DSGVO: FAQ

Wenn Sie Mieter haben, an die Sie Wohnraum, Nutzfläche etc., gewerblich vermieten, dann betrifft auch Sie die Datenschutzgrundverordnung genauso wie Unternehmen.

Von einer automatisierten Verarbeitung werden z.B. Rechner, Kameras, Webcams, etc. umfasst. Wir gehen davon aus, dass lediglich dann eine nichtautomatisierte Verarbeitung gegeben ist, wenn handschriftliche Aufzeichnungen vorliegen. Mit anderen Worten: Der Anwendungsbereich der DSGVO ist beim Einsatz von E-Mail und/oder Computer eröffnet und die Vorgaben der Verordnung müssen eingehalten werden. Praktisch ist also wirklich (fast) jedes Unternehmen, jeder Verein, etc., betroffen.

Ja, genau solche Verarbeitungen sind von der DSGVO mitumfasst.

Ja. Die Urlaubsplanung und -verwaltung ist ein solcher Vorgang, bei dem personenbezogene Daten verarbeitet werden.

Eindeutig: ja!

Das kommt auf die Anzahl Ihrer Mitarbeiter an. Der Wortlaut von § 28 des BDSG-neu sagt hierzu, dass Sie einen Datenschutzbeauftragten brauchen, „soweit Sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Der Begriff „ständig“ meint dabei nicht „ununterbrochen“, sondern, ob die Tätigkeit des Mitarbeiters regelmäßig mit der Verarbeitung personenbezogener Daten zu tun hat. Dieses Beispiel fällt klar unter diese Regelung: wenn Mitarbeiter E-Mail-Zugang haben und mit Kunden, Partnern oder anderen Mitarbeitern darüber kommunizieren, werden personenbezogene Daten automatisiert verarbeitet. Deshalb zählt in der Praxis jeder Mitarbeiter, der einen Arbeitsplatz (egal ob er mit einer in Vollzeit oder in Teilzeit beschäftigten Person, oder einem Praktikanten oder einer EUR 450,- Kraft besetz ist) hat, der mit einem Rechner samt E-Mail ausgestattet ist, als ein Mitarbeiter (im Gegensatz zum Arbeitsrecht, wo Mitarbeiter ja auch 0,5 zählen können, wenn Sie z.B. in Teilzeit arbeiten).

Sie können im Ergebnis also alle Ihre Mitarbeiter, die Mailzugang haben einmal durchzählen: diese Personen zählen in jedem Fall dazu, wenn es um die Pflicht zur Bestimmung eines Datenschutzbeauftragten geht.

Alle Arztpraxen, die mehr als einen Berufsträger (also Arzt) haben, brauchen eine Datenschutzfolgenabschätzung. Ob Arztpraxen (und Anwaltskanzleien) unter 10 Mitarbeitern einen Datenschutzbeauftragten bestellen müssen ist noch nicht klar. Am besten die Rechtslage erstmal beobachten. Vielleicht kann auch die Ärztekammer dazu bald eine Aussage machen.

Nein, eingebaute Türkameras sind derzeit ausgenommen, sofern sie keine Aufzeichnungsfunktionen haben.

Jede Newsletteranmeldung bedarf eines Double-Opt-In. Beim Double-Opt-In Verfahren bestätigt der Newsletter-Empfänger — zumeist über einen Aktivierungslink in einer Bestätigungsmail — seinen Wunsch zum Erhalt des Newsletters erneut (daher „double“). Gleichzeitig wird dieser Vorgang mittels Zeitstempeln protokolliert, um die Anmeldung und Aktivierung jederzeit belegen zu können. Sie sollten sich einen Newsletteranbieter suchen, der diese Vorgaben umsetzt. Der amerikanische Anbieter Mailchimp ist beispielsweise schon nach der bisherigen Rechtslage nicht datenschutzkonform.

Zudem muss nachgewiesen werden können, woher Ihre Mailadressen stammen. In Zukunft müssen Sie das also dokumentieren, auch um die Betroffenenrechte, v.a. nach Auskunft und Löschung, erfüllen zu können. Streng genommen müssten Sie alte, nicht mehr zuordenbare Mailadressen löschen, bei denen Sie keinen Double-Opt-In Prozess nachweisen können, falls Sie diese beispielsweise händisch angelegt haben. Vielleicht können Sie diese Kontakte anmailen und bitten, sich bei weiterem Interesse über das Double-Opt-In zu Ihrem Newsletter anzumelden.

Eindeutig ja. Werbung können auch Vereine für sich und ihre Zwecke machen, ebenso wie andere nicht unternehmerische Organisationen. Der Gesetzgeber wollte mit der DSGVO nicht speziell Unternehmen verpflichten, sondern die automatisierte Verarbeitung personenbezogener Daten schützen.

Nein, einmal Double-Opt-In reicht. Das Thema beschäftigt aber in der Tat viele Unternehmen. Näheres finden Sie dazu in unserem You-Tube-Video.

Es stimmt, dass ein Kunde jederzeit die Löschung seiner Daten verlangen kann. In Art. 17 Abs. 1  DSGVO steht, dass die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass ihre personenbezogenen Daten unverzüglich gelöscht werden. Der Art. 17 ist damit aber noch nicht zu Ende. In Art. 17 Abs. 3 DSGVO werden die Ausnahmen aufgelistet, wann dieses Löschungsverlangen ins Leere geht („Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist …“).

In Ziffer b) steht dann wörtlich:

b) "zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“.

Steuerrechtliche Verpflichtungen oder andere gesetzliche Aufbewahrungspflichten gehen dem Löschungsverlangen der betroffenen Person damit klar vor.

Gemäß Art. 5 Abs.1 lit.e DSGVO gilt der Grundsatz der Speicherbegrenzung. Demnach darf die Identifizierung einer betroffenen Person nur so lange möglich sein, wie es für den Verarbeitungszweck erforderlich ist. Sobald also der Verarbeitungszweck wegfällt, müssen Daten gelöscht werden. Der Grundsatz soll unter anderem dadurch eingehalten werden, indem der Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung der Daten vorsieht. Die meisten Unternehmen erstellen dazu ein Löschkonzept.

Im Falle eines Onlineshops werden personenbezogene Daten verarbeitet, wenn ein Kundenkonto eröffnet wird. Zweck des Kundenkontos und damit der Datenverarbeitung ist die Abwicklung von Verträgen. Hierbei werden dem Onlineshopanbieter personenbezogene Daten übermittelt, damit dieser Kaufangebote der Kunden erhalten und verarbeiten kann sowie auch annehmen kann und so ein Kaufvertrag zustande kommen kann, sowie um diesen Vertrag dann abwickeln zu können, indem das Produkt an die angegebene Adresse verschickt wird und gegebenenfalls die Zahlung durch Bankeinzug erfolgen kann. Weiterer Zweck der Datenverarbeitung kann sein, dass der Kunde Bestellverläufe einsehen kann und eine Erleichterung der Kommunikation mit dem Onlineshopanbieter.

Es stellt sich nun die Frage, ob und wann Nutzerdaten bei Inaktivität gelöscht werden müssen und ob dies dem Kunden mitgeteilt werden muss. Als erstes ist festzustellen, dass eine Löschung bei Inaktivität erfolgen muss, da davon ausgegangen werden muss, dass der Verarbeitungszweck weggefallen ist. Der früheste Zeitpunkt hierfür wäre der, der unverzüglich auf den letzten Schritt der Vertragsabwicklung folgt, oft also der des Zahlungseingangs oder des Empfangs des Produkts durch den Kunden. Dies würde aber mit sich bringen, dass jedes Mal ein neues Kundenkonto eröffnet werden müsste. Um den weiteren Zweck der erleichterten Kommunikation zu erfüllen, kann der entscheidende Zeitpunkt für die Löschung auch darin gesehen werden, wann keine Ansprüche aus dem Vertrag mehr geltend gemacht werden können, z.B mit Ablauf der Verjährungsfrist für die Geltendmachung vom Mängelansprüchen, frühestens jedoch mit Ablauf der Widerrufsfrist. Die Zweijahresfrist des §438 Abs.1 Nr.3 BGB erscheint hier eine gute Orientierungshilfe zu sein.

Es ist also zu empfehlen, dass nach zwei Jahren Inaktivität, das bedeutet, dass zwei Jahre nichts bestellt wurde, das Kundenkonto gelöscht wird, da dann davon auszugehen ist, dass der Verarbeitungszweck endgültig weggefallen ist. Darauf sollte in der Datenschutzerklärung deutlich hingewiesen werden. Daneben sollte der Hinweis erfolgen, dass auf Verlangen des Kunden die Daten auch schon vor Ablauf der Zweijahresfrist gelöscht werden müssen.

Rein vorsorglich zur Info: alle Unterlagen, die steuerrechtlich relevant sind, müssen länger aufbewahrt werden. Ihr Steuerberater hilft Ihnen hier sicher gerne weiter. Gängig ist z.B. eine Aufbewahrung von Geschäftsunterlagen, die für die Steuer relevant sind (z.B. Rechnungen) von 10 Jahren.

Wenn Kundendaten an externe Dienstleister weitergeben werden, damit diese selbst an den Kunden das geforderte Produkt liefern können, handelt es sich um eine Auftragsdatenverarbeitung. Die Grundsätze hierfür richten sich nach Art.28 DSGVO. Es muss daher ein AV-Vertrag mit dem jeweiligen Dienstleister geschlossen werden.

In Art.88 DSGVO findet sich eine Sonderregelung bezüglich der Datenverarbeitung im Beschäftigungsverhältnis. Auch hier gilt der Grundsatz der Transparenz. Das bedeutet, dass auch im Beschäftigungsverhältnis den allgemeinen Informationspflichten gemäß Art.13 -  15 DSGVO nachgekommen werden muss. Nur durch eine Dokumentation aller Verarbeitungsschritte kann diesen Anforderungen nachgekommen werden. Eine Entbindung von der Dokumentationspflicht würde dem Zweck des Transparenzgebots völlig zuwider laufen. Des Weiteren würde dies zu einem faktischen Ausschluss des Auskunftsanspruchs aus Art.15 DSGVO führen, da ohne der Dokumentation auch keine darauf basierende Auskunft erfolgen kann. Es handelt sich beim Datenschutzrecht um nicht zur Disposition stehende Normen. 

Die Grundsätze des Datenschutzes binden jeden. Damit sind auch die Post- und Speditionsunternehmen daran gebunden. Sie trifft eine Informationspflicht dahingehend, wer Pakete zustellt. Als innereuropäischer Unternehmer sind Sie auch im Rechtsverkehr mit Drittstaaten an die DSGVO gebunden. 

Die Einwilligung zur Veröffentlichung einer Referenz auf der Website ist eigentlich unabhängig von der DSGVO schon immer nach UWG zwingend notwendig gewesen. Der Vertragspartner muss ausdrücklich zustimmen, wenn Sie ihn mit Namen und/oder Logo als Ihren (ehemaligen) Geschäftspartner nennen möchten.