(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start': new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0], j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src= 'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f); })(window,document,'script','dataLayer','GTM-P5JM3QM');

 

Ab dem 25. Mai 2018 gelten mit der Datenschutzgrundverordnung (DSGVO) neue Regeln für Firmen, Selbstständige und Vereine. Verschärfte Dokumentations- und Rechenschaftspflichten stellen insbesondere kleine Unternehmen und Vereine vor Herausforderungen. Melden Sie sich bei uns. Wir können Ihnen eine kurze Ersteinschätzung geben, ob Ihre Homepage angepasst werden muss. Sollte dies der Fall sein, führen wir Ihnen transparent auf, welche Änderungen erforderlich ist und welche Kosten dafür entstehen. Wir freuen uns auf einen Erstkontakt, den wir selbstverständlich kostenlos anbieten.

 

Die neue Datenschutzgrundverordnung 

Ist Facebook noch datenschutzkonform?

Datenschutzrechtliche Einwilligung fast nie erforderlich

 

Melden Sie sich bei uns! Wir können Ihnen eine kurze Ersteinschätzung geben, ob Anpassungsbedarf besteht. Sollte dies der Fall sein, führen wir Ihnen transparent auf, welche Änderungen erforderlich sind und welche Kosten dafür entstehen. Wir freuen uns auf einen Erstkontakt, den wir selbstverständlich kostenlos anbieten.

 

Neue Datenschutzgrundverordnung

Die neue Datenschutzgrundverordnung ist in aller Munde

Ab dem 25. Mai 2018 gelten mit der Datenschutzgrundverordnung (DSGVO) neue Datenschutzregeln. Durch die europaweit einheitliche Regelung soll der Schutz personenbezogener Daten auf hohem Niveau sichergestellt werden. Verschärfte Dokumentations- und Rechenschaftspflichten stellen insbesondere kleine Unternehmen und Vereine vor Herausforderungen.

 

Wer ist von der DSGVO betroffen?

Von der DSGVO nicht erfasst sind Privatpersonen. Die neuen Regeln betreffen (neben öffentlichen Stellen) daher vor allem Unternehmen und Selbstständige, aber auch Vereine. Auf die Größe kommt es nicht an, Voraussetzung ist nur, dass personenbezogene Daten verarbeitet werden. Der Begriff der „personenbezogenen Daten“ wird von der DSGVO weit gefasst. Dies bedeutet, dass neben Namen, Adressen oder Kontonummern z.B. auch Emailadressen, Standortdaten, IP-Adressen oder Gesundheitsinformationen darunter fallen. Eine „Verarbeitung“ dieser Daten liegt wiederum schon dann vor, wenn die Daten nur erfasst, geordnet oder gespeichert werden. Damit ist letztlich schon das bloße Führen eines Mitglieder- oder Kundenverzeichnisses eine „Verarbeitung von Daten“, für die die neuen Regeln gelten. Nicht entscheidend ist, ob dabei ein Computer verwendet wird, auch Verzeichnisse oder Aufzeichnungen in Papierform unterliegen der neuen Regelung. Schon das bloße Betreiben einer Internetseite/Homepage wird aufgrund entsprechender Programme z.B. Google Analytics; facebook-Button zum Liken bestimmter Inhalte, Google Adsense oder ähnliches führt in der Regel dazu, dass eine datenschutzrechtliche Überprüfung erforderlich ist. Es muss sichergestellt werden, dass die Regelungen der DSGVO eingehalten werden.

 

Welches Risiko besteht bei Verstößen gegen die DSGVO?

Die Einhaltung der neuen Regeln wird von den Datenschutzbeauftragten der Länder kontrolliert. Bei Verstößen sind Bußgelder vorgesehen, die bis zu 20 Millionen Euro betragen können. Vor allem kleine und mittelgroße Unternehmen und Vereine werden davon betroffen sein. Aufgrund unserer Erfahrung rechnen wir damit, dass Abmahnanwälte die die neue Rechtslage ausnutzen. Unwissende Websiten-Betreiber, die die Vorschriften nicht einhalten, können so Opfer von Abmahnungen mit hohen Schadensersatzansprüchen werden. Es empfiehlt sich daher in jedem Fall, den Umgang mit Kunden-, Mitarbeiter- oder Mitgliederdaten überprüfen und gegebenenfalls an die Datenschutzverordnung anpassen zu lassen.

 

Was ist zu tun, um datenschutzkonform zu werden?

Die DSGVO will zunächst die Kontrolle der betroffenen Personen über ihre Daten sicherstellen. Zu diesem Zweck ist es in manchen aber längst nicht allen Fällen notwendig, die Einwilligung zur Speicherung und Verarbeitung einzuholen. Häufig ist für die Datenerhebung auch schon das vorvertragliche oder vertragliche Verhältnis Rechtsgrundlage. Zudem sind umfassende Informationsrechte vorgesehen, z.B. über die Verwendung der persönlichen Daten und das Recht, diese berichtigen oder löschen zu lassen.

Darüber hinaus sind - abgestuft nach Unternehmensgröße - Maßnahmen zu ergreifen, mit denen der Datenschutz sichergestellt wird. Außerdem sieht die DSGVO verschärfte Dokumentations- und Rechenschaftspflichten vor. Beispielsweise ist festzuhalten, welche Daten wie verarbeitet werden, ob eine entsprechende Zustimmung vorliegt, welche Risiken bestehen und welche Schutzmaßnahmen getroffen werden. Wichtig ist neben einer individuell angepassten Datenschutzerklärung auf der Homepage und ausgelegt im Unternehmen ein Verarbeitungsverzeichnis und die mit Dritten abzuschließenden Auftragsverarbeitungsverträge. 

 

Melden Sie sich bei uns! Wir können Ihnen eine kurze Ersteinschätzung geben, ob Anpassungsbedarf besteht. Sollte dies der Fall sein, führen wir Ihnen transparent auf, welche Änderungen erforderlich sind und welche Kosten dafür entstehen. Wir freuen uns auf einen Erstkontakt, den wir selbstverständlich kostenlos anbieten.

 

 

Ist Facebook noch datenschutzkonform?

Neues Facebook-Urteil des EuGH!

Der europäische Gerichtshof hat in seinem Urteil vom 5. Juli 2018 eine wichtige Entscheidung zum Datenschutz in sozialen Netzwerken getroffen. Viele Unternehmer entschließen sich dazu, ihre Aktivitäten auf sozialen Netzwerken einzustellen. Doch ist dieser große Einschnitt in das bisherige Marketingkonzept wirklich notwendig?

 

1. Was hat der EuGH hinsichtlich der Nutzung von Facebook entschieden?

Der EuGH hat entschieden, dass neben den Betreibern der Sozialen Medien-Portale auch Betreiber einer Fanpage für die Datenverarbeitung verantwortlich sind und bei Verstößen zur Verantwortung gezogen werden können. Nutzer können sich - etwa bezüglich ihrer Auskunfts- und Informationspflichten - also auch an den Betreiber einer Fanpage wenden. Da der einzelne Seitenbetreiber aber in der Regel nicht genau weiß, welche Daten Portale wie Facebook erheben und was mit diesen Daten geschieht, kann er seinen Auskunftspflichten in der Regel nicht nachkommen.

 

2. Ist jetzt schon mit Abmahnungen wegen Facebook zu rechnen?

Das Urteil des Europäischen Gerichtshofs muss nun noch vom deutschen Bundesverwaltungsgericht umgesetzt werden. Dieses muss vor allem die Frage beantworten, ob Facebook tatsächlich Datenschutzregeln verletzt hat, angesichts der jüngst bekannt gewordenen Skandale („Cambridge Analytica“) ist dies aber zumindest nicht auszuschließen.

Die Entscheidung des EuGH ist darüber hinaus generell für die Auslegung der DSGVO richtungsweisend. Es ist daher schon jetzt möglich, mit Abmahnungen Kapital aus dem Urteil zu schlagen. Viele potentielle Abmahner werden aber auch die endgültige Entscheidung der deutschen Gerichte abwarten.

 

3. Was kann ich tun, um vollständig datenschutzkonform aufzutreten?

Um sicherzugehen, die datenschutzrechtlichen Pflichten einzuhalten, müsste daher jegliches Marketing über Drittanbieter eingestellt werden. Dazu gehören neben Facebook auch andere soziale Netzwerke wie Twitter oder YouTube und Google Maps.

Die Entscheidung, die Auftritte von Unternehmen auf Social-Media-Plattformen beizubehalten oder zu schließen sollte im Einzelfall auf Grundlage einer Risikoabwägung erfolgen. Die Entscheidung sollte davon abhängig gemacht werden, welche Bedeutung die Nutzung im einzelnen Unternehmen hat und wie hoch das Risiko ist, wenn die Seiten weiterhin genutzt werden.

 

4. Was droht, wenn ich meine Facebook-Fanpage weiterhin online halte?

Die Aufsichtsbehörden werden sich weiterhin an die Portalbetreiber wenden. Doch einzelne Kunden oder Wettbewerber könnten die Aktivität in sozialen Netzwerken für Abmahnungen nutzen, die dem Unternehmen schaden kann. Im Falle einer Abmahnung sollte jedenfalls mit Kosten von etwa 5.000 € kalkuliert werden.

 

Es bleibt nun abzuwarten, wie Facebook und andere Social-Media-Betreiber auf das Urteil reagieren. Die Verarbeitung persönlicher Daten möglichst vieler Nutzer ist ein wesentlicher Bestandteil des Geschäftsmodells von Plattformen wie Facebook. Angesichts des drohenden Kundenverlusts ist damit zu rechnen, dass Anpassungen im Umgang mit personenbezogenen Daten vorgenommen werden. So könnte Facebook versuchen, eine eindeutige Einwilligung von seinen Kunden einzuholen, die den Vorgaben der DSGVO entspricht. Marc Zuckerberg brachte auch die Möglichkeit ins Spiel, dass zukünftig auch ein kostenpflichtiger Zugang angeboten wird, bei dem keine umfassende Datenerhebung und -nutzung erfolgt.

 

Sofern Sie hierzu weitere Auskünfte einholen wollen oder wir Sie bei einer Risikoabschätzung unterstützen können, kontaktieren Sie uns gerne, um einen Termin zu vereinbaren.

 

 

Datenschutzrechtliche Einwilligung fast nie notwendig

Datenschutz: es braucht keiner Einwilligung……, zumindest in den meisten Fällen nicht.

1. Einwilligung in die Datenverarbeitung und Information der Betroffenen

Die Verunsicherung rund um den Geltungsbeginn der DSGVO ist insbesondere in kleinen und mittleren Unternehmen groß. Einer der am weitesten verbreiteten Irrtümer ist, dass für jede Erhebung und Nutzung von Daten eine Einwilligung des Betroffenen, am besten schriftlich - und typisch deutsch: in einem Formular -  erforderlich ist. Dies ist jedoch nicht der Fall. Zu unterscheiden ist zunächst zwischen der Zulässigkeit der Erhebung und Nutzung von personenbezogenen Daten und der Information des Betroffenen über die Verarbeitung dieser Daten.

 

2. Datenverarbeitung ohne Einwilligungserklärung?

Die Verarbeitung, also die Erhebung, Speicherung und jede Nutzung von Daten ist grundsätzlich unzulässig, sofern sie nicht auf einer der Rechtsgrundlagen der DSGVO erfolgt, die vor allem in Art. 6 und Art. 9 der DSGVO genannt sind. Die Einwilligung ist dabei nur eine Variante. Gerade in Unternehmen sind zwei andere Rechtsgrundlagen aber wesentlich wichtiger. Einerseits ist eine Verarbeitung von Daten zulässig, wenn dies zur Erfüllung eines Vertrages oder im vorvertraglichen Stadium notwendig ist, andererseits dann, wenn eine gesetzliche Verpflichtung zur Aufbewahrung der Daten besteht. Sofern Sie also z.B. den Auftrag eines Kunden bearbeiten oder dem Kunden bestellte Ware samt Rechnung zusenden, muss dieser der Verwendung der Daten nicht ausdrücklich zustimmen. Eine Einwilligung ist also vor allem dann erforderlich, wenn keine vertragliche Grundlage besteht, wie dies etwa beim Versand von Newslettern der Fall ist. Stützt man die Datenverarbeitung ausschließlich auf eine Einwilligung, kann dies in der Folge sogar zu Schwierigkeiten führen, wenn man den Kunden oder Vertragspartner dementsprechend informiert hat.

 

3. Informationspflichten nach der DSGVO

Von der Zulässigkeit der Datenverarbeitung zu unterscheiden ist die Pflicht, den Betroffenen „zum Zeitpunkt der Erhebung“ der Daten über die Umstände der Verarbeitung zu informieren. Zu informieren ist z.B. darüber, wer die Daten zu welchem Zweck verarbeitet, welche Daten betroffen sind, ob eine Weitergabe an Dritte erfolgt und welche Rechte der Betroffene im Zusammenhang mit seinen personenbezogenen Daten hat. Auf Webseiten erfolgt die Information in der Regel durch eine Datenschutzerklärung. Den Informationspflichten nachzukommen stellt sich - vor allem bei telefonischem Kontakt - nicht immer als leicht heraus. Eine Lösung, wie diese Verpflichtung am besten erfüllt werden kann, lässt sich aber in aller Regel finden, in Frage kommt z.B. eine Bestätigung per E-Mail.

Gerne unterstützen wir Sie bei der Umsetzung der Verpflichtungen aus der DSGVO in ihrem Unternehmen. Kontaktieren Sie uns zur Vereinbarung eines Termins, in einem persönlichen Gespräch können wir den notwendigen Handlungsbedarf in aller Regel rasch abklären.

 

 

Rechtsanwältin Imke Brockerhoff aus Duisburg

 
#