DSGVO: FAQ

Verarbeitung personenbezogener Daten

Datenschutzbeauftragter

Das kommt auf die Anzahl Ihrer Mitarbeiter an. Der Wortlaut von § 28 des BDSG-neu sagt hierzu, dass Sie einen Datenschutzbeauftragten brauchen, „soweit Sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Der Begriff „ständig“ meint dabei nicht „ununterbrochen“, sondern, ob die Tätigkeit des Mitarbeiters regelmäßig mit der Verarbeitung personenbezogener Daten zu tun hat. Dieses Beispiel fällt klar unter diese Regelung: wenn Mitarbeiter E-Mail-Zugang haben und mit Kunden, Partnern oder anderen Mitarbeitern darüber kommunizieren, werden personenbezogene Daten automatisiert verarbeitet. Deshalb zählt in der Praxis jeder Mitarbeiter, der einen Arbeitsplatz (egal ob er mit einer in Vollzeit oder in Teilzeit beschäftigten Person, oder einem Praktikanten oder einer EUR 450,- Kraft besetz ist) hat, der mit einem Rechner samt E-Mail ausgestattet ist, als ein Mitarbeiter (im Gegensatz zum Arbeitsrecht, wo Mitarbeiter ja auch 0,5 zählen können, wenn Sie z.B. in Teilzeit arbeiten).

Sie können im Ergebnis also alle Ihre Mitarbeiter, die Mailzugang haben einmal durchzählen: diese Personen zählen in jedem Fall dazu, wenn es um die Pflicht zur Bestimmung eines Datenschutzbeauftragten geht.

Alle Arztpraxen, die mehr als einen Berufsträger (also Arzt) haben, brauchen eine Datenschutzfolgenabschätzung. Ob Arztpraxen (und Anwaltskanzleien) unter 10 Mitarbeitern einen Datenschutzbeauftragten bestellen müssen ist noch nicht klar. Am besten die Rechtslage erstmal beobachten. Vielleicht kann auch die Ärztekammer dazu bald eine Aussage machen.

Videoüberwachung

Newsletter

Jede Newsletteranmeldung bedarf eines Double-Opt-In. Beim Double-Opt-In Verfahren bestätigt der Newsletter-Empfänger — zumeist über einen Aktivierungslink in einer Bestätigungsmail — seinen Wunsch zum Erhalt des Newsletters erneut (daher „double“). Gleichzeitig wird dieser Vorgang mittels Zeitstempeln protokolliert, um die Anmeldung und Aktivierung jederzeit belegen zu können. Sie sollten sich einen Newsletteranbieter suchen, der diese Vorgaben umsetzt. Der amerikanische Anbieter Mailchimp ist beispielsweise schon nach der bisherigen Rechtslage nicht datenschutzkonform.

Zudem muss nachgewiesen werden können, woher Ihre Mailadressen stammen. In Zukunft müssen Sie das also dokumentieren, auch um die Betroffenenrechte, v.a. nach Auskunft und Löschung, erfüllen zu können. Streng genommen müssten Sie alte, nicht mehr zuordenbare Mailadressen löschen, bei denen Sie keinen Double-Opt-In Prozess nachweisen können, falls Sie diese beispielsweise händisch angelegt haben. Vielleicht können Sie diese Kontakte anmailen und bitten, sich bei weiterem Interesse über das Double-Opt-In zu Ihrem Newsletter anzumelden.

 

Löschung von Daten

Es stimmt, dass ein Kunde jederzeit die Löschung seiner Daten verlangen kann. In Art. 17 Abs. 1  DSGVO steht, dass die betroffene Person das Recht hat, von dem Verantwortlichen zu verlangen, dass ihre personenbezogenen Daten unverzüglich gelöscht werden. Der Art. 17 ist damit aber noch nicht zu Ende. In Art. 17 Abs. 3 DSGVO werden die Ausnahmen aufgelistet, wann dieses Löschungsverlangen ins Leere geht („Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist …“).

In Ziffer b) steht dann wörtlich:

b) "zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“.

Steuerrechtliche Verpflichtungen oder andere gesetzliche Aufbewahrungspflichten gehen dem Löschungsverlangen der betroffenen Person damit klar vor.

"Die DSGVO kommt - in 5 Schritten zum Notwendigsten!
Jetzt anmelden!

 

 

Parallax Hintergrund
Wir beraten - Ihren Erfolg!

Sitemap