Kleines DSGVO-Lexikon

Die wichtigsten Fragen und Antworten

Auf dieser Seite stelle ich eine Zusammenfassung der wichtigsten Fragen mit Antworten zum Theme Datenschutzgrundverordnung (DSGVO) zur Verfügung. Speziell zugeschnitten für:

  • kleine Unternehmen
  • Handwerksbetriebe
  • Vereine
  • Informationen für Betreiber von WEB-Sites zur Anpassung an die DSGVO

Kleine Unternehmen & Handwerksbetriebe

Ein ausgefeiltes Datenschutz-Konzept haben häufig nur größere Betriebe. Hier finden kleinere Betriebe kurz zusammengefasst, was sie beachten sollten – vom Verzeichnis für Verarbeitungstätigkeiten über die Auskunftsrechte von Kunden bis zur Meldung einer Datenpanne.

Es ist davon auszugehen, dass die meisten Unternehmen und Betriebe ein solches Verzeichnis anlegen müssen. Denn dies ist immer dann geboten, wenn der Verantwortliche bzw. Auftragsverarbeiter Verarbeitungen personenbezogener Daten durchführt,

– die ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen (dazu gehören regelmäßig Fälle von Scoring und Überwachungsmaßnahmen) oder
– die nicht nur gelegentlich erfolgen (z.B. die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten) oder
– die besondere Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO betreffen. Das sind zum Beispiel Daten, aus denen die rassische oder ethnische Herkunft hervorgeht, politische Meinungen, religiöse oder weltanschauliche Überzeugungen.

Nur wenn keiner dieser Punkte zutrifft und Sie weniger als 250 Mitarbeiterinnen und Mitarbeiter haben, müssen Sie kein VVT erstellen.

In das VVT müssen alle Geschäftsabläufe aufgenommen werden, bei denen personenbezogene Daten verarbeitet werden. Hierbei haben Sie an Kunden-, und Beschäftigtendaten genauso zu denken wie an Daten, die Sie für Dritte verarbeiten. Verarbeitungstätigkeiten können bspw. sein: eine Kundendatei, die Gehaltsabrechnung für die Beschäftigten, die Abwicklung von EC- und Kreditkartenzahlungen oder der Betrieb einer eigenen Website.

Das VVT löst das bisherige Verfahrensverzeichnis ab, sodass es in der Regel vermutlich nur einer Anpassung bedarf.

Mit der DS-GVO sind die Informationspflichten erweitert worden. Kunden und Mitarbeitende, deren Daten erhoben und weiterverarbeitet werden, haben das Recht, darüber umfassend und transparent informiert zu werden. Sie müssen beispielsweise darlegen können, zu welchem Zweck und aufgrund welcher Rechtsgrundlagen personenbezogene Daten verarbeitet werden, wie lange sie gespeichert werden sollen und welche Rechte die betroffenen Personen haben.

Werden die Daten auf Basis von Einwilligungen verarbeitet, müssen Sie auf das Recht zum Widerruf hinweisen. Informiert werden muss außerdem über das Recht auf Beschwerde bei der Aufsichtsbehörde.

Die Auskunft können Sie schriftlich, elektronisch oder – wenn es die Kunden wünschen – auch mündlich erteilen. Stellen Sie in jedem Fall sicher, dass es sich bei der oder dem Anfragenden auch tatsächlich um die Person handelt, zu der Sie die Daten übermitteln.

Die Auskunft müssen Sie in der Regel kostenlos erteilen, es sein denn, sie ist mit einem erheblichen Aufwand verbunden.

Sie müssen als Unternehmen sicherstellen, dass die personenbezogenen Daten gelöscht werden, wenn ihre Verarbeitung nicht mehr nötig ist, um einen bestimmten Zweck zu erreichen. Dies ist z. B. mit dem Ende der Kundenbeziehung der Fall oder sofern die Daten nicht mehr für Zwecke eines Beschäftigungsverhältnisses erforderlich sind.

Ist die Speicherung zur Erfüllung steuerlicher oder handelsrechtlicher Aufbewahrungspflichten notwendig, ist sie weiterhin zulässig. Sie müssen die erforderlichen technischen und organisatorischen Vorkehrungen treffen, damit die Daten ehemaliger Kunden bzw. Beschäftigter nicht mehr im aktuellen Dateibestand vorhanden sind.

Wie schon vor der DS-GVO muss ein Unternehmen eine oder einen Datenschutzbeauftragten (DSB) benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Maßgeblich ist die Zahl der Köpfe, nicht die Zahl der Stellen. Dies betrifft insbesondere die mit der Personal- und Kundenverwaltung beschäftigten Mitarbeitenden. Verkaufspersonal, welches die Kunden mit Namen anspricht, zählt nicht dazu.

Zudem ist eine/ein DSB unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen zu benennen, wenn die Verarbeitungstätigkeiten eine Datenschutz-Folgenabschätzung erforderlich machen.

Die oder der DSB kann intern benannt oder extern beauftragt werden.

Ein Online-Portal der Landesbeauftragten für den Datenschutz Niedersachsen ermöglicht es Verantwortlichen, die Meldung einfach und bequem online durchzuführen bzw. die Daten aktuell zu halten.
Zudem müssen Sie die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlichen, z. B. auf Ihrer Internetseite.

Ob eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist, zeigt sich bei Abschätzung der Risiken der Verarbeitungsvorgänge. Nur wenn sich hier ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen ergibt, ist eine DSFA durchzuführen.

Eine DSFA ist immer erforderlich, bei
– einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und diese in erheblicher Weise beeinträchtigen;
– einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1, wie zum Beispiel Gesundheitsdaten, oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder;
– einer systematischen umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche.
Weitere Verarbeitungsvorgänge, für die aufgrund eines hohen Risikos stets eine DSFA durchzuführen ist, finden Sie auf der sogenannten „Blacklist“.

Die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA sollten Sie stets schriftlich dokumentieren.

Von Datenpannen spricht man dann, wenn es zu einer „Verletzung des Schutzes personenbezogener Daten“ kommt. Eine solche Verletzung liegt vor, wenn Daten – egal ob unbeabsichtigt oder unrechtmäßig – vernichtet, verloren oder verändert werden oder wenn sie unbefugt offengelegt bzw. zugänglich gemacht werden.

In der Praxis kann es auf vielfältigste Weise zu Datenpannen kommen, z. B. durch einen Hacker-Angriff oder dann, wenn der Laptop mit den Kundendaten bei einem Einbruch gestohlen wird. Meldepflichtig sind auch die versehentliche Löschung oder Vernichtung von personenbezogenen Daten.

Einen solchen Datenschutzverstoß müssen Sie innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Entscheidend ist, dass der Verstoß unverzüglich nach Kenntnisnahme gemeldet wird. Wenn die Informationen nicht zur gleichen Zeit bereitgestellt werden können, können Sie diese ohne unangemessene weitere Verzögerung schrittweise melden.

Nach alter Rechtslage mussten die Daten, auf die sich der Verstoß bezog, als sehr sensibel gelten, was z. B. bei Bank- und Gesundheitsdaten der Fall ist. Nach DS-GVO löst jetzt die Verletzung jeder Art von personenbezogenen Daten eine Meldepflicht aus, solange sich daraus ein Risiko für die Rechte und Freiheiten der Betroffenen ergibt.

Zudem musste nach altem Recht davon auszugehen sein, dass durch die Panne ein hohes Risiko für den Betroffenen gegeben war, d. h. schwerwiegende Beeinträchtigungen drohten. Heute entfällt die Meldepflicht nur dann, wenn kein oder lediglich ein geringes Risiko besteht.

Vereine

Eine Frage, die viele Vereine beschäftigt ist, ob sie eine(n) Datenschutzbeauftragte(n) (DSB) benennen müssen. An dieser Stelle erhälst Du deshalb Antworten auf die wichtigsten Fragen zur Auswirkung der Datenschutz-Grundverordnung (DS-GVO) bei der Benennung einer oder eines DSB im Verein.

Ja, da in einem Verein in der Regel für die Mitgliederverwaltung und Beitragsabrechnung regelmäßig personenbezogene Daten verarbeitet werden. Das war auch vor Geltung der DS-GVO schon vorgeschrieben, sodass Sie vermutlich nur das bisherige Verfahrensverzeichnis anpassen müssen.

Personen, deren Daten erhoben und verarbeitet werden, haben das Recht, darüber umfassend und transparent informiert zu werden. Sie sollten entsprechende Informationen zum Beispiel leicht auffindbar auf Ihrer Website oder in Ihrer Vereinssatzung zur Verfügung stellen. Sie müssen darin unter anderem darstellen, wer die Daten erhebt, zu welchem Zweck (z. B. Beitragsabrechnung) dies geschieht oder wie lange die Daten gespeichert werden sollen sowie welche Rechte die betroffenen Personen haben.

Verlangt ein Mitglied zu erfahren, welche Daten von ihm gespeichert und/oder verarbeitet werden, müssen Sie ihm diese Informationen innerhalb eines Monats zukommen lassen.

Die Auskunft können Sie schriftlich, elektronisch (ggf. verschlüsselt) oder – wenn es das Mitglied wünscht – auch mündlich erteilen. Stellen Sie in jedem Fall sicher, dass es sich bei der oder dem Anfragenden auch tatsächlich um die Person handelt, zu der Sie die Daten übermitteln.

Die Auskunft müssen Sie in der Regel kostenlos erteilen, es sei denn, sie ist mit einem erheblichen Aufwand verbunden.

Von Datenpannen spricht man dann, wenn es zu einer „Verletzung des Schutzes personenbezogener Daten“ kommt. Eine solche Verletzung liegt vor, wenn Daten – egal ob unbeabsichtigt oder unrechtmäßig – vernichtet, verloren oder verändert werden oder wenn sie unbefugt offengelegt bzw. zugänglich gemacht werden.

Einen solchen Datenschutzverstoß müssen Sie der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme melden. Entscheidend ist, dass der Verstoß unverzüglich gemeldet wird. Wenn die Informationen nicht alle zur gleichen Zeit bereitgestellt werden können, können Sie diese ohne unangemessene weitere Verzögerung schrittweise nachmelden.

Für die Meldung einer Datenpanne können Sie mich ansprechen. Wenn die Datenpanne voraussichtlich zu keinem oder nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt, müssen Sie sie nicht melden. In Zweifelsfällen können Sie auch zunächst eine telefonische Beratung in Anspruch nehmen.

Das lässt sich nicht so einfach mit Ja oder Nein beantworten. Zunächst müssen Sie herausfinden, wie viele Personen im Verein ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sind es weniger als 20 Personen, benötigen Sie in der Regel keine/n Datenschutzbeauftragten.

Ein Online-Portal der Landesbeauftragten für den Datenschutz Niedersachsen ermöglicht es Verantwortlichen, die Meldung einfach und bequem online durchzuführen bzw. die Daten aktuell zu halten.

Zudem müssen Sie die Kontaktdaten der/des Datenschutzbeauftragten veröffentlichen, z. B. auf Ihrer Internetseite.

Informationen für Betreiber von WEB-Sites zur Anpassung an die DSGVO

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DS-GVO) in allen Mitgliedstaaten der Europäischen Union und somit auch in Deutschland als unmittelbar geltendes Recht anzuwenden. Die Umsetzung dieser Vorschriften erfordert auch einige Anpassungen an Webseiten.

Die Datenschutz-Grundverordnung ist gemäß Art. 2 Abs. 1 DSGVO anzuwenden, wenn personenbezogene Daten verarbeitet werden. Da bereits die IP-Adresse als personenbeziehbares Datum anzusehen ist, ist der Anwendungsbereich der Datenschutz-Grundverordnung in Bezug auf Webseiten grundsätzlich immer gegeben.

Eine Ausnahme ist gemäß Art. 2 Abs. 2 Buchstabe c) DSGVO vorgesehen, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten eine Webseite betreiben. Dies setzt voraus, dass die Webseite nur einem begrenzten und ausschließlich privaten und familiären Personenkreis zugänglich ist und jeder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit fehlt. Die Ausnahmevorschrift greift nicht, wenn sich die Webseite an einen unbestimmten Personenkreis richtet und grundsätzlich für jeden Internetnutzer abrufbar ist. Dies ist bereits anzunehmen, wenn die Webseite über Suchmaschinen auffindbar ist.

Betreiber von Webseiten, die einer wirtschaftlichen oder geschäftlichen Tätigkeit dienen, müssen die Anforderungen der Datenschutz-Grundverordnung beachten. Dies gilt unabhängig davon, ob es sich um eine gewerbliche oder eine selbständige Tätigkeit handelt oder eine Gewinnerzielung vorliegt.

Die Rechtsmäßigkeit der Verarbeitung von personenbezogenen Daten bei der Nutzung von Webseiten ist nicht Gegenstand dieses Informationsblattes, sondern ist von dem Verantwortlichen vorab zu prüfen.

e Informationspflichten der Datenschutz-Grundverordnung werden in der Regel durch eine Datenschutzerklärung auf der Webseite umgesetzt.
Die Pflichtinformationen, die der Betreiber einer Webseite den Nutzern geben muss, ergeben sich aus Art. 13 DSGVO:

1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, zum Beispiel Art. 6 Abs. 1 Buchstabe b) DSGVO oder die Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a) DSGVO;

4. wenn die Verarbeitung auf Artikel 6 Abs. 1 Buchstabe f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zum Beispiel das berechtige Interesse an der Abwehr von Angriffen auf die Webseite, die zur Überlastung des Servers führen

5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, zum Beispiel die konkret zu benennenden Betreiber von anderen Webseiten, deren Inhalte auf der eigene Webseite eingebunden werden, bei zugangsbeschränkten Internetportalen alle Nutzer des Portals oder bei allgemein im Internet veröffentlichten Daten alle Internetnutzer;

6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Land außerhalb der Europäischen Union zu übermitteln, und ob in diesen Fällen mit den jeweiligen Ländern entsprechende Datenschutzabkommen bestehen, mit denen ein ähnliches Schutzniveau wie innerhalb der EU gewährleistet werden soll,

7. ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, insbesondere bei einer Übermittlung von Daten in die USA, oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Abs. 1 UnterAbs. 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

9. die Informationen über die Betroffenenrechte auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit;

10. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts auf jederzeitigen Widerruf der Einwilligung und den Hinweis, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung unberührt bleibt;

11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

12. ist die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich, besteht die Pflicht der betroffene Person, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen hätte die Nichtbereitstellung und

13. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4 DSGVO und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Informationen müssen der konkreten Ausgestaltung der Webseite entsprechen.

Es ist insbesondere darüber zu informieren,

  • ob eigene oder Cookies von Drittanbietern gesetzt werden,
  • Inhalte von anderen Webseiten unmittelbar eingebunden sind, zum Beispiel Schriften, Wetterinformationen, Videos,
  • Social Plugs-In in die Webseite eingebunden sind, zum Beispiel von Twitter, Facebook, Youtube, Instagram,
    die Webseite Möglichkeiten vorsieht, durch die der Nutzer direkt personenbezogene Daten auf der Webseite eingibt und diese übermittelt, zum Beispiel Login-Verfahren, Kontaktformulare, Bestellformulare.

    Art. 12 Abs. 1 DSGVO schreibt vor, dass alle Informationen

  • in präziser, transparenter, verständlicher und leicht zugänglicher Form
  • in einer klaren und einfachen Sprache abzufassen sind.

    Die Datenschutzerklärung auf der Webseite muss einfach aufzufinden und durch die Bezeichnung klar als solche erkennbar sein. Sie sollte auf einer Webseite dargestellt werden, ohne übermäßiges Scrollen des Bildschirms zu erfordern. Die Sprache ist dem Adressatenkreis anzupassen, insbesondere wenn sich eine Webseite an Kinder und Jugendliche richtet. Richtet sich die Webseite auch an ausländische Nutzer, ist die Datenschutzerklärung entsprechend auch in weiteren Sprachen zur Verfügung zu stellen.

Art. 25 Abs. 1 DSGVO verpflichtet den verantwortlichen Anbieter einer Webseite, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Anforderungen der Datenschutz-Grundverordnung zu treffen. Sieht die Webseite die Möglichkeit vor, dass Nutzer personenbezogene Daten auf der Webseite eingeben können, dürfen diese nur verschlüsselt an den Verantwortlichen übermittelt werden. Demnach ist es wie schon bisher erforderlich, dass das https-Protokoll mit einer dem Stand der Technik entsprechenden sicheren Verschlüsselung zur Übermittlung der Daten eingesetzt wird.

Art. 25 Abs. 2 DSGVO verpflichtet den verantwortlichen Anbieter einer Webseite Voreinstellungen auf der Webseite so zu wählen, dass nur für die Nutzung der Webseite erforderliche personenbezogene Daten verarbeitet werden. Einstellungsoptionen finden sich zum Beispiel auf einer anmeldepflichtigen Webseite, auf der angemeldete Nutzer personenbezogene Inhalte einstellen können, hinsichtlich der Sichtbarkeit der Inhalte. Differenziert wird häufig zwischen sichtbar für „ausgewählte angemeldete Nutzer der Webseite“, „alle auf der Webseite angemeldete Nutzer“ oder „im gesamten Internet“. Die Voreinstellung muss dann auf „ausgewählte angemeldete Nutzer der Webseite“ gesetzt sein. Eine weitere Auswahloption ist häufig die Auffindbarkeit der nutzergenerierten Inhalte für Suchmaschinen. Diese ist in der Voreinstellung inaktiv zu schalten.

Häufig müssen bei der Gestaltung einer Webseite zusätzlich zu diesen Verpflichtungen aus der Datenschutz-Grundverordnung Anforderungen aus weiteren Gesetzen beachtet werden.

Dies sind zum Beispiel:

  • Impressumspflicht gemäß § 5 Telemediengesetz (TMG)

  • Informationspflichten bei kommerzieller Kommunikation gemäß § 6 TMG

  • Informationspflichten gemäß § 27 a Umsatzsteuergesetz und § 139 c Abgabenordnung

Berufsrechtliche Regelungen für freie Berufe, zum Beispiel Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte, Zahnärzte, Architekten, beratende Ingenieure: Bundesrechtsanwaltsordnung (BRAO) Berufsordnung (BORA) Fachanwaltsordnung (FAO) Rechtsanwaltsvergütungsgesetz (RVG) Berufsregeln der Rechtsanwälte der Europäischen Union (CCBE), Musterberufsordnung für Ärzte.

Bildquellen: pixabay.com

Anschrift:
Schlütter Consulting
Geschäftsinhaber: Ruben Schlütter
Braunschweiger Straße 22
38465 Brome
Deutschland

Kontakt:
Mail: info@schluetter-consulting.com
Tel. mobil: +49 0170 8036742