CRM und Datenschutz

Jetzt mit CRM-Software Datenschutz sichern und Ihr Kundenbeziehungsmanagement rechtskonform nach DSGVO gestalten!

Ihre Fragen zur EU DSGVO

Zur neuen Datenschutzverordnung, die seit 25.05.2018 gilt, gibt es immer noch viel Unsicherheit und es erreichen uns viele Fragen. Wir haben diese gesammelt und unsere IT-Rechtsanwaltskanzlei gebeten die Fragen für Sie zu beantworten.

 
 
 
 

Die Antworten auf Ihre Datenschutz Fragen

Informationspflichten

Was ist bei der Informationspflicht zu beachten? Muss man bei der Erfassung der Adresse den Betroffenen informieren? Und was ist bei Änderungen in Sachen Informationspflicht zu tun?


Werden die Daten direkt bei der betroffenen Person erhoben, müssen ihr nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung folgende Informationen mitgeteilt werden:

•    Identität des Verantwortlichen
•    Kontaktdaten des Datenschutzbeauftragten
•    Verarbeitungszwecke und Rechtsgrundlage
•    Berechtigtes Interesse
•    Empfänger
•    Übermittlung in Drittstaaten


Nach Art. 13 Abs. 2 DSGVO müssen außerdem die folgenden Informationen mitgeteilt werden:

•    Dauer der Speicherung
•    Rechte der Betroffenen
•    Widerrufbarkeit von Einwilligungen
•    Beschwerderecht bei der Aufsichtsbehörde
•    Verpflichtung zur Bereitstellung personenbezogener Daten
•    Automatisierte Entscheidungsfindung und Profiling

Werden die Daten nicht direkt bei der betroffenen Person erhoben, bestehen im Wesentlichen die gleichen Pflichten. Es muss nur nicht über die Verpflichtung zur Bereitstellung, dafür jedoch über die Quelle der Daten informiert werden.

Ändern sich die Zwecke der Verarbeitung, muss die betroffene Person vor der Weiterverarbeitung gemäß Art. 13 Abs. 3 bzw. Art. 14 Abs. 4 DSGVO über diese neuen Zwecke sowie alle weiteren Informationen der Art. 13 Abs. 2 bzw. Art. 14 Abs. 2 DSGVO informiert werden. Über den Wortlaut der DSGVO hinaus, müssen im Falle einer Zweckänderung auch etwaige Änderungen der Information des jeweiligen Abs. 1 mitgeteilt werden.

Erneute unverzügliche Informationspflichten entstehen trotz Beibehaltung der Zweckbestimmung aber auch, wenn eine Outsourcinglösung in ein Drittland gefunden wird oder eine automatisierte Entscheidungsfindung implementiert wird.

 

Weitergabe an Dritte

Ist ein Auftragsverarbeiter ein Dritter? Brauche ich eine Einwilligung für die Weitergabe an einen Auftragsverarbeiter?

Die Weitergabe von personenbezogenen Daten an Dritte ist eine Datenverarbeitung, die nur aufgrund eines oder mehrerer der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände zulässig ist. Die Einwilligung ist dabei einer dieser möglichen Erlaubnistatbestände.

Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO sind keine Dritten im Sinne von Art. 4 Nr. 10 DSGVO. Der Verantwortliche stellt gem. Art. 28 Abs. 3 DSGVO durch einen entsprechenden Auftragsverarbeitungsvertrag und Kontrollen sicher, dass der Auftragsverarbeiter das vom Verantwortlichen vorgegebene Schutzniveau einhält. Im Falle einer Verletzung des Schutzes von personenbezogenen Daten kann nur der Verantwortliche von der betroffenen Person und Aufsichtsbehörden in Anspruch genommen werden. Der Verantwortliche wiederum kann im Falle einer Vertragsverletzung den Auftragsverarbeiter in Anspruch nehmen.

 

Berechtigtes Interesse

Was kann man sich darunter vorstellen? Wann liegt ein berechtigtes Interesse vor? Was kann alles ein berechtigtes Interesse sein?

Das berechtigte Interesse ist nach Art. 6 Abs. 1 lit. f DSGVO einer der möglichen Erlaubnistatbestände für die Verarbeitung von personenbezogenen Daten. Es ist unter folgenden Voraussetzungen anzunehmen:

•    Berechtigtes Interesse im engeren Sinn: Jedes rechtliche, wirtschaftliche oder ideelle Interesse (auch illegitime Interessen)
•    Erforderlichkeit
•    Keine entgegenstehenden berechtigten Interessen der betroffenen Person: Entscheidend ist die vernünftige Erwartungshaltung der betroffenen Person

Als berechtigtes Interesse wurde bisher z. B. die Direktwerbung anerkannt. Auch die Verhinderung von Betrug kann solch ein berechtigtes Interesse sein.

 

Gemeinnützige Einrichtungen

Gilt die EU-DSGVO auch für gemeinnützige Einrichtungen?

Der sachliche Anwendungsbereich der DSGVO bestimmt sich nach Art. 2 DSGVO. Erfasst ist nach Abs. 1 jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie jede nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Ausgenommen sind nach Abs. 2 lit. c aber persönliche oder familiäre Tätigkeiten (sog. Haushaltsprivileg). Es ist jedoch anerkannt, dass ehrenamtliche Tätigkeiten nicht unter dieses Privileg fallen. Ebenfalls nicht von diesem Privileg erfasst sind juristische Personen, ganz gleich, ob sie wirtschaftlich oder gemeinnützig tätig sind.

 

Personaldaten

Was ist mit Personaldaten? Wie lange dürfen diese gespeichert werden? Kann das über den Arbeitsvertrag abgesichert werden?

Personaldaten sind personenbezogene Daten von in Unternehmen beschäftigten Arbeitnehmern. Für sie gelten grundsätzlich die gleichen Vorschriften, wie für alle anderen personenbezogenen Daten auch. Zusätzlich sind die speziellen Vorschriften für Beschäftigungsverhältnisse zu berücksichtigen. In Deutschland sind diese in § 26 BDSG n.F. geregelt. Danach dürfen personenbezogene Daten grundsätzlich verarbeitet werden, wenn dies für Zwecke der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses notwendig ist. Eine Berechtigung kann sich außerdem aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergeben.

 

Freie Mitarbeiter

Sind freie Mitarbeiter wie Auftragsdatenverarbeiter zu sehen und brauche ich dafür eine ADV?

Freie Mitarbeiter gelten als Dritte im Sinne von Art. 4 Nr. 10 DSGVO. Für die Übermittlung von Daten an sie muss daher grundsätzlich einer der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO vorliegen. Regelmäßig wird in diesem Zusammenhang ein berechtigtes Interesse nach Art. 6 1 lit. f DSGVO gegeben sein.

 

Altdaten

Wie muss man mit Altdaten ohne Ursprungsquelle umgehen? Dürfen diese Daten noch genutzt werden?

Daten dürfen grundsätzlich immer dann verarbeitet werden, wenn einer der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO vorliegt. Dies gilt grundsätzlich auch für Daten, die noch vor Wirksamkeit der DSGVO erhoben wurden. Im Rahmen der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist jedoch zu beachten, dass auch eine früher eingeholte Einwilligung zu ihrer Wirksamkeit die Voraussetzung der DSGVO nach Art. 7 DSGVO erfüllen muss. Dies kann jedoch kaum nachgewiesen werden, wenn nicht mal die Ursprungsquelle der Daten bekannt ist. Vergleichbare Probleme können auch im Rahmen der Prüfung des Vorliegens der anderen Erlaubnistatbestände auftreten. Jedenfalls immer dann, wenn es gerade zur Begründung des Vorliegens eines Erlaubnistatbestands notwendig ist, die Ursprungsquelle der Daten zu kennen, ist eine weitere Verarbeitung nicht rechtmäßig. Ansonsten kommt es im Wesentlichen darauf an, ob die Datenverarbeitung rechtmäßig ist oder nicht.

 

Dokumente im DMS

Was ist mit E-Mails und Dokumenten, die im DMS abgelegt sind? Ist die Anrede personenbezogen und muss ein Dokument deshalb auch gelöscht werden?

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Insofern sind auch E-Mails mit persönlicher Anrede personenbezogene Daten. Im Übrigen ist schon die E-Mail-Adresse selbst ein persönliches Datum. Insofern sind auf gespeicherte E-Mails die gleichen Vorschriften, wie auf alle anderen personenbezogenen Daten auch, anwendbar.

 

Löschbestätigung als Nachweis

Wenn ein Unternehmen personenbezogene Daten löschen muss und dies per E-Mail bestätigt, darf es die E-Mail dann als Nachweis aufbewahren?

Da der Nachweis der Erfüllung einer Löschpflicht ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO darstellt, ist die Speicherung der Bestätigungs-Mail zulässig. Wichtig ist jedoch, dass die E-Mail die entsprechenden Daten nicht mehr enthalten darf, da diese sonst gerade nicht gelöscht wären.

 

Umgang mit Backups

Wie ist der Umgang mit Backups der CRM-Datenbank bei Löschanfragen?

Ist eine Löschanfrage nach Art. 17 DSGVO berechtigt, so sind die entsprechenden Daten vollständig zu löschen. Dies gilt auch für Backups.

 

Daten von Journalisten

Wie sieht es beim Umgang mit Journalisten-Daten aus, die in öffentlichen Verzeichnissen stehen. Darf man Presseinfos per E-Mail senden ohne eine Einwilligung? Kann man bei Journalisten von einem berechtigten Interesse ausgehen?

Die Verarbeitung von Daten aus öffentlich zugänglichen Quellen zum Zwecke des Adresshandels kann in der Regel auf ein berechtigtes Interesse gemäß Art. 6 1 lit. f DSGVO gestützt werden. Im Einzelfall kann sich im Rahmen der gebotenen Interessenabwägung aber doch ein überwiegendes Interesse der betroffenen Person ergeben. Dies dürfte in diesem Fall jedoch die Ausnahme sein.

 

Mündliche Werbeeinwilligung

Wie sieht ein korrektes Prozedere aus, wenn man sich eine Werbeeinwilligung mündlich einholen möchte?

Die Einwilligung nach § 7 UWG muss grundsätzlich vor Erhalt der Werbung und ausdrücklich erteilt werden. Besondere Formvorschriften bestehen nicht, so dass sie grundsätzlich auch mündlich erteilt werden kann. Die vorherige ausdrückliche Erteilung der Einwilligung muss jedoch nachgewiesen werden können.

Um einen solchen Nachweis gewährleisten zu können, ist es denkbar die mündlich erteilte Einwilligung aufzuzeichnen und die Aufzeichnung zu speichern. Da jedoch auch die Aufzeichnung selbst eine Datenverarbeitung darstellt, ist auch hierzu eine Einwilligung im Sinne von Art. 6 Abs. 1 lit. a und Art. 7 DSGVO notwendig. Es empfiehlt sich daher, die betroffene Person zunächst darüber zu informieren, dass ihre Einwilligung zum Erhalt von Werbung aus Beweisgründen aufgezeichnet werden muss und dass auch die Aufzeichnung und Speicherung dieser der Einwilligung bedarf.

Auf der Aufnahme selbst wäre folgender Text denkbar: „Mit dieser jederzeit widerruflichen Einwilligung erklären Sie (NAME) sich damit einverstanden, dass Sie von unserem UNTERNEHMEN in Zukunft WERBUNG erhalten und dass diese Aufzeichnung zu Beweiszwecken bis zum Widerruf der Einwilligung gespeichert wird. Wenn Sie die Einwilligung erteilen möchten, antworten Sie mit JA.“

 

Sperrliste

Ist eine Sperrliste zulässig? Welche Daten dürfen dort hinterlegt werden?

Auch die Verarbeitung von Daten zur Erstellung von Sperrlisten erfordert das Vorliegen eines der Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO. Das Erstellen einer Sperrliste kann unter Umständen zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO erforderlich sein. Außerdem kann unter Umständen auch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO vorliegen. Dies bedarf jedoch immer einer Einzelfallabwägung und kann nicht pauschal beantwortet.

 

Nachweisdauer Adresslöschung

Wie lange sollte man nachweisen können, dass eine Adresse gelöscht wurde? Wie sollte man das nachweisen?

Kann die notwendige Löschung von Daten nicht nachgewiesen werden, kann die betroffene Person nach Art. 82 DSGVO Schadensersatz geltend machen und es drohen Bußgelder nach Art. 83, 84 DSGVO. Die Löschung sollte daher jedenfalls für die Dauer der Verjährung von Ansprüchen nachgewiesen werden können. Die Verjährung der Schadensersatzansprüche richtet sich nach § 83 BDSG n.F. nach den Regelungen des BGB. Nach § 195 BGB beträgt die regelmäßige Verjährungsfrist 3 Jahre ab Kenntnis des Geschädigten. Ohne Rücksicht auf die Kenntnis, verjähren die Ansprüche jedoch gemäß § 199 Abs. 3 BGB nach 10 Jahren. Jedenfalls so lange sollte die Löschung nachgewiesen werden können.

 

Löschgründe

Was darf nach der Datenlöschung im Löschgrund drinstehen? Gibt es Leitlinien für die Angabe von Löschgründen?

Der Löschgrund darf die zu löschenden Daten selbst nicht enthalten. Er muss jedoch so ausgestaltet werden, dass die Löschung von Daten nachgewiesen werden kann. Das Bundesamt für Sicherheit in der Informationstechnik hat Leitlinien zur Etablierung eines Löschkonzepts veröffentlicht.

 

Verhinderung von Missbrauch bei Auskunftsanfragen

Muss sich eine betroffene Person ausweisen können, wenn sie einen Löschantrag stellt oder vom Auskunftsrecht Gebrauch macht? Wie kann verhindert werden, dass eine „fremde Person“ auf diese Art und Weise unerlaubt an Daten eines Dritten kommt?

Der Verantwortliche kann zur Verhinderung von Missbrauch verlangen, dass die betroffene Person ihre Identität verifiziert. Zu beachten ist jedoch, dass dazu nach dem PAuswG keine Kopie des Personalausweises verwendet werden darf. Zulässig sind jedoch andere Identitätsnachweise. Jedoch ist die betroffene Person darauf hinzuweisen, dass nicht relevante Stellen geschwärzt werden müssen.

Das könnte Sie auch interessieren

Whitepaper

Der Haken mit dem Häkchen

Ein Überblick, was beim Einholen von rechtskonformen Werbeeinwilligungen zu beachten ist und wie eine CRM Lösung Sie dabei optimal unterstützen kann.

zum kostenlosen Download
 
 
Weitere Informationen zum Datenschutz

Kontakt

Sie erreichen uns gerne per Telefon: +49 7531 8101 0 oder

Über unser Formular
 
Software-Beratung

Das cobra Beratungsangebot zum Thema Datenschutz.

Beratung anfragen
 
E-Book Datenschutz

Jetzt E-Book kostenlos zum Download für Sie! 

kostenlos anfordern