Rechtliches

Betroffenenrechte & Datenschutzerklärung nach DSGVO

10. Oktober 2017
  • Rechtliches

Mit dem 25.05.2018 startet europaweit mit der EU-Datenschutzgrundverordnung, kurz: EU-DSGVO bzw. DSGVO, eine neue Datenschutz-Ära. Verstöße werden mit horrenden Bußgeldern bestraft: Bis zu 4 % des weltweiten Jahresumsatzes bzw. bis zu 20 Mio. Euro können Fehler kosten, Abmahnungen sind außerdem mögliche Konsequenzen. Die von der Datenverarbeitung betroffenen Personen erhalten mit der DSGVO neue Rechte, die wir Ihnen eingangs vorstellen, bevor wir zur Datenschutzerklärung kommen.

Auskunftsrecht betroffener Personen

Die DSGVO verfolgt das Ziel, die Rechte von Betroffenen zu stärken und Unternehmen bei Verstößen empfindlich zu treffen. Das Auskunftsrecht besteht bereits, ist jedoch nicht allzu beliebt bei Unternehmen. Art. 15 DSGVO besagt, dass sich Betroffene jederzeit Auskunft über gespeicherte Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen können. Darüber hinaus besteht das Recht, eine Kopie der eigenen Daten zu erhalten.

Ist der Datenbestand sehr groß, wie es beispielsweise bei sozialen Netzwerken der Fall ist, können Betroffene gebeten werden, die Auskunft auf bestimmte Datenarten oder Verarbeitungsverfahren zu reduzieren. Idealerweise sind Unternehmen darauf vorbereitet, solche Auskünfte per Knopfdruck zu generieren. Andernfalls können sehr viele Mannstunden darauf verwendet werden, die Datensätze zusammenzustellen. Idealerweise wird also bereits die Software so programmiert, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind.

Eine solche Auskunft muss unverzüglich erfolgen – die Höchstdauer ist mit einem Monat angesetzt. Haben Sie im Voraus bereits geplant, welche Daten Sie herauslassen können, müssen Sie im Nachhinein nichts aussieben. Trennen Sie Informationen von Betroffenen von denen über Dritte oder Ihren Geschäftsgeheimnissen.

Identitätsprüfung von Auskunftssuchenden

Damit Sie nicht direkt grobe Datenschutzfehler machen, muss die Identität desjenigen geprüft werden, der Auskunft verlangt. Bei der Identitätsprüfung jedoch ist wieder Zurückhaltung gefragt. Das Gesetz erlaubt nämlich lediglich die Prüfung des Antragsstellers bei „berechtigten Zweifeln“ – und auch dann dürfen nur sehr sparsam Informationen angefordert werden.

Haben sich Kunden bereits per E-Mail verifiziert, weil sie Stammkunden sind, oder wurde eine Bestellung bereits per Kreditkarte oder Überweisung gezahlt, bestehen keine berechtigten Zweifel. Anders ist das in Fällen, in denen eine Auskunft über eine unbekannte E-Mail-Adresse angefordert wird.

Eine vollständige Kopie von Ausweis oder Führerschein übersteigt jedoch das Prinzip der Datensparsamkeit. Informationen wie die Personalausweisnummer sind unnötig. Eine Ausweiskopie wäre mit dem Zusatz rechtens, dass alle unnötigen Angaben geschwärzt werden. Sie sehen: Der Aufwand wird nicht kleiner. Wie steht es da um Auskunftsgebühren?

Sind Gebühren rechtens?

Egal, wie hoch Ihr Aufwand ist: Sie dürfen keine Kosten in Rechnung stellen. Eine Ausnahme existiert bei missbräuchlichem Vorgehen. Dies wäre etwa der Fall, wenn eine betroffene Person monatlich Auskunft ersuchen würde, ohne dass sich Änderungen im Datenbestand ergeben hätten. Somit wird es auch deutlich günstiger für Sie, wenn Sie bereits jetzt beginnen, Datensätze entsprechend anzulegen.

Die Gebührenfrage erübrigt sich übrigens nicht nur für Auskunftsersuche, sondern auch für alle weiteren neuen Betroffenenrechte, die wir nun besprechen.

Widerspruchsrecht für Betroffene

Gemäß Art. 21 DSGVO können betroffene Personen Widerspruch gegen das Verarbeiten personenbezogener Daten einlegen. Dies kommt eher selten vor und richtet sich für gewöhnlich gegen Direktmarketingmaßnahmen. Wird ein solcher Widerspruch vorgelegt, muss er unbedingt umgesetzt werden.

Unternehmen können die Daten nur dann weiterverarbeiten, wenn sie geltend machen können, dass ohne die Datenverarbeitung schwerwiegende Nachteile entstehen. Dies wäre etwa dann so, wenn ein Kunde säumig mit der Zahlung wird und seiner Datenverarbeitung widerspricht. Das gleiche gilt, wenn ein Kunde das Löschen seiner Daten beantragt.

Recht auf Vergessenwerden

Das „Recht auf Vergessenwerden“ begegnet uns mit der DSGVO erstmalig. Dieses Recht dient dem Reputationsschutz Betroffener. Schon jetzt wird dieses Recht von den Suchmaschinen umgesetzt. Jüngst wurde der Suchmaschinenriese Google in die Pflicht genommen, Informationen über Insolvenzen zu löschen.

Auch hier wird es Ihnen als Unternehmer nicht allzu einfach gemacht. Denn dieses Recht auf Vergessenwerden muss mit öffentlichen Interessen, mit Meinungsfreiheit sowie mit den Kosten zum Durchführen der Löschung abgewogen werden. Dieses Recht ist bislang sehr diffus, die Praxis wird ab Mai 2018 weitere Details zutage fördern. Denn Daten werden sicherlich in der Praxis eher gelöscht, als sich auf lange Diskussionen über eventuelle Meinungsfreiheit und womöglich folgende Strafen einzulassen.

Recht auf Datenübertragbarkeit

Jetzt wird es brisant, denn beim Recht auf Datenübertragbarkeit geht es weniger um den Datenschutz als eher um Eigentum an Daten. Art. 20 DSGVO erklärt das Recht auf Datenportabilität, also Datenübertragbarkeit. Dieses Recht erlaubt es Nutzern, sich den Transfer der eigenen Daten an Dritte zu wünschen. Dies können auch Konkurrenzunternehmen sein.

Als Beispiel nehmen wir an, Sie möchten von Ihrem aktuellen Steuerberater zu einem anderen wechseln. Ihr bisheriger Steuerberater ist nun in der Pflicht, all Ihre Daten maschinenlesbar an den neuen Steuerberater zu übertragen – und zwar lückenlos. Was beim Steuerberater zwar aufwendig, aber machbar klingt, erscheint beim Wechsel von einem Social Network zum anderen fast schon unüberwindbar.

Auch die Interessen eines Unternehmens müssen beachtet werden. Der Steuerberater etwa könnte sich mit einem Verweis auf die entstehenden Kosten weigern, die Daten dem Konkurrenten bereitzustellen.

Betroffen sind ausschließlich jene Daten, die beim Schließen des Vertrags bereitgestellt wurden. Der Steuerberater muss also die Vertragsdaten sowie die Bilanzen der letzten Jahre herausgeben, nicht aber seine für Werbezwecke gespeicherten Daten.

Auch hier lohnt es, auf etwaige Datenübertragungen schon jetzt vorbereitet zu sein. Beginnen Sie erst in letzter Minute, kann der Aufwand für die ersten Datenübertragungen immens hoch werden.

Datenschutzerklärung laut DSGVO

Vollständig und verständlich – diese beiden Attribute werden von einer Datenschutzerklärung gefordert. Das ist nach geltendem Recht schon fast widersprüchlich. Art. 13 und 14 DSGVO besagen jedoch, dass Betroffene über die Verarbeitung der eigenen Daten informiert werden müssen. Die Datenschutzerklärung ist besonders online die ideale Informationsquelle.

Die Datenschutzerklärung muss leicht zugänglich sein, sie muss präzise formuliert werden, transparent und verständlich sein. Rechtsanwalt Dr. Schwenke hat eine Muster-Datenschutzerklärung bereitgestellt, an der Sie sich orientieren können. Die folgenden Inhalte müssen in der Datenschutzerklärung enthalten sein:

  • Name/ Firma & Adresse
  • Kontaktangaben, z. B. E-Mail-Adresse
  • E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden
  • Welche Daten für welche Zwecke verarbeitet werden. Heißt konkret: Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davon betroffen sind. Z. B. muss die Weiterleitung der Adresse an das Logistikunternehmen benannt werden, wenn Waren versendet werden.
  • Werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese Interessen benannt werden. Im Falle von Marketingmaßnahmen wären dies etwa „wirtschaftliche Interessen“.
  • Es müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden.
  • Der Zeitpunkt der Löschung personenbezogener Daten muss angegeben werden.
  • Teilt der Nutzer die Daten nicht selbst mit, muss die Datenquelle benannt werden.
  • Sämtliche Rechte des Nutzers müssen benannt werden. Besondere Aufmerksamkeit erhält das Widerspruchsrecht; dieses muss gesondert aufgeführt werden und erhält idealerweise einen eigenen Unterpunkt.

DSGVO: jetzt starten & rechtssicher agieren

Sie sehen: Allein die Betroffenenrechte und die Datenschutzerklärung sind riesige Bausteine der DSGVO. Fangen Sie spätestens jetzt mit den Vorbereitungen zur Datenschutzgrundverordnung an! Damit Sie wissen, was noch zu tun ist, haben wir eine Informationsseite für Sie eingerichtet. Bei Fragen können Sie sich jederzeit vertrauensvoll an uns wenden – wir beraten Sie gerne!



0 Kommentar(e)

Schreibe einen Kommentar