DSGVO: Ausgewählte FAQs

Die DSGVO gilt für alle Stellen, für Behörden (öffentliche Stellen) genauso wie für Unternehmen (nicht öffentliche Stellen). Sobald personenbezogene Daten (zum Beispiel Adressen, Bankverbindungen, Geburtsdaten, Bewerbungsbögen, Telefonnummern, E-Mail-Adressen) erhoben, verarbeitet, weitergeleitet oder gelöscht werden, müssen die geltenden Pflichten und Regeln zum Thema Datenschutz angewendet werden, unabhängig von der Anzahl der Mitarbeiter. Die DSGVO betrifft demzufolge auch Einzelunternehmen und den B2B-Bereich.

Ich bin Einzelmakler und verarbeite Gesundheitsdaten. Benötige ich einen Datenschutzbeauftragten?

Norman Wirth, Rechtsanwalt, Fachanwalt für Versicherungsrecht, Datenschutzbeauftragter (TÜV®), Wirth-Rechtsanwälte PartmbB

Einen Datenschutzbeauftragten benötigen Sie nur, wenn Sie sehr umfangreich (massenhaft) Gesundheitsdaten verarbeiten. Das machen regelmäßig nur Krankenhäuser oder Suchmaschinen. Auch die Verarbeitung von Gesundheitsdaten im durchschnittlichen Bereich bei BU- oder PKV-Vermittlung ändert daran nichts.

Nach derzeitigem Stand besteht daher für Einzelmakler keine Pflicht für einen Datenschutzbeauftragten. Gleiches gilt auch für Vermittlerunternehmen mit weniger als 10 Mitarbeitern, die Daten verarbeiten. Wer doch einen externen Datenschutzbeauftragten benötigt, findet unter anderem bei der VerDat24 GmbH eine preiswerte Lösung.

Welche Form muss die Einwilligung in die Datenverarbeitung haben?

Wir empfehlen die elektronische oder schriftliche Form. Eine Einwilligung per E-Mail reicht aus, wenn zum Beispiel der Kunde nach einem Telefonat und anschließender Zusendung einer E-Mail seine Zustimmung per E-Mail erteilt. Sie benötigen in diesem Fall keine Unterschrift des Kunden. Protokollieren Sie die Zustimmung in seiner Kundenakte.

Muss ich die Einwilligungen von Bestandskunden erneuern?

Wenn Sie eine rechtswirksame Einwilligungserklärung Ihrer Kunden haben, müssen Sie keine neue Einwilligung einholen. Dennoch können Sie Ihre Bestandskunden über die geänderten Informationspflichten und die insoweit neuen Datenschutzhinweise in Kenntnis setzen. Dies kann auch per E-Mail erfolgen.

Welche Rechte haben Betroffene?

Recht auf Auskunft

Jede betroffene Person (Beispiel: Kunde) kann mit einem formlosen Antrag eine Auskunft über alle bei Ihnen gespeicherten personenbezogenen Daten sowie insbesondere eine Kopie dieser Daten verlangen.

Recht auf Berichtigung

Mit diesem Recht kann die betroffene Person (Beispiel: Kunde) von Ihnen unverzüglich die Berichtigung unrichtiger eigener personenbezogener Daten verlangen.

Recht auf Löschung/Recht auf Vergessenwerden

Auf Verlangen der betroffenen Person (Beispiel: Kunde) sind sämtliche personenbezogene Daten zu löschen, soweit nicht gesetzliche Aufbewahrungspflichten oder eigene berechtigte Interessen (Geltendmachung oder Abwehr von Ansprüchen) entgegenstehen. Außerdem müssen Sie sicherstellen, dass auch Dritte, denen Sie die Daten weitergegeben haben, dem Löschungswunsch Folge leisten.

Recht auf Einschränkung

Unter bestimmten Voraussetzungen ist die Verarbeitung der Daten auf Antrag des Betroffenen einzuschränken. Dies hat unter anderem für die Dauer der Aufklärung der Richtigkeit der Daten zu erfolgen.

Recht auf Datenübertragbarkeit

Jede betroffene Person (Beispiel: Kunde) hat ein Recht darauf zu verlangen, dass Sie sämtliche Daten so zur Verfügung stellen, dass diese problemlos zum Beispiel zu einem Wettbewerber „mitgenommen“ werden können. Die betroffene Person hat sogar das Recht, dass Sie die Daten unmittelbar an einen anderen (zum Beispiel einen Wettbewerber) weitergeben.

Widerspruchsrecht

Mit dem Widerspruchsrecht kann die betroffene Person (Beispiel: Kunde) der Verarbeitung der eigenen Daten zu Werbezwecken widersprechen. Bei Vorliegen besonderer Gründe kann auch einer ursprünglich rechtmäßigen Verarbeitung widersprochen werden.

Automatisierte Entscheidung im Einzelfall

Jede betroffene Person hat das Recht, dass keine Entscheidung über sie erfolgt, die ausschließlich auf einer automatisierten Verarbeitung basiert (Beispiel: Bonitätsprüfung und -einstufung ausschließlich auf Grundlage automatisierter Verarbeitungen).

Recht auf Widerruf einer Einwilligung

Jede betroffene Person hat das Recht, eine einmal erteilte Einwilligung jederzeit zu widerrufen. Dies muss genauso einfach möglich sein wie die Einwilligung selbst.

Sollte man 16-Jährige separat einwilligen lassen oder kann die Einwilligung in die Einwilligungserklärung der Eltern aufgenommen werden?

Wir empfehlen, die Einwilligung der Eltern einzuholen, da die Altersgrenze der DSGVO sich vorrangig auf Dienste der Informationsgesellschaft bezieht. Außerdem ist für den reinen Vertragsschluss gemäß § 104 ff. BGB ohnehin die elterliche Unterschrift erforderlich.

Reicht es aus, wenn der Kunde seine Einwilligungserklärung per E-Mail abgibt?

Es reicht, wenn der Kunde seine Zustimmung per E-Mail erteilt. Sie benötigen in diesem Fall keine Unterschrift des Kunden. Protokollieren Sie die Zustimmung in seiner Kundenakte.

Wie muss ich E-Mails verschlüsseln: Reicht eine vorhandene SSL-Verschlüsselung der ausgehenden E-Mail aus?

Die Transportverschlüsselung von E-Mails mit TLS ist für die reine Kommunikation, also den Text der E-Mail sowie die genutzten Kontaktdaten, ausreichend.

Wie muss die Verschlüsselung von E-Mail-Anhängen erfolgen?

Sobald Sie Mails versenden, in denen personenbezogene Daten enthalten sind, wie Anträge, Fragebögen oder Ähnliches, empfehlen wir, diese Anhänge mit einer gängigen Verschlüsselungsmethode zu sichern.

Mit wem muss ich einen Auftragsverarbeitungsvertrag (AVV) abschließen?

Einen solchen Vertrag müssen Sie mit Personen oder Firmen schließen, die in Ihrem Auftrag personenbezogene Daten verarbeiten, zum Beispiel das Büro, das Ihre Lohnabrechnung übernimmt, der Aktenvernichter, der IT-Dienstleister et cetera.

Die Tätigkeiten und damit verbundene Verarbeitung personenbezogener Daten von Berufsgeheimnisträgern (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer) stellen keine Auftragsverarbeitung dar, deshalb benötigen Sie hier keinen Nachweis.

Muss ich mit Google, Microsoft, Telekom (Telefon und E-Mail-Adressen) einen Auftragsverarbeitungsvertrag schließen?

Wenn Sie Google, Microsoft oder die Telekom nicht mit der Verarbeitung sensibler Daten (Erhebung, Speicherung et cetera) beauftragt haben, benötigen Sie keinen solchen Vertrag.

Darf ich WhatsApp weiterhin für die Kundenkommunikation nutzen?

Grundsätzlich ist eine rechtskonforme Nutzung des Messengerdienstes wohl möglich. Es ist jedoch erforderlich, dass Sie von JEDEM geschäftlichen Kontakt eine Einwilligung einholen, dass seine Daten an WhatsApp übermittelt werden dürfen, INSBESONDERE wenn dieser Kontakt WhatsApp selber nicht nutzt. WhatsApp greift nämlich ALLE Kontaktdaten aus dem Telefonbuch des Nutzers ab.

Außerdem ist von denjenigen Kontakten, mit denen Sie Daten, wie Bilder oder Ähnliches via WhatsApp tauschen wollen, ebenfalls eine Einwilligung zur Weitergabe dieser Daten an WhatsApp erforderlich.

Soweit Sie nicht von ALLEN dienstlichen Kontakten eine Einwilligung vorliegen haben, müssen Sie WhatsApp von diesem Handy entfernen. Die Nutzung eines Diensthandys, auf dem ausschließlich Kontakte liegen, die Ihnen eine Einwilligung erteilt haben, wäre die Konsequenz. Vor diesem Hintergrund halten wir eine berufliche Nutzung von WhatsApp derzeit für nicht empfehlenswert.

Muss meine Reinigungskraft auch die Verpflichtungserklärung für Mitarbeiter unterzeichnen?

Die Reinigungskraft sollte keinen Zugang zu personenbezogenen Daten haben, wir empfehlen Ihnen eine Clean Desk Policy, eine Verpflichtungserklärung ist demzufolge nicht notwendig.

Gibt es eine Übersicht über die jeweiligen Aufsichtsbehörden der einzelnen Bundesländer?

Eine Übersicht aller Landesdatenschutzbehörden finden Sie unter folgendem Link:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/Landesdatenschutzbeauftragte/Landesdatenschutzbeauftragte_liste.html

Norman Wirth, Rechtsanwalt, Fachanwalt für Versicherungsrecht, Datenschutzbeauftragter (TÜV®), Wirth-Rechtsanwälte PartmbB

Mehr spannende Themen im experten Report 11/18

 

Bilder: (1) © bahrialtay / fotolia.com (2) © Wirth-Rechtsanwälte PartmbB  (3) experten-netzwerk GmbH