Posts From Timo Schutt

Mitarbeiterfotos auf Facebook: 1.000 Euro Schadensersatz

Die DSGVO sieht nicht nur hohe Bußgelder vor. Es drohen auch saftige Schadensersatzansprüche. In diesem Fall zugunsten betroffener Arbeitnehmer. Denn das Arbeitsgericht in Lübeck hat in einem Beschluss vom 20.06.2019 (Aktenzeichen 1 Ca 538/19) interessante Ausführungen zum Schadensersatz für die Veröffentlichung von Mitarbeiterfotos gemacht.

Read More

Kündigung wegen Missbrauchs von Kundendaten

Das Arbeitsgericht Siegburg hat die fristlose Kündigung eines SAP-Beraters für rechtmäßig angesehen. Er hatte Kundendaten des Arbeitgebers missbraucht. Nach Ansicht der Arbeitsrichter ist ein IT-Mitarbeiter verpflichtet, sensible Kundendaten zu schützen. Er darf diese nicht zu anderen Zwecken missbrauchen. Daher rechtfertige ein Verstoß gegen diese Pflichten in der Regel eine fristlose Kündigung durch den Arbeitgeber.

Read More

Erfahrungsbericht der DSK zur DSGVO

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat einen Erfahrungsbericht über die Anwendung der DSGVO erarbeitet und auf der 98. Datenschutzkonferenz am 06. November 2019 verabschiedet. Die DSK möchte damit die Erfahrungen der in ihr vertretenen deutschen Aufsichtsbehörden aus der praktischen Anwendung seit Geltungsbeginn der DSGVO in den Evaluierungsprozess nach Art. 97 DSGVO einbringen und daran anknüpfend in einigen Punkten auch Vorschläge für Verbesserungen unterbreiten, um einen optimalen Vollzug der DSGVO zu gewährleisten. Die DSK stellt in dem Bericht einige Punkte heraus, die ihrer Ansicht nach in der Praxis zu Problemen führen und die im Zuge der Evaluierung der DSGVO zu einem Prozess der Anpassung und Nachbesserung führen soll. Ich möchte in diesem Beitrag – neben der Bilanz über die DSGVO – zwei dieser Punkte der DSK kurz beleuchten.

Read More

Was ist eine Datenschutzfolgenabschätzung?

Mit Geltung der DSGVO wurde die Datenschutzfolgenabschätzung (DSFA) eingeführt. Nach Artikel 35 DSGVO ist eine solche DSFA immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Read More

Wie erstelle ich ein Verarbeitungsverzeichnis? -Teil 5

In diesem Teil 5 zur Anleitung über die Erstellung des Verarbeitungsverzeichnisses will ich direkt im Anschluss an Teil 4 die weiteren inhaltlichen Anforderungen an das Verarbeitungsverzeichnis nennen. Im letzten Teil 6 zur Erstellung des Verarbeitungsverzeichnisses wird dann noch auf die Besonderheiten des Verzeichnisses für Auftragsverarbeitungen eingegangen und ich werde zu den Rechtsfolgen bei Verstößen etwas berichten.

Read More

Was bedeutet “Pseudonymisierung”?

Ein Pseudonym kennt man am ehesten aus der Literatur. Ein Autor möchte nicht als Urheber eines Buches in Erscheinung treten und nutzt ein Pseudonym.
Im Datenschutz spielt der Begriff der Pseudonymisierung eine wichtige Rolle. Im Kern geht es dabei um nichts anderes, als beim Autor: Der reale Name, die realen Daten zu einer Person werden ersetzt durch andere Daten. Diese anderen Daten lassen für den Außenstehenden, also den Dritten, keinen direkten Rückschluss auf eine Person zu.

Read More

Wie erstelle ich ein Verarbeitungsverzeichnis? -Teil4

Nachdem wir uns in den ersten drei Beiträgen zum Verarbeitungsverzeichnis nach DSGVO eher mit den grundlegenden Anforderungen, der Form und dem Sinn und Zweck des Verzeichnisses beschäftigt haben, soll es ab diesem vierten Teil um den Inhalt des Verarbeitungsverzeichnisses gehen.

Read More

BfDI: Bußgeld über 9,55 Millionen Euro

Die Einschläge kommen näher. Jetzt hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in einer Pressemitteilung verkündet, ein Bußgeld über stattliche 9,55 Millionen Euro verhängt zu haben. Schuld ist ein – angeblicher – DSGVO-Verstoß. Getroffen hat es den Telekommunikationsdienstleister 1&1 Telecom GmbH. Das ist ein Tochterunternehmen der 1&1 Telecommunication SE, die wiederum zur United Internet Gruppe gehört.

Read More

Wie erstelle ich ein Verarbeitungsverzeichnis? -Teil 3

Im zweiten Teil ging es um Sinn und Zweck des Verarbeitungsverzeichnisses. Und ich habe versucht klar zu machen, wie wichtig es ist, das Verzeichnis aktuell zu halten, aber auch wie schwierig. Vor allem sollte eine Änderungshistorie nicht fehlen. In diesem dritten Teil möchte ich über Form und Ausnahmen berichten.

Read More

Wie erstelle ich ein Verarbeitungsverzeichnis? -Teil 2

Im ersten Teil meiner Beitragsreihe zum Verarbeitungsverzeichnis habe ich über die Wichtigkeit des Verzeichnisses gesprochen. Und ich habe klar gestellt, dass das Erfassen und Zusammentragen der Datenverarbeitungsvorgänge im Unternehmen ein ganz wichtiger Punkt ist, der immer am Anfang eines DSGVO-Projekts stehen sollte. Da diese ganzen Vorgänge sowieso bekannt sein  müssen, um weitere Entscheidungen treffen zu können, handelt es sich also hierbei auch um eine wichtige Vorarbeit für die weiteren Schritte der Datenschutz-Compliance. Jetzt möchte ich im zweiten Teil über den Sinn und Zweck des Verarbeitungsverzeichnisses sprechen.

Read More