...
Grundsätzlich ist eine direkte Einbettung in Landesportale nicht vorgesehen. Die Landesportale stellen zunächst (nur) sicher, dass EfA-Leistungen für Nutzer auffindbar sind und angesteuert werden können.
Fragen zum Datenschutz
Gibt es eine Vorlage für einen Eintrag ins Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO bzw. ersetzt das Datenschutzkonzept den entsprechenden Eintrag?
Das Datenschutzkonzept ersetzt nicht den Eintrag ins Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO, enthält jedoch alle erforderlichen Informationen zur Erstellung eines solchen Eintrags. Um die Verantwortlichen zu unterstützen, enthalten kommende Versionen des Datenschutzkonzepts eine entsprechende Vorlage. Wenn Sie als Verantwortlicher bereits eine Vorlage erstellt haben und dem Projekt zur Verfügung stellen möchten, kontaktieren Sie uns gerne.
Ist neben der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Projekt-DSFA) noch eine eigene DSFA durch die Verantwortlichen zu erstellen?
Grundsätzlich liegt diese Entscheidung bei Ihnen als datenschutzrechtlich Verantwortlicher. Jedoch erstellen wir die Projekt-DSFA derart, dass nur noch die – ohnehin unabhängig vom Online-Dienst –datenschutzrechtlich zu bewertende Verarbeitung im Fachverfahren übrig bleibt. Insofern Sie diese bereits betrachtet und – falls erforderlich – ggf. eine DSFA erstellt haben, sollte die ergänzende Erstellung einer eigenen DSFA zum Online-Dienst entbehrlich sein.
Welche Informationen für die Betroffenen nach Art. 13 DSGVO müssen wir noch selbst bereitstellen?
Die Informationen zur Verarbeitung personenbezogener Daten nach Art. 13 DSGVO allein durch den Online-Dienst (z. B. temporäre serverseitige Verarbeitung, Weiterleitung an die Ausländerbehörde) werden zentral im Online-Dienst zur Verfügung gestellt. Ergänzend dazu müssen Sie noch ein Informationsblatt gem. Art. 13 DSGVO bereitstellen, dass die weitere Datenverarbeitung im Fachverfahren beschreibt.
Verlangt die Einbettung des Online-Dienstes in die eigene Website nicht die Zustimmung des Nutzers für die Anzeige externer Inhalte?
...
Es handelt sich bei der Einbindung des Online-Dienstes datenschutzrechtlich nicht um eine Übermittlung an einen Dritten oder eine gemeinsame Verantwortung, sondern um eine Auftragsverarbeitung des Verantwortlichen. Dass der Inhalt „woanders“ liegt/eingebunden wird, ist rechtlich unerheblich. Der Inhalt wird rechtlich so behandelt als gehöre er zur Website des Verantwortlichen. Im Unterschied dazu gelten Dienstleister wie YouTube, Twitter etc. nicht als Auftragsverarbeiter, sondern je nach Einschätzung als Dritte oder gemeinsame Verantwortliche, da sie die Daten nicht nur im Auftrag, sondern als Werbeplattformen eben auch zu eigenen Zwecken verarbeiten. Im Ergebnis braucht es für die Übermittlung an diese eine eigene Rechtsgrundlage. Sie „erben“ nicht wie der Auftragsverarbeiter die Rechtsgrundlage des Verantwortlichen. Da viel Unsicherheit herrscht, ob hierzu Rechtsgrundlagen tragen, die darauf aufbauen, dass die Einbindung „erforderlich“ ist, holen sich Webseitenbetreiber oft pauschal die Einwilligung bei den Nutzenden, indem sie etwa Zwei-Klick-Lösungen vor der Einbettung implementieren.
Fachliche Fragen
Wie verhält es sich mit der Fiktionswirkung bei einer Online-Antragsstellung?
...