FAQ zur Datenschutz-Grundverordnung

Wir erheben auf unserer Website keine Kundendaten. Müssen wir eine Datenschutzerklärung online stellen?

Wahrscheinlich schon. Sofern Sie IP-Adressen speichern und/oder Tracking-Tools einsetzen, müssen Sie schon deshalb eine Datenschutzerklärung haben. Auch wenn Sie in anderen Zusammenhängen auf Ihrer Datenschutzerklärung verweisen wollen, bietet es sich an, diese online verfügbar zu haben.

Muss ich von unserer extern beauftragten Firmen wie Reinigungsunternehmen eine spezielle Datenschutzerklärung abverlangen?

Nur wenn diese Unternehmen personenbezogene Daten verarbeiten. Bei einem Reinigungsunternehmen ist das schwer vorstellbar. 

Eine Visitenkarte wird auf einer Messe vom Kunden an den Vertriebler gegeben: Was ist zu beachten?

Wenn Sie die Daten von der Visitenkarte anschließend digitalisieren wollen, müssen Sie streng genommen über die Datenverarbeitung in einer Datenschutzerklärung informieren. Wir haben schon dahingehend beraten, am Messestand eine entsprechende Information auszulegen.

Kundendaten (Adresse + Telefonnummer) werden an einen Spediteur für den Transport weitergeleitet. Was ist zu tun?

Die Weitergabe dürfte im Regelfall vom Vertrag oder berechtigten Interessen gedeckt sein. Je nachdem ob der Spediteur über die Lieferung hinaus personenbezogene Daten verarbeitet, bedarf es einer Vereinbarung über eine Auftragsverarbeitung. In der Regel ist das nicht der Fall. 

Reicht es wenn auf der Homepage eine Datenschutzerklärung zu finden ist oder muss man diese von seinen Kunden unterschreiben lassen?

Für Online-Bestellungen ist ausreichend, wenn die Hinweise zum Datenschutz in der Datenschutzerklärung zu finden sind. Dabei sollte die Erklärung unmittelbar bei der Datenerhebung verlinkt sein. Eine ausdrückliche Bestätigung „Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden“ oder gar eine Unterschrift sind nicht erforderlich.

Dürfen für die Angebotserstellung Adresse, Telefonnummer und E-Mail erhoben werden?

Ja. Personenbezogen sind die Daten nur, wenn sie einer konkreten Person zugeordnet sind (z.B. Durchwahl). Auch bei Personenbezug sollte die Erhebung dieser Daten in Ordnung sein und sich mit der Vertragsanbahnung oder berechtigten Interessen rechtfertigen lassen. 

Muss jeder Kunde angeschrieben werden, was wir für Daten speichern?

Die Frage betrifft offenbar die Informationspflichten. In der Tat sieht die Verordnung vor, dass die Betroffenen über jede Datenverarbeitung zu informieren sind. Online kann dies über die Website erfolgen. Bei Katalogbestellungen sollte die Erklärung zum Datenschutz im Katalog abgedruckt werden. Am Point-of-Sale können Datenschutzinformationen ausgelegt werden. Schwierig ist die Information aber zum Beispiel am Telefon. Inwieweit Medienbrüche zulässig sind und etwa ein Verweis auf die Website erfolgen kann, ist bisher unklar.

Gilt die DSGVO auch für Unternehmen aus dem Europäischen Ausland?

Ja, sofern sich diese Unternehmen gezielt an einen Markt innerhalb der EU wenden, findet die DSGVO Anwendung. Die Verordnung gilt also auch für Facebook, Google, Amazon & Co.

Muss ich den Kunden beim ersten Telefonat - Kunde ruft an und fragt an - über die Datenschutzverarbeitung informieren?

Das ist eine berechtigte Frage, auf die es keine gescheite Antwort gibt. Die Pflicht zur Information der Betroffenen kennt keine Ausnahmen. Streng genommen muss daher tatsächlich am Telefon belehrt werden. Große Unternehmen realisieren dies über optionale Bandansagen. In vielen Fällen vertretbar erscheint mir, auf die Datenschutzerklärung auf der Website zu verweisen.

Wir sammeln manuell Adressen unserer Kunden und speichern diese in einer Excel-Datei. Wir versenden Flyer an diese Kunden, müssen diese dem Speichern und Verwenden der Adressen zustimmen?

Das kommt auf den Einzelfall und die vernünftigen Erwartungen Ihrer Kunden an. Die Versendung von Werbung per herkömmlicher Post und die damit notwendig verbundene Nutzung der Postanschrift ist in der Regel mit berechtigten Interessen gerechtfertigt.

Wie muss die Einwilligung bei einer E-Mail-Aktion erfolgen? Durch aktives "Ja" im Sinne von "Ich stimme zu" oder durch "Wenn ich nicht widerspreche, gilt dies als Einwilligung"?

Die Einwilligung in die Werbung per E-Mail muss immer ausdrücklich sein. Ein Opt-out genügt nicht. Es gibt eine Ausnahme für die Bewerbung von Bestandskunden (§ 7 Abs. 3 UWG). Diese hilft aber nur in seltenen Fällen und ist insgesamt mit Vorsicht zu genießen.

Darf ich meinen Kunden noch zum Geburtstag gratulieren/Frohe Weihnachten wünschen?

Unproblematisch ist das, wenn eine Einwilligung des Kunden vorliegt. Ansonsten ist es in der Tat schwierig. Möglich ist allenfalls ein postalischer Gruß. Und dafür sind die beteiligten Interessen miteinander abzuwägen. Während für die Unternehmen der Kundenservice und die Umsatzmehrung spricht, haben die Kunden ein Interesse daran, dass ihr Geburtsdatum nicht für Werbezwecke verwendet wird.

Am Ende kommt es auf die vernünftigen Erwartungen der Kunden an. Wer sich in einer intensiven Kundenbeziehung befindet und bisher Geburtstagswünsche erhalten hat, wird damit auch in Zukunft rechnen. Wer sein Geburtsdatum angeben musste, um die Volljährigkeit zu prüfen, wird mit einem Geburtstagsgruß nicht rechnen.

Muss auf den Kunden einzeln zugeschnitten benannt werden, in welchen Programmen Daten für was und wie lange genutzt werden?

Im Verarbeitungsverzeichnis haben die Kundendaten nichts zu suchen. Es handelt sich um eine abstrakte Darstellung. Allerdings kann jeder Kunde jederzeit Auskunft über die Daten verlangen, die im Unternehmen über ihn gespeichert sind. Diese Auskunft ist dann ggf. konkret zu erteilen; aber eben nur auf Anfrage.

Darf ich öffentlich zugängliche Daten in meinem CRM-System speichern? 

Datenschutzrechtlich stellt sich die Frage nur bei personenbezogenen Daten. Für reine Unternehmenskennzahlen etwa gibt es keine datenschutzrechtlichen Beschränkungen.
Auch die Erhebung und Nutzung von öffentlich zugänglichen personenbezogenen Daten ist grundsätzlich gestattet. Problematisch kann aber die gezielte Anreicherung von vorvorhandenen Informationen im CRM sein. Hier sollte man sich genau anschauen, ob eine einwilligungsbedürftige Profilbildung vorliegt. Außerdem muss der Betroffene über die Datenerhebung informiert werden.

Wenn wir einen Datenschutzbeauftragten bestellen müssen, kann das auch unser Geschäftsführer sein?

Nein. Der Datenschutzbeauftragte soll Kontrollinstanz sein. Dabei gilt es, Interessenkonflikte zu verhindern. Eine Position als Geschäftsführer ist mit der gleichzeitigen Tätigkeit als Datenschutzbeauftragter für dieses Unternehmen nicht vereinbar. Wer als Ein-Personen-Unternehmen im Bereich der Marktforschung tätig ist und deshalb einen Datenschutzbeauftragten bestellen muss, ist daher auf externe Hilfe angewiesen.

Muss man für eine Einwilligung die Daten, die man speichern möchte, detailliert benennen oder reicht eine allgemeine Einwilligung für alle personenbezogenen Daten?

Wenn eine Einwilligung erforderlich ist (weil sich die Datenverarbeitung nicht auf ein Vertragsverhältnis oder berechtigte Interessen stützen kann), muss diese konkret erfolgen. Eine allgemeine Einwilligung ("Ich bin mit allem einverstanden, was in Ihrer Datenschutzinformation steht.") wäre unwirksam. Zwar können bestimmte Umstände zusammengefasst werden, die DSGVO verlangt aber explizit, dass Einwilligungen, die nichts miteinander zu tun haben, getrennt eingeholt werden.

Wie muss eine Verfahrensdokumentation aussehen?

Der Mindestinhalt des Verzeichnisses ergibt sich aus Art. 30 DSGVO. Danach muss Name und Zweck der Datenverarbeitung und die Rechtsgrundlage angegeben werden. Für jedes einzelne Verfahren, müssen die betroffenen Personengruppen und die konkrete Art der Daten angegeben werden. Gesondert zu kennzeichnen ist, wenn es sich um besondere Arten personenbezogener Daten handelt (zum Beispiel Gesundheitsdaten).

Zudem bietet es sich an, jedem Verfahren eine kurze Beschreibung beizufügen. Diese muss nicht jedes Detail enthalten, es sollte aber deutlich werden, wie die Datenverarbeitung erfolgt. Hierzu kann sinnvoll sein, aus dem Verzeichnis auf eine ausführlichere Prozessbeschreibung zu verweisen. Bisweilen schwierig aber notwendig ist die Angabe, wie lange die Daten zu speichern sind. Dazu bedarf es zunächst eines Löschkonzeptes, aus dem sich die einzelnen Löschfristen ergeben. Weitere Informationspflichten beziehen sich auf die Angabe einer allgemeinen Beschreibung der eingesetzten technischen und organisatorischen Maßnahmen für den Datenschutz. Hierbei spielt insbesondere ein Zugriffsberechtigungskonzept eine wichtige Rolle. Angegeben werden muss zudem, wenn die Daten außerhalb der europäischen Union verarbeitet werden sollen. Das Verzeichnis kann elektronisch, etwa in Excel oder Word geführt werden. Viele Verbände haben für ihre Mitglieder Musterverzeichnisse entwickelt. Auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) hat ein Muster für Verzeichnisse nach Art. 30 DSGVO veröffentlicht.

Muss ich bei meinen Kunden eine Einwilligungserklärung einholen, oder ggf. nur bei neuen Kunden nach dem 25. Mai?

Ob eine Einwilligung erforderlich ist, oder die Datenverarbeitung etwa auf einen Vertrag oder berechtigte Interessen gestützt werden kann, muss für jeden einzelnen Datenverarbeitungsvorgang isoliert betrachtet werden. Für Newsletter- Werbung per E-Mail ist in jedem Falle eine Einwilligung erforderlich. Dabei gelten jedoch in der Regel bisher einholte Einwilligungen weiter.

Welche Behörde prüft denn, ob die Vorschriften nach DSGVO eingehalten werden?

Zuständig ist jeweils die Aufsichtsbehörde am Sitz des Unternehmens. In Deutschland hat jedes Bundesland eine für den Datenschutz im nicht-öffentlichen Bereich zuständige Behörde. Eine vollständige Liste gibt es hier.

Wie soll ein Ein-Mann-Unternehmen vorgehen?

Auch für ein Ein-Mann-Unternehmen gilt die DSGVO. Allerdings ist ein Datenschutzbeauftragter nicht zu bestellen.Unabhängig von der Unternehmensgröße muss aber ein Datenschutzbeauftragter bestellt werden, wenn Gegenstand des Unternehmens die Markt- oder Meinungsforschung ist. Mein Rat ist, jedenfalls die geschilderten Must-Haves umzusetzen und insbesondere Datenschutzinformationen auf der Website zu aktualisieren. Viele Interessenverbände haben inzwischen Muster zur Verfügung gestellt. Falls Sie hier nicht fündig werden, sollten Sie sich Rechtsrat einholen.

Neuen Kommentar schreiben

Kommentare geben ausschließlich die Meinung ihrer Verfasser wieder. Die Redaktion behält sich vor, Kommentare nicht oder gekürzt zu veröffentlichen. Das gilt besonders für themenfremde, unsachliche oder herabwürdigende Kommentare sowie für versteckte Eigenwerbung.

Kommentare (0)

Keine Kommentare gefunden!
Über marktforschung.de

Branchenwissen an zentraler Stelle bündeln und abrufbar machen – das ist das Hauptanliegen von marktforschung.de. Unser breites Informationsangebot rund um die Marktforschung richtet sich sowohl an Marktforschungsinstitute, Felddienstleister, Panelbetreiber und Herausgeber von Studien, Marktdaten sowie Marktanalysen als auch an deren Kunden aus Industrie, Handel und Dienstleistungsgewerbe.

facebook twitter google plus