Datenschutzgrundverordnung Allgemein - Recht Werbungwien

Zu den wenigen inhaltlichen echten Neuerungen, die aus der DSGVO resultieren, zählt die Ausdehnung der Rechte der Betroffenen, insbesondere erweiterte Informationsrechte (z.B. Dauer der Speicherung), das Recht auf Datenübertragbarkeit und das Recht auf Löschung („Recht auf Vergessenwerden“).

Die DSGVO betreffen personenbezogene Daten – Name, Adresse, Geburtsdatum, Bankdaten, etc. sowie sensible Daten wie Fingerabdruck, Iris-Scan, Krankengeschichte oder sexuelle Ausrichtung. Doch auch Kontaktdaten – etwa in CRM-Programmen oder Adressdateien für Kundeninfo-Mails – gehören dazu.

Wirklich neu und nicht zu unterschätzen ist die von der DSGVO sehr stark geforderte Eigenverantwortung der Unternehmen. Diese müssen in der Regel selbst entscheiden, welche Maßnahmen sie aus rechtlicher, organisatorischer und technischer Sicht treffen, um ein möglichst hohes Niveau des Datenschutzes und der Datensicherheit herzustellen.

Die Verantwortlichen (das sind jene, die über die Mittel und Zwecke der Datenverarbeitung entscheiden) und die Auftragsverarbeiter (das sind jene, die die Daten im Auftrag der Verantwortlichen verarbeiten) sind gegenüber den betroffenen Personen, deren Daten verarbeitet werden, dafür verantwortlich, dass deren Daten nur rechtmäßig und den Bestimmungen der DSGVO entsprechend verarbeitet werden.

Es kann sehr teuer werden! Bei Verstößen gegen die DSGVO können Geldbußen von bis zu 20 Millionen Euro (bzw. bis zu 4 % des weltweiten Umsatzes) verhängt werden. Die betroffenen Personen, deren Datenschutzrechte verletzt worden sind, können von Verantwortlichen und Auftragsverarbeitern auch immateriellen Schadenersatz fordern.

Auch dort, wo von der DSGVO kein Datenschutzbeauftragter zwingend vorgeschrieben ist, wird die Bestellung eines solchen sinnvoll sein. Die Einhaltung der umfangreichen Verpflichtungen der DSGVO für Verantwortliche erfordert auch ein ausgefeiltes Dokumentationssystem, beispielsweise zum Nachweis der Zustimmungserklärungen.

Das wird je nach Unternehmen sehr unterschiedlich sein. In der Regel wird man im unternehmerischen Geschäftsleben aber mit der Erstellung einer Kundendatei, der Aufnahme der Daten zur Erstellung einer Rechnung oder der Erstellung einer Mitarbeiterdatenbank zu tun haben. Künftig müssen Sie nachweisen, wie Sie diese Daten speichern, verarbeiten – und dass Sie diese Daten nur mit Zustimmung der Betroffenen in gewissen Fällen weitergeben dürfen.
Im ersten Schritt müssen Sie im Unternehmen feststellen, welche Daten zu welchen Zwecken auf welcher Rechtsbasis erhoben werden. Achtung: Eine Verarbeitung ohne rechtliche Grundlage ist streng untersagt! Die wichtigsten rechtlichen Grundlagen sind die Zustimmungserklärung der betroffenen Person und die Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung. Der nächste Schritt ist die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Hier muss jede Verarbeitungstätigkeit erfasst werden, beispielsweise auch die Speicherung von Daten am Diensthandy.

Der Unternehmer, der Kundendaten (von natürlichen Personen) zur Erstellung einer Rechnung an den Kunden erfasst, ist „Verantwortlicher“. Der externe Buchhalter, der die Rechnungsdaten für die Bilanzerstellung von diesem Unternehmer erhält und verarbeitet, ist „Auftragsverarbeiter“. Weitere Beispiele für den „Auftragsverarbeiter“: Rechenzentrum, Lohnverrechner, Cloud-Anbieter, etc. Etwas legistischer formuliert:  Als „Verantwortlichen“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.

Entscheidend ist, dass die Zustimmung zur Datenverarbeitung („Einwilligung“) von der betroffenen Person auf freiwilliger Basis gegeben wird. Diese Einwilligung kann schriftlich, elektronisch oder mündlich erfolgen, beispielsweise durch Anklicken eines Kästchens auf einer Website. Achtung: Sollte keine Rückmeldung vorliegen („Stillschweigen“), so gilt die Einwilligung nicht. Ebenso nicht bei bereits vorangekreuzten Kästchen. Die „ausdrückliche“ Einwilligung ist jedoch nur bei der Verarbeitung von sensiblen Daten erforderlich, etwa Gesundheits- oder biometrische Daten.

Ja, in der täglichen Praxis ist die „Vertragserfüllung“ eine sehr gute Rechtsgrundlage für die Verarbeitung (z.B. bei einer Bestellung sind alle nötigen Schritte der Abwicklung erlaubt, auch ohne zusätzliche Einwilligung). Diese Rechtsgrundlage ist solide und benötigt wenig Administration.

Die Zweckbestimmung ist das Rückgrat der DSGVO. Sie besagt, dass Daten nur für einen oder mehrere bestimmte Zwecke verarbeitet werden dürfen, beispielsweise für eine Bestellung. Andere Zwecke, wie Marketingaktivitäten, sind daher von der Verwendung ausgeschlossen. Eine weitere bzw. sekundäre Nutzung von Daten widerspricht der Zweckbindung. Es sei denn, es liegt eine ausdrückliche Einwilligung der Personen vor, auf die sich die Daten beziehen.

Im Zuge der Speicherbegrenzung ist es tatsächlich so, dass Daten gelöscht werden müssen, sobald der Zweck der Datenverarbeitung erfüllt wurde und es keine Speichergründe mehr gibt (z.B. mit Ablauf der steuerrechtlichen Aufbewahrungspflicht). Hier sind automatische Löschungen vorzusehen. Daten eines einmaligen Kundenmailings sind daher sofort zu löschen.

Oberste Priorität hat die Datensicherheit. Ein Zugriff auf die Daten muss (z.B. vor externen Hackern, unbefugten Mitarbeitern oder technischen Fehlern) entsprechend der Verarbeitung sichergestellt werden (Prinzip „Integrität und Vertraulichkeit“). Allerdings werden Daten ja in der Praxis oft nicht lokal oder nur vom Verantwortlichen selbst verarbeitet. Regelmäßig werden externe Dienste (z.B. Clouds) genutzt. Dabei können Daten – etwa bei bestimmten Spezialaufträgen – auch in Länder übertragen werden, die keine dem europäischen Datenschutz entsprechenden Gesetze haben. In diesem Falle muss der „Auftragsdatenverarbeiter“, also der Dienstleister (z.B. ein Cloud-Dienst) garantieren können, dass er die von Ihnen zur Verfügung gestellten Daten – beispielsweise im Falle einer Verarbeitung eines Newsletters für einen Kunden – entsprechend den Vorschriften der DSGVO behandelt. Das Risiko wird also auf den Partnerbetrieb übertragen. Sie müssen allerdings dazu mit diesem einen entsprechenden Vertrag abschließen, der den Vorgaben der DSGVO entspricht.

Das ist vor allem dann, wenn man mit großen internationalen Anbietern zusammenarbeitet, ein Thema. Hier kann es ratsam sein, über den Vertrag, der zwischen Ihrem Unternehmen und dem „Auftragsdatenverarbeiter“ geschlossen wird, gesondert von einem Rechtsanwalt prüfen zu lassen.

Nein. Das Führen von Kundenkarteien, Mitarbeiterunterlagen, E-Mails, Dokumentationen oder das Abrechnungswesen sind – solang dieser Zweck nicht überschritten wird – ohne weitere Einschränkung erlaubt. Die Pflichten nach der DSGVO sind allerdings natürlich zu beachten.

Generell, aber das ist nichts Neues, ist das Führen von Verteilern meist nur über ein „Opt-in“ möglich, benötigt also eine Zustimmung des Empfängers. Diese ist in der Regel ohne großen Aufwand einzuholen. Eine Nutzung der Daten für Marketingzwecke ist dann unproblematisch. Eine Weitergabe von Daten (z.B. bei einem Verkauf des Unternehmens) ist in der Regel nicht zulässig.

Nur, wenn die entsprechenden Personen dafür ihr Einverständnis geben. An sich gilt: Nutzung für das Gewinnspiel. Eine weitere Nutzung (z.B. über das jeweilige Gewinnspiel hinaus, für Werbung) muss klar als weiterer Zweck angegeben werden. Die Kunden können ihre Zustimmung natürlich auch jederzeit widerrufen –  dann müssen Sie die Daten sofort löschen.