Veranstaltung zur EU DSGVO (2/4)

EU-DSGVO - Teil 2

30. April 2018
Verfasst von Sarah Schaudel

Ausgewählte Änderungen

Bei der Veranstaltung EU-DSGVO – Die Übergangsfrist ist jetzt! am 24. April 2018 erklärte RA Timo Schutt zunächst die wichtigsten Grundlagen und Begriffe der Datenschutzgrundverordnung (DSGVO). Darüber haben wir schon im Artikel EU-DSGVO Teil 1 berichtet. In dem heutigen Artikel geht es um ausgewählte Änderungen über die RA Timo Schutt die Zuhörer aufklärte.

Datenschutzbeauftragter

Ein betrieblicher Datenschutzbeauftragter ist unabhängig von der Mitarbeiterzahl zu bestellen, es kommt allein auf die Kerntätigkeit an: Nämlich wenn umfangreiche regelmäßige und systematische Überwachung betroffener Personen oder umfangreiche Verarbeitung sensibler Daten stattfindet.

Ab 10 Mitarbeitern die Daten verarbeiten ist dennoch ein Datenschutzbeauftragter zu bestellen. Eine freiwillige Benennung ist jederzeit möglich und ratsam, empfiehlt RA Timo Schutt.

Neben der Überwachung hat der Datenschutzbeauftragte auch die Rolle zu beraten. Bei falscher Beratung oder Umsetzung haftet der (externe) Datenschutzbeauftragte.

 

Wann dürfen Daten verarbeitet werden?

Vertragserfüllung

Grundsätzlich ist die Datenverarbeitung zur gesetzlichen Vertragserfüllung erlaubt. Der ursprüngliche Vertragsgrund ist hier sehr eng zu bewerten. Es besteht ein unmittelbarer Zusammenhang zwischen der Datenverarbeitung und dem Vertragszweck: Daten dürfen verarbeitet werden, wenn die Verarbeitung der Vertragserfüllung dient.

Einwilligung

Datenschutz-Grundverordnung (DSGVO)Zunächst müssen dem Betroffenen alle Informationen über die Verarbeitung seiner Daten in klarer Sprache – für jeden verständlich – vorliegen. Anschließend muss die Einwilligung zur Datenverarbeitung freiwillig erfolgen.

Es dürfen nur die Daten als Pflichtfelder angegeben werden, die zwingend zur Erfüllung des Vertragszwecks notwendig sind.

Das erklärt RA Timo Schutt anhand eines Gewinnspieles:

Werden beim Gewinnspiel nicht gerade Schuhe, Socken oder andere Produkte verlost, bei denen die Schuhgröße bekannt sein muss, darf die Schuhgröße nicht als Pflichtangabe vorgegeben werden. Ein optionales Feld ist erlaubt. Zusätzlich muss konkret festgelegt werden, zu welchem Zweck die Daten verwendet werden. Eine Einwilligung auf Vorrat ist nicht erlaubt.

Ein entsprechendes Fallbeispiel hatte RA Timo Schutt ebenfalls:
Eine betroffene Person hat die Einwilligung zum Erhalt eines Newsletters gegeben. Erst nach einem Jahr erhielt diese Person einen Newsletter und beschwert sich. Das Gericht gab der klagenden Person Recht, da der Zweck nach einem Jahr trotz Einwilligung nicht mehr konkret genug war.

Bei unter 16jährigen ist die Einwilligung der Eltern erforderlich. Wie das umgesetzt wird, ob zukünftig Altersnachweisenotwendig notwendig sein werden oder in welcher Form die Alterskontrolle durchgeführt werden muss ist noch unklar.

Die datenschutzrechtliche Einwilligung muss klar erkennbar hervorgehoben werden, die Zustimmung muss aktiv erfolgen und darf keinesfalls vorausgefüllt sein.
Zusätzlich sollten die AGBs ergänzt werden.

Bei einem sogenannten klaren Ungleichgewicht gilt die Einwilligung als nicht freiwillig. Wie ein Ungleichgewicht bewertet wird, ist bisher noch nicht beantwortet. RA Timo Schutt vermutet, dass ein solcher Fall im Arbeitnehmer-Arbeitgeber-Verhältnis entstehen könnte:
Der Arbeitnehmer traut sich nicht die Einwilligung zu verweigern, weil er Angst vor einer Kündigung hat.

Die Einwilligung muss zur Sicherheit als Opt-In erfolgen. Opt-In bezeichnet ein ausdrückliches Zustimmungsverfahren, durch doppelte Bestätigung, wie es heute schon bei Newsletter-Anmeldungen gängig ist:
Der Anmelder gibt seine E-Mail-Adresse an und erhält eine E-Mail, mit der er sich verifiziert und den zukünftigen Empfang bestätigt.

Berechtigtes Interesse

Hat der Verantwortliche ein sog. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO reicht dies aus, um personenbezogene Daten zu verarbeiten. Der Artikel legitimiert die Datenverarbeitung für vielerlei Zwecke, denn selbst Marketingmaßnahmen können zur Erfüllung des Geschäftszweckes wichtig sein.

Der Verantwortliche sollte sich also die Frage stellen: „Welche Erwartung hat der Verbraucher an die Einwilligung?“, denn die Interesse Betroffener darf das Interesse des Verantwortlichen nicht überwiegen. Die konkrete Formulierung im Erwägungsgrund 47 lautet:

"Kann der Betroffene als Kunde oder Dienstverpflichteter aufgrund (vertraglicher) Beziehung mit dem Verantwortlichen vernünftigerweise mit der Verarbeitung der Daten rechnen, ist dies ein Indiz für ein Überwiegen der Interessen des Verantwortlichen."

Betroffene können selbstverständlich auch ein legitimes Interesse jederzeit widerrufen.

Weitere Möglichkeiten
  • Rechtliche Pflicht zur Nutzung bei Behörden
  • Gesetzliche Verpflichtung zur Datenverarbeitung
  • Zur Wahrnehmung von Aufgaben im öffentlichen Interesse
  • Wahrung lebenswichtiger Interessen bei einem Notfall
Auftragsverarbeitung

Datenschutz-Grundverordnung (DSGVO)Die Pflichten des Auftragsverarbeiters werden erweitert. Verantwortliche und Auftragsverarbeiter haften gemeinsam und müssen eventuell entstandenen Schade gemeinsam tragen.

Der Auftragsverarbeiter muss die Verarbeitung dokumentieren, er steht in der Pflicht ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. Für Cloud-Anbieter bedeutet das festzuhalten, welche Kundendaten wie verarbeitet werden. Verstöße gegen den Datenschutz müssen unverzüglich, innerhalb von 72 Stunden, gemeldet werden.

Auf die Zwischenfrage: „Kann es sein, dass ein Prüfer vor der Tür steht und das Verzeichnis einsehen möchte?“, antwortet RA Timo Schutt, dass das Verzeichnis in diesem Fall dem Prüfer unmittelbar vorgelegt werden müsse. Die Wahrscheinlichkeit, dass ein Prüfer ohne Anlass danach verlangt, hält er allerdings für nicht so hoch. Eventuell könnte es im Rahmen von Branchenüberprüfungen dazu kommen.

Auftragsverarbeitungsvertrag

Auf der Website des Landesbeauftragten für Datenschutz von Baden-Württemberg wird eine Formulierungshilfe für den Auftragsverarbeitungsvertrag zur Verfügung gestellt. Im Netz finden sich noch viele weitere.

Der Verantwortliche muss einen solchen Vertrag mit dem Auftragsverarbeiter abschließen. Aber da der Auftragsverarbeiter mithaftet, liegt ein Auftragsverarbeitungsvertrag auf jeden Fall auch in seinem Interesse.

Google Analytics wird bei vielen Unternehmensseiten eingesetzt. D.h. persönliche Daten werden an Google weitergegeben und es muss ein Auftragsverarbeitungsvertrag mit Google geschlossen werden. Eine Vorlage wird von Google bereitgestellt. Erfahrungsgemäß dauert der Prozess etwa vier Wochen, bis man den Unterschriebenen Vertrag zurückerhält. Eine elektronische Zustimmung wird zwar angeboten, allerdings ist noch unklar, ob diese ausrecht.

Ein wichtiger Punkt des Vertrages ist, dass der Verantwortliche gegenüber dem Auftragsverarbeiter weisungsbefugt ist. Die Klausel steht bei Verträgen mit Google, Dropbox aber wohl nur auf dem Papier um den Schein zu wahren. Übernimmt der Mitarbeiter eines Steuerbüros die Lohnbuchhaltung im Auftrag eines Unternehmens ist eine Weisungsbefugnis durch das Unternehmen gegenüber dem Auftragsverarbeiter, dem Steuerbüro, gegeben.

RA Timo Schutt empfiehlt den Abschluss eines Auftragsverarbeitungsvertrags auch, wenn Unsicherheit besteht, ob das wirklich notwendig ist. Schaden würde das nie, nur, wenn er fehle.

 

Wir verwenden Cookies. Diese helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Website stimmst du der Erfassung von Informationen durch Cookies zu.  Mehr erfahren...

OK