Selbstauskunft über Reisetätigkeiten

Auf Grund aktueller Anfragen stellen wir Ihnen gern ein Muster für die Abfrage in Unternehmen und öffentlichen Einrichtungen zur „Selbstauskunft über Reisetätigkeiten“ inkl. obligatorischer Informationspflichten zur Verfügung. Bitte passen Sie dieses Muster vor Verwendung auf Ihre Situation an.

Download Muster „Selbstauskunft über Reisetätigkeiten“:
https://datenschutz.prodatis.com/downloads/selbstauskunft_reisetaetigkeiten.docx

Wichtiger Hinweis: Dieses Muster beinhaltet den aktuellen Stand der gesetzlichen und behördlichen Bestimmungen und muss bei eventuellen zukünftigen Aktualisierungen durch das Gesundheitsamt angepasst werden.
Für die Selbstauskunft gelten aus Sicht des Datenschutzes insbesondere folgende Grundlagen für die Rechtmäßigkeit der Verarbeitung (Erheben, Speichern Verwenden etc.) von personenbezogenen Daten:

  • Art, 6 Abs. 1 lit c) DSGVO: die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; in Verbindung mit Erwägungsgrund 41 – Rechtsgrundlagen und Gesetzgebungsmaßnahmen
  • Art. 6 Abs. 1 lit. d) DSGVO: die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützenin Verbindung mit Erwägungsgrund46 – Lebenswichtige Interessen
  • Art. 6 Abs. 1 lit f) DSGVO:  die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt; in Verbindung mit den Erwägungsgründen47 – Überwiegende berechtigte Interessen, 48 – Überwiegende berechtigte Interessen in der Unternehmensgruppe
  • Art. 9 DSGVO Verarbeitung besonderer Kategorien personenbezogener Daten in Verbindung mit den Erwägungsgründen46 – Lebenswichtige Interessen, 51 -Besonderer Schutz sensibler Daten, 52 – Ausnahmen vom Verbot der Verarbeitung sensibler Daten, 53 – Verarbeitung sensibler Daten im Gesundheits- und Sozialbereich, 54 – Verarbeitung sensibler Daten zu Zwecken der öffentlichen Gesundheit und § 22 BDSG Verarbeitung besonderer Kategorien personenbezogener Daten

Unten nachfolgendem Link finden Sie die neue „Verordnung über die Ausdehnung der Meldepflicht nach § 6 Absatz 1 Satz 1 Nummer 1 und § 7 Absatz 1 Satz 1 des Infektionsschutzgesetzes auf Infektionen mit dem erstmals im Dezember 2019 in Wuhan/Volksrepublik China aufgetretenen neuartigen Coronavirus („2019-nCoV“)“ für Deutschland aus dem Februar 2020.
https://datenschutz.prodatis.com/downloads/Eilverordnung_Meldepflicht_Coronavirus.pdf

Wichtige Hinweise:

  • Es ist anzunehmen, dass solche Verordnungen für die jeweiligen europäischen Länder ebenfalls erlassen wurden und durchaus unterschiedliche Inhalte und damit auch Datenabfragen für Unternehmen und öffentliche Einrichtungen ermöglichen bzw. zur Pflicht machen.
  • Bitte beachten Sie auch die jeweils gültigen Gesetze zum Infektionsschutz u.a. In diesen Fällen ist die DSGVO den lokalen Gesetzmäßigkeiten dann auch untergeordnet.
  • Des Weiteren sind die Grundsätze gemäß Art. 5 DSGVO zur Zweckbindung, Datenminimierung, Speicherbegrenzung etc. zu beachten.
  • Falls sie von der Selbstauskunft Gebrauch machen, ergänzen Sie bitte unbedingt Ihr Verzeichnis der Verarbeitungstätigkeiten.   

Bodycam-Verstöße und illegale Kameras in Bäckereien

Der Landesdatenschutzbeauftragte von Baden-Württemberg Stefan Brink stellte in Stuttgart seinen Bericht für 2019 vor. Demnach gingen im vergangenen Jahr insgesamt 1.824 Meldungen über Datenschutzverstöße ein. 2018 waren es vom Inkrafttreten neuer europäischer Datenschutzregeln im Mai bis zum Jahresende noch 774 Meldungen gewesen.

In Baden-Württemberg werden immer mehr Datenpannen gemeldet. Bei der Polizei etwa wurden Verstöße beim Einsatz von Bodycams festgestellt. Auch Bäckereien sind im Fokus der Datenschützer, welche illegal Kameras genutzt hatten, um Mitarbeiter zu kontrollieren. Wenn überhaupt, müssten die Kameras so ausgerichtet sein, dass sie nur Kunden filmen. Diese müsse die Bäckerei darüber hinaus rechtzeitig, also vor dem überwachten Bereich, über die Videoüberwachung informieren.

Lesen Sie weiter unter
https://www.swr.de/swraktuell/baden-wuerttemberg/Diese-Datenpannen-in-Baden-Wuerttemberg-bereiten-Landesdatenschuetzer-Sorgen,datenpannen-in-baden-wuerttemberg-100.html

(Quelle: www.swr.de)

Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018

Der erste Tätigkeitsbericht im Zeitalter der Europäischen Datenschutzgrundverordnung (DSGVO) des Sächsischen Datenschutzbeauftragten ist veröffentlicht. Schwerpunkte der Tätigkeit des Datenschutzbeauftragten waren allgemeine Beratungen zur DSGVO sowie Bearbeiten von Beschwerden durch Betroffenen, Bearbeitung von Meldungen zu Datenpannen in Unternehmen und Verwaltung, Verarbeitungen auf Basis von Einwilligungen und Prüfung von Videoüberwachungen.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Auszug aus den Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht

„Die Aufsichtsbehörden wurden durch die erhöhte Aufmerksamkeit vor neue Herausforderungen gestellt. Petitionen und Beratungen steigerten sich auf das Dreifache. So haben Informationen, Benachrichtigungen und Einwilligungen um den 25. Mai 2018 verstärkt zu Auskunftsersuchen gegenüber Unternehmen und öffentlichen Stellen geführt, die teilweise unbefriedigend bzw. nicht ordnungsgemäß beantwortet wurden, was zu vielen Beschwerdevorgängen führte. Auch bei den datenverarbeitenden Stellen, die Verordnung spricht von ‚Verantwortlichen‘, bestand und besteht hoher Beratungsbedarf, wobei sich der Inhalt der Anfragen verschoben hat“

Hier finden Sie die Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht:
https://datenschutz.prodatis.com/downloads/Handout_zur_Pressekonferenz_18_12_19_rs.pdf

Hier finden Sie den Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2017/2018
https://datenschutz.prodatis.com/downloads/Taetigkeitsbericht_2017_2018.pdf

Im kommenden Jahr wird die Sächsische Datenschutzaufsichtsbehörde den Vorsitz der Konferenz der unabhängigen Datenschutzbehörden (DSK) des Bundes und der Länder übernehmen und die 100. Datenschutzkonferenz durchführen.

Einbindung von Analyse-Diensten und Cookies auf Websites

1. Vorsicht bei Einbindung von Analyse-Diensten auf Websites

Aufgrund einer Vielzahl von Anfragen, Beschwerden und Kontrollanregungen weist der Sächsische Datenschutzbeauftragte auf Folgendes hin:

Hinsichtlich der rechtlichen Bewertung der Einbindung von Analyse-Diensten auf Websites und Apps haben sich die Aufsichtsbehörden des Bundes und der Länder in der Orientierungshilfe für Anbieter von Telemedien auf ein gemeinsames Rechtsverständnis geeinigt.

Rechtsauffassungen, die unter Berücksichtigung der Rechtslage vor dem 25.05.2018 veröffentlicht wurden, wie z. B. die „Hinweise des HmbBfDI zum Einsatz von Google Analytics“, sind überholt und werden von den Aufsichtsbehörden des Bundes und der Länder nicht mehr vertreten.

Lesen Sie dazu mehr unter folgendem Link:
https://www.saechsdsb.de/presse/597-presseerklaerung-vorsicht-bei-einbindung-von-analyse-diensten-auf-websites-website-betreiber-sollten-ihr-angebot-ueberpruefen


2. Checkliste: Interessenabwägung zum Tracking auf Websites

Viele Website-Betreiber geben an, den Einsatz von Tracking-Tools auf Art. 6 Abs. 1 Buchst. f DSGVO zu stützen, da sie ein „berechtigtes Interesse an Werbung“ haben. Manch Website-Betreiber meint, damit sei es getan. Schließlich steht in der DSGVO Schwarz auf Weiß, dass Werbung ein berechtigtes Interesse ist. Doch ganz so einfach ist es nicht.

Dass das eigene Interesse daran, Tracking-Tools einzusetzen, das der betroffenen Nutzer überwiegt, müssen Website-Betreiber nachweisen. Die reine Behauptung, dass es so sei, wird keiner Datenschutz-Aufsicht reichen.

Verantwortliche müssen sogar mit einem Bußgeld rechnen, wenn er die Abwägung ungenügend oder gar nicht durchgeführt und zugleich seine Rechenschaftspflicht verletzt hat.

Damit es nicht so weit kommt, sollten Verantwortliche ihre Interessenabwägung immer dokumentieren, z.B. mit einer Checkliste.

Download Checkliste:
https://datenschutz.prodatis.com/downloads/Checkliste Interessenabwaegung zum Tracking auf Websites.docx

(Quelle: www.datenschutz-praxis.de)


3. FAQ zu Cookies und Tracking

Der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat auf seiner Seite FAQ zum Thema Cookies und Tracking veröffentlicht. Betreiber von Webseiten, aber auch Hersteller von Smartphone-Apps (sog. „Anbieter von Telemediendiensten“) müssen sicherstellen, dass bei der Verarbeitung personenbezogener Daten alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.baden-wuerttemberg.datenschutz.de/faq-zu-cookies-und-tracking-2/

FAQs als Download:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Cookies-und-Tracking.pdf

Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien:
https://datenschutz.prodatis.com/downloads/Orientierungshilfe-der-Aufsichtsbehörden-für-Anbieter-von-Telemedien.pdf

Rechtsgrundlage ermitteln | Geldbußen auch gegen Beschäftigte | Anforderungen an Betriebsvereinbarungen

Schritt für Schritt: Rechtsgrundlage ermitteln nach Art. 6 DSGVO

Bevor ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Rechtmäßigkeit der Verarbeitung prüfen. Rechtsgrundlagen bietet die DSGVO v.a. in Art. 6. Machen Sie den Kollegen klar, dass sie dabei möglichst nicht mit der Einwilligung anfangen sollten, wie es die DSGVO scheinbar nahelegt.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Rechtsgrundlage_ermitteln_nach_Art_6_DSGVO.pdf


Geldbußen nach der DSGVO auch gegen Beschäftigte?

Ein Beschäftigter kann an seinem Arbeitsplatz auf Daten von Kunden zugreifen. Das missbraucht er für rein private Zwecke. Kann die Aufsichtsbehörde deshalb gegen ihn ein Bußgeld verhängen?

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Geldbussen_nach_der_DSGVO_auch_gegen_Beschaeftigte.pdf


DSGVO: Anforderungen an Betriebsvereinbarungen

Betriebsvereinbarungen sind ein wichtiges Instrument, um Beschäftigtendaten rechtskonform zu verarbeiten. Wie müssen solche Vereinbarungen ausgestaltet sein, und welche Vorgaben gilt es zu beachten?

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Anforderungen_an_Betriebsvereinbarungen.pdf

Das Löschkonzept – ein Beispiel

Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.

Mitten im Block der Betroffenenrechte findet sich in der Datenschutz-Grundverordnung (DSGVO) der Artikel 17 mit seinem „Recht auf Löschung“, auch „Recht auf Vergessenwerden“ genannt. Da liegt es nahe, zu denken, dass dies etwas ist, was die betroffene Person aktiv wahrnimmt. Wer so denkt, denkt nicht weit genug.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/das_loeschkonzept_ein_beispiel.pdf

Datenschutzgerechte Datenträgervernichtung

Die ISO/IEC 21964 basiert auf der der DIN 66399, die in der internationalen Norm übernommen wurde. Die Entwicklung der DIN 66399-1 bis 3 hat gezeigt, wie diese Normung durch die Berücksichtigung des Stands der Technik, erhöhte Sicherheitsanforderungen für Vernichtungsmaschinen und -prozesse bei Dienstleistern bzw. Unternehmen positiv angenommen wurde.

Die DIN 66399 hat sich bei Herstellern, Dienstleistern und innerhalb der Unternehmen etabliert und maßgeblich zu mehr Sicherheit von lokalen bzw. dezentralen Vernichtungsprozessen geführt. Dies wurde auch international anerkannt.

Durch die Aktualisierung des Ratgebers sind Gesetzesänderungen aber auch das Einbringen von Auslegungshinweisen bei Unsicherheiten der Anwendung der DIN 66399 vom GDD-Arbeitskreis „Datenträgervernichtung“ aufgenommen und berücksichtigt worden.

Lesen Sie dazu mehr unter folgendem Link:
https://www.gdd.de/gdd-arbeitshilfen/gdd-ratgeber/datenschutzgerechte-datentraegervernichtung-4-aufl-2019-1

Wann verjähren Datenschutzverstöße?

Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.

Die Geldbußen der Datenschutz-Grundverordnung (DSGVO) sollten eigentlich nicht der einzige Anreiz für Unternehmen sein, datenschutzkonform mit personenbezogenen Daten umzugehen.

Lesen Sie dazu mehr unter folgendem Link:
https://datenschutz.prodatis.com/downloads/Wann_verjaehren_Datenschutzverstoesse.pdf

Verstoß gegen DSGVO: Deutsche Wohnen soll 14,5 Millionen Euro zahlen:
https://www.heise.de/newsticker/meldung/Verstoss-gegen-DSGVO-Deutsche-Wohnen-soll-14-5-Millionen-Euro-zahlen-4578269.html

Einsatz von Office 365 unter Windows und die DSGVO – Varianten im Vergleich

Derzeit ist Office 365 unter den Datenschutzaufsichtsbehörden ein großes Diskussionsthema. Wie lässt sich Office 365 datenschutzkonform einsetzen Was müssen Unternehmen und öffentliche Einrichtungen als Verantwortliche für die Datenverarbeitung beachten?

Lesen Sie dazu mehr unter folgenden Links:
https://datenschutz.prodatis.com/downloads/office_365_unter_windows.pdf

https://www.heise.de/newsticker/meldung/Windows-10-erneut-im-Fokus-der-EU-Datenschuetzer-4509119.html

Berechnung von Bußgeldern nach der DSGVO von den Aufsichtsbehörden verabschiedet

Die Datenschutz-Aufsichtsbehörden haben sich auf ihrer Sitzung im September auf ein Modell zur Berechnung von Bußgeldern geeinigt. Informationen dazu finden Sie im folgenden Artikel von „Latham & Watkins LLP“:

DSGVO-Bußgelder – das ist neu

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

  1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
  2. Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen) bestimmt, in die das Unternehmen eingeordnet wurde.
  3. Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
  4. Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
  5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

Quelle: www.computerwoche.de

DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott:
https://www.heise.de/newsticker/meldung/DSGVO-Strafe-110-Millionen-Euro-Bussgeld-fuer-Hotelkette-Marriott-angesetzt-4466555.html