jeudi 24 septembre 2015

ALLE Mitarbeiterdaten sollen in die Cloud!! Darf der Arbeitgeber das?? (BambooHR)

Hallo,

mein AG hat eine neue Software angeschaft für die Personalverwaltung. In diesem Fall BambooHR. Soweit ich das gelesen habe werden ALLE Daten der MA in einer Cloud gespeichert deren Server in den USA stehen. Nun werden von den Mitarbeitern wirklich ALLE Daten dort gespeichert von der Adresse bis zur privaten Handynummer sowie die Krankheits- und Urlaubstage und auch ALLE Daten die zur Lohnabrechnung benötgt werden: Also Lohn,Steuerklasse, KK, SV. Nummer usw.

Also für mich als Mitarbeiter klingt das schon SUUUPER bedenklich!! Zumal keiner gefragt wurde ob er das überhaupt will UND es nun eigentlich auch schon zu spät ist ... denn die Daten liegen nun ja schon in den USA. Selbst wenn man seinen Account löschen würde gehe ich mal NICHT davon aus das die Daten dann auch wirklich weg sind.

Oder ist das alles Tatsache nirgends geregelt und der AG kann mit meinen Daten machen was er will??

Danke


ADV ohne Zugriffsrechte

Als DSB stößt man bekannterweise im Rahmen des Abschlusses von ADV-Vereinbarungen immer wieder auf "amüsante" zugrunde liegende Dienstleistungs-, Wartungs-, Service, oder Verträge mit Dienstleistern.

Zu einer speziellen "Stilblüte" möchte ich gerne die werte Meinung des Forums haben.

Folgender Sachverhalt:
Das Unternehmen beauftragt den Dienstleister mit der Betreuung und Wartung einer IT-Sicherheitseinrichtung (Netzwerk<->Internet) des Unternehmens. Das Unternehmen erhält aber weder Zugriff noch Administrationsrechte auf die Sicherheitseinrichtung. Der Vertrag schließt das explizit aus, in der Praxis ist es tatsächlich so.

Mal abgesehen davon, dass das Unternehmen in der Konsequenz dann eine Black-Box als Sicherheitseinrichtung vom Dienstleister erhält:
Handelt es sich hier überhaupt noch um eine Auftragsdatenverarbeitung oder ist es nicht vielmehr bereits eine Funktionsübertragung?

MfG
Compliance


Gutachtendatenbank des Landtages des Nordrhein-Westfalen- Anwendbarkeit des IFG ....

Hallo,

mich würde interessieren, ob die Regelungen des IFG aus inhaltsgleiche oder inhaltsähnliche Gesetze und Regelungen in den einzelnen Bundesländern auch Anwendung auf die bisher vorhandenen Gutachten und Ausarbeitungen der Gutachtendatenbank des Landtages des Nordrhein-Westfalen haben.

Gilt also der Zugang zu Ausarbeitungen der Wissenschaftlichen Dienste des Deutschen Bundestages (Urteil des Bundesverwaltungsgerichts vom 25.06.2015 (Az. BVerwG 7 C 1.14 / BVerwG 7 C 2.14 – Pressemitteilung vom 25.06.2015 (http://ift.tt/1i5P9SR) auch für solche/diese Gutachtendatenbank(en).

Kann man eine Herausgabe von Gutachten/Ausarbeitungen aus dieser Datenbank, der bisher nur intern zugänglichen Dokumente auf das urteil des Bundesverwaltungsgerichtes vom 25.06.2015 fußen und begründen?

Viele Gutachten anderer Landesparlamente außer NRW und (sowieso öffentlich zugängliche und für die Öffentlichkeit erstellte Dokumente) sind in der Gutachtendatenbank zwar eingestellt, aber viele mit dem Hinweis "Nur für den Dienstgebracuh" o.ä. und deshalb nicht für jedermann zugänglich, sondern nur auf Anfrage beim jeweiligen Landesparlament.

Der Link zur Gutachtendatenbank des Landtages des Nordrhein-Westfalen:

http://ift.tt/1L88kbl

Vielen Dank für die Auskunft.


mercredi 23 septembre 2015

Frage nach § 163 Abs.1 StPO

Wenn ein Polizeibeamter per telefon, einer privaten Person die er persönlich gut kennt, die weder was mit Polizei noch mit der Staatanwaltschaft zu tun hat, die Erlaubis erteilt sich Beweismittel aushändigen zu lassen und diese dann mitnimmt,
gegen welche Paragrafen ausser § 163 Abs.1 StPO würde der Polizeibeamte dann verstoßen. Kann da wer helfen.


EuGH und Safe Harbour

Max ist es tatsächlich gelungen, den Generalanwalt zu überzeugen. Respekt!
C‑362/14: The Opinion of Advocate General Bot

Pressemitteilung Nr. 106/15 (PDF):
Zitat:

In seinen heutigen Schlussanträgen vertritt Generalanwalt Bot die Auffassung, dass die Existenz einer Entscheidung der Kommission, mit der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Kontrollstellen nach der Richtlinie über die Verarbeitung personenbezogener Daten weder beseitigen noch auch nur verringern kann. Er ist außerdem der Ansicht, dass die Entscheidung der Kommission ungültig ist.
(Hervorhebung im Original)

Das sind zwei Punkte, die - sollte der EuGH dieser Ansicht folgen - einiges auf den Kopf stellen dürften. Safe Harbour für ungültig zu erklären, ist aus Datenschutzsicht längst überfällig. Interessant aber ist vor allem die Auffassung zu den Eingriffsbefugnissen und der Unabhängigkeit der nationalen Kontrollstellen, also die Stärkung der von der Kommissionsentscheidung abweichenden Postion der Aufsichtsbehörden. "Mit anderen Worten ist die Kommission nicht ermächtigt, die Befugnisse der nationalen Kontrollbehörden zu beschränken." Das sollte einigen Staub aufwirbeln. Bedeutet es doch nichts anderes, als daß datenschutzrechtlich einwandfreie Begründungen nicht von derlei dubiosen Abmachungen abhängig gemacht werden dürfen. Jetzt müssen alle noch einmal in die geplante Grundverordnung schauen und prüfen, ob den Kontrollstellen nicht zuviel Unabhängigkeit und Spielraum eingeräumt wurde...


Steuerberatung - Grundlage der Datenverarbeitung

Hallo zusammen,

da kein separater Bereich für den Datenschutz bei "Wirtschaftsprüfern, Steuerberatern und Rechtsanwälten" vorhanden ist - vielleicht eine Idee für den ADMIN - platziere ich meine Frage hier. Bei Bedarf bitte das Thema verschieben.

Es drängt sich mir die theoretische Frage auf, auf welcher Basis z.B. Steuerberater Daten erheben, verarbeiten und nutzen dürfen.
Folge ich den definierten Erlaubnistatbeständen nach § 4 BDSG, so komme ich entweder auf die eigenen Geschäftszwecke nach § 28 BDSG oder im Zweifel basierend auf einer Einwilligung nach § 4a BDSG. Nun stoße ich aber bei der weiteren Recherche, insbesondere nach "anderen Rechtsvorschriften" im Steuerberatungsgesetz auf § 32 StBerG, in welchem festgehalten wird, dass Steuerberater, Steuerbevollmächtigte und Steuerberatungsgesellschaften zwar geschäftsmäßig Hilfe in Steuersachen leisten, dies aber kein "Gewerbe" ist sondern ein freier Beruf.

Geschäftsmäßig ist für mich in dem Zusammenhang ein 28er Erlaubnistatbestand. Was aber hat es in dem Zusammenhang mit kein Gewerbe auf sich? Bedeutet kein Gewerbe = kein "Geschäft" oder steht das nicht miteinander im Zusammenhang? :confused:

MfG
Compliance


mardi 22 septembre 2015

Wo fange ich an?

Hallo,

ich seit kurzem bestellter BDSB. Das Unternehmen in dem ich arbeite, ist Teil einer Ansammlung von weiteren rechtlich selbsständigen Unternehmen.
Es gibt keine Holding. Aber ein Unternehmen übernimmt Aufgaben eines Shared Service Center, zu den Themen HR, IT, Einkauf und Finanzen.
Es gibt einen sehr kurzen Vertrag der die Blöcke beschreibt. Es existieren keine SLA, ADV,... Einfach nichts.
Ich kann meiner Meinung nach nur die fehlende Rechstkonformität nachweisen und die Behebung des Zustandes einfordern. Oder?
Mir fehlt meinem Verständnis nach die Grundlage überhaupt prüfen zu können. Sehe ich das richtig oder soll ich einfach beginnen zu auditieren?

Kann mir jemand einen Rat geben?

Gruß


Tätigkeitsnachweise

Hallo Forum,

ich habe 2 Anliegen, die mir zur Zeit ein bisschen Bauchschmerzen bereiten.

1tes Anliegen
In unserem Unternehmen soll demnächst, nach Prüfung, ein Programm zur Lagerverwaltung und Auftragserfassung für die Instandhaltung angeschafft werden.
Der Teamleiter erfasst einen Auftrag für eine Störung.
Diese Störung wird dann einem Mitarbeiter aus der Instandhaltung übergeben.
Dieser meldet sich an der Anlage an und gibt die Zeiten für die Störungsbeseitigung ein.
Nun sollen diese Zeiten auch zur Kontrolle der Mitarbeiter verwendet werden.
Normalerweise entspricht dies doch einem normalen Tätigkeitsbericht?!

2tes Anliegen
In unserem Betrieb werden Tätigkeitsnachweise pro Person ausgefüllt.
D.h. was haben die Personen an einen Tag getan
Tätigkeit / Zeit
Pausenzeit

Diese werden dann in unser Warenwirtschaftssystem eingegeben.
Danach werden verschiedene Reports gefahren. (Störungszeit,…)
Möglichkeit besteht auch auf die einzelne Person die Abfragen auszuführen.

Sind diese Verfahren laut Datenschutz legitim?

Mit freundlichen Grüßen
Omanyd


lundi 21 septembre 2015

"Recht auf vergessen" weltweit?

Die CNIL will das europäische "Recht auf vergessen" weltweit durchsetzen.

Einerseits nachvollziebar.
Andererseits: Wenn eine europäische Behörde so agiert um ihre Ansichten durchzusetzen, wäre es dann nur recht und billig wenn US-Gerichte darauf pochen, auf Daten zuzugreifen die auf den Servern amerikanischer Unternehmen in Europa lagern?

http://ift.tt/1Qt0ozr


Anschaffung Shredder

ich bin erst seit kurzem interner Datenschutzbeauftragter im Unternehmen und es gab auch keinen vor mir. Nun sollte als aller erstes Mal ein Shredder angeschafft werden um die pb Daten auch sachgerecht zu vernichten. Nun meine Frage, gehe ich da einfach zum Geschäftsführer und sage diesem dass ein Shredder angeschafft werden muss oder schreibe ich darüber eine Verfahrensanweisung oder wie gehe ich da vor?


dimanche 20 septembre 2015

Passt nicht ganz, aber vielleicht---

Hallo,

eine Fragt zum Urheber rechts verstoß problem im Unternehmen.

Um die Firma aus der Schußlinie zu nehmen zum Thema rechtswidriger urheberrechtlich geschützter Mediendatendownload durch Mitarbeiter mit dem Firmensmartphone ist man auf den Gedanken gekommen dem Mitarbeiter nicht eine Smartphone Hardware direkt zur verfügung zu stellen sondern das ganze in 2 teile zu Teilen.

1. Teil ein Mobiletelefonvertrag zwischen Firma und TK Unternehmen ohne Hardware.
2. eine Finanziellen zuschuß für Hardware die sich der MA selber kaufen muß.

Hintergrung ist klar. Das nur mit der SIM karte man ja nichts speichern kann. Wenn man sich was aus dem Netz läd, muß man es ja auf der dann privaten Hardware laden.


Damit meint der Unternehmer sich des Vorwurfes der urheberrechtsverletzung ggf. entziehen zu können.

Würde das funktionieren?

Ich bitte um einschätzung.

Gruß


Madmax


jeudi 17 septembre 2015

BGM und BGF

Hallo zusammen,
ein Mitarbeiter des Unternehmens, welches ich datenschutzrechtlich betreue kam heute auf mich zu da er zukünftig das betriebliche Gesundheitsmanagement (BGM) betreuen soll. Dies wird ganz neu ins Leben gerufen und er möchte wissen, was es da an datenschutzrechtlichen Richtlienien oder Maßnahmen gibt die er beachten muss. Es werden natürlich auf jeden Fall Mitarbeiterbefragungen stattfinden in den Firmen die er dann betreut, hierzu habe ich ihm schon mitgeteilt dass nur die Daten die wirklich nötig sind erfragt werden sollen.


mercredi 16 septembre 2015

Datenschutz gilt auch wenn private E-Mail-Nutzung verboten ist?

Ich habe einen Fall vorliegen, wo die private E-Mail-Nutzung verboten ist. Nun soll jeder Mitarbeiter gewzungen werden, einen Vertreter zu benennen, der bei Abwesenheit das Postfach lesen kann. Ich finde das kritisch, da auch dienstliche Kommunikation "persönlich" sein kann - selbst wenn sie nicht "privat" ist. Den Zwang einen "Mitleser" zu benennen finde ich daher sehr kritisch. Hat jemand von ähnlichen Fällen gehört? Ist das rechtlich in Ordnung?


KDO oder BDSG bei ADV zwischen "Kirche und Privat"?

Guten Morgen,

ich glaube, ich hänge gerade ein wenig (vielleicht liegt es an der Uhrzeit?) :(

Ein Pflegedienst (Kirchlicher Träger, also KDO) möchte eine Kooperation mit einem privaten Dienstleister (BDSG) eingehen, der dann z. B. Betreuungsleistungen übernimmt. Dazu muss der Pflegedienst dem Dienstleister Daten (Kontaktdaten, Adressdaten) zur Verfügung stellt, damit dieser den Patient/ Kunden kontaktieren kann.
Leistung wird dann von dem privaten Dienstleister erbracht, Abrechnung erfolgt über den Pflegedienst.

Nun meine Frage: Beziehe ich mich in der ADV auf die KDO, die ja für den AG relevant ist? Z. B. " [...] nur Mitarbeiter einsetzen, die auf das Datengeheimnis nach § 4 KDO verpflichtet sind [...]"
Für den privaten Dienstleister ist die KDO ja nicht entscheidend...


mardi 15 septembre 2015

Betreiberwechsel eines Internetforums

Guten Morgen,

angelehnt an ein reales Beispiel hätte ich einige Fragen zur folgenden Konstellation: Angenommen der Betreiber A eines Internetforums übergibt im Rahmen der Niederlegung seiner Tätigkeit das Internetforum kostenfrei an den Betreiber B. Damit B den Betrieb des Forums übernehmen kann, ist die Integration des Forums in ein anderes, bereits bestehendes Forum auf einem anderen Web-Server notwendig. In diesem Zusammenhang müssen personenbezogene Daten, konkret Nicknamen, E-Mail-Adressen und Passwörter bzw. Themen und Beiträge der Nutzer übertragen werden.

Unter welchen Voraussetzungen würde § 28 Abs. 1 Nr. 2 BDSG greifen? Der Betreiberwechsel würde für den Nutzer ansich keine Änderungen hervorbringen, da er seine Tätigkeiten im neuen Forum auch nach dem Wechsel in gewohnter Art und Weise vornehmen kann. Die Daten sind lediglich zum Zugriff auf das Forum bzw. zur Nutzung des Forums notwendig - eine weitere Nutzung bzw. Verarbeitung z. B. für Newsletter-Versand findet nicht statt.

Sollte die Übertragung der Daten an einen anderen Betreiber problematisch sein, stellt sich die Frage, inwiefern trotzdem eine Übertragung der Daten an den neuen Betreiber erfolgen kann - vor allem in der Hinsicht, dass mehrere zehntausend Datensätz betroffen sind. Würde eine Benachrichtigung der Nutzer über die geplante Übertragung mit einer Widerspruchsmöglichkeit genügen oder müsste von jedem Nutzer explizit eine Einverständniserklärung zur Übertragung seiner Daten eingeholt werden?

Vielen Dank!


Rechtsgrundlage Datenherausgabe an Finanzgericht

Guten Morgen.

Das ist "normalerweise" nicht mein "täglich Brot", daher hier kurz die Rückfrage:

Stellt "§ 76 FGO i.V.m. § 93 AO" eine Rechtsgrundlage zur Datenherausgabe (Stammdaten wie Adresse und Geburtsdatum eines als Zeugen benannten ehemaligen Mitarbeiters) an ein Finanzgericht dar? Diese Anfrage liegt schriftlich vor, unterschrieben von einem Richter. Ich bin mir da bei der Auslegung gerade ein wenig unschlüssig...

Danke schon einmal vorab für die Hilfe.

Viele Grüße,
KvJ


lundi 14 septembre 2015

Meldung von Datenschutzverstößen

Hallo Zusammen,

ich bin gerade mit folgender Situation konfrontiert:
Mir hat eine Kollegin eher unabsichtlich von einem Datenschutzverstoß eines IT-Mitarbeiters erzählt.
Da ich als Datenschutzbeauftragter (meiner Meinung nach) diese Information nicht ignorieren kann, auch wenn ich durch Zufall in der Mittagspause darauf gestoßen bin, habe ich den Verstoß den Vorgesetzten des IT-Mitarbeiters mitgeteilt.

Nun ist es so gekommen, dass der IT-Mitarbeiter seinen Verstoß vehement bestreitet und nun Aussage gegen Aussage steht.
Da es sich um einen Verstoß im Bezug auf Personaldaten handelt, wurde auch ein HR-Mitarbeiter informiert. Dieser hat nun dem IT-Mitarbeiter die Quelle mitgeteilt.

Nun meine Frage dazu: Wie geht ihr generell mit solchen Hinweisen um? Sind diese immer anonym zu handhaben? Sind die Mitarbeiter zu schützen die die Hinweise geben? Was passiert aber, wenn solche Hinweise einfach nicht der Wahrheit entsprechen und sozusagen mutwillig gegeben werden (Thematik Mobbing)?

Vielen Dank für euren Input
Eins23


dimanche 13 septembre 2015

Betrügern Daten gegeben

Hallo Leute,
folgendes: Ich war letzte Woche in der Stadt und wurde von 2 Leuten angesprochen, die einen seriösen mobilcom Stand aufgebaut hatten.
Nachdem diese mich beraten haben, habe ich einen Vertrag abgeschlossen und ihnen meinen Personalausweis und meine EC Karte gegeben, diese hat der freundliche Mann mit seinem Handy abfotografiert.
Man sagte mir, dass ich nach 2-3 Tagen einen Anruf für die Bestätigung bekommen werde. Nachdem ich diesen Anruf nicht bekommen habe, habe ich bei md angerufen, an der Hotline sagte man mir, dass es keinen Vertrag auf meinen Namen gibt. (Ich habe nichts schriftliches mit bekommen)
Gestern habe ich Werbung via. SMS auf mein Handy bekommen.

Meine Frage ist nun, wie verhalte ich mich richtig?
Meine Daten sind mir wichtig & ich hätte nie damit gerechnet, dass das Betrüger waren.

Gruß


samedi 12 septembre 2015

Kanzlerin warnt vor Datenschutz

Zeit Online:
Zitat:

Merkel warnt vor zu strengem Datenschutz bei Digitalisierung
Die Wertschöpfung werde sonst "irgendwo in Amerika oder Asien" stattfinden.

Ist da was dran?.


vendredi 11 septembre 2015

Ein spezieller Fall - Selbstständige Kosmetikerin

Hallo,

ich bin etwas ratlos und wollte mal eure Meinung hören, da wir im Unternehmen einen sehr speziellen Fall haben. Ich bin mir als bDSB-Neuling nicht sicher, ob es sich hierbei um einen klassischen ADV-Fall handelt. Auf jeden Fall leuchten bei mir alle Warnsignale auf, da ich der Meinung bin, dass hier unbedingt was getan werden muss.

Nun zum Sachverhalt:
In einer unserer Filialen gibt es eine Kosmetikkabine. Diese Kosmetikkabine ist an eine selbstständige Kosmetikerin untervermietet. Die Kosmetikerin behandelt ausschließlich "unsere" Kunden, sie hat Zugriff auf unsere gesamte Kundenkartei und nutzt auch personenbezogene Daten unserer Kunden (Telefonnummer; Anruf zwecks Terminverschiebung o.ä.). Zwischen uns und der selbstständigen Kosmetikerin besteht ein Miet- und Kooperationsvertrag, in beiden Verträgen wurde aber bisher nichts bzgl. des Datenschutzes vermerkt.

Was genau ist eurer Meinung nach zu tun? :confused: Hat vielleicht jemand einen ähnlichen Fall in seinem Unternehmen?

Vorab schon mal vielen Dank für eure Meinung und eure Hilfe!

Ein schönes Wochenende wünscht
pusteblume


Handhabung des Email-Postfachs nach Ausscheiden bei erlaubter privater Nutzung

Guten Tag,

ich habe das Forum durchsucht, konnte aber keine Beiträge finden, die genau auf meine Frage passen.
Ich scheide demnächst nach 15 Jahren Tätigkeit aus einer IT-Firma aus. Mir wurde durch den langjährigen Geschäftsführer die private Nutzung meiner Arbeitsmittel (Laptop, Telefon, Email-Postfach) explizit (mündlich) erlaubt. Bei Bedarf würde er mir das auch bestätigen.

Nun ist es so, dass ich nicht will, dass unzählige private Emails unter zigtausend dienstlichen Emails (Exchange-Postfach) mit an meine Nachfolger übergeben werden. Gegen eine Weitergabe der dienstlichen Emails habe ich grundsätzlich natürlich nichts. Eine Selektion über den gesamten Zeitraum gestaltet sich aber aufgrund der Menge sehr schwierig. Leider hat meine Firma (80-100 Beschäftigte) keinen Datenschutzbeauftragten, an den ich mich wenden könnte. Mit dem Systemadministrator kann man aber reden, der hat ein gewisses Verständnis für Datenschutz-Bedürfnisse der Mitarbeiter.

Wie kann ich rechtlich sauber und technisch zuverlässig den Zugriff auf meine privaten Emails verhindern?

Vielen Dank im Voraus.


jeudi 10 septembre 2015

Freelancer - Praxisproblem (?)

Hallo zusammen,
ich würde gerne mal wieder ein paar Sichten von Euch lessen:

Wir sind ein international tätiger Dienstleister, der bei Engpässen immer wieder auf Freelancer zurückgreift. Um ihre Aufgaben zu bewätligen, bekommen diese unter anderem auch ein Konto in unserem AD mit E-Mail Adresse (Firmen-Endung @firma.com) für die Kommunikation intern, als auch zu Kunden und Lieferanten.

Nun hat sich ein Freelancer beschwert, dass seine Name auf ZOOMINFO in Verbindung mit unserer Firma auftaucht, was er nicht möchte. Dieser Eintrag kann per Google gefunden werden. Er fordert uns auf, dies zukünftig zu unterbinden. Er möchte aufgeklärt werden, wie es zu dieser Veröffentlichung kommen kann.
Ich habe alle unsere Seiten im WEB geprüft: weder auf Facebook noch auf unserer Homepage taucht sein Name auf; und auch sonst gibt es per Google keine Fundstellen.

Meine Frage:

- Stehen wir hier überhaupt in der Verantwortung? Denn aktiv veröffentlicht haben wir nachweislich nichts; der Rest liegt halt am Wesen der Internetnutzung ...


Boxcryptor - Erfahrungen und Meinungen

Schönen guten Tag zusammen,

bin noch ein Frischling im Bereich des Datenschutzes und hoffe, dass mein Beitrag an dieser Stelle richtig ist.

Mich würde interessieren, ob es hier Personen gibt, die Erfahrungen mit dem Programm Boxcryptor (http://ift.tt/1aKgsOS) haben und diese mit uns teilen würden. Sowohl der Einsatz im Firmen- als auch im Privatbereich würde mich dabei interessieren.

Grüße
Tim


Woher Informationen?

Hallo zusammen,

wie informiert ihr euch eigentlich über Grundlagen und aktuelles außerhalb dieses Forum? Hat jemand eine Buch-, Veranstaltungs- oder Magazinempfehlung?

Ich erhalte momentan als GDD-Mitglied die RDV, da gucke ich aber kaum mehr rein, weil ich (als Nicht-Jurist) das nicht wirklich verständlich finde. Etwas in der Art suche ich also nicht unbedingt :D


ADV-Vertrag: Vertragsstrafe?

Guten Morgen,

ich hätte wieder mal eine Frage zum ADV-Vertrag! :confused:

Habe mir nun aus einigen Vorlagen einen ADV-Vertrag "gebastelt". Dabei ist mir aufgefallen, dass in manchen Muster-Verträgen eine Vertragsstrafe enthalten ist, in manchen aber nicht... Wie ist das denn geregelt? Kann der Auftraggeber bzgl. einer Vertragsstrafe selbst entscheiden, ob oder ob nicht? Und wie hoch sollte eine solche Vertragsstrafe denn sein, was wäre realistisch?

Kurz zum Hintergrund: Wir sind ein mittelständisches Unternehmen und haben ca. 87.000 gespeicherte Kundenadressen. Den ADV-Vertrag entwerfe ich für einen Dienstleister, der in unserem Auftrag immer wieder Mailings an Kunden verschickt, nachdem wir ihm die Adressen zur Verfügung stellen. Das sind natürlich nie alle 87.000, sondern immer nur ein kleiner Bruchteil. Je nach Einkaufsverhalten der Kunden und nach Selektion unsererseits werden in der Regel bis max. 2.000 Kunden angeschrieben.

Bisher hatten wir noch nie einen Datenschutzbeauftragten. Ich habe vor ein paar Monaten ein Seminar besucht und stehe quasi noch in den Kinderschuhen, darum bitte ich um Nachsicht, falls die ein oder andere Frage etwas unfachmännisch erscheint...

Vorab wieder einmal vielen Dank für eure Hilfe!
pusteblume


Verfahrensverzeichnis als Anlage zur ADV?

Guten Morgen,

ich arbeite als DSB in einem mittelständischen Unternehmen und wir sind gerade in Vertragsverhandlungen mit einem Kunden zum Abschluss einer ADV Vereinbarung. Der Kunde als Auftraggeber möchte im Vertrag festhalten, dass wir als AN verpflichtet sind, ein Verfahrensverzeichnis zu führen und dass dieses als Anlage dem Vertrag beigefügt wird.

Meine Frage: darf der Kunde verlangen, dass ihm das 'interne' Verfahrensverzeichnis als Anlage zum Vertrag mitgegeben wird? Oder muss er sich mit dem 'Jedermann' Verzeichnis zufrieden geben?

Vielen Dank


mercredi 9 septembre 2015

Umstand einer Bewerbung speichern

hallo DSF - Gemeinde!

Wie geht ihr mit dem Thema Speicherung von Bewerbungen um? Damit meine ich nicht die Unterlagen wie Lebenslauf oder Bewerbungsschreiben, sondern einen Datensatz der die Info enthält:

Name, Geburtsdatum, auf welche Stelle, wann, -- bei uns beworben hat und warum nicht eingestellt wurde. Speichert Ihr sogar noch mehr Daten? Oder ist bei Euch nach Löschung der
Bewerbung rein gar nicht mehr über die Person vorhanden, nicht mal mehr das der Name irgendwo gespeichert ist??

Wenn ich Beiträge zu diesem Thema lese, dann heißt es immer Bewerbungsunterlagen sind zu löschen und nur selten Bewerberdaten sind zu löschen. Jedenfalls will unsere HR diese Infos unbedingt dauerhaft speichern, quasi wie in einer "Geschäftspartnerdatenbank". Dies wird damit begründet, dass wir unbedingt wissen wollen, wenn sich jemand öfter bei uns bewirbt, bzw. wenn jemand schlichtweg ungeeignet ist, da auch unnötige Arbeit einsparen.

Haben wir hier ein berechtigtes Interesse und steht kein schutzwürdiges Interesse des Bewerbers entgegen? Was meint ihr dazu? Ich kann es mir ehrlichgesagt schwer vorstellen, dass die Unternehmen diese Daten nach dem Bewerbungsverfahren komplett löschen.

Liebe Grüße
coke04


Fehlende ADV - Bußgeldrisiko für den AuftragNEHMER?

Auf einem Erfakreis wurde eine m.E. interessante Frage diskutiert auf die wir keine abschließende, weil rechtlich nicht ausreichend begründete, Antwort gefunden haben:

Zum Hintergrund:
Klassisch wird der ADV-Vertrag bezüglich der Erforderlichkeit und eines Bußgeldrisikos aufgrund des §11 BDSG immer aus Sicht des Auftraggebers (AG) betrachtet und dass der AG daher das überwiegende (alleinige?) Interesse am Abschluss einer ADV hat.

Die Frage ist nun:
Ergibt sich aus einem fehlenden ADV-Vertrag auch ein Bußgeldrisiko für einen Auftragnehmer (AN) (natürlich vorausgesetzt, dass die Vertragsbeziehung zum AG einen ADV-Vertrag erfordern würde)?

Diskutierte Begründung:
Ohne ADV-Vertrag hätte der AN keine Rechtsgrundlage für eine Datenerhebung, -speicherung, -übermittlung, -verarbeitung, etc. und verstößt damit zwar nicht gegen den §11, so doch aber gegen allgemeines Datenschutzrecht, weil er eben keine Rechtsgrundlage aufgrund eines Gesetzes hat und auch keine Einwilligung des Betroffenen.

Oder ist der AN dadurch "geschützt", dass die "Vertrags"beziehung, die er mit dem AG hat de facto eine ADV-Beziehung ist, egal, ob es einen ADV-Vertrag gibt oder nicht?


ADV: Verfahrensverzeichnisse und Subsubunternehmen

Hallo zusammen.

Folgende zwei Fragen:

1. Gehören die die Auslagerung betreffenden Verfahrensverzeichnisse von eingesetzten Unterauftragnehmern (und Unterunterauftragnehmern) in das Verfahrensverzeichnis des Auftraggebers?

2. Müssen dem Auftraggeber sämtliche Unterunterunterauftragnehmer bekannt sein?

Bisher hätte ich die Fragen wie folgt beantwortet:

1. Ja, alle Verarbeitungen (auch die von SubSubSubunternehmern) die im Zusammenhang mit der Auftragsdatenverarbeitung stehen, müssen zwingend in die interne Verfahrensübersicht des Auftraggebers (also der verantwortlichen Stelle).

Dies leite ich daraus ab, dass - unabhängig davon ob eine Meldepflicht besteht, muss ja ein Verfahrensverzeichnis existieren - "Normadressat des § 4d zunächst die nicht-öffentliche Stellen sind, soweit sie speichernde, verändernde oder nutzende, d.h. im allgemeinen verantwortliche Stellen sind. An diese richtet sich zunächst auch die Meldepflicht nach § 4d Abs. 1." [Auernhammer BDSG-Kommentar RN 6 zu § 4d BDSG]. "Ebenfalls keine Normadressaten sind Auftragsdatenverarbeiter, da diese keine verantwortlichen Stellen sind. Bei Datenverarbeitung im Auftrag nach § 11 ist der Auftraggeber meldepflichtig." [Auernhammer BDSG-Kommentar RN 9 zu § 4d BDSG]. Auch auf der Seite des LDI NRW findet sich diesbezüglich folgender Passus: "Die Meldepflicht trifft immer die Stelle, die für die Verarbeitung verantwortlich ist. Verantwortlich im Sinne des BDSG sind Stellen nicht nur, wenn sie die Verarbeitung selbst ausführen, sondern auch dann, wenn sie sich hierbei eines Dienstleistungsunternehmens bedienen, das die Verarbeitung in ihrem Auftrag vornimmt (§ 3 Abs. 7 BDSG). Bei einer Auftragsdatenverarbeitung trifft also den Auftraggeber und nicht den ausführenden Auftragnehmer die Meldepflicht.". Daraus ziehe ich den Schluss, wie gesagt losgelöst dessen ob ich als Unternehmen überhaupt zur Meldung verpflichtet bin, dass die per ADV ausgelagerten Verarbeitungen grundsätzlich in meiner Übersicht erfasst sein müssen.

Jetzt habe ich jüngst mit DSB-Kollegen / Kolleginnen zusammengesessen und war mit meiner o.a. Auffassung ziemlich alleine. Tenor: "Nein, in meinen (unseren) Verfahrensverzeichnissen sind keine Verzeichnisse enthalten, die Auftragsdatenverarbeitungen betreffen. Die sind bei den Auftragnehmern und das ist ausreichend."

Wie sieht die Forengemeinschaft dies?

2. Ja, alle Unterauftragnehmer müssen dem Auftraggeber als verantwortliche Stelle bekannt sein.

Hintergrund der Frage ist die Aussage eines Auftragnehmers (mit größerer Marktmacht): "Ihr Unternehmen (=Auftraggeber) hat mit unseren (Auftragnehmer) Subunternehmen (Unterauftragnehmer des Auftragnehmers) keine direkte Vertragsbeziehung, daher müssen wir Ihnen diese nicht konkret benennen." In § 11 Absatz 1 steht "Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.". Auf die Rückfrage, wenn dem Auftraggeber die Unterauftragnehmer nicht bekannt sind, wie der Auftraggeber die Rechte der Betroffenen wahrnehmen können soll (die Frage 1 mal außer Acht gelassen), kam sinngemäß die Antwort: "Sie geben uns dann die Weisung, eine 34er Auskunft bei unseren Subunternehmern einzuholen". Die Prüfungspflicht weiterer Unterunterauftragnehmer (zum Beispiel deren TOMs) durch den Auftraggeber soll per Vertrag / ADV an den Auftragnehmer deligiert werden. In meinen Augen ist das nicht darstellbar.

Gola äußert sich in seinem BDSG-Kommentar 11. Auflage in RN 18e zu § 11 BDSG in dem Zusammenhang dazu wie folgt: "Auch im Verhältnis zum Subunternehmer bleibt der AG die für die Verarbeitung verantwortliche Stelle. Entsprechend muss der den Unterauftrag vergebende AN die sich aus dem ursprünglichen Auftrag ergebenden Rechte und Pflichten vertraglich an den Subunternehmer durchreichen, u.a. damit der AG seinen Kontrollpflichten auch beim Unterauftragnehmer effektiv nachkommen kann. Aufsichtsbehörden vertreten die Auffassung, dass § 11 ein direktes Prüfrecht des AG auch beim Unterauftragnehmer erfordert. [...] (vgl. 23. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde - LT-Drs. 18/2942)". Und da stellt sich die Frage, wie der Auftraggeber als verantwortliche Stelle seiner potentiellen Prüfpflicht nachkommen soll, wenn die Dienstleister nicht bekannt sind? Auernhammer äußert sich in seinem BDSG-Kommentar 4. Auflage in RN 49 ähnlich: "Hierbei müssen die Verträge [zwischen Auftragnehmer und Unterauftragnehmer] vorsehen, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern des Hauptvertrages entsprechen. Dem Auftraggeber sind Kontroll- und Überprüfungsrechte entsprechend einzuräumen. Ansonsten besteht die Gefahr dass das durch § 11 BDSG geforderte Datenschutzniveau faktisch unterlaufen wird.".

Aber auch mit dieser (restriktiven) Rechtsauffassung stand ich ziemlich alleine da...

Daher auch hier die Frage an die Forengemeinschaft: Wie sehen sie das?

Vielen Dank für die Meinungen,
KvJ


Geschäftsführer ist DSBA, geht das überhaupt?

Hallo zusammen,
unser Geschäftsführer ist gleichzeitig Datenschutzbeauftragter. Bei einer BR-Schulung wurde empfohlen das nicht so zu machen.
Gibt es inzwischen eine Vorschrift/ Gesetz die das ausschließt? Im praktischen heißt das , das der BR regelmäßig mit der GL in
Konflikt gerät zum Thema Datenschutz.


mardi 8 septembre 2015

EU-US data protection "Umbrella agreement"

"Die Europäische Union und die USA haben ein Abkommen zum Schutz persönlicher Daten ausgehandelt, die im Rahmen von Ermittlungen in Strafverfahren ausgetauscht werden." meldet der DLF.

Q&A European Commission: http://ift.tt/1UzLhun


Datenübermittlung an Krankenkasse

Hallo zusammen,
über Umwege habe ich Kenntnis darüber bekommen, dass unsere Abrechnung wohl bei der Abrechnung von vorstationären Fällen eine Kopie vom Notarztprotokoll mit übersenden, damit die Kassen die vorstationäre Abrechnung anerkennen und nicht auf ambulant umswitchen wollen. Dabei wird das Notarztprotokoll wohl als Einweisungsschein angesehen. Jetzt steht aber auf dem Notarztprotokoll viel mehr drauf als auf einem Einweisungsschein und mir stößt dieses Vorgehen sehr auf. Andernfalls kann so aber mehr abgerechnet werden. Hat vielleicht jemand dazu was parat, ob die Kassen das Notarztprotokoll erhalten dürfen?
Vielen Dank
W. Heine


lundi 7 septembre 2015

externe Links von Nichtdeutschen Datenbanken?

Einer meiner Kunden, eine Yachtchartervermittlung, die mit Hilfe von externen Buchungsmaschinen Buchungen erstellt und reserviert, hat ein Problem mit dem neuesten Trend der Vercharterer, das Kundenunterlagen (Speziell die sogenannten Crewlisten für Hafenbehörden) nunmehr in eine zentrale Datenbank der Buchungsmaschinen eingegeben werden sollen. Dabei werden auch Kundenadressen und Emailaddressen der einzelnen Crewmitglieder vorgeschrieben.
Die Firmen der Buchungsmaschinenbetreiber sitzen im Ausland.
Ich sehe das sehr problematisch und habe dem Kunden abgeraten diese Daten einzugeben bzw. den Link an die Kunden weiterzuleiten. (was leider dazu führt, das sogenannte Strafgebühren von 8 Euro für manuelle Abfertigung erhoben werden)

Trotzdem rate ich weiterhin davon ab, oder ist das über vorsichtig?

Gibt es auch eine Europäische Rechtsgrundlage. solche Datenübermittlung an nicht Beteiligte (Buchungsmaschine) zu verweigern? Schließlich besteht deren einziger "Service" darin, dann eine Crewliste zu drucken und diese dann an den Vercharterer zu mailen.
(Bisher wurde diese Crewliste übrigens manuell vom Kunden erstellt, ohne Email und Adresse, lediglich Geburtsort,Geburtsdatum und Passummer eingetragen und das dann per Email weitergeleitet und dann nach Ausdruck den Hafenbehörden gegeben, was auch gesetzlich in Ordnung ist.)


Umfang der personenbezogenen Daten bei Datenauskunftsanfrage und ggf. Löschung

Sehr geehrte Damen und Herren,

ich arbeite als Informatiker bei einem kleinen Unternehmen mit Sitz in Deutschland, dass unter eine .de-Adresse ein Internetforum betreibt, bei dem sich Kunden und Interessenten über unserer Produkte informieren und austauschen können.

Ich bin für dieses Forum zuständig.

Wir haben eine Anfrage einer Person erhalten, die in unserem Forum registriert ist. Diese Person hat bei uns eine Auskunft gem. §34 BDSG über die bei uns über seine Person gespeicherten Daten gestellt. Die Person hat bei uns keine Produkte erworben. Es gibt dementsprechend in der Buchhaltung usw. keine Datenbestände über diese Person. Die Person hat allerdings ein Benutzerkonto in unserem Forum.

Bevor ich zu den beiden Fragen komme, die sich mir in diesem Zusammenhang stellen, möchte ich kurz zum besseren Verständnis auf die Art der Datenspeicherung eingehen, welche die Forensoftware nutzt.

Wir nutzen eine relationale Datenbank. "Relational", d.h. "in Verbindung stehend" ist dabei so zu verstehen, dass Sammlungen von zusammengehörigen Daten erstellt werden und jede Sammlung ein Ordnungsmerkmal (vulgo: eine Identifikationsnummer) bekommt. Wenn ein anderer Teil der Datenbank auf eine solche Sammlung Bezug nimmt, wird stets nur dieses Ordnungsmerkmal angegeben.

Ein Beispiel:
Wenn ein Benutzer ein Benutzerkonto anlegt, so werden alle personenbezogenen Daten, die er bei der Registrierung angibt, in einer Sammlung zusammengefasst und diese erhält eine Identifikationsnummer - in diesem Fall die Benutzernummer. Wenn der Benutzer A nun beispielsweise die Funktion des Forums nutzt, den Beitrag X eines anderen Benutzers B als besonders nützlich zu bewerten, so wird in der Datenbank gespeichert, dass der Beitrag X vom Benutzer mit der Identifikationsnummer von A positiv bewertet wurde.

Die personenbezogenen Daten selbst sind also nur einmal gespeichert. Für alle anderen Funktionen wird die Identifikationsnummer verwendet. Dies hat den Vorteil, dass die personenbezogenen Daten kompakt und zentral gehalten werden und im Falle einer Löschung auch einfach und vollständig entfernt werden können.

Meine Fragen sind nun:

1)
Müssen bei der Datenauskunft nur die Daten angegeben werden, die der Benutzer während seiner Registrierung angegeben hat, und die in der oben beschriebenen Datensammlung zusammengefasst wurden (Vorname, Nachname, Emailadresse, etc.). Oder sind auch sämtliche relationalen Daten anzugeben, d.h. z.B. jede Bewertung eines anderen Beitrages, jeder Forumsbeitrag, jeder Zeitstempel eines Forenbeitrages, jeder Zeitstempel einer Bewertung usw. usw.? Dies Herausklamüsern sämtlicher relationaler Daten stellt nämlich einen erheblichen Aufwand dar, da dazu jede Funktion und jeder Teil der Datenbank zu durchsuchen ist.

2)
Wenn ein Benutzer die Löschung seines Benutzerkontos bei uns beantragt, kommen wir dem umgehend nach indem wir die Datensammlung mit seinen personenbezogenen Daten löschen. Die relationalen Daten werden nicht gelöscht. Dies hat zum Ergebnis, das beispielsweise die positive Bewertung eines anderen Beitrages erhalten bleibt. Es ist dann aber nur noch feststellbar, dass dieser Beitrag von einem nun nicht mehr existenten Benutzer positiv bewertet wurde. Wer der Benutzer war, ist nicht mehr anhand unserer Datenbestände nachvollziehbar, da die Datensammlung auf die Bezug genommen wird, nicht mehr existiert. Es wird dann angegeben, dass die Bewertung durch einen "anonymen Benutzer" stattfand. Reicht es aus bei einem Löschantrag die oben beschriebene Datensammlung zu löschen, oder müssen auch die besagten relationalen Daten gelöscht werden?

Vielen Dank für Ihre Mithilfe.


Entbindung der Schweigepflicht!?

Hallöchen,
ich habe lange in diesem (und anderen Foren) nach einem Procedere gesucht- leider nix dazu gefunden.

Hier meine Anfrage:

Ich bin der bDSB in einem großen (regionalen) ambulanten Pflegedienst. Selbstverständlich haben wir Pflegeverträge mit unseren Kunden. Darin nicht implementiert ist die Entbindung der Schweigepflicht des Kunden bei z.B. der Begutachtung durch den MDK.
Bisheriges Procedere dabei (Auskunft unserer Fachaufsicht Pflege): "Wir fragen den Kunden mündlich, ob er mit der Begutachtung einverstanden ist. Sollte der Kunde verneinen, so entstehen ihm dadurch keinerlei Nachteile."
Dies kann ich so bestätigen.
Dennoch ist mir bei diesem Vorgehen etwas unwohl- handelt es sich bei unseren Kunden doch auch um demenziell Erkrankte, psychisch Kranke- teilweise mit bipolaren Störungen, etc. Obwohl ich unserer Fachaufsicht in Hinsicht auf Auswahl der "Vorzeigeobjekte" vertraue steckt der Teufel doch hier im Detail, da es nichts schriftliches gibt.

Idden? Vorschläge?
Lieber Gruß!


Beschaffungsplattformen

Hallo DS-Gemeinde,

ich habe da mal eine Frage. :D

Situation
Bei uns soll eine Beschaffungsplattform, in diesem Fall Mercateo.com, eingesetzt werden, über welche die C-Teile-Beschaffung optimiert werden soll. Dazu betreibt Mercateo eine Web-Plattform, über welche der Kunde bei verschiedenen Lieferanten Material bestellen kann. Hierzu wird die Bestellung über das Webportal erfasst, welches aus dem Beschaffungsprozess innerhalb des SAP aufgerufen wird. Dabei kommt der Vertrag zwischen Lieferant und Besteller zustande, Mercateo ist dort außen vor. Also ähnlich Ebay. Die Daten werden dann von Mercateo an das SAP zurückgeliefert (sichere Verbindung). Das Betreiben der Plattform wiederum, auf welcher auch die Log-In-Daten der Besteller gespeichert und verarbeitet werden, erfolgt allerdings im eigenen Geschäftsinteresse der Mercateo.

Beurteilung
Aufgrund der Tatsache, dass Mercateo die Plattform im eigenen Geschäftsinteresse betreibt und "unsere" Daten dort lediglich zu Authentifizierungszwecken verarbeitet werden, neige ich dazu, nicht von einer ADV auszugehen. Andererseits werden per Datenaustausch SAP/Mercateo und per EDI auch Bestell- und Rechnungsdaten zurückgeliefert. Eine vertrackte Situation. :rolleyes:

Was denkt Ihr?

Beste Grüße Stefan


dimanche 6 septembre 2015

Bundestag- Ausarbeitungen der Wissenschaftlichen Dienste - nur für Dokumente ab 2006?

Hallo,

mich würde interessieren, ob der Bundestag, der Zugang zu Ausarbeitungen der Wissenschaftlichen Dienste gewähren muss (Urteil des Bundesverwaltungsgerichts vom 25.06.2015 (Az. BVerwG 7 C 1.14 / BVerwG 7 C 2.14 – Pressemitteilung vom 25.06.2015 (http://ift.tt/1i5P9SR) dies nur muss, wenn die Ausarbeitung nach dem Inkrafttreten des IFG am 01.01.2006 entstanden ist.

Dies meint das zuständige Referat des Deutschen Bundestages in einem Antwortschreiben an mich.

Ich habe ein erstelltes Gutachten der Wissenschaftliche Dienste des Deutschen Bundestages, welches vor dem Inkrafttreten des IFG entstanden ist angeordert.

Die Herausgabe dieses Gutachtens wird verweigert bisher, das das Gutachten 2005 in Auftrag gegeben wurde und erstellt wurde und nicht 2006.

Ist diese Rechtsauffassung der Verwaltung des Deutschen Bundestages angesichts des Urteils des Bundesverwaltungsgerichts (in dem ich keine solchen rechtlichen Konditionen erkennen kann) haltbar?

Wenn ja, welcher Zeitpunkt für ein per IFG-angefragtes Dokument gilt dann:

Wann es in Auftrag gegeben wurde?

Wann es fertiggestellt wurde?

Wann es veröffentlicht wurde?

oder ob es zum Zeitpunkt 01.01.2006 (in irgendeiner Form in den Akten der anfragenden Behörde/Verwaltung) existierte ?

Vielen Dank für die Antwort....


samedi 5 septembre 2015

Beiträge anders anordnen

Hey,
ich bin neu hier im Forum und wollte mich erst einmal einlesen.. Ist vielleicht nur ein Schönheitsfehler, aber was ich sehr verwirrend finde, ist, dass die neuesten Beiträge in einem Thema immer ganz oben stehen und man dann nach ganz unten muss, um den Eröffnungspost zu finden. Kann ich das irgendwie einstellen, dass es mir anders angezeigt wird? Kenne das von anderen Foren überhaupt nicht so.

Gruß xeocad


jeudi 3 septembre 2015

IT-Mitarbeiter und DSB - kann die Bestellung nachträglich widerrufen werden?

Hallo,
ich bin seit einigen Monaten DSB in unserem Unternehmen. Parallel arbeite ich noch in unseren Schwesternunternehmen als DSB.
Vor einigen Wochen kam von der Behörde eine Anfrage und jetzt heißt es - ich kann kein DSB sein - da ich auch in der EDV tätig bin.
Ist das einfach so möglich?

Gruß
DSB-NRW


externe MA sollen Kundendaten erhalten (SMS oder E-Mail)

Hallo zusammen,

folgene Sache ist zu lösen:

Ein potentzieller Kunde ruft bei der Firma A an und würde gerne einen Beratungstermin für ein bestimmtes Produkt dieser Firma A bei sich zu Hause haben.
Der Mitarbeiter der Firma A nimmt die Daten des Kunden auf (Name, Straße, PLZ, Ort, Rufnummer) und beauftragt nun via "modernes MEDIUM" den externen Mitarbeiter (selbstsändig), dass er sich mal bei der Kundin meldet um einen Termin abzusprechen.

Das Handy des externen MA ist ein privates Handy.

Welche Form der Übermittlung darf genutzt werden, dass die Kundin ihren Anruf bekommt, bzw. der externe MA eine Nachricht erhält mit den Daten? Darf dieses per E-Mail geschehen? Muss die Kundin wissen, dass wir externe MA´s dafür beauftragen?

Ist ja wohl ADV, aber mir ist hier wichtig, wie und was ich an den externen MA an Daten der Kundin übermitteln darf.

Danke
Kieler


Fragebogen für Abschlussarbeit mit verschiedenen Unternehmen

Hallo zusammen,

derzeit plane ich meine Bachelor-Thesis, bei der ich Auszubildende und Ausbildungsverantwortliche verschiedener Betriebe mittels Fragebogen ansprechen möchte. Ich bin mir unsicher, welche rechtlichen Punkte es zu beachten gibt und möchte natürlich vorbereitet sein. Zweifel an der Anonymität der Studie, die selbstverständlich in Kooperation mit der Universität stattfindet, könnte direkt zu absagen führen. Somit also die Frage, bevor ich den Akquiseprozess starte:

Welche datenschutzrechtlichen Bedenken könnten Unternehmen haben?

Noch ergänzend: Es geht nicht um eine Einschätzung zur MA-Zufriedenheit oder Ähnlichem, sondern um die Einschätzung der Entwicklung von Schlüsselkompetenzen.

Ich bedanke mich für jeden Tipp oder Hinweis und ergänze gerne weiter Informationen!

Freundliche Grüße


mardi 1 septembre 2015

Wiedermal ein Abwesenheitskalender

Moin,

nachdem ich glaubte in unserem Unternehmen den für jeden einsehbaren, allumfassenden Kalender mit Urlaubs-, Krankheits- u. Abwesenheitstagen ausgemerzt zu haben, entedeckte ich in der letzten Woche - Überraschung! - eine neue Excelliste in der tatsächlich wieder säuberlich aufgelistet ist, wer wann warum nicht da ist.

Die Nachfrage bei der IT, mit der ich vorher eine saubere Lösung für einen Abwesenheitskalender ohne Detailinformationen erarbeitet hatte, sowie einer Kurzumfrage bei den Kollegen ergab, das diese Liste offenbar freiwillig geführt wird, weil die betreffenden Kollegen das offenbar für notwendig halten. Es handelt sich nicht um die gesamt Belegschaft, sondern um die Abteilungen die permanent eng zusammenarbeiten und sich auch terminlich abstimmen müssen.

Meine Frage ist jetzt: kann ich das durchgehen lassen, da diese Liste nicht vom Unternehmen gefordert ist sondern freiwillig von jedem einzelnen gespeist wird oder muß ich intervenieren?

Bin gespannt...:)


ADV Frage zu § 9 TOM

Guten Morgen!

Ich habe gerade meinen ersten ADV-Vertrag entworfen und bin mir etwas unsicher bzgl. den technischen und organisatorischen Maßnahmen nach § 9 BDSG. Deshalb meine Frage:

Wenn ich Nachfolgendes im ADV-Vertrag stehen habe, bedarf es trotzdem einer entsprechenden "Checkliste" bzw. Anlage zum ADV-Vertrag? Der Auftragnehmer hat uns bereits einen Fragebogen ausgefüllt (Vorabkontrolle).


§ 5 Technische und organisatorische Maßnahmen nach § 9 BDSG

Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.

Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42 a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42 a BDSG zu unterstützen.

Viele Grüße
pusteblume