DSGVO - FAQ

Häufig gestellte Fragen zur DSGVO

Cookies? Kann man die essen?

Cookies, personenbezogene Daten, Datenschutz – was heisst das eigentlich?

Die Datenschutzverordnung (DSGVO) trat am 25. Mai 2018 in der Europäischen Union in Kraft. Das Regelwerk wurde im April 2016 vom EU-Parlament verabschiedet und ersetzt bestehende Datenschutzrichtlinien. Sie sind nicht allein, wenn Sie sich immer noch unsicher sind, was die neuen Vorschriften konkret für Sie bedeuten und wie Sie diese optimal umsetzen sollten…

Die DSGVO wird die Datenschutzrichtlinie 95/46/EG von 1995 ersetzen und den Schutz und die Rechte des Einzelnen verbessern. Die Verordnung schafft ein sichereres Umfeld für die Verbraucher und ihre Daten, indem sie die Menge der Daten, die gesammelt werden dürfen, sowie die Art und Weise, wie sie verwendet werden und wie lange sie gespeichert werden können, begrenzt.

Die DSGVO vereinheitlicht rechtliche Rahmenbedingungen und verpflichtet alle Länder zur Einhaltung der gleichen Regeln, wenn es um die Verwendung personenbezogener Daten geht. Trotzdem setzt jedes Land die Datenschutzrichtlinie in Teilen unterschiedlich um, so dass die rechtlichen Bestimmungen innerhalb der EU unterschiedlich ausfallen und somit schwerer zu verstehen und umzusetzen sind.

Kurz gesagt, ja. Zumindest dann, wenn Ihr Unternehmen mit Verbrauchern in der EU kommuniziert, oder wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten oder speichern. In diesem Fall wird die DSGVO Sie betreffen.

Als personenbezogene Daten gelten alle Informationen, die sich auf eine direkt oder indirekt identifizierbare Person beziehen. Dabei kann es sich um einen Vornamen, eine E-Mail-Adresse, ein Foto, eine Bankverbindung, Kreditkarteninformationen, Beiträge aus Social Media, die Krankengeschichte, eine IP-Adresse und vieles mehr handeln.

Unternehmen, die sich nicht an die neuen Vorschriften halten, drohen saftige Geldstrafen. Die Bußgelder werden in Abhängigkeit vom Ausmaß der Zuwiderhandlung verhängt. Die maximale Geldbuße, die einer Firma auferlegt werden kann, beträgt 4% des globalen Jahresumsatzes, oder 20 Millionen Euro.

Gemäß der DSGVO sollen Geldbußen wirksam, verhältnismäßig und abschreckend sein. Sie sollen aber gleichzeitig die Maßnahmen berücksichtigen, die das Unternehmen tatsächlich zur Einhaltung der DSGVO-Vorgaben unternommen hat. Mit anderen Worten: Wenn sich Ihr Unternehmen nicht auf die DSGVO vorbereitet und dann einen umfassenden Datenverlust erleidet, werden Sie mit hohen Geldstrafen rechnen müssen. Wenn Sie sich aber so auf DSGVO vorbereiten, dass Sie nahezu gesetzeskonform agieren, wird die Geldbuße in einem angemessenen Verhältnis dazu stehen. Die Entscheidung über etwaige Geldbußen treffen die örtlichen Aufsichtsbehörden.

Um den neuen Bestimmungen zu entsprechen, sollten Sie folgende Punkte sicherstellen:

  • Verbessern Sie die Rahmenbedingungen zum Erteilen einer Einwilligung.
  • Benachrichtigen Sie Ihre Kontakte innerhalb von 24 Stunden über ein etwaiges Datenleck.
  • Stellen Sie Nutzern auf Anfrage eine Kopie ihrer persönlichen Daten in elektronischer Form zur Verfügung.
  • Löschen Sie Nutzerdaten, wenn Sie sie nicht länger benötigen, oder wenn der Nutzer dies wünscht.
  • Ermöglichen Sie es Nutzern, ihre Daten von Ihrem Unternehmen an ein anderes zu übertragen.
  • Bauen Sie Daten fest in die Systeme ein, anstatt sie als Add-On oder nachträglich zu integrieren.
  • Beauftragen Sie einen Datenschutzbeauftragten, wenn Ihr Unternehmen bestimmte Kriterien erfüllt.

Handelt es sich bei einer Organisation um eine Behörde, die regelmäßig Personen in großem Stil überwacht, oder um eine Organisation, die spezielle Datenkategorien wie medizinische Daten oder Informationen über strafrechtliche Verurteilungen verarbeitet, dann verlangen die neuen Vorschriften, dass ein DSB beauftragt wird.

Die DSGVO verlangt eine gültige Einwilligung (auf die Erhebung von Daten) von allen neuen und bestehenden Kontakten. Auf Verlangen müssen Sie nachweisen, dass Ihnen eine Zustimmung zur Verwendung personenbezogener Daten vorliegt. Betrachten Sie folgenden Szenarien:

  • Bestandskunden (Käufer): Die Einwilligung wird im Rahmen „bestehender Kundenbeziehungen“ als gegeben vorausgesetzt. Beachten Sie jedoch, wie lange die Beziehungen zukünftig als „gültig“ angesehen werden können und ob der Kommunikationsinhalt auf die bestehenden Beziehungen beschränkt werden sollte (z.B. nach § 7 Abs. 3 UWG).
  • Ehemalige Kunden: Ein Unternehmen ist ab sofort nicht mehr dazu berechtigt, personenbezogene Daten ohne Einwilligung, aktive Kundenbeziehung oder laufenden E-Mail-Verkehr aufzubewahren.
  • Aktive E-Mail-Abonnenten ohne nachweisbare Einwilligung: Um weiterhin Werbung versenden zu können, müssen Sie darlegen, dass Ihr Marketing-Programm einen Mehrwert für die Empfänger bietet und diese Personen als „bestehende Kundenbeziehungen“ einstuft.
  • Inaktive E-Mail-Abonnenten: Sie sollten Kontaktdaten nicht ohne aktuelle Einwilligung, Kundenbeziehung oder laufende E-Mail-Aktivitäten speichern.
  • Neukunden / E-Mail-Abonnenten: Sie sollten den Wortlaut der Einwilligungserklärung sowie das Erteilen der entsprechenden Einwilligung für jeden Kunden speichern (z.B.: Diese Person hat dieses Kästchen am Tag X um XX:XX Uhr von der IP-Adresse Y angekreuzt und somit der Datenverarbeitung in der Z-Erklärung zugestimmt).

Gemäß der neuen DSGVO dürfen Organisationen personenbezogene Daten nur dann verarbeiten, wenn eine der folgenden Rechtsgrundlagen erfüllt ist:

  • Einwilligung: Nutzer müssen eine gültige Einwilligung in klarer und eindeutiger Sprache erteilen, bevor Unternehmen ihre Daten verarbeiten dürfen.
  • Vertrag: Der Nutzer ist Unterzeichner (oder Betroffener) eines Vertrages, für dessen Erfüllung das Unternehmen bestimmte Daten verarbeiten muss.
  • Erfüllung einer gesetzlichen Verpflichtung: Das Unternehmen ist aufgrund einer rechtlichen Auflage dazu verpflichtet, bestimmte Daten zu verarbeiten.
  • Lebenswichtige Interessen: Die Verarbeitung von Daten ist zum Schutz lebenswichtiger Interessen des Einzelnen oder einer anderen natürlichen Person zwingend erforderlich.
  • Öffentliches Interesse: Daten, die im Rahmen einer im öffentlichen Interesse ausgeführten Aufgabe verarbeitet werden.
  • Berechtigtes Interesse: Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen / aus Sicherheitsgründen.

Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO. Die DSGVO erklärt hierzu, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann].“ Einige Marketer interpretieren diese Regelung dahingehend, dass das Versenden von Werbematerialien an Kontakte auch ohne signifikante Anpassungen bzw. Änderungen nach wie vor rechtmäßig sei.

Sie sollten sorgfältig abwägen, ob das „berechtigte Interesse“ die beste Grundlage für Ihre Marketingkommunikation ist. Sobald Sie dies getan haben, müssen Sie folgendes sicherstellen:

  • Erklären Sie, wie oder warum Sie die persönlichen Daten einer Person benötigen, wenn Sie diese sammeln.
  • Verwenden Sie einen mehrschichtigen Datenschutzhinweis.
  • Informieren Sie Einzelpersonen darüber, was nach der Datenerfassung mit ihren Daten geschieht.
  • Bieten Sie Nutzern die Möglichkeit, dem Erhalt von Werbung zu widersprechen.
  • Sammeln Sie nur benötigte Daten und löschen Sie diese, sobald der Nutzer dies einfordert.

Sie müssen nachweisen können, dass die oben genannten Bedingungen für alle Daten (bestehende + neue), die Sie unter Berufung auf das „berechtigte Interesse“ verwenden, eingehalten werden.

Ein allgemeines Interesse am Erhalt von Werbematerialien ist keine ideale Grundlage, um sich auf das „berechtigte Interesse“ zu berufen. Verwenden Sie stattdessen, wo immer möglich, die Einwilligung als Grundlage.

Die DSGVO gibt sechs Rechtsgrundlagen für die rechtmäßige Verarbeitung von Daten an (siehe oben). Wenn Ihre Verarbeitung in eine der genannten Rubriken fällt, müssen Sie an Ihren Prozessen & Vorgehensweisen nichts verändern.

Double Opt-in ist eine der möglichen Grundlagen, um eine Einwilligung rechtskräftig nachweisen zu können. Obwohl die DSGVO dies nicht verlangt, ist das DOI ein relativ einfacher Weg, um zu beweisen, dass eine Person sich für einen Service registriert hat.

So lässt sich Double Opt-in implementieren: Nachdem ein Nutzer das Anmeldeformular ausgefüllt hat, versenden Sie eine E-Mail mit der Aufforderung, das Opt-in über einen Bestätigungslink zu aktivieren. Erst wenn der Klick auf den Link erfolgt, wird das Abonnement wirksam. Gleichzeitig untermauert dieses Verfahren Ihre Einhaltung der Bestimmungen der DSGVO.

Stellen Sie sicher, dass folgende Angaben gespeichert werden:

  • Datum/Zeit der Einwilligung
  • Art der Einwilligung
  • Eine Kopie des Anmeldeformulars, einschließlich des entsprechenden Wortlauts.

Bitte beachten Sie, dass die Einwilligung für alle Arten der Datenerfassung gilt, einschließlich Offline-Methoden, E-Mail und Telefon. Sie sollten sich daher überlegen, wie Sie analoge Einwilligungen erfassen und speichern.

Das kommt darauf an. Wie bereits erwähnt, verlangt die DSGVO von Unternehmen mehr Transparenz in Bezug auf die Einwilligung. Es ist sicherzustellen, dass die zustimmende Person eine „informierte Einwilligung“ erteilt und dass der Nutzer versteht, wer seine Daten verwendet und warum.

Plant ein Unternehmen, seine erfassten Daten für mehr als einen Zweck zu verwenden, muss das Unternehmen dies kenntlich machen und für jeden Zweck eine Einwilligung einholen. Die Verarbeitung darf nur für die Zwecke erfolgen, für die eine Zustimmung erteilt wurde.

Ihre Datenschutzbestimmungen müssen klar und verständlich sein und sollten darlegen, wer die Daten sammelt und welche Kontrolle der Verbraucher über seine Daten hat. Sie müssen zudem kenntlich machen, wie lange die Daten aufbewahrt werden.

Sie sollten sämtliche Datenschutzrichtlinien, Einwilligungsinformationen und Protokolle Ihrer Datenverarbeitung(en) archivieren, um nachzuweisen, dass Sie sich an die von dem jeweiligen Verbraucher erteilte Erlaubnis halten.

Nach dem 25. Mai 2018 müssen alle Daten, die Sie für Werbekampagnen speichern und verarbeiten, den Voraussetzungen der DSGVO genügen. Sie sollten also überprüfen, ob die Einwilligungen aller relevanter Kontakte für zukünftige Datenverwendungen ausreichend sind. Sie müssen außerdem nachweisen können, dass Sie die eindeutige Einwilligung zum Versand von Mitteilungen an diese Kontakte besitzen. Fehlt es an der eindeutigen Einwilligung, müssen Sie diese nachträglich einholen.

Die Zeit zum Einholen aller nötigen Einwilligungen von inaktiven Abonnenten ist begrenzt. Wir empfehlen Ihnen daher, Ihre Kontakte möglichst schnell und wirkungsvoll mit entsprechenden Maßnahmen anzusprechen (z.B. durch Incentives, Rabattaktionen oder Upgrades). Wenn inaktive Abonnenten davon überzeugt sind, dass sich die Kommunikation mit Ihrem Unternehmen lohnt, werden sie dem Erhalt Ihrer Werbemaßnahmen zustimmen.

Prüfen Sie anhand dieser kurzen Checkliste, ob Sie bereit für die DSGVO sind:

  • Überprüfen Sie Ihre Daten (welche Daten besitzen Sie, wo werden Daten gespeichert, etc.).
  • Führen Sie eine Datenschutz-Folgenabschätzung durch (falls erforderlich)
  • Legen Sie für jeden Datensatz die rechtmäßige Verarbeitungsgrundlage fest.
  • Entscheiden Sie, ob und wie Sie eine Einwilligung aktualisieren, um den zukünftigen Anforderungen zu entsprechen.
  • Prüfen Sie alle Online-/Offline-Datenquellen auf DSGVO-Konformität.
  • Aktualisieren Sie Ihre Datenschutzrichtlinien.

HAFTUNGSAUSSCHLUSS – Die Materialien in diesem Artikel stellen keine Rechtsberatung dar und werden nur zu allgemeinen Informationszwecken zur Verfügung gestellt.

Die wichtigsten Begrifflichkeiten des Datenschutzes

Diese befinden sich in Art. 4 DSGVO und §2 BDSG (Begriffbestimmungen)

Der „alte“ Begriff ist Datenerhebung, Datenverarbeitung, Datennutzung

„Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. (Art. 4 Nr. 1 DSGVO). Allerdings ein sehr weit gefasster Begriff, der Infos wie Name, Adresse, Telefonnummer, Autokennzeichen oder auch die IP-Adresse einer Person umfasst. Identifizierbar ist eine natürlich Person die direkt oder indirekt, insbesondere mittels Zuordnung einer Kennung wie Name, Kennummer, Standortdaten, Online-Kennung oder einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Die Grundsätze gelten NICHT für „anonyme Informationen“. (Infos die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr indentifiziert werden kann. Dies gilt auch für statistische Forschungszwecke.

Die DSGVO gilt ausserdem nicht für die personenbezogenen Daten Verstorbener (die EU-Mitgliedstaaten können jedoch Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen)

Soweit keine personenbezogenen Daten betroffen sind, ist die DSGVO nicht anzuwenden.

Bedeutet laut DSGVO: Jeden mit oder ohne Hilfe autiomatisierter Verfahren ausgeführten Vorgang in Zusammenhang mit personenbezogenen Daten, wie:
– Das Erheben
– Das Erfassen
– Die Organisation
– Das Ordnen
– Die Speicherung
– Die Anpassung o. Veränderung
– Das Auslesen
– Das Abfragen
– Die Verwendung
– Die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
– Den Abgleich oder die Verknüpfung
– Die Einschränkung
– Das Löschen oder die Vernichtung

Verarbeitungsgänge die mittels PC, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer erfasst werden.

Jede Benutzung von Computer, Internet oder E-mail kann also zur Anwendbarkeit der DSGVO führen, wenn personenbezogene Daten betroffen sind.

Die nichtautomatisierte Verarbeitung liegt bei handschriftlichen Aufzeichnungen vor.

Gemeint ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Gemeint ist eine natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle, die personenbezogene Daten um Auftrag des Verantwortlichen verarbeitet. (Zum Beispiel Dienstleister von Firmen)

nach § 3 Abs. 6a BDSG, meint das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

nach § 3 Abs. 6 BDSG, meint das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.


Kontaktformular

Kontakt

TC-SEC GmbH
Matthiasstraße 29a
41747 Viersen

Telefon: 02162.9 19 79 - 0
Fax: 02162.9 19 79 - 99

E-Mail: datenschutz@tcsec.de
gdd Mitglied
Erfahrungen & Bewertungen zu TC-SEC