(c) pixabay.com / succo

Fit für die Datenschutz Grundverordnung – Was man jetzt noch schnell wissen muss

  • 7. Mai 2018
  • DSGVO
  • 0 Comments
  • Marcus Heinze

Die Datenschutzgrundverordnung, oder wie sie auch so schön abgekürzt wird, DS-GVO, wurde im Jahre 2016 auf EU-Ebene abgesegnet und erhielt einen Einführungszeitraum von zwei Jahren. Dieser endet am 25.05.2018, also in wenigen Wochen. Was genau es damit auf sich hat und was man noch unbedingt wissen und beachten sollte, führen wir in den folgenden Zeilen kurz auf.

Wann findet die DS-GVO Anwendung?

  1. Personenbezogene Daten
  2. Verarbeitung selbiger
  3. EU Bezug

Was sind Personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Beispiele für personenbezogene Daten:

  • Name
  • Standortdaten
  • Geburtsdatum
  • Online-Kennung (IP-Adresse)
  • Gesundheitsdaten
  • Fingerabdrücke
  • Stimme
  • Adresse

Was ist eine Verarbeitung?

Unter Verarbeitung von personenbezogenen Daten wird eine umfassende Begrifflichkeit verstanden. Darunter fällt das Erheben von Daten, das Speichern von Daten, das Ändern von Date, das Übermitteln, das Verknüpfen aber auch das Löschen von Daten. Daraus resultiert, dass es ganz gleich ist, was mit Daten geschieht, im Sinne der DS-GVO besteht immer eine Verarbeitung.

Beispiele für Datenverarbeitung:

  • Datenbeschaffung / -sammlung (Fotografie, Eingabemaske auf Websites, Urlaubsplanung, Intranet, Ordner mit Mitarbeitern etc.)
  • Berichtigen von Daten (innerhalb einer Datenbank oder auch Einzeldaten z.B. E-Mail Adressen)
  • Einfache oder komplexe Abfragen (Datenbank & Listensysteme, Lohnverwaltungen)
  • Daten miteinander verbinden (gezielte Werbemaßnahmen, Werbe-E-Mails etc.)
  • Ein einfaches „drüberschauen“ oder „reinschauen“ gilt schon als Datenübermittlung
  • Vernichtung von Datenträgern

Achtung!!
Eine Datenverarbeitung liegt nicht nur allein dann vor, wenn ein Verantwortlicher mit den Daten arbeitet, sondern auch dann, wenn es ein Dritter tut und das im Auftrag des Verantwortlichen. Dabei redet man von einer Auftragsdatenverarbeitung.

EU-Bezug
Der EU-Bezug ist logischerweise immer dann gegeben, wenn es sich um ein Unternehmen (also Arzt, Einzelhandelsgeschäft, Verein etc.) handelt, das seinen Sitz in einem Land der EU hat. Aber Achtung, ein Bezug kann auch dann hergestellt werden, wenn ein Unternehmen, das nicht aus der EU stammt, mit personenbezogenen Daten von EU-Bürgern arbeitet. Dies bedeutet, dass auch dann die DS-GVO zur Anwendung kommen kann, wenn eine personenbezogene Datenverarbeitung von außerhalb der EU stattfindet.
Zuletzt noch der Hinweis, wenn ein nicht in der EU ansässiges Unternehmen eine Zweigniederlassung innerhalb der EU hat, unterliegt diese automatisch auch der DS-GVO.

Was müssen Unternehmen tun?

Das Datenschutzrecht arbeitet nach dem Prinzip des Verbots mit Erlaubnisvorbehalt. Aber was genau bedeutet das? Letztlich bedeutet es, dass niemand befugt ist mit personenbezogenen Daten anderer zu arbeiten bzw. diese zu verarbeiten. Allerdings gibt es Ausnahmen:

    1. Die Einwilligung
      „Eine Einwilligung ist jede freiwillige, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung […]“
    2. Eine Rechtsgrundlage
      Eine Rechtsgrundlage zur Verarbeitung kann das Verarbeiten von personenbezogenen Daten erlauben oder gar anordnen.
    3. Wahrung berechtigter Interessen
      Die Wahrung von berechtigten Interessen der Verantwortlichen besteht dann, wenn die Interessen der betroffenen Personen nicht überwiegen.

Wenn eine der drei Voraussetzungen besteht, ist es zudem wichtig, dass insbesondere die Zweckbindung, Richtigkeit und Erforderlichkeit beachtet wird und zu jeder Zeit darüber Rechenschaft abgelegt werden kann, welche speziellen Daten zu welchen speziellen Zwecken wann verarbeitet wurden sind.
Da im Online-Bereich, also auf einfachen Websites, wohl nur seltener eine Rechtsgrundlage bestehen dürfte, mit personenbezogenen Daten zu arbeiten, ist es von enormer Wichtigkeit, dass eine Einwilligung der betroffenen Person immer dann stattfindet, sobald personenbezogene Daten erhoben werden.
Beispiele:

    • Das Aufrufen der Website, wenn mit Cookies, Webtrackern oder anderen Messgeräten gearbeitet wird, die personenbezogene Daten speichern (immer daran denken, dass IP-Adressen, Lokalitäten usw. auch in den Perimeter fallen)
    • Schreiben von Kommentaren, da i.d.R. Name, E-Mail-Adresse, ggf. Telefonnummer usw. mitgespeichert wird
    • Automatisierte Kontaktformulare versenden nach dem Ausfüllen eigenständig E-Mails, die Anfragen von Personen enthalten. Normalerweise sind auch hier Namens usw. enthalten
    • Terminbuchungen (z.B. Friseur, Wellness etc.)
    • Reservierungen (z.B. Ferienwohnungen, Hotels etc.)
    • Usw.

Dennoch gibt es auch gute Ansätze für Rechtmäßigkeiten, nämlich zum Beispiel bei Vertragserfüllungen. Denn wenn personenbezogene Daten zur Erfüllung eines Vertrages notwendig sind, dürfen diese auch verarbeitet werden.
Beispiele:

  • Beim Kauf eines Autos ist es dem Verkäufer du natürlich auch dem Käufer erlaubt die nötigen Daten zu erheben, nämlich Bankdaten, Kontaktdaten etc.
  • Online-Shopping benötigt i.d.R. Adresseangaben, Bankverbindungen, ggf. Bonitätsprüfungen
  • Usw.

Achtung!!
Einwilligungen erfolgen immer Zweckgebunden. Dabei spielt es keine Rolle, ob dies auf Vertragsebene oder auf Interessenabwägung geschieht. D.h. wenn eine Einwilligung z.B. für eine statistische Auswertung erfolgt ist, heißt es nicht, dass die Daten auch für Werbe-Mails verwendet werden dürfen.

Informationspflicht – Was ist das?

Wie auch schon in der Vergangenheit ist es wichtig, den Betroffenen ausreichende Informationen zur Verfügung zu stellen. Der Zeitpunkt ist dabei erheblich, nämlich entweder zum Zeitpunkt der Erhebung der Daten oder dann, wenn der Betroffene sein Auskunftsanspruch geltend macht. Folgende Fragen müssen dabei immer und korrekt zu beantworten sein:

  1. Der Betroffene muss immer auf seine Rechte hingewiesen werden.
  2. Wer verarbeitet die Daten?
  3. Was / welche Daten werden verarbeitet?
  4. Warum werden die Daten verarbeitet / zu welchem Zweck?
  5. Werden die Daten an Dritter übermittelt, wenn ja, an wen?
  6. Besteht eine Rechtsgrundlage für die Datenverarbeitung, wenn ja, welche?
  7. Erfolgt eine Übermittlung der Daten an ein Drittland außerhalb der EU, wenn ja, auf welcher Grundlage geschieht dies?
  8. Wie lange werden die Datengespeichert und wann werden sie gelöscht?

Darüber hinaus regelt die DS-GVO auch klar und deutlich in welcher Form die Informationspflicht zu erfolgen hat, nämlich klar und verständlich, präzise, transparent und leicht zugänglich und selbstverständlich unentgeltlich. Das heißt, dass ab sofort ein viel wichtigeres Augenmerk auf die Datenschutzerklärungen gelegt werden muss. Außerdem sollten diese zusätzlich an jeder Punkt innerhalb eines Online-Auftritts gesondert aufgeführt werden, an den weitere personenbezogene Daten aufgenommen, übermittelt oder verarbeitet werden. Beispiele hierfür sind die bekannten Kontakt- oder Kommentarformulare etc.

Achtung!!
Diese Informationspflicht ist enorm wichtig und wird hoch abgestraft, wenn diese nicht eingehalten wird. Die Strafen bei Nichteinhaltung wirken dabei nahezu drakonisch, haben aber den Zweck, auch große Konzerne dazu zubringen, dem neuen Gesetz nachzukommen:

  • bis zu 20 Mio. EUR oder 4% des globalen Jahresumsatzes des Unternehmen
  • Verbot der Verarbeitung von Daten durch die Datenschutzbehörde

Zuletzt sei noch empfohlen, dass gerade im Online- und Marketingsegment alle Angebote, Auftritte und Verträge grundsätzlich geprüft werden sollten, ob sie DS-GVO-konform sind, um der Wahrscheinlichkeit einer Abmahnung oder der eines Rechtsstreites zu entgehen. Wer also heute seinen Internetauftritt noch nicht geprüft hat und/oder aufgearbeitet, tut gut, dies jetzt noch zu tun.

 

Verweise:

  • Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine, herausgegeben vom Bayerischen Landesamt für Datenaufsicht ISBN 974-3-406-71662-1
  • Video von Christina Bauer, LL.M. Rechtsanwältin (Webinar von Gründerszene) – https://www.facebook.com/Gruenderszene/videos/10155237566720966/?hc_ref=ARRq4wK-FhddwShBe9f08YoXDeSAWhyHQVbRIoSxLbpD53ye2cCDL69EJT1kGARG4dE

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert