Seite auswählen
Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

DS-GVO Anwalt in Frankfurt

Als Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter bei TÜV-Süd berate ich in Frankfurt am Main Unternehmer zu den Auswirkungen der Datenschutzgrundverordnung (DS-GVO). Die zwei wichtigsten Gefahren für Unternehmer sind Bußgelder und Abmahnungen. Am 25. Mai 2018 ist das neue Regelwerk in Kraft getreten und damit für alle Unternehmer, die personenbezogene Daten verarbeiten, verbindlich.

Bußgelder nach DS-GVO

Im Datenschutzrecht gilt der Grundsatz, dass personenbezogene Daten nicht erhoben werden dürfen, sofern das nicht gestattet ist. Diese einfache Regel ist dann in einer Vielzahl von Paragrafen näher ausgestaltet. Damit der Gesetzgeber die Einhaltung des Datenschutzrechts gewährleisten kann, hat er Verstöße dagegen mit Bußgeld sanktioniert. Die DS-GVO unterscheidet nach der Art der Schwere des Verstoßes. Sind die Verstöße gering, dann kann das Bußgeld bis zu 10 Millionen betragen oder bis zu 2 % des weltweiten Bruttoumsatzes. Wiegen die Verstöße schwer, dann kann das Bußgeld bis zu 20 Millionen oder bis zu 4 % des weltweiten Bruttoumsatzes betragen. Adressat des Bußgeldes ist der Verantwortliche. In einer GmbH ist Verantwortlicher das vertretungsberechtigte Organ, also der Geschäftsführer. Bei der Aktiengesellschaft oder Verein ist Verantwortlicher der Vorstand. Diese haften dann aber auch persönlich. Im Zweifel können sich Geschäftsführer und Aktienvorstände relativ schnell ausmalen, dass die juristische Person dahinter (AG oder GmbH) im Zweifel den Schaden nicht übernehmen wird. Andernfalls Das könnte sie gegen gesellschaftsrechtliche Verpflichtungen verstoßen. Auch die sogenannte D&O Versicherung ist nur mit äußerster Vorsicht zu genießen. Verstöße gegen das Datenschutzrecht waren bisher als grobe Pflichtverletzungen angesehen. Versicherungen haften in solchen Fällen nur unter sehr engen Voraussetzungen.

Abmahnungen nach DS-GVO

Dem Unternehmer können auch Abmahnungen eines Konkurrenten drohen. Bislang ist in der Rechtsprechung nicht geklärt, ob die Datenschutzgrundverordnung (DS-GVO) eine Marktverhaltensregeln darstellt. Manche Gerichte bejahen das und wiederum andere verneinen das. Das Problem besteht darin, dass im Internet der fliegende Gerichtsstand gilt. Das bedeutet, dass der Konkurrent und Abmahner sich das Gericht aussuchen kann, wenn es sich um einen Verstoß gegen Datenschutzrecht im Internet (fehlerhafte Datenschutzerklärung auf der Homepage) handelt. Der logische Schluss liegt nahe, dass er sich das Gericht aussucht, das in dem Verstoß gegen die DS-GVO ein Verstoß gegen eine Marktverhaltensregel ansieht und damit eine Abmahnung als zulässig erachtet.

Fazit

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 59 77 80 28 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Datenschutz in Vereinen. Welche Mindestvoraussetzung nach DS-GVO muss ein Verein erfüllen?

Datenschutz in Vereinen. Welche Mindestvoraussetzung nach DS-GVO muss ein Verein erfüllen?

Datenschutzbeauftragter im Verein

Die meisten Vereine haben davor Angst, einen Datenschutzbeauftragten zu bestellen. Verständlicherweise ist das mit Kosten verbunden, wenn nicht gerade ein Mitglied sich bereit erklärt, diese Position auszufüllen. Diese Position kann aber nur bei fachlicher Eignung ordnungsgemäß besetzt werden. Es ist daher sehr wichtig zu wissen, wann eine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen. Das ist dann der Fall, wenn in der Mitgliederverwaltung mindestens zehn Personen mit automatisierten Daten ständig befasst sind. Was bedeutet ständig? Das bayerische LDA (die bayerische Datenschutzbehörde) ist beispielsweise der Auffassung, dass der Übungsleiter nicht zu diesem Personenkreis zählt. Hier kommt es auf den Einzelfall an und es kann vieles, bei ausreichender Argumentation, vertreten werden.

Informationspflichten im Verein

Immer wieder besteht Unklarheit bei Vereinen über die Informationspflichten. Allgemein wird von der Datenschutzerklärung gesprochen. Hier gilt es klarzustellen, dass jedes Mitglied dessen personenbezogene Daten erhoben werden, bei Erhebung dieser Daten über diese Verarbeitung informiert werden muss. Gleiches gilt natürlich auch, wenn der Verein Mitgliedsanfragen erhält und hierfür personenbezogene Daten verarbeitet. Es ist jetzt wichtig zu untersuchen, wie die Kontaktaufnahme mit dem Verein zu Stande kommt. Hat der Verein eine Webseite und werden über ein Kontaktformular oder über eine E-Mail personenbezogene Daten (Mitgliedsanfrage) ausgetauscht, dann ist spätestens in diesem Moment zu informieren. So kann beispielsweise ein Interessent sich auf der Homepage erst mal kundig machen, welche Tätigkeiten der Verein ausübt. Dann sucht er sich die E-Mail heraus und schickt eine Anfrage. Zweckmäßigerweise wird man die Information mittels einer Datenschutzerklärung erfüllen. Alternativ machen es auch Vereine dergestalt, dass sie in der E-Mail-Signatur einen Link setzen mit dem Hinweis auf den Datenschutz. Entscheidend ist in jedem Fall für den Verein, dass er später Rechenschaft darüber ablegen kann, dass er informiert hat. Schickt jetzt ein Interessent einen Brief per Post mit einer Anfrage für eine Mitgliedschaft, so werden auch in diesem Fall personenbezogene Daten verarbeitet. Dann müsste man, dem Interessenten mit einem Antwortbrief ein Blatt mit den Informationspflichten übermitteln. Eine Kopie des Antwortbriefs samt Informationspflichten sollte wegen der Rechenschaftspflicht aufbewahrt werden.

Verzeichnis der Verarbeitungstätigkeiten im Verein

Wichtig ist und das ist eine Neuerung mit der Datenschutzgrundverordnung (DS-GVO) das Verzeichnis der Verarbeitungstätigkeiten. Das ist ein Verzeichnis in dem sämtliche Datenverarbeitungsvorgänge beschrieben werden sollen. Es ist nicht öffentlich und dient zur Vorlage bei der Behörde. Das Verarbeitungsverzeichnis dient auch der Übersicht und ist eine Art Selbstkontrolle für den Vereinsvorstand darüber, welche Daten verarbeitet werden. Dieses sollte mit der größten Vorsicht erstellt werden, da es zusammen mit den Informationspflichten für die Behörde den Ausschlag geben wird, ob sie weiter ermittelt.

Datenschutzverletzungen, Beschäftigtendatenschutz und Löschpflicht im Verein

Verfügt der Verein über Angestellte, so ist der Beschäftigten-Datenschutz zu beachten. Dieser ist ein eigenes Thema und kann aufgrund des Umfangs hier nicht kurz dargestellt werden. Es empfiehlt sich aber in jedem Fall hier professionellen Rat einzuholen, da auch hier viele Stolpersteine bestehen. Bei Datenschutzverletzungen ist die Behörde innerhalb einer sehr kurzen Frist zu informieren. Nicht jede Datenschutzverletzung ist aber zu melden. Hier kommt es auf den Einzelfall an. Es besteht eine Löschpflicht für Vereine. Das bedeutet, dass man nicht Mitgliederkarteien von Mitgliedern, die bereits ausgeschieden sind über mehrere Jahrzehnte archivieren kann. Auch hier kommt es darauf an, welche Aufbewahrungsfristen im Einzelnen Anwendung finden.

Datensicherheit und Auftragsverarbeitung im Verein 

Die Datensicherheit muss gewährleistet sein. Was das bedeutet, muss im Einzelfall überprüft werden. Es sollte aber nicht dergestalt sein, dass die Mitgliederkarteien für jedes Mitglied und für Jedermann öffentlich zugänglich sind. Hier müssen Maßnahmen getroffen werden, dass die personenbezogenen Daten geschützt sind. Die Daten werden häufig mittels EDV automatisiert gespeichert. Es müssen dann entsprechende Programme und Antivirusprogramme installiert werden, die den Schutz vor Datenschutzverletzungen und Datenpannen bieten können. Auftragsverarbeitungsverträge sind zu schließen werden, wenn beispielsweise Daten an eine Buchhaltung ausgelagert werden. Aber auch hier muss der Einzelfall geprüft werden und eine generelle Aussage verbietet sich.

Fazit:

Die Mindestvoraussetzungen für ein datenschutzkonformes Verhalten bei Vereinen ist das Verzeichnis der Verarbeitungstätigkeiten, so wie die Erfüllung der Informationspflicht mittels Datenschutzerklärung bzw. Datenschutzhinweise nachkommen muss. Sind mehr als zehn Mitglieder bei der automatisierten Verarbeitung von personenbezogenen Daten beteiligt, so muss auch ein Datenschutzbeauftragter bestellt werden.

 

Bei Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter der Tel.-Nr. 069 59 77 80 28 erreichen oder eine Nachricht an info@rechtsanwalt-dsgvo.de schreiben.

 

Über Ihren Anruf oder Ihre Nachricht freue ich mich.

 

Muss zwingend eine Datenschutzfolgenabschätzung bei der Videoüberwachung durchgeführt werden?

Muss zwingend eine Datenschutzfolgenabschätzung bei der Videoüberwachung durchgeführt werden?

Videoüberwachung und DSFA

Viele Unternehmer stellen sich die Frage, ob sie eine Datenschutzfolgenabschätzung durchführen müssen, wenn sie eine Videoüberwachung benutzen. Eine Datenschutzfolgenabschätzung ist umfangreich und komplex und damit teuer. Aus diesem Grund ist sorgfältig im Einzelfall zu untersuchen, ob eine solche zwingend durchzuführen ist.

Datenschutzfolgenabschätzung DSFA

Die Datenschutzfolgenabschätzung ist in der jetzigen Form ein neues Verfahren. Es hat den Zweck dem Verantwortlichen zu ermöglichen, zu prüfen, ob bestimmte Datenverarbeitungen, die voraussichtlich zu einem hohen Risiko für die betroffene Person führen können, zu beschreiben, ihre Notwendigkeit zu bewerten und im Ergebnis die Risiken für die betroffene Person durch Ermittlung von Gegenmaßnahmen zu reduzieren.

Wann ist eine DSFA durchzuführen?

Das Gesetz sieht in Art. 35 DSGVO Voraussetzungen vor, unter denen eine Datenschutzfolgenabschätzung durchzuführen ist. Die Behörden haben auch in einer Liste (sogenannten Black List) die im Rahmen der Datenschutzkonferenz (DSK) abgestimmt ist, Verarbeitungsvorgänge hervorgehoben, bei denen eine DSFA durchzuführen ist (https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/HBDI_Verarbeitungsvorg%C3%A4nge-Muss-Liste.pdf). Verständlich wird es für Laien erst in der dritten Spalte.

 DSFA Videoüberwachung

Es stellt sich damit die Frage, ob bei jeder Videoüberwachung eine Datenschutzfolgenabschätzung durchgeführt werden muss. Grundsätzlich ist jeder Einzelfall gesondert zu prüfen. In Art. 35 DS-GVO gibt es aber in Absatz 3 so genannte Regelbeispiele. Das sind nicht abschließende Aufzählungen von Datenverarbeitungsvorgängen, für die zwingend vorab eine Datenschutzfolgenabschätzung durchzuführen ist. In c) wird die

systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

normiert. Mit Überwachung öffentlich zugänglicher Bereiche ist die Audio und Videoüberwachung gemeint. In Erwägungsgrund 91 Satz 3 DS-GVO fehlen die Begrifflichkeiten „Audio und Video“, da die DS GVO technikneutral von einer Überwachung „mittels optoelektronischer Vorrichtungen“ spricht. Es soll möglichst danteschutzkonform extensiv viele Überwachungsmethoden unter diesem Begriff ausgelegt werden können. Die Überwachung ist stationär, wie etwa auf Flughäfen oder Bahnhöfen möglich. Sie kann aber auch mobil erfolgen, beispielsweise Dashcams, Webcams oder Drohnen.

Öffentlich zugänglich

Sind also nur Behörden betroffen? Mitnichten. Denn öffentlich zugänglich sind sämtliche Bereiche innerhalb oder außerhalb von Gebäuden, die nach dem erkennbaren Willen des Berechtigten von Jedermann genutzt oder betreten werden dürfen. Es ist vollkommen unerheblich, ob der privat überwachte Bereich ein öffentlicher Raum ist oder im Privateigentum. Das bedeutet, dass beispielsweise öffentliche Verkehrsflächen, Verkaufsräume, Schalterhalle und Tankstellen, Hotelfoyers, Eingangsbereiche von Unternehmen öffentlich zugänglich sind, wenn diese von Jedermann betreten werden können.

Als Abgrenzung wird von nicht öffentlich zugänglichen Räumen ausgegangen, wenn diese nur durch einen bestimmten und abschließend definierten Personenkreis betreten werden können oder dürfen. Das sind beispielsweise abgeschlossene Büros oder Lagerhallen, die nur bestimmten Personenzugang erlauben. Nach dieser Leseart muss man zu dem Ergebnis kommen, dass (fast) jeder, der eine Videoüberwachung nutzt auch eine Datenschutzfolgenabschätzung durchführen muss. Im Übrigen  heißt das nicht, dass ich in Büros ohne weiteres eine Videoüberwachung ohne DSFA durchführen kann.

Umfangreiche regelmäßige und systematische Überwachung

In diesen Begriffen liegt die Einschränkung für eine ausufernde Anwendbarkeit der Datenschutzfolgenabschätzung. Bei dem Merkmal „umfangreich“ geht es insbesondere um die Zahl der von der Verarbeitung betroffenen Personen, Datensätze sowie um den zeitlichen und räumlichen Umfang der Verarbeitung. „Systematisch“ sieht beispielsweise die Art. 29 Datenschutzgruppe bei Videoüberwachungen regelmäßig als gegeben an. Das bayerische Landesdatenschutzamt sieht bei der Videoüberwachung stets die Durchführung einer DSFA als erforderlich an.

Wann ist eine Videoüberwachung also nicht systematisch und umfangreich? Das wird generell dann angenommen, wenn zeitlich und räumlich die Videoüberwachung eng begrenzt ist und anlassbezogen überwacht wird. Wann das der Fall ist, wird die Praxis zeigen müssen. Bislang besteht keine Rechtsprechung oder behördliche Praxis, die geeignete Fälle bewertet hat. Im Zweifel ist es für den Überwachenden eine Überlegung wert, ob er wirklich eine Videoüberwachung benötigt und wenn ja, ob er dann eine Datenschutzfolgenabschätzung durchführt. Eine Patentlösung gibt es nicht. Ich kann nur anraten, hier eine Kosten-Nutzen Abwägung zwischen Durchführung einer DSFA und Notwendigkeit einer Videoüberwachung anzustellen.

Bei Fragen rund um das Datenschutzrecht, stehe ich Ihnen gerne telefonisch unter 069 59 77 80 28 oder per Email unter info@rechtsanwalt-dsgvo.de zur Verfügung.

Über Ihren Anruf oder Nachricht freue ich mich.

 

 

Datenschutz, DS-GVO und Zulässigkeit von Facebook Custom Audience.

Datenschutz, DS-GVO und Zulässigkeit von Facebook Custom Audience.

Facebook Custom Audience und DS-GVO

Ein Thema, das viele Menschen, die im Bereich Marketing tätig sind, interessiert ist der Einsatz von Facebook Custom Audience. Darf ich mit Einführung der DS-GVO Facebook Custom Audience noch nutzen oder muss ich es sofort unterlassen? Was passiert, wenn ich es trotz Unzulässigkeit weiter nutze? Das sind nur einige Fragen rund um Facebook Custom Audience.

BayVGH und Facebook Custom Audience

Der Einsatz von Facebook Custom Audience, ist laut Bayerischem Verwaltungsgerichtshof (BayVGH, B.v. 26.9.2018 – 5 CS 18.1157) )nicht zulässig. Die bayerische Datenschutzbehörde (Bayerische Landesamt für Danteschutzaufsicht-BayLDA) teilt diese Auffassung. Damit sind Verwaltung und Rechtsprechung auf einer Linie. Was bedeutet das nun für mich als Verantwortlichen?

Das bedeutet erstmals, dass ich bei der Nutzung von Facebook Custom Audience Gefahr laufe, Post von der Datenschutzbehörde zu bekommen. Wenn ich dann gegen eine etwaige Anordnung vorgehen möchte, ist es sehr wahrscheinlich, dass die Gerichte sich dieser Rechtsprechung anschließen.  Mir droht als Verantwortlicher damit ein Bußgeld.

Einwilligung des Betroffenen

In dem zu entscheidenden Fall hat der BayVGH entschieden, dass keine geeignete Rechtsgrundlage für die Erhebung von Daten über Facebook Custom Audience bestanden hat. Einige Berater gehen jetzt nun dazu über und raten ihren Mandanten, eine Einwilligung bei dem Betroffenen einzuholen und somit eine Rechtsgrundlage zu erschaffen. Ist das ohne weiteres so möglich?

Eine Einwilligung muss nach DS-GVO für einen bestimmten Zweck, in informierter Weise und freiwillig sein. Aus meiner Sicht bestehen im Hinblick auf die Informiertheit bedenken. Ich kann immer nur in eine Datenverarbeitung einwilligen, die ich auch verstehe. Worin willige ich eigentlich ein? Dazu muss dem Betroffenen mitgeteilt werden, was mit seinen Daten passiert. Es stellt sich damit die Frage, ob der Verantwortliche bei der Nutzung von Facebook Custom Audience dem Betroffenen überhaupt mitteilen kann, wie Facebook seine Daten nutzt.

Was macht Facebook mit den Daten?

Um das näher erläutern zu können ist wichtig zu verstehen, wie Facebook Custom Audience funktioniert. Facebook Custom Audience ermöglicht es Verantwortlichen, ihre Kunden, die zugleich Nutzer von Facebook sind, gezielt zu bewerben. Zu diesem Zweck wird eine Liste erstellt mit den Kunden und Interessenten mit Namen, Telefonnummer, E-Mail-Adresse, und Wohnort. Diese Liste wird dann hoch geladen und mittels eines Hashwert-Verfahrens  in feste Zeichenketten umgewandelt. Facebook kann dadurch die Liste mit den Nutzern abgleichen und so eine Identität zwischen Kunden und Nutzer von Facebook feststellen. Der Verantwortliche kann dann beispielsweise Werbekampagnen starten. Hauptangriffspunkt des Bayerischen Verwaltungsgerichtshofs ist, dass Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder entscheidet, welche Nutzer der Zielgruppenbestimmung des Verantwortlichen entsprechen und folglich bewerben werden. Diese Auswahl trifft Facebook anhand von Kriterien, die eben nur Facebook bekannt sind.

Insofern vertrete ich die Auffassung, dass auch eine Einwilligung mangels Informiertheit nicht rechtswirksam abgegeben werden kann. Eine Lösung ist derzeit nicht in Sicht. Facebook müsste hier mehr Informationen liefern. Ansonsten ist von einer Nutzung von Facebook Custom Audience derzeit abzuraten. Dies gilt natürlich für das Datenschutzrecht. Wer gleichwohl gute Geschäfte damit macht, muss sich auch über die Folgen einer Datenschutzverletzung im Klaren sein.

 

Wenn Sie weitere Fragen zum Datenschutz haben, dann können Sie mich jederzeit telefonisch unter 069 59 77 80 28 oder per Email an info@rechtsanwalt-dsgvo.de erreichen.

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Wie kann ich datenschutzkonform (DS-GVO) Werbung machen?

Wie kann ich datenschutzkonform (DS-GVO) Werbung machen?

Werbung nach DS GVO

Die Aufregung um die Einführung der neuen Datenschutzgrundverordnung (DS-GVO) hat sich etwas gelegt und doch sind einige Fragen, wie etwa die Zulässigkeit von Werbung nach DS-GVO, stets aktuell.

Personenbezogene Daten bei Werbung

Im Datenschutz gilt, dass die Erhebung von personenbezogenen Daten grundsätzlich nicht erlaubt es, es sei denn es besteht hierfür eine Rechtsgrundlage. Nichts anderes gilt für die Werbung. Wenn jemand beworben wird, dann werden personenbezogene Daten verarbeitet. Ich spreche schließlich den Beworbenen namentlich in den meisten Fällen an oder, wenn ich ihn per E-Mail bewerbe, kenne ich seine E-Mail Adresse. Das sind Daten, die Rückschlüsse auf eine Person zulassen. Damit sind es personenbezogene Daten und ich brauche eine Rechtsgrundlage.

Rechtsgrundlage für Werbung

Die DS-GVO sieht in ihren Erwägungsgründen ausdrücklich vor, dass Direktwerbung grundsätzlich zulässig ist. Mit einfachen Worten ausgedrückt findet die DS-GVO Werbung „gut“. Im alten Bundesdatenschutzgesetz BDSG war das nicht selbstverständlich. Gleichwohl sind einige Voraussetzungen für die rechtskonforme Werbung nach DS-GVO zu erfüllen. Die richtige Rechtsgrundlage ist Art. 6 Absatz 1 f) DS-GVO, insbesondere wenn ich über keine Einwilligung verfüge.

Berechtigtes Interesse

Nach dieser Grundlage ist eine Interessenabwägung vorzunehmen. Ich erspare Ihnen hier die juristischen Fachbegriffe. Letztlich geht es um eine Abwägung zwischen den Interessen eines Beworbenen keine Werbung zu erhalten und dem Interesse des Werbenden, Werbung zu machen, um beispielsweise seinen Umsatz zu steigern. In dieser Abwägung muss eine Vielzahl von Kriterien einfließen. So ist es für den Unternehmer entscheidend, dass er werben kann, damit er beispielsweise seinen Umsatz erhöht, seine Bekanntheit steigert oder sich bei seinem bestehenden Kunden in Erinnerung ruft. Für den Beworbenen geht es darum, in Ruhe gelassen zu werden, nicht mit unnötigen Informationen belästigt zu werden oder dass sein Kaufverhalten nicht beeinflusst wird. Das sind beispielsweise nur einige Kriterien, die in einer Abwägung berücksichtigt werden müssen.

Wenn man sich, dann beide Seiten der Abwägungswaage anschaut, dann ist es regelmäßig bei Werbung so, dass kein Interesse überwiegt. Was gilt dann, wenn keine Seite bei dieser Abwägung gewinnt? Hier kommt nun die DS-GVO ins Spiel und regelt in ihren Erwägungsgründen, dass Werbung „gut“ ist. Praktisch bedeutet das, dass bei Gleichstand der Interessen, die Zulässigkeit von Werbung gewinnt. Konsequenz davon ist, dass ich Werbung machen kann.

Ausnahmen

Kommen jedoch gewichtige Interessen des Beworbenen hinzu, was in jedem Einzelfall geprüft werden muss, kann diese Abwägung zu Gunsten des Beworbenen ausfallen. Dann wäre die Werbung unzulässig. Es muss also der Einzelfall geprüft werden.

Praktische Konsequenzen für Werbung

Jetzt, wo ich eine Rechtsgrundlage habe, kann es doch eigentlich losgehen. Natürlich ist das Auffinden der Rechtsgrundlage die halbe Miete. Die DS-GVO sieht aber auch noch Informationspflichten vor. Aus diesem Grund muss ich die oben getätigte  Interessenabwägung, in meinen Informationspflichten wiedergeben. Ich rate meinen Mandanten dazu, diese Interessenabwägung auch in das Verarbeitungsverzeichnis aufzunehmen. Zuletzt ist der Betroffene auch darauf hinzuweisen, dass ihm ein Widerspruchsrecht zusteht. Werden diese Aspekte allesamt rechtskonform berücksichtigt, dann steht einem gezielten Werben aus Sicht der DS-GVO nichts im Wege.

Sollten Sie Fragen rund um eine datenschutzkonforme Werbung haben, dann können Sie mich jederzeit unter 069 59 77 80 28 oder per E-Mail an info@rechtsanwalt-dsgvo.de erreichen. Als zertifizierter Datenschutzbeauftragter helfe ich Ihnen gerne weiter.

 

Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Wie können Unternehmer personenbezogene Daten nach DS-GVO datenschutzkonform löschen? DIN 66398

Wie können Unternehmer personenbezogene Daten nach DS-GVO datenschutzkonform löschen? DIN 66398

Recht auf Vergessenwerden

Nach der Datenschutzgrundverordnung (DS-GVO) muss jeder Unternehmer, der personenbezogene Daten verarbeitet, ein Konzept (wie bsp. DIN 66398) haben, wie er solche Daten löscht. Aus Art. 17 DS-GVO ergibt sich das Recht auf Löschung und das Recht auf Vergessenwerden. Das dem zugrunde liegende Prinzip der Speicherminimierung ergibt sich aus Art. 5 DS-GVO. Darüber muss der Verantwortliche Rechenschaft ablegen können und den Dokumentationspflichten genügen. Andernfalls droht ein Bußgeld. Betroffene haben zudem das Recht auf Auskunft, ob deren Daten gelöscht wurden, wenn sie beispielsweise ihre Einwilligung widerrufen haben.

 Löschkonzept nach DIN 66398

Es bestehen verschiedene Modelle, wie man Daten datenschutzkonform löschen kann. Die bayerische Aufsichtsbehörde hat beispielsweise auf ihrer Homepage, Empfehlungen veröffentlicht. Mir scheint bislang das Löschkonzept nach der DIN 66398 praktikabel, da es mit relativ geringen Aufwand implementiert werden kann.

Beispielhafte Vorgehensweise:

  1. Es werden zuerst die verschiedenen Datenarten bestimmt. Beispielsweise Kundendaten, Mitarbeiterdaten oder gegebenenfalls besondere Daten nach Art. 9 DS-GVO.
  2. Danach ist festzustellen, welche Aufbewahrungsfristen gelten. Je nach Branche und Datenart ist das unterschiedlich. So müsste beispielsweise eine Telefonnummer nicht über zehn Jahre lang gespeichert sein.
  3. Dann wird aufgelistet, wo die entsprechenden Daten gespeichert bzw. abgelegt sind?
  4. Es wird geprüft, ob Daten mit Auftragsverarbeiter und deren Systeme ausgetauscht werden?
  5. Danach werden diese Daten in sogenannte Löschklassen sortiert. Es werden die Daten mit gleichen Fristen zu einer Löschklasse zusammengefasst. Da der nach Art. 9 DS-GVO sollten in eine separate Löschklasse gruppiert werden.
  6. Es werden sodann die Löschfristen notiert. Dies wird unter dem Stichpunkt Löschregeln zusammengefasst. Startzeitpunkt ist die Verarbeitung des personenbezogenen Datums und Endzeitpunkt ist die gesetzliche Aufbewahrungsfrist oder Widerruf der Einwilligung oder Ablauf der vertraglichen Verpflichtung. Das wäre eine sogenannte Umsetzungsregel.
  7. Diese ganzen Vorgänge muss dokumentiert werden.

Beispiel für eine Löschklasse:

 

Kategorie Reklamationsdaten Kunden, Forderungen Löschung Pseudonymisierung

Anonymisierung

Aufbewahrungsfristen 4 Jahre wegen Verjährung
Erhebung 31.01.2019
Ende 01.01.2023

 

Jedes Unternehmen hat seine eigenen Besonderheiten. Es kommt zudem darauf an, welche Softwaresysteme genutzt werden. So werden beispielsweise Daten unterschiedlich archiviert. Hierbei ist stets darauf zu achten, dass gelöschte Daten, nicht irgendwo in Sicherungskopien auftauchen. Letztlich ist auch ein Wiedervorlagesystem unumgänglich und ein Verfahren zur Dokumentation essentiell.  Bei manchen Daten wird es zudem nicht notwendig sein, diese zu löschen, sondern lediglich zu anonymisieren.

Da Datenschutzgrundverordnung (DS-GVO) ist noch sehr jung und es existiert daher keine umfangreiche Rechtsprechung. Insofern ist auch bei der Thematik der Löschung von Daten Vorsicht geboten. Vieles ist noch unsicher und dieses Thema sollte als dynamischer Prozess betrachtet werden. Für die Behörde wird es entscheidend darauf ankommen, dass der Unternehmer sich Überlegungen gemacht hat. Hat er ein Konzept und weist dieses Lücken auf, wird er im Zweifel mit einem milderen Bußgeld belegt werden, als der Unternehmer, der gar keines hat.

Bei Fragen rund um die Erstellung eines Löschkonzepts und über das Datenschutzrecht allgemein, können Sie mich jederzeit unter  069 59 77 80 28 telefonisch erreichen oder per Email kontaktieren.