FAQs zum Datenschutz

Grundlagen

Im Mai 2018 trat eine neue europäische Datenschutzrichtlinie mit der Bezeichnung Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese Regulierung betrifft die Datenschutzgesetze vor Ort in allen Ländern der EU und des EWR. Sie gilt für alle Unternehmen, die Produkte an europäische Bürger verkaufen und deren personenbezogene Daten speichern, einschließlich Firmen auf anderen Kontinenten. Die neue Richtlinie gibt EU- und EWR-Bürgern mehr Kontrolle über ihre personenbezogenen Daten und stellt sicher, dass ihre Informationen europaweit geschützt sind.
Gemäß der DSGVO sind personenbezogene Daten alle Daten zu einer Person, wie Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den Social Media, Angaben zum Wohnort, medizinische Daten oder IP-Adressen. Es wird nicht unterschieden zwischen personenbezogenen Daten im privaten, öffentlichen oder arbeitsbezogenen Umfeld einer Person – es geht immer um die Person selbst. Auch im B2B-Bereich geht es immer um Einzelpersonen, die Informationen mit- und übereinander austauschen. Kunden in B2B-Märkten sind natürlich Unternehmen, doch die Geschäftsbeziehungen werden von einzelnen Personen gepflegt.

Der Artikel 4 der Datenschutz-Grundverordnung enthält die zentralen Definitionen. Künftig finden sich die Begriffsbestimmungen zu personenbezogenen Daten, Verantwortlichen oder der Verarbeitung somit unmittelbar und abschließend in der Datenschutz-Grundverordnung verewigt.

Gemäß der DSGVO sind personenbezogene Daten alle Daten zu einer Person, wie Namen, Fotos, E-Mail-Adressen, Bankdaten, Beiträge in den Social Media, Angaben zum Wohnort, medizinische Daten oder IP-Adressen. Es wird nicht unterschieden zwischen personenbezogenen Daten im privaten, öffentlichen oder arbeitsbezogenen Umfeld einer Person – es geht immer um die Person selbst. Auch im B2B-Bereich geht es immer um Einzelpersonen, die Informationen mit- und übereinander austauschen. Kunden in B2B-Märkten sind natürlich Unternehmen, doch die Geschäftsbeziehungen werden von einzelnen Personen gepflegt.

Grundsätzlich sind das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten verboten.

Personenbezogene Daten dürfen nur dann verwendet werden, wenn dies ausdrücklich erlaubt ist, d. h., eine entsprechende Rechtsgrundlage vorliegt.

Sollen personenbezogene Daten erhoben oder verwendet werden, muss man sich dabei auf eine Regelung aus dem Bundesdatenschutz oder aus einer anderen Rechtsvorschrift stützen können. Natürlich kann der Betroffene auch einwilligen.

Bei einer Mitarbeiterzahl von 250 und mehr ist dies unabdingbar. Bei weniger als 250 Mitarbeitern nur, sofern die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen beinhaltet oder die Verarbeitung nicht nur gelegentlich erfolgt, bzw. es sich um die Verarbeitung besonderer Datenkategorien handelt.

Ein direkter Kontakt zum DSB muss möglich sein. Dies kann durch die Veröffentlichung einer postalischen Anschrift, einer Telefonnummer oder einer E-Mail-Adresse geschehen.

Mit der neuen Datenschutz-Grundverordnung werden die Rechte der EU-Bürgerinnen und Bürger massiv gestärkt. Dazu gehören beispielsweise die Zugangsrechte, die Vergessenheit und die Datenportabilität. Datenrechner und Datenverarbeiter sind zukünftig verpflichtet, jederzeit ausreichend Informationen über folgende Sachverhalte zu geben:

  • Welche Daten gespeichert werden,
  • Wie lange die betreffenden Daten gespeichert werden,
  • Ob und wann welche Daten in welche Länder übertragen wurden,
  • Ob und wann personenbezogene Daten bei Antrag gelöscht oder an Dritte (neuer Dienstleister etc.) übertragen zu wurden.

Sämtliche Auskünfte an den Anfragenden haben in verständlicher und leicht zugänglicher Form zu erfolgen. Kompliziert verfasste Bedingungen, die mehr verwirren als aufklären sind nicht gestattet. Es muss für den Nutzer ebenfalls einfach sein, die zuvor von Ihnen erteilte Zustimmung zur Ergebung. Speicherung und Verarbeitung von (personenbezogen) Daten nachträglich zurückzuziehen. Weitere Informationen lesen Sie hier.

Erwägungsgrund 4 der Datenschutz-Grundverordnung regelt eindeutig, dass das Recht auf den Schutz personenbezogener Daten kein uneingeschränktes Recht ist. 

Es muss die Abwägung unter Wahrung des Verhältnismäßigkeitsgrundsatzes gegen andere Grundrechte erfolgen.

Verhindert werden soll, dass Unternehmen die mit der Verarbeitung personenbezogener Daten hohe Gewinne erzielen, Datenschutzverstöße „aus der Portokasse“ bezahlen. Eine Mindesthöhe schreibt die Datenschutz-Grundverordnung nicht vor.

Jedoch werden zukünftig, um dem Grundrecht auf Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten besondere Wirksamkeit zu verleihen, bei Verstößen gegen die wichtigsten Regelungen der Datenschutz-Grundverordnung erhebliche Strafen zu erwarten sein.

Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzieltes Jahresumsatzes des vorangegangenen Geschäftsjahres (Artikel 83 Datenschutz-Grundverordnung).

Die Verhängung von Geldbußen bei Datenschutzverstößen steht im pflichtgemäßen Ermessen der Aufsichtsbehörden.

Neben Verschärfungen einzelner Vorschriften nimmt die risikobasierte Rechenschaftspflicht („Accountability“) gemäß Art.5 (2) DSGVO von nun an eine wichtige Rolle ein: Der Verantwortliche hat dafür Sorge zu tragen hat, dass alle wirksamen Maßnahmen ergriffen werden, inkl. die unter Art. 5 (1) DSGVO definierten Bestimmungen, um die DSGVO Grundsätze und Verpflichtung ordnungsgemäß umzusetzen. All das hat er nachzuweisen („Rechenschaftspflicht“). Diese Rechenschaftspflicht wirkt sich unter anderem auf Verträge, Datenschutzerklärungen, Risikobewertungen und Aufbewahrungsveranstaltungen aus.

Im Allgemeinen reicht eine starke Firewall nicht aus. Um die Sicherheit aufrechtzuerhalten und eine Verarbeitung zu verhindern, die einen Verstoß gegen die Datenschutz-Grundverordnung darstellt, sollten Sie Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung, ergreifen. Diese Maßnahmen sollten ein angemessenes Sicherheitsniveau, einschließlich der Vertraulichkeit, gewährleisten, wobei die Risiken und die Art der zu schützenden personenbezogenen Daten zu berücksichtigen sind.

Das Profiling beschreibt eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispiele sind: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren.

Das Profiling wird in Art. 22 DSGVO erfasst:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO)

ACHTUNG: Profiling unter 16-Jähriger: Kinder verdienen einen besonderen Schutz in Bezug auf ihre persönlichen Daten, da sie eine verletzlichere Gruppe darstellen.

Auftrags(daten)verarbeitung (AV)

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie z.B.:

  • das Erheben
  • das Erfassen
  • die Organisation
  • das Ordnen
  • die Speicherung
  • die Anpassung
  • die Veränderung
  • das Auslesen
  • das Abfragen
  • die Verwendung
  • die Offenlegung durch Übermittlung
  • die Verbreitung oder eine andere Form der Bereitstellung
  • der Abgleich oder die Verknüpfung
  • die Einschränkung
  • das Löschen
  • die Vernichtung

Es empfiehlt sich auf jeden Fall, mit den Kunden einen AV zu schließen. Wenn in dem AV definiert ist, dass dieser für alle Aufträge/Projekte gilt, wird dies ausreichen. Z.B. kann man dies so formulieren, dass der AV für alle zukünftigen Projekte Gültigkeit hat. Bei wesentlichen Veränderungen würde der AV entsprechend geändert. Für jedes einzelne Projekt ist dann kein AV nötig.

Die Datenschutz-Grundverordnung führt zu keinen wesentlichen Veränderungen der bisherigen Rechtslage im Umgang mit Fotografien.

Die Anfertigung und Veröffentlichung einer personenbezogenen Fotografie unterliegt den allgemeinen Regelungen des Datenschutzrechts. Wie bisher auch dürfen Fotos nur verarbeitet werden, wenn die betroffene Person eingewilligt hat oder eine Rechtsgrundlage dies erlaubt.

Grundsätzlich ist die klassische steuerberatende Tätigkeit nicht als Auftragsverarbeitung nach Art. 28 DS-GVO zu qualifizieren. Ein Steuerberater ist in eigener Verantwortung und mit eigenständigem Entscheidungsspielraum tätig, daher wird die klassische steuerberatende Tätigkeit nicht als Auftragsverarbeitung nach Art. 28 DS-GVO abgesehen. Daten werden vom Steuerberater NICHT nach klaren Vorgaben des Auftraggebers verarbeitet.

Bei der Lohnbuchhaltung/ Gehaltsabrechnung sieht die Sache anders aus. Da hier Beschäftigtendaten nach festen Vorgaben verarbeitet werden, der Steuerberater hat hier keinen Spielraum, ist diese Dienstleistung als Auftragsverarbeitung nach Art. 28 DS-GVO einzuordnen. Ist ein Steuerberater für beide Aufgaben zuständig ist für die Steuerberatung kein, für die Lohn/Gehaltsabrechnungen sehr wohl ein AV notwendig.

Videoüberwachung

Grundsätzlich ist die Herausgabe des angeforderten Videos sinnvoll, denn sonst kann es zu einem Beschluss der Staatsanwaltschaft, im schlimmsten Fall bis hin zu einem Durchsuchungsbeschluss inklusive Beschlagnahme kommen.

Aus Sicht des Datenschutzes ist aber zu beachten:

Die Interessen der Polizei, Aufklärung des Sachverhaltes, sind gegen die Interessen der „betroffenen Personen“ abzuwägen. In diesem Fall überwiegen die Interessen der Polizei.

Es muss ein schriftliches Auskunftsverlangen vorliegen, auf mündliche Anfragen sollte keine Herausgabe erfolgen. Erkennbar sollten sein, dass es sich um ein offizielles Schreiben der Polizei handelt. (z.B. Briefkopf, Telefon- und Faxnummer, Zweck der Sichtung des Videomaterials, Rechtsgrundlage für die Vorgehensweise der Polizei)

Den Grundsatz der „Datenminimierung“ beachten, d.h. es ist nur das Video des betreffenden Zeitraumes auszuhändigen.

Unterlagen für Beschäftigte

Wer Fotos seiner Mitarbeiter in Online- oder Printmedien oder Social Media veröffentlichen möchte, benötigt die Einwilligung des Beschäftigten. Diese Einwilligung sollte schriftlich und nicht im Arbeitsvertrag festgehalten werden, förderlicher ist vielmehr eine individuelle Vereinbarung. 

Seit Mai 2018 ist dies ohnehin irrelevant, da der Arbeitgeber Beschäftigte auf ihr Widerrufsrecht hinweisen muss, was im Arbeitsvertrag zwar technisch möglich, jedoch nicht praktikabel sein dürfte.

Es muss beachtet werden, dass der Mitarbeiter die Einwilligung jederzeit zurückziehen kann. Eine vertragliche Regelung statt einer Einwilligung wirkt verlockend, ist aber keine Lösung, da selbiger bei einer Prüfung keine Gültigkeit hätte. Hintergrund:  Der Mitarbeiter hätte keinen Vorteil von dieser Vereinbarung. Ganz im Gegenteil, er gibt die Rechte an seiner Abbildung heraus ohne dafür einen adäquaten Ersatz zu bekommen. Das Geschäft wäre somit allenfalls für den Arbeitgeber vorteilhaft. Solch eine Vereinbarung wäre somit in jedem Falle angreifbar, auch wenn sie als „Vertrag“ bezeichnet wird. 

De facto ergeben sich die gleichen Konsequenzen wie bei einer Einwilligung, wobei eher zum Konstrukt der Einwilligung geraten wird, da diese – zumindest anfangs – rechtswirksam ist, was bei dem „Vertrag“ auch durchaus anders gewertet werden könnte.

Bei einer widerrufenen Einwilligung gilt Folgendes: Die Daten sind unverzüglich aus dem Internet zu entfernen; bei Printmedien kann man über den Zusatz bei der Einwilligung, dass ein Widerruf sich erst auf zukünftige Prints erstreckt, zumindest bewirkt werden, dass die vorhandenen Auflagen genutzt und nicht verschrottet werden müssen.

Social Media

Wer Fotos seiner Mitarbeiter in Online- oder Printmedien oder Social Media veröffentlichen möchte, benötigt die Einwilligung des Beschäftigten. Diese Einwilligung sollte schriftlich und nicht im Arbeitsvertrag festgehalten werden, förderlicher ist vielmehr eine individuelle Vereinbarung. 

Seit Mai 2018 ist dies ohnehin irrelevant, da der Arbeitgeber Beschäftigte auf ihr Widerrufsrecht hinweisen muss, was im Arbeitsvertrag zwar technisch möglich, jedoch nicht praktikabel sein dürfte.

Es muss beachtet werden, dass der Mitarbeiter die Einwilligung jederzeit zurückziehen kann. Eine vertragliche Regelung statt einer Einwilligung wirkt verlockend, ist aber keine Lösung, da selbiger bei einer Prüfung keine Gültigkeit hätte. Hintergrund:  Der Mitarbeiter hätte keinen Vorteil von dieser Vereinbarung. Ganz im Gegenteil, er gibt die Rechte an seiner Abbildung heraus ohne dafür einen adäquaten Ersatz zu bekommen. Das Geschäft wäre somit allenfalls für den Arbeitgeber vorteilhaft. Solch eine Vereinbarung wäre somit in jedem Falle angreifbar, auch wenn sie als „Vertrag“ bezeichnet wird. 

De facto ergeben sich die gleichen Konsequenzen wie bei einer Einwilligung, wobei eher zum Konstrukt der Einwilligung geraten wird, da diese – zumindest anfangs – rechtswirksam ist, was bei dem „Vertrag“ auch durchaus anders gewertet werden könnte.

Bei einer widerrufenen Einwilligung gilt Folgendes: Die Daten sind unverzüglich aus dem Internet zu entfernen; bei Printmedien kann man über den Zusatz bei der Einwilligung, dass ein Widerruf sich erst auf zukünftige Prints erstreckt, zumindest bewirkt werden, dass die vorhandenen Auflagen genutzt und nicht verschrottet werden müssen.

Es gibt keine Möglichkeit, Impressum und Datenschutzerklärung auf einer Facebook Fanpage automatisiert zu aktualisieren. Facebook unterstützt diese Funktion nicht. Eine Automatisierung ist aber trotzdem insofern möglich, als dass Sie eine Verlinkung von Ihrer Fanpage auf die entsprechenden Seiten Ihrer Webseite setzen.

Datenschutzfolgeabschätzung, DSFA

Der Verantwortliche ist zuständig für die Prüfung und gegebenenfalls Durchführung der DSFA. Viele Unternehmer sind sich unsicher, was eine Datenschutz-Folgenabschätzung genau ist und wie diese durchzuführen ist.

Mindestanforderungen an den Inhalt einer Datenschutz-Folgenabschätzung:

  • eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, welche in der geplanten Verarbeitung betroffen sind
  • eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit dieser Vorgänge
  • eine Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen
  • die Abhilfemaßnahmen, die zur Bewältigung der oben genannten Risiken getroffen werden

Insgesamt dient die Datenschutz-Folgenabschätzung also der Vorsorge: Noch bevor es zu einer Datenpanne kommen kann, soll das Risiko einer solchen so gut wie möglich minimiert werden.

Sie haben noch Fragen? Dann sprechen Sie uns gerne an.

Wir freuen uns, in einem unverbindlichen Erstgespräch Ihre Bedürfnisse und Ansprüche an den Datenschutz auszuloten.

Gemeinsam besprechen wir, wie unsere Datenschutzsoftware PRO-DSGVO Guide, die Inanspruchnahme unserer externen Datenschutzbeauftragten oder unsere Datenschutz-Tools Ihre individuellen Ansprüche an den Datenschutz abdecken.

Nehmen Sie Kontakt mit uns auf oder vereinbaren Sie direkt einen Termin in unserem Online-Kalender.

Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema ESRS, Nachhaltigkeitsberichterstattung und Lieferkette. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.