In den letzten beiden Folgen meiner Beitragsreihe im t3n Magazin erläutere ich die wichtigsten Grundlagen der Datenschutzgrundverordnung (DSGVO). Es geht um die wichtigen Fragen,
- wann Daten personenbezogen sind (häufiger als man denkt),
- wann sie verarbeitet werden (fast immer),
- wann Gesetze die Verarbeitung erlauben und
- welche Voraussetzungen Einwilligungen erfüllen müssen.
Angesichts der Bußgelder von bis zu 4 % des Jahresumsatzes, sollten Sie diese Grundlagen unbedingt kennen und daher die folgenden Beiträge lesen:
- DSGVO: Diese Änderungen kommen auf dein Online-Business zu (Teil 1)
- DSGVO: Welche Daten du nutzen darfst – und welche nicht (Teil 2)
- DSGVO: So holst du Einwilligungen richtig ein (Teil 3)
Grundfälle der gesetzlichen Erlaubnisse
Im Rahmen der gesetzlichen Erlaubnisse im Teil 2 gehe ich auf die folgenden Grundfälle ein:
- Vertragserfüllung (zum Beispiel Daten an Spediteur)
- Gesetzliche Pflichten (zum Beispiel Archivieren von Rechnungen)
- Schutz lebenswichtiger Interessen von Menschen (zum Beispiel in der Medizin)
- Berechtigte Interessen (IT-Sicherheit, Compliance, Beschäftigtenkontrolle, Marketing, Direktwerbung)
Vor allem die Erlaubnis der Nutzung von Daten auf Grundlage berechtigter Interessen könnte gerade im Onlinemarketing viele Erleichterungen mit sich bringen. Der Grund ist, dass Sie selbst auf die Berechtigung Einfluss nehmen können, indem Sie z.B. Daten pseudonymisieren und Nutzer transparent aufklären.
Spezialfälle
Daneben erhalten Sie auch Hinweise zu folgenden Spezialfällen:
- Besondere (sensible) Daten (Ethnie, Sexualität, Gesundheit, politische Ansichten)
- Beschäftigtendatenschutz
- Videoüberwachung im öffentlichen Raum
- E-Mailmarketing (Ausdrückliche Einwilligung oder Bestandskunden)
- Zweckänderung (Big Data, Marketing)
- Automatisierte Entscheidungen (z.B. über Bewerber)
Neben den regulären Erlaubnissen gibt es in der DSGVO und zusätzlich im neuen Bundesdatenschutzgesetz viele Sonderregeln, die zusätzlich berücksichtigt werden müssen.
Einwilligungen
Die Einwilligungen werden nicht einfacher. Bei allen Verfahren müssen Sie die folgenden, im Teil 3 meiner Beitragsreihe erläuterten, Punkte prüfen:
- Einwilligungsfähige Person? (Minderjährige ab 16)
- Freiwillig abgegeben? (Beschäftigte, soziale Zwänge oder Nachteile bei Nichtabgabe)
- Koppelungsverbot nicht einschlägig? (Erbringung vertraglicher Leistung wird von der Einwilligung abhängig gemacht, obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist)
- Über Widerrufsrecht belehrt?
- Über Zweck der Datenverarbeitung, Art und Umfang, Weitergabe sowie Löschung der Daten belehrt?
- Unmissverständliche Erklärung? (Schlüssige Erklärung, Opt-In, nicht lediglich Opt-Out)
- Nachweis (Schriftform, elektronisch protokolliert)
Einwilligungen werden zwar weiterhin relevant bleiben, sind aber kein Allheilmittel. Zum einen wegen der o.g. Anforderungen und zum anderen, weil sie jederzeit widerrufen werden können. Daher sollten Sie sich immer wenn es geht, auf die vorgenannten gesetzlichen Ergebnisse verlassen.
Sie müssen die DSGVO jetzt schon beachten
Die DSGVO ist bereits in Kraft getreten und wir befinden uns bis zum 25. Mai 2018 in einer Übergangszeit. Das bedeutet, dass Sie die Voraussetzungen des Gesetzes schon heute beachten müssen, damit die von Ihnen erhobenen personenbezogenen Daten und eingeholte Einwilligungen auch nach dem Stichtag wirksam bleiben.
In den nächsten Teilen wird es dann um die praktische Umsetzung der Vorgaben und die Rechenschaftspflichten („Accountability“) gehen, d.h. um Verfahrensverzeichnisse und die Datenschutzfolgeabschätzung.
[sc name=“tshinweisboxBEGIN“]Hinweis in eigener Sache: Rechtsberatung im Datenschutzrecht Obwohl die DSGVO Bußgelder, Dokumentations- und Informationspflichten mit sich bringt, sind viele Unternehmen noch nicht auf sie vorbereitet. Gerne helfe ich Ihnen, Ihr Unternehmen fit für die Datenschutzreform zu machen oder Ihre Datenschutzerklärung zu aktualisieren. Bitte nutzen Sie mein Kontaktformular für eine unverbindliche Anfrage.[sc name=“tshinweisboxEND“]