Account

Keine Gesetzesänderung zur Bestellpflicht des Datenschutzbeauftragten

mehr erfahren

Am 18. Oktober hatten wir über die Änderungevorschläge der Bundesratsausschüsse bezüglich der Verpflichtung zur Benennung eines Datenschutzbeauftragten berichtet.

In der Sitzung 971. am 19.10.2018 hat sich der Bundesrat darauf verständigt, dass keinerlei Änderungen am § 38 BDSG-neu durchgeführt werden. Die Voraussetzungen für die Bestellpflicht des Datenschutzbeauftragten bleibt somit unverändert.


Bundesratsausschüsse schlagen Änderungen im BDSG-neu vor

mehr erfahren

Verschiedene Änderungsvorschläge des § 38 BDSG-neu wurden durch die Bundesratsausschüsse vorgelegt. § 38 BDSG regelt ergänzend zu Artikel 37 DSGVO die Bestellung des Datenschutzbeauftragten.

Es wurde vorgeschlagen die Verpflichtung zur Benennung eines Datenschutzbeauftragten auf die Unternehmen zu begrenzen, welche personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten (Auskunfteien, Adresshandelsunternehmen sowie Markt- und Meinungsforschungsinstitute). Sollte dieser Vorschlag keine Zustimmung erhalten, sollen Alternativvorschläge zur Anwendung kommen.

Das Ziel der Anpassungen stellt die Entlastung kleiner und mittelständiger Unternehmen dar, welche je nach neuer Regelung keinen Datenschutzbeauftragten bestellen müssen. Dies entbindet die Unternehmen und Vereine allerdings nicht von der Einhaltung der DSGVO und des BDSG. Weiterhin sind z.B. technische und organisatorische Maßnahmen, Verarbeitungen und Nachweispflichten zu erbringen.


Empfehlung des Bundesrates


Datenschutzinformation von Facebook zum Thema "Fanpage"

mehr erfahren

Der Gerichtshof der Europäischen Union (EuGH) hat mit dem Urteil vom 5. Juni 2018 entschieden, dass Betreiberinnen und Betreiber von Facebook-Fanpages gemeinsam mit Facebook für die Umsetzung des Datenschutzes nach Art. 26 DSGVO mit verantwortlich sind.

Das bedeutet in der Praxis, dass bei einem Fanpage-Besuch personenbezogene Daten verarbeitet werden. Benutzerbezogene Statistiken werden über die „Insights-Funktion“ von Facebook ausgewertet. Jeder Betroffene und auch Personen, die ohne einen Facebook Account die Seite aufrufen können, müssen über die Verarbeitung von personenbezogenen Daten informiert werden.

Facebook hat in einen Statement „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“ festgehalten, dass sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten von Facebook erfüllt werden.

Dazu zählt:

  • Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO)
  • Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO)
  • Rechte des Betroffenen (Art. 15 – 22 DSGVO)
  • Sicherheit der Verarbeitung (Art. 32 DSGVO)
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO)
  • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34 DSGVO)

Facebook stellt aber auch gegenüber dem Fanpagebetreiber klar,  dass auch er gewisse Pflichten zu erfüllen hat:

  • Nennung einer Rechtsgrundlage für die Verarbeitung von Insights Daten
  • Nennung eines Verantwortlichen für die Verarbeitung der Seite
  • Erfüllung jedweder sonstiger Pflichten

Es ist also fraglich, ob die Verarbeitung dieser Besucherdaten aufgrund einer fehlenden Rechtsgrundlage als unzulässig erachtet werden kann. Ein Restrisiko besteht daher weiterhin für den Betreiber.

EU und Japan: Gespräche über angemessenes Datenschutzniveau erfolgreich abgeschlossen

mehr erfahren

Die Pressestelle der Europäischen Kommission veröffentlichte am 17.07.2018 die Information, dass die EU und Japan ihre Gespräche über ein beiderseits angemessenes Datenschutzniveau erfolgreich abgeschlossen haben.

Durch diesen Angemessenheitsbeschluss wird für die Zukunft ein hohes Schutzniveau für personenbezogene Daten und deren Übertragung nach Japan geschaffen.

BGH: Benutzerkonto bei sozialen Netzwerken vererbbar

mehr erfahren

Der Bundesgerichtshofs hat am 12.07.2018 entschieden, dass der Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk grundsätzlich im Wege der Gesamtrechtsnachfolge auf die Erben übergeht.

Urteil vom 12.07.2018 – III ZR 183/17


Erste Prüfungen der Aufsichtsbehörden auf Umsetzung der DSGVO

mehr erfahren

Die niedersächsische Aufsichtsbehörde überprüft ab Ende Juni den Umsetzungsstand der DS-GVO von 50 Unternehmen mit dem Hauptsitz in Niedersachsen.
Fokussiert werden dabei 20 große und 30 mittelgroße Unternehmen aus verschiedenen Branchen.
Die Landesbeauftragte für den Datenschutz Niedersachsen, Frau Barbara Thiel möchte sich zunächst einen Überblick verschaffen, wie sich die Firmen auf die neue Datenschutzgrundverordnung eingestellt haben.
In der Querschnittsprüfung werden Fragen zum Datenschutz aus 10 unterschiedlichen Bereichen abgefragt.
Das Ziel dieser Maßnahme soll laut Frau Thiel nicht sein, möglichst viele Fehler zu finden und Bußgelder zu verhängen, sondern das Bewusstsein zum Datenschutz und die Vorschriften der DS-GVO zu stärken.
Darüber hinaus kann es bei der Feststellung eines Verstoßes trotzdem zu einem Verfahren kommen.

zur Pressemitteilung

Datenschutz in kleinen Firmen. Was müssen Sie beachten?

mehr erfahren

Auch kleine Firmen, welche nicht in der Pflicht stehen einen Datenschutzbeauftragten zu bestellen, müssen die Anforderungen an die neue Datenschutzgrundverordnung erfüllen.

Hierzu zählen u.A. die Einhaltung der Informationspflicht, das Einholen von Einwilligungen, die Dokumentation der Verarbeitungstätigkeiten und die Dokumentation der technischen und organisatorischen Maßnahmen.

Wir empfehlen in jedem Fall die Einführung eines Datenmanagementsystems, in welchem alle datenschutzrelevanten Anforderungen dokumentiert werden.


Google Analytics datenschutzkonform einrichten, der Leitfaden für Admins

mehr erfahren

Die datenschutzkonforme Nutzung des Dienstes Google Analytics ist aus unserer Sicht möglich, soweit folgende Voraussetzungen erfüllt sind:

1. Anonymisierte IP-Adressen schon innerhalb von Europa

  • Die Implementierung von „_anonymizeIp()“ lässt keine Identifizierung des Nutzers mehr zu. Das letzte Oktett der IP-Adresse wird vor der Speicherung schon innerhalb von Europa gelöscht.
  • 2. Hinweis auf das Widerspruchsrecht

  • Besucher müssen auf ihr Recht auf Widerspruch hingewiesen werden und eine Information erhalten, wie sie dieses ausüben können. Google stellt hierfür ein Deaktivierungs-Add-on bereit.
  • 3. Aufbewahrungsdauer festlegen

  • Die Aufbewahrungsdauer sollte von den standardmäßigen Einstellung auf 14 Monate begrenzt werden. Die Option „Bei neuer Aktivität zurücksetzen“ sollte auf „Aus“ eingestellt werden.
  • 4. Vertrag zur Auftragsverarbeitung

  • Es besteht ein Vertrag zur Auftragsverarbeitung zwischen Google Inc. und dem Unternehmen.

Google Analytics: „Verwaltung > Kontoeinstellungen“ > „Zusatz zur Datenverarbeitung“
  • 5. Hinweis in der Datenschutzerklärung

  • Innerhalb der Datenschutzerklärung muss auf die Verwendung von Google Analytics und die Erfassung der Nutzerdaten hingewiesen werden.
Besucher müssen auf ihr Recht auf Widerspruch hingewiesen werden und eine Information erhalten, wie sie dieses ausüben können. Google stellt hierfür ein Deaktivierungs-Add-on bereit.
  • 6. Einwilligung des Betroffenen

  • Eine denkbare Variante könnte das Einholen einer Einwilligung beim Betroffenen über ein „Cookie-Banner“ darstellen.
  • Beispiel: Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. LINK ZUR DATENSCHUTZERKLÄRUNG
  • 7. Altdaten löschen

  • Altdaten müssen gelöscht werden, da davon auszugehen ist, dass diese unrechtmäßig erhoben wurden.


  • Nutzungshinweis: Dieser Beitrag stellt keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes dar. Eine Haftung von LAN-Security Gesellschaft für Netzwerktechnik und -sicherheit mbH für die sachliche und rechtliche Richtigkeit von Beiträgen oder von Seiteninhalten besteht nicht und wird auch nicht übernommen.

    EuGH: Facebook-Fanseitenbetreiber für Datenschutz mitverantwortlich

    mehr erfahren

    Nach Urteil des Gerichtshof der Europäischen Union vom 5. Juni 2018 ist der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich.


    zur Pressemitteilung

    Die Aufgaben des Datenschutzbeauftragten

    mehr erfahren

    Dem Datenschutzbeauftragten obliegen nach Art. 39 DSGVO einige Aufgaben mehr als nach dem BDSG:

    1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

    2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

    3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

    4. Zusammenarbeit mit der Aufsichtsbehörde;

    5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

    LAN-Security Gesellschaft für Netzwerktechnik und -sicherheit mbH
    Konnwiese 13
    56477 Rennerod
    +49 2664-99719-0
    info@lan-security.de