FAQ zur Datenschutz-Grundverordnung

An wen kann ich mich wenden, wenn ich weitere Fragen zur DSGVO habe? Gibt es Arbeitshilfen und Musterformulare für den Datenschutz?

Die Datenschutzbehörden sind grundsätzlich gehalten, Unternehmen bei der Umsetzung der Vorgaben der DSGVO zu unterstützen. Einzelne Fragen kann man daher an die Aufsichtsbehörde richten. Das Bayerische Landesamt für den Datenschutz hat zum Beispiel ein kostenfreies Online-Tool zur Selbsteinschätzung bereitgestellt. Ansonsten ist empfehlenswert, Datenschutzberater oder spezialisierte Rechtsanwälte zu konsultieren.

Muss ich mir zum Beispiel von Seminarteilnehmern (wir sind Organisator) immer eine Einwilligung zur Datennutzung einholen?

Es kommt darauf an, was Sie mit den Daten anfangen wollen. Für die Abwicklung des Seminars brauchen Sie keine Einwilligung. Sollen die Daten anderen (zum Beispiel den anderen Seminarteilnehmern oder Sponsoren) weitergegeben werden, wird häufig eine Einwilligung erforderlich sein.

Derzeit verpflichten wir unsere Mitarbeiter auf das BDSG, Telekommunikationsgesetz und SGB. Wenn die neue Datenschutzverpflichtung auf die EU-DSGVO unterschrieben wird, sind dann auch noch die Verpflichtungen auf andere Gesetze nötig?

Eine echte Pflicht zur Verpflichtung auf das Datengeheimnis von Mitarbeitern besteht nach der DSGVO nicht. Allerdings empfiehlt es sich im Rahmen der technischen und vor allem organisatorischen Maßnahmen dafür zu sorgen, dass die Mitarbeiter sich an das geltende Datenschutzrecht halten. Der Weg dahin steht den Unternehmen frei. Es kann also auch eine entsprechende Belehrung genügen.

Meine Frage lautet: Ist es nach DSGVO notwendig für jedes Projekt mit Adressdatenlieferung zwischen Full-Service Institut und Feldinstitut eine eigene Einzel-ADV (Auftrag zur Datenverarbeitung) abzuschließen? Oder reicht hierfür ein Rahmenvertrag zur Auftragsdatenverarbeitung aus, wenn mit dem Kunden bereits eine Einzel-ADV unterzeichnet wurde?

Wenn sicher gestellt ist, dass der Rahmenvertrag auch den konkreten Fall betrifft (und insbesondere die Kategorien der erhobenen Daten identisch sind), spricht nichts dagegen weiter mit Rahmen-AV-Vereinbarungen zu arbeiten.

Können wir Aufzeichnungen aus Gruppendiskussionen/ Interviews etc. an den Kunden weitergeben? Die Probanden würden eine Datenschutzerklärung unterschreiben, in welcher ausdrücklich steht, dass die Aufnahmen für Forschungszwecke weitergegeben werden können. Auch der Kunde würde uns eine Erklärung unterschreiben, dass die Aufzeichnungen nur internen Zwecken dienen und auch nach 3 Monaten gelöscht werden müssen.

Mit einer Einwilligung dürfen Daten weitergegeben werden. Allerdings ist darauf zu achten, dass der in der Einwilligung beschriebene Zweck und der tatsächliche Zweck wirklich identisch sind. Wird in der Einwilligung von Forschung gesprochen, dürfen die Daten auch nur zu diesem Zweck weitergegeben und durch den Kunden verarbeitet werden. Eine Nutzung zu Marketingzwecken wäre dann ausgeschlossen. Besser ist es in jedem Falle, die Daten pseudonym oder sogar anonym weiter zu geben.

Wie verhält es sich zukünftig mit Live-Übertragungen von Marktforschungen via Web-Streaming? Hier kann jeder sehr einfach eine Aufzeichnung (z.B. via Smartphone) machen, die nicht kontrolliert werden kann.

Hier kommt es auf die Einzelheiten an. Entscheidend ist vor allem, wer auf den Stream Zugriff erhält und was der Grund für den Stream ist. Ein frei im Internet verfügbarer Stream wäre jedenfalls nicht zulässig. Verantwortlichkeit besteht dabei aber nur für das jeweilige Umfrageinstitut, nicht Handlungen unbeteiligter Dritter.

Erfordert die Befragung (Telefonisch/Online) von B2B-Kunden unbedingt ein Double-Opt-In und ist ggf. auch ein "Workaround" wie zum Beispiel Opt-out / Unsubscribe in der Ankündigungs-Mail möglich?

Das UWG verlangt für die Werbung per E-Mail eine vorherige ausdrückliche Einwilligung. Weder aus dem UWG noch aus der DSGVO ergibt sich aber eine echte Pflicht zum Double-Opt-in. Allerdings kann ein echter Nachweis, dass für eine E-Mail-Adresse oder eine Telefonnummer eine Einwilligung erteilt wurde, nur gelingen, wenn diese verifiziert ist. (Nur) Dazu dient das Double-Opt-in-Verfahren. In Deutschland hat sich das Verfahren eingebürgert, im Ausland ist es weitgehend unbekannt. Aus Sicht der DSGVO kann man auf das Double-In aber möglicherweise verzichten, weil es genügt deutlich zu machen, dass eine Einwilligung vorliegt, dazu kann auch ein einfaches Opt-in ausreichen. Vorfrage muss aber sein, ob es sich überhaupt um eine Verwendung von Daten zu Werbezwecken handelt. Schließlich enthält die DSGVO Ausnahmenvorschriften für die Forschung. Umfragen, die zu Forschungszwecken dienen, wozu u.U. auch die private Forschung zählt, bedürfen keines Opt-Ins, sondern lassen sich auf berechtigte Interessen des Auftragsunternehmens stützen. Für Kundenzufriedenheitsbefragungen haben verschiedene Gerichte in der Vergangenheit entschieden, dass es sich nach dem UWG um Werbung handelt, die einer Einwilligung des Nutzers bedarf.

Uns wurde empfohlen, bei jeder Online-Befragung eine Art Infobox für die Teilnehmer anzulegen, in der über verschiedene Dinge informiert wird. Meine Fragen dazu: Welche Informationen sollten oder müssten in so einer Box untergebracht werden? Muss die Infobox sofort sichtbar sein oder kann man auch einen Link zu "Datenschutzinformationen" setzen?

In der Tat muss bei jeder Datenerhebung über den Umfang der Datenverarbeitung informiert werden. Dies betrifft vor allem, welche Daten, zu welchem Zweck erhoben und verarbeitet und wann diese gelöscht werden. Dies kann in einer ohne Weiteres zugänglichen Datenschutzerklärung geschehen. Die Datenschutzerklärung sollte in unmittelbaren Zusammenhang mit der Dateneingabe durch den Nutzer verlinkt werden. Eine gesonderte Infobox erscheint mir nicht erforderlich.

Inwieweit dürfen Praktikanten und Auszubildende aus Ausbildungsgründen auf Studiendaten zugreifen (zum Beispiel Aufzeichnung einer Einzelexploration, die vor einem Monat stattgefunden hat)?

Die Frage betrifft den Umfang technischer und organisatorischer Maßnahmen. Generell müssen Vorkehrungen dafür getroffen werden, dass nicht jedermann im Unternehmen auf personenbezogene Daten zugreifen kann. Grundsätzlich darf der Zugriff nur im erforderlichen Umfang gewährt werden. Ist die Verarbeitung von Daten durch einen Praktikanten oder Auszubildenden zu Ausbildungszwecken geboten, spricht nichts dagegen, einen solchen Zugriff auch zu gewähren. Ohnehin unproblematisch ist der Zugriff auf anonyme Daten.

Dürfen Unternehmen nach der Erbringung einer Leistung ihren Kunden (B2B & B2C) eine Einladung zu einer Zufriedenheitsbefragung schicken (ohne vorherige schriftliche Einwilligung)?

Nach UWG ist die Antwort angesichts der bisherigen Rechtsprechung recht eindeutig: Nein. Unaufgeforderte Kundenbefragungen stellen Werbung dar, da damit letzten Endes ein absatzfördernder Zweck erreicht werden soll. Dies ist nach § 7 Abs. 2 Nr. 2 UWG verboten, sofern keine ausdrückliche Einwilligung der Nutzer vorliegt. Die DSGVO ändert daran nichts.
Allerdings ist damit nicht zugleich gesagt, dass es sich auch um einen – mit hohen Strafdrohungen belegten – Datenschutzverstoß handelt. Hier kann im Einzelfall durchaus argumentiert werden, dass Kunden mit einer solchen E-Mail rechnen und deshalb die Verwendung der E-Mail-Adresse datenschutzrechtlich gerechtfertigt ist.

Inwiefern hat die neue Verordnung Auswirkungen auf Foto- und Videomaterial, das in der (qualitativen) Feldphase erhoben wird und für den Forschungszweck verarbeitet wird?

Die DSGVO hat nur Auswirkungen, soweit überhaupt personenbezogene Daten betroffen sind. Wie das Verhältnis von DSGVO und § 22 KUG ist, ist allerdings komplex und letztlich vollkommen unklar. Klarsollte sein, dass die Daten mit Einwilligung der Probanden erhoben und verarbeitet werden dürfen.

Ich bin Inhaber in eines Teststudios. Festangestellte 2, Azubis 3 und 20 freie Mitarbeiter. Benötige ich einen Datenschutzbeauftragten?

Ja. Sie brauchen als Unternehmen, dessen Gegenstand die Markt- oder Meinungsforschung ist, unabhängig von der Beschäftigtenzahl einen Datenschutzbeauftragten.

Früher gab es "Telefonbuchdaten (Adresse, Tel.-Nr...) plus Geburtsdatum". Gibt es das noch?

Die Frage spielt offenbar auf das so genannte Listenprivileg des § 28 Abs. 3 BDSG an. Danach durften bestimmte Daten ohne Einwilligung gespeichert und zu Werbezwecken genutzt werden. Diese Regelung gibt es so nicht mehr. Allerdings spricht viel dafür, dass man bestimmte Daten (sicher nicht das Geburtsdatum) auch nach neuem Recht unter Berufung auf berechtigte Interessen verarbeiten darf. Eine generelle Regelung existiert aber nicht mehr, so dass man jeden Fall einzeln prüfen muss.

DSGVO bei Vereinen – auf was ist zu achten?

Auch für Vereine gilt die DSGVO. Das bedeutet zum Beispiel, dass ggf. ein Datenschutzbeauftragter zu bestellen ist und insbesondere das Mitgliedermanagement auf den Prüfstand gehört.

Können Kundendaten an Subunternehmer weitergegeben werden oder muss der Kunde schriftlich zustimmen?

Es kommt darauf an, zu welchem Zweck die Daten weitergegeben werden. In der Regel genügt es, einen Auftragsverarbeitungsvertrag mit dem Subunternehmer zu schließen.

Müssen sich Auftragnehmer und Auftraggeber gegenseitig absichern? Also jeder schickt dem anderen eine Einwilligungserklärung? Und was passiert, wenn der Auftragnehmer noch einen Subunternehmer beschäftigt?

Obacht: Im Verhältnis Auftraggeber und Auftragnehmer geht es nicht um Einwilligungserklärungen, sondern um den Abschluss eines Vertrages. Ob Subunternehmer beauftragt werden dürfen, muss sich aus dem Vertrag ergeben.

Gilt die Pflicht für eine Verfahrensdokumentation auch für kleinere Unternehmen?

Es besteht eine Verpflichtung, ein Verzeichnis über die Verarbeitungstätigkeiten zu führen, wenn das Unternehmen mehr als 250 Mitarbeiter hat. Das ist jedoch kein Grund zur Entwarnung. Auch wenn eine Verarbeitung nicht nur gelegentlich erfolgt oder Risiken für die Rechte und Freiheiten der betroffenen Personen bestehen, muss ein Verzeichnis geführt werden. Wann genau das der Fall ist, ist bisher nicht klar. Marktforschungsunternehmen werden aber stets personenbezogene Daten nicht nur gelegentlich verarbeiten, so dass die allermeisten Marktforschungs-Unternehmen ein Verzeichnis führen müssen. Das ergibt sich im Übrigen auch aus den Verlautbarungen der Datenschutzbehörden, die davon ausgehen, dass "vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten sein" wird.

Muss ich auch alte Backups löschen?

Grundsätzlich ja. Die sich daraus ergebenden Probleme sind bisher weitgehend ungelöst.

Muss ich bei einem Kontaktformular auf der Webseite auch eine Zustimmung zum Datenschutz anlegen?

Eine Datenschutzerklärung ist in diesem Falle zwingend. Diese sollte auf die Website. Eine Einwilligung brauchen Sie nur, wenn Sie die Daten anschließend (auch) zu Werbezwecken nutzen wollen.

Sollte man zur Sicherheit einen § in den Arbeitsvertrag aufnehmen, so dass die Mitarbeiter unterschreiben, dass sie mit der Datenverarbeitung einverstanden sind?

Es kommt darauf an, für welche Datenverarbeitung die Einwilligung gelten soll. Für die Standardprozesse ist das nicht erforderlich – und auch nicht sinnvoll. Eine Einwilligung im Arbeitsverhältnis ist meist problematisch. Oberstes Gebot ist die Freiwilligkeit. Nur wenn die Einwilligung wirklich aus freien Stücken erfolgt, ist sie wirksam. Außerdem kann sie jederzeit widerrufen werden, weshalb sie deutlich weniger als Rechtsgrundlage für die Verarbeitung von Daten im Arbeitsverhältnis geeignet ist.

Wer im Unternehmen soll/darf Datenschutzbeauftragter werden?

Die Anforderungen an einen Datenschutzbeauftragten sind nicht hoch. Die Person muss ein Mindestmaß an Sachkunde aufweisen, sollte also jedenfalls eine entsprechende Schulung durchlaufen haben. Allerdings sind Mitglieder der Geschäftsleitung davon ausgeschlossen, Datenschutzbeauftragter zu werden. Auch der IT-Leiter sollte nicht die Stelle sein, die die Einhaltung der Datenschutzvorschriften im Unternehmen prüft.

Aufbewahrungsfristen nach deutschem Recht vs. DSGVO: was gilt?

Hier gilt nicht entweder/oder! Wenn das deutsche Recht eine Pflicht zur Aufbewahrung von Unterlagen vorsieht, liegt in der Regel auch eine Rechtfertigung nach der DSGVO vor. Allerdings muss im Einzelnen geprüft werden, worauf sich die Löschfrist bezieht. Nur solche personenbezogenen Daten dürfen gespeichert bleiben, die aufgrund des jeweiligen Gesetzes von der Aufbewahrungspflicht umfasst sind.

Muss die Datenschutzerklärung auch auf unsere Angebotsschreiben aufgenommen werden?

Sie müssen über die Datenverarbeitung bei der Erhebung der Daten informieren. Insofern kann es sinnvoll sein, dies gleich bei dem Angebotsschreiben zu erledigen.

Wenn ich Online-Kundendaten auf Wunsch des Kunden gelöscht habe, muss ich diese Löschung nachweisen können? Wenn ja, wie?

Eine Pflicht zum Nachweis besteht nur bei entsprechender Nachfrage. Der Nachweis erfolgt über eine entsprechende Dokumentation im System. Eine Löschung muss aber nur erfolgen, wenn nicht eine Aufbewahrungspflicht besteht.

Wir erheben auf unserer Website keine Kundendaten. Müssen wir eine Datenschutzerklärung online stellen?

Wahrscheinlich schon. Sofern Sie IP-Adressen speichern und/oder Tracking-Tools einsetzen, müssen Sie schon deshalb eine Datenschutzerklärung haben. Auch wenn Sie in anderen Zusammenhängen auf Ihrer Datenschutzerklärung verweisen wollen, bietet es sich an, diese online verfügbar zu haben.

Muss ich von unserer extern beauftragten Firmen wie Reinigungsunternehmen eine spezielle Datenschutzerklärung abverlangen?

Nur wenn diese Unternehmen personenbezogene Daten verarbeiten. Bei einem Reinigungsunternehmen ist das schwer vorstellbar. 

Eine Visitenkarte wird auf einer Messe vom Kunden an den Vertriebler gegeben: Was ist zu beachten?

Wenn Sie die Daten von der Visitenkarte anschließend digitalisieren wollen, müssen Sie streng genommen über die Datenverarbeitung in einer Datenschutzerklärung informieren. Wir haben schon dahingehend beraten, am Messestand eine entsprechende Information auszulegen.

Kundendaten (Adresse + Telefonnummer) werden an einen Spediteur für den Transport weitergeleitet. Was ist zu tun?

Die Weitergabe dürfte im Regelfall vom Vertrag oder berechtigten Interessen gedeckt sein. Je nachdem ob der Spediteur über die Lieferung hinaus personenbezogene Daten verarbeitet, bedarf es einer Vereinbarung über eine Auftragsverarbeitung. In der Regel ist das nicht der Fall. 

Reicht es wenn auf der Homepage eine Datenschutzerklärung zu finden ist oder muss man diese von seinen Kunden unterschreiben lassen?

Für Online-Bestellungen ist ausreichend, wenn die Hinweise zum Datenschutz in der Datenschutzerklärung zu finden sind. Dabei sollte die Erklärung unmittelbar bei der Datenerhebung verlinkt sein. Eine ausdrückliche Bestätigung „Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden“ oder gar eine Unterschrift sind nicht erforderlich.

Dürfen für die Angebotserstellung Adresse, Telefonnummer und E-Mail erhoben werden?

Ja. Personenbezogen sind die Daten nur, wenn sie einer konkreten Person zugeordnet sind (z.B. Durchwahl). Auch bei Personenbezug sollte die Erhebung dieser Daten in Ordnung sein und sich mit der Vertragsanbahnung oder berechtigten Interessen rechtfertigen lassen. 

Muss jeder Kunde angeschrieben werden, was wir für Daten speichern?

Die Frage betrifft offenbar die Informationspflichten. In der Tat sieht die Verordnung vor, dass die Betroffenen über jede Datenverarbeitung zu informieren sind. Online kann dies über die Website erfolgen. Bei Katalogbestellungen sollte die Erklärung zum Datenschutz im Katalog abgedruckt werden. Am Point-of-Sale können Datenschutzinformationen ausgelegt werden. Schwierig ist die Information aber zum Beispiel am Telefon. Inwieweit Medienbrüche zulässig sind und etwa ein Verweis auf die Website erfolgen kann, ist bisher unklar.

Gilt die DSGVO auch für Unternehmen aus dem Europäischen Ausland?

Ja, sofern sich diese Unternehmen gezielt an einen Markt innerhalb der EU wenden, findet die DSGVO Anwendung. Die Verordnung gilt also auch für Facebook, Google, Amazon & Co.

Muss ich den Kunden beim ersten Telefonat - Kunde ruft an und fragt an - über die Datenschutzverarbeitung informieren?

Das ist eine berechtigte Frage, auf die es keine gescheite Antwort gibt. Die Pflicht zur Information der Betroffenen kennt keine Ausnahmen. Streng genommen muss daher tatsächlich am Telefon belehrt werden. Große Unternehmen realisieren dies über optionale Bandansagen. In vielen Fällen vertretbar erscheint mir, auf die Datenschutzerklärung auf der Website zu verweisen.

Wir sammeln manuell Adressen unserer Kunden und speichern diese in einer Excel-Datei. Wir versenden Flyer an diese Kunden, müssen diese dem Speichern und Verwenden der Adressen zustimmen?

Das kommt auf den Einzelfall und die vernünftigen Erwartungen Ihrer Kunden an. Die Versendung von Werbung per herkömmlicher Post und die damit notwendig verbundene Nutzung der Postanschrift ist in der Regel mit berechtigten Interessen gerechtfertigt.

Wie muss die Einwilligung bei einer E-Mail-Aktion erfolgen? Durch aktives "Ja" im Sinne von "Ich stimme zu" oder durch "Wenn ich nicht widerspreche, gilt dies als Einwilligung"?

Die Einwilligung in die Werbung per E-Mail muss immer ausdrücklich sein. Ein Opt-out genügt nicht. Es gibt eine Ausnahme für die Bewerbung von Bestandskunden (§ 7 Abs. 3 UWG). Diese hilft aber nur in seltenen Fällen und ist insgesamt mit Vorsicht zu genießen.

Darf ich meinen Kunden noch zum Geburtstag gratulieren/Frohe Weihnachten wünschen?

Unproblematisch ist das, wenn eine Einwilligung des Kunden vorliegt. Ansonsten ist es in der Tat schwierig. Möglich ist allenfalls ein postalischer Gruß. Und dafür sind die beteiligten Interessen miteinander abzuwägen. Während für die Unternehmen der Kundenservice und die Umsatzmehrung spricht, haben die Kunden ein Interesse daran, dass ihr Geburtsdatum nicht für Werbezwecke verwendet wird.

Am Ende kommt es auf die vernünftigen Erwartungen der Kunden an. Wer sich in einer intensiven Kundenbeziehung befindet und bisher Geburtstagswünsche erhalten hat, wird damit auch in Zukunft rechnen. Wer sein Geburtsdatum angeben musste, um die Volljährigkeit zu prüfen, wird mit einem Geburtstagsgruß nicht rechnen.

Muss auf den Kunden einzeln zugeschnitten benannt werden, in welchen Programmen Daten für was und wie lange genutzt werden?

Im Verarbeitungsverzeichnis haben die Kundendaten nichts zu suchen. Es handelt sich um eine abstrakte Darstellung. Allerdings kann jeder Kunde jederzeit Auskunft über die Daten verlangen, die im Unternehmen über ihn gespeichert sind. Diese Auskunft ist dann ggf. konkret zu erteilen; aber eben nur auf Anfrage.

Darf ich öffentlich zugängliche Daten in meinem CRM-System speichern? 

Datenschutzrechtlich stellt sich die Frage nur bei personenbezogenen Daten. Für reine Unternehmenskennzahlen etwa gibt es keine datenschutzrechtlichen Beschränkungen.
Auch die Erhebung und Nutzung von öffentlich zugänglichen personenbezogenen Daten ist grundsätzlich gestattet. Problematisch kann aber die gezielte Anreicherung von vorvorhandenen Informationen im CRM sein. Hier sollte man sich genau anschauen, ob eine einwilligungsbedürftige Profilbildung vorliegt. Außerdem muss der Betroffene über die Datenerhebung informiert werden.

Wenn wir einen Datenschutzbeauftragten bestellen müssen, kann das auch unser Geschäftsführer sein?

Nein. Der Datenschutzbeauftragte soll Kontrollinstanz sein. Dabei gilt es, Interessenkonflikte zu verhindern. Eine Position als Geschäftsführer ist mit der gleichzeitigen Tätigkeit als Datenschutzbeauftragter für dieses Unternehmen nicht vereinbar. Wer als Ein-Personen-Unternehmen im Bereich der Marktforschung tätig ist und deshalb einen Datenschutzbeauftragten bestellen muss, ist daher auf externe Hilfe angewiesen.

Muss man für eine Einwilligung die Daten, die man speichern möchte, detailliert benennen oder reicht eine allgemeine Einwilligung für alle personenbezogenen Daten?

Wenn eine Einwilligung erforderlich ist (weil sich die Datenverarbeitung nicht auf ein Vertragsverhältnis oder berechtigte Interessen stützen kann), muss diese konkret erfolgen. Eine allgemeine Einwilligung ("Ich bin mit allem einverstanden, was in Ihrer Datenschutzinformation steht.") wäre unwirksam. Zwar können bestimmte Umstände zusammengefasst werden, die DSGVO verlangt aber explizit, dass Einwilligungen, die nichts miteinander zu tun haben, getrennt eingeholt werden.

Wie muss eine Verfahrensdokumentation aussehen?

Der Mindestinhalt des Verzeichnisses ergibt sich aus Art. 30 DSGVO. Danach muss Name und Zweck der Datenverarbeitung und die Rechtsgrundlage angegeben werden. Für jedes einzelne Verfahren, müssen die betroffenen Personengruppen und die konkrete Art der Daten angegeben werden. Gesondert zu kennzeichnen ist, wenn es sich um besondere Arten personenbezogener Daten handelt (zum Beispiel Gesundheitsdaten).

Zudem bietet es sich an, jedem Verfahren eine kurze Beschreibung beizufügen. Diese muss nicht jedes Detail enthalten, es sollte aber deutlich werden, wie die Datenverarbeitung erfolgt. Hierzu kann sinnvoll sein, aus dem Verzeichnis auf eine ausführlichere Prozessbeschreibung zu verweisen. Bisweilen schwierig aber notwendig ist die Angabe, wie lange die Daten zu speichern sind. Dazu bedarf es zunächst eines Löschkonzeptes, aus dem sich die einzelnen Löschfristen ergeben. Weitere Informationspflichten beziehen sich auf die Angabe einer allgemeinen Beschreibung der eingesetzten technischen und organisatorischen Maßnahmen für den Datenschutz. Hierbei spielt insbesondere ein Zugriffsberechtigungskonzept eine wichtige Rolle. Angegeben werden muss zudem, wenn die Daten außerhalb der europäischen Union verarbeitet werden sollen. Das Verzeichnis kann elektronisch, etwa in Excel oder Word geführt werden. Viele Verbände haben für ihre Mitglieder Musterverzeichnisse entwickelt. Auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hat ein Muster für Verzeichnisse nach Art. 30 DSGVO veröffentlicht.

Muss ich bei meinen Kunden eine Einwilligungserklärung einholen, oder ggf. nur bei neuen Kunden nach dem 25. Mai?

Ob eine Einwilligung erforderlich ist, oder die Datenverarbeitung etwa auf einen Vertrag oder berechtigte Interessen gestützt werden kann, muss für jeden einzelnen Datenverarbeitungsvorgang isoliert betrachtet werden. Für Newsletter- Werbung per E-Mail ist in jedem Falle eine Einwilligung erforderlich. Dabei gelten jedoch in der Regel bisher einholte Einwilligungen weiter.

Welche Behörde prüft denn, ob die Vorschriften nach DSGVO eingehalten werden?

Zuständig ist jeweils die Aufsichtsbehörde am Sitz des Unternehmens. In Deutschland hat jedes Bundesland eine für den Datenschutz im nicht-öffentlichen Bereich zuständige Behörde. Eine vollständige Liste gibt es hier.

Wie soll ein Ein-Mann-Unternehmen vorgehen?

Auch für ein Ein-Mann-Unternehmen gilt die DSGVO. Allerdings ist ein Datenschutzbeauftragter nicht zu bestellen.Unabhängig von der Unternehmensgröße muss aber ein Datenschutzbeauftragter bestellt werden, wenn Gegenstand des Unternehmens die Markt- oder Meinungsforschung ist. Mein Rat ist, jedenfalls die geschilderten Must-Haves umzusetzen und insbesondere Datenschutzinformationen auf der Website zu aktualisieren. Viele Interessenverbände haben inzwischen Muster zur Verfügung gestellt. Falls Sie hier nicht fündig werden, sollten Sie sich Rechtsrat einholen.

Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht und beantwortet exklusiv für marktforschung.de Leser-Fragen zur DSGVO. Schirmbacher betreut nicht nur namhafte Unternehmen aus der Online-Branche, sondern referiert auch auf verschiedenen Konferenzen und ist Autor des Buches "Online-Marketing und Recht", das 2017 erschienen ist. Sein gut 10-köpfiges Team berät zur Zeit Unternehmen jeder Größe bei der Umsetzung der DSGVO. Im Übrigen liegen seine Schwerpunkte im E-Commerce und bei der Gestaltung und Verhandlung von IT-Verträgen.

 

Weitere Highlights auf marktforschung.de