Leitfaden DSGVO – Thema: Einwilligung, Auftragsdaten und Rechte

Im Rahmen der Datenschutz-Grundverordnung ist es wichtig, die bisherigen Einwilligungserklärungen zu überprüfen und gegebenenfalls neu einholen. Auf was dabei alles geachtet werden muss, ist – neben den Auftragsdatenverarbeitungsvereinbarungen und die Rechte der Betroffenen – Thema im vierten Teil des DSGVO-Leitfadens für eine gute Compliance-Strategie.

Einwilligung als eigene Rechtsgrundlage

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge.

Sebastian Karch, Rechtsanwalt / Gesellschaftsrecht, Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft

Sebastian Karch, Rechtsanwalt / Gesellschaftsrecht, Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft

Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen, unter das „Kopplungsverbot“ zu fallen. Das heißt, es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Der Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch noch wirksam – allerdings nur, wenn diese den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn beispielsweise kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

Auftragsdatenverarbeitungsvereinbarungen abschließen

Verantwortliche können und sollten als mit den diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen beziehungsweise bereits bestehende Verhältnisse überprüfen (lassen).

Ob eine Auftragsdatenverarbeitung (Art. 28 DSGVO) vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden.

Als Faustregel sollte hierzu überlegt werden, ob das Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung.

Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel muss der Maklerpool konsultiert werden.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.

Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

Rechte der Betroffenen

Sämtliche Betroffenenrechte (Kapitel 3 DSGVO)müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten.

Zu informieren ist unter anderem über:

  • Name/Kontaktdaten des Verantwortlichen
  • Name/ Kontaktdaten des Datenschutzbeauftragten
  • Art der verarbeiteten Daten
  • Zweck der Datenverarbeitung
  • Art der Personen, deren Daten verarbeitet werden
  • Information darüber, ob Daten an Dritte weitergegeben werden
  • Information darüber, ob Daten in ein Drittland übermittelt werden
  • Angabe von Löschfristen
  • Informationen über die Rechte des Betroffenen in leicht verständlicher Form
  • Aufklärung über das Recht auf Widerruf der Einwilligung
  • Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.

Ist derjenige, der den Löschungsanspruch stellt, auch wirklich die betroffene Person. Wenn nicht, würden gerade durch die Löschung einen Datenschutzverstoß begangen werden.

Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann kann sich später noch gegen etwaige Ansprüche, zum Beispiel wegen Falschberatung, effektiv gewehrt werden. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

DSGVO-Leitfaden – Thema: Der Datenschutzbeauftragte

DSGVO-Leitfaden – Thema: Verzeichnis und Datenschutz-Folgenabschätzung

Leitfaden DSGVO – Thema: Technisch-organisatorische Maßnahmen

 

Bilder: (1) © Andrey Popov / fotolia.com (2) © Kanzlei Michaelis Rechtsanwälte Partnerschaftsgesellschaft

Themen: