Einschränken, Löschen oder Vernichten - Kennen Sie den Unterschied?

Reicht es, Daten zu löschen, oder muss man gleich das ganze Speichermedium vernichten? Was hat es mit der Einschränkung der Verarbeitung auf sich? Verschaffen Sie sich den Durchblick!

Das Problem mit dem Löschen

Warum soll ich die Daten denn löschen, wir haben doch genug Speicherplatz, und vielleicht kann man die Daten später nochmals gebrauchen, so denken Sie vielleicht manchmal, wenn Sie Daten früherer Kunden löschen sollen. Die Antwort ist schnell gegeben: Die früheren Kunden haben ein Recht darauf, so will es die EU-Datenschutzgrundverordnung (EU-DSGVO).

Einschränken, Löschen oder Vernichten - Kennen Sie den Unterschied?

Das Löschen ist aber auch aus Unternehmenssicht sinnvoll: Gelöschte Daten lassen sich nicht mehr stehlen und missbrauchen. Datenlöschung ist Datenschutz, spart Speicherkosten und vereinfacht die Datenverwaltung. Wichtig ist es allerdings, dass die Daten auch sicher und vollständig gelöscht werden.

Gemeinsame Verantwortung von Unternehmen im Datenschutz - Was Sie aus den EuGH-Fällen lernen können

Manchmal wirken mehrere Unternehmen bei der Verarbeitung von personenbezogenen Daten zusammen. Klassisches Beispiel: Um einen Vertrag zu erfüllen, werden Subunternehmer eingeschaltet. Wer trägt dann datenschutzrechtlich gesehen die Verantwortung für die Daten? Neue Entscheidungen des Europäischen Gerichtshofs (EuGH) führen dazu, dass Unternehmen hier genauer hinschauen müssen. Dabei stellen sich Fragen, die auf den ersten Blick merkwürdig wirken. Sie richten sich an die Fachabteilungen in den Unternehmen. Deshalb sollten Sie darauf vorbereitet sein.

Eine absurde Ausgangslage?

Ein Unternehmen hat auf bestimmte personenbezogene Daten überhaupt keinen Zugriff. Dennoch soll es datenschutzrechtlich dafür verantwortlich sein, was ein anderes Unternehmen mit diesen Daten tut. Sie meinen, das könne überhaupt nicht sein? Dann unterschätzen Sie die Kreativität des EuGH im Hinblich auf Art. 26 EU-DSGVO "Gemeinsam Verantwortliche" oder auch "Joint Controllership".

Gemeinsame Verantwortung von Unternehmen im Datenschutz - Was Sie aus den EuGH-Fällen lernen können

Denn genau so hat er gleich in zwei Fällen entschieden. Beim ersten Fall ging es um Facebook, beim zweiten um die Zeugen Jehovas. Aus beiden Fällen lassen sich allgemeine Regeln ableiten, die in den Alltag zahlreicher Unternehmen hineinwirken.

Weiterleitung von E-Mails „nach Hause“ - Darf man das?

Viele Arbeitnehmer tun es gelegentlich: Sie leiten eine dienstliche Mail nach Hause auf den privaten E-Mail-Account um. Alles kein Problem? Es kommt darauf an! Nicht alles, was einem Arbeitnehmer vernünftig erscheint, ist es auch aus der Sicht der Gerichte.

Vernünftige Gründe

Die Gründe für das Weiterleiten einer E-Mail sind unterschiedlich. Ein Beispiel: Tags-über hat die Zeit nicht gereicht, um eine wichtige, aber ziemlich umfangreiche Mail zu lesen. Also möchte man das abends zuhause nachholen. Ein weiteres Beispiel: Eigentlich möchte man am nächsten Tag im Homeoffice (auch: Home-Office) das dienstliche mobile Gerät nutzen. Gerade jetzt „spinnt“ es aber. Also weicht man mit den wichtigsten E-Mail-Nachrichten sozusagen auf den privaten PC aus.

Weiterleitung von Mails nach Hause - Darf man das?

Ein problematischer Fall

Diese Argumente hören sich vernünftig an. Doch dass man auch rasch in ein problematisches Licht geraten kann, musste ein Arbeitnehmer in einem Fall erfahren, den das Landesarbeitsgericht Berlin-Brandenburg am 16. Mai 2017 entschieden hat.

Einwilligung nach EU-DSGVO - Kurzpapier Nr. 20 der DSK veröffentlicht

Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur EU-DSGVO. In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der EU-DSGVO wiedergegeben. Neu ist das Kurzpapier Nr. 20 zum Thema "Einwilligung".

Nach Art. 6 Abs. 1 EU-DSGVO ist die Einwilligung die zentrale Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten und wird in Art. 2 Abs. 11 EU-DSGVO näher definiert.

Abgabe der Einwilligungserklärung

Die Einwilligung muss nicht zwingend schriftlich abgegeben werden, auch die elektronische oder mündliche Abgabe der Einwilligung ist datenschutzkonform. Hierbei zu beachten ist die Nachweispflicht. Nach Art. 7 Abs. 1 EU-DSGVO steht der Verantwortliche in der Pflicht nachzuweisen, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat. Diese Pflicht trifft den Verantwortlichen nicht nur dann, wenn das Vorliegen der Einwilligung bestritten wird, sondern bereits bei Kontrollen der Aufsichtsbehörden muss der Nachweis über die erteilte Einwilligung vorliegen.

Einwilligung nach EU-DSGVO? Nur dann, wenn Sie das Häkchen selbst setzen!

Meldung von Datenpannen nach EU-DSGVO (2)

Die EU-DSGVO hat die Meldepflicht für Datenpannen wesentlich verschärft. Was geht das den „normalen Mitarbeiter“ an? Deutlich mehr, als viele glauben!

Der Klassiker: Versendungspannen beim E-Mail-Versand

Versendungspannen gehören zu den häufigsten Datenpannen. Einer der Klassiker: Eine E-Mail soll an eine größere Zahl von Adressaten gehen. Diese wissen nichts voneinander - und das soll eigentlich auch so bleiben. Doch statt im BCC-Feld landet die Adressatenliste versehentlich im CC-Feld. Die Folge: Jeder Adressat sieht die Mailadressen aller anderen Adressaten!

Versendungspannen sind schnell passiert - Was verlangt die EU-DSGVO?