Moin zusammen,

heute erhalten Sie ein paar aktuelle Infos zum Datenschutz:

1. Betroffenenanfrage – und nun?
2. Datenschutzlöschung – wann muss ich löschen?
3. AUA! Ich bin ein Datum und wurde verletzt.

Bitte melden Sie sich gerne bei uns, wenn durch das Lesen Fragen entstehen. Wir beantworten sie wirklich gerne!

Mit freundlichen Grüßen Jörg Stockmann, eDSB

1. Betroffenenanfrage – und nun?

Geschrieben von

Bernd Schultz Datenschutz Consultant bs@avallon.de

Die Wahrung der Rechte betroffener Personen ist eine Aufgabe im Datenschutz, die uns alle betrifft. Jede/r Mitarbeitende kann im Rahmen ihrer oder seiner Tätigkeiten eine Anfrage Betroffener Personen erhalten. Im nachfolgenden Artikel erfahren Sie, wie und welche Anfragen Betroffener an Ihr Unternehmen oder Ihrer Organisation gestellt werden können. Gleichzeitig zeigen wir Ihnen auf, wie Sie am besten damit umgehen, wenn eine Person eine Anfrage an Sie richtet.

Die Gesetzgeber haben im Rahmen der Datenschutzgesetzgebung jeder natürlichen Person umfangreiche Rechte, wie ein Unternehmen oder eine Organisation mit den personenbezogenen Daten umgehen muss, eingeräumt.

Um ein Recht wahrnehmen zu können, wurde in den Verordnungen und Gesetzen die Möglichkeit geschaffen, Anfragen an die Unternehmen oder Organisationen zu richten, über die die betroffenen Personen Ihre Rechte einfordern können. Dies sind die so genannten „Anfragen betroffener Personen“ oder „Betroffenenanfragen“.

Wie können Betroffenenanfragen von Personen, die vermuten, dass Ihr Unternehmen/Ihre Organisation personenbezogene Daten verarbeitet, Anfragen an die oder den Veranwortlichen stellen?

• Per E-Mail bei der verantwortlichen Stelle/Mitarbeitenden/eDSB
• Per Post bei der verantwortlichen Stelle oder der/m eDSB
• direkt in der Ligatur (dem Datenschutz Management System Ihres Unternehmens)
• mündlich (auch im Rahmen einer Videokonferenz oder in einem Telefonat)

Welche Betroffenenanfragen kann eine betroffene Person an Ihr Unternehmen oder an Ihre Organisation stellen?

• Auskunft – Eine Person möchte wissen, welche personenbezogenen Daten von Ihr wie verarbeitet werden.

• Einschränkung – Eine Person möchte, dass ihre personenbezogenen Daten nicht durch jede/n (auch berechtigten Mitarbeitende/n) verarbeitet werden.

• Datenübertragbarkeit – Eine Person möchte, dass die über sie gespeicherten Daten an sie oder eine von ihr benannte Dritte als digitale Daten in einem maschinenlesbaren Format übertragen werden. (Als maschinenlesbar gelten digitale Daten immer dann, wenn diese inhaltlich über automatische Verfahren gelesen und weiterverarbeitet werden können.)

• Berichtigung – Eine Person geht davon aus, dass ihrem Unternehmen oder ihrer Organisation nicht die richtigen personenbezogenen Daten über sie vorliegen und bittet, diese zu berichtigen.

• Löschung – Eine Person möchte, dass durch ihr Unternehmen oder ihre Organisation verarbeitete personenbezogene Daten über sie gelöscht werden.

• Widerspruch – Eine Person widerspricht einer zukünftigen Verarbeitung ihrer personenbezogenen Daten, die ihr Unternehmen oder ihre Organisation auf Basis der oder des berechtigten/kirchlichen oder des berechtigten Interesses Dritter verarbeitet.

• Widerruf der Einwilligung – Eine Person möchte eine Ihrem Unternehmen oder Ihrer Organisation gegenüber erteilte Einwilligung widerrufen.

Alle Betroffenenanfragen müssen keine besondere Form haben und können beliebig durch die Person, die eine Anfrage stellt, kombiniert werden.

Wann muss eine Betroffenenanfrage beantwortet werden?

Die Frist, um eine betroffene Person zweifelsfrei zu identifizieren und die Betroffenenanfrage zu beantworten, beträgt in der Regel einen Monat. Diese Zeit klingt lang, es müssen jedoch je nach Art und Umfang verschiedene Maßnahmen durch Ihr Unternehmen umgesetzt werden. Daher ist es wichtig, dass Betroffenenanfragen zeitnah an die/den DatenschutzkoordinatorIn zur weiteren Bearbeitung übergeben werden.

Empfehlung:

Wenn Sie im Rahmen Ihrer beruflichen Tätigkeit eine der oben genannten Betroffenenanfragen erhalten, informieren Sie umgehend die/den DatenschutzkoordinatorIn Ihres Unternehmens oder Ihrer Organisation und teilen dieser Person alle Ihnen zur Verfügung stehenden Informationen zu der Betroffenenanfrage mit.

Sollte Ihnen für Ihr Unternehmen oder Ihre Organisation kein/e DatenschutzkoordinatorIn bekannt sein, teilen Sie Ihrer/m externen Datenschutzbeauftragten bzw. externen örtlich Beauftragten für den Datenschutz alle Ihnen zu der Betroffenenanfrage zur Verfügung stehenden Informationen mit.

Quellen: Es wurden keine externen Quellen für diesen Artikel verwendet.

2. Datenlöschung: Wann muss ich löschen?

Geschrieben von

Karol Kruczynski Datenschutz Consultant kk@avallon.de

Jede/r von uns hat im Datenschutz das Recht darauf vergessen zu werden. Das bedeutet, dass kein Datum zu unserer Person für immer von Unternehmen gespeichert werden darf. Doch woher weiß ich als Mitarbeitende/r eines Unternehmens, wie lange ich personenbezogene Daten, mit denen ich arbeite, aufbewahren bzw. speichern darf? Es unterstützt Sie hierbei die Datenschutzgrundverordnung, Spezialgesetze mit Aufbewahrungsfristen, die oder der Datenschutzbeauftragte und DatenschutzkoordinatorIn ihres Unternehmens sowie ggf. das Löschkonzept ihres Unternehmens.

Wie lange ein Datum gemäß Datenschutzrecht im Grundsatz gespeichert werden darf, ist nach dem Datenschutzgrundsatz der Speicherbegrenzung bestimmt. Eine Löschfrist wird entsprechend der Antworten zu folgenden Fragen festgelegt:

• Habe ich noch einen Zweck für die Speicherung/Aufbewahrung dieses Datums?
• Wofür brauche ich das Datum im Verhältnis zu der betroffenen Person?
• Wenn ich das Datum der Person gar nicht mehr benötige:
• Gibt es für das Datum gesetzliche Aufbewahrungspflichten, die eingehalten werden müssen?
• Die Aufbewahrungspflicht ist ebenfalls ein Zweck zur Speicherung/Aufbewahrung.
• Welche Länge haben die Fristen und wann beginnen diese?
• Sind Fristen erreicht oder noch gültig?

Werden alle Fragen negativ beantwortet, ist das Datum zu löschen. Das Recht auf Vergessenwerden der betroffenen Person ist dann zu erfüllen.

Ein Beispiel:

• Der Zweck für die Aufbewahrung eines KundInnen-Vertrags ist die Erfüllung dieses Vertrags z.B. für eine Dienstleistung, die gegenüber der Person erbracht wird.

• Ist die Dienstleistung erfolgt, so bedarf es für diesen Zweck auch nicht mehr der Aufbewahrung des Vertrags.

• ABER ACHTUNG:
  Für Verträge jeglicher Art gilt gemäß § 257 Absatz 4 HGB eine Aufbewahrungspflicht von 6 Jahren. Diese beginnt mit dem Ende der Beziehung zu der betroffenen Person.

• Im Ergebnis ist der Vertrag 6 Jahre nach Erbringung der Leistung, also nach Ende der Beziehung zu der betroffenen Person, zu vernichten.

Empfehlung:

Seien Sie sich in ihrem Einsatzbereich bewusst, welche Löschfristen für die Daten, mit denen sie arbeiten, relevant sind. Hinterfragen Sie zunächst, wofür das Datum überhaupt gespeichert oder aufbewahrt wird. „Haben wir einen Zweck das Datum weiterhin zu behalten?“.

Gesetzliche Löschfristen zu bestimmen ist keine einfache Aufgabe und sollte stets mit der/m DatenschutzkoordinatorIn Ihres Unternehmens oder der/m Datenschutzbeauftragten kommuniziert werden. Bestenfalls besteht in Ihrem Unternehmen bereits ein Löschkonzept, welches Ihnen die notwendige Übersicht liefert.

Quellen: Es wurden keine externen Quellen für diesen Artikel verwendet.

3. AUA! Ich bin ein Datum und wurde verletzt.

Geschrieben von

Karol Kruczynski Datenschutz Consultant kk@avallon.de

Datenschutz bedeutet auch Daten vor Verletzung dieser zu schützen. Im Arbeitsalltag sind die Beschäftigten, die täglich mit diesen Daten arbeiten, diejenigen, denen eine solche Verletzung am schnellsten auffallen kann. Sie erfahren, was Sie über Verletzungen von Daten wissen müssen und wie Sie bei einer Verletzung handeln sollten.

Ganz wichtig: Eine Datenschutzverletzung ist nicht per se ungewöhnlich und bei richtigem Umgang in den meisten Fällen nichts Schlimmes. Schauen Sie nicht über Datenschutzverletzungen hinweg, sondern helfen Sie Ihrem Unternehmen einen besseren Schutz der Daten herzustellen.

Die Verletzung des Schutzes personenbezogener Daten ist nicht gleichgesetzt mit einer Absicht jemanden schaden zu wollen. Die meisten Datenschutzverletzungen passieren unbeabsichtigt. Unterläuft ihnen also ein Fehler mit personenbezogenen Daten, so gibt es keinen Grund diesen „unter den Teppich zu kehren“.

Eine Datenschutzverletzung liegt vor, wenn Daten unbeabsichtigt oder unrechtmäßig:

• vernichtet werden
• verloren gehen
• verändert werden
• gegenüber Unbefugten offengelegt werden bzw. Unbefugte Zugang zu Daten erhalten

Diese Fehler können bei jeglicher Verarbeitung von Daten geschehen, insbesondere bei Übermittlung oder Speicherung von Daten.

Die Pflicht:

Ihr Unternehmen ist dazu verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden an eine Datenschutzbehörde zu melden. Diese 72 Stunden beginnen mit dem Bekanntwerden der Verletzung. Bemerken Sie eine Datenschutzverletzung, so schaden sie damit nicht ihrem Unternehmen.

Im Gegenteil, Sie helfen dem Unternehmen, die Pflicht einer Meldung zu erfüllen. Zusätzlich hat Ihr Unternehmen eine Chance, die Verletzung von Daten zu beseitigen und für die Zukunft ähnliche Fälle durch geeignete Maßnahmen zu verhindern.

Empfehlung:

Bemerken Sie eine Datenschutzverletzung, so melden Sie diese an eine/n Vorgesetzte/n, die/den DatenschutzkoordinatorIn des Unternehmens oder direkt an die/den Datenschutzbeauftragte/n. Jegliche Verbesserung des Datenschutzes, die aus dem Bekanntwerden von Fehlern entsteht, schützt nicht nur die Daten der Personen, mit denen Ihr Unternehmen zusammenarbeitet, sondern auch Ihre eigenen als Beschäftigte des Unternehmens.

Quellen: Es wurden keine externen Quellen für diesen Artikel verwendet.

So, liebe Leserinnen und Leser, das waren unsere Informationen für heute. Bei Rückfragen oder Anregungen können Sie das Team der Avallon gerne kontaktieren. Wir sind per Mail an dsb @ avallon.de oder über unsere DSB-Serviceline unter 04941 9839071 für Sie da.

Wir wünschen Ihnen weiterhin eine schöne Woche!

Ihr Datenschutzbeauftragter Jörg Stockmann

Oldenburg, 08.04.2025

Anlässlich des 40jährigen Jubiläums eines unsere Mandanten, der Oldenburger Kunstschule, haben wir mit einem Avallon-Team bei der Aktion „Meine Welt – Deine Welt“ mitgemacht. Dazu kam Georg Lisek von der Kunstschule ins Büro und fotografierte uns (Jörg Stockmann, Sandra Behrends, Martin Beckmann, Mia Stockmann, Jutta Schober-Stockmann) in einer typischen Situation. Fast. Wir saßen zusammen auf dem Sofa und haben Unterlagen geschreddert. Das können wir super assoziieren – auch wenn wir normalerweise dabei nicht auf dem Sofa sitzen. Und normalerweise unsere Enkelin nicht dabei ist…

Danach sind wir ohne Geschäftsführer ins Kunstschulen-Atelier in den Schloßhöfen gewandert und haben unser Foto (an die Wand projiziert) mit den vier Farben der Kunstschule gestaltet: weiß, gelb, orange und blau. Blau gefiel uns dabei besonders gut…

Am 18.10.2024 waren wir bei der feierlichen Ausstellungseröffnung „40 Jahre Oldenburger Kunstschule“ im Oldenburger Schloß dabei.

Auf der Homepage der Oldenburger Kunstschule werden unter dem Projekt „Meine Welt – Deine Welt“ nach und nach nun die Standorte der Plakatwände und Litfaßsäulen mit Leben erfüllt. Am Standort Osterstraße 14 sieht man schon, wo unter „Avallon“ in Kürze die Fotos zu sehen sein werden.

Lennard Zirks, Junior Datenschutz Consultant, unser neuestes Avallon-Teammitglied, interessiert sich sehr für sie. Der Wirtschaftswissenschaftler fährt wirklich täglich 40 km mit dem Rad 🚲. Von -10°C ❄️bis 35°C ☀️☀️. Sollte das an einem Tag mal nicht klappen, setzt er 6 km Laufen oder ein „äquivalentes Workout“ um – seit einem Neujahrsvorsatz vom 1.1.2022. Chapeau.

In seiner Bachelorarbeit befasste er sich mit den Auswirkungen des Ukrainekriegs auf den Weltagrarmarkt und die Maßnahmen der EU. Selbstredend verfolgt er täglich das politische und wirtschaftliche Geschehen. Weiterhin sind Sprachen ein Fokus: Englisch spricht er so gut wie Deutsch und Koreanisch lernt er seit dem 1.1.2023.

Wir werden ihn demnächst mal fragen, was sein Vorsatz vom 1.1.2024 war…

Ein Zitat, dass recht gut zu Timo Reents, unserem IT-Consultant für KI und Ligatur und Junior Datenschutz Consultant passt. Er ist nicht nur bereits Kaufmann E-Commerce, sondern seit dem Wintersemester 2024 auch Studierender der Informatik im Praxisverbund der Hochschule in Emden-Leer. Und natürlich verbringt er auch außerhalb seiner Arbeits- und Studienzeit viele Stunden an seinem Computer. Klar. Aber Inlinern und Skateboard-Fahren kann er auch und macht er auch oft.

Timo Reents ist genau wie Avallon ein Befürworter des dualen Studiums, da die Kombination von Theorie und Praxis perfekt für beide Seiten ist. Und für unsere Mandanten.

Bleibt nur noch zu erwähnen, dass er neue Vorhaben mit Bedacht und Umsicht angeht, was sehr gut zu seiner sehr offenen, freundlichen und ruhigen Art passt.

*soll ein Nerd-Zitat sein.