Die größten Mythen der DSGVO – und was wirklich stimmt…

Fragen und Antworten zum europäischen Datenschutzrecht...

Werbung
Die Implementierung der DSGVO lässt für kleine Unternehmen oft viele Fragen offen. Wir liefern die Antworten.
Die Implementierung der DSGVO lässt für kleine Unternehmen oft viele Fragen offen. Wir liefern die Antworten.
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…

DSGVO – wer jetzt noch die Frage nach dem „Was ist das ?“ stellt, hat die vergangenen Wochen und Monate ganz augenscheinlich nicht auf der Erde verbracht (naja, oder zumindest außerhalb von Europa); denn allerorts wurde das Thema DSGVO heiß diskutiert:

Sachlich, kontrovers, emotional – und manchmal glänzten viele der oft selbsternannten Experten durch gefährliches Halbwissen oder gar ganze Lügen.

Höchste Zeit also für einen kleinen Faktencheck zur europäischen Datenschutz-Grundverordnung !

Wir beleuchten im folgenden die am häufigsten diskutierten Fragen und räumen mit einigen Missverständnissen hinsichtlich Implementierung der DSGVO auf.

Gilt die DSGVO auch für Kleinunternehmer, private Websites und Vereine ?

Artikel 2 DSGVO legt den sachlichen Anwendungsbereich fest und definiert auch einige Ausschlüsse. Für diese Frage besonders interessant ist Absatz 2. Dort heißt es unter anderem:

„Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten […] durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“

Ihre private Website mit Familienfotos vom letzten Urlaub oder der großen Geburtstagsparty benötigt also keine Datenschutzerklärung. Davon ausgenommen sind natürlich alle Fälle, in welchen Dritte auf Ihrer Website Daten sammeln – und sei es nur der eigene Webhoster. Im Zweifel: Nachfragen.

Problematisch wird es auch, sobald mit der Website Geld verdient werden soll. Und hier ist der Gesetzgeber besonders streng, denn sogar die Nutzung von Linkpartner-Programmen oder das Werbebanner des kostenlosen Hosting-Anbieters zählt als kommerzielle Nutzung.

Damit beantwortet sich nebenbei gleich die Frage, ob die DSGVO für Kleinunternehmer gilt ? Ja !

Vereine müssen sich ebenfalls an die DSGVO halten. Sie mögen zwar keine Gewinnerzielungsabsichten verfolgen, verarbeiten aber definitiv personenbezogene Daten ihrer Mitglieder. Außerdem findet die in Art. 2 Abs. 2 DSGVO definierte Ausnahme nur auf natürliche Personen Anwendung.

Braucht meine Firma jetzt ab sofort einen eigenen Datenschutzbeauftragten ?

Ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt ist in Artikel 37 DSGVO geregelt. Die Benennung eines Datenschutzbeauftragten wird zur Pflicht, wenn mindestens einer der folgenden Punkte zutrifft:

  • Es sind mindestens zehn Personen regelmäßig mit Aufgaben im Bereich der Verarbeitung personenbezogener Daten betraut.
  • Es werden Daten „besonderer Kategorien“ verarbeitet. Dazu zählen alle sensiblen Daten wie ethnische Herkunft, politische oder religiöse Ansichten, Gesundheit und Sexualität.
  • Die Kerntätigkeit des Unternehmens umfasst die Nutzung personenbezogener Daten; darunter fallen Auskunfteien, Adresshändler, aber auch Markt- und Meinungsforschungs-Institute.

Für die meisten kleineren Unternehmen, Selbständige und Freiberufler entfällt daher die Pflicht zur Beauftragung eines Datenschutzbeauftragten. Im Zweifelsfall sollte man jedoch immer bei der entsprechenden Datenschutzbehörde nachfragen.

Ist die Verlinkung zu meinem Profil in Facebook, Google+ oder Xing ein Fall für die Datenschutzerklärung ?

Nein. Das Setzen von Links – egal zu welcher Website – muss nicht mit einem Eintrag in die Datenschutzerklärung geadelt werden. Falls Sie also nur auf Ihr Unternehmensprofil in einem sozialen Netzwerk verlinken wollen, dann können Sie dies bedenkenlos tun.

Sobald allerdings Plugins wie „Gefällt mir“-Buttons oder Livestreams sozialer Medien zum Einsatz kommen, muss dies in der Datenschutzerklärung aufgeführt sein – denn dabei werden in den allermeisten Fällen personenbezogene Daten an den Anbieter übermittelt.

Tipp: Nutzen Sie datenschutzfreundliche Implementierungen von Social-Media-Buttons (z.B. Shariff 1]).

Müssen Kontaktformulare mit einer Checkbox die Einwilligung zur Datenverarbeitung einholen ?

Diese Frage wird kontrovers diskutiert und lässt sich leider nicht eindeutig beantworten. Die Tendenz geht jedoch derzeit in die Richtung, daß keine explizite Einwilligung erforderlich ist (wohl aber entsprechende Erläuterungen in der Datenschutzerklärung).

Die Zulässigkeitstatbestände in Artikel 6 DSGVO legen nämlich neben der expliziten Einwilligung des Betroffenen weitere Möglichkeiten fest: Beispielsweise die Verarbeitung zur Erfüllung von Verträgen oder die Verarbeitung zur Wahrung eigener berechtigter Interessen.

Daraus ließe sich ein legitimes Interesse des Empfängers an der Verarbeitung der übermittelten Formulardaten ableiten; noch dazu, da selbige auf Initiative des Absenders übergeben wurden.

Ausnahmen bilden jedoch die Abfrage besonders schutzwürdiger Daten (z.B. Angaben zur Gesundheit), ebenso die Erhebung von Daten, die erwartungsgemäß für die Bearbeitung einer üblichen Kontaktanfrage nicht erforderlich sind.

Grundsätzlich vertritt man den Standpunkt des „gesunden Menschenverstands“: Der Nutzer eines Formulars muss vernünftigerweise annehmen, daß eine automatisierte Datenverarbeitung erfolgt.

Best-Practices bei der Nutzung von Kontaktformularen:

  • Formulare ausschließlich auf TLS-verschlüsselten Websites einbinden, um so eine sichere Datenübertragung zu gewährleisten.
  • Den Grundsatz der Datensparsamkeit beachten und nur absolut notwendige Daten für die Bearbeitung der Anfrage erheben (insbesondere, wenn diese als Pflichtfelder gekennzeichnet sind).
  • In die Datenschutzerklärung einen eigenen Abschnitt zum Thema „Kontaktformular“ einfügen und dort Informationen zur Verarbeitung der so erhaltenen personenbezogenen Daten bereitstellen:
    • Welche Daten werden für welchen Zweck erhoben ?
    • Wie lange werden die Daten gespeichert ?
    • Können Dritte auf die Daten zugreifen ?

Ob es Sinn macht, eine Checkbox mit Einwilligungstext in das Formular einzufügen, bleibt jedem selbst überlassen. Einerseits erscheint es unnötig, andererseits sollte es aber auch nicht schaden.

Dürfen Firmen mit ihren Kunden über Instant Messenger kommunizieren ?

Instant-Messaging-Dienste wie WhatsApp, Threema, Telegram und Signal erfreuen sich großer Beliebtheit. Denn ihre Nutzung ist in vielen Fällen kostenlos und sie erlauben neben der reinen Textübermittlung auch das Senden von Bildern und Sprachnachrichten.

Aus datenschutzrechtlicher Sicht sind Instant Messenger jedoch mit Vorsicht zu genießen, da hier oftmals personenbezogene Daten an die Betreiber zu Marketing- und Statistikzwecken weitergegeben werden.

Möchten Sie auf die dienstliche Nutzung von Instant Messengern nicht verzichten, muss auf alle Fälle die Zustimmung der jeweiligen Kunden eingeholt werden.

Achtung: Manche Messaging-Dienste rufen Ihr gesamtes Adressbuch ab und integrieren alle Kontakte ungefragt in ihre Datenbanken; mitunter ist es also zwingend erforderlich, ein eigenes Endgerät für die Nutzung von Messenger-Diensten vorzuhalten.

Die bessere Alternative stellen nachwievor SMS und E-Mail dar, da Sie hier die Kontrolle über die Nachrichtenwege besitzen bzw. systemimmanent keine Marketingdaten von Dritten erhoben werden.

Sie haben weitere Fragen ? Her damit !

Unsere Redaktion freut sich auf Ihre Rückmeldungen – und Ihre weiteren Fragen zur DSGVO. Gerne behandeln wir diese dann in weiteren Artikeln unserer Serie zur Datenschutzgrundverordnung.

Sie erreichen uns bequem (und datenschutzkonform) via E-Mail an info@14all.eu.


1] Dies ist ein Link zu einem externen Anbieter.

Stand der Informationen: Mai 2018
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag !

Werbung