FAQs zum Datenschutz

Grundlagen

Im Mai 2018 trat eine neue europäische Datenschutzrichtlinie mit der Bezeichnung Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese Regulierung betrifft die Datenschutzgesetze vor Ort in allen Ländern der EU und des EWR. Sie gilt für alle Unternehmen, die Produkte an europäische Bürger verkaufen und deren personenbezogene Daten speichern, einschließlich Firmen auf anderen Kontinenten. Die neue Richtlinie gibt EU- und EWR-Bürgern mehr Kontrolle über ihre personenbezogenen Daten und stellt sicher, dass ihre Informationen europaweit geschützt sind.
Gemäß der DSGVO sind personenbezogene Daten alle Daten zu einer Person, wie Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den Social Media, Angaben zum Wohnort, medizinische Daten oder IP-Adressen. Es wird nicht unterschieden zwischen personenbezogenen Daten im privaten, öffentlichen oder arbeitsbezogenen Umfeld einer Person – es geht immer um die Person selbst. Auch im B2B-Bereich geht es immer um Einzelpersonen, die Informationen mit- und übereinander austauschen. Kunden in B2B-Märkten sind natürlich Unternehmen, doch die Geschäftsbeziehungen werden von einzelnen Personen gepflegt.

Wo werden die wichtigsten Begriffe der DSGVO erklärt?

Der Artikel 4 der Datenschutz-Grundverordnung enthält die zentralen Definitionen. Künftig finden sich die Begriffsbestimmungen zu personenbezogenen Daten, Verantwortlichen oder der Verarbeitung somit unmittelbar und abschließend in der Datenschutz-Grundverordnung verewigt.

Wie wird der Begriff „personenbezogene Daten“ definiert?

Gemäß der DSGVO sind personenbezogene Daten alle Daten zu einer Person, wie Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den Social Media, Angaben zum Wohnort, medizinische Daten oder IP-Adressen. Es wird nicht unterschieden zwischen personenbezogenen Daten im privaten, öffentlichen oder arbeitsbezogenen Umfeld einer Person – es geht immer um die Person selbst. Auch im B2B-Bereich geht es immer um Einzelpersonen, die Informationen mit- und übereinander austauschen. Kunden in B2B-Märkten sind natürlich Unternehmen, doch die Geschäftsbeziehungen werden von einzelnen Personen gepflegt.

Worauf ist beim Umgang mit personenbezogenen Daten zu achten?

Grundsätzlich sind das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten verboten.

Personenbezogene Daten dürfen nur dann verwendet werden, wenn dies ausdrücklich erlaubt ist, d. h., eine entsprechende Rechtsgrundlage vorliegt.

Sollen personenbezogene Daten erhoben oder verwendet werden, muss man sich dabei auf eine Regelung aus dem Bundesdatenschutz oder aus einer anderen Rechtsvorschrift stützen können. Natürlich kann der Betroffene auch einwilligen.

Ab wie vielen Mitarbeitern ist eine Datenschutz-Dokumentation Pflicht?

Bei einer Mitarbeiterzahl von 250 und mehr ist dies unabdingbar. Bei weniger als 250 Mitarbeitern nur, sofern die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen beinhaltet oder die Verarbeitung nicht nur gelegentlich erfolgt, bzw. es sich um die Verarbeitung besonderer Datenkategorien handelt.

Welche Daten eines Datenschutzbeauftragten müssen auf einer Website veröffentlicht werden?

Ein direkter Kontakt zum DSB muss möglich sein. Dies kann durch die Veröffentlichung einer postalischen Anschrift, einer Telefonnummer oder einer E-Mail-Adresse geschehen.

Wie sind bei der DSGVO individuelle Rechte und Bedingungen geregelt?

Mit der neuen Datenschutz-Grundverordnung werden die Rechte der EU-Bürgerinnen und Bürger massiv gestärkt. Dazu gehören beispielsweise die Zugangsrechte, die Vergessenheit und die Datenportabilität. Datenrechner und Datenverarbeiter sind zukünftig verpflichtet, jederzeit ausreichend Informationen über folgende Sachverhalte zu geben:

Welche Daten gespeichert werden,
Wie lange die betreffenden Daten gespeichert werden,
Ob und wann welche Daten in welche Länder übertragen wurden,
Ob und wann personenbezogene Daten bei Antrag gelöscht oder an Dritte (neuer Dienstleister etc.) übertragen zu wurden.

Sämtliche Auskünfte an den Anfragenden haben in verständlicher und leicht zugänglicher Form zu erfolgen. Kompliziert verfasste Bedingungen, die mehr verwirren als aufklären sind nicht gestattet. Es muss für den Nutzer ebenfalls einfach sein, die zuvor von Ihnen erteilte Zustimmung zur Ergebung. Speicherung und Verarbeitung von (personenbezogen) Daten nachträglich zurückzuziehen. Weitere Informationen lesen Sie hier.

Wie ist das Verhältnis zwischen eventuell sich entgegenstehenden Grundrechten?

Erwägungsgrund 4 der Datenschutz-Grundverordnung regelt eindeutig, dass das Recht auf den Schutz personenbezogener Daten kein uneingeschränktes Recht ist.

Es muss die Abwägung unter Wahrung des Verhältnismäßigkeitsgrundsatzes gegen andere Grundrechte erfolgen.

Muss mit existenzgefährdenden Geldbußen gerechnet werden?

Verhindert werden soll, dass Unternehmen die mit der Verarbeitung personenbezogener Daten hohe Gewinne erzielen, Datenschutzverstöße „aus der Portokasse“ bezahlen. Eine Mindesthöhe schreibt die Datenschutz-Grundverordnung nicht vor.

Jedoch werden zukünftig, um dem Grundrecht auf Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten besondere Wirksamkeit zu verleihen, bei Verstößen gegen die wichtigsten Regelungen der Datenschutz-Grundverordnung erhebliche Strafen zu erwarten sein.

Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzieltes Jahresumsatzes des vorangegangenen Geschäftsjahres (Artikel 83 Datenschutz-Grundverordnung).

Die Verhängung von Geldbußen bei Datenschutzverstößen steht im pflichtgemäßen Ermessen der Aufsichtsbehörden.

Was ist unter risikobasierter Rechenschaftspflicht zu verstehen?

Neben Verschärfungen einzelner Vorschriften nimmt die risikobasierte Rechenschaftspflicht („Accountability“) gemäß Art.5 (2) DSGVO von nun an eine wichtige Rolle ein: Der Verantwortliche hat dafür Sorge zu tragen hat, dass alle wirksamen Maßnahmen ergriffen werden, inkl. die unter Art. 5 (1) DSGVO definierten Bestimmungen, um die DSGVO Grundsätze und Verpflichtung ordnungsgemäß umzusetzen. All das hat er nachzuweisen („Rechenschaftspflicht“). Diese Rechenschaftspflicht wirkt sich unter anderem auf Verträge, Datenschutzerklärungen, Risikobewertungen und Aufbewahrungsveranstaltungen aus.

Wie schütze ich meine Kundendaten am besten?

Im Allgemeinen reicht eine starke Firewall nicht aus. Um die Sicherheit aufrechtzuerhalten und eine Verarbeitung zu verhindern, die einen Verstoß gegen die Datenschutz-Grundverordnung darstellt, sollten Sie Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung, ergreifen. Diese Maßnahmen sollten ein angemessenes Sicherheitsniveau, einschließlich der Vertraulichkeit, gewährleisten, wobei die Risiken und die Art der zu schützenden personenbezogenen Daten zu berücksichtigen sind.

Ist das Profiling unter der DSGVO erlaubt?

Das Profiling beschreibt eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispiele sind: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren.

Das Profiling wird in Art. 22 DSGVO erfasst:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO)

ACHTUNG: Profiling unter 16-Jähriger: Kinder verdienen einen besonderen Schutz in Bezug auf ihre persönlichen Daten, da sie eine verletzlichere Gruppe darstellen.

Auftrags(daten)verarbeitung (AV)

Was ist eine Verarbeitungstätigkeit?

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie z.B.:

das Erheben
das Erfassen
die Organisation
das Ordnen
die Speicherung
die Anpassung
die Veränderung
das Auslesen
das Abfragen
die Verwendung
die Offenlegung durch Übermittlung
die Verbreitung oder eine andere Form der Bereitstellung
der Abgleich oder die Verknüpfung
die Einschränkung
das Löschen
die Vernichtung

Wird es empfohlen, bei Vertragsschließungen mit Kunden einen Vertrag zur Auftragsdatenverarbeitung zu ergänzen? Genügt ein Vertrag pro Kunde oder sollte zu jedem Projekt ein solcher Vertrag beigefügt werden?

Es empfiehlt sich auf jeden Fall, mit den Kunden einen AV zu schließen. Wenn in dem AV definiert ist, dass dieser für alle Aufträge/Projekte gilt, wird dies ausreichen. Z.B. kann man dies so formulieren, dass der AV für alle zukünftigen Projekte Gültigkeit hat. Bei wesentlichen Veränderungen würde der AV entsprechend geändert. Für jedes einzelne Projekt ist dann kein AV nötig.

Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?

Die Datenschutz-Grundverordnung führt zu keinen wesentlichen Veränderungen der bisherigen Rechtslage im Umgang mit Fotografien.

Die Anfertigung und Veröffentlichung einer personenbezogenen Fotografie unterliegt den allgemeinen Regelungen des Datenschutzrechts. Wie bisher auch dürfen Fotos nur verarbeitet werden, wenn die betroffene Person eingewilligt hat oder eine Rechtsgrundlage dies erlaubt.

Ist für die Übertragung der Lohn- und Gehaltsabrechnung an Dritte, z.B. Steuerberater, ein Auftragsverarbeitungsvertrag (AV) nach Art. 28 DS-GVO erforderlich?

Grundsätzlich ist die klassische steuerberatende Tätigkeit nicht als Auftragsverarbeitung nach Art. 28 DS-GVO zu qualifizieren. Ein Steuerberater ist in eigener Verantwortung und mit eigenständigem Entscheidungsspielraum tätig, daher wird die klassische steuerberatende Tätigkeit nicht als Auftragsverarbeitung nach Art. 28 DS-GVO abgesehen. Daten werden vom Steuerberater NICHT nach klaren Vorgaben des Auftraggebers verarbeitet.

Bei der Lohnbuchhaltung/ Gehaltsabrechnung sieht die Sache anders aus. Da hier Beschäftigtendaten nach festen Vorgaben verarbeitet werden, der Steuerberater hat hier keinen Spielraum, ist diese Dienstleistung als Auftragsverarbeitung nach Art. 28 DS-GVO einzuordnen. Ist ein Steuerberater für beide Aufgaben zuständig ist für die Steuerberatung kein, für die Lohn/Gehaltsabrechnungen sehr wohl ein AV notwendig.

Videoüberwachung

Wenn die Polizei eine Anfrage stellt, um Videos von einem durch eine Sicherheitsfirma gemeldeten Alarm für eine mögliche Verfolgung des Täters zu erhalten, dürfen diese Daten ohne die Vorlage eines Beschlusses der Staatsanwaltschaft an die Polizei weitergegeben werden?

Grundsätzlich ist die Herausgabe des angeforderten Videos sinnvoll, denn sonst kann es zu einem Beschluss der Staatsanwaltschaft, im schlimmsten Fall bis hin zu einem Durchsuchungsbeschluss inklusive Beschlagnahme kommen.

Aus Sicht des Datenschutzes ist aber zu beachten:

Die Interessen der Polizei, Aufklärung des Sachverhaltes, sind gegen die Interessen der „betroffenen Personen“ abzuwägen. In diesem Fall überwiegen die Interessen der Polizei.

Es muss ein schriftliches Auskunftsverlangen vorliegen, auf mündliche Anfragen sollte keine Herausgabe erfolgen. Erkennbar sollten sein, dass es sich um ein offizielles Schreiben der Polizei handelt. (z.B. Briefkopf, Telefon- und Faxnummer, Zweck der Sichtung des Videomaterials, Rechtsgrundlage für die Vorgehensweise der Polizei)

Den Grundsatz der „Datenminimierung“ beachten, d.h. es ist nur das Video des betreffenden Zeitraumes auszuhändigen.

Unterlagen für Beschäftigte

Dürfen Fotos von Beschäftigten für Marketingaktionen genutzt werden? Muss dann ein „model release Vertrag“ abgeschlossen werden?

Wer Fotos seiner Mitarbeiter in Online- oder Printmedien oder Social Media veröffentlichen möchte, benötigt die Einwilligung des Beschäftigten. Diese Einwilligung sollte schriftlich und nicht im Arbeitsvertrag festgehalten werden, förderlicher ist vielmehr eine individuelle Vereinbarung.

Seit Mai 2018 ist dies ohnehin irrelevant, da der Arbeitgeber Beschäftigte auf ihr Widerrufsrecht hinweisen muss, was im Arbeitsvertrag zwar technisch möglich, jedoch nicht praktikabel sein dürfte.

Es muss beachtet werden, dass der Mitarbeiter die Einwilligung jederzeit zurückziehen kann. Eine vertragliche Regelung statt einer Einwilligung wirkt verlockend, ist aber keine Lösung, da selbiger bei einer Prüfung keine Gültigkeit hätte. Hintergrund: Der Mitarbeiter hätte keinen Vorteil von dieser Vereinbarung. Ganz im Gegenteil, er gibt die Rechte an seiner Abbildung heraus ohne dafür einen adäquaten Ersatz zu bekommen. Das Geschäft wäre somit allenfalls für den Arbeitgeber vorteilhaft. Solch eine Vereinbarung wäre somit in jedem Falle angreifbar, auch wenn sie als „Vertrag“ bezeichnet wird.

De facto ergeben sich die gleichen Konsequenzen wie bei einer Einwilligung, wobei eher zum Konstrukt der Einwilligung geraten wird, da diese – zumindest anfangs – rechtswirksam ist, was bei dem „Vertrag“ auch durchaus anders gewertet werden könnte.

Bei einer widerrufenen Einwilligung gilt Folgendes: Die Daten sind unverzüglich aus dem Internet zu entfernen; bei Printmedien kann man über den Zusatz bei der Einwilligung, dass ein Widerruf sich erst auf zukünftige Prints erstreckt, zumindest bewirkt werden, dass die vorhandenen Auflagen genutzt und nicht verschrottet werden müssen.

Social Media

Facebook Fanpage-Betreiber? Worauf sollte ich achten?

Wer Fotos seiner Mitarbeiter in Online- oder Printmedien oder Social Media veröffentlichen möchte, benötigt die Einwilligung des Beschäftigten. Diese Einwilligung sollte schriftlich und nicht im Arbeitsvertrag festgehalten werden, förderlicher ist vielmehr eine individuelle Vereinbarung.

Seit Mai 2018 ist dies ohnehin irrelevant, da der Arbeitgeber Beschäftigte auf ihr Widerrufsrecht hinweisen muss, was im Arbeitsvertrag zwar technisch möglich, jedoch nicht praktikabel sein dürfte.

Es muss beachtet werden, dass der Mitarbeiter die Einwilligung jederzeit zurückziehen kann. Eine vertragliche Regelung statt einer Einwilligung wirkt verlockend, ist aber keine Lösung, da selbiger bei einer Prüfung keine Gültigkeit hätte. Hintergrund: Der Mitarbeiter hätte keinen Vorteil von dieser Vereinbarung. Ganz im Gegenteil, er gibt die Rechte an seiner Abbildung heraus ohne dafür einen adäquaten Ersatz zu bekommen. Das Geschäft wäre somit allenfalls für den Arbeitgeber vorteilhaft. Solch eine Vereinbarung wäre somit in jedem Falle angreifbar, auch wenn sie als „Vertrag“ bezeichnet wird.

De facto ergeben sich die gleichen Konsequenzen wie bei einer Einwilligung, wobei eher zum Konstrukt der Einwilligung geraten wird, da diese – zumindest anfangs – rechtswirksam ist, was bei dem „Vertrag“ auch durchaus anders gewertet werden könnte.

Bei einer widerrufenen Einwilligung gilt Folgendes: Die Daten sind unverzüglich aus dem Internet zu entfernen; bei Printmedien kann man über den Zusatz bei der Einwilligung, dass ein Widerruf sich erst auf zukünftige Prints erstreckt, zumindest bewirkt werden, dass die vorhandenen Auflagen genutzt und nicht verschrottet werden müssen.

Social Media Generator von easyRechtssicher: Aktualisieren sich Impressum und Datenschutzerklärung auch auf Facebook-Fanpages?

Es gibt keine Möglichkeit, Impressum und Datenschutzerklärung auf einer Facebook Fanpage automatisiert zu aktualisieren. Facebook unterstützt diese Funktion nicht. Eine Automatisierung ist aber trotzdem insofern möglich, als dass Sie eine Verlinkung von Ihrer Fanpage auf die entsprechenden Seiten Ihrer Webseite setzen.

Datenschutzfolgeabschätzung, DSFA

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Der Verantwortliche ist zuständig für die Prüfung und gegebenenfalls Durchführung der DSFA. Viele Unternehmer sind sich unsicher, was eine Datenschutz-Folgenabschätzung genau ist und wie diese durchzuführen ist.

Mindestanforderungen an den Inhalt einer Datenschutz-Folgenabschätzung:

eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, welche in der geplanten Verarbeitung betroffen sind
eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit dieser Vorgänge
eine Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen
die Abhilfemaßnahmen, die zur Bewältigung der oben genannten Risiken getroffen werden

Insgesamt dient die Datenschutz-Folgenabschätzung also der Vorsorge: Noch bevor es zu einer Datenpanne kommen kann, soll das Risiko einer solchen so gut wie möglich minimiert werden.

Sie haben noch Fragen? Dann sprechen Sie uns gerne an.

Wir freuen uns, in einem unverbindlichen Erstgespräch Ihre Bedürfnisse und Ansprüche an den Datenschutz auszuloten.

Gemeinsam besprechen wir, wie unsere Datenschutzsoftware PRO-DSGVO Guide, die Inanspruchnahme unserer externen Datenschutzbeauftragten oder unsere Datenschutz-Tools Ihre individuellen Ansprüche an den Datenschutz abdecken.

Nehmen Sie Kontakt mit uns auf oder vereinbaren Sie direkt einen Termin in unserem Online-Kalender.