Aktuelle News im blog von cobra

Regelmäßige Neuigkeiten rund um cobra CRM und Datenschutz

FAQs zur EU-DSGVO zu den Themen CRM und Datenschutz

Das DSGVO FAQ: Ihre Fragen zu CRM und Datenschutz

Datenschutz und CRM Kurz erklärt

cobra CRM

Schwerpunkt der cobra Roadshow 2018 war das Thema „CRM und Datenschutz“. Bei rund 400 Teilnehmern sind natürlich viele Fragen aufgekommen. Die spannendsten Fragen und Antworten finden Sie ab sofort in unseren EU-DSGVO FAQs!

 

Informationspflichten

Was ist bei der Informationspflicht zu beachten? Muss man bei der Erfassung der Adresse den Betroffenen informieren? Und was ist bei Änderungen in Sachen Informationspflicht zu tun?

Werden die Daten direkt bei der betroffenen Person erhoben, müssen ihr nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung folgende Informationen mitgeteilt werden:

  • Identität des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszwecke und Rechtsgrundlage
  • Berechtigtes Interesse
  • Empfänger
  • Übermittlung in Drittstaaten

Nach Art. 13 Abs. 2 DSGVO müssen außerdem die folgenden Informationen mitgeteilt werden:

  • Dauer der Speicherung
  • Rechte der Betroffenen
  • Widerrufbarkeit von Einwilligungen
  • Beschwerderecht bei der Aufsichtsbehörde
  • Verpflichtung zur Bereitstellung personenbezogener Daten
  • Automatisierte Entscheidungsfindung und Profiling

Werden die Daten nicht direkt bei der betroffenen Person erhoben, bestehen im Wesentlichen die gleichen Pflichten. Es muss nur nicht über die Verpflichtung zur Bereitstellung, dafür jedoch über die Quelle der Daten informiert werden.

Ändern sich die Zwecke der Verarbeitung, muss die betroffene Person vor der Weiterverarbeitung gemäß Art. 13 Abs. 3 bzw. Art. 14 Abs. 4 DSGVO über diese neuen Zwecke sowie alle weiteren Informationen der Art. 13 Abs. 2 bzw. Art. 14 Abs. 2 DSGVO informiert werden. Über den Wortlaut der DSGVO hinaus, müssen im Falle einer Zweckänderung auch etwaige Änderungen der Information des jeweiligen Abs. 1 mitgeteilt werden.

Erneute unverzügliche Informationspflichten entstehen trotz Beibehaltung der Zweckbestimmung aber auch, wenn eine Outsourcinglösung in ein Drittland gefunden wird oder eine automatisierte Entscheidungsfindung implementiert wird.


Weitergabe an Dritte

Ist ein Auftragsverarbeiter ein Dritter? Brauche ich eine Einwilligung für die Weitergabe an einen Auftragsverarbeiter?

Die Weitergabe von personenbezogenen Daten an Dritte ist eine Datenverarbeitung, die nur aufgrund eines oder mehrerer der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände zulässig ist. Die Einwilligung ist dabei einer dieser möglichen Erlaubnistatbestände.

Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO sind keine Dritten im Sinne von Art. 4 Nr. 10 DSGVO. Der Verantwortliche stellt gem. Art. 28 Abs. 3 DSGVO durch einen entsprechenden Auftragsverarbeitungsvertrag und Kontrollen sicher, dass der Auftragsverarbeiter das vom Verantwortlichen vorgegebene Schutzniveau einhält. Im Falle einer Verletzung des Schutzes von personenbezogenen Daten kann nur der Verantwortliche von der betroffenen Person und Aufsichtsbehörden in Anspruch genommen werden. Der Verantwortliche wiederum kann im Falle einer Vertragsverletzung den Auftragsverarbeiter in Anspruch nehmen.

 

Berechtigtes Interesse

Was kann man sich darunter vorstellen? Wann liegt ein berechtigtes Interesse vor? Was kann alles ein berechtigtes Interesse sein?

Das berechtigte Interesse ist nach Art. 6 Abs. 1 lit. f DSGVO einer der möglichen Erlaubnistatbestände für die Verarbeitung von personenbezogenen Daten. Es ist unter folgenden Voraussetzungen anzunehmen:

  • Berechtigtes Interesse im engeren Sinn: Jedes rechtliche, wirtschaftliche oder ideelle Interesse (auch illegitime Interessen)
  • Erforderlichkeit
  • Keine entgegenstehenden berechtigten Interessen der betroffenen Person: Entscheidend ist die vernünftige Erwartungshaltung der betroffenen Person

Als berechtigtes Interesse wurde bisher z. B. die Direktwerbung anerkannt. Auch die Verhinderung von Betrug kann solch ein berechtigtes Interesse sein.

 

Gemeinnützige Einrichtungen

Gilt die EU-DSGVO auch für gemeinnützige Einrichtungen?

Der sachliche Anwendungsbereich der DSGVO bestimmt sich nach Art. 2 DSGVO. Erfasst ist nach Abs. 1 jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie jede nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Ausgenommen sind nach Abs. 2 lit. c aber persönliche oder familiäre Tätigkeiten (sog. Haushaltsprivileg). Es ist jedoch anerkannt, dass ehrenamtliche Tätigkeiten nicht unter dieses Privileg fallen. Ebenfalls nicht von diesem Privileg erfasst sind juristische Personen, ganz gleich, ob sie wirtschaftlich oder gemeinnützig tätig sind.

 

Personaldaten

Was ist mit Personaldaten? Wie lange dürfen diese gespeichert werden? Kann das über den Arbeitsvertrag abgesichert werden?

Personaldaten sind personenbezogene Daten von in Unternehmen beschäftigten Arbeitnehmern. Für sie gelten grundsätzlich die gleichen Vorschriften, wie für alle anderen personenbezogenen Daten auch. Zusätzlich sind die speziellen Vorschriften für Beschäftigungsverhältnisse zu berücksichtigen. In Deutschland sind diese in § 26 BDSG n.F. geregelt. Danach dürfen personenbezogene Daten grundsätzlich verarbeitet werden, wenn dies für Zwecke der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses notwendig ist. Eine Berechtigung kann sich außerdem aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergeben.


Freie Mitarbeiter

Sind freie Mitarbeiter wie Auftragsdatenverarbeiter zu sehen und brauche ich dafür eine ADV?

Freie Mitarbeiter gelten als Dritte im Sinne von Art. 4 Nr. 10 DSGVO. Für die Übermittlung von Daten an sie muss daher grundsätzlich einer der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO vorliegen. Regelmäßig wird in diesem Zusammenhang ein berechtigtes Interesse nach Art. 6 1 lit. f DSGVO gegeben sein. 

 

Altdaten

Wie muss man mit Altdaten ohne Ursprungsquelle umgehen? Dürfen diese Daten noch genutzt werden?

Daten dürfen grundsätzlich immer dann verarbeitet werden, wenn einer der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO vorliegt. Dies gilt grundsätzlich auch für Daten, die noch vor Wirksamkeit der DSGVO erhoben wurden. Im Rahmen der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist jedoch zu beachten, dass auch eine früher eingeholte Einwilligung zu ihrer Wirksamkeit die Voraussetzung der DSGVO nach Art. 7 DSGVO erfüllen muss. Dies kann jedoch kaum nachgewiesen werden, wenn nicht mal die Ursprungsquelle der Daten bekannt ist. Vergleichbare Probleme können auch im Rahmen der Prüfung des Vorliegens der anderen Erlaubnistatbestände auftreten. Jedenfalls immer dann, wenn es gerade zur Begründung des Vorliegens eines Erlaubnistatbestands notwendig ist, die Ursprungsquelle der Daten zu kennen, ist eine weitere Verarbeitung nicht rechtmäßig. Ansonsten kommt es im Wesentlichen darauf an, ob die Datenverarbeitung rechtmäßig ist oder nicht.

 

Dokumente im DMS

Was ist mit E-Mails und Dokumenten, die im DMS abgelegt sind? Ist die Anrede personenbezogen und muss ein Dokument deshalb auch gelöscht werden?

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Insofern sind auch E-Mails mit persönlicher Anrede personenbezogene Daten. Im Übrigen ist schon die E-Mail-Adresse selbst ein persönliches Datum. Insofern sind auf gespeicherte E-Mails die gleichen Vorschriften, wie auf alle anderen personenbezogenen Daten auch, anwendbar.

Hier geht's zu Teil 2 der FAQs zur EU-DSGVO!