Rechtsanwaltskanzlei Dr. Reinacher

Datenschutzerklärung

A. Das neue Datenschutzrecht in Unternehmen

1. Grundlegendes
  • DSGVO seit dem 24.05.2016 in Kraft, zweijährige Übergangsfrist
  • Seit dem 25.05.2018 müssen alle Dokumente und Prozesse angepasst sein
  • Einige Änderungen zum BDSG; datenschutzrechtliche Grundprinzipien bestehen fort
  • BDSG gilt neben DSGVO in novellierter Form weiter
  • DSGVO verdrängt BDSG, wenn keine Möglichkeiten für einzelstaatliche Regelungen vorgesehen sind
2. Ziele
  • Gleiche datenschutzrechtliche Standards in allen Staaten der EU
  • Modernisierung des Datenschutzrechts als Reaktion auf die durch Globalisierung und Digitalisierung entstehenden datenschutzrechtlichen Herausforderungen
  • Gleiche Wettbewerbsbedingungen für alle Unternehmen auf dem europäischen Markt
3. Die zentralen Begriffe
3.1 Personenbezogene Daten
  • Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (= des Betroffenen)
  • z.B. Alter, Anschrift, Vermögen, Äußerungen, Überzeugungen
3.2. Standortprinzip und Marktortprinzip

Unternehmen unterliegen der DS-GVO nur dann, wenn

  • sie personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder
  • sie personenbezogene Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben
  • Ausgenommen sind nur die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten für ausschließlich persönliche oder familiäre Tätigkeiten!

DS-GVO gilt nach dem Marktprinzip für

  • In der EU niedergelassene Unternehmen (Standortprinzip)
  • Unternehmen, deren Angebot sich an einen bestimmten nationalen Markt innerhalb der EU richtet (Marktortprinzip)
  • Anwendungsbereich erstreckt sich auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind
  • ausländische Unternehmen erhalten nur Zugang zum EU-Binnenmarkt, wenn sie sich an die dort geltenden Regelungen halten
  • Ziel: Gleiche Wettbewerbsbedingungen für alle Unternehmen, die Waren und Dienstleistungen in der EU anbieten
3.3 One-Step-Shop
  • Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten, in denen Datenverarbeitung betrieben wird: Unabhängig vom Serverstandort ist nur Aufsichtsbehörde am Hauptsitz zuständig
  • Sobald mehrere Mitgliedsstaaten betroffen sind, werden deren Datenschutzaufsichtsbehörden in Abstimmungsmechanismus eingebunden
    • Federführende und übrige betroffene Aufsichtsbehörden einigen sich auf einheitliche Vorgehensweise
      - es ergeht ein entsprechender Beschluss an das Unternehmen
    • Kein Konsens zwischen der federführenden und den mitbetroffenen Aufsichtsbehörden
      - „Kohärenzverfahren“: EU-Datenschutzausschuss trifft verbindlichen Beschluss, auf dessen Grundlage die federführende Aufsichtsbehörde einen endgültigen Beschluss gegenüber der Hauptniederlassung des Unternehmens triff; Möglichkeit der Beschwerde
3.4 Verbot mit Erlaubnisvorbehalt
  • Für die Verarbeitung personenbezogener Daten gilt:
    Es ist grundsätzlich verboten, was nicht ausdrücklich erlaubt ist!
  • Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist verboten, es sei denn
    • sie sind durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder
    • Der Betroffene hat seine Einwilligung erklärt
3.4.1 Anforderungen an Einwilligung des Betroffenen
  • Freiwillig
  • Grundsätzlich in Schriftform (Ausnahme: wegen besonderer Umstände ist eine andere Form angemessen)
  • Betroffener wurde vorher über die Tragweite seiner Einwilligung aufgeklärt
  • Betroffener ist zu informieren, was geschieht, wenn er nicht einwilligt
  • Achtung: Bei der Verarbeitung besonderer Arten von personenbezogenen Daten muss sich Einwilligung auf diese Daten beziehen
    • Rassische und ethnische Herkunft
    • Politische Meinungen
    • Religiöse oder politische Überzeugungen
    • Gewerkschaftszugehörigkeit
    • Gesundheit
    • Sexualleben
3.4.2 Einschränkungen der Erhebung, Verarbeitung und Nutzung personenbezogener Daten
  • Bereits bei Erhebung sind Zwecke der Datenverarbeitung oder Datennutzung konkret festzulegen
  • Grundsätzlich Zweckbindung
  • Änderungen des Verarbeitungszwecks nur erlaubt, wenn mit ursprünglichem Erhebungszweck vereinbar
  • Kriterien zur Beurteilung der Vereinbarkeit:
    • Verbindung zwischen den Zwecken
    • Gesamtkontext, in dem die Daten erhoben wurden
    • Art der personenbezogenen Daten
    • Mögliche Konsequenzen für Betroffenen
    • Vorhandensein von angemessenen Sicherheitsmaßnahmen (z.B. eine Verschlüsselung)

Achtung: Strikte Zweckbindung für Daten, die ausschließlich zur Datenschutzkontrolle, Datensicherung, Sicherung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage oder zur wissenschaftlichen Forschung gespeichert werden

3.4.3 Zweckänderung
  • Abwägung zwischen einander entgegenstehenden Interessen an Zweckänderung und schutzwürdigen Interessen des Betroffenen
  • Zweckänderung kommt als Ausnahme unter anderem in Betracht
    • Zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten
      jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt
    • Wenn die Daten allgemein zugänglich sind oder veröffentlicht werden dürften
3.4.4 Keine Zweckänderung
  • Keine Zweckänderung, soweit die Daten verwendet werden für
    • Die Rechnungsprüfung
    • Die Wahrnehmung von Aufsichts- und Kontrollbefugnissen
    • Organisationsuntersuchungen
    • Ausbildungs- und Prüfungszwecke der speichernden Stelle

In Unternehmen wird der größte Teil der personenbezogenen Daten (u.a. Kundendaten) zur Erfüllung eigener Geschäftszwecke verwendet

4. Die zentralen Schritte
4.1 Die Datenerhebung
  • Prinzip der Datensparsamkeit: Erhebung und Verarbeitung muss dem Zweck angemessen, sachlich relevant und auf das notwendige Maß beschränkt sein
  • Daten sind grundsätzlich beim Betroffenen zu erheben
  • Dem Betroffenen ist Zweck mitzuteilen
  • Anspruch des Betroffenen, zu erfahren
    • Welche verantwortliche Stelle Daten erhoben hat
    • Welche Zweckbestimmung der Datenerhebung zugrundeliegt
  • Ohne Mitwirkung des Betroffenen dürfen Daten nur erhoben werden, wenn
    • Eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt
    • Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand zur Folge hätte und keine Anhaltspunkte für Beeinträchtigung schutzwürdiger Interessen des Betroffenen vorliegen
4.2 Die Datenübermittlung
  • Recht auf Datenübertragbarkeit:
    • Anspruch des Betroffenen, eine Kopie der ihn betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten
    • Recht des Nutzers, Daten von einem Anbieter zu einem anderen „mitzunehmen“, die dem Verarbeiter zur Verfügung gestellt wurden
  • Datenübermittlung in Drittstaaten:
    • Nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die zur Datenübermittlung in Drittländer und an internationale Organisationen geltenden Bedingungen erfüllen und sonstige Bestimmungen der DSGVO beachtet werden
    • Zulässig, wenn im anderen Land ein angemessenes Datenschutzniveau besteht
    • Übermittlung aufgrund weitreichender Ausnahmeregelungen kommt in Betracht
4.3 Die Vorabkontrolle
  • Vorgesehen für automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen
  • z.B. notwendig bei
    • Verarbeitung von personenbezogenen Daten besonderer Art
    • Verfahren zur Bewertung von Persönlichkeit, Fähigkeit, Leistung oder Verhalten des Betroffenen
  • Vorabkontrolle entfällt, wenn
    • Gesetzliche Verpflichtung zur Durchführung der Datenverarbeitung besteht
    • Einwilligung des Betroffenen vorliegt
    • Erhebung, Verarbeitung oder Nutzung im Rahmen der Zweckbestimmung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erfolgt
  • Zuständig: Datenschutzbeauftragter
4.4 Datensicherheit
4.4.1 Maßnahmen zur Datensicherheit
  • Verantwortlicher und Auftragsverarbeiter haben geeignete technische und organisatorische Maßnahmen umzusetzen
  • Sicherheitslevel angemessen im Verhältnis zum Risiko
  • Berücksichtigung des Datenschutzes bereits bei Konzeption von IT-Systemen („Privacy by Design“): Umfang der erhobenen und verarbeiteten Daten ist auf Minimum zu beschränken
  • Entsprechende Voreinstellungen von IT-Systemen und elektronischen Diensten („Privacy by Default“)
  • Datenschutzrechtliches Gütesiegel („Datenschutzaudit“) für Anbieter von Datenverarbeitungssystemen und –programmen sowie für verantwortliche Stellen für ihre Datenschutzkonzepte und technische Einrichtungen
  • Informationspflicht bei Datenschutzpannen: Bei Verlust von als besonders gefährdet eingestuften Daten sind Betroffene und Aufsichtsbehörde zu informieren (Achtung: Bei Missachtung droht Bußgeld!)
  • Deutlich erweiterte Nachweispflichten:
    • Verantwortlicher muss nachweisen können, dass Datenschutzgrundsätze der DSGVO eingehalten werden
    • Auftragsverarbeiter müssen hierzu alle erforderlichen Informationen zur Verfügung stellen
4.4.1 Maßnahmen zur Datensicherheit Checkliste
  • Dokumentation der Datenverarbeitungsprozesse im Unternehmen
  • Datenschutzerklärungen (Erweiterung der Informationspflicht)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben)
  • Prozess für den Widerruf der Einwilligungen
  • An die DSGVO angepasste Version der Betriebsvereinbarungen
  • Prozesse zur Umsetzung von Widersprüchen
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation)
  • Prozess bei Datenpannen (neue Vorgaben)
  • Verfahren, um Daten in gängigem elektronischen Format übertragen zu können
  • Zielgruppengerechte Schulungen (Neuerungen der DSGVO und eigene Prozesse)
  • Risk Assessment (Festlegung geeigneter technisch-organisatorischer Maßnahmen
  • Privacy Impact Assessment (als Methode der Datenschutz-Folgenabschätzung, vgl. sogleich Punkt 4.4.2)
  • Monitoring nationaler Gesetzgebung
  • Fortbildungen

Tipp: Jedes Unternehmen sollte ein effektives Datenschutzmanagementsystem mit den oben aufgeführten Prozessen integrieren und die einzelnen Schritte zum Nachweis gegenüber einer Aufsichtsbehörde dokumentieren!

4.4.2 Datenschutz-Folgenabschätzung
  • Eng mit Vorabkontrolle verwandt
  • Risiken und mögliche Folgen für persönliche Rechte und Freiheiten der Betroffenen werden vorab bewertet
  • Vor allem Eintrittswahrscheinlichkeit und Schwere des Risikos
  • Unternehmen soll systematisch die verfolgten Zwecke der Datenverarbeitung beschreiben
  • Maßnahmen, Garantien und Verfahren sollen formuliert bzw. geprüft werden
  • Ist ein Datenschutzbeauftragter bestellt, ist dieser zu beteiligen
  • Ergibt Datenschutz-Folgenabschätzung, dass geplante Datenverarbeitung hohes Risiko zur Folge hätte, muss der Verantwortliche die zuständige Aufsichtsbehörde konsultieren, sofern er keine Maßnahmen zur Eindämmung des Risikos trifft
5. Der Datenschutzbeauftragte
5.1 Notwendigkeit einer Bestellung
  • Datenschutzbeauftragter muss bestellt werden, wenn die Kerntätigkeit (= Hauptaktivität) des Unternehmens oder desjenigen, der die Daten im Auftrag verarbeitet, in einer Datenverarbeitung besteht
    • Die aufgrund ihres Zweckes oder Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert oder
    • Eine umfangreiche Verarbeitung von besonders schutzwürdigen Daten umfasst
  • Zwei Öffnungsklauseln
    • Freiwillige Bestellung
    • Weitergehende Regelungen durch nationales Recht
  • Deutscher Gesetzgeber
    • Bestellung eines Datenschutzbeauftragten, wenn mehr als neun Personen eines Unternehmens mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
    • Auskunfteien, Adresshändler, Markt- und Meinungsforschungsinstitute müssen in jedem Fall einen Datenschutzbeauftragten bestellen
      Keine Veränderung der bisher geltenden Rechtslage im nationalen Recht!
5.2 Stellung im Unternehmen
  • Unmittelbar dem Geschäftsführer des Unternehmens zu unterstellen
  • Weisungsfreie Ausübung seiner Aufgaben
  • Besonderer Kündigungsschutz: Während Bestellung bzw. ein Jahr nach Beendigung der Bestellung Kündigung nur aus wichtigem Grund (gilt nicht für freiwillig bestellten Datenschutzbeauftragten!)
  • Geschäftsführer ist nicht an Votum des Datenschutzbeauftragten gebunden
  • Bestellt werden darf nur, wer über die erforderliche „Fachkunde und Zuverlässigkeit“ verfügt
  • Verantwortliche Stelle ist verpflichtet, Teilnahme an Schulungs- und Fortbildungsveranstaltungen zu ermöglichen
  • Hinweis: Um Interessenkonflikte zu vermeiden, sollten Unternehmen IT- und Personalverantwortliche sowie IT-Systemadministratoren nicht als Datenschutzbeauftragte bestellen!
5.3 Aufgaben
  • Datenschutzrechtliche Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften und der Strategien des Verantwortlichen
  • Beratung hinsichtlich der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung (auf Anfrage)
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde
6. Besondere Schritte im Umgang mit Daten
6.1 Datenverarbeitung im Auftrag
  • Beim Outsourcing einzelner Tätigkeiten (z.B. der Personalbuchhaltung) müssen verschiedene rechtliche, technische und organisatorische Voraussetzungen erfüllt werden
  • Werden Auftragnehmer zu einem solchen Zweck personenbezogene Daten überlassen, findet datenschutzrechtlich gesehen keine Übermittlung statt, da Auftragsnehmer kein Dritter ist
  • Gegenüber Geschäftspartnern und Kunden bleibt Unternehmen als Auftraggeber der Datenverarbeitung voll verantwortlich für rechtmäßigen Umgang mit Daten
  • Der Auftraggeber muss
    • Einen schriftlichen Auftrag erteilen und
    • Die erforderlichen Maßnahmen zur Datensicherheit vorgeben
    • Sich vor Beginn der Datenverarbeitung und sodann regelmäßig von Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer überzeugen
  • Der Auftragnehmer darf und muss im Rahmen der Weisungen des Auftraggebers tätig werden
6.2 Werbung und Adresshandel
  • Personenbezogene Daten dürfen grundsätzlich nur mit Einwilligung des Betroffenen zu Zwecken der Werbung und des Adresshandels weitergegeben werden
  • Zahlreiche Ausnahme bezogen auf den Bereich der postalischen Direktwerbung
  • Verarbeitung oder Nutzung ohne Einwilligung, wenn
    • Der Betroffene anhand der Werbung erkennen kann, welches Unternehmen seine Adressdaten hierfür weitergegeben hat, oder
    • Unternehme ihre eigenen Kunden bewerben
  • Hinweis: Der Betroffene hat das Recht, der Zusendung von Werbung zu widersprechen. Auf dieses Recht ist er bei Zusendung von Werbung hinzuweisen.
6.3 Videoüberwachung
  • Keine expliziten Regelungen in der DSGVO, daher Orientierung am nationalen Datenschutzgesetz und der Rechtsprechung
  • Primär dient Videoüberwachung dem Schutz von Objekten oder Personen
  • Auch wenn keine gezielte Beobachtung beabsichtigt ist, können Datenschutz- und Persönlichkeitsrechte der Mitarbeiter berührt sein
  • Zulässigkeit richtet sich nach unterschiedlichen Vorschriften – je nachdem, ob der überwachte Bereich öffentlich zugänglich ist oder nicht
  • Videoüberwachung darf grundsätzlich eingesetzt werden zur Aufgabenerfüllung, zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen
  • Sind Beschäftigte von der Überwachung betroffen, so ist Überwachung nur eingeschränkt zulässig
  • Wenn Beschäftigte dauerhaft von der Überwachung erfasst werden, müssen zusätzliche Abwägungskriterien herangezogen werden
  • Kenntlichmachung durch geeignete Maßnahmen, heimliche Videoüberwachung ist grundsätzlich ausgeschlossen!
  • Zulässigkeit der Videoüberwachung eines nicht öffentlichen Raumes (z.B. eines Arbeitsplatzes) richtet sich nach den strengeren Vorgaben des Beschäftigtendatenschutzes: Umfassende Verhältnismäßigkeitsprüfung!
  • Grundsätze für die Videoüberwachung von Arbeitsplätzen
    • Überwiegende schutzwürdige Interessen des Arbeitgebers (z.B. Schutz von Firmeneigentum), die vor Beginn der Videoüberwachung durch konkrete Anhaltspunkte und Verdachtsmomente belegt sind
    • Offen sichtbare Anlage nach vorheriger Information der Belegschaft
    • Einbeziehung von Betriebsrat oder Personalvertretung
    • Strenge, einzelfallbezogene Verhältnismäßigkeitsprüfung
    • Einsatz von verdeckten Kameras
      • Konkreter Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers
      • Mildere Mittel zur Aufklärung ausgeschöpft
      • Einziges verbleibendes Mittel
      • Insgesamt nicht unverhältnismäßig
  • Weitere Verarbeitung oder Nutzung von Videoaufnahmen nur zulässig, soweit sie erforderlich ist
  • Kontrollfrage: Genügt nicht die einfache Beobachtung?
  • Bei Zuordnung der Aufnahmen zu einer bestimmten Person: Benachrichtigung des Betroffenen
  • Unverzügliche Löschung, sobald Daten nicht mehr benötigt werden
7. Die Rechte der Betroffenen
7.1 Das Recht auf Auskunft
  • Recht auf Auskunft über die gespeicherten Daten
    • Zur eigenen Person gespeicherte Daten, einschließlich der Angabe, woher sie stammen und an wen sie weitergegeben werden
    • Angabe über den Zweck der Speicherung
  • Ansprechpartner ist verantwortliche Stelle
  • Auskunfteien und andere Stellen, die personenbezogene Daten geschäftsmäßig speichern: Kostenlose Auskunft einmal im Kalenderjahr auf Anforderung
  • Stellen, die sogenannte Scorewerte verwenden: Mitteilungspflicht, welche Scorewerte zu einer Person gespeichert und an Dritte übermittelt wurden und wie diese Scorewerte zustande gekommen sind
  • Auskunft darf nur abgelehnt werden, wenn keine Benachrichtigungspflicht besteht
  • Auf Unvollständigkeit einer Auskunft muss seitens der auskunftspflichtigen Stelle ausdrücklich hingewiesen werden
  • Begründungspflicht, weshalb eine Auskunft verweigert wird bzw. auf welcher Grundlage
7.2 Das Recht auf Einsicht
  • Unternehmen müssen eine Übersicht über ihre automatisierten Verarbeitungen personenbezogener Daten führen
  • Übersicht kann von jedermann unentgeltlich eingesehen werden
  • Folgende Angaben sind öffentlich:
    • Name oder Firma der verantwortlichen Stelle
    • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen
    • Anschrift der verantwortlichen Stelle
    • Zwecke der Erhebung, Verarbeitung und Nutzung der Daten
    • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten
    • Empfänger der Daten
    • Regelfirsten für die Löschung der Daten
    • Etwaige geplante Datenübermittlung in Drittstaaten
7.3 Das Recht auf Benachrichtigung
  • Jede verantwortliche Stelle ist verpflichtet, alle Betroffenen individuell zu benachrichtigen, über die sie Daten ohne deren Kenntnis erhoben hat und deren Daten sie speichern oder verarbeiten möchte
  • Information bereits nach der ersten Datenspeicherung
  • Benachrichtigung muss umfassen:
    • Kontaktdaten des Verantwortlichen und seines Datenschutzbeauftragten
    • Zwecke der Datenverarbeitung und ggf. berechtigte Interessen des Verantwortlichen
    • Empfänger oder Kategorien von Empfängern
    • Meldung über Übermittlung von Daten in ein Drittland
    • Speicherdauer
    • Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit sowie Beschwerderechte
  • Hinweis: Keine Benachrichtigung in bestimmten gesetzlich geregelten Fällen (z.B. Bestehen einer überwiegenden Geheimhaltungspflicht)
7.4 Das Recht auf Berichtigung
  • Verpflichtung von Unternehmen, unrichtige Daten zu berichtigen
  • Betroffener muss auf unrichtige oder überholte Daten hinweisen, um Berichtigung zu erreichen
7.5 Das Recht auf Löschung
  • Daten sind von Unternehmen zu löschen, wenn
    • Speicherung unzulässig
    • Einwilligung widerrufen
    • Richtigkeit von besonderen persönlichen Daten von der verantwortlichen Stelle nicht bewiesen werden kann
    • Daten für die Erfüllung des Speicherungszweckes nicht mehr erforderlich sind
    • Geschäftsmäßig zum Zweck der Übermittlung verarbeitete Daten aufgrund einer am Ende des vierten Kalenderjahres nach der ersten Speicherung vorzunehmenden Prüfung nicht mehr erforderlich sind; bei bereits erledigten Sachverhalten muss bereits nach Ende des dritten Kalenderjahres eine Prüfung erfolgen
  • Löschung ist nur vorgesehen für personenbezogene Daten, die entweder aus automatisierter Datenverarbeitung oder aus einer manuellen Datei stammen
  • „Recht auf Vergessenwerden“:
    • Greift, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat (z.B. im Internet)
    • Es müssen vertretbare Schritte unternommen werden, um die Stellen, die diese Daten verarbeiten, darüber zu informieren, dass die betroffene Person von ihnen die Löschung aller Links zu diesen Daten oder die Löschung aller Kopien oder Replikationen dieser Daten verlangt
7.6. Das Recht auf Sperrung
  • Personenbezogene Daten sind zu sperren, wenn einer fälligen Löschung besondere Gründe entgegenstehen
  • Beispiele:
    • Gesetzlich, satzungsmäßig oder vertraglich festgelegte Aufbewahrungsfristen
    • Schutzwürdige Interessen des Betroffenen
    • Unverhältnismäßig hoher Aufwand
  • Sperrung, wenn Betroffener Richtigkeit bestreitet und sich weder Richtigkeit noch Unrichtigkeit feststellen lässt
  • Übermittlung von gesperrten Daten ohne Einwilligung des Betroffenen
    • Zu wissenschaftlichen Zwecken
    • Zur Behebung einer bestehenden Beweisnot
    • Aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründe
  • Gesperrte Daten dürfen nur ausnahmsweise und nur dann für die genannten Zwecke übermittelt oder genutzt werden, wenn dies auch ohne Sperrung erlaubt wäre
7.7 Das allgemeine Widerspruchsrecht
  • Einer rechtmäßigen Datenverarbeitung kann widersprochen werden, wenn
    • Besondere Umstände in der Person des Betroffenen vorliegen und deswegen
    • Das schutzwürdige Interesse des Betroffenen das Interesse der verantwortlichen Stelle an der Erhebung, Verarbeitung oder Nutzung der entsprechenden personenbezogenen Daten überwiegt
  • Ein Widerspruchsrecht besteht nicht, wenn eine Rechtsvorschrift die Erhebung, Verarbeitung oder Nutzung vorschreibt
7.8 Einschränkung der Betroffenenrechte
  • Einschränkung sämtlicher Betroffenenrechte durch nationale Gesetze zur Wahrung bestimmter öffentlicher Interessen möglich
  • Beschränkungen im novellierten BDSG
8. Die Folgen einer Datenschutzverletzung
8.1 Meldepflicht
  • Unverzügliche Meldung an zuständige Aufsichtsbehörde von Verletzungen: Möglichst innerhalb von 72 Stunden nach Bekanntwerden
  • Ausnahme: Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen (etwa aufgrund einer geeigneten Verschlüsselung)
  • Bei hohem Risiko für persönliche Rechte und Freiheiten: Benachrichtigung der betroffenen Person ohne unangemessene Verzögerung
  • Ausnahme: Verantwortlicher hat technisch-organisatorische Maßnahmen getroffen, die Kenntnisnahme durch Dritte verhindern oder sicherstellen
  • Achtung: Fehler bei der Umsetzung der Melde- und Benachrichtigungspflicht werden mit Bußgeldern von bis zu 2% des Umsatzes geahndet!
8.2 Haftung
  • Schadensersatzpflicht bei Schäden durch unzulässige oder unrichtige Datenverarbeitung
  • In schweren Fällen Schmerzensgeld
  • Steigerung der zivilrechtlichen Haftungsrisiken für Unternehmen: Erstattung materieller und immaterieller Schäden, die auf Verstößen gegen die Verordnung beruhen
  • Ausdrückliche Erweiterung der Haftung auch auf Auftragsverarbeiter
    • Hinweis: Nur durch eine umfassende Dokumentation der Datenschutzmaßnahmen kann sich ein Unternehmen angesichts der massiv erweiterten Beweislast effektiv gegen Schadensersatzforderungen verteidigten!
    • Achtung: Die DSGVO sieht für bestimmte Rechtsverstöße Bußgelder von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens bzw. von bis zu 20 Mio. Euro vor (es gilt der jeweils höhere Wert)
    • Hinweis: Bei der Bußgeldbemessung wird eine Zusammenarbeit mit der Aufsichtsbehörde strafmildernd bewertet!
    • Hinweis: Die Vorgaben zur Bußgeldbemessung in der DSGVO ( Art. 83) dienen Unternehmen zur Orientierung bei der Schaffung von Strukturen und Prozessen

B. Das neue Datenschutzrecht für Website-Betreiber

1. Kontaktformulare
  • Eingabe und Übermittlung der Daten stets mit aktuellen Verschlüsselungsverfahren
  • Insbesondere bei besonders sensiblen und schützenswerten Daten (z.B. Kontoinformationen) ist auf angemessene Sicherheit zu achten
  • Grundsatz der Datenminimierung bzw. Datensparsamkeit; Beispiel: Für einen Newsletter wird nur die E-Mail-Adresse benötigt
2. E-Mail-Newsletter
  • Vor dem Versand: Explizite Einwilligung des Nutzers
  • Freiwillig und unmissverständlich
  • Versender muss darüber informieren,
    • in welchem Umfang,
    • zu welchem Zweck,
    • und von wem die Daten verarbeitet werden
  • Auf Möglichkeit des Widerrufs ist ausdrücklich hinzuweisen!
  • Um Nachweisschwierigkeiten zu vermeiden: Vor Versand des Newsletters eine Rückfrage bei der angegebenen E-Mail-Adresse mittels einer Bestätigungsmail (entspricht Double-Opt-In-Prinzip)
3. Verwendung von Cookies
  • Nutzung fällt unter DSGVO, da Nutzer durch entsprechende Techniken wiedererkennbar werden
  • Ob Cookies, die Nutzungsfreundlichkeit auf einer Website erhöhen bzw. einige Dienste ermöglichen, ohne Hinweis möglich sind, ist noch nicht geklärt
  • Daher: Zustimmung der Nutzer einholen und über Widerspruchsrecht aufklären!
4. Analyse-Tools
  • Auf den Einsatz anderer Analyse-Tools (z.B. Google Analytics) ist explizit hinzuweisen!
  • Dem Nutzer ist ein Widerspruchsrecht einzuräumen
  • Google Analytics muss so verwendet werden, dass erfasste IP-Adressen anonymisiert werden (entsprechende Erweiterung wird von Google angeboten)
  • Vor der Verwendung ist ein schriftlicher Vertrag zur Auftragsverarbeitung mit Google abzuschließen
5. Social-Media-Plug-Ins
  • Social-Media-Plug-Ins ermöglichen das Empfehlen und Teilen von Websites über andere Seiten – z.B. über soziale Netzwerke wie Facebook und Instagram
  • Sollen solche Plug-Ins auf den Webseiten eingebaut werden, wird eine ausdrückliche Einwilligung der Nutzer verlangt
  • Es empfehlen sich Lösungen, bei denen die Besucher frei entscheiden können, ob ihre Daten durch Plug-Ins an soziale Netzwerke übertragen werden sollen
  • Realisierbare Möglichkeit: Zusätzliche Schaltfläche, durch deren Anklicken erst die Zustimmung zur Nutzung der Plug-Ins erteilt wird
6. Rechte der Nutzer
  • Löschungsansprüche auch gegen Website-Betreiber
  • Website-Betreiber müssen beanstandeten Datenquellen auf ihren Webseiten entfernen
  • Verpflichtung zur Ergreifung geeigneter Maßnahmen, um Dritte über Zwang zum Löschen von Links etc. zu informieren
  • Recht auf Datenübertragbarkeit
7. Die Datenschutzerklärung
  • Wie bisher „in klarer und einfacher Sprache“ formuliert
  • Angabe vieler Details wie
    • Kontaktdaten des Datenschutzbeauftragten
    • Informationen zum Interesse an der Datenverarbeitung
    • Informationen bzgl. der Absicht einer möglichen Datenübertragung in Drittstaaten
  • Alle Informationen müssen „präzise, transparent, verständlich und in leicht zugänglicher Form“ zur Verfügung stehen

C. Das neue Datenschutzrecht in Vereinen

1. Anwendbarkeit
  • Anwendungsbereich der DSGVO eröffnet, wenn ein Verein ganz oder teilweise automatisiert oder nichtautomatisch personenbezogene Daten seiner Mitglieder und sonstiger Personen verarbeitet
  • Rechtsfähige und nichtrechtsfähige Vereine betroffen
  • Da keine Unterscheidung zwischen öffentlichen und nicht-öffentlichen Stellen, gelten grds. sämtliche Vorschriften der DSGVO uneingeschränkt!
2. Informationspflichten
2.1 Erhebung personenbezogener Daten bei der betroffenen Person
  • Zum Zeitpunkt der Datenerhebung ist datenschutzrechtliche Unterrichtung vorzunehmen
  • In jedem Formular, das zur Datenerhebung genutzt wird, muss hingewiesen werden auf
    • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
    • Kontaktdaten des Datenschutzbeauftragten
    • Zwecke der Verarbeitung (im Einzelnen aufgezählt, Grenzen ergeben sich aus der Satzung)
    • Rechtsgrundlage der Verarbeitung
    • Berechtigtes Interesse an Datenerhebung
    • Empfänger oder Kategorien von Empfängern (z.B. Versicherung, Dachverband, alle Vereinsmitglieder, Internet)
    • Absicht über Drittlandtransfer (z.B. bei Mitgliederverwaltung in der Cloud) sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
    • Speicherdauer
    • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht)
    • Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
    • Hinweis auf Beschwerderecht bei einer Aufsichtsbehörde
  • Bußgeld im Falle eines Verstoßes
2.2 Erhebung auf andere Weise
  • Wie Erhebung bei der betroffenen Person
  • Zusätzliche Information über Kategorie der personenbezogenen Daten und über die Quelle der Daten
3. Satzungsänderung und Datenschutzordnung
3.1 Satzungsänderung und Datenschutzordnung
  • Pflicht der Vereine, Grundzüge der Datenerhebung, Datenverarbeitung und Datennutzung schriftlich festzulegen
  • Aufnahme in Vereinssatzung möglich, im Hinblick auf mögliche Änderungen aber kaum sinnvoll
  • Datenschutzordnung als gesondertes Regelwerk:
    • Kann (sofern in Satzung nichts anderes vorgesehen) vom Vorstand oder der Mitgliederversammlung beschlossen werden
    • Muss nicht Qualität einer Satzung aufweisen
3.2 Datenschutzordnung
  • welche Daten (z.B. Name, Adresse, E-Mail-Adresse, Geburtsdatum usw.)
  • Welcher Personen (z.B. Vereinsmitglieder, Teilnehmer an Veranstaltungen oder Lehrgängen, Besucher von Veranstaltungen)
  • Für welche Zwecke (an Satzung orientieren!) verwendet werden
  • Ob Vordrucke und Formulare zum Einsatz kommen
  • Welche Daten beim Vereinseintritt für die Verfolgung des Vereinsziels und für die Mitgliederverwaltung- und betreuung notwendigerweise erhoben werden
  • Welche Daten für welche anderen Zwecke des Vereins oder zur Wahrnehmung der Interessen Dritter bei Mitgliedern in Erfahrung gebracht werden
  • Welche Daten von Dritten erhoben werden (Erhebungszweck festlegen!)
  • Welcher Funktionsträger zu welchen Daten Zugang hat und zu welchem Zweck er Daten verarbeiten und nutzen darf
  • Welche Daten zu welchem Zweck im Wege der Auftragsdatenverarbeitung verarbeitet werden
  • Welche Daten zu welchem Zweck von wem an welche Stelle (z.B. auch Vereinsmitglieder) übermittelt werden dürfen
  • Welche Daten üblicherweise am „Schwarzen Brett“ oder in der Vereinsnachrichten offenbart und welche in das Internet oder Intranet eingestellt werden
3.3 Einwilligung
  • Erforderlich, wenn Verein in einem weiteren Maße personenbezogene Daten verarbeitet, als ihm gesetzlich erlaubt ist
  • Die DSGVO ermöglicht eine schriftliche, elektronische, mündliche oder sogar konkludente Einwilligung (Achtung: Nachweis der Erteilung muss möglich sein!)
  • Kinder und Jugendliche können selbst einwilligen, sofern sie in der Lage sind, die Konsequenzen der Verwendung ihrer Daten zu übersehen und sich deshalb auch verbindlich dazu zu äußern
4. Erhebung von personenbezogenen Daten durch den Verein
  • Bei Vereinsbeitritt und während der Vereinsmitgliedschaft dürfen nur solche Daten von Mitgliedern erhoben werden, die für die Begründung und Durchführung des zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind
    • Alle Daten, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder (Name, Anschrift, in der Regel auch Geburtsdatum, ferner Bankverbindung, Bankleitzahl und Kontonummer) notwendig sind
5. Nutzung von personenbezogenen Daten
5.1 Nutzung von Mitgliederdaten
  • Aufgabenabgrenzung innerhalb des Vereins und Zuweisung an bestimmte Funktionsträger
  • Jeder Funktionsträger darf nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten und nutzen
  • z.B. hat Vorstand regelmäßig Zugriff auf alle Mitgliederdaten; Kassier nur auf Angaben, die für Einzug der Mitgliedsbeiträge relevant sind
  • Nutzung grundsätzlich nur zur Verfolgung des Vereinszwecks
5.2 Nutzung von Daten Dritter
  • Daten Dritter (z.B. Lieferanten, Besuchern, Aushilfsspielern aus anderen Vereinen) dürfen nur gespeichert und genutzt werden, wenn
    • dies für die Begründung oder Durchführung eines Vertrags mit diesen Personen erforderlich ist oder
    • der Verein ein berechtigtes Interesse daran hat und nicht erkennbar ist, dass dem schutzwürdige Interessen der Betroffenen entgegenstehen
5.3 Nutzung für Spendenaufrufe und Werbung
  • Daten der Vereinsmitglieder dürfen nur für Spendenaufrufe und für Werbung zur Erreichung der eigenen Ziele des Vereins genutzt werden
  • Nutzung für Werbung Dritter grundsätzlich unzulässig!
  • Die von der Werbung betroffene Person ist ausdrücklich auf ihr jederzeitiges Widerspruchsrecht hinzuweisen
6. Verarbeitung personenbezogener Daten
6.1 Datenübermittlung an Vereinsmitglieder
  • Vereinsmitglieder = Dritte im Verhältnis zum Verein
  • Vereinsmitglieder dürfen nicht einfach Zugriff auf die Daten anderer Mitglieder nehmen: Keine Ausgabe von Mitgliederlisten, kein Aushang von Personalien im Vereinsheim oder an sonstiger Stelle, kein Einstellen ins Internet zum Abruf unter Verwendung eines Passworts
  • Dient Datenübermittlung nicht der Förderung des Vereinszwecks können Daten nur übermittelt werden, wenn der Verein oder der Empfänger ein berechtigtes Interesse daran hat
    Einwilligung der Mitglieder einholen!
6.2 Mitteilung in Aushängen und Publikationen
  • „Schwarzes Brett“, Vereinsnachrichten
    • Übermittlung an einen nicht überschaubaren Kreis von Adressaten, Kenntnisnahme von vereinsfremden Personen nicht ausgeschlossen
  • Offenbarung personenbezogener Daten zulässig, sofern für Erreichung des Vereinszwecks unbedingt erforderlich (z.B. Mannschaftsaufstellungen, Spielergebnisse) oder wenn berechtigtes Interesse an Veröffentlichung besteht
  • Nicht, wenn Interessen oder Grundrechte und Grundfreiheiten der Betroffenen überwiegen (z.B. Mitteilungen mit ehrenrührigem Inhalt wie Hausverbote, Vereinsstrafen, Spielersperren)
  • Persönliche Nachrichten mit Bezug zum Verein (z.B. Eintritte, Austritte, Spenden, Geburtstage und Jubiläen) können veröffentlicht werden, wenn Verein keine schutzwürdigen Belange des Betroffenen bekannt sind
  • Informationen aus dem persönlichen Lebensbereich von Mitgliedern (z.B. Eheschließung, Geburt von Kindern, Abschluss von Schul- und Berufsausbildung): Nur mit ausdrücklicher Einverständnis!
6.3 Datenübermittlung an Dachverbände und andere Vereine
  • Dachverbände = datenschutzrechtliche Dritte
  • Datenübermittlung nur soweit dies für Vereinsziele zu verwirklichen (z.B. Organisation eines überregionalen Turniers)
  • Ist Verein zur regelmäßigen Übermittlung von Mitgliederdaten an den Dachverband verpflichtet: Regelung in Satzung oder Datenschutzordnung, ansonsten Information der Mitglieder und Möglichkeit, Einwendungen zu erheben
6.4 Veröffentlichungen im Internet
  • Veröffentlichung personenbezogener Daten durch einen Verein im Internet grundsätzlich unzulässig!
  • Ausnahmen:
    • „Dienstliche“ Erreichbarkeit von Funktionsträgern auf Homepage
    • Informationen über Vereinsmitglieder (z.B. Spielergebnisse, Mannschaftsaufstellungen, Ranglisten, Torschützen etc.): Dürfen kurzzeitig ohne Einwilligung eingestellt werden, sofern Betroffene informiert wurden und keine schutzwürdigen Interessen überwiegen
    • Vom Verein oder Verband ausgerichteten Veranstaltungen (z.B. Spiele in der Bezirksklasse):
      • Diese sind grundsätzlich öffentlich
      • Namen und Ergebnisse werden öffentlich bekannt gegeben
      • Daten in Rangliste stammen aus allgemein zugänglichen Quellen und stellen lediglich eine Zusammenfassung dar
      • Veröffentlichung möglich, um Eingriffe in Persönlichkeitsrecht in Grenzen zu halten dürfen allenfalls Nachname, Vorname, Vereinszugehörigkeit und in begründeten Ausnahmefällen der Geburtsjahrgang aufgeführt werden
  • Veröffentlichungen im Intranet: Einrichtung individueller Zugriffsberechtigungen möglich
6.5 Personenbezogene Auskünfte an die Presse und sonstige Massenmedien
  • Veröffentlichungen nur, wenn es sich um ein Ereignis von öffentlichem Interesse handelt
  • Schutzwürdige Belange der betroffenen Vereinsmitglieder müssen gewahrt bleiben
  • Ausschlaggebend, ob Veranstaltung öffentlich war, was der Betroffene gegenüber der Presse selbst erklärt hat und was die Presse ihrerseits in Erfahrung bringen konnte
  • Offenbarung von personenbezogenen Daten u.U. möglich, wenn es um besondere Leistungen eines Mitglieds geht
  • Keine Auskünfte zum privaten, nicht-vereinsbezogenen Bereich ohne Einwilligung
7. Rechte der Betroffenen
  • Personenbezogene Daten sind unverzüglich zu löschen, sofern
    • sie für die ursprünglichen Zwecke nicht mehr notwendig sind,
    • die betroffene Person ihre Einwilligung widerruft
    • oder Widerspruch gegen die Verarbeitung einlegt,
    • die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder
    • wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist
  • Bezüglich des Zweckes muss Verein festlegen, welche Arten von Daten bis zu welchem Ereignis (z.B. Austritt, Tod) oder für welche Dauer verarbeitet werden
  • Mit Erreichen des festgelegten Zeitpunkts: Einschränkung der Verarbeitung, sofern die betroffene Person sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtspositionen benötigt und eine Einschränkung verlangt
  • Ansonsten: Löschung der Daten mit Zweckerreichung
  • Länge der Einschränkung der Verarbeitung: Orientiert sich daran, wie lange mit Rückfragen des Betroffenen, mit Gerichtsverfahren oder mit sonstigen Vorgängen zu rechnen ist, die Kenntnis des Datums erforderlich machen
  • Vereinsarchiv:
    • Aufbewahrung von personenbezogenen Daten, die für aktive Nutzung nicht mehr benötigt werden
    • Sicherstellen, dass Zugang nur für einen sehr kleinen zuverlässigen Personenkreis möglich
    • Nutzung des Archivguts nur sehr eingeschränkt möglich
  • Ausscheiden oder Wechsel von Funktionsträgern
    • Sicherstellen, dass sämtliche Mitgliederdaten ordnungsgemäß gelöscht oder an den Nachfolger oder an einen anderen Funktionsträger übergeben werden
    • Es dürfen keine Kopien und Dateien mit Mitgliederdaten beim bisherigen Funktionsträger verbleiben!
  • Regelungen zu Speicherfristen, Sperrung, Löschung und bezüglich des Vereinsarchivs können in Satzung oder Datenschutzordnung getroffen werden
8. Organisatorisches
8.1 Benennung eines Datenschutzbeauftragten
  • Benennung notwendig, wenn mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
  • Aufgaben eines Datenschutzbeauftragten:
    • Unterrichtung und Beratung des Vereins hinsichtlich der datenschutzrechtlichen Pflichten
    • Hinwirkung auf Überwachung und Einhaltung datenschutzrechtlicher Vorschriften
    • Zusammenarbeit mit zuständiger Aufsichtsbehörde
  • Besteht keine Verpflichtung zur Benennung: Vereinsvorstand muss sich selbst um Einhaltung des Datenschutzes durch den Verein kümmern!
8.2 Verzeichnis von Verarbeitungstätigkeiten
  • Folgende Angaben müssen zwingend enthalten sein:
    • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
    • Zwecke der Verarbeitung
    • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
    • Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind bzw. noch offengelegt werden
    • Angaben über Drittlandstransfer einschließlich Angabe des Drittlandes sowie Dokumentierung geeigneter Garantien
    • Wenn möglich Fristen für die Löschung der verschiedenen Datenkategorien
    • Wenn möglich Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DS-GVO
  • Verzeichnis muss schriftlich oder in einem elektronischen Format geführt werden
  • Verpflichtung, das Verzeichnis der Aufsichtsbehörde zur Verfügung zu stellen
  • Kein Einsichtsrecht für betroffene Personen oder „Jedermann“!
Datenschutzerklärung