Archiv der Kategorie: IT-Recht

Händler haftet nicht für Kundenbewertung auf Amazon

BGH-Urteil vom 20.02.2020

Der Bundesgerichtshof hat in einem neuen Grundsatzurteil entschieden, dass Verkäufer, die Ihre Produkte über Online-Handelsplattformen wie Amazon vertreiben, nicht für irreführende Kundenbewertungen haften müssen.

Auslöser des Rechtsstreits waren sogenannte Kinesiologie-Tapes, eine Art Medizinprodukt, die über Amazon verkauft wurden. Zahlreiche Kundenbewertungen beschreiben diese Baumwollbänder als wahre Wundermittel gegen Schmerzen. Kundenrezensionen enthielten unter anderem Hinweise wie „schmerzlinderndes Tape!“, „This product is perfect for pain…“ und „Die Schmerzen gehen durch das Bekleben weg“. Eine solche Wirkung ist jedoch bislang medizinisch nicht nachgewiesen worden. 

Der Verband Sozialer Wettbewerb (VSW) hatte den Händler schon in der Vergangenheit erfolgreich darauf verpflichtet, mit seinen eigenen Behauptungen wie gesundheitsfördernd oder schmerzlindernd  nicht mehr zu werben. Mit Blick auf die gesetzlichen Irreführungsverbote in §§ 3 HWG, 5 UWG ist die Werbung mit gesundheitsbezogenen Angaben für Medizinprodukte von der deutschen Rechtsprechung seit jeher durch das sogenannte Strengeprinzip geprägt (vgl. BGH, Urt. v. 06.02.2013, Az. I ZR 62/11).

In dem Rechtsstreit vor dem Bundesgerichtshof ging der Verband einen Schritt weiter und sah durch die Kundenbewertungen auf Amazon die abgegebene Unterlassungserklärung verletzt, da sich der Verkäufer die Rezensionen der Kunden zurechnen lassen müsse. Aus diesem Grund verlangte der VSW die Zahlung einer Vertragsstrafe sowie Unterlassung der in den Kundenbewertungen enthaltenen irreführenden Angaben. 

Der BGH hat er sich in vollem Umfang der Auffassung der Vorinstanz angeschlossen. Der beklagte Händler habe mit den Kundenbewertungen weder selbst aktiv geworben noch diese veranlasst, noch habe er sich die Kundenbewertungen zu eigen gemacht, indem er die inhaltliche Verantwortung für diese übernommen habe. Die Kundenbewertungen seien vielmehr als solche gekennzeichnet und fänden sich bei Amazon getrennt vom Angebot des Händlers. Sie würden von den Verbrauchern auch nicht der Sphäre des Händlers zugerechnet, so die Karlsruher Richter.

Ausschlaggebend ist nach Feststellung des BGH weiterhin, dass Kundenbewertungssysteme auf Online-Marktplätzen gesellschaftlich erwünscht sind und verfassungsrechtlichen Schutz genießen. Das Interesse der Verbraucher, sich zu Produkten zu äußern und sich vor dem Kauf über Eigenschaften, Vorzüge und Nachteile aus verschiedenen Quellen zu informieren oder auszutauschen, sei durch das Grundrecht der Meinungs- und Informationsfreiheit geschützt. Für eine konkrete Gesundheitsgefährdung, die dieses Grundrecht hätten aushebeln können, habe es jedoch keinen Anhaltspunkte gegeben, so der BGH (Az. I ZR 193/18).

Rechtliche Anforderung an E-Health Produkte

Der Begriff E-Health dient als Sammelbegriff für die Anwendung elektronischer Technologien und Medien im Gesundheitssektor. Er umfasst Hilfsmittel und Dienstleistungen bei denen Informations- und Kommunikationstechnologien zum Einsatz kommen und zwar in den unterschiedlichen Bereichen, wie bei der Diagnose, Behandlung und Überwachung im Gesundheitswesen. 

Der rasante Fortschritt und die Entwicklung in diesem Bereich sind nicht zu übersehen. Innovationen wie die elektronische Patientenakte, Health-Apps  und sog. Wearables, Videosprechstunden stellen nur einige Neuerungen dar. 

E-Health-Produkte wie Health-Apps unterliegen verschiedenartigen rechtlichen Bestimmungen. Aus diesem Grund müssen die Anforderungen bereits in der Planungs- und Entwicklungsphase bedacht werden, da sie für den Marktzugang und die Vermarktung von essentieller Bedeutung sein können. Im Folgenden sollen einige rechtliche Aspekte dargestellt und erläutert werden. 

1. Medizinprodukte: die CE-Zertifizierung

Das Medizinprodukterecht spielt dann eine große Rolle, wenn E-Health Anwendungen als Medizinprodukt zu qualifizieren sind.  Dies hat unmittelbare Konsequenzen für die Frage, unter welchen Voraussetzungen die App überhaupt in den Verkehr gebracht werden darf gem. § 6 MPG. Medizinprodukte dürfen, bis auf wenige Ausnahmen, nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie mit einer CE- Kennzeichnung versehen sind, wofür wiederum in den meisten Fällen ein  entsprechendes “Konformitätsbewertungsverfahren” durchgeführt werden muss. Damit unterliegt vor allem Software strengeren Klassifizierungsregeln und damit einhergehend auch steigenden Dokumentations- und Prüfungsanforderungen.

2. Erstattung durch Krankenkassen

Innovationen müssen für Krankenkassen einen medizinischen oder ökonomischen Nutzennachweis erbringen. E-Health Anwendungen sollten nicht nur einen nachweislichen Mehrwert für Patienten, den Leistungserbringer oder die Gesellschaft schaffen. Vielmehr stellt ein positives Kosten-Nutzen-Verhältnis für alle beteiligten Akteure ein entscheidendes Argument für den Eintritt in den ersten Gesundheitsmarkt dar.

3. Datenschutz

Durch die Digitalisierung im Gesundheitswesen entstehen neuartige Produkte, die häufig die Übermittlung von Patientendaten mit sich bringen. Damit stehen die Erfinder vor zahlreichen Anforderungen, die den Datenschutz betreffen. Das Datenschutzkonzept muss dabei die nötigen technischen und organisatorischen Maßnahmen umsetzen. Dazu gehört u.a. die Zugangs- und Zugriffskontrolle. 

Außerdem sind in diesem Zusammenhang die Wahrung der Informationspflichten gegenüber den Patienten von großer Bedeutung, insbesondere, wenn externe Dritte mit der Verarbeitung von Daten beauftragt werden. 

4. Heilmittelwerbegesetz

Nach dem Heilmittelwerbegesetz ist es verboten, für verschreibungspflichtige Medikamente zu werben. Es regelt auch, welche Werbeaussagen für Medizinprodukte zulässig sind. Stets sind bei Medizinprodukten die strengen Anforderungen an die Richtigkeit, Eindeutigkeit und Klarheit von Werbeaussagen zu beachten. Dies gilt zum Beispiel nicht nur für die Medical App selbst, sondern auch für gegebenenfalls in der Medical App enthaltene gesundheitsbezogene Werbung, für die ein App-Entwickler ebenfalls regelmäßig haftet.

5. Ärztliche Schweigepflicht und Fernbehandlungsverbot

Bei der Entwicklung von E-Health-Angeboten wirkt weiterhin die ärztliche Schweigepflicht als wesentlicher Faktor. Ärzte müssen das, was ihnen in ihrer ärztlichen Eigenschaft anvertraut oder bekannt geworden ist, für sich behalten. Die Schweigepflicht ist außerdem Nebenpflicht aus dem Behandlungsvertrag und somit haftungsrelevant. Zudem wird gem. § 203 I StGB bestraft, wer unbefugt ein fremdes Geheimnis  namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis, offenbart, das ihm als Arzt oder Ärztin anvertraut worden oder sonst bekannt geworden ist. Daraus folgt, dass auch im Rahmen von E-Health die Weitergabe von Informationen grundsätzlich nur mit eindeutiger Einwilligung des Patienten möglich ist. 
Bis 2018 enthielt § 7 MBO-Ä (Behandlungsgrundsätze und Verhaltensregeln) in Absatz 4 ein Verbot der Fernbehandlung. Ärzten und Ärztinnen war es berufsrechtlich untersagt individuelle ärztliche Behandlung, insbesondere auch Beratung, ausschließlich über Print- und Kommunikationsmedien durchführen. Demnach waren nur solche telemedizinischen Anwendungen zulässig, die eine Behandlung unterstützen, nicht aber solche, die an die Stelle des persönlichen und unmittelbaren Kontakts zwischen Arzt bzw. Ärztin und Patienten traten. 

Die Neufassung des § 7 Abs. 4 MBO-Ä lautet nunmehr: „Ärztinnen und Ärzte beraten und behandeln Patientinnen und Patienten im persönlichen Kontakt. Sie können dabei Kommunikationsmedien unterstützend einsetzen. Eine ausschließliche Beratung oder Behandlung über Kommunikationsmedien ist im Einzelfall erlaubt, wenn dies ärztlich vertretbar ist und die erforderliche ärztliche Sorgfalt insbesondere durch die Art und Weise der Befunderhebung, Beratung, Behandlung sowie Dokumentation gewahrt wird und die Patientin oder der Patient auch über die Besonderheiten der ausschließlichen Beratung und Behandlung über Kommunikationsmedien aufgeklärt wird.“ Unter Einhaltung der beschriebenen Voraussetzungen lässt die Berufsordnung nun jedoch die Fernbehandlung zu. Zumindest wird die Videosprechstunde damit rechtlich akzeptiert, was jedoch nicht bedeutet, dass nunmehr die ärztliche Fernbehandlung grundsätzlich rechtlich toleriert wird.

Gerne begleitet Sie Frau Zelzili auf Ihrem Weg und unterstützt Sie bei allen rechtlichen Fragen zum Thema E-Health und Digitalisierung.

Beschäftigtendatenschutz

I. Einführung

Grundsätzlich ist jede Verarbeitung von personenbezogenen Daten zunächst unzulässig, es sei denn es liegt ein sog. „Erlaubnisgrund“ vor. Ein solcher ist zu bejahen, wenn die Datenverarbeitung erforderlich ist, eine Einwilligung vorliegt oder wenn Straftaten aufgedeckt werden sollen. Dieser Beitrag soll einzelne Bereiche aus dem Beschäftigungsverhältnis aufgreifen und vor dem Hintergrund des Datenschutzes beleuchten. 

II. Bewerbungsverfahren

Die Erhebung und Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist grundsätzlich unzulässig gem.Art. 9 Abs.1 DSGVO. Die Grenze der Datenerhebung bildet die Begrenzung des Fragerechts des Arbeitgebers. Insofern stellen Fragen des Arbeitgebers zu diesen Merkmalen einen Eingriff in das allgemeine Persönlichkeitsrecht der Bewerber dar und verletzen damit das informationelle Selbstbestimmungsrecht. Aus diesem Grund sind Fragen zum Beispiel nach der Schwerbehinderung und Schwangerschaft schlicht unzulässig.

Ausnahmsweise ist die Verarbeitung erlaubt, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt, siehe § 26 Abs.3 S.1 BDSG. Das bedeutet, dass im Einstellungsverfahren nur Fragen zu Merkmalen gestellt werden dürfen, die für die Erfüllung der erwarteten arbeitsvertraglichen Pflichten wesentliche Voraussetzung für den konkreten Arbeitsplatz darstellen. 

Künftige Kurierfahrer dürfen also nach Verkehrsdelikten gefragt werden oder Buchhalter nach Betrugsdelikten. 

Nach Abschluss des Bewerbungsverfahrens hat der abgelehnte Bewerber grundsätzlich einen Löschungsanspruch bezüglich seiner persönlichen Daten, Art. 17 Abs.1 DSGVO, § 35 BDSG.

III. Umgang mit Arbeitnehmerdaten während des Beschäftigungsverhältnisses

Aus den oben genannten Gründen ist auch die Erfassung von Arbeitnehmerdaten nur in Einzelfällen möglich. Folgende Beispiele sollen zur Veranschaulichung dargestellt werden. Die Stammdaten eines Arbeitnehmers dürfen für Zwecke der Gehaltsabrechnung sowie der Kontaktaufnahme vom Arbeitgeber gespeichert werden. Ausbildungszeiten und Prüfungsbescheinigungen dürfen vom Arbeitgeber dokumentiert werden. Ebenso darf der Arbeitgeber Krankheits- und Fehltage für die Gehaltsabrechnung erfassen. Der Arbeitgeber darf rechtlich zulässige Ermahnungen und Abmahnungen dokumentieren und zu den Personalakten nehmen. Die Erfassung der Arbeitszeit, z.B. elektronisch, ist rechtlich zulässig, wenn die Arbeitsleistung für eine bestimmte Dauer geschuldet ist.

IV. Umgang mit Arbeitnehmerdaten nach Beendigung des Arbeitsverhältnisses

Aufgrund der Zweckbindung, Art. 5 Abs. 1b DSGVO, und der jederzeitigen Widerrufbarkeit  gilt die Einwilligung nur für den Zeitraum des Beschäftigungsverhältnisses. Folglich muss der Arbeitgeber unmittelbar nach Ende des Arbeitsverhältnisses Daten, insbesondere auch das persönliche Mitarbeiterprofil auf der Homepage des Unternehmens, löschen.

V. Anwendungen in der betrieblichen Praxis

1. Telefonüberwachung am Arbeitsplatz

Für die rechtliche Bewertung ist stets zwischen dienstlicher und privater Nutzung einerseits und der Überwachung der Verbindungsdaten und dem Zugriff auf den Inhalt der Kommunikation andererseits zu unterscheiden.

Bei dienstlichen Telefonaten ist eine Kontrolle der Verbindungsdaten (Tag, Uhrzeit, Beginn und Ende der Telefonate, Daten der korrespondierenden Teilnehmer) grundsätzlich gestattet, da durch die reine Kontrolle der Verbindungsdaten keine inhaltliche Überwachung vollzogen wird.

Das Mithören oder die Aufzeichnung eines Diensttelefonats hingegen ist grundsätzlich unzulässig. Die Verletzung der Vertraulichkeit des Wortes, § 201 StGB, bzw. die Verletzung des Post-, und Fernmeldegeheimnisses, § 206 StGB, sind strafbewehrt. Das Mithören ist jedoch ausnahmsweise zulässig, wenn dem Arbeitnehmer die Kontrolle bekannt ist und er eingewilligt hat. Auch im Bezug auf Ausbildungszwecke kann das Mithören ausnahmsweise erlaubt sein.

Gestattet der Arbeitgeber private Gespräche mit dem Diensttelefon, wird der Arbeitgeber Diensteanbieter im Sinne des Telekommunikationsgesetz (TKG). Er ist an das Fernmeldegeheimnis gebunden, das sowohl den Inhalt als auch die näheren Umstände der Kommunikation erfasst. Kontrollen des Arbeitgebers sind auch hier nur bei Einwilligung des Arbeitnehmers oder Vorliegen eines besonderen Erlaubnistatbestandes zulässig.

2. Überwachung der E-Mail/ Internetnutzung am Arbeitsplatz

Auch in diesem Bereich der Telekommunikation ist zwischen der geschäftlichen und privaten Nutzung von E-Mail und Internet zu unterscheiden.

Bei rein dienstlicher Nutzung, d.h. nicht gestatteter Privatnutzung, bestehen für den Arbeitgeber umfassende Kontrollmöglichkeiten. Der Arbeitgeber ist bei E-Mails wie auch bei der klassischen dienstlichen Post zugriffsbefugt. Es handelt sich üblicherweise um Daten des Arbeitgebers, an denen ein Arbeitnehmer keine Rechte hat. Der dienstlich bereitgestellte Mail-Account zählt zu den Betriebsmitteln, über die der Arbeitgeber entscheidet und die seinem Direktionsrecht unterliegen. Er kann daher die private Nutzung verbieten und bei dienstlicher Kommunikation jederzeit Einsicht verlangen bzw. sich diese anzeigen lassen, sofern nicht die Korrespondenz mit betrieblichen Vertrauensstellen (z. B. Betriebsrat) betroffen ist.

Wird eine private Internet- oder  E-Mail- Nutzung gestattet, wird der Arbeitgeber zum Dienstanbieter im Sinne des TKG mit der Folge, dass der Arbeitgeber grundsätzlich die Kommunikation nicht kontrollieren darf, da die E-Mail/Internetnutzung dem Fernmeldegeheimnis unterliegt. Eine Kontrolle ist nur bei Vorliegen einer Einwilligung des Arbeitnehmers gestattet. Ein Arbeitgeber kann jedoch die  Privatnutzung unter den Vorbehalt der Einwilligung stellen.

Liegt keine Einwilligung seitens des Arbeitnehmers vor, ist eine Missbrauchskontrolle nur im Ausnahmefall möglich. Voraussetzung ist der konkrete Verdacht, dass der Arbeitnehmer den Internetzugang am Arbeitsplatz erheblich missbraucht hat oder eine Straftat begangen wurde.

3. Videoüberwachung am Arbeitsplatz

Die Videoüberwachung von Arbeitnehmern greift in das Recht am eigenen Bild ein, das als Teil des allgemeinen Persönlichkeitsrechts geschützt ist. Sowohl die heimliche als auch die offene Videoüberwachung ist nur unter sehr engen Voraussetzungen möglich.

Hinsichtlich der Prüfung der Rechtmäßigkeit der Datenverarbeitung durch nicht öffentliche Stellen ist auf die Generalklausel in Art. 6 Abs.1 S.1 S. 1 lit. f DSGVO zu verweisen. Die Videoüberwachung muss der Wahrung berechtigter Interessen dienen. Sie muss erforderlich sein, d.h. zur Zweckerreichung geeignet. Alternative Maßnahmen, die weniger stark in das Recht auf Schutz personenbezogener Daten eingreifen, sind im Einzelfall vorzuziehen. 

Frau Zelzili beantwortet Ihnen sehr gerne sämtliche Fragen zu diesem Themenbereich und hilft Ihnen mit viel Engagement Ihre Rechte und Ansprüche durchzusetzen.

Datenschutzpflichten für Unternehmen

I. Verpflichtung und mögliche Konsequenzen

In der heutigen Zeit erfolgt die Verarbeitung von personenbezogenen Daten in nahezu jedem Unternehmen, so dass die DSGVO fast immer einschlägig ist. Auch Freiberufler (Ärzte, Ziviltechniker, Architekten, Steuerberater, etc.) und ihre Praxen und Kanzleien sind betroffen. 

Zum einen sieht die Verordnung im Sinne einer Generalprävention sehr hohe Strafen vor, zum anderen hat jeder Betroffene die Möglichkeit, vom Unternehmen Schadensersatz zu begehren. Aus diesen Gründen ist es unerlässlich, die rechtlichen Anforderungen von Datenverarbeitungsprozessen zu verstehen und diese konkret umzusetzen. Einen Überblick über die notwendigen Maßnahmen soll dieser Beitrag gewähren. 

II. Personenbezogene Daten und Datenverarbeitung

Wichtig zu verstehen ist zunächst, was mit personenbezogenen Daten und Datenverarbeitung gemeint ist. 

An dieser Stelle ist die gesetzliche Situation klar und liefert in Art. 4 Nr. 1, 2 DSGVO eine eindeutig formulierte Definition: „Personenbezogene Daten“ sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Damit sind Daten wie Namen, E-Mail-Adressen und Geburtsdaten personenbezogene Daten. Aber auch Online-Kennungen wie IP-Adressen, Cookies oder Standortdaten sind Daten, die eine Person identifizierbar machen und folglich als personenbezogene Daten einzuordnen sind.

Datenverarbeitung ist jede Handhabung der Daten, also die Erhebung, die Erfassung, die Speicherung, Organisation, Verwendung, Abfrage, Übermittlung, etc., bis hin zum Löschen der Daten. 

III. Pflichten im Einzelnen

1. Informationen zur Datenverarbeitung

Ein wichtiges Ziel der DSGVO ist die Transparenz der Datenverarbeitung. Dies wird unter anderem durch die dem Verantwortlichen obliegenden Informationspflichten erreicht, welche in Art. 12–14 DSGVO niedergelegt sind.

Die Verarbeitung von Daten ist nur zulässig, wenn die jeweilige Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses oder einer rechtlichen Verpflichtung erforderlich ist. Dabei müssen Daten für begründete Zwecke erhoben werden. Eine Speicherung ist nur so lange gestattet, wie sie für die Zwecke der Datenverarbeitung erforderlich ist.

Informationspflichten gegenüber Betroffenen (z.B. Auskunft über gespeicherte Daten) und Umsetzung von Betroffenenrechten (Recht auf Datenberichtigung, Recht auf Löschung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit) müssen eingehalten werden. 

2. Technischer Datenschutz

Zum einen sind Verantwortliche gemäß Art. 25 DSGVO dazu aufgefordert, datenschutzfreundliche Techniken einzusetzen („Data Protection by Design“) sowie Produkte oder Dienstleistungen mit datenschutzfreundlichen Voreinstellungen anzubieten („Data Protection by Default“). Vereinfacht ausgedrückt bedeutet Privacy by Design, dass die Technologie von vornherein so gestaltet sein muss, dass sie unter Beachtung der Grundsätze des Schutzes personenbezogener Daten operieren kann. Kann der Nutzer einer Anwendung zwischen mehreren Optionen wählen, ist im Rahmen des Verarbeitungszweckes diejenige voreinzustellen, welche die „datenschonendste“ ist (Privacy by Default).

Zum anderen macht Art. 32 DSGVO konkrete Vorgaben, welche technischen und organisatorischen Maßnahmen bei der Speicherung und Verarbeitung von personenbezogenen Daten gewährleistet werden müssen.  Danach müssen Verantwortliche eine ordentliche und sichere Verarbeitung von personenbezogenen Daten im Unternehmen sicherstellen können. Personenbezogene Daten müssen auch vor dem unbefugten Zugriff Dritter ebenso wie vor unbefugter Veränderung oder Löschung geschützt werden.

3. Das Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein „Verzeichnis von Verarbeitungstätigkeiten“ zu erstellen. Der gesetzlich erforderliche Inhalt ergibt sich dabei aus Art. 30 Abs. 1 DSGVO.

Je strukturierter und systematischer ein Unternehmen das Verzeichnis führt, desto leichter fällt es, die sonstigen Anforderungen der DSGVO zu erfüllen. 

4. Zusammenarbeit mit „Dritten“: 

Wichtig ist im Rahmen der Zusammenarbeit mit „Dritten“ zu klären, ob es sich um ein Auftragsverhältnis i.S.v. Art. 28 DSGVO, eine gemeinsame Verarbeitung i.S.v. Art. 26 DSGVO oder um eine Übermittlung zwischen zwei Verantwortlichen handelt, die die Daten jeweils zu eigenen Zwecken oder Mitteln verarbeiten. In diesen Fällen sind nach Art. 28 bzw. Art. 26 DSGVO die dort vorgesehenen Verträge abzuschließen.

5. Datenschutzfolgeabschätzung

Darüber hinaus ist eine Datenschutzfolgeabschätzung notwendig, wenn eine durchgeführte Risikoanalyse ergibt, dass die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedingt. Die Notwendigkeit für eine Datenschutzfolgeabschätzung ergibt sich vor allem bei der Verwendung neuer Technologien (EDV).

6. Meldungen an die Datenschutzbehörde

Bei einer Datenschutzverletzungen (z.B. Datendiebstahl, Verlust von Laptops, auf denen Kundendaten hinterlegt sind, etc.) besteht eine Meldepflicht an die Datenschutzbehörde und an Betroffene binnen 72 Stunden, Art. 33, 34 DSGVO. 

7. Zusammenarbeit mit der Datenschutzbehörde

Das Unternehmen, das die aufgezeigten Maßnahmen befolgt und umgesetzt hat, wird empfohlen, es in einem Datenschutzmanagement-Handbuch zu dokumentieren. Schließlich ist jedes Unternehmen aufgrund seiner Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO dazu verpflichtet, alle Bemühungen auf dem Bereich des Datenschutzes zu dokumentieren und gegebenenfalls der Aufsichtsbehörde auf Anfrage Rechenschaft abzulegen. 

Sehr gerne beantwortet Frau Zelzili Ihre Fragen zu diesem Themenbereich und unterstützt Sie bei der Umsetzung der Anforderungen.