DSGVO FAQ

Frequently asked questions zur EU-Datenschutzgrundverordnung

Wir haben eine Übersicht wichtiger Themen und häufig gestellter Fragen zur DSGVO für Sie zusammengestellt und im Detail beantwortet:

WAS IST DIE DSGVO?

Die DSGVO wird die Datenschutzrichtlinie 95/46/EG von 1995 ersetzen und den Schutz und die Rechte des Einzelnen verbessern. Die Verordnung schafft ein sichereres Umfeld für die Verbraucher und ihre Daten, indem sie die Menge der Daten, die gesammelt werden dürfen, sowie die Art und Weise, wie sie verwendet werden und wie lange sie gespeichert werden können, begrenzt.

INWIEFERN UNTERSCHEIDET SICH DIE DSGVO VON BESTEHENDEN VERORDNUNGEN?

Die DSGVO vereinheitlicht rechtliche Rahmenbedingungen und verpflichtet alle Länder zur Einhaltung der gleichen Regeln, wenn es um die Verwendung personenbezogener Daten geht. Trotzdem setzt jedes Land die Datenschutzrichtlinie in Teilen unterschiedlich um, so dass die rechtlichen Bestimmungen innerhalb der EU unterschiedlich ausfallen und somit schwerer zu verstehen und umzusetzen sind.

MUSS ICH MICH MIT DER DSGVO BESCHÄFTIGEN, WENN ICH MEINEN SITZ NICHT IN DER EUROPÄISCHEN UNION HABE?

Kurz gesagt, ja. Zumindest dann, wenn Ihr Unternehmen mit Verbrauchern in der EU kommuniziert, oder wenn Sie personenbezogene Daten von EU-Bürgern verarbeiten oder speichern. In diesem Fall wird die DSGVO Sie betreffen.

WAS SIND „PERSONENBEZOGENE DATEN“?

Als personenbezogene Daten gelten alle Informationen, die sich auf eine direkt oder indirekt identifizierbare Person beziehen. Dabei kann es sich um einen Vornamen, eine E-Mail-Adresse, ein Foto, eine Bankverbindung, Kreditkarteninformationen, Beiträge aus Social Media, die Krankengeschichte, eine IP-Adresse und vieles mehr handeln.

MIT WELCHEN KONSEQUENZEN MÜSSEN UNTERNEHMEN RECHNEN, DIE NICHT DSGVO-KONFORM HANDELN?

Unternehmen, die sich nicht an die neuen Vorschriften halten, drohen saftige Geldstrafen. Die Bußgelder werden in Abhängigkeit vom Ausmaß der Zuwiderhandlung verhängt. Die maximale Geldbuße, die einer Firma auferlegt werden kann, beträgt 4% des globalen Jahresumsatzes, oder 20 Millionen Euro.

WIE WIRD DIE HÖHE DER GELDBUSSE ERMITTELT?

Gemäß der DSGVO sollen Geldbußen wirksam, verhältnismäßig und abschreckend sein. Sie sollen aber gleichzeitig die Maßnahmen berücksichtigen, die das Unternehmen tatsächlich zur Einhaltung der DSGVO-Vorgaben unternommen hat. Mit anderen Worten: Wenn sich Ihr Unternehmen nicht auf die DSGVO vorbereitet und dann einen umfassenden Datenverlust erleidet, werden Sie mit hohen Geldstrafen rechnen müssen. Wenn Sie sich aber so auf DSGVO vorbereiten, dass Sie nahezu gesetzeskonform agieren, wird die Geldbuße in einem angemessenen Verhältnis dazu stehen. Die Entscheidung über etwaige Geldbußen treffen die örtlichen Aufsichtsbehörden.

WAS SIND DIE VORAUSSETZUNGEN, UM SICH DSGVO-KONFORM ZU VERHALTEN?

Um den neuen Bestimmungen zu entsprechen, sollten Sie folgende Punkte sicherstellen:

  • Verbessern Sie die Rahmenbedingungen zum Erteilen einer Einwilligung.
  • Benachrichtigen Sie Ihre Kontakte innerhalb von 24 Stunden über ein etwaiges Datenleck.
  • Stellen Sie Nutzern auf Anfrage eine Kopie ihrer persönlichen Daten in elektronischer Form zur Verfügung.
  • Löschen Sie Nutzerdaten, wenn Sie sie nicht länger benötigen, oder wenn der Nutzer dies wünscht.
  • Ermöglichen Sie es Nutzern, ihre Daten von Ihrem Unternehmen an ein anderes zu übertragen.
  • Bauen Sie Daten fest in die Systeme ein, anstatt sie als Add-On oder nachträglich zu integrieren.
  • Beauftragen Sie einen Datenschutzbeauftragten, wenn Ihr Unternehmen bestimmte Kriterien erfüllt.

MUSS ICH EINEN DATENSCHUTZBEAUFTRAGTEN (DSB) BESCHÄFTIGEN?

Handelt es sich bei einer Organisation um eine Behörde, die regelmäßig Personen in großem Stil überwacht, oder um eine Organisation, die spezielle Datenkategorien wie medizinische Daten oder Informationen über strafrechtliche Verurteilungen verarbeitet, dann verlangen die neuen Vorschriften, dass ein DSB beauftragt wird.

WAS IST EINE GÜLTIGE EINWILLIGUNG?

Die DSGVO verlangt eine gültige Einwilligung (auf die Erhebung von Daten) von allen neuen und bestehenden Kontakten. Auf Verlangen müssen Sie nachweisen, dass Ihnen eine Zustimmung zur Verwendung personenbezogener Daten vorliegt. Betrachten Sie folgenden Szenarien:

  • Bestandskunden (Käufer): Die Einwilligung wird im Rahmen „bestehender Kundenbeziehungen“ als gegeben vorausgesetzt. Beachten Sie jedoch, wie lange die Beziehungen zukünftig als „gültig“ angesehen werden können und ob der Kommunikationsinhalt auf die bestehenden Beziehungen beschränkt werden sollte (z.B. nach § 7 Abs. 3 UWG).
  • Ehemalige Kunden: Ein Unternehmen ist ab sofort nicht mehr dazu berechtigt, personenbezogene Daten ohne Einwilligung, aktive Kundenbeziehung oder laufenden E-Mail-Verkehr aufzubewahren.
  • Aktive E-Mail-Abonnenten ohne nachweisbare Einwilligung: Um weiterhin Werbung versenden zu können, müssen Sie darlegen, dass Ihr Marketing-Programm einen Mehrwert für die Empfänger bietet und diese Personen als „bestehende Kundenbeziehungen“ einstuft.
  • Inaktive E-Mail-Abonnenten: Sie sollten Kontaktdaten nicht ohne aktuelle Einwilligung, Kundenbeziehung oder laufende E-Mail-Aktivitäten speichern.
  • Neukunden / E-Mail-Abonnenten: Sie sollten den Wortlaut der Einwilligungserklärung sowie das Erteilen der entsprechenden Einwilligung für jeden Kunden speichern (z.B.: Diese Person hat dieses Kästchen am Tag X um XX:XX Uhr von der IP-Adresse Y angekreuzt und somit der Datenverarbeitung in der Z-Erklärung zugestimmt).

WAS SIND DIE SECHS RECHTSGRUNDLAGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN?

Gemäß der neuen DSGVO dürfen Organisationen personenbezogene Daten nur dann verarbeiten, wenn eine der folgenden Rechtsgrundlagen erfüllt ist:

  • Einwilligung: Nutzer müssen eine gültige Einwilligung in klarer und eindeutiger Sprache erteilen, bevor Unternehmen ihre Daten verarbeiten dürfen.
  • Vertrag: Der Nutzer ist Unterzeichner (oder Betroffener) eines Vertrages, für dessen Erfüllung das Unternehmen bestimmte Daten verarbeiten muss.
  • Erfüllung einer gesetzlichen Verpflichtung: Das Unternehmen ist aufgrund einer rechtlichen Auflage dazu verpflichtet, bestimmte Daten zu verarbeiten.
  • Lebenswichtige Interessen: Die Verarbeitung von Daten ist zum Schutz lebenswichtiger Interessen des Einzelnen oder einer anderen natürlichen Person zwingend erforderlich.
  • Öffentliches Interesse: Daten, die im Rahmen einer im öffentlichen Interesse ausgeführten Aufgabe verarbeitet werden.
  • Berechtigtes Interesse: Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen / aus Sicherheitsgründen.

WAS BEDEUTET „BERECHTIGTES INTERESSE“?

Das berechtigte Interesse ist eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO. Die DSGVO erklärt hierzu, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann].“ Einige Marketer interpretieren diese Regelung dahingehend, dass das Versenden von Werbematerialien an Kontakte auch ohne signifikante Anpassungen bzw. Änderungen nach wie vor rechtmäßig sei.

Sie sollten sorgfältig abwägen, ob das „berechtigte Interesse“ die beste Grundlage für Ihre Marketingkommunikation ist. Sobald Sie dies getan haben, müssen Sie folgendes sicherstellen:

  • Erklären Sie, wie oder warum Sie die persönlichen Daten einer Person benötigen, wenn Sie diese sammeln.
  • Verwenden Sie einen mehrschichtigen Datenschutzhinweis.
  • Informieren Sie Einzelpersonen darüber, was nach der Datenerfassung mit ihren Daten geschieht.
  • Bieten Sie Nutzern die Möglichkeit, dem Erhalt von Werbung zu widersprechen.
  • Sammeln Sie nur benötigte Daten und löschen Sie diese, sobald der Nutzer dies einfordert.

Sie müssen nachweisen können, dass die oben genannten Bedingungen für alle Daten (bestehende + neue), die Sie unter Berufung auf das „berechtigte Interesse“ verwenden, eingehalten werden.

Ein allgemeines Interesse am Erhalt von Werbematerialien ist keine ideale Grundlage, um sich auf das „berechtigte Interesse“ zu berufen. Verwenden Sie stattdessen, wo immer möglich, die Einwilligung als Grundlage.

MUSS ICH MEINE DATENSCHUTZERKLÄRUNG ANPASSEN?

Das kommt darauf an. Wie bereits erwähnt, verlangt die DSGVO von Unternehmen mehr Transparenz in Bezug auf die Einwilligung. Es ist sicherzustellen, dass die zustimmende Person eine „informierte Einwilligung“ erteilt und dass der Nutzer versteht, wer seine Daten verwendet und warum.

Plant ein Unternehmen, seine erfassten Daten für mehr als einen Zweck zu verwenden, muss das Unternehmen dies kenntlich machen und für jeden Zweck eine Einwilligung einholen. Die Verarbeitung darf nur für die Zwecke erfolgen, für die eine Zustimmung erteilt wurde.

Ihre Datenschutzbestimmungen müssen klar und verständlich sein und sollten darlegen, wer die Daten sammelt und welche Kontrolle der Verbraucher über seine Daten hat. Sie müssen zudem kenntlich machen, wie lange die Daten aufbewahrt werden.

Sie sollten sämtliche Datenschutzrichtlinien, Einwilligungsinformationen und Protokolle Ihrer Datenverarbeitung(en) archivieren, um nachzuweisen, dass Sie sich an die von dem jeweiligen Verbraucher erteilte Erlaubnis halten.

WIE KANN ICH ÜBERPRÜFEN, OB ICH DIE VORSCHRIFTEN EINHALTE?

Prüfen Sie anhand dieser kurzen Checkliste, ob Sie bereit für die DSGVO sind:

  • Überprüfen Sie Ihre Daten (welche Daten besitzen Sie, wo werden Daten gespeichert, etc.).
  • Führen Sie eine Datenschutz-Folgenabschätzung durch (falls erforderlich)
  • Legen Sie für jeden Datensatz die rechtmäßige Verarbeitungsgrundlage fest.
  • Entscheiden Sie, ob und wie Sie eine Einwilligung aktualisieren, um den zukünftigen Anforderungen zu entsprechen.
  • Prüfen Sie alle Online-/Offline-Datenquellen auf DSGVO-Konformität.
  • Aktualisieren Sie Ihre Datenschutzrichtlinien.

HAFTUNGSAUSSCHLUSS – Die Materialien in diesem Artikel stellen keine Rechtsberatung dar und werden nur zu allgemeinen Informationszwecken zur Verfügung gestellt.