Aktuelle News im blog von cobra

Regelmäßige Neuigkeiten rund um cobra CRM und Datenschutz

FAQs zur EU-DSGVO zu den Themen CRM und Datenschutz

TEIL 2 - FAQs zur EU-DSGVO: Ihre Fragen zu CRM und Datenschutz

Datenschutz und CRM Kurz erklärt

cobra CRM

Vor Kurzem haben wir Ihnen die spannendsten Fragen zum Thema „CRM und Datenschutz“ aufgezeigt. Das war natürlich noch nicht alles! Heute gibt's Teil 2 der EU-DSGVO FAQs!


Kennen Sie schon den ersten Teil unserer EU-DSGVO FAQs? Nein? Hier entlang!

 

Löschbestätigung als Nachweis

Wenn ein Unternehmen personenbezogene Daten löschen muss und dies per E-Mail bestätigt, darf es die E-Mail dann als Nachweis aufbewahren?

Da der Nachweis der Erfüllung einer Löschpflicht ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO darstellt, ist die Speicherung der Bestätigungs-Mail zulässig. Wichtig ist jedoch, dass die E-Mail die entsprechenden Daten nicht mehr enthalten darf, da diese sonst gerade nicht gelöscht wären.

 

Umgang mit Backups

Wie ist der Umgang mit Backups der CRM-Datenbank bei Löschanfragen?

Ist eine Löschanfrage nach Art. 17 DSGVO berechtigt, so sind die entsprechenden Daten vollständig zu löschen. Dies gilt auch für Backups.


Daten von Journalisten

Wie sieht es beim Umgang mit Journalisten-Daten aus, die in öffentlichen Verzeichnissen stehen. Darf man Presseinfos per E-Mail senden ohne eine Einwilligung? Kann man bei Journalisten von einem berechtigten Interesse ausgehen?

Die Verarbeitung von Daten aus öffentlich zugänglichen Quellen zum Zwecke des Adresshandels kann in der Regel auf ein berechtigtes Interesse gemäß Art. 6 1 lit. f DSGVO gestützt werden. Im Einzelfall kann sich im Rahmen der gebotenen Interessenabwägung aber doch ein überwiegendes Interesse der betroffenen Person ergeben. Dies dürfte in diesem Fall jedoch die Ausnahme sein.

 

Mündliche Werbeeinwilligung

Wie sieht ein korrektes Prozedere aus, wenn man sich eine Werbeeinwilligung mündlich einholen möchte?

Die Einwilligung nach § 7 UWG muss grundsätzlich vor Erhalt der Werbung und ausdrücklich erteilt werden. Besondere Formvorschriften bestehen nicht, so dass sie grundsätzlich auch mündlich erteilt werden kann. Die vorherige ausdrückliche Erteilung der Einwilligung muss jedoch nachgewiesen werden können.

Um einen solchen Nachweis gewährleisten zu können, ist es denkbar die mündlich erteilte Einwilligung aufzuzeichnen und die Aufzeichnung zu speichern. Da jedoch auch die Aufzeichnung selbst eine Datenverarbeitung darstellt, ist auch hierzu eine Einwilligung im Sinne von Art. 6 Abs. 1 lit. a und Art. 7 DSGVO notwendig. Es empfiehlt sich daher, die betroffene Person zunächst darüber zu informieren, dass ihre Einwilligung zum Erhalt von Werbung aus Beweisgründen aufgezeichnet werden muss und dass auch die Aufzeichnung und Speicherung dieser der Einwilligung bedarf.

Auf der Aufnahme selbst wäre folgender Text denkbar: „Mit dieser jederzeit widerruflichen Einwilligung erklären Sie (NAME) sich damit einverstanden, dass Sie von unserem UNTERNEHMEN in Zukunft WERBUNG erhalten und dass diese Aufzeichnung zu Beweiszwecken bis zum Widerruf der Einwilligung gespeichert wird. Wenn Sie die Einwilligung erteilen möchten, antworten Sie mit JA.“

 

Sperrliste

Ist eine Sperrliste zulässig? Welche Daten dürfen dort hinterlegt werden?

Auch die Verarbeitung von Daten zur Erstellung von Sperrlisten erfordert das Vorliegen eines der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO. Das Erstellen einer Sperrliste kann unter Umständen zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO erforderlich sein. Außerdem kann unter Umständen auch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO vorliegen. Dies bedarf jedoch immer einer Einzelfallabwägung und kann nicht pauschal beantwortet.

 

Nachweisdauer Adresslöschung

Wie lange sollte man nachweisen können, dass eine Adresse gelöscht wurde? Wie sollte man das nachweisen?

Kann die notwendige Löschung von Daten nicht nachgewiesen werden, kann die betroffene Person nach Art. 82 DSGVO Schadensersatz geltend machen und es drohen Bußgelder nach Art. 83, 84 DSGVO. Die Löschung sollte daher jedenfalls für die Dauer der Verjährung von Ansprüchen nachgewiesen werden können. Die Verjährung der Schadensersatzansprüche richtet sich nach § 83 BDSG n.F. nach den Regelungen des BGB. Nach § 195 BGB beträgt die regelmäßige Verjährungsfrist 3 Jahre ab Kenntnis des Geschädigten. Ohne Rücksicht auf die Kenntnis, verjähren die Ansprüche jedoch gemäß § 199 Abs. 3 BGB nach 10 Jahren. Jedenfalls so lange sollte die Löschung nachgewiesen werden können.

 

Löschgründe

Was darf nach der Datenlöschung im Löschgrund drinstehen? Gibt es Leitlinien für die Angabe von Löschgründen?

Der Löschgrund darf die zu löschenden Daten selbst nicht enthalten. Er muss jedoch so ausgestaltet werden, dass die Löschung von Daten nachgewiesen werden kann. Das Bundesamt für Sicherheit in der Informationstechnik hat Leitlinien zur Etablierung eines Löschkonzepts veröffentlicht.

 

Verhinderung von Missbrauch bei Auskunftsanfragen

Muss sich eine betroffene Person ausweisen können, wenn sie einen Löschantrag stellt oder vom Auskunftsrecht Gebrauch macht? Wie kann verhindert werden, dass eine „fremde Person“ auf diese Art und Weise unerlaubt an Daten eines Dritten kommt?

Der Verantwortliche kann zur Verhinderung von Missbrauch verlangen, dass die betroffene Person ihre Identität verifiziert. Zu beachten ist jedoch, dass dazu nach dem PAuswG keine Kopie des Personalausweises verwendet werden darf. Zulässig sind jedoch andere Identitätsnachweise. Jedoch ist die betroffene Person darauf hinzuweisen, dass nicht relevante Stellen geschwärzt werden müssen.