Informationen
gem. Art. 12-19, 21 DSGVO
DatCon GmbH | Datenschutzrechtliche Informationspflicht gem. Art. 12-19, 21 DSGVO
Verantwortliche Stelle und Ansprechpartner für Datenschutz
Name und Kontaktdaten der verantwortliche Stelle: DatCon GmbH | Ingenieurbüro für Datenschutz & Unternehmensberatung, vertreten durch Herrn Andreas Sorge, Am Osterfeuer 26, 37176 Nörten-Hardenberg, Telefon: (05503) 915 96 48, Email: sorge@datcon.de
Verarbeitungsrahmen
Kategorien personenbezogener Daten, die verarbeitet werden
- Bewerber/Initiativbewerber: Stammdaten (z.B. Lebenslaufinhalte, Kontakt, Familienverhältnisse, Gesundheit, Kenntnisse, Fähigkeiten)
- Mitarbeiter: Stammdaten (z.B. Lebenslaufinhalte, Kontakt, Familienverhältnisse, Gesundheit, Kenntnisse, Fähigkeiten), Vertrags- und Abrechnungsdaten, Protokolldaten der IT-Systeme (z.B. Firewall, Serverprotokolle), personenbezogene Bild-/Videodaten auf Unternehmensdarstellungen
- Mandanten: Vertragsdaten, Stammdaten, Rechnungsdaten, Kommunikationsdaten, Dokumentationen und Inhalte im Rahmen der Mandantentätigkeit
- Interessenten: Kontaktdaten, übermittelte Inhaltsdaten
- Lieferanten: Vertragsdaten, Kontaktdaten, übermittelte Inhaltsdaten
- Videokonferenz- und Webinarteilnehmer: Kontaktdaten (Vorname, Name, Mailadresse), übermittelte Inhaltsdaten
Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
- Bewerber/Initiativbewerber: Prüfung der Bewerbung
- Mitarbeiter: Abwicklung aller notwendigen und erforderlichen Maßnahmen in einem Angestelltenverhältnis, Sicherstellung des möglichst störungsfreien Betriebes, Marketing (Bild-/Videodaten auf Website und/oder anderen Online-Plattformen, Mitarbeitermotivation bei Vorstellung neuer Mitarbeiter auf z.B. „schwarzem Brett“)
- Mandaten: Mandatserfüllung
- Interessenten: Informationsaustausch
- Lieferanten: Dienstleistungen, Bestellungen
- Videokonferenz- und Webinarteilnehmer: Vertragserfüllung, Informationsaustausch
Rechtsgrundlage der Verarbeitungen gem. Art. 6 Abs. 1 DSGVO
(Je nach Datenverarbeitung trifft nicht jede Rechtsgrundlage zu.)
- Bewerber/Initiativbewerber: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, ggf. Einwilligung zur Verarbeitung
- Mitarbeiter: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, ggf. Einwilligung zur Verarbeitung, Erfüllung einer rechtlichen Verpflichtung, Wahrung der berechtigten Interessen
- Mandanten: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung, Wahrung der berechtigten Interessen
- Interessenten: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Wahrung der berechtigten Interessen
- Lieferanten: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung
- Videokonferenz- und Webinarteilnehmer: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Einwilligung zur Verarbeitung
Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
(Je nach Datenverarbeitung ist die Frist eine Andere.)
- Vertragsdauer
- gesetzliche Fristen
- Entzug der Einwilligung (sofern notwendig)
- Widerspruch zur Datenverarbeitung
- Dauer der Videokonferenz und des Webinars: Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, Erfüllung einer rechtlichen Verpflichtung
Es besteht keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO
Weitergabe und Auslandsbezug
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (je nach Zielgruppe)
- Steuerberater
- interne Nutzung (z.B. Backoffice, Personalbereich, IT)
- Behörden
- Banken
- Versicherungen
- bei Bilddaten (Provider, Marketingagentur, Fotograf)
- Subunternehmer und Kooperationspartner (sofern vertraglich geregelt bzw. geklärt)
- Provider
- Dienstleister (z.B. IT-Support)
Erhebungsquelle: direkt
Datenverarbeitung außerhalb der Europäischen Union
Eine Datenverarbeitung außerhalb der Europäischen Union (EU) erfolgt grundsätzlich nicht, da wir unseren primären Speicherort auf Rechenzentren in der Europäischen Union beschränkt haben. Wir können aber nicht ausschließen, dass das Routing von Daten von einigen Anwendungen über Internetserver erfolgt, die sich außerhalb der EU befinden. Dies kann insbesondere dann der Fall sein, wenn sich bspw. Teilnehmende an „Online-Meetings“ in einem Land außerhalb der EU aufhalten. Auch besteht ein mögliches Risiko, dass aufgrund einer ausländischen Rechtsprechung Behörden Ihre Daten zu Kontroll- bzw. Überwachungszwecken einsehen und verarbeiten. Dies erfolgt möglicherweise auch ohne weitere Rechtsbehelfsmöglichkeiten. Die Daten sind während des Transports über das Internet jedoch verschlüsselt und somit vor einem unbefugten Zugriff durch Dritte gesichert.
Teilnahme an einem Online-Meeting (MS-Teams)
Die Teilnahme an einem solchen Event ist freiwillig. Durch die Anmeldung wird der Datenverarbeitung (einschl. US-Datentransfer) zugestimmt. Jederzeit kann entschieden werden, ob man während der Veranstaltung von sich Bild und/oder Ton übertragen möchte. Sofern und soweit man sich aktiv dafür entscheiden, umfasst diese Zustimmung auch, dass ggf. besondere Kategorien personenbezogener Daten (z.B. Brillenträger, steife Gliedmaßen, Sprachfehler, Träger religiöser Symbole) mit übertragen und verarbeitet werden. Mit der Teilnahme wird dann auch in eine mögliche Aufzeichnung und ggf. Verbreitung der Veranstaltung zugestimmt. Beides wird selbstverständlich vorab kommuniziert.
Microsoft-Teams
Wir nutzen Microsoft Teams. Anbieter ist die Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland. Details zur Datenverarbeitung entnehmen Sie der Datenschutzerklärung von Microsoft Teams: https://privacy.microsoft.com/de-de/privacystatement. Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/s/participant-search/participant-etail?contact=true&id=a2zt0000000KzNaAAK&status=Active
Auftragsverarbeitung (Nutzung von Tools im Rahmen von Online-Meetings)
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
Rechtsgrundlagen der Datenverarbeitung im Rahmen eines Online-Meetings:
- Soweit personenbezogene Daten von Beschäftigten des Unternehmens verarbeitet werden, ist § 26 BDSG die Rechtsgrundlage der Datenverarbeitung.
- Sollten im Zusammenhang mit der Nutzung der Videokonferenzsoftware personenbezogene Daten nicht für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich, gleichwohl aber elementarer Bestandteil bei der Nutzung von der Videokonferenzsoftware sein, so ist Art. 6 Abs. 1 lit. f) DSGVO die Rechtsgrundlage für die Datenverarbeitung. Unser Interesse besteht in diesen Fällen an der effektiven Durchführung von „Online-Meetings“.
- Im Übrigen ist die Rechtsgrundlage für die Datenverarbeitung bei der Durchführung von „Online-Meetings“ Art. 6 Abs. 1 lit. b) DSGVO, soweit die Meetings im Rahmen von Vertragsbeziehungen durchgeführt werden.
- Sollte keine vertragliche Beziehung bestehen, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Auch hier besteht unser Interesse an der effektiven Durchführung von „Online-Meetings“.
Betroffenenrechte
- Sie haben das Recht gem. Art. 7 Abs. 3 DSGVO Ihre erteilte Einwilligung jederzeit gegenüber uns zu widerrufen. Die Folge ist, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, zukünftig nicht mehr fortführen dürfen;
- Sie haben das Recht gem. Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.
- Sie haben das Recht gem. Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- Sie haben das Recht gem. Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit keine anderen Gründe, wie z.B. Erfüllung einer rechtlichen Verpflichtung oder Verteidigung von Rechtsansprüchen, dagegen sprechen.
- Sie haben das Recht gem. Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
- Sofern Ihre personenbezogenen Daten auf Grundlage von Art. 6 Absatz 1 Buchstaben e oder f DSGVO verarbeitet werden, haben Sie das Recht, gem. Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.
- Die verantwortliche Stelle teilt gem. Art. 19 DSGVO allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit.
- Sie haben das Recht gem. Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
- Sie haben das Recht gem. Art. 22 nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Sie haben das Recht gem. Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html
HINGESCHAUT
Hier werden in regelmäßigen Abständen interessante und wichtige Informationen rund um die Themen Datenschutz und Datensicherheit online gestellt.
Auch, wenn Sie vermutlich regelmäßig mit einer Vielzahl von Informationen förmlich zugeschüttet werden, so möchte ich Ihnen dennoch ans Herz legen hier ein wenig zu schmökern.
Durch die Digitalisierung, die unser Leben immer mehr bestimmt, ist die Beachtung von Datenschutz und Datensicherheit sowohl für Unternehmen als auch für Privatpersonen eine absolute Notwendigkeit.
Viel Spaß beim Lesen wünscht Ihnen die DatCon GmbH.
Data Privacy Framework – Datentransfer in die USA
Erst Safe-Harbour, dann der Privacy Shield und jetzt das Data Privacy Framework (DPF). Am 10.07.2023 wurde das neue transatlantische Abkommen von den USA und der EU unterschrieben. Mit dem DPF ist die Nutzung von Tools und Software, die personenbezogene Daten in den USA verarbeiten, wie bspw. Tracking-/ Analytik- oder Marketing-Tools, wieder zulässig. Voraussetzung ist, dass […]
Dashcams? Datenschutz?
Dashcams? Datenschutz? • Fakt 1: Die Nutzung im öffentlichen Raum ist rechtlich umstritten • Fakt 2: In Deutschland bzw. der EU gilt es den Datenschutz zu beachten. Hier regeln u.a. das BDSG und die DSGVO die Verarbeitung von personenbezogenen Daten. • Fakt 3: Aufpassen in manchen Ländern außerhalb Deutschlands bzw. der EU. Hier gilt sogar […]
Sind Sie vom Hinweisgeberschutzgesetz betroffen? Die/Der DSB kann helfen!
Wenn Ihr Unternehmen mehr als 50 Mitarbeiterinnen und/oder Mitarbeiter hat, dann sollten Sie weiterlesen. Am 02.06.2023 war es soweit. Es wurde das Hinweisgeberschutzgesetz im Bundesgesetzblatt veröffentlicht. Ok. Und nun? Unternehmen mit mehr als 250 Mitarbeiterinnen und/oder Mitarbeiter müssen ab dem 02.07.2023 ein solches System eingerichtet haben. Das ist sehr sportlich, wenn Ihr Unternehmen in diese […]
App-Tracking- Hört mein Handy mich oder nicht?
Bereits seit Jahren ist man sich nicht sicher, ob bzw. in welchem Umfang ein Handy mithören kann. Oder kann es doch nicht? Aus Sicht der Technik ist es ein Leichtes durch das eingebaute Mikrofon als Abhör- und Überwachungsinstrument zu dienen. Nach Recherche des BR AI + Automation Lab kann (theoretisch) heimlich bis zu einer Stunde […]
ChatGPT, Chatbots und die „neue“ Unterstützung
Kürzlich habe ich eine Information meiner Versicherung erhalten. Diese schrieb:“… Wir dürfen Sie beglückwünschen. Ab sofort steht Ihnen unser neues digitale Team für Fragen zur Verfügung. …“. Gut? Schön? Jeder muss für sich diese neue Art der Unterstützung bewerten. Aber aus Sicht des Datenschutzes bzw. der Datensicherheit kann man nur sagen: „Achtung!“. Warum? Ist das […]
Löschen, löschen, löschen! Muss das denn sein?
Hier ein klares Ja! Aber wieso muss eigentlich gelöscht werden? War es früher doch schöner, Speicherplatz war teuer. Man musste stetig auf genug freien Platz achten. Heute in der digitalen Welt ist der Kostenfaktor für Speicher schon fast lächerlich. Zudem ist aufgrund der Komplexität von Datenverarbeitungen das Löschen von Daten zu einer Herausforderung geworden. Und […]
Newsletter. Spannend. Wichtig. Aber auch mit Risiken verbunden!
Unter Werbung wird grundsätzlich jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs verstanden, die das Ziel hat, den Absatz von Waren bzw. der Bekanntmachung der von Dienstleistungen zu fördern. Grundsätzlich wichtig! Werbung gilt gemäß § 7 Abs. 1 UWG (Gesetzes gegen den unlauteren Wettbewerb) im Grundsatz als sogenannte unzumutbare Belästigung, wenn […]
EU-Standardvertragsklauseln – Was interessiert mich das?
Och, in vielen Fällen eine ganze Menge. Seit dem 27.12.2022 (!) müssen die neuen EU-Standardvertragsklauseln genutzt werden. Sind diese EU-Standardvertragsklauseln überhaupt nötig und wenn ja, für was oder wen? Für eine Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU werden keine EUStandardvertragsklauseln, oder auch SCCs genannt, benötigt. Aber, wenn Sie nun Daten an Anbieter übermitteln, die […]
BEM – Welche Daten vom Betrieblichen Eingliederungsmanagement darf der Betriebsrat vor der Kündigung von Mitarbeitern erhalten?
Gem. § 102 Abs. 1 S. 1, 2 BetrVG muss der Arbeitgeber vor Ausspruch einer Kündigung den Betriebsrat anhören und ihm die wesentlichen Kündigungsgründe mitteilen, sofern ein solcher vorhanden ist. Insbesondere krankheitsbedingte Kündigungen sorgen in der Praxis aber regelmäßig für Diskussionen und Beschwerden. Hierbei ist immer eine Frage präsent: „Welche personenbezogenen Daten muss bzw. darf […]
Datenpanne – Schadenersatzansprüche!
Datenpannen kommen vor. Aber immer häufiger werden nun auch Schadenersatzansprüche von Betroffenen gestellt. Muss ein Unternehmen diese zahlen, wenn (vielleicht) bereits ein Bußgeld verhängt wurde? Noch gar nicht so lange her ist das Urteil vom LG München I, welches einem Betroffenen einen Schadensersatz i.H.v. 2.500,00 Euro zusprach. Aber der Reihenfolge nach … 1. Bei einer […]
Es bleibt spannend!