040 / 303 911 73 office@commandeur.org

DSGVO – Praktische Hinweise – Teil 1: Datenschutzinformation, wann und wie hat sie zu erfolgen?

27. Mai. 2018 | Aktuelles

Seit 3 Tagen ist sie nun anzuwenden- die Datenschutzgrundverordnung, kurz DSGVO.

Wer mit der Umsetzung noch nicht begonnen hat oder unsicher ist, wie die neuen Regelungen umzusetzen sind, dem/der seien hier ein paar praktische Hinweise gegeben.

Teil 1: Die Datenschutzinformation:

  1. Der Schutz personenbezogener Daten: Das wesentliches Element der DSGVO ist der Schutz sog. personenbezogener Daten. Insofern ist es nicht zutreffend, wenn in den Medien von „Verbrauchern“ gesprochen wird. Denn der Verbraucherbegriff unterscheidet sich von dem der betroffenen Person im Datenschutzrecht.  Entscheidend ist, dass es um Daten geht, mittels derer eine Privatperson identifiziert werden oder identifizierbar gemacht werden kann.
  2. Personenbezogen Daten werden beim Besuch einer Website selbst dann generiert, wenn keine Angaben zu Vor-/Nachnamen, Anschrift oder Kontaktdaten (Tel. E-Mail) in einem Kontaktformular oder einen Onlineshop gemacht werden. Denn auch die bei dem Besuch generierte IP-Adresse fällt unter die personenbezogenen Daten. Das zeigte sich z.B. im Rahmen von Filesharing-Abmahnungen, wenn nämlich über die IP-Adresse der Anschlussinhaber ermittelt wurde.  Auch werden über bestimmte Tools – nicht nur Google-Analytics, Matomo (piwik) und ähnliche, sondern selbst SchriftartenTools oder Google-Maps – die IP-Adresse sowie Nutzungszeiten und weitere Daten generiert (und auch an Dritte weitergereicht.Letzteres ist bei der Verlinkung auf Drittseiten von Bedeutung).
  3. Aber nicht nur im Internet, sondern auch „offline“ werden personenbezogene Daten sowohl im B2C-Bereich wie auch im B2B-Bereich generiert. Und zwar über unterschiedlichste Kanäle: Der Patient, der zwecks Vereinbarung eines Termins in einer Arztpraxis anruft und seinen Namen mitteilt, die Kundin, die bei einem Versandhandel eine telefonisch Bestellung abgibt. Die Bewerberin, die sich auf die Anzeige eines Unternehmens bewirbt, der Pharmavertreter, der in einer Apotheke seine Visitenkarte hinterlässt, die Messebesucherin, die an einem Gewinnspiel teilnimmt. Dieses sind nur einige Arten mittels derer personenbezogener Daten zur Verarbeitung kommen können..
  4. Die Unternehmen, die so personenbezogene  Daten in Erfahrung gebracht haben, müssen die jeweils betroffene Person (welche die Daten mitgeteilt hat), über die Verarbeitung der Daten informieren. Das hat über eine Datenschutzerklärung oder -information zu erfolgen. Die DSGVO bestimmt den Inhalt der Information (Art. 13 und 14 DSGVO). Außerdem legt sie fest, dass die betroffene Person spätestens zum Zeitpunkt der Datenverarbeitung zu informieren ist. Das ist bei einem Websitebesuch nicht problematisch. Hier ist die Datenschutzinformation auf eine Unterseite der Website zu stellen und deutlich darauf hinzuweisen (also bitte nicht irgendwo im Impressum oder unter anderen Punkten).
  5. Was aber, wenn der Patient/die Kundin in der Praxis/beim Versandhandel anrufen? Soll hier nun am Telefon die gesamte Information vorgelesen werden? Das ist wenig praxistauglich. Und auch die Aufsichtsbehörden sind hier zum Glück pragmatisch: So teilt die Bayerische Aufsichtsbehörde mit, dass Kunden, die bei einem Versandhandel anriefen, um etwas zu bestellen, wüssten, wen sie anriefen und auch, wozu ihre Angaben verwendet würden. Hier genüge es, wenn die Kunden dann im Rahmen der Bestellung, z.B. der Auftragsbestätigung oder mit Rechnungsversand, über die weiteren datenschutzrelevanten Informationen – Speicherdauer, Schutz der Daten, Widerspruchsrecht, sonstige Rechte – informiert würden.
  6. Sofern allerdings bei sog. unsicheren Zahlungsarten (also gegen Rechnung oder Lastschrifteinzug) eine Bonitätsprüfung vorgenommen wird, empfehle ich, dieses der/m jeweiligen Kundin/en bereits am Telefon mitzuteilen. Die/der Kundin/e hat dann immer noch die Möglichkeit, eine sichere Zahlungsart zu wählen.
  7. Bei Terminvereinbarungen perTelefon, sei es für einen Arzt-, Physio-, Werkstatt-, Friseur oder sonstigen Termin wird es ausreichend sein, wenn  beim (ersten) Besuch in der Praxis, Werkstatt o.ä. eine Datenschutzinformation übergeben oder jedenfalls deutlich erkennbar zur Kenntnis gebracht wird (z.B. durch einen Aushang – iIch empfehle allerdings schon aus Beweisgründen die Übergabe der Informationen an jede/n Patientin/en/Kundin/en).
  8. Wie sieht es beim Austausch von Visitenkarten im unternehmerischen Verkehr aus, z.B. auf Messen?. Soll nun schon am Messestand eine Datenschutzinformation übergeben werden? Ja, das empfehle ich jedenfalls denjenigen, die einen Messestand betreiben. Gleiches gilt z.B. bei dem Besuch von Handelsvertretern bei Unternehmen. Und zwar in beide Richtungen. sofern jeweils personenbezogene Daten aufgenommen werden (Vertreter XY gibt seine Daten an Einkaufsleiterin AB und erhält von dieser im Gegenzug deren direkte Kontaktdaten im Unternehmen = personenbezogene Daten).
  9. Bei außerhalb von Messeständen stattfindendem Austausch von Visitenkarten genügt die Zusendung der Datenschutzinformation, sobald die Daten der Visitenkarte in einer Kundendatei erfasst wurden. Hierbei ist es ohne Bedeutung, ob das allein schon durch das Ablegen der Visitenkarte in einem Karteikasten oder durch Übernahme in eine digitale Kundendatei erfolgt. Sofern auf der Visitenkarte auch eine E-Mailadresse vermerkt ist (was in der Tat immer noch nicht durchgehend der Fall ist), kann die Information per Email übersendet werden. Hier darf von der Einwilligung mit dem Emailversand ausgegangen werden. Andernfalls ist per Post zu übersenden, und zwar an die  betroffene Person direkt, also nicht an die Firma, deren Mitarbeiter/in diese Person möglicherweise ist.
  10. Auf Messen oder im Rahmen von besonderen Verkaufsveranstaltungen werden oft Gewinnspiele durchgeführt, um so Adressen (für Werbung) zu generieren. Hier hat der Veranstalter ohnehin nur das Recht, ausschließlich die Daten abzufragen, die für die Durchführung des Gewinnspiels erforderlich sind. Das ist grds. NICHT die Telefonnummer. Und auch beim Abfragen der Email-Adresse sollte Zurückhaltung gewahrt werden. Ich empfehle hier, die Einwilligung zur Kontaktaufnahme per Email zwecks Mitteilung  über einen möglichen Gewinn gesondert einzuholen: “ Ja, ich bin damit einverstanden, dass ich im Fall des Gewinns per Email infomiert werde“. Und natürlich darf die Email – wie auch alle anderen Daten – nur im Rahmen des Gewinnspiels verwendet werden. Möchten Sie die Teilnehmer auch für Werbezwecke anschreiben/kontaktieren, so muss hierfür zusätzlich die gesonderte und informierte Einwilligung eingeholt werden!! Es muss zudem deutlich sein, dass die Teilnahme am Gewinnspiel hiervon unabhängig ist.
  11. Die Bewerberin, die auf eine Anzeige – oder auch initiativ – eine Bewerbung abgibt, ist von dem Unternehmen nach Eingang der Bewerbung zeitnah darüber zu informieren, was mit ihren Daten passiert (und dass diese nach Abschluss des Bewerbungsverfahrens  gelöscht werden, sofern es nicht zu einer Anstellung kommt!).
  12. Und natürlich müssen auch die Beschäftigten eines Unternehmens eine Information darüber erhalten, wie/zu welchen Zwecken der Arbeitgeber die Daten verarbeitet. Das kann – zeitnah – im Rahmen der Aussendung der Gehaltsabrechnung erfolgen.
  13. Die Datenschutzinformation ist damit sicherlich häufiger zu erteilen als bislang von vielen Unternehmen – sei es vor allem den ganz kleinen, sei es den ausschließlich im B2B-Bereich tätigen Unternehmen – angenommen.
  14. Die Datenschutzerklärung ist zudem so zu erteilen, dass sie die wesentlichen Datenverarbeitungen erfasst. Wer also ein Kontaktformular auf seiner Website vorhält, hat dieses in der DSE zu erwähnen. Wer Bonitätsanfragen stellt, PayPal einsetzt, Inkassobüros beauftragt – also die Daten an Dritte, die nicht zwangsläufig mit der Vertragserfüllung in Verbindung gebracht werden, hat darüber zu informieren. Und erst recht ist darüber zu informieren, wenn Daten der betroffenen Person von Dritten bezogen werden. Darüber sollte sich jeder Verantwortliche klar sein. Und folglich nicht
  15. Die Pflicht zur Erteilung der Datenschutzinformatin sollte ernst genommen werden. Panik ist jedoch nicht angesagt. Die Aufsichtsbehörden wollen kein Unternehmen in den Ruin treiben. Gerade in der Anfangszeit der Anwendung  der DSGVO steht die Bereitschaft, Utnernehmen bei der Umsetzung zu unterstützen im Vordergrund. Allerdings sollte schon unternehmensseitig gezeigt/dargestellt werden, dass eine Umsetzung in gang gesetzt worden ist und der Datenschutz entsprechend ernst genommen wird.

Gern berate ich Sie, ob bzw. wem gegenüber Sie zur Erteilung von Datenschutzinformationen verpflichtet sind.