|
|
|
|
|
|
|
|
Ich hab erstmal ne Antwort vom Datenschutzbeauftragten bekommen. Er ist im Austausch mit dem Professor und hat sich auch wegen des Urheberrechts ans Justitiariat gewandt, ob der Prof das hoch laden darf ohne Einverständnis. Die Dame ist aber erst nächste Woche wieder da. Man findet mit den Infos auch ganz schnell Prüfungsergebnisse der betroffenen Studenten per Google. Nicht schön.
|
|
|
|
|
|
|
|
|
|
|
Kommt darauf an.
Am Jahresanfang eine Blankoliste auslegen, jeder der will, kann sich eintragen.
Im Jahresverlauf sollte jeder die Möglichkeit haben zu widerrufen. Einfach ungefragt die Liste aushängen ist rechtlich nicht haltbar.
Alternativ DSGVO konforme Einwilligung unterschreiben lassen inkl. aller Rechte.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von da t0bi
Was sagt denn die DSGVO zum Aushang einer Geburtstagsliste am schwarzen Brett? Wo kein Kläger da kein Richter?
| |
https://dejure.org/gesetze/BDSG/42.html
Weiß aber nicht, obs schon Urteile bzgl. "großen Zahl von Personen" gibt 
|
|
|
|
|
|
|
|
|
|
|
Wo willste das denn anwenden?
Wenn Ernas 60ster Geburtstag angeschrieben steht, Sie aber als 40 durchgehen will und dadurch ihr Ansehen "geschädigt" wird?
Anstatt des BDSG wird in dem Fall Geburtstagsliste eher Art. 83 DSGVO herangezogen.
https://dsgvo-gesetz.de/art-83-dsgvo/
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von da t0bi
Was sagt denn die DSGVO zum Aushang einer Geburtstagsliste am schwarzen Brett? Wo kein Kläger da kein Richter?
| |
Ist das ein schwarzes Brett das nur für persönliche/familiäre Zwecke genutzt wird?
Dann hat das mit der DSGVO nichts am Hut und du darfst dich auf die bisherigen gesetzlichen Regelungen verlassen.
|
|
|
|
|
|
|
|
|
|
|
Um Schädigung gehts doch garnicht.
Veröffentlichung von personenbezogenen Daten, gewerbsmäßiges Handeln (bei Firma grundsätzlich).
Und mir gings eher um Paragraph 3, weil ja die Frage war wo der Kläger ist.
Abgesehen davon, dass die Frage eh doof ist, denn wo kein Kläger ist nie ein Richter, da Richter ja keine Straftaten verfolgen ausser, wenn man sich vor Gericht daneben benimmt :-p
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, eigentlich völlig richtig.
Mein Vermieter(Hausverwaltung) hat mir nur 2 vorbereitete Schilder für Klingen und Briefkasten gegeben. In die Plastikdinger stecken musste ich die selbst, somit sind sie ausm Schneider
|
|
|
|
|
|
|
|
|
|
|
Hmmm, muss eigentlich die Einwillig immer ausdrücklich schriftlich erfolgen?
Beispiel bei meinem Umzug:
Mir wurden per Post mit meinen Unterlagen zusätzlich Namensschilder für Klingel und Briefkasten mitgeschickt. (Vermutlich aus DSGVO Gründen).
Der Wohnungsbetreuer der die Übergabe mit mir gemacht hat, hat mir dann gesagt, dass er eben den ganzen Komplex hier betreut und sich freuen würde, wenn er seine Schilder anbringen könnte, damit das alles einheitlich ist.
Weniger Arbeit für mich, und es ist ja wirklich schöner wenns einheitlich ist. Ich habe also mündlich zugestimmt, und er hat die in meiner Anwesenheit ausgetauscht.
Hat er das jetzt quasi trotzdem zu unrecht gemacht, oder geht aus meinem Arbeitsauftrag hervor, dass ich damit einverstanden bin und damit ist es okay?
Disclaimer: ich werde meinen Hausbetreuer natürlich anzeigen, weil der ist super cool, und sehr hilfsbereit 
|
|
|
|
|
|
|
|
|
|
|
Rheinland Pfalz sagt dazu:
Formerfordernisse
Es wird zukünftig unter der Datenschutz-Grundverordnung – anders als bisher – auch nicht mehr erforderlich sein, dass die Einwilligung in aller Regel schriftlich erfolgt. Vielmehr ist diese grundsätzlich formfrei möglich. Ausreichend ist eine eindeutige bestätigende Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Erforderlich ist allerdings nach der Datenschutz-Grundverordnung, dass die verantwortliche Stelle die Einwilligung nachweisen kann. Deshalb wird sich auch zukünftig eine schriftliche Einwilligung anbieten.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von xargi
Weniger Arbeit für mich, und es ist ja wirklich schöner wenns einheitlich ist. Ich habe also mündlich zugestimmt, und er hat die in meiner Anwesenheit ausgetauscht.
Hat er das jetzt quasi trotzdem zu unrecht gemacht, oder geht aus meinem Arbeitsauftrag hervor, dass ich damit einverstanden bin und damit ist es okay?
| |
Eh, du hast ihm gesagt er soll das machen und standest daneben und hast ihn machen lassen (=konkludente Handlung: finde ich ok). Rechtlich ist das doch ziemlich klar. Die spannendere Frage ist natürlich, ob der Nachweis erfolgen kann, wenn du ein herumklagendes Arschloch wärst. Vermutung: Vor Gericht und auf hoher See...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Sowas würde der nicht machen. Der ist zu beschäftigt mit seinem Feldzug gegen den Straßenverkehr.
|
|
|
|
|
|
|
|
|
|
| | DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen
Wie die portugiesische Tageszeitung erläutert, hat der Krankenhausbetreiber laut Datenschutzaufsicht "bewusst" dafür gesorgt, dass Nutzer mit dem Profil "Techniker" in den IT-Systemen auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein dürfen. Das sei bei einem Test ermittelt worden, in dessen Rahmen solch ein Profil mit unbegrenztem Zugang erstellt werden konnte.
Darüber hinaus seien in dem System insgesamt 985 aktive Benutzer mit einem Profil "Arzt" registriert, obwohl 2018 lediglich 296 Ärzte eingeteilt worden seien. Das Krankenhaus habe die Diskrepanz mit temporären Profilen im Rahmen eines Dienstleistungsvertrags zu erklären versucht. | |
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html
|
|
|
|
|
|
|
|
|
|
|
Mal eine spannende Frage: Wie müssen Handelsvertreter gehandhabt werden?
Ich würde es wie folgt interpretieren:
1. Der Dritte (Handelsvertreter) verarbeitet für Sie personenbezogene Daten (z.B. Aktiver Eintrag im CRM) => Auftragsverarbeiter, AV Vertrag nötig.
2. Der Dritte erbringt Leistungen für Sie (z.B. Schulungen & Beratungsmaßnahmen) und kommt mit personenbezogenen Daten lediglich in Kontakt z.B. durch Adresslisten, dann sollte eine allgemeine Verpflichtungserklärung ausreichend sein.
|
|
|
|
|
|
|
|
|
|
|
Der Unmut über die DSGVO fußt auf Falschinformationen
| | | Im Übrigen gilt die Verordnung ausdrücklich nur für die �automatisierte Verarbeitung� personenbezogener Daten und ist damit nach Auskunft von Datenschutzbeauftragten auf Klingelschilder gar nicht anwendbar. | |
Aber Art 2 dsgvo so:
| | | Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen | |
.
Ist der Autor (Der Autor ist Vorsitzender des Ausschusses für Digitale Agenda und Mitglied im Innenausschuss des Deutschen Bundestages) also total Dumm oder versteh ich was falsch?
|
|
|
|
|
|
|
|
|
|
|
|
Ich glaube der Begriff im Bericht ist einfach falsch. Qualitätsjournalismus halt.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Noch_ein_Kamel
Der Unmut über die DSGVO fußt auf Falschinformationen
| | | Im Übrigen gilt die Verordnung ausdrücklich nur für die automatisierte Verarbeitung personenbezogener Daten und ist damit nach Auskunft von Datenschutzbeauftragten auf Klingelschilder gar nicht anwendbar. | |
Aber Art 2 dsgvo so:
| | | Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen | |
.
Ist der Autor (Der Autor ist Vorsitzender des Ausschusses für Digitale Agenda und Mitglied im Innenausschuss des Deutschen Bundestages) also total Dumm oder versteh ich was falsch?
| |
Klingelschilder sind jetzt kein mir bekanntes Dateisystem.
Der Typ meint vermutlich digitalisiert/dateibasiert, gleichgesetzt mit "automatisiert".
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von krak0s am 03.12.2018 8:23]
|
|
|
|
|
|
|
|
|
Na Klasse, Chef meint so einen tollen Weihnachtsnewsletter rausballern zu müssen, schon kommt von irgendnem Typen mit dem es 2016 mal Ärger gab prompt ne Auskunftsanfrage zurück 
Warum speichern wir seine Daten? - Es gab mal eine Geschäftsbeziehung, das ist klar.
Wer besitzt Zugriff auf seine Daten - Natürlich nur sein Ansprechpartner im Betrieb
Löschung will er haben - kein Problem
Eine von ihm unterzeichnete Einverständniserklärung will er sehen - hamwa natürlich nicht weil es das 2016 noch nicht gab, würde ich ihm so sagen, aber ist das DSGVO konform?
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von da t0bi am 04.12.2018 13:02]
|
|
|
|
|
|
|
|
|
Viele Unternehmen haben mit dem 25.05.2018 eine Mailbestätigung angefordert, dass personenbezogene Daten weiterhin genutzt werden dürfen.
Zur Not kann man argumentieren, dass es wegen einer Geschäftsbeziehung die kürzlich noch bestanden hat eine Aufbewahrungspflicht gibt.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von [nAc]Unicron am 04.12.2018 13:26]
|
|
|
|
|
|
|
|
|
|
Danke, irgendwie so werde ich versuchen zu argumentieren. Der hat wohl noch ne Rechnung offen und nutzt das jetzt natürlich aus. Kam auch keiner auf die Idee bei nem Kontakt mit dem man Sich zerstritten hat im System den Mailstopp zu setzen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von da t0bi am 04.12.2018 13:33]
|
|
|
|
|
|
|
|
|
Wenns ein Kunde ist/war würde ich beim Versand erst mal Versuchen mit berechtigtem Interesse für den Versand zu argumentieren. Gerade wenn es eine einmalige Weihnachtsgeschichte ist.
Ansonsten hätte sich der Chef da auch ruhig eher Gedanken machen können. Was sagt denn euer DSB?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von mavchen
Was sagt denn euer DSB?
| |
Teile dieser Antwort könnten Datenschutzspezis beunruhigen 
/E: Dat kriegt der Kollege jetzt:
| |
| Code: |
Betr.: Antwort auf Auskunftsverlangen gemäß Art. 15 DS-GVO
Sehr geehrte/r Herr/Frau [Name]
wir bedanken uns für Ihre Anfrage vom [XX.XX.XXXX ]
Hiermit bestätigen wir Ihnen, dass wir Sie betreffende personenbezogene Daten verarbeiten. Nachfolgend erteilen wir Ihnen Auskunft über diese personenbezogenen Daten:
Name Anschrift Emailadresse
Wir verarbeiten folgende Kategorien personenbezogener Daten:
☑ Lieferanten
Wir verarbeiten die Daten zu folgenden Zwecken:
Aufbewahrungspflicht nach HGB
Unsere geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer lauten wie folgt:
Nach § 257 Abs. 1 Nr. 2 und 3 HGB - 6 Jahre
Wir haben wunschgemäß Ihre personenbezogenen Daten gelöscht.
Die Quelle der Daten ist folgende:
Geschäftsbeziehung - berechtigtes Interesse
Sie haben folgende Rechte: Recht auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, Recht auf Einschränkung der Verarbeitung durch den Verantwortlichen, Recht auf Widerspruch gegen die Verarbeitung (insb. bei der Verarbeitung von Daten für Zwecke der Werbung) sowie ein Recht auf Beschwerde bei einer Aufsichtsbehörde bei einer unrechtmäßigen Datenverarbeitung.
Wir hoffen, dass wir Ihnen mit dieser Auskunft weiterhelfen konnten.
Mit freundlichen Grüßen
Unterschrift Verantwortlicher |
|
Und natürlich noch dass wir seine Daten löschen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von da t0bi am 04.12.2018 16:23]
|
|
|
|
|
|
|
|
|
Hallo liebe Datenschützer,
ich bin jetzt ja schon seit einigen Monaten betrieblicher Datenschutzbeauftragter, aber es interessiert die Geschäftsleitung bisher nahezu garnicht. Ich soll meinen Aufgaben als Datenschutzbeauftragter neben meinen normalen Aufgaben nachkommen, bekomme dazu aber keine Zeit. Eine ausführliche E-Mail an die Geschäftsleitung mit allen wichtigen umzusetzenden Punkten wurde ignoriert. Ich frage mich jetzt, ob ich als Datenschutzbeauftragter die Pflicht habe, diese Punkte auch ohne Anweisung der Geschäftsführung umzusetzen. Ich würde dann einfach meine normale Arbeit liegen lassen. Was bedeutet in diesem Zusammenhang, der Datenschutzbeauftragte ist weisungsfrei, laut DSGVO? Soll ich einfach alles so weiterlaufen lassen, in der Hoffnung, es wird schon nichts passieren, und für den Fall dass doch, bin ich auf der sicheren Seite, weil die Geschäftsführung mir keinen Auftrag/keine Zeit gegeben hat? Oder muss ich mir selbst die Zeit nehmen, wissend, dass meine übliche Arbeit dadurch liegen bleibt und das zu Konflikten führen wird? Was tun?
Oder kurz und knapp auf den Punkt gebracht: Ist es als betrieblicher Datenschutzbeauftragter meine Pflicht, die DSGVO auch gegen den Willen der Geschäftsleitung umzusetzen?
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Jobo am 01.02.2019 13:15]
|
|
|
|
|
|
|
|
|
Wurdest du vernünftig zum DSB ausgebildet? Dann solltest du die Frage selbst beantworten können. Oder zumindest wissen wo es im Gesetz steht.
Wenn nicht, solltest du kein DSB sein.
Die Antwort auf deine Frage findest du in Art. 38 DSGVO
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von mavchen
Wurdest du vernünftig zum DSB ausgebildet? Dann solltest du die Frage selbst beantworten können. Oder zumindest wissen wo es im Gesetz steht.
Wenn nicht, solltest du kein DSB sein.
Die Antwort auf deine Frage findest du in Art. 38 DSGVO
| |
Hilft mir leider nicht wirklich weiter. Was genau meinst Du? Der Verantwortliche stellt dem DSB die Ressourcen (Zeit?) zur Verfügung. Super, aber was, wenn der Verantwortliche das eben nicht macht? Dann ist der Verantwortliche im Zweifelsfall der Schuldige und nicht ich, richtig? Ich müsste es nur nachweisen, dass ich die Ressourcen auf Anfrage nicht erhalten habe. Also regelmäßig auf die notwendigen Arbeiten hinweisen und den Schriftverkehr sichern, so würde ich es mir vorstellen.
Ich könnte mir die Zeit ja auch einfach nehmen, ich habe ja Kündigungsschutz. Allerdings würde das mit ziemlicher Sicherheit unangenehm werden. Ich sehe es halt irgendwie als meine Pflicht an, die Verordnung umzusetzen, egal was die Geschäftsleitung sagt. Wahrscheinlich mache ich mir da aber einfach zu große Sorgen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Jobo am 01.02.2019 18:45]
|
|
|
|
|
|
|
|
|
korrekt.
Ggf. auch Per Entscheidungsvorlagen Empfehlungen für DSGVO relevante Sachen ausschreiben wo der Chef entscheiden soll obs gemacht werden soll oder nicht.
so bist du raus, und er dran.
Trotzdem sollten alle diese themen in einer Erstschulung zum bDSB bereits erörtert worden sein.
Bist du bereits geschult worden?
/Dein Job ist auf die Missstände hinzuweisen, die umsetzung/anordnung obligt nur der Geschäftsführung (wenn nicht anders geregelt in deinem unternehmen).
Ebenfalls muss die dir zugesicherte Zeit für deine Aufgaben als bDSB in deiner Bestellung genannt werden (X Stunden/X % vom Arbeitstag/Woche/Monat).
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von -hi7.eM.hiGh- am 01.02.2019 18:48]
|
|
|
|
|
|
|
|
|
Ich bin IHK zertifizierter bDSB.
Mir ist nur nicht klar, wie dieses "weisungsfrei" zu interpretieren ist. Es könnte nach meinem Verständnis bedeuten, dass ich ohne Anweisung die DSGVO umzusetzen habe, und dafür auch besonderen Kündigungsschutz genieße. Der Nachweis, dass mir von der Geschäftsleitung keine Ressourcen zugeteilt werden, ist denke ich problematisch. Ich habe im Grunde genommen nur meine gesendete E-Mail, und keine Antwort darauf. Wie oft und wie eindringlich muss ich hinweisen? Allein das erzeugt im Unternehmen schon Spannungen. Ich hatte gehofft, dass hier vielleicht jemand das gleiche Problem hat. Möglicherweise gibt es ja schon Fälle, in denen ein Gericht entscheiden musste.
|
|
|
|
|
|
|
|
|
|
|
Ich glaube das weisungsfrei bezieht sich nur auf die fachliche Tätigkeit als Datenschutzbeauftragter; Als Arbeitnehmer mit mehreren Tätigkeiten bist du aber immer noch weisungsgebunden wann und in welchem Umfang du welche Tätigkeit ausführen musst.
Such sonst mal nach Weisungsfreiheit bei Sicherheitsbeauftragten, die gibts ja schon länger. https://www.dguv.de/fb-org/sachgebiete/sicherheitsbeauftragte/aufgaben/index.jsp
|
|
|
|
|
|
|
|
|
|
|
Ich bin kein DSB, habe aber mit der Thematik zu tun.
Wenn man kein Vollzeit DSB ist, dann ist man natürlich für seine täglichen Aufgaben an Weisungen gebunden, sofern diese nicht die Aufgaben des DSB beeinträchtigen. Die Aufgaben des DSB im Sinne des Unternehmens zu handeln beschränkt sich sicherlich nicht nur auf das Melden an die Geschäftsleitung, sondern in der Ausarbeitung eines Konzeptes, z.B. im Umgang mit Software, Aufzeigen von Schwachstellen und Maßnahmen diese zu schließen, Bereitstellung von AVV Standard Dokumenten, welche Vertrieb und Einkauf zu schließen haben. Dies alles nett in PP aufbereitet. Letztlich ist es ein Entscheidung der Geschäftsleitung ob sie das unternehmerische Risiko auf sich nehmen wollen. Wichtig ist, dass man an Maßnahmen umsetzt was umsetzbar ist.
|
|
|
|
|
|
|
|
| Thema: Der DSGVO-Thread ( von Verzeichnissen für Verarbeitungstätigkeiten... ) |
