Wann wird in Zypern ein Datenschutzbeauftragter benötigt?
Die Aufsichtsbehörde von Zypern hat die gesetzliche Ermächtigung mittels Verordnung diejenigen Verarbeitungstätigkeiten festzulegen, für die eine Bestellpflicht nach Art 37 Abs 1 DSGVO besteht. Eine Liste dürfte derzeit noch nicht veröffentlicht worden sein.
When does an organisation need to appoint a Data Protection Officer (DPO) in Cyprus?
The supervisory authority of Cyprus shall have the statutory authority to determine by ordinance those processing activities for which there is an obligation to order pursuant to Art. 37 (1) GDPR. It is unlikely that a list has yet been published.
When does an organisation need to appoint a Data Protection Officer (DPO) in Spain?
In Spain, the law defines the types of organisations that must appoint a data protection officer, whether they are acting as controllers or processors:
a) professional associations and their general councils
b) educational establishments providing education at one of the levels laid down in the education laws, as well as public and private universities
c) organisations operating networks and providing electronic communications services within the meaning of the law when they routinely and systematically process personal data on a large scale
d) information society service providers who profile users on a large scale
e) financial institutions, pursuant to Article 1 of Law 10/2014 of 26 June
f) financial institutions
g) insurance and reinsurance companies
h) investment service providers subject to financial market legislation
i) energy suppliers and marketers of electrical energy as well as energy suppliers and marketers of natural gas
j) entities processing common data for the purpose of assessing the financial situation or creditworthiness or combating fraud, including those responsible for processing data for the purpose of combating money laundering and terrorist financing under related legislation
k) companies which carry out advertising campaigns or commercial research, including commercial and market research, if they carry out processing operations based on the preferences of the parties concerned or carry out activities involving the creation of their profiles
l) health centres that are legally obliged to keep patient files. Exceptions are health professionals, who are legally obliged to keep patient files, but who carry out their activities as individuals.
m) companies whose object is the publication of annual reports which may relate to natural persons
n) gambling operators operating on electronic, computerised, telematic and interactive channels
o) private security companies
p) sports federations, if these process data of minors
Wann wird in Spanien ein Datenschutzbeauftragter benötigt?
In Spanien ist gesetzlich festgelegt, welche Arten von Organisationen einen Datenschutzbeauftragten bestellen müssen – unabhängig davon, ob sie als Verantwortlicher oder Auftragsverarbeiter fungieren:
a) Berufsverbände und ihre Generalräte
b) Bildungseinrichtungen, die Unterricht auf einer der in den Bildungsgesetzen festgelegten Niveaus anbieten, sowie öffentliche und private Universitäten
c) Organisationen, die Netze betreiben und elektronische Kommunikationsdienste im Sinne des Gesetzes erbringen, wenn sie routinemäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten
d) Anbieter von Diensten der Informationsgesellschaft, die in großem Umfang Profile von Nutzern erstellen
e) Finanzinstitute, gem. Artikel 1 des Gesetzes 10/2014 vom 26. Juni
f) Kreditinstitute
g) Versicherungs- und Rückversicherungsunternehmen
h) Wertpapierdienstleistungsunternehmen, die der Finanzmarktgesetzgebung unterliegen
i) Energieversorger und Vermarkter von elektrischer Energie sowie Energieversorger und Vermarkter von Erdgas
j) Stellen, die gemeinsame Daten zur Beurteilung der Vermögenssituation oder Bonität oder zur Betrugsbekämpfung verarbeiten, einschließlich der Verantwortlichen, die Daten zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung aufgrund diesbezüglicher Rechtsvorschriften verarbeiten
k) Unternehmen, die Werbekampagnen durchführen oder Forschung im Bereich Handel, einschließlich Handels- und Marktforschung, durchführen, wenn sie Verarbeitungen durchführen, die auf den Präferenzen der betroffenen Parteien beruhen, oder Tätigkeiten ausüben, die die Erstellung ihrer Profile beinhalten
l) Gesundheitszentren, die gesetzlich verpflichtet sind, die Patientenakten zu führen. Ausgenommen sind Angehörige der Gesundheitsberufe, die zwar gesetzlich verpflichtet sind, die Patientenakten zu führen, ihre Tätigkeit aber als Einzelperson ausüben
m) Unternehmen, die die Veröffentlichung von Geschäftsberichten zum Unternehmensgegenstand haben, die sich auf natürliche Personen beziehen können
n) Glückspielbetreiber, die auf elektronischen, computergestützten, telematischen und interaktiven Kanälen tätig sind
m) private Sicherheitsunternehmen
o) Sportverbände, wenn diese Daten von Minderjährigen verarbeiten
When does an organisation need to appoint a Data Protection Officer (DPO) in Belgium?
Any non-public organisation which processes personal data on behalf of a federal authority or to which personal data have been transferred by a federal authority must appoint a data protection officer, provided that the processing of such data may involve a high risk (see Article 35).
Wann wird in Belgien ein Datenschutzbeauftragter benötigt?
Jede nicht-öffentliche Stelle, die eine Verarbeitung personenbezogener Daten im Auftrag einer Bundesbehörde durchführt bzw. an welche personenbezogene Daten von einer Bundesbehörde übertragen wurden, muss einen Datenschutzbeauftragten einstellen, sofern die Verarbeitung dieser Daten ein hohes Risiko (siehe Artikel 35) mit sich bringen kann.
Wann wird in Belgien ein Datenschutzbeauftragter benötigt?
Jede nicht-öffentliche Stelle, die eine Verarbeitung personenbezogener Daten im Auftrag einer Bundesbehörde durchführt bzw. an welche personenbezogene Daten von einer Bundesbehörde übertragen wurden, muss einen Datenschutzbeauftragten einstellen, sofern die Verarbeitung dieser Daten ein hohes Risiko (siehe Artikel 35) mit sich bringen kann.
In what languages is easyGDPR available?
Currently you can use easyGDPR in German and in English. When creating the assessment for your organisation, you can choose the German version or the English version. Here you are able to choose in what language the questions and answers in the questionnaires are going to be. Additionally, you can also choose the language in your assessment. Here you can choose the language for the user interface. Once you have chosen a version, you cannot change the language for the questions and answers again.
Who needs easyGDPR?
Every organisation (company, association, authority) that is saving, processing or using personal data in any other way must be able to guarantee the protection of this personal data. Regardless of whether this is about a small or large firm. easyGDPR helps you with the implementation of the GDPR in any case.
Do you assume liability or warranty for customers?
No. We do not assume liability for our customers. We are providing a tool for you whereby you can easily implement the GDPR. There is no guarantee that you won’t have to pay a fine with the use of easyGDPR or any other tool. Because nobody can guarantee you that.
Our organisation has got fewer than 50 employees, do I still have to use easyGDPR?
Yes. If your organisation is affected by the GDPR or not, is not dependent on the size of your organisation. As soon as your organisation is processing personal data, you need easyGDPR. You can find more information at Am I affected by the GDPR?.
How is this software going to help me after May 25th?
Up to May 25th, 2018 your organisation had to be GDPR compliant. However, your work is not done with just that, you can always get requests from data subjects who demand their right of access. You have to answer these requests correctly and also within one month. Especially these requests can take up a lot of time and occasion costs for large firms. easyGDPR is also able to support you with the automation of data subject requests with the Enterprise version. There can also be new data processers for whom you will have to create the appropriate contracts so that the processing is GDPR compliant. You can find more information about this topic at our [geot exclude_country=”GB, HK, TW, MO”]standard version[/geot][geot country=”GB, HK, TW, MO”]corporate version[/geot].
How can I reduce possible fines with easyGDPR?
You can absolutely reduce possible fines with easyGDPR. Of course, just using our software is not a guarantee that you will never be fined, but the regulatory authority will see that you at least attempted to fulfil the GDPR. You trying to fulfil the GDPR can make a huge difference if you will face mild or severe penalty. If you do not conform to the principles relating to personal data processing, a software alone is not going to help you avoid being fined.
I’m not a GDPR expert, how can I still use easyGDPR?
You can easily define your processing activities with our questionnaires and our tool creates the appropriate Record of Processing Activities (ROPA) for you. All other features of easyGDPR are built like this, regardless of whether you want to create contracts concerning data processors for your data processors or if you simply want to document your data breaches. You just have to fill out our questionnaires and easyGDPR generates the appropriate documents which you can easily print and present to the ICO if requested.
Do you also support large firms?
Yes, we also support large firms with our [geot exclude_country=”GB, HK, TW, MO”]Standard[/geot][geot country=”GB, HK, TW, MO”]Corporate[/geot] and Enterprise versions. You can find more information of the contents of the products here.
What if I need more than one user?
If you should need more than one user, just contact us.
Is there any other expense after buying one of these products?
No. You are getting a licence for using easyGDPR for 12 months after buying one of our products. You do not have to pay for the installation or maintenance.
Schaffe ich die Umsetzung mit easyGDPR tatsächlich selbst?
Ja. Mithilfe von einfachen Fragebögen können Sie Ihre Verarbeitungsverzeichnis, das Sie bei Kontrollen durch die Aufsichtsbehörde einfach vorlegen können, erstellen. Sie können durch unser Tool auch feststellen, welche technischen und organisatorischen Maßnahmen Sie in Ihrem Unternehmen umsetzen sollten, um DSGVO konform zu sein. Die Fragen sind so aufgebaut, dass Sie diese auch ohne das Studieren des DSGVO Gesetzestextes beantworten können.
Sollten dennoch Fragen offen bleiben, stehen Ihnen unsere Experten gerne zur Verfügung. Kontaktieren Sie uns einfach.
Woher weiß ich welche Version von easyGDPR für mich geeignet ist?
Unsere Lite Version ist ideal für Kleinunternehmen und hilft u.a. die essentielle Dokumentation (zB Verarbeitungsverzeichnis) zu erstellen. Die Standard Version ist für KMUs und große Unternehmen, mit nur einem Standort geeignet und hilft dabei laufend alle notwendigen Tätigkeiten durchzuführen. Die Enterprise Version hilft mittleren und großen Unternehmen mit mehr als einem Standort, die viele Betroffenenanfragen bekommen oder die komplexe Aufgaben beim Management der personenbezogenen Daten haben. Sollten Sie einen übersichtlichen Überblick über die verschiedenen Versionen brauchen, hilft Ihnen vielleicht unser Versionsvergleich.
Wie sieht der Ablauf nach der Bestellung des Produkts aus?
Bei Bezahlung mit Kreditkarte wird Ihnen die Rechnung und auch der Lizenz Key sofort zugeschickt. Diesen müssen Sie dann nur noch bei unserem easyGDPR Online Assistenten unter dem Menüpunkt “Lizenz” eingeben und schon können Sie loslegen. Bei Bezahlung durch Überweisung oder Direktüberweisung bekommen Sie von uns eine Auftragsbestätigung. Nachdem Ihre Zahlung bei uns eingegangen ist, schicken wir Ihnen Ihre Rechnung und auch den Lizenz Key, damit Sie easyGDPR sofort benutzen können. Sollten Sie Probleme bei der Einspielung der Lizenz haben, kontaktieren Sie uns einfach. Wir helfen Ihnen gerne.
Ich habe schon einen Datenschutzbeauftragten, warum brauche ich easyGDPR?
Es ist sehr gut, dass Sie bereits einen Datenschutzbeauftragten (DSBA) ernennt haben. Es geht uns auch gar nicht darum, Ihren DSBA zu ersetzen. Wir bieten Ihnen mit easyGDPR ein Tool an, das Ihrem DSBA bei der Erledigung seiner Aufgaben, zB dem richtigen Umgang mit Betroffenenanfragen, unterstützt.
Bietet easyGDPR Beratungsleistungen oder eine Prüfung der Dokumentation an?
Ja. Wir bieten Beratungsstunden bei uns vor Ort in Stetten, in der Nähe von Wien und auch eine Online-Beratung mit unseren DSGVO Experten an. Nähere Informationen darüber, in welchen Bereichen wir Sie unterstützen können, finden Sie bei unserer easyGDPR Beratung. Kontaktieren Sie uns einfach für eine Terminvereinbarung.
Muss ich easyGDPR nur einmal nutzen?
Nein. Viele denken, dass die Umsetzung der DSGVO eine einmalige Angelegenheit ist. Jedoch besagt die DSGVO, dass Sie Anfragen von Kunden über die Auskunft ihrer Daten beantworten müssen und dies ist keine einmalige Sache, sondern kann immer wieder vorkommen. easyGDPR hilft Ihnen bei der richtigen Beantwortung von Auskunfts- und Löschanfragen.
Zusätzlich kann es auch vorkommen, dass Sie einen neuen Auftragsverarbeiter beschäftigten und mit easyGDPR können Sie dann ganz einfach einen Vertrag über die jeweilige betroffenen Verarbeitung erstellen. Es muss auch regelmäßig geprüft werden, ob die passenden technischen und organisatorischen Maßnahmen gesetzt worden sind und falls sich ein Risiko für die betroffenen Personen ergibt, müssen Sie außerdem auch eine Datenschutzfolgenabschätzung für diese Verarbeitung erstellen und evtl. die betroffenen Personen und die Datenschutzbehörde darüber informieren.
Falls Sie sich nicht sicher sind, wie Sie mit Betroffenenanfragen am besten umgehen oder nicht wissen, wann eine Datenschutzverletzung zu melden ist und in welchen Fällen dies nicht notwendig ist – mit easyGDPR Standard sind Sie auf all diese Vorkommnisse vorbereitet und können richtig auf diese reagieren.
Sind Ihre Preise in Euro?
Ja. Alle unsere Preise sind in Euro und exklusive Umsatzsteuer.
Was bekomme ich mit dem Kauf von easyGDPR Lite, Standard und Enterprise?
Einen ausführlichen Überblick darüber, was Sie alles beim Kauf eines unserer easyGDPR Produkte bekommen, können Sie bei unserem Versionsvergleich finden.
Welche Themen werden bei easyGDPR behandelt?
- Risiko Status
- Dokumentation (zB Verarbeitungsverzeichnis)
- Datenschutzaufgaben
- Betroffenenanfragen
- Datenschutzverletzungen
- Training der Mitarbeiter
- Cybersicherheit
- Gefahrenerkennung
Wie lange kann ich die Lizenz verwenden?
Unsere Lizenz ist für 12 Monate gültig. Die Lizenz verlängert sich automatisch um weitere 12 Monate, sofern Sie nicht drei Monate vor Lizenzablauf kündigen.
Gibt es eine Mindestvertragslaufzeit?
Unsere Mindestvertragslaufzeit beträgt 12 Monate. Wenn Sie nicht fristgerecht kündigen, verlängert sich die Lizenz automatisch um ein weiteres Jahr. Eine Kündigung muss drei Monate vor Ablauf der Lizenz bei uns einlangen.
In welchen Sprachen ist easyGDPR verfügbar?
Sie können easyGDPR derzeit in Deutsch und in Englisch nutzen. Bei der Definierung des Assessments für Ihr Unternehmen, können Sie sich für die deutsche oder englische Version entscheiden. Hier wählen Sie, in welcher Sprache die Fragen und Antworten in den Fragebögen angezeigt werden. Außerdem können Sie auch beim Arbeiten im Assessment selbst die Sprache auswählen. Hier wählen Sie aus in welcher Sprache Ihnen die Benutzeroberfläche des Tools anzeigt wird. Die Sprache der Fragen und Antworten können Sie im Nachhinein nicht mehr ändern.
Übernehmen Sie die Haftung oder eine Garantie für Kunden?
Nein, wir übernehmen keine Haftung für unsere Kunden. Wir stellen Ihnen ein Tool zur Verfügung mit dessen Hilfe Sie die DSGVO ganz einfach umsetzen können. Es gibt aber keine Garantie dafür, dass Sie mit easyGDPR oder mit einem anderen Tool keine Geldbußen bezahlen müssen, denn das kann Ihnen niemand garantieren.
Wer braucht easyGDPR?
Jede Organisation (Firma, Verein, Behörde), die personenbezogene Daten speichert, verarbeitet oder auf eine andere Art verwendet, muss den Schutz dieser personenbezogenen Daten garantieren können. Egal ob es sich hierbei um ein riesiges oder um ein kleines Unternehmen handelt. easyGDPR hilft Ihnen in jedem Fall bei der Umsetzung.
Ich habe weniger als 50 Mitarbeiter, muss ich easyGDPR trotzdem verwenden?
Ja. Ob Sie von der DSGVO betroffen sind oder nicht, hängt nicht von der Größe Ihres Unternehmens oder von der Anzahl Ihrer Mitarbeiter ab. Sobald Ihr Unternehmen personenbezogene Daten verarbeitet, brauchen Sie easyGDPR. Weiter Informationen können Sie bei “Bin ich von der DSGVO betroffen?” finden.
Wie wird mir die Software nach dem 25. Mai überhaupt noch helfen?
Bis zum 25. Mai 2018 musste Ihr Unternehmen DSGVO konform sein. Jedoch ist es damit noch nicht getan, es können immer wieder Anfragen von Kunden kommen, die um Auskunft über ihre Daten bitten und Sie müssen auf diese immer eingehen und auch richtig beantworten können. Gerade diese Anfragen können bei größeren Unternehmen viel Zeit und auch Kosten in Anspruch nehmen. easyGDPR kann Sie auch bei der Automatisierung von Auskunfts- und Löschanfragen unterstützen mit der easyGDPR Enterprise Version. Es können sich auch immer neue Auftragsverarbeiter ergeben, für diese Sie dann die entsprechenden Verträge erstellen müssen, damit die Verarbeitung DSGVO konform ist. Nähere Informationen darüber können Sie bei unserer Standard Version finden.
Wie kann ich mithilfe von easyGDPR meine möglichen Bußgelder reduzieren?
Sie können mit easyGDPR auf jeden Fall mögliche Bußgelder reduzieren. Die reine Nutzung unserer Software ist natürlich keine Garantie dafür, dass Sie nicht bestraft werden können, aber die Aufsichtsbehörde sieht, dass Sie sich zumindest bemüht haben die DSGVO zu erfüllen. Genau dieses Bemühen kann einen großen Unterschied bei der Höhe des Strafmaßes machen. Wenn Sie sich jedoch zB nicht an die Grundsätze für die Verarbeitung personenbezogenen Daten halten, wird Ihnen eine Software alleine nicht helfen können.
Ich bin kein DSGVO Spezialist, wie kann ich easyGDPR nutzen?
Mit unseren Fragebögen können Sie u.a. ganz einfach Ihre Verarbeitungen definieren und unser Tool erstellt für Sie das entsprechende Verarbeitungsverzeichnis. Auch alle anderen Features sind nach diesem Schema aufgebaut, egal ob Sie einen Auftragsverarbeitervertrag für einen Auftragsverarbeiter oder Ihre Datenschutzverletzungen dokumentieren wollen. Sie brauchen nur unsere Fragebögen ausfüllen und easyGDPR erstellt für Sie die passenden Dokumente, die Sie ganz einfach ausdrucken und bei Kontrollen der Datenschutzbehörde vorlegen können.
Unterstützen Sie auch große Unternehmen?
Ja, wir unterstützen auch größere Unternehmen mit unseren Standard und Enterprise Versionen. Nähere Informationen zu den Inhalten können Sie bei unserem Versionsvergleich finden.
Was ist, wenn ich mehr als einen User benötige?
Sollten Sie mehr als einen User benötigen, kontaktieren Sie uns einfach.
Entstehen nach dem Kauf noch weitere Kosten?
Nein. Beim Kauf eines unserer easyGDPR Produkte erhalten Sie die Lizenz für 12 Monate und müssen auch keine sonstigen Kosten, wie zB für die Einrichtung oder für die Installation tragen.
What do I have to consider regarding personnel management?
As soon as you have one employee you will have a personal file about them and you will process the data of your employee as part of the personnel accounting. Due to this processing of data also your employees come under the GDPR.
What you should also keep in mind is that you are not only going to process normal personal data of your employees but also so-called special categories of personal data, like e.g. the religious affiliation of your staff to give your employees days off because of holidays or the trade union membership of your employees, cf. Article 9.
Besides, these special categories of personal data merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms, e.g. the publication of the religious affiliation could lead to disadvantages or bullying of one employee.
What exactly does GDPR mean and what types of organisations are affected by it?
The GDPR contains regulations for the protection of natural persons when processing personal data. The GDPR is in force since May 25th, 2018 and applies therefore to all organisations that are based in Europe or that are offering products and/or services to customers in Europe.
However, it does not only apply to organisations but also to businesses, authorities, clubs and individuals that are processing personal data outside of the private or domestic sphere.
The heart of the GDPR are the principles relating to personal data processing mentioned in Article 5, e.g. data minimisation or storage limitation.
Are there any technical or organisational measures that I have to fulfil?
The GDPR demands appropriate measures and also measures, that are state of the art. At the same time it is not prescribed what exactly has to be done, cf. Article 25 GDPR.
Appropriate here means that you need an up-to-date firewall, an up-to-date virus scanner and malware protection. You should also encrypt your data by default and test your fallback system on a regular basis to be able to recover backups in an emergency. Introducing a password policy (crucial here is the length!) and the establishment of different users and passwords for different areas are important contributions for data protection.
What do I have to do in case of a data breach?
Immediately after noticing a personal data breach, you have to inform the data protection authority within 72 hours, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. You then have to demonstrate the technical and organisational measures that are in place to reduce this incident.
The incidents have to be minuted in any case.
Take note: Even the loss of a mobile phone or an USB memory stick with addresses on it is a data breach and has to be reported.
Latest example: A lost USB memory stick has caused the Heathrow Airport in London a financial penalty of 120.000 GBP.
What exactly is a Record of Processing Activities (ROPA) and do I need one?
The GDPR requires you to have a record of processing activities, see Article 30 GDPR. On demand of the authority the data controller or the data processor provides the record of processing activities.
In the ROPA you have to list every single processing, the ROPA describes the exact usage of the data, the technical and organisational measures, that you have in place for the protection of the data, it shows you who is affected by a processing and it also shows you the recipient of a processing and possible data processors are also listed there. A fundamental risk analysis should also be included in a ROPA.
If you write a Record of Processing Activities (ROPA) without help, it will takes you many hours. A more easy way is to use easyGDPR. This powerful online-tool reduces the effort to a minimum. You do not need any previous knowledge to achieve a complete ROPA. All functionality is already included in easyGDPR lite version.
Buy your version of easyGDPR right now!
What does personal data mean?
Personal data means any information relating to an identified or identifiable natural person. As soon as you can directly or indirectly identify a natural person based on data like e.g. names, location data, customer IDs etc., this data is considered as personal data – Article 4 GDPR.
What repercussions does the GDPR have on my organisation?
That depends completely on your company. Many organisations surely have to make additional safety arrangements regarding the software and hardware, in other organisations these safety arrangements are possibly already in place and there is only little left to do. However, data protection should definitely be taken seriously. Since the GDPR has come into force there have been bigger repercussions if you are simply ignoring data protection. It seems that penalties imposed for SME were already up to 500 – 5.000 EUR. You can find more information about the risks for noncompliance of the GDPR here.
The GDPR demands also a data protection by default and by design, that means that suitable technical and organisational measures have to be taken to fulfil the GDPR principles and to protect data subjects.
The GDPR is also an opportunity for many organisations to minimise existing risks and to position yourself as a reliable partner on the market who takes data protection seriously.
What kind of risk am I taking, if I don’t adhere to the GDPR?
If you do not adhere to the GDPR, damage from the following areas can occur:
- Damage from evitable data loss,
- Penalties from the authority (appropriate and effective, up to €20m or 4% of your organisation’s annual global turnover),
- Indemnity claims from data subjects (also the lawyer’s fee for the enforcement),
- Reputational damage for the organisation if a data breach becomes apparent and
- Damage from the wrong response of not or badly trained staff.
In the organisations that we have been advising, there have been consistently procedures that made a data loss likely. In many cases this data loss would have caused this organisation’s ruin – completely without GDPR. The implementation of the GDPR is an opportunity to minimise risks and to achieve a better employee safety with manageable and often affordable measures.
Article 83 describes the general conditions for imposing administrative fines for the authorities. Taken measures to be GDPR compliant and minimising possible damages for the data subjects, will reduce possible penalties from the authority. It is explicitly demanded that penalties have to be operative.
There is no official information about vocalised penalties in Austria yet (November 2018) but it seems that the penalties imposed for SME were up to 500-5.000 EUR. Compared to that, the Heathrow Airport in the UK was penalised with 120.000 GBP because one employee has lost an USB memory stick with confidential information on it.
Under the GDPR the data subjects have a right to damages. Damages can also arise from a lawyer’s fee.
The awareness of the public for data protection has risen under the GDPR. Lacks in proper data protection have been reported in the media more often recently. The news about an organisation being sloppy with their data protection can be devastating for the reputation of the organisation. Just one employee that is not sensitised to data protection can cause extensive damage.
See 120.000 GBP damages for lost USB memory stick.
I am a small business owner and I am only issuing invoices, I don’t have a customer database, am I affected by the GDPR?
Yes, see “Am I affected by the GDPR?“.
Am I still affected by the GDPR if I am only saving names and email addresses?
Yes, see “Am I affected by the GDPR?”.
What kind of data do I have to send to the authority?
Basically, there is no need to send data to the authority. Not even your record of processing activities (ROPA) is automatically being transferred to the authority.
The regulating authority only demands that you document the processings of personal data and that you can provide that documentation for the authority on demand. The authority doesn’t find out any specific data (e.g. names or email addresses) thereby.
Only in certain cases the authority is going to ask for specific data, e.g. if somebody files a complaint, the authority is going to ask for data of that person so that the authority can verify the complaint.
What can the regulating authority demand of me?
The authority can demand access to all information that is necessary for the fulfilment of their tasks, can point out putatively offences against the GDPR and can also prohibit a certain kind of processing.
The authority can ask for access to your records and can perform data protection audits on site.
In doing so, the authority also checks if
- the data is being processed accordingly to its purpose and fairly,
- the safety measures are state of the art,
- the staff handles data protection questions correctly,
- there are processes for the deletion of no longer needed data,
- … .
I only have handwritten notes, does the GDPR still apply to me?
Yes. Even not automated, processed data is subject to the GDPR. Once you have sorted the data in one way or another, they are subject to the GDPR.
That means that the data subjects have the right of access. The files have to be secured appropriately and the data that is no longer needed has to be disposed of.
Appropriately means here that e.g. personnel files with the religious affiliation or the union membership should be locked.
I’ve only got a small-scale operation, do I have to implement the GDPR like a big one?
Yes. If the GDPR applies to you or not does not depend on the size of your organisation but rather if you are processing, saving or using personal data (e.g. names of your customers, telephone numbers or email addresses) in any way.
One-person-enterprises also have to adhere to the GDPR.
The risk for small-scale operations results from possible indemnity claims and penalties which arise from the wrong dealing with data subject requests and the documentation obligations from the GDPR.
Am I affected by the GDPR?
Only if you are using personal data exclusively in the private or domestic sphere, you are not affected by the GDPR.
The GDPR applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. (Article 2)
The GDPR applies to all businesses, organisations, authorities, clubs and individuals that are processing personal data (out of the private or domestic sphere). These businesses, organisations etc. are called data controllers.
The GDPR applies to data controllers in the EU and for all personal data that is being processed – this also includes persons that live outside of the EU.
The GDPR only applies to data controllers outside of the EU if these are offering goods or services to data subjects inside of the EU whether the data subjects have to make a payment, or they are observing the behaviour of data subjects so far as this behaviour happens inside of the EU.
Goods or services are being offered to persons inside of the EU if it is recognisable that persons inside of the EU ought to be reached. That can be done by prices in EUR, a website in a language especially spoken in the EU (like German or Czech) or by items which refer to an EU country.
An example: An US organisation that is selling online classes with no visible relation to the EU, is not subject to the GDPR – even if the online classes can be bought from inside the EU. If the organisation prices the classes also in EUR, then it is also subject to the GDPR.
Am I still allowed to send my customers birthday wishes?
Yes, but …
For sending out birthday wishes you need the date of birth of your customers.
If you are asking a new customer for their date of birth, you have to state that you want to use the date of birth for sending out birthday wishes. Additionally, asking for the date of birth at the time of order must not be absolutely necessary (if you don’t have other legal basis for the processing e.g. the regulation to save the date of birth for overnight stays).
Therewith you are getting a proper approval for the processing of new data.
You can also use the existing data for processings that can be expected by the data subject. If you sent out birthday wishes in the past it is legitimate to assume that the data subjects are expecting this kind of processing and you can continue to do so.
Make it easy for the data subjects to revoke the processing or to withdraw their consent.
If you have obtained the date of birth from a third source and there is no link to the data subject, the sending of birthday wishes is questionable from a data protection point of view.
If you have gotten the birthdays via social networks, you can use this information to send out birthday wishes within this social network.
A birthday that has been published to Facebook cannot automatically be used for institutional advertising. Where exactly you can draw the line is not yet brought to the supreme court. One could argue that the data on Facebook is public.
Am I still allowed to keep my acquisition data base?
Yes, but …
You can save data of potential customers/interested parties. But you have to document these processings in your Record of Processing Activities (and also in your privacy policy).
But under Article 14 you have to inform the data subject within 30 days, that you are processing their data and where you got that data from. This also includes data that you have gathered from public sources if that processing is not yet known to the data subjects.
The most effective way to attend to the information obligations is to contact new contacts within 30 days and to send individual emails. In this email you can refer to your privacy policy and the source of the data.
Additionally, you have to obey to the rules of the Telecommunications Act when contacting potential customers.
Furthermore, it has to be easy for the data subjects to object to this kind of processing.
When does an organisation need to appoint a Data Protection Officer (DPO)?
A DPO has to be appointed in any case where:
- the processing is carried out by a public authority or body, except for courts acting in their judicial capacity,
- the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale or
- the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10.
So, the appointment of a DPO is rarely mandatory in the UK, although you can always voluntarily appoint a DPO, even if you don’t need one.
Physicians don’t need a DPO because the work with medical data is not their core activity. Physicians communities and hospitals absolutely need a DPO.
Is WhatsApp GDPR Compliant
No and that is why WhatsApp should not be used in an organisation.
WhatsApp is a product of Facebook and Facebook is certified under the US-EU Privacy Shield. So theoretically transferring data to Facebook resp. WhatsApp would be permitted.
In their licensing conditions WhatsApp asks for permission to upload all saved telephone numbers and contacts from the mobile phone to Facebook/WhatsApp. Without this permission WhatsApp is not useable. The data is being used to identify familiar persons.
The problem here is that thereby the data from third parties is also transferred to Facebook, even though the third parties may disapprove of that. That can directly affect these persons because of the established connection from your and other address books, which is undesirable.
Another problem with WhatsApp is that the usage is almost inevitable in the private sphere (especially for groups in clubs, classes, …). Once you are using WhatsApp in private your business contacts will be transferred to Facebook as well.
Please notice, using WhatsApp is data processing according to GDPR. Therefore, you have to document this in the records of processing activities (ROPA). The simplest way to create your record is easyGDPR. Without a complete ROPA, you are risking high fines. Use easyGDPR Lite to create the Record of processing activites in a fast and easy way.
Buy your licence of easyGDPR right now!
Was muss ich bei der Personalverwaltung beachten?
Sobald Sie Mitarbeiter haben, werden Sie eine Personalakte über diese führen und die Daten von den Mitarbeitern im Zuge der Personalverrechnung verarbeiten. Durch diese Verarbeitung der Daten fallen auch Mitarbeiter unter die DSGVO.
Was hierbei noch zu beachten ist, dass Sie wahrscheinlich nicht nur “normale” personenbezogene Daten von Ihren Mitarbeitern verarbeiten werden, sondern auch sog. spezielle Kategorien von personenbezogenen Daten, wie zB die Religionszugehörigkeit Ihrer Mitarbeiter, um Ihnen an den verschiedenen Feiertagen freigeben zu können oder auch die Gewerkschaftszugehörigkeit, vgl. Artikel 9.
Diese speziellen Kategorien von personenbezogenen Daten verdienen außerdem einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können, zB kann es bei Veröffentlichung der Religionszugehörigkeit zu einer Benachteiligung oder zu Mobbing eines bestimmten Mitarbeiters führen.
Was ist die DSGVO überhaupt und welche Unternehmen betrifft sie?
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogener Daten. Die DSGVO ist seit dem 25. Mai 2018 in Kraft und ist somit für alle Unternehmen, die ihren Sitz in Europa haben oder Produkte und/oder Dienstleistungen an Kunden in Europa anbieten, gültig.
Jedoch sind nicht nur Unternehmen, sondern auch Organisationen, Behörden, Vereine und Einzelpersonen, die personenbezogene Daten außerhalb des familiären oder privatem Umfeld verarbeiten, betroffen.
Der Kern der DSGVO sind die in Artikel 5 genannten Grundsätze für die Verarbeitung von personenbezogenen Daten, wie zB der Grundsatz der Datenminimierung oder der Speicherbegrenzung.
Gibt es technische oder organisatorische Anforderungen, die ich erfüllen muss?
Die DSGVO verlangt angemessene Maßnahmen und auch Maßnahmen, die am Stand der Technik sind. Dabei wird aber nicht genau vorgeschrieben, was gemacht werden soll, vgl. Artikel 25 DSGVO.
Angemessen bedeutet hierbei jedoch, dass zumindest eine aktuelle Firewall, ein aktueller Virenscanner und Malware Protection benötigt werden. Auch die Verschlüsselung von Daten sollte zum Standard gehören. Sie sollten außerdem Ihr Sicherungssystem regelmäßig testen, um Sicherungen im Ernstfall wiederherstellen zu können. Die Einführung von Passwortregeln (die Länge ist hier entscheidend!) und auch die Festlegung von unterschiedlichen Benutzern und Passwörtern für verschiedene Bereiche sind wichtige Schritte für den Datenschutz.
Was ist im Falle einer Datenschutzverletzung zu tun?
Sobald Sie eine Verletzung des Schutzes personenbezogener Daten bemerken, müssen Sie innerhalb von 72 Stunden die Datenschutzbehörde informieren. Die Ausnahme hiervon ist, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Sie müssen dann nachweisen können, welche technischen und organisatorischen Maßnahmen Sie in Kraft haben, um diesen Vorfall zu mindern.
Die Vorfälle müssen in jedem Fall protokolliert werden.
Achtung: Auch der Verlust eines Mobiltelefons oder Memory Sticks mit Adressen ist eine Datenschutzverletzung und muss gemeldet werden.
Aktuelles Beispiel: Ein verlorener Memory Stick hat für den Flughafen Heathrow in London eine Strafzahlung von 120.000 GBP bewirkt.
Was genau ist das Verzeichnis von Verarbeitungstätigkeiten und brauche ich das?
Ein Verarbeitungsverzeichnis wird von der DSGVO vorgeschrieben, siehe Artikel 30 DSGVO. Auf Anfrage der Aufsichtsbehörde stellt der Verantwortliche oder der Auftragsverarbeiter das Verzeichnis zur Verfügung.
Im Verarbeitungsverzeichnis wird jede Verarbeitung von Ihnen aufgelistet, es beschreibt die genaue Nutzung der Daten, die Sie von Kunden haben, es beinhaltet die gesetzlichen Aufbewahrungsfristen für die Daten, die technischen und organisatorischen Maßnahmen, die Sie zum Schutz der Daten in Kraft haben, es wird gezeigt, wer von der Verarbeitung betroffen ist, wer Empfänger der Verarbeitung ist und auch eventuelle Auftragsverarbeiter werden dort aufgelistet. Auch eine grundlegende Risikoanalyse sollte im Verarbeitungsverzeichnis enthalten sein.
easyGDPR hilft Ihnen bei der Erstellung Ihres Verarbeitungsverzeichnisses.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare, natürliche Person beziehen. Sobald man Daten wie zB Namen, Standortdaten, Kundennummern usw. einer natürlichen Person direkt oder indirekt zuordnen kann, gelten diese Daten als personenbezogene Daten – Artikel 4 DSGVO.
Welche Auswirkungen hat die DSGVO auf mein Unternehmen?
Das hängt ganz alleine von Ihrem Unternehmen ab. Viele Unternehmen werden sicher zusätzliche Sicherheitsvorkehrungen in Bezug auf Software und Hardware treffen müssen, bei anderen Unternehmen sind diese Sicherheitsvorkehrungen vielleicht schon vorhanden und es muss nicht mehr allzu viel getan werden. Jedoch sollte der Datenschutz auf jeden Fall ernst genommen werden. Seit dem Inkrafttreten der DSGVO gibt es schon größere Konsequenzen, wenn man den Datenschutz einfach ignoriert. Bei eher “kleineren Vergehen” von KMUs wurden scheinbar schon Strafen von 500 – 5.000 EUR verhängt. Näheres zu den Risikos bei der Nichteinhaltung der DSGVO können Sie hier finden.
Die DSGVO fordert außerdem einen Datenschutz by default und by design, das bedeutet, dass geeignete technische und organisatorische Maßnahmen getroffen werden müssen, um die Grundsätze der DSGVO zu erfüllen und betroffene Personen zu schützen.
Die DSGVO ist außerdem eine Gelegenheit für viele Unternehmen, um bestehende Risiken zu minimieren und sich als zuverlässiger Partner, der den Datenschutz ernst nimmt, am Markt zu positionieren.
Welches Risiko gehe ich ein, wenn die DSGVO nicht eingehalten wird?
Wenn die DSGVO nicht eingehalten wird, können Schäden aus folgenden Bereichen auftreten:
- Schäden durch vermeidbare Datenverluste,
- Strafen durch die Behörde (angemessen und wirksam, bis 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes),
- Schadenersatzforderungen durch Betroffene (auch Anwaltshonorar für Durchsetzung),
- Schäden für die Reputation des Unternehmens, wenn ein Datenschutzvorfall bekannt wird und
- Schäden durch falsche Reaktionen von nicht oder schlecht ausgebildeten Mitarbeitern.
In Unternehmen, die wir beraten haben, gab es immer wieder Abläufe, die einen Datenverlust wahrscheinlich gemacht haben. In mehreren Fällen hätte dieser Datenverlust den Ruin des Unternehmens bedeutet – ganz ohne DSGVO. Die Umsetzung der DSGVO ist eine Chance Risiken zu minimieren und mit überschaubaren und oft kostengünstigen Maßnahmen mehr Betriebssicherheit zu erreichen.
Artikel 83 beschreibt wie Behörden strafen dürfen. Maßnahmen, die ergriffen wurden, um die DSGVO einzuhalten und möglichen Schäden für die Betroffenen zu minimieren, reduzieren mögliche Strafen. Es wird aber ausdrücklich verlangt, dass Strafen wirksam sein müssen.
Es gibt für Österreich (Stand: November 2018) noch keine “offizielle” Information über ausgesprochene Strafen, aber es scheint dass bei “kleineren Vergehen” von KMUs ca. 500-5.000 EUR an Strafen verhängt werden. Im Vergleich dazu wurde in der UK der Heathrow Airport mit 120.000 GBP bestraft, weil ein Mitarbeiter einen ungeschützten Memory Stick mit vertraulichen Informationen verloren hat.
Durch die DSGVO haben Betroffene das Recht auf Schadenersatz. Schadenersatz kann auch durch Rechtsanwaltskosten entstehen.
Durch die DSGVO wurde auch die Öffentlichkeit auf Datenschutz sensibilisiert. Fehler im Datenschutz kommen immer öfter in die Medien. Die Nachricht, dass ein Unternehmen beim Datenschutz geschlampt hat, kann für die Reputation verheerend sein. Ein einziger nicht für den Datenschutz sensibilisierter Mitarbeiter kann dadurch großen Schaden anrichten.
Siehe 120.000 GBP Schadenersatz für verlorenen Memory Stick.
Ich bin Kleinunternehmer und stelle nur Rechnungen für meine Kunden aus, habe auch keine Kundendatenbank, bin ich von der DSGVO betroffen?
Ja. Siehe “Bin ich von der DSGVO betroffen“.
Betrifft mich die DSGVO auch, wenn ich nur Namen und E-Mail-Adressen speichere?
Ja. Siehe “Bin ich von der DSGVO betroffen“.
Welche Daten muss ich an die Behörde schicken?
Es werden grundsätzlich keine Daten an die Behörde geschickt. Auch Ihr Verarbeitungsverzeichnis wird nicht automatisch an die Behörde übertragen.
Die Aufsichtsbehörde verlangt nur, dass Sie die Verarbeitungen von personenbezogenen Daten dokumentieren und diese Dokumentation auf Anfrage der Behörde zur Verfügung stellen können. Die Behörde erfährt dabei keine konkreten Daten (wie zB Name oder E-Mail-Adresse).
Nur wenn ein bestimmter Anlassfall besteht, wird die Behörde nach konkreten Daten fragen, zB wenn jemand sich bei der Behörde beschwert, wird die Behörde nach den Daten dieser Person fragen, um die Beschwerde zu verifizieren.
Was kann die Aufsichtsbehörde von mir verlangen?
Die Behörde kann Zugang zu allen Informationen verlangen, die für die Erfüllung ihrer Aufgaben erforderlich sind, kann auf vermeintliche Verstöße gegen die DSGVO hinweisen und kann auch eine bestimmte Art der Verarbeitung verbieten.
Die Behörde kann Einschau halten und vor Ort Datenschutzüberprüfungen durchführen.
Dabei wird unter anderem kontrolliert,
- ob die Daten dem Zweck entsprechend nach Treu und Glauben verarbeitet werden,
- ob die Sicherheitsmaßnahmen am Stand der Technik sind,
- ob die Mitarbeiter korrekt mit Datenschutzfragen umgehen,
- ob es Prozesse für die Löschung von nicht mehr benötigten Daten gibt,
- … .
Ich habe nur handschriftliche Notizen, gilt die DSGVO auch für mich?
Ja. Auch nicht automatisierte, verarbeitete Daten unterliegen der DSGVO. Sobald Sie Daten in irgendeiner Weise sortiert haben, unterliegen diese der DSGVO.
Das heißt, dass die Betroffenen ein Recht auf Auskunft haben. Die Ordner müssen angemessen gesichert sein und Daten, die nicht mehr benötigt werden, müssen entsorgt werden.
Angemessen bedeutet, dass zB Personalakten mit Religionszugehörigkeit oder Gewerkschaftsmitgliedschaft versperrt sein sollten.
Ich habe nur einen kleinen Betrieb, muss ich die DSGVO genauso umsetzen wie ein großer?
Ja. Ob Sie von der DSGVO betroffen sind oder nicht, hängt nicht von der Größe Ihres Unternehmens ab, sondern alleine davon, ob Sie personenbezogene Daten (zB Namen Ihrer Kunden, Telefonnummern oder E-Mail-Adressen) in irgendeiner Form verarbeiten, speichern oder auf sonstige Weise verwenden.
Auch EPUs müssen die DSGVO einhalten.
Das Risiko für kleine Betriebe kommt vor allem aus möglichen Schadenersatzforderungen und Strafen, die durch einen falschen Umgang mit Betroffenenanfragen und den Dokumentationspflichten der DSGVO entstehen.
Bin ich von der DSGVO betroffen?
Nur wenn Sie personenbezogene Daten ausschließlich im privatem bzw. familiären Umfeld verwenden, sind Sie nicht von der DSGVO betroffen.
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die sortiert gespeichert sind oder gespeichert werden sollen. (Artikel 2)
Die DSGVO gilt für alle Unternehmen, Organisationen, Behörden, Vereine und Einzelpersonen, die personenbezogene Daten (außerhalb der persönlichen und familiären Sphäre) verarbeiten. Diese Unternehmen, Organisationen usw. werden Verantwortliche genannt.
Die DSGVO gilt für Verantwortliche in der EU und für alle personenbezogenen Daten, die verarbeitet werden – auch für Personen, die außerhalb der EU leben.
Für Verantwortliche außerhalb der EU gilt die DSGVO nur, wenn diese betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen anbieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist oder ob sie das Verhalten betroffener Personen beobachten, soweit dieses Verhalten in der Union erfolgt.
Waren oder Dienstleistungen werden zB dann für Personen in der EU angeboten, wenn erkennbar ist, dass Personen in der EU erreicht werden sollen. Das kann durch Preise in EUR, einen Webauftritt in einer vor allem in der EU gesprochenen Sprache (Deutsch, Tschechisch) oder durch Artikel, die auf ein EU Land Bezug nehmen, erfolgen.
Beispiel: Ein US Unternehmen, das Online-Kurse auf Englisch verkauft, aber keinen sichtbaren Bezug zur EU hat, unterliegt nicht der DSGVO – auch wenn die Kurse online aus der EU gekauft werden können. Wenn das Unternehmen die Kurse auch in EUR auspreist, unterliegt es der DSGVO.
Darf ich meinen Kunden zum Geburtstag gratulieren?
Ja, aber …
Um zum Geburtstag zu gratulieren, brauchen Sie das Geburtsdatum.
Wenn Sie von neuen Kontakten das Geburtsdatum erfragen, müssen Sie angeben, dass Sie das Geburtsdatum für Geburtstagswünsche verwenden möchten. Außerdem darf das Geburtsdatum, zB bei Bestellungen, nicht zwingend erforderlich sein (wenn Sie nicht andere Rechtsgründe für die Verarbeitung haben, wie zB die Vorschrift das Geburtsdatum bei einer Nächtigung zu speichern).
Damit haben Sie für neue Daten eine korrekte Zustimmung zur Verarbeitung.
Sie können die bestehenden Daten auch für eine Verarbeitung verwenden, die der Betroffene erwartet. Wenn Sie in der Vergangenheit zum Geburtstag gratuliert haben, ist es legitim davon auszugehen, dass die Betroffenen diese Verarbeitung erwarten und Sie können das weiterhin tun.
Machen Sie es den Betroffenen einfach die Verarbeitung zu widerrufen/die gegebene Zustimmung zurückzuziehen.
Wenn Sie das Geburtsdatum aus einer dritten Quelle haben und keine Verbindung zum Betroffenen besteht, ist das Senden von Geburtstagswünschen aus Datenschutzsicht bedenklich.
Geburtstage, die Sie über soziale Netzwerke erfahren, können Sie innerhalb des Netzwerkes für Glückwünsche verwenden.
Einen Geburtstag, der auf Facebook veröffentlicht wurde, ist aber nicht automatisch für Firmenwerbung verwendbar. Wo genau die Grenze liegt, ist noch nicht ausjudiziert. Mann könnte argumentieren, dass die Daten auf Facebook öffentlich sind.
Darf ich weiterhin meine Akquisitionsdatenbank führen?
Ja, aber …
Sie dürfen weiter Daten von potentiellen Kunden/Interessenten speichern. Aber Sie müssen diese Verarbeitung in Ihrem Verarbeitungsverzeichnis (und ggf. in Ihrer Datenschutzerklärung) dokumentieren.
Sie müssen jedoch nach Artikel 14 die Betroffenen binnen 30 Tagen darüber informieren, dass Sie die Daten verarbeiten und woher Sie diese Daten haben. Das gilt auch für Daten, die Sie aus öffentlichen Quellen haben, aber nur wenn die Verarbeitung dem Betroffenen noch nicht bekannt ist.
Der effektivste Weg diesen Informationspflichten nachzukommen, ist es neue Kontakte binnen 30 Tagen zu kontaktieren und dabei auch eine individuelle E-Mail zu schicken. In der E-Mail kann dann auf die Datenschutzerklärung und die Quelle der Daten hingewiesen werden.
Außerdem müssen Sie beim Kontaktieren von “noch nicht Kunden” die Regeln des Telekommunikationsgesetzes befolgen.
Es muss für den Betroffenen außerdem einfach sein, dieser Verarbeitung zu widersprechen.
Wann wird in Deutschland ein Datenschutzbeauftragter benötigt?
Laut DSGVO wird ein Datenschutzbeauftragter benötigt, wenn
- Behörden oder öffentliche Stellen Daten verarbeiten, mit Ausnahme von Gerichten,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen vorsieht oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten vorsieht (siehe Artikel 9 und 10 der DSGVO).
Zusätzlich verlangt das Deutsche Bundesdatenschutzgesetz, dass ein Datenschutzbeauftragter benannt wird, wenn mindestens 10 Mitarbeiter mit Daten arbeiten.
Wann wird in Österreich ein Datenschutzbeauftragter benötigt?
Laut DSGVO wird ein Datenschutzbeauftragter benötigt, wenn
- Behörden oder öffentliche Stellen Daten verarbeiten, mit Ausnahme von Gerichten,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen vorsieht oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten vorsieht (siehe Artikel 9 und 10 der DSGVO).
Damit wird in Österreich selten ein Datenschutzbeauftragter benötigt.
Ärzte brauchen keinen Datenschutzbeauftragten, da die Kerntätigkeit nicht die Arbeit mit medizinischen Daten ist. Ärztegemeinschaften oder Spitäler brauchen auf jeden Fall einen Datenschutzbeauftragten. Beachten Sie auch unseren Artikel zum Thema Dürfen Patienten mit Namen aufgerufen werden?
Ist WhatsApp DSGVO konform?
Nein, deshalb sollte WhatsApp in Unternehmen nicht verwendet werden.
WhatsApp ist ein Produkt von Facebook. Facebook ist nach dem US-EU Privacy Shield zertifiziert. Damit wäre es theoretisch erlaubt, Daten an Facebook bzw. Whatsapp zu übertragen.
WhatsApp bittet in den Lizenzbedingungen um die Erlaubnis, alle am Mobiltelefon gespeicherten Telefonnummern und Kontakte an WhatsApp/Facebook hochzuladen. Ohne diese Erlaubnis ist WhatsApp nicht verwendbar. Diese Daten werden verwendet, um Ihnen bekannte Personen zu identifizieren.
Das Problem ist, dass damit auch Daten von Dritten, die nicht damit einverstanden sind, an Facebook übertragen werden. Das hat auch direkte Auswirkungen für diese Personen, da über Ihr und andere Adressbücher Verbindungen hergestellt werden, die nicht erwünscht sind.
Ein Problem mit WhatsApp ist, dass es oft im privaten Umfeld (vor allem für Gruppen in Vereinen, Schulklassen, …) fast unvermeidbar ist. Sobald Sie aber WhatsApp privat verwenden, werden auch Ihre Businesskontakte an Facebook übertragen.
Bitte bedenken Sie, dass Sie die Verwendung von WhatsApp eine Datenverarbeitung im Sinne der DSGVO darstellt. Daher ist dies im Verarbeitungsverzeichnis zu dokumentieren. Am einfachsten erstellen Sie Ihr Verarbeitungsverzeichnis mit easyGDPR.