AUF DER SICHEREN SEITE

DS-GVO: Welche Unsicherheiten zeigen sich nach drei Monaten?

Die Datenschutzgrundverordnung (DS-GVO) trat am 25. Mai 2018 in Kraft. Seitdem bewegen viele Unternehmen die Angst vor Abmahnungen sowie der Aufwand und die Kosten für die Umsetzung.

In der Praxis hat sich gezeigt, dass Einwilligungen zur Verarbeitung personenbezogener Daten einen großen Unsicherheitsfaktor darstellen. Hier hilft ein Blick in den Artikel 6 DS-GVO, um für mehr Klarheit zu sorgen:

Sprechen Sie uns an

Team Datenschutz

Sprechen Sie uns an

Team Datenschutz

datenschutz@dqs.de

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 

Meistens liegen Verträge für die Verarbeitung personenbezogener Daten zugrunde (Punkt 2), sodass keine zusätzliche Einwilligung mehr notwendig ist! Erst wenn eine Verarbeitung personenbezogener Daten über die vorstehenden Punkte hinausgeht, besteht Bedarf an einer gesonderten Einwilligung.

Unsicherheit herrscht auch bei Webseiten, zum Beispiel, wenn ein Anbieter eine Webseite hat, auf der es kein Kontaktformular gibt und keine Cookies gesetzt werden.

Besteht auch an dieser Stelle gemäß Artikel 13 DS-GVO eine Informationspflicht über die Erhebung von personenbezogenen Daten?

Die Antwort des hessischen Datenschutzbeauftragten ist eindeutig: Ja! Auch in diesem Fall müssen Besucher nach Artikel 13 DS-GVO unterrichtet werden, da die Provider einer Webseite in der Regel „Logfiles“ führen, in denen die Zugriffe auf die Seite protokolliert werden. Dabei werden auch die IP-Adressen der Besucher erhoben und gespeichert.  

Auch wurden in Bayern öffentliche Stellen von Auftragsverarbeitern gebeten, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Kontrolle vor Ort nur gegen ein Entgelt ermöglicht.
Die Antwort des Bayerischen Landesbeauftragten für den Datenschutz ist eindeutig: Aus datenschutzrechtlicher Sicht (Artikel 28 DS-GVO) darf die Wahrnehmung von Kontrollrechten nicht von einem extra Entgelt abhängig gemacht werden, auch nicht bei Kontrollen vor Ort. Denn hierfür ein besonderes Entgelt zu erheben, wirke einer Ausübung des Kontrollrechts entgegen.



Bei Unsicherheiten können die FAQ-Listen sowie die Hotline der Aufsichtsbehörden für Datenschutz hilfreich sein. Eine Übersicht über die jeweiligen Aufsichtsbehörden finden Sie hier: Die Bundesbeaftragte für den Datenschutz und Informationssicherheit