Seite wählen
Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnung des Telefonats als Beweismittel

Häufig fragen mich Mandanten, ob es nach der neuen Datenschutzgrundverordnung (DS-GVO) zulässig ist, wenn jemand ein Telefongespräch aufnehmen möchte. Meist kommt diese Frage dann auf, wenn jemand bei einem Vertragspartner bsp. Internetanbieter anruft und dort gefragt wird, ob zu Qualitätszwecken das Gespräch aufgenommen werden kann. Außerdem schließen manche Mandanten Verträge per Telefon ab. Es stellt sich also die Frage, wann das nach der DS-GVO zulässig ist.

Beschluss der DSK Datenschutzkonferenz vom 23.03.2018

Die Datenschutzkonferenz (DSK), deren Beschlüsse eine sehr gute Orientierung für die spätere behördliche Entscheidung darstellen, hat hierzu folgendes veröffentlicht:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen. Diese Einwilligung umfasst nicht eine biometrische Auswertung. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der DS-GVO dar. Da der datenschutzrechtlich Verantwortliche nachweisen können muss, dass die betroffene Person eine wirksame Einwilligung erteilt hat (Art. 7 Abs. 1 DS-GVO), muss er auch nachweisen können, dass die betroffene Person die Einwilligung „in informierter Weise“ abgegeben hat (vgl. Art. 4 Nr. 11 DS-GVO).“

Vorsicht bei Aufzeichnung von Telefongesprächen

Durch die DS-GVO hat sich also letztlich nichts geändert. Eine Einwilligung ist nach wie vor erforderlich. Diese muss auch „nachgewiesen“ bzw. „dokumentiert“ werden. Das ist alles andere als einfach. Je nach Situation kann es mitunter erhebliche Schwierigkeiten bereiten. Soll man die Einwilligung mitaufzeichnen? Das geht erstmal nicht, da man ja nicht weiß, ob der Gesprächspartner damit einverstanden ist. Anzuraten ist, die Frage nach der Einwilligung zu wiederholen und dies dann aufzuzeichnen.

Folgen heimlicher Mitschnitt

Auf keinen Fall sollten Gespräche ohne Einwilligung des Gesprächspartners aufgezeichnet werden. Das wäre strafbar. Auf § 201 Strafgesetzbuch wird verwiesen. Wenn Sie also nicht einwilligen oder Ihr Gesprächspartner nicht einwilligt, dann wissen Sie, dass hier ein Datenschutzverstoß vorliegt. Was folgt daraus? Es können unter Umständen die Aussagen nicht in einem Gerichtsprozess verwertet werden. Es droht eine Anzeige nach §  201 StGB. Möglicherweise bestehen Unterlassungsansprüche wegen Verletzung des Persönlichkeitsrechts. Es ist äußerste Vorsicht geboten.

Für Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz (DS-GVO) in Frankfurt am Main

E-Mails in „cc“ und die Datenschutzgrundverordnung (DS-GVO).

E-Mails in „cc“ und die Datenschutzgrundverordnung (DS-GVO).

E-Mail Verkehr in „cc“

Darf ich mit Inkrafttreten der Datenschutzgrundverordnung E-Mails in „cc“ (Carbon Copy = Kopie) versenden oder nicht? Die Antwort auf diese, auf dem ersten Blick harmlose Frage, hat erhebliche Konsequenzen. Tausendfach werden täglich E-Mails in „cc“ versandt und die meisten Absender machen sich keine Gedanken zum Datenschutz. Häufig werden im Büroalltag E-Mails schlicht an einem großen Empfängerkreis mittels „cc“ weitergeleitet. Der Empfänger erfährt dadurch den Inhalt der vorhergehende Nachricht und die Emailbeteiligten. Diese wissen häufig davon nichts.

Geldbußen bei Emails in „cc“

Der Landesbeauftragte für Datenschutz in Sachsen Anhalt, Harald von Bose, hat nun in einem Fall Geldbußen wegen Verstößen gegen die Datenschutzgrundverordnung verhängt, weil eine-wohlgemerkt-private Person E-Mails in „cc“ versandt hat. Was war passiert? Bislang liegt nur eine Pressemeldung der Behörde vor. Ausweislich dieser soll eine private Person in einen E-Mail Verteiler zwischen 131 und 153 personenbezogene E-Mail Adressen verschickt haben. Dies natürlich ohne deren Einwilligung. Er hat sich über Medien, Behörden etc. beschwert und alle mit in „cc“ aufgenommen. Ein Fehler, wie sich danach herausstellte, weil ein Datenschutzverstoß vorliegt.

E-Mails als personenbezogene Daten

Dafür müssen E-Mails personenbezogene Daten darstellen, die unrechtmäßig verarbeitet wurden. E-Mail-Adresse zählen dann als personenbezogene Daten, wenn sie einer konkreten Person zugeordnet werden können. Werden also beispielsweise Klarnamen in der E-Mail benutzt, so ist eine Zuordnung ohne weiteres möglich (Max.Mustermann@info.de). Wird hingegen allgemein info@info.de benutzt, so ist ein Rückschluss nicht ohne weiteres möglich. Es kommt also auf den Einzelfall an.

Verstoß gegen die DS GVO?

Personenbezogene Daten können nur dann rechtmäßig verarbeitet werden, wenn eine Rechtsgrundlage hierfür besteht. Es liegt auf der Hand, dass in den meisten Fällen solche E-Mail-Verteiler ohne Einwilligung der Betroffenen benutzt werden. Die Weitergabe von personenbezogenen Daten wird, wenn es nicht dem Vertragszweck oder berechtigten Interessen dient, häufig rechtswidrig sein. Das wird häufig nicht gegeben sein.

Das Problem an dieser Konstellation ist, dass sich der Verstoß sehr einfach dokumentieren lässt. Man kann schlicht die Email ausdrucken. Daher sollten besonders Anbieter von „Newsletter“ aufpassen. Die Bußgelder können sehr üppig ausfallen..

Lösungsmöglichkeiten „bcc“

Daher kann nur angeraten werden, generell über „bcc“ (blind carbon copy) zu arbeiten.

Der Unterschied:

–           Die E-Mail-Adressen der Empfänger, die in den Feldern „An“ und „Cc“ aufgeführt sind, sind für alle Empfänger sichtbar.

–           Für einen Empfänger, der in „Bcc“ aufgeführt ist, sind die anderen unter „Bcc“ aufgelisteten „Mit-Empfänger“ nicht sichtbar.

Aber Achtung: Es dürfen natürlich nicht Daten unrechtmäßig weitergegeben werden. Davor schützt das „bcc“ ebenfalls nicht. Man vermeidet aber dadurch, dass die anderen Empfänger sehen, wer beispielsweise alles den Newsletter bezieht.

Bei Fragen rund um den Datenschutz helfe ich Ihnen gerne. Sie können mich telefonisch unter 069 405 64 282 oder unter info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main.

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Der ungeordnete Brexit steht vor der Tür. Was hat das Auswirkungen auf das Datenschutzrecht und Unternehmen, die mit Großbritannien handeln?

DSGVO und Großbritannien

Die Datenschutzgrundverordnung (DS-GVO) galt und gilt noch in Großbritannien. Das bedeutet erstmals, dass dort ein angemessenes Datenschutzniveau, zumindest dem Papier nach, vorgefunden werden sollte. Das bedeutet leider nicht, dass der Datenverkehr mit Deutschland deshalb ohne weiteres zulässig ist. Betroffen sind Unternehmen, die eine Niederlassung in Großbritannien haben oder Kunden in Großbritannien haben. Gleiches gilt für Unternehmer, die in UK Vertragspartner haben.

Großbritannien als unsicheres Drittland

Man mag es kaum glauben, aber im Falle eines unkontrollierten Brexit, wird Großbritannien aus datenschutzrechtlicher Sicht ein sogenanntes „unsicheres Drittland“. Das bedeutet, dass die Regeln der DS-GVO im Hinblick auf solche Länder anzuwenden sind.

Was heißt das konkret für Datenverarbeitung nach UK?

Es wird bei unsicheren Drittländer zweistufig vorgegangen. Zunächst ist zu prüfen, ob eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Danach ist zu prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt. Erst dann dürfen Daten international verarbeitet werden.

Was muss ich als EU-Unternehmer machen?

Datentransfer in Drittländern kann über eine Vielzahl von Möglichkeiten bewerkstelligt werden. Einige Möglichkeiten dabei sind mit sehr viel Aufwand verbunden, wohin andere mit weniger Aufwand. Dieser Beitrag wird aufgrund des Umfangs nicht sämtliche Möglichkeiten beleuchten, sondern nur den –aus meiner Sicht- praktischsten Weg.

Standardvertragsklauseln mit UK

Der einfachste Weg wird sein, mit den sogenannten EU- Standardvertragsklauseln zu arbeiten. Diese sind von Europäischen Union vorgegeben. Es wird ein Vertrag zwischen dem Unternehmen in Großbritannien und hiesigem Unternehmer geschlossen. In diesen Verträgen verpflichtet sich der Unternehmer aus Deutschland zu überprüfen, ob der englische Vertragspartner das Datenschutzrecht einhält. Zweckmäßigerweise sollte von dem englischen Partner verlangt werden, dass er seine Datenschutzkonformität vor Vertragsschluss nachweist.

Änderung der Datenschutzerklärung und Datenschutzhinweise

Außerdem sind die Datenschutzerklärung und die Datenschutzhinweise anzupassen. In dem Moment, wo der Brexit kommt, muss der Betroffene informiert werden, dass seine Daten in ein unsicheres Drittland übertragen werden.

Lohnt es sich abzuwarten?

In Großbritannien hat die Datenschutzgrundverordnung (DS-GVO) bislang Geltung. Das bedeute, dass eine Vielzahl von Unternehmen sich bereits „fit“ für die DS-GVO gemacht haben. Es ist aber nicht abzusehen, ob sie nach dem Brexit weiterhin gelten wird oder ein neues Datenschutzrecht geschaffen wird. Sehr wahrscheinlich ist, dass das Datenschutzniveau in UK, auch wenn es verändert werden sollte, mit dem europäischen vergleichbar sein wird. Sehr wahrscheinlich wird die EU einen Angemessenheitsbeschluss erlassen. Dann dürfte der Datentransfer zwischen EU und UK zulässig sein. Es liegt wieder einmal in der Hand der Politik. Bis also ein solcher Beschluss erlassen ist, sollten Unternehmer auf Nummer sicher gehen und entsprechend ihren Datenschutz anpassen.

Das Risiko besteht letztlich darin ein Bußgeld zu erhalten. Das sollte unter allen Umständen vermieden werden. Lesenswert ist zudem die Bekanntmachung des Bundesdatenschutzbeauftragten zu diesem Thema mit weiterführenden Hinweisen (https://www.bfdi.bund.de/DE/Europa_International/Europa/Ueberblick/EU_NoDealBrexit.html)

Anwalt Datenschutz

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 405 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt für DSGVO in Frankfurt

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

Bußgelder und Abmahnungen nach Datenschutzgrundverordnung. DS-GVO Anwalt in Frankfurt am Main.

DS-GVO Anwalt in Frankfurt

Als Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter bei TÜV-Süd berate ich in Frankfurt am Main Unternehmer zu den Auswirkungen der Datenschutzgrundverordnung (DS-GVO). Die zwei wichtigsten Gefahren für Unternehmer sind Bußgelder und Abmahnungen. Am 25. Mai 2018 ist das neue Regelwerk in Kraft getreten und damit für alle Unternehmer, die personenbezogene Daten verarbeiten, verbindlich.

Bußgelder nach DS-GVO

Im Datenschutzrecht gilt der Grundsatz, dass personenbezogene Daten nicht erhoben werden dürfen, sofern das nicht gestattet ist. Diese einfache Regel ist dann in einer Vielzahl von Paragrafen näher ausgestaltet. Damit der Gesetzgeber die Einhaltung des Datenschutzrechts gewährleisten kann, hat er Verstöße dagegen mit Bußgeld sanktioniert. Die DS-GVO unterscheidet nach der Art der Schwere des Verstoßes. Sind die Verstöße gering, dann kann das Bußgeld bis zu 10 Millionen betragen oder bis zu 2 % des weltweiten Bruttoumsatzes. Wiegen die Verstöße schwer, dann kann das Bußgeld bis zu 20 Millionen oder bis zu 4 % des weltweiten Bruttoumsatzes betragen. Adressat des Bußgeldes ist der Verantwortliche. In einer GmbH ist Verantwortlicher das vertretungsberechtigte Organ, also der Geschäftsführer. Bei der Aktiengesellschaft oder Verein ist Verantwortlicher der Vorstand. Diese haften dann aber auch persönlich. Im Zweifel können sich Geschäftsführer und Aktienvorstände relativ schnell ausmalen, dass die juristische Person dahinter (AG oder GmbH) im Zweifel den Schaden nicht übernehmen wird. Andernfalls Das könnte sie gegen gesellschaftsrechtliche Verpflichtungen verstoßen. Auch die sogenannte D&O Versicherung ist nur mit äußerster Vorsicht zu genießen. Verstöße gegen das Datenschutzrecht waren bisher als grobe Pflichtverletzungen angesehen. Versicherungen haften in solchen Fällen nur unter sehr engen Voraussetzungen.

Abmahnungen nach DS-GVO

Dem Unternehmer können auch Abmahnungen eines Konkurrenten drohen. Bislang ist in der Rechtsprechung nicht geklärt, ob die Datenschutzgrundverordnung (DS-GVO) eine Marktverhaltensregeln darstellt. Manche Gerichte bejahen das und wiederum andere verneinen das. Das Problem besteht darin, dass im Internet der fliegende Gerichtsstand gilt. Das bedeutet, dass der Konkurrent und Abmahner sich das Gericht aussuchen kann, wenn es sich um einen Verstoß gegen Datenschutzrecht im Internet (fehlerhafte Datenschutzerklärung auf der Homepage) handelt. Der logische Schluss liegt nahe, dass er sich das Gericht aussucht, das in dem Verstoß gegen die DS-GVO ein Verstoß gegen eine Marktverhaltensregel ansieht und damit eine Abmahnung als zulässig erachtet.

Fazit

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 405 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt für DSGVO in Frankfurt

Datenschutz in Vereinen. Welche Mindestvoraussetzungen nach DS-GVO muss ein Verein erfüllen?

Datenschutz in Vereinen. Welche Mindestvoraussetzungen nach DS-GVO muss ein Verein erfüllen?

Datenschutzbeauftragter im Verein

Die meisten Vereine haben davor Angst, einen Datenschutzbeauftragten zu bestellen. Verständlicherweise ist das mit Kosten verbunden, wenn nicht gerade ein Mitglied sich bereit erklärt, diese Position auszufüllen. Diese Position kann aber nur bei fachlicher Eignung ordnungsgemäß besetzt werden. Es ist daher sehr wichtig zu wissen, wann eine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen. Das ist dann der Fall, wenn in der Mitgliederverwaltung mindestens zehn Personen mit automatisierten Daten ständig befasst sind. Was bedeutet ständig? Das bayerische LDA (die bayerische Datenschutzbehörde) ist beispielsweise der Auffassung, dass der Übungsleiter nicht zu diesem Personenkreis zählt. Hier kommt es auf den Einzelfall an und es kann vieles, bei ausreichender Argumentation, vertreten werden.

Informationspflichten im Verein

Immer wieder besteht Unklarheit bei Vereinen über die Informationspflichten. Allgemein wird von der Datenschutzerklärung gesprochen. Hier gilt es klarzustellen, dass jedes Mitglied dessen personenbezogene Daten erhoben werden, bei Erhebung dieser Daten über diese Verarbeitung informiert werden muss. Gleiches gilt natürlich auch, wenn der Verein Mitgliedsanfragen erhält und hierfür personenbezogene Daten verarbeitet. Es ist jetzt wichtig zu untersuchen, wie die Kontaktaufnahme mit dem Verein zu Stande kommt. Hat der Verein eine Webseite und werden über ein Kontaktformular oder über eine E-Mail personenbezogene Daten (Mitgliedsanfrage) ausgetauscht, dann ist spätestens in diesem Moment zu informieren. So kann beispielsweise ein Interessent sich auf der Homepage erst mal kundig machen, welche Tätigkeiten der Verein ausübt. Dann sucht er sich die E-Mail heraus und schickt eine Anfrage. Zweckmäßigerweise wird man die Information mittels einer Datenschutzerklärung erfüllen. Alternativ machen es auch Vereine dergestalt, dass sie in der E-Mail-Signatur einen Link setzen mit dem Hinweis auf den Datenschutz. Entscheidend ist in jedem Fall für den Verein, dass er später Rechenschaft darüber ablegen kann, dass er informiert hat. Schickt jetzt ein Interessent einen Brief per Post mit einer Anfrage für eine Mitgliedschaft, so werden auch in diesem Fall personenbezogene Daten verarbeitet. Dann müsste man, dem Interessenten mit einem Antwortbrief ein Blatt mit den Informationspflichten übermitteln. Eine Kopie des Antwortbriefs samt Informationspflichten sollte wegen der Rechenschaftspflicht aufbewahrt werden.

Verzeichnis der Verarbeitungstätigkeiten im Verein

Wichtig ist und das ist eine Neuerung mit der Datenschutzgrundverordnung (DS-GVO) das Verzeichnis der Verarbeitungstätigkeiten. Das ist ein Verzeichnis in dem sämtliche Datenverarbeitungsvorgänge beschrieben werden sollen. Es ist nicht öffentlich und dient zur Vorlage bei der Behörde. Das Verarbeitungsverzeichnis dient auch der Übersicht und ist eine Art Selbstkontrolle für den Vereinsvorstand darüber, welche Daten verarbeitet werden. Dieses sollte mit der größten Vorsicht erstellt werden, da es zusammen mit den Informationspflichten für die Behörde den Ausschlag geben wird, ob sie weiter ermittelt.

Datenschutzverletzungen, Beschäftigtendatenschutz und Löschpflicht im Verein

Verfügt der Verein über Angestellte, so ist der Beschäftigten-Datenschutz zu beachten. Dieser ist ein eigenes Thema und kann aufgrund des Umfangs hier nicht kurz dargestellt werden. Es empfiehlt sich aber in jedem Fall hier professionellen Rat einzuholen, da auch hier viele Stolpersteine bestehen. Bei Datenschutzverletzungen ist die Behörde innerhalb einer sehr kurzen Frist zu informieren. Nicht jede Datenschutzverletzung ist aber zu melden. Hier kommt es auf den Einzelfall an. Es besteht eine Löschpflicht für Vereine. Das bedeutet, dass man nicht Mitgliederkarteien von Mitgliedern, die bereits ausgeschieden sind über mehrere Jahrzehnte archivieren kann. Auch hier kommt es darauf an, welche Aufbewahrungsfristen im Einzelnen Anwendung finden.

Datensicherheit und Auftragsverarbeitung im Verein 

Die Datensicherheit muss gewährleistet sein. Was das bedeutet, muss im Einzelfall überprüft werden. Es sollte aber nicht dergestalt sein, dass die Mitgliederkarteien für jedes Mitglied und für Jedermann öffentlich zugänglich sind. Hier müssen Maßnahmen getroffen werden, dass die personenbezogenen Daten geschützt sind. Die Daten werden häufig mittels EDV automatisiert gespeichert. Es müssen dann entsprechende Programme und Antivirusprogramme installiert werden, die den Schutz vor Datenschutzverletzungen und Datenpannen bieten können. Auftragsverarbeitungsverträge sind zu schließen werden, wenn beispielsweise Daten an eine Buchhaltung ausgelagert werden. Aber auch hier muss der Einzelfall geprüft werden und eine generelle Aussage verbietet sich.

Fazit:

Die Mindestvoraussetzungen für ein datenschutzkonformes Verhalten bei Vereinen ist das Verzeichnis der Verarbeitungstätigkeiten, so wie die Erfüllung der Informationspflicht mittels Datenschutzerklärung bzw. Datenschutzhinweise nachkommen muss. Sind mehr als zehn Mitglieder bei der automatisierten Verarbeitung von personenbezogenen Daten beteiligt, so muss auch ein Datenschutzbeauftragter bestellt werden.

Bei Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter der Tel.-Nr. 069 405 64 282 erreichen oder eine Nachricht an info@rechtsanwalt-dsgvo.de schreiben.

Über Ihren Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main