Hey, super das du wieder dabei bist. Dann widmen wir uns also noch einmal unserer lieben DSGVO. Datenschutz ist für die meisten unter uns kein besonders spaßigen und interessantes Thema. Ich entschuldige mich schon jetzt bei dir für diesen wahnsinnig trockenen Beitrag. Dennoch ist es in der heutigen Zeit ein großes und sehr wichtiges Thema. Vor dem wir nicht die Augen verschließen und schon gar nicht alles auf morgen schieben können. Wir müssen Handeln nicht irgendwann, sondern jetzt! Viel Spaß, also beim Lesen von meinem Teil 2 zur DSGVO. Wir steigen direkt nahtlos wieder ein. Wenn du Teil 1 noch nicht verfolgt hast, kannst du das hier tun.

Auch dieser Artikel stellt keine Rechtsbelehrung oder Beratung da. Alles worüber ich berichte, geschieht aus eigener Recherche. Ich bitte dich, für deine eigenen Umsetzungen dich selbst zu informieren und gegebenenfalls rechtlich beraten zu lassen.

Wann dürfen Daten denn überhaupt verarbeitet werden?

Grundsätzlich ist es so, die Datenverarbeitung ist auch mit der DSGVO weiterhin nur dann zulässig, wenn es die Verordnung oder ein anderes gesetzt ausdrücklich erlaubt. Im Rahmen der DSGVO ist geregelt, wann Daten erhoben und verarbeitet werden dürfen, wenn eine Einwilligung des Betroffenen vorliegt. Hier wird von einem mind. Alter von 16 Jahren ausgegangen. Das Verarbeiten von Daten zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.

Genauso, wenn die Verarbeitung zu einer rechtlichen Verpflichtung erforderlich ist. Es gilt die Verarbeitung, ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen.

Solltest du Daten zu einem späteren Zeitpunkt verarbeiten wollen, die nicht dem ursprünglichen Zweck der Erhebung entsprechen. Findest du auch entsprechende Regelungen in der neuen DSGVO. Das ist nicht so einfach, hier ist es nur dann zulässig, wenn dein Verarbeitungszweck mit dem ursprünglichen Zweck kompatibel sind. Hierzu würde z. B. die Nutzung für statistische Erhebungen zählen. Wichtig ist, das du nach Datenschutz Grundsätzen transparent arbeitest und die Betroffenen darüber in Kenntnis setzt.

Datenschutz – Welche Daten darf ich nicht verarbeiten?

Okay, im letzten Abschnitt haben wir darüber gesprochen, wann du Daten verarbeiten darfst. Jetzt geht es darum, wann du keine Daten verarbeiten darfst. Im Einzelnen kannst du das im Art. 9 DSGVO noch einmal nach lesen. Du darfst keine Daten erheben aus denen beispielsweise die Rasse und ethnische Herkunft sowie Politische und religiöse Gesinnung einer natürlichen Person hervorgehen. Ebenso wie genetische und gesundheitliche Daten dazu zählt auch das Sexualleben und die sexuelle Orientierung. Für diese Art von Daten können in besonderen Fällen aber mit einer Einwilligung verarbeitet werden. Sollte das auf dein Unternehmen zutreffen solltest du dich richtig informieren und dich rechtlich Beraten lassen.

Verzeichnis der Verarbeitungstätigkeiten

Darüber bist du doch bestimmt bei deiner Recherche zum Datenschutz und den DSGVO-Umsetzungen auch schon gestoßen, oder? Genauso wie du sicher auch mehr Fach den Begriff Auftragsdaten-Verarbeitungs-Vertrag kurz AVV gelesen hast. Das klingt erst mal alles gruseliger, als es eigentlich ist. Generell kann ich dir nur als Tipp und wichtigen Hinweis, mit auf den Weg geben alle Datenschutz Tätigkeiten genau zu dokumentieren und schriftlich festzuhalten. Nichts anderes ist im Grunde auch das Verzeichnis der Verarbeitungstätigkeit.

Hiermit führst du eine Dokumentation und Übersicht über alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch einen Auftragsdatenverarbeiter ist nur auf Grundlage eines schriftlichen Vertrages erlaubt. Wichtig ist, dass du auch hier auf Transparenz achtest und deine Auftragsdatenverarbeiter gründlich durchgehst und entsprechende Verträge abschließt. Viele Anbieter stellen dazu schon passende Verträge bereit.

Rechte der Betroffenen

Wir wissen jetzt wann wir Daten, Datenschutz konform Verarbeiten dürfen und welche wir nicht verarbeiten dürfen. Für uns als Unternehmer ist es nicht nur wichtig zu wissen, welche Pflichten und Aufgaben wir als Verantwortliche haben. Es ist für uns genauso wichtig, zu wissen, welche Rechte man als Betroffener hat. Erst mal als Betroffener hat man ein umfassendes Auskunftsrecht. Mit der DSGVO kommt hinzu, dass man eine Kopie seiner personenbezogenen Daten verlangen kann. Als Verantwortlicher muss man auf Verlangen der betroffenen Person eine Bestätigung darüber liefern, ob überhaupt personenbezogene Daten erhoben und verarbeitet werden.

Der Betroffene hat das Recht Informationen über den Verarbeitungszweck, die Kategorie seiner personenbezogenen Daten sowie die Herkunft der Daten zu verlangen. Anfragen dieser Art musst du als Verantwortlicher unverzüglich zur Verfügung stellen. Wie der zeitliche Rahmen rechtlich aus sieht, kann ich dir nicht sagen. Solltest du Problemstellungen dieser Art haben, informiere dich bitte ganz genau. Das Auskunftsrecht ist auch ein Grund, warum es so wichtig ist Datenschutz konforme Prozesse im Unternehmen zu etablieren und immer wieder auf den Prüfstand zu stellen. Falls es darauf ankommt, bist du in der Verpflichtung zu liefern und Rechenschaft zu geben.

Betroffene sind befugt ihre Daten mitzunehmen

Bei diesem Punkt geht es um die automatisierte Verarbeitung von Daten. Das Recht auf Datenübertragung soll Betroffenen erleichtern beispielsweise von einem Anbieter zum anderen zu wechseln, ohne dabei Daten zu verlieren. Wir halten also fest, dass uns die DSGVO nicht nur vor einen großen organisatorischen Aufwand stellt, sondern sie auch technische hohe Voraussetzungen abverlangt.

Deine Datenschutzerklärung

Ich weiß gar nicht wie oft ich in der letzten Zeit Fragen wie, brauch ich das wirklich und muss ich das machen. Und jetzt muss ich meine Adresse angeben und ohne Ende jammern auf ganz hohem Niveau. Ganz klar ohne Umschweife du brauchst ein Impressum und eine Datenschutzerklärung und Punkt. Und alle die an diesem Punkt jammern und beklagen, dass sie so gezwungen werden ihren Blog zu schließen sei gesagt, bitte dann tu es endlich. Aber hör auf zu meckern. Es ist nicht erst jetzt etwas Neues, das wir ein vollständige und ladungsfähiges Impressum brauchen. Genauso ist es eben auch mit der Datenschutzerklärung.

Du brauchst ein Impressum u. eine Datenschutzerklärung

Warum sollte man also anderen dieses Recht absprechen, wenn sie das eigene Angebot in Ansprüchen nehmen! Definitiv etwas was mich wirklich aufregt. Aber gut darum soll es an dieser Stelle ja nicht gehen. Welche Anforderungen bestehen den nun an eine Datenschutzerklärung? Mit deiner Datenschutzerklärung schaffst du eine Rechtsgrundlage, auf der die Datenverarbeitung beruht. Im Art. 13 DSGVO ist genau aufgeführt, welche verpflichtenden Informationen diese beinhalten muss. Wie ich dir oben schon erklärt habe, ist es wichtig, dass du eine einfache und klare Sprache wählst. Ebenso wie dein Impressum sollte deine Datenschutzerklärung leicht zugänglich sein, d. h. Betroffene sollten sie mit nur einem Klick auf deiner Webseite aufrufen können.

Recht auf vergessen werden

In der DSGVO ist das Recht auf Löschung der eigenen Daten aufgenommen. Dieses besteht beispielsweise, wenn erhobene personenbezogene Daten für den benötigten Zweck nicht mehr notwendig sind. Die betroffene Person ihre Einwilligung widerruft oder einen Einspruch einlegt, dass personenbezogenen Daten unrechtmäßig erhoben wurden. Es gibt noch weitere Fälle, im Einzelnen kannst du das im Art. 17 DSGVO nachlesen.

Keine Anwendung hingegen findet dieses Recht beispielsweise, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Informationen nötig ist. Ebenso sollte ein öffentliches Interesse bestehen oder die Verarbeitung von Daten zu Zwecken einer rechtlichen Erfüllung erforderlich sein.

Neben dem Recht der Löschung seiner Daten, musst du als Verantwortlicher dem betroffen auch die Möglichkeit einräumen seine irrtümlichen oder falschen Daten zu korrigieren. Auch das ist in der DSGVO rechtlich festgehalten.

Mein Fazit zu unserer neuen DSGVO

Es ist unabdinglich deine Datenschutzerklärung an die neue DSGVO anzupassen. Als Webseiten-Betreiber bist du verpflichtet, eine Datenschutzerklärung zu haben, du musst die Datenerhebung für Besucher deiner Seite deutlich machen. Deine Datenschutzerklärung muss darüber informieren, welche Daten wo und wie verarbeitet werden. Mit der DSGVO stehen wir vor Technischen sowie großen organisatorischen Problemen. Diese gilt es nun unverzüglich zu beheben und in Struktur und Ordnung zu bringen. Mehr denn je ist es wichtig, den Schutz der personenbezogenen Daten ernst zunehmen. Der Fokus liegt künftig ganz klar auf der Datensicherheit und der Datenminimierung.

Wir sollten alle mehr Obacht auf den Datenschutz legen! Am Ende ist entscheidend – welche Daten brauchst du wirklich? Und wofür verarbeitest du diese?

Alex