Bei der Weiter­lei­tung, des Empfangs oder der bloßen Möglich­keit der Kennt­nis­nah­me von perso­nen­be­zo­ge­nen Daten durch Dritte (kurz „Weiter­ga­be“), handelt es sich um erlaub­nis­pflich­ti­ge Verarbeitung.

• Einwil­li­gung Eine Einwil­li­gung zur Weiter­ga­be von Daten sollte nur eine Notlö­sung sein, an eine konfor­me Einwil­li­gung werden hohe Anfor­de­run­gen gestellt. Darüber hinaus kann der Betrof­fe­nen seine Einwil­li­gung jeder­zeit ohne die Angabe von Grün­den zurückziehen.
• Vertrags­er­fül­lung Die Weiter­ga­be perso­nen­be­zo­ge­ner Daten kann im Rahmen einer Vertrags­er­fül­lung erfor­der­lich sein, wenn z. B. ein E‑Shop-Betrei­ber Daten der Kunden an eine Bank und einen Paket­zu­stel­ler zwecks Bezah­lung und Zustel­lung weitergibt.
• Auftrags­ver­ar­bei­tung Wenn ein Unter­neh­men ein ande­res Unter­neh­men beauf­tragt, perso­nen­be­zo­ge­ne Daten auf seine Anwei­sung hin zu verar­bei­ten und über die Verar­bei­tung einen entspre­chen­den Vertrag (AV-Vertrag) mitein­an­der schlie­ßen, so ist die Weiter­ga­be der Daten für den fest­ge­leg­ten Zweck zulässig.
• Gesetz­li­che Verpflich­tung Über­mitt­lung von Daten z. B. im Rahmen einer gesetz­lich vorge­schrie­be­nen, regel­mä­ßi­gen Prüfung durch einen entspre­chen­den Sach­ver­stän­di­gen. Hier erfolgt die Weiter­ga­be der Daten in Form eines Prüf­ergeb­nis­ses an die zustän­di­ge Behör­de durch das prüfen­de Unter­neh­men (Sach­ver­stän­di­ger).

Soll ein Teil der Daten­ver­ar­bei­tung durch einen exter­nen Drit­ten erfol­gen, so geschieht das durch die Inan­spruch­nah­me eines soge­nann­ten Auftragsverarbeiters.

• Rechen­zen­tren, Hoster, E‑Mail-Provi­der
• Perso­nal-Firmen (Recrui­t­ing)
• IT-Dienst­lei­ster (mit Zugriff auf die gespei­cher­ten Daten)
• Soft­ware­fir­men (Waren­wirt­schafts­sy­stem)
• Werbe­agen­tu­ren (Betreu­ung der Website, des Online-Shops)
• Backup-Sicher­heits­spei­che­rung und ande­rer Archivierungen
• exter­ne Datenträgervernichtung

Der Verant­wort­li­che arbei­tet nur mit Auftrags­ver­ar­bei­tern zusam­men, die hinrei­chend Garan­tien dafür bieten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maßnah­men durch­ge­führt werden, um eine Verar­bei­tung im Einklang mit den Anfor­de­run­gen der DSGVO zu sichern. Dafür ist ein Vertrag zur Auftrags­ver­ar­bei­tung zu schließen.

• die perso­nen­be­zo­ge­nen Daten nur auf doku­men­tier­te Art und auf Weisung des Verant­wort­li­chen verarbeitet
• die zur Daten­ver­ar­bei­tung befug­ten Perso­nen zur Vertrau­lich­keit verpflichtet
• die nach Arti­kel 32 DSGVO erfor­der­li­chen Maßnah­men einhält
• die Bedin­gun­gen für die Inan­spruch­nah­me der Dien­ste weite­rer Auftrags­ver­ar­bei­ter einhält
• unter Berück­sich­ti­gung der Art der Verar­bei­tung und der ihm zur Verfü­gung stehen­den Infor­ma­tio­nen den Verant­wort­li­chen bei der Einhal­tung seiner Pflich­ten unterstützt
• nach Abschluss der Erbrin­gung der Leistun­gen aller perso­nen­be­zo­ge­nen Daten nach Wahl des Verant­wort­li­chen löscht oder zurückgibt
• dem Verant­wort­li­chen alle erfor­der­li­chen Infor­ma­tio­nen zum Nach­weis der Einhal­tung seiner Pflich­ten zur Verfü­gung stellt

• Post- und Transportdienstleister
• Zahlungs­dienst­lei­ster
• Steu­er­be­ra­ter, Rechts­an­wäl­te, Wirtschaftsprüfer
• Handels­ver­tre­ter
• Reini­gungs­dienst­lei­ster, Handwerker

Websi­ten müssen über eine voll­stän­di­ge und aktu­el­le Daten­schutz­er­klä­rung verfü­gen. Diese darf nicht unter einer ande­ren Rubrik, mit mehre­ren verschie­de­nen Themen zusam­men­ge­fasst werden. Die Daten­schutz­er­klä­rung muss von jeder Seite und Unter­sei­te aus abruf­bar sein.

• Kontakt­mög­lich­keit
• Daten- oder Daten­ka­te­go­rien die erho­ben, verar­bei­tet, weiter­ge­ge­ben oder gespei­chert werden
• Zweck der Erhe­bung, Verar­bei­tung, Weiter­ga­be oder Speicherung
• Spei­cher­dau­er
• Kontakt­da­ten des Datenschutzbeauftragten
• ob eine Daten­über­mitt­lung an Dritte oder das Ausland geplant ist
• Wider­rufs­be­leh­rung
• Daten­über­tra­gung an Dritte (z.B. Google+, Face­book, Google Analy­tics, Piwik, usw.)

Aussa­gen von Beschäf­tig­ten im Web brin­gen Bewer­tun­gen über das Unter­neh­men ins Netz. Dies kann ein Marke­ting­mit­tel sein, birgt aber auch Risiken.

• Geben Beschäf­tig­te auch ihre beruf­li­chen Kontak­te in ein Netz­werk ein, lässt dies Rück­schlüs­se auf Liefe­ran­ten- und Kunden­be­zie­hun­gen zu
• In Fach­fo­ren besteht die Gefahr, dass unzu­läs­si­ge Infor­ma­tio­nen über das Unter­neh­men bzw. einzel­ne Perso­nen (z. B. Vorge­setz­te) verbrei­tet werden
• Zu posi­ti­ve Meldun­gen zum Unter­neh­men können Verstö­ße gegen das UWG darstellen
• Die Veröf­fent­li­chung von Infor­ma­tio­nen, die der Verschwie­gen­heit unter­lie­gen (Daten­schutz / Geschäfts­ge­heim­nis­se) können geahn­det werden

• Seien Sie spar­sam bei Daten, Bildern und Kontaktdaten
• Prüfen Sie die Daten­schutz­ein­stel­lun­gen des sozia­len Netz­werks und erhö­hen Sie diese gegebenenfalls
• Hyper­links in sozia­len Netz­wer­ken vorab prüfen
• Daten­schutz­er­klä­rung und Nutzungs­be­din­gun­gen des sozia­len Netz­werks regel­mä­ßig prüfen
• Wählen Sie ein sepa­ra­tes, siche­res Passwort
• Ortungs­funk­ti­on bei Zugriff über Smart­pho­ne deaktivieren

Das Inter­net vergisst nichts!

Verant­wort­li­che für Websi­ten können verschie­de­ne Dien­ste in Anspruch nehmen um z. B. Stand­ort, Öffnungs­zei­ten, etc. opti­mal in der Google-Such­ma­schi­ne anzei­gen zu lassen. Gerade im Einzel­han­del ist der Weg zum Geschäft / zur Filia­le oder die Öffnungs­zei­ten so für even­tu­el­le Kunden mit einem Blick ersicht­lich. Im Rahmen der Account-Erstel­lung (Google My Busi­ness Account) aber auch bei der Angabe der Daten, die veröf­fent­licht werden sollen, spielt der Daten­schutz eine große Rolle.

• Einwil­li­gung bei Fotoveröffentlichungen
• Benut­zer-Rechte-Konzept
• Rege­lung zum Umgang mit Bewer­tun­gen / Rezensionen
• Auftrags­ver­ar­bei­tung Google
• Beach­tung der Rechts­grund­la­ge für die Veröf­fent­li­chung von Kontaktdaten
• Führen eines Verfah­rens nach Art. 30 DSGVO für die Auswer­tung von Nutzerdaten
• Wider­rufs­be­leh­rung für Bewer­tun­gen umset­zen (Prozess beschreiben)

Bei allen Daten­ver­öf­fent­li­chun­gen ist darauf zu achten, dass ausschließ­lich dienst­li­che Daten wie z. B. bei Nennung der Mobil­funk­num­mer, Tele­fon­num­mer des Inha­bers / des Geschäfts­füh­rers oder ggf. auch der Beschäf­tig­ten verwen­det werden.

Beschäf­tig­te die gene­rell im Außen­dienst arbei­ten oder von Berufs­we­gen viel unter­wegs sind, müssen sich beson­de­ren daten­schutz­recht­li­chen Verpflich­tun­gen unter­wer­fen. Es ist mitt­ler­wei­le üblich, dass zur Arbeits­er­leich­te­rung eine Viel­zahl an mobi­len Endge­rä­ten (z. B. Tablett, Smart­pho­ne) einge­setzt werden und diese wieder­um mit beson­de­ren Daten­si­che­rungs­maß­nah­men für die Unter­neh­mens­da­ten (z. B. E‑Mails, Kontak­te, Kalen­der­ein­trä­ge, Noti­zen, Aufga­ben und Doku­men­te) ausge­stat­tet sein müssen. Für die IT-Abtei­lung stellt dies genau­so wie für die inter­ne Verwal­tung eine Heraus­for­de­rung dar.

Grund­sätz­lich soll­ten alle ausge­ge­be­nen mobi­len Endge­rä­te verwal­tungs­in­tern erfasst und perso­nen­be­zo­gen regi­striert werden. Die mobi­len Endge­rä­te soll­ten vor unbe­rech­tig­ten Zugrif­fen geschützt werden, welches in der Regel durch eine Pass­wort­sper­re umge­setzt werden kann.

Eine zentra­le Verwal­tung der einge­setz­ten Betriebs­mit­tel, um eine Kontrol­le hinsicht­lich der IT-Sicher­heit (z. B. regel­mä­ßi­ge Sicher­heits­up­dates, Defi­ni­ti­on Zugriffs­rech­te) gewähr­lei­sten zu können.

Zudem soll­ten eine Sensi­bi­li­sie­rung der Mitar­bei­ter hinsicht­lich folgen­de Themen­punk­te erfol­gen:
Perso­nen­be­zo­ge­ne Daten dürfen im Außen­dienst nur aufge­nom­men werden, wenn bei Erst­kon­takt eine nach­weis­ba­re Einwil­li­gung des Betrof­fe­nen vorliegt oder es zur Erfül­lung der vertrag­li­chen oder im Einzel­fall gesetz­li­chen Verpflich­tun­gen notwen­dig ist:

• keine Spei­che­rung von priva­ten Daten oder Nutzung zu priva­ten Zwecken auf den betrieb­li­chen Geräten;
• betrieb­li­che Geräte dürfen nur nach Abspra­che mit dem IT-Verant­wort­li­chen bzw. der fach­ver­ant­wort­li­chen Stelle außer­halb des Unter­neh­mens mitge­nom­men werden; der Zugriff auf die betrieb­li­chen Geräte sollte nur erfol­gen, wenn es hinsicht­lich der orga­ni­sa­to­ri­schen Rahmen­be­din­gun­gen möglich erscheint (z. B. Unbe­fug­te dürfen keine Einsicht bekom­men, bei Tele­fo­na­ten darf niemand mithören);
• die betrieb­li­chen Geräte dürfen nicht unbe­auf­sich­tigt gelas­sen werden und auch beim Trans­port sind sie sorg­sam zu verwahren;
• ein Verlust oder Defekt an betrieb­li­chen Gerä­ten ist unver­züg­lich dem IT-Verant­wort­li­chen zu melden;
• unter­neh­mens­frem­de Verbin­dun­gen (z.B. Hotspot Öffent­lich­keit, priva­tes W‑LAN) sind nicht zu nutzen und die Daten dürfen nur über siche­re Verbin­dun­gen auf den Unter­neh­mens­netz­lauf­wer­ken abge­legt werden;
• Sicher­heits­ein­stel­lun­gen (z. B. Fire­wall) dürfen nicht geän­dert, deak­ti­viert oder umgan­gen werden und Soft­ware­instal­la­tio­nen, Patches und Updates sowie Wartung und Repa­ra­tu­ren sind nur durch den IT-Verant­wort­li­chen vorzunehmen;
• Wech­sel­da­ten­trä­ger (z.B. USB-Stick, Spei­cher­kar­te, CD/DVD) dürfen nur nach Geneh­mi­gung durch den IT-Verant­wort­li­chen genutzt werden.

Grund­sätz­lich soll­ten die betrieb­li­chen Endge­rä­te nur für den betrieb­li­chen Einsatz verwen­det werden, da sich anson­sten weit­rei­chen­de Schwie­rig­kei­ten bei der priva­ten Nutzung erge­ben können und eine Abgren­zung der Daten schwie­rig ist. Zudem ist der Arbeit­ge­ber dann stark in seinen Hand­ha­bun­gen einge­schränkt (z. B. Zugriff, Archivierung).

• Auskunfts­recht gem. Art. 15 DSGVO (Auskunft über die Daten)
• Recht auf Berich­ti­gung gem. Art. 16 DSGVO (Korrek­tur von Daten von Betroffenen)
• Recht auf Löschung bzw. Einschrän­kung gem. Art. 17 und 18 DSGVO

Die betrof­fe­ne Person hat das Recht jeder­zeit gegen die Verar­bei­tung sie betref­fen­der perso­nen­be­zo­ge­ner Daten Wider­spruch einzu­le­gen, wenn diese auf Grund­la­ge einer Einwil­li­gung erho­ben worden sind. Der Verant­wort­li­che verar­bei­tet diese perso­nen­be­zo­ge­nen Daten nicht mehr, es sei denn, er kann zwin­gen­de schutz­wür­di­ge Gründe für die Verar­bei­tung nach­wei­sen, die die Inter­es­sen, Rechte und Frei­hei­ten der betrof­fe­nen Person über­wie­gen oder die Verar­bei­tung dient der Geltend­ma­chung, Ausübung oder Vertei­di­gung von Rechtsansprüchen.

• Die betrof­fe­ne Person muss späte­stens zum Zeit­punkt der ersten Kommu­ni­ka­ti­on mit ihr ausdrück­lich auf das Recht auf Wider­spruch hinge­wie­sen werden
• Der Hinweis hat in einer verständ­li­chen und von ande­ren Infor­ma­tio­nen getrenn­ten Form zu erfolgen
• Wider­spricht eine betrof­fe­ne Person der Verar­bei­tung ihrer perso­nen­be­zo­ge­nen Daten, dürfen diese nicht mehr für den im Wider­spruch genann­ten Zweck verwen­det werden

Die Daten­spei­che­rung ist gemäß Art. 5 DSGVO nur so lange zuläs­sig, wie es für den vorher fest­ge­leg­ten, eindeu­ti­gen sowie legi­ti­men Zweck erfor­der­lich und ange­mes­sen ist (Grund­satz der Spei­cher­be­gren­zung und Daten­mi­ni­mie­rung). Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflich­tung zur Löschung des Datensatzes.

• wenn gemäß Art. 17 Abs. 3 b) die weite­re Spei­che­rung der Daten zur Erfül­lung einer recht­li­chen Verpflich­tung erfor­der­lich ist
• z. B. Aufbe­wah­rungs- und Doku­men­ta­ti­ons­pflich­ten nach den Vorschrif­ten des deut­schen Arbeits‑, Handels‑, Sozi­al­ver­si­che­rungs- und Steuerrechts
• wenn gemäß Art. 17 abs. 3 e) ein eige­nes, berech­tig­tes Inter­es­se des Verant­wort­li­chen an einer länge­ren Aufbe­wah­rung besteht
• z. B. bei poten­ti­el­len und / oder bestehen­den Rechtsstreitigkeiten