EU-Datenschutz-Grundverordnung
Betroffenenrechte & Datenschutzerklärung nach DSGVO

Betroffenenrechte & Datenschutzerklärung nach DSGVO

Mit dem 25.05.2018 startet europaweit mit der EU-Datenschutzgrundverordnung, kurz: EU-DSGVO bzw. DSGVO, eine neue Datenschutz-Ära. Verstöße werden mit horrenden Bußgeldern bestraft: Bis zu 4 % des weltweiten Jahresumsatzes bzw. bis zu 20 Mio. Euro können Fehler kosten, Abmahnungen sind zudem mögliche Konsequenzen. Die von der Datenverarbeitung betroffenen Personen erhalten mit der DSGVO neue Rechte, die wir Euch eingangs vorstellen, bevor wir zu der Datenschutzerklärung kommen.

 

Betroffenenrechte: Auskunftsrecht betroffener Personen

Die DSGVO verfolgt das Ziel, die Rechte von Betroffenen zu stärken und Unternehmen bei Verstößen empfindlich zu treffen. Das Auskunftsrecht besteht bereits, ist jedoch nicht allzu beliebt bei Unternehmen. Art. 15 DSGVO besagt, dass sich Betroffene jederzeit Auskunft über gespeicherte Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen können. Darüber hinaus besteht das Recht, eine Kopie der eigenen Daten zu erhalten.

Ist der Datenbestand sehr groß, wie es beispielsweise bei sozialen Netzwerken der Fall ist, können Betroffene gebeten werden, die Auskunft auf bestimmte Datenarten oder Verarbeitungsverfahren zu reduzieren. Idealerweise sind Unternehmen darauf vorbereitet, solche Auskünfte per Knopfdruck zu generieren. Andernfalls können sehr viele Arbeitsstunden darauf verwendet werden, die Datensätze zusammenzustellen. Idealerweise wird also bereits die Software so programmiert, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind.

Eine solche Auskunft muss unverzüglich erfolgen – die Höchstdauer ist mit einem Monat angesetzt. Habt Ihr im Voraus bereits geplant, welche Daten Ihr herauslassen könnt, müsst Ihr im Nachhinein nichts aussieben. Trennt Informationen von Betroffenen von denen über Dritte oder Ihren Geschäftsgeheimnissen.

 

Identitätsprüfung von Auskunftssuchenden

Damit Ihr keinen direkten groben Datenschutzfehler macht, muss die Identität desjenigen geprüft werden, der Auskunft verlangt. Bei der Identitätsprüfung jedoch ist wieder Zurückhaltung gefragt. Das Gesetz erlaubt nämlich lediglich die Prüfung des Antragsstellers bei „berechtigten Zweifeln“ – und auch dann dürfen nur sehr sparsam Informationen angefordert werden.

Haben sich Kunden bereits per E-Mail verifiziert, weil sie Stammkunden sind, oder wurde eine Bestellung bereits per Kreditkarte oder Überweisung gezahlt, bestehen keine berechtigten Zweifel. Anders ist das in Fällen, in denen eine Auskunft über eine unbekannte E-Mail-Adresse angefordert wird.

Eine vollständige Kopie von Ausweis oder Führerschein übersteigt jedoch das Prinzip der Datensparsamkeit. Informationen, wie die Personalausweisnummer, sind unnötig. Eine Ausweiskopie wäre mit dem Zusatz rechtens, dass alle unnötigen Angaben geschwärzt werden. Wie Ihr seht: Der Aufwand wird nicht kleiner. Wie steht es da um Auskunftsgebühren?

 

Sind Gebühren rechtens?

Egal, wie hoch Euer Aufwand ist: Ihr dürft keine Kosten in Rechnung stellen. Eine Ausnahme existiert bei missbräuchlichem Vorgehen. Dies wäre etwa der Fall, wenn eine betroffene Person monatlich Auskunft ersuchen würde, ohne dass sich Änderungen im Datenbestand ergeben hätten. Somit wird es auch deutlich günstiger für Euch, wenn Ihr bereits jetzt beginnt, entsprechende Datensätze anzulegen.

Die Gebührenfrage erübrigt sich übrigens nicht nur für Auskunftsersuche, sondern auch für alle weiteren neuen Betroffenenrechte, die wir nun besprechen.

 

Widerspruchsrecht für Betroffene: Widerspruch gegen das Verarbeiten von personenbezogener Daten

Gemäß Art. 21 DSGVO können betroffene Personen Widerspruch gegen das Verarbeiten personenbezogener Daten einlegen. Dies kommt eher selten vor und richtet sich für gewöhnlich gegen Direktmarketingmaßnahmen. Wird ein solcher Widerspruch vorgelegt, muss dieser unbedingt umgesetzt werden.

Unternehmen können die Daten nur dann weiterverarbeiten, wenn sie geltend machen können, dass ohne die Datenverarbeitung schwerwiegende Nachteile entstehen. Dies wäre etwa dann so, wenn ein Kunde säumig mit der Zahlung wird und seiner Datenverarbeitung widerspricht. Das Gleiche gilt, wenn ein Kunde das Löschen seiner Daten beantragt.

 

Recht auf Vergessenwerden: Löschung personenbezogener Daten

Das „Recht auf Vergessenwerden“ begegnet uns mit der DSGVO erstmalig. Dieses Recht dient dem Reputationsschutz von Betroffenen. Schon jetzt wird dieses Recht von den Suchmaschinen umgesetzt. Jüngst wurde der Suchmaschinenriese Google in die Pflicht genommen, Informationen über Insolvenzen zu löschen.

Auch hier wird es Euch als Unternehmer nicht allzu einfach gemacht. Denn dieses Recht auf Vergessenwerden muss mit öffentlichen Interessen, mit Meinungsfreiheit, sowie mit den Kosten zum Durchführen der Löschung abgewogen werden. Dieses Recht ist bislang sehr diffus, die Praxis wird ab Mai 2018 weitere Details zutage fördern. Denn Daten werden sicherlich in der Praxis eher gelöscht, als sich auf lange Diskussionen über eventuelle Meinungsfreiheit und womöglich folgende Strafen einzulassen.

 

Recht auf Datenübertragbarkeit

Jetzt wird es brisant, denn beim Recht auf Datenübertragbarkeit geht es weniger um den Datenschutz, sondern eher um Eigentum an den Daten. Art. 20 DSGVO erklärt das Recht auf Datenportabilität, also Datenübertragbarkeit. Dieses Recht erlaubt es Nutzern, sich den Transfer der eigenen Daten an Dritte zu wünschen. Diese können auch Konkurrenzunternehmen sein.

Als Beispiel nehmen wir an, Ihr möchtet von Eurem aktuellen Steuerberater zu einem anderen wechseln. Euer bisheriger Steuerberater ist nun in der Pflicht, all Eure Daten maschinenlesbar an den neuen Steuerberater zu übertragen – und zwar lückenlos. Was beim Steuerberater zwar aufwendig, aber machbar klingt, erscheint beim Wechsel von einem Social Network zum anderen fast schon unüberwindbar. Auch die Interessen eines Unternehmens müssen beachtet werden. Der Steuerberater etwa könnte sich mit einem Verweis auf die entstehenden Kosten weigern, die Daten dem Konkurrenten bereitzustellen.

Betroffen sind ausschließlich jene Daten, die beim Schließen des Vertrags bereitgestellt wurden. Der Steuerberater muss also die Vertragsdaten, sowie die Bilanzen der letzten Jahre herausgeben, nicht aber seine für Werbezwecke gespeicherten Daten. Auch hier lohnt es, auf etwaige Datenübertragungen schon jetzt vorbereitet zu sein. Beginnt Ihr erst in letzter Minute, kann der Aufwand für die ersten Datenübertragungen immens hoch werden.

 

Datenschutzerklärung laut DSGVO

Vollständig und verständlich – diese beiden Attribute werden von einer Datenschutzerklärung gefordert. Das ist nach geltendem Recht schon fast widersprüchlich. Art. 13 und 14 DSGVO besagen jedoch, dass Betroffene über die Verarbeitung der eigenen Daten informiert werden müssen. Die Datenschutzerklärung ist besonders online die ideale Informationsquelle.

Die Datenschutzerklärung muss leicht zugänglich sein, sie muss präzise formuliert werden, transparent und verständlich sein. Rechtsanwalt Dr. Schwenke hat eine Muster-Datenschutzerklärung bereitgestellt, an der Ihr Euch orientieren könnt.

Die folgenden Inhalte müssen in der Datenschutzerklärung enthalten sein:

  • Name/ Firma & Adresse
  • Kontaktangaben, z. B. E-Mail-Adresse
  • E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden
  • Welche Daten für welche Zwecke verarbeitet werden. Heißt konkret: Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davon betroffen sind. Z. B. muss die Weiterleitung der Adresse an das Logistikunternehmen benannt werden, wenn Waren versendet werden.
  • Werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese Interessen benannt werden. Im Falle von Marketingmaßnahmen wären dies etwa „wirtschaftliche Interessen“.
  • Es müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden.
  • Der Zeitpunkt der Löschung personenbezogener Daten muss angegeben werden.
  • Teilt der Nutzer die Daten nicht selbst mit, muss die Datenquelle benannt werden.
  • Sämtliche Rechte des Nutzers müssen benannt werden. Besondere Aufmerksamkeit erhält das Widerspruchsrecht; dieses muss gesondert aufgeführt werden und erhält idealerweise einen eigenen Unterpunkt.

 

DSGVO: Jetzt starten & rechtssicher agieren

Ihr sehr: Allein die Betroffenenrechte und die Datenschutzerklärung sind riesige Bausteine der DSGVO. Fang spätestens jetzt mit den Vorbereitungen zur Datenschutzgrundverordnung an! Damit Ihr wisst, was noch zu tun ist, haben wir eine Informationsseite für Euch eingerichtet. Bei Fragen könnt Ihr jederzeit vertrauensvoll an uns wenden – wir beraten Euch gerne!

One Reply to “Betroffenenrechte & Datenschutzerklärung nach DSGVO”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert