) die Datenverarbeitung zentralisiert hat, dann ist im Grundsatz von einer Auftragsdatenverarbeitung auszugehen. Für diesen Fall gelten die Ausführungen im Kapitel 7 Zentralisierung von Dienstleistungen: Shared Service Center, Seite

13 4 Datenübermittlung für Werbezwecke und Cross-Selling Besonders innerhalb von Konzerngebilden besteht häufig der Wunsch, Kundendaten zum Zwecke der Werbung oder zum Cross-Selling an andere Konzerneinheiten weiterzugeben. Die Zulässigkeit richtet sich zunächst einmal nach 28 Abs. 3 BDSG, wonach eine Übermittlung von personenbezogenen Daten für Werbezwecke nur unter ganz bestimmten Voraussetzungen zulässig ist. Soweit damit eine grenzüberschreitende Datenweitergabe verbunden ist, sind zusätzlich die Vorschriften nach den 4b und 4c BDSG zu beachten. 4.1 Gewährleistung eines angemessenen Datenschutzniveaus Die Gewährleistung eines angemessenen Datenschutzniveaus bei der datenempfangenden Stelle im Ausland, und hier insbesondere im Drittland, wird wohl unabdingbar sein, weil bei einer Übermittlung ohne Einwilligung die entgegenstehenden Interessen der Betroffenen zu berücksichtigen sind (vgl. 28 Abs. 3 letzter Satz BDSG). Eine Datenübermittlung an eine Stelle im Drittland wird häufig bereits wegen der Sprachproblematik nicht sonderlich produktiv sein. Anders ist dies sicherlich dann zu beurteilen, wenn auch der Kunde als globaler Kunde auftritt, was aber bei natürlichen Personen eher die Ausnahme ist. Die Datenweitergabe an das Unternehmen im Drittland auf Basis der gesetzlichen Erlaubnis erfordert ein angemessenes Datenschutzniveau, weil andernfalls im Rahmen der Interessenabwägung eine Übermittlung unzulässig wäre. Das bzw. die datenimportierende(n) Unternehmen kann (können) ein angemessenes Datenschutzniveau durch Standardvertragsklauseln für Übermittlungen (C2C), verbindliche Unternehmensregelungen (BCR) oder bei einem US-amerikanischen Unternehmen auch Safe Harbor gewährleisten. 4.2 Grundlage Einwilligung Je nach Konstellation wird es sogar zweckmäßig sein, sich vom Kunden für die Datenübermittlung an andere Konzernunternehmen zum Zwecke der Werbung eine entsprechende Einwilligung geben zu lassen. Das ist sogar in den meisten Fällen dann zwingend erforderlich, wenn mit der Datenweitergabe für Werbezwecke dem Dritten auch die Möglichkeit eingeräumt werden soll, den Kunden telefonisch oder per zu kontaktieren. An sich würde eine informierte und freiwillige Einwilligung als eine der Katalogausnahmen des 4c BDSG eine Datenübermittlung an Stellen in Länder ohne angemessenes Datenschutzniveau ermöglichen. Aus marketing- und 27

14 4 Datenübermittlung für Werbezwecke und Cross-Selling vertriebspolitischen Überlegungen wird man jedoch nur eher selten von dieser Option Gebrauch machen. Der Grund ist darin zu sehen, dass ein nicht angemessenes Datenschutzniveau in der Einwilligungserklärung auch transparent gemacht werden müsste, was die Bereitschaft der Kunden zur Abgabe der Einwilligung tendenziell verringern dürfte. Eine Einwilligung zur Datenübermittlung für Werbezwecke könnte wie folgt gestaltet sein (Beispiel): Einwilligung Der Kunde ist damit einverstanden, dass seine personenbezogenen Daten (und soweit der Kunde zugestimmt hat einschließlich seiner -Adressen sowie Telefon- und Faxnummern) zur Durchführung von Werbe- und Marketingmaßnahmen sowie zur Verbesserung des Produktangebotes auch an andere Unternehmen des XYZ- Konzerns* weitergegeben werden. Dabei können die Daten auch an solche konzernangehörigen Unternehmen übermittelt werden, die ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraumes (EU/ EWR) haben. Das Unternehmen stellt durch geeignete Maßnahmen sicher, dass bei den empfangenden Stellen ein angemessenes Datenschutzniveau im Sinne des Bundesdatenschutzgesetzes (BDSG) gewährleistet ist. Ferner willigt der Kunde darin ein, zu Zwecken der Kundebetreuung, der Information über Produkte und Dienstleistungen des XYZ-Konzerns* sowie zu Zwecken der Markt- und Meinungsforschung über folgende Kommunikationswege kontaktiert zu werden: Telefon Fax * Die konzernangehörigen Unternehmen sind eine Aktualisierung der XYZ- Unternehmensgruppe können Sie jederzeit über die Website erfahren. Die vorstehende Einwilligungserklärung kann ohne Einfluss auf den Vertrag jederzeit ganz oder teilweise für die Zukunft widerrufen werden. Beispiel einer Einwilligungserklärung zur Datenweitergabe zu Werbezwecken 28

15 5 Konzernweites -System Oft wird in Konzernen oder anderen Unternehmensverbünden ein unternehmensweit einheitliches -System genutzt. Damit einhergehend stehen üblicherweise sämtlichen Mitarbeitern des Konzerns weltweit die entsprechenden Namens-, Telefon- und -Verzeichnisse zur Verfügung. 5.1 Zulässigkeit nach Arbeitsvertrag Die Einstellung der Daten in die entsprechenden Verzeichnisse oder ins Intranet ist nach 32 Abs. 1 Satz 1 BDSG zulässig, wenn es für die Durchführung des Beschäftigungsverhältnisses jedes Mitarbeiters erforderlich ist, dass er auf die dienstlichen Kommunikationsdaten (Name, Funktion, Abteilung, Standort, dienstliche Telefon- und Telefaxnummer, -Adresse, evtl. Vorgesetzter) aller anderen im Verzeichnis aufgeführten Mitarbeiter zugreifen kann und diese auf seine Daten zugreifen können. 3 Vergleichbare Überlegungen gelten auch für den Verzeichnisdienst von Microsoft Windows Server, genannt Active Directory. Auch hier kann die Konzernholding die Nutzung eines einheitlichen und zentralisierten Active Directories vorgeben. Für die damit verbundene Datenübermittlung von Beschäftigtendaten im Rahmen der Zugriffsberechtigungen gelten die hier in diesem Kapitel beschriebenen Grundsätze. Da die damit verbundene Übermittlung von Beschäftigtendaten zur Zweckerfüllung des Arbeitsvertrages erforderlich ist, werden im Regelfall auch keine weiteren Maßnahmen erforderlich sein. Aufgrund der Verarbeitung der personenbezogenen Daten der Mitarbeiter für die Zwecke zur Erfüllung des Arbeitsvertrages wird damit auch die entsprechende Voraussetzung des 4c BDSG zum grenzüberschreitenden Datenverkehr erfüllt und damit die Datenübermittlung zulässig. Auch für die Bereitstellung des zentralen -Systems ergeben sich im Regelfall keine weiteren Maßnahmen. Innerhalb des Unternehmensverbundes wird schon aus vitalem Eigeninteresse der Konzernverbund eine gesicherte Übermittlung der Kommunikationsdaten gewährleisten. Außerhalb des Konzernnetzes ist nicht besonders geschützt, sofern diese nicht verschlüsselt wird. Insofern kann im Regelfall davon ausgegangen werden, dass die für die Systeme angemessenen Schutzmaßnahmen getroffen sind. Die Vorgaben des Arbeitgebers überschreiben allerdings nicht das Mitbestimmungsrecht des Betriebsrats. So wird ein -System typischerweise durchaus für eine Leistungs- oder Verhaltenskontrolle geeignet sein. Soweit Betriebsvereinbarungen dem Arbeitgeberunternehmen besondere Verpflichtungen auferlegen (vgl. Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 3 Vgl. Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Seite 11, erstellt durch Regierungspräsidium Darmstadt, Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am (redaktionelle Änderungen am ) 29

16 5 Konzernweites -System BetrVG), ist es empfehlenswert, mit der zuständigen Stelle des das System betreibenden Unternehmens entsprechende Verabredungen zu treffen. Voraussetzung ist, dass es sich um eine Vorgabe der ausländischen Muttergesellschaft handelt. Typischerweise geschieht dies in Form einer Weisung gegenüber den nachgeordneten Tochtergesellschaften. Das Arbeitgeberunternehmen kann (auf Weisung der Muttergesellschaft bzw. der Holding) von den Mitarbeitern im Rahmen der Erfüllung ihrer vertraglichen Leistungen vorgeben, welche Arbeitsmittel einzusetzen sind. 5.2 Zulässigkeit bei eigenen oder berechtigten Interessen Dritter Sollte es zweifelhaft sein, dass es erforderlich ist, dass jeder mit jedem kommunizieren kann und es insoweit zur Zweckerfüllung des Arbeitsvertrages nicht notwendig ist, könnte als Rechtfertigung auch ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen nach 28 Abs. 1 Satz 1 Nr. 2 oder 28 Abs. 2 Nr. 2a BDSG in Betracht kommen. Für ein berechtigtes Interesse des Arbeitgebers oder anderer konzernangehöriger Unternehmen muss jedoch zumindest ein vernünftiger Grund für ein konzernweites Verzeichnis vorliegen (z.b. zentrale Versendung von s zur zeitgleichen Information aller Mitarbeiter, grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen). Allerdings würde ein berechtigtes Interesse nicht ausreichen, um die Ausnahmeanforderungen an eine zulässige Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau zu rechtfertigen. Insoweit kann die hier dargestellte Zulässigkeitsnorm nur innerhalb der EU/des EWR sowie in Drittstaaten angewandt werden, die ein angemessenes Datenschutzniveau gewährleisten. Ein Zugriff auf eine deutsche -Adresse durch einen Mitarbeiter in einem Drittland ohne angemessenes Datenschutzniveau wäre danach unzulässig, wenn nicht eine der Ausnahmen des 4c BDSG herangezogen werden kann. Wegen der Problematik, dass der Zulässigkeitstatbestand des berechtigten Interesses nur in sehr begrenztem Umfang weitere Maßnahmen nicht erforderlich macht, sollte immer konkret geprüft werden, ob nicht die Voraussetzungen der vorbeschriebenen Vertragserfüllung nach 32 Abs. 1 Satz 1 BDSG vorliegen. 30

17 5.4 Einwilligungserfordernis bei weitergehenden Daten 5.3 Anforderungen der Datenschutzaufsichtsbehörden Einige Datenschutzaufsichtsbehörden erwarten, dass bei global eingesetzten Verzeichnissen den schutzwürdigen Belangen der betroffenen Mitarbeiter, soweit sie Nicht-Funktionsträger (z.b. Lkw- oder Gabelstaplerfahrer) sind, Rechnung getragen wird. Ihnen soll insoweit ein Widerspruchsrecht eingeräumt werden (falls gegen eine Eintragung besondere Gründe vorliegen). 4 Erfahrungsgemäß sind die von den Datenschutzaufsichtsbehörden zitierten Mitarbeitergruppen nicht oder nur selten von der Erfassung in entsprechenden Verzeichnissen betroffen. Sollte dies aber der Fall sein, so empfiehlt sich eine Prüfung, ob denn ein Widerspruchsrecht technisch ohne gravierende Auswirkungen überhaupt umsetzbar sein könnte. Soweit eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG festgestellt werden kann, dürfte ein Widerspruchsrecht nicht zum Tragen kommen können. 5.4 Einwilligungserfordernis bei weitergehenden Daten Aus Gründen der Unternehmenskultur möchten manche Unternehmen u.u. auch persönliche Daten der Beschäftigten im Unternehmensverbund veröffentlichen (z.b. Familienstand, Kinder, Hobby, Foto). Dies kann nur mit einer freiwilligen Einwilligung des einzelnen Mitarbeiters erfolgen. Dies sollte technisch so gestaltet ist, dass der jeweilige Mitarbeiter seine Daten selbst eingeben/hochladen kann ( Self Service ), dann beinhaltet diese Handlung implizit die Einwilligung des Mitarbeiters. Mit der hiermit verbundenen Einwilligung wird im Regelfall auch die Anforderung nach 4c BDSG erfüllt, womit die Veröffentlichung in einem ggf. auch weltweit im Konzernverbund abrufbaren Verzeichnis gesetzeskonform ist. 4 Vgl. Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer, Seite 12, erstellt durch Regierungspräsidium Darmstadt, Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich am (redaktionelle Änderungen am ) 31

18 5 Konzernweites -System Mitarbeiterdaten in international unternehmensübergreifenden -Systemen und Verzeichnissen 1. Besteht eine Vorgabe der weisungsberechtigten Muttergesellschaft/Holding an das deutsche Arbeitgeberunternehmen für ein konzernweites Verzeichnis (z.b. zentrale Versendung von s zur zeitgleichen Information aller Mitarbeiter, grundsätzliches Erfordernis der Kommunikation zwischen den Mitarbeitern verschiedener Konzernunternehmen)? 2. Haben Nicht-Funktionsträger (z.b. Lkw- oder Gabelstaplerfahrer) ein Widerspruchsrecht, falls gegen eine Eintragung besondere Gründe vorliegen? 3. Beschränken sich die Daten auf Name, Funktion, Abteilung, Standort, dienstliche Telefon- und Telefaxnummer, -Adresse, evtl. Vorgesetzter? Ja Wenn ja, dann ergibt sich eine Zulässigkeit nach 32 Abs. 1 Satz 1 BDSG. Bitte weiter mit Frage 2. Wenn ja, bitte weiter mit Frage 3. Wenn ja, bitte weiter mit Frage 4. Nein Wenn nein, könnte ein berechtigtes Interesse infrage kommen ( 28 Abs. 1 Nr. 2 oder 28 Abs. 2 Nr. 2a BDSG), das allerdings bei Übermittlung in Drittländer ohne angemessenes Datenschutzniveau entsprechende Schutzmaßnahmen nicht überflüssig macht. Wenn nein, sollte geprüft werden, ob ein Widerspruch überhaupt umgesetzt werden könnte, ohne dass der Mitarbeiter an der Ausübung der zugewiesenen Tätigkeit gehindert würde. Weiter mit Frage 3. Wenn nein, weil z.b. auch Familienstand, Kinder, Hobby, Foto veröffentlicht werden sollen, erfordert dies die freiwillige Einwilligung des einzelnen Mitarbeiters (z.b. im Rahmen des Self Service ). Bitte weiter mit Frage 4. Checkliste: Mitarbeiterdaten in unternehmensübergreifenden -Systemen und Verzeichnissen 32

19 5.4 Einwilligungserfordernis bei weitergehenden Daten Mitarbeiterdaten in international unternehmensübergreifenden -Systemen und Verzeichnissen 4. Sind Regelungen zum Schutz der Persönlichkeitsrechte der Mitarbeiter in einer Betriebsvereinbarung getroffen (soweit Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG besteht)? Ja Wenn ja, sollten mit der zuständigen Stelle des das System betreibenden Unternehmens entsprechende Verabredungen getroffen werden. Nein Wichtig ist, dass die Beschäftigten hinreichend Transparenz über den Datenfluss erhalten. Checkliste: Mitarbeiterdaten in unternehmensübergreifenden -Systemen und Verzeichnissen (Forts.) 33

20 6 Whistleblowing (Sarbanes-Oxley oder J-SOX) Auf der Grundlage des US-amerikanischen Sarbanes-Oxley Act von 2002 (häufig auch SOX genannt), der auch auf europäische Tochterunternehmen oder Dienstleistungsunternehmen durchschlagen kann, muss ein System eingerichtet werden, über das Mitarbeiter Fehlverhalten ihrer Kollegen oder Vorgesetzten melden können ( Whistleblowing ). Inzwischen werden ähnliche Bedingungen auch von japanischen Unternehmen gefordert (J-SOX). Auch Unternehmen mit Sitz außerhalb der USA und Japan übernehmen inzwischen vergleichbare Meldeverfahren. Zulässig ist dies nach dem BDSG nur dann, wenn bestimmte datenschutzrechtliche Voraussetzungen erfüllt werden. 6.1 Verstöße gegen unternehmensinterne Verhaltensregeln Das Whistleblowing stellt ein internes Verfahren zur Meldung von Missständen durch die Beschäftigten dar. Dabei werden bestimmte Kommunikationswege vorgeschrieben. Neben den datenschutzrechtlichen Anforderungen sind bei der Einführung von Verhaltensregeln auch arbeitsrechtliche Erfordernisse zu berücksichtigen und die Mitbestimmungsrechte des Betriebsrats zu wahren. 6.2 Inhalte und Datenströme beim Whistleblowing Im Rahmen einer Meldung von Verstößen gegen Verhaltensregeln werden Angaben über die meldende Person, die beschuldigte Person und die entsprechenden Sachverhalte (Verhaltensverstöße) erhoben und verarbeitet. Je nach Ausgestaltung des Meldeverfahrens besteht die Möglichkeit der internen Nutzung durch die dafür vorgesehene Abteilung (beispielsweise Revision, Compliance), bei international aufgestellten Konzernunternehmen ist eine Übermittlung der personenbezogenen Daten an die im Ausland ansässige Konzernmutter oder andere zum Konzern gehörende Unternehmen im Ausland die Regel. 6.3 Sarbanes-Oxley Act oder J-SOX keine Rechtsvorschriften im Sinne des BDSG SOX oder J-SOX können nicht als dem BDSG vorgehende Rechtsvorschrift angesehen werden, weil amerikanisches/japanisches Recht in Deutschland keine unmittelbare Rechtswirkung entfaltet. Wird durch die lokale Geschäftsleitung das Whistleblowing im Rahmen ihres Direktions- 34

Datenschutz International

Datenschutz International Harald Eul/Petra Eul Datenschutz International Praxisleitfaden zur Übermittlung von Kunden-, Mitarbeiter- und Lieferantendaten 1. Auflage 2011 DATAKONTEXT Vorwort 5 Verzeichnis der Checklisten/Arbeitshilfen/Übersichten

Mehr

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Personalvertretung und Datenschutz im internationalen Kontext. www.datenschutzzentrum.

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Personalvertretung und Datenschutz im internationalen Kontext. www.datenschutzzentrum. Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 3: Personalvertretung und Datenschutz im internationalen Kontext Frau Meike Kamp Übersicht Datenschutzrechtliche Gestaltungsmacht der

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Datenschutz und Arbeitnehmer

Datenschutz und Arbeitnehmer Seite 1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.de Datenschutz und Arbeitnehmer SAP Fachtagung 2008 vom 13.-15. Februar 2008 SAP im betrieblichen Spannungsfeld

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis 2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre ist uns sehr wichtig. Deshalb ist

Mehr

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung

Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung 19. April 2007 Fallgruppen zur internationalen Auftragsdatenverarbeitung Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung Einleitung Die folgende Darstellung beinhaltet die häufigsten Fallkonstellationen

Mehr

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau. EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau. Heute hat der EuGH in der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz- Aufsichtsbehörde) eine weitreichende

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Konzerninterne Datentransfers

Konzerninterne Datentransfers Datenschutz Ergonomie Mitbestimmung Konzerninterers Datenschutz und Mitbestimmung BvD AK Externe DSB, 23. September 2011 Lothar Bräutigam Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst?

Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst? Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst? Vortrag Jürgen Fickert, TBS NRW e.v., im Rahmen 28. SAP/NT-Konferenz 03. - 05. November 2015

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Übermittlung personenbezogener Daten ins Ausland

Übermittlung personenbezogener Daten ins Ausland Übermittlung personenbezogener Daten ins Ausland September 2014 Wichtige Datenschutzinformationen für Ihr Unternehmen Inhalte Datenschutzinformationen September 2014 Inhaltsverzeichnis Begrüßung Ihr Datenschutzbeauftragter

Mehr

Mitarbeiter Datenschutz vs. Call Center Steuerung. Ansätze. Rechtsfragen. Verantwortlichkeiten

Mitarbeiter Datenschutz vs. Call Center Steuerung. Ansätze. Rechtsfragen. Verantwortlichkeiten Mitarbeiter Datenschutz vs. Call Center Steuerung Ansätze. Rechtsfragen. Verantwortlichkeiten Begriffsabgrenzungen 3 Mitarbeiterdatenschutz 4 Datenverarbeitung im Call Center 6 Möglichkeiten der Datenerhebung

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Roman Still (Sprecher) Albert C. Still (Sprecher) Ulf Pfeiffer, Markus Kruis. Handelsregister des Amtsgerichts Augsburg unter der Nummer HRB 26380

Roman Still (Sprecher) Albert C. Still (Sprecher) Ulf Pfeiffer, Markus Kruis. Handelsregister des Amtsgerichts Augsburg unter der Nummer HRB 26380 Öffentliches Verfahrensverzeichnis Der Schutz Ihrer Persönlichkeitsrechte ist uns ein wichtiges Anliegen. Sie können sicher sein, dass wir mit Ihren uns zur Verfügung gestellten Daten verantwortungsbewusst

Mehr

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Checkliste 2006 Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Nach 4 Abs. 3 BDSG Bitte lesen Sie vorab die Ausführungen zu dem Thema Datenschutz/Datenerhebung. So kommen Sie durch

Mehr

Datenübermittlung ins Ausland

Datenübermittlung ins Ausland Die Landesbeauftragte für den Datenschutz Niedersachsen Datenübermittlung ins Ausland I) Allgemeines Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.b. beim Outsourcing von einzelnen

Mehr

DATENSCHUTZ bei. Öffentliches Verfahrensverzeichnis. Name der verantwortlichen Stelle. 1. Name oder Firma der verantwortlichen Stelle: BITZER SE

DATENSCHUTZ bei. Öffentliches Verfahrensverzeichnis. Name der verantwortlichen Stelle. 1. Name oder Firma der verantwortlichen Stelle: BITZER SE Öffentliches Verfahrensverzeichnis 1. Name oder Firma der verantwortlichen Stelle: Name der verantwortlichen Stelle BITZER SE BITZER Kühlmaschinenbau GmbH BITZER Kühlmaschinenbau Schkeuditz GmbH 2. Inhaber,

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Verhaltensregeln zur branchennahen Steuerung des Datenschutzes. Beispiel: Versicherungswirtschaft

Verhaltensregeln zur branchennahen Steuerung des Datenschutzes. Beispiel: Versicherungswirtschaft Verhaltensregeln zur branchennahen Steuerung des Datenschutzes Beispiel: Versicherungswirtschaft Dr. Martina Vomhof Sommerakademie des ULD Schleswig-Holstein am 30. August 2010 Agenda 3. Alternative: Verhaltensregeln

Mehr

Datenverwendung und Datenweitergabe - was ist noch legal?

Datenverwendung und Datenweitergabe - was ist noch legal? RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. Pariser Str. 37 53117 Bonn Tel.: 0228-694313 Fax: 0228-695638 E-Mail: jaspers@gdd.de Die GDD e.v. Die GDD

Mehr

Datenschutz. Follow Up: Hohes Bußgeld für unberechtigte Kundendatenübernahme beim Asset Deal Der Wortlaut des Bußgeldbescheids.

Datenschutz. Follow Up: Hohes Bußgeld für unberechtigte Kundendatenübernahme beim Asset Deal Der Wortlaut des Bußgeldbescheids. Follow Up: Hohes Bußgeld für unberechtigte Kundendatenübernahme beim Asset Deal Der Wortlaut des Bußgeldbescheids liegt vor! Im Fall des wegen unzulässiger Kundendatenweitergabe beim Asset Deal verhängten

Mehr

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 -

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14

Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 POSITIONSPAPIER VOM 14.10.2015 Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 Dieses Positionspapier richtet sich an nichtöffentliche und öffentliche

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK 1 CLOUD COMPUTING - RECHTLICHE RAHMENBEDINGUNGEN Dr. Martin Schirmbacher Berlin, 24. April 2012 Gliederung 2 ÜBERBLICK Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Nutzungsrechte Folgen

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG)

Öffentliches Verfahrensverzeichnis nach Bundesdatenschutzgesetz (BDSG) 1 von 5 Seiten nach Bundesdatenschutzgesetz (BDSG) Das BDSG schreibt im 4g vor, dass der Beauftragte für den Datenschutz jedermann in geeigneter Weise die folgenden Angaben entsprechend 4e verfügbar zu

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort... V Teil 1: Grundzüge des BDSG Kapitel 1: Einführung.... 1 I. Einleitung... 1 II. Entwicklung des BDSG von 1977 2010... 2 1. Verkündung 1977... 3 2. Volkszählungsurteil von 1983... 3 3. Erste

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Das Bundesdatenschutzgesetz (BDSG) regelt in seinem 32, zu welchen Zwecken und unter welchen Voraussetzungen der Arbeitgeber Mitarbeiterdaten vor der

Mehr

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL Dr. Martin Schirmbacher HÄRTING Rechtsanwälte Daniel Schätzle HÄRTING Rechtsanwälte Unsafe Harbor: Datenverarbeitung nach dem EuGH-Urteil

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken EuGH erklärt Datentransfer in die USA für illegal 6. Oktober Rechtsanwalt Arnd Böken EuGH erklärt Datentransfer in die USA für illegal Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden,

Mehr

Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015

Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015 Öffentliches Verfahrensverzeichnis der LivingData Gesellschaft für angewandte Informationstechnologien mbh Stand 12.03.2015 Der Schutz Ihrer Persönlichkeitsrechte und personenbezogener Daten bei der Erhebung,

Mehr

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Cristina Baier Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Verlag Dr. Kovac Hamburg 2010 -IX- Inhaltsverzeichnis Literaturverzeichnis XVII Einleitung.. > «>..»..». 1 1. Teil:

Mehr

Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten

Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten Balance zwischen Datenschutz und Compliance sicherstellen Ansprechpartner: Abteilung Arbeitsrecht T +49 30 2033-1200 arbeitsrecht@arbeitgeber.de

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Von Stefan Lang und Ralf Wondratschek

Von Stefan Lang und Ralf Wondratschek - Umgang von Betrieben mit - Mitarbeiterdaten - Kundendaten - Technisierung der Betriebe - Grenzen der Datensammlung / -speicherung bei Betrieben - Strafen - aktuelles Beispiel - Quellen Es gibt 2 Arten

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

Google Analytics. - datenschutzrechtliche Betrachtung -

Google Analytics. - datenschutzrechtliche Betrachtung - Google Analytics - datenschutzrechtliche Betrachtung - 1 Agenda Terms & Conditions Datenschutzhinweise Google Analytics Allgemeine Datenschutzhinweise von Google Regelungssachverhalte: Cookies Nutzungsprofile

Mehr

DATENSCHUTZ im DARC e.v.

DATENSCHUTZ im DARC e.v. DATENSCHUTZ im Was hat der Datenschutz mit Amateurfunk zu tun? Vorstellung Amteurfunk seit 1990 Stv. DV H Niedersachsen (seit 2013), stv. OVV H65 Hannover-Hohes Ufer (seit 2012), Vorsitzender Nord>

Mehr

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

3. Verbraucherdialog Mobile Payment

3. Verbraucherdialog Mobile Payment 3. Verbraucherdialog Mobile Payment Empfehlungen der Arbeitsgruppe Datenschutz 1. Überlegungen vor Einführung von Mobile Payment Angeboten Vor der Einführung von Mobile Payment Verfahren ist die datenschutzrechtliche

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Inhaltsverzeichnis. A. Einleitung 17. B. Allgemeine Wettbewerbssituation 21. C. Internationalisierung der Wirtschaft 23

Inhaltsverzeichnis. A. Einleitung 17. B. Allgemeine Wettbewerbssituation 21. C. Internationalisierung der Wirtschaft 23 Inhaltsverzeichnis A. Einleitung 17 B. Allgemeine Wettbewerbssituation 21 C. Internationalisierung der Wirtschaft 23 I. Multinationale Unternehmen 24 II. Multinationale Konzerne 25 III. Internationale

Mehr

Datenschutz im Web viel mehr als nur lästige Pflicht

Datenschutz im Web viel mehr als nur lästige Pflicht Datenschutz im Web viel mehr als nur lästige Pflicht 7 Tipps zum korrekten Umgang mit Online-Kundendaten Vielen Unternehmen, die online Kundendaten zu Marketing- und CRM-Zwecken erfassen und verarbeiten,

Mehr

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin

Landessportbund Berlin e. V. Datenschutz. Cornelia Köhncke, Justitiarin Landessportbund Berlin e. V. Datenschutz Cornelia Köhncke, Justitiarin Übersicht Rechtsgrundlagen Datenschutz Datenschutz in der Praxis Aktuelles Grundlagen BVerfG: Volkszählungsurteil vom 15.12.1983 Berührt

Mehr

Workshop 2b: Datenschutz und SAP

Workshop 2b: Datenschutz und SAP Workshop 2 Datenschutz und SAP Workshop 2a: Workshop 2b: Lorenz Hinrichs, TBS Niedersachsen ggmbh Jochen Brandt, Brandtschutz Hamburg Horst Kübeck, g ibs Berlin mbh Friedhelm Michalke, TIB Hamburg 1 Datenschutz

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung*

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung* Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes sowie anderer Datenschutzvorschriften

Mehr

ARTIKEL-29-DATENSCHUTZGRUPPE

ARTIKEL-29-DATENSCHUTZGRUPPE ARTIKEL-29-DATENSCHUTZGRUPPE 12110/04/DE WP 102 Muster-Checkliste Antrag auf Genehmigung verbindlicher Unternehmensregelungen angenommen am 25. November 2004 Die Gruppe ist gemäß Artikel 29 der Richtlinie

Mehr

Alexander Jung, Managing Consultant / legitimis GmbH

Alexander Jung, Managing Consultant / legitimis GmbH Alexander Jung, Managing Consultant / legitimis GmbH Strategische Managementberatung mit Schwerpunkt Datenschutz International operierende Strategie- und Managementberatung mit den Schwerpunkten Datenschutz,

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT

BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Meldepflicht nach 4d BDSG Stand August 2011 Impressum: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art 1 2 3 Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art Nervensystem der Gesellschaft entwickelt. Neben vielen

Mehr

SAFE HARBOR URTEIL REAKTIONEN DER LDSB. Lasse Junghänel 09.11.2015

SAFE HARBOR URTEIL REAKTIONEN DER LDSB. Lasse Junghänel 09.11.2015 1 SAFE HARBOR URTEIL REAKTIONEN DER LDSB Lasse Junghänel 09.11.2015 2 Positionspapier der Datenschutzkommission Reaktionen der Landesdatenschutzbeauftragten Gemäß Ziffer 7 des Positionspapiers der DSKwerden

Mehr

Datenschutz Haftungsfragen für das Management

Datenschutz Haftungsfragen für das Management Datenschutz Haftungsfragen für das Management IT-Sicherheit im Mittelstand IHK Nürnberg für Mittelfranken Referent: Rechtsanwalt Thilo Märtin Thilo Märtin & Collegen Rechtsanwalts GmbH 29.04.2015 Datenschutz

Mehr

Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer

Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer Regierungspräsidium Darmstadt Hillenbrand-Beck Arbeitsbericht der ad-hoc-arbeitsgruppe Konzerninterner Datentransfer 1. Allgemeines Die Anzahl großer, häufig multinationaler Konzerne wächst ständig. Konzernstrukturen

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz

Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz Pfalz Datentransfer ist Outsourcing Sofern keine gesetzliche Pflicht für einen Datentransfer besteht,

Mehr

INFORMATIONS- UND DATENSCHUTZRECHT

INFORMATIONS- UND DATENSCHUTZRECHT INFORMATIONS- UND DATENSCHUTZRECHT Frühjahrssemester 2008 Medien- und Telekommunikationsrecht WIEDERHOLUNG 6b BDSG ist primär für private Videoüberwachung relevant Videoüberwachung durch öffentliche Stellen

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden

Mehr

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Vortrag im Rahmen der Tagung Green IT und Industrialisierung der IT IGBCE; HBS; Borderstep; Stiftung Arbeit

Mehr

Page 1 Bird & Bird LLP 2015. LawBox Online Marketing Rockstars

Page 1 Bird & Bird LLP 2015. LawBox Online Marketing Rockstars Page 1 Besuchen Sie unseren Blog unter twomediabirds.com Facebook-Tools und Datenschutz Inglourious Basterds? Verena Grentzenberg Counsel - Bird & Bird LLP Großer Grasbrook 9 20457 Hamburg Tel: +49 (40)

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 29.04.2013: Einführung ins BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 29.04.2013: Einführung ins BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 29.04.2013: Einführung ins BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung" personenbezogener Daten

Mehr

Datenübermittlung ins Ausland neue Vorgaben im BDSG

Datenübermittlung ins Ausland neue Vorgaben im BDSG bruno schierbaum Datenübermittlung ins Ausland neue Vorgaben im BDSG Sensibles Thema: Übermittlung von Arbeitnehmerdaten ins Ausland sei es an die Konzernmutter oder Geschäftspartner. Klar: Die Vorgaben

Mehr

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort zur zweiten Auflage.... Vorwort zur ersten Auflage... V VI Teil 1: Grundzüge des BDSG Kapitel 1: Einführung...................................... 1 I. Einleitung.... 1 II. Was sollte man zur Entwicklung

Mehr