DSGVO – Ratgeber Teil 2:
Einwilligungen, Betroffenenrechte und Tracking
Ihre Zeit rennt – nur noch einen Tag bis zum Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018. Sind Sie gut informiert und vorbereitet?
Im ersten Teil unserer DSGVO-Reihe haben wir Sie über die Definition personenbezogener Daten sowie deren Verarbeitung und den damit verbundenen Einschränkungen informiert.
Erfahren Sie im zweiten Beitrag, wie Sie eine Einwilligung in die Datenverarbeitung richtig gestalten, welche Datenrechte Ihre Kunden haben und worauf Sie unbedingt beim Umgang mit Trackingdiensten achten sollten.
[toc]
Nachweispflicht von Einwilligungen
Als Datenverarbeiter sind Sie verpflichtet, Einwilligungen in die Datenverarbeitung nachzuweisen. Geregelt ist das in Art. 7 Abs. 1 der DSGVO. Haben Sie eine schriftliche Einwilligungserklärung von Ihren Kunden vorliegen, ist das natürlich eine simple Angelegenheit.
Aber stellen Sie den Nachweis in digitaler Form sicher?
Sofern Sie auf Ihrer Website oder mittels einer App von Ihren Kunden eine Einwilligung in elektronischer Form einholen, kommen Sie der Nachweispflicht nach, indem Sie die Einwilligungen beispielsweise mit einem timestamp (Zeitstempel) und gekürzter IP-Adresse protokollieren. Bitte beachten Sie bei diesen Funktionen auch immer die Nützlichkeit eines Double-Opt-In bezüglich der Bestätigung. Ein Double-Opt-In ist funktionell so aufgebaut, dass ein Besucher Ihrer Seite nach, beispielsweise, Preisgabe seiner E-Mail-Adresse, diese nochmalig über eine System-E-Mail bestätigen muss. So vermeiden Sie Falschanmeldungen Dritter und erhalten gleichzeitig eine saubere Protokollierung.
Legen Sie Wert auf Transparenz. Ihre Kunden tun es!
Wer undurchsichtig ist, der wirkt schnell unseriös. Sie haben nichts zu verbergen, also verhalten Sie sich auch so. Gestalten Sie die Einwilligung zur Datenverarbeitung so transparent wie möglich. Beschreiben Sie eindeutig, in was Ihr Kunde eigentlich einwilligt. Führen Sie jeden Kontakt auf, mit dem seine personenbezogenen Daten in Berührung kommen.
Zum Beispiel: Maklerpools
Erklären Sie, was ein Maklerpool überhaupt ist und wie personenbezogene Daten dort genutzt werden. Listen Sie alle verwendeten Maklerpools mit Anschrift auf. Dasselbe gilt für die von Ihnen verwendeten Vergleichsrechner/-portale oder Suchmaschinen, die Sie auf der Suche nach dem besten Angebot für Ihre Kunden verwenden. Schließlich geben Sie auch dort personenbezogene Daten ein.
Verallgemeinerte Formulierungen, aus denen nicht eindeutig hervorgeht, an wen personenbezogene Daten übermittelt werden, entsprechen nicht den Anforderungen der DSGVO und werden in naher Zukunft unzulässig und nicht rechtskräftig sein.
Tipp: Schließen Sie mit den Betreibern von Vergleichsrechner und -portalen Auftragsverarbeitungsverträge (AV, alt ADV) ab. Ein Auftragsdatenverarbeitungsvertrag ist ein Vertrag, zwischen Ihnen (Auftraggeber) und einem externen Dienstleister (Auftragnehmer), der eine Beauftragung und Weisungsgebundenheit darstellt. Der Auftragnehmer ist damit Ihr „verlängerter Arm“. So stellen Sie sicher, dass die Daten nur in einem ganz bestimmten Maß verarbeitet werden und der externe Dienstleister keine „freie Hand“ hat.
Welche Rechte haben Betroffene?
Jede Person, von der Sie personenbezogene Daten speichern und verwenden, hat bestimmte Rechte zum Umgang mit diesen Daten. Diese Betroffenenrechte müssen im Rahmen Ihrer Datenschutzerklärung (sowohl in der Anlage zu Ihren Verbraucherverträgen als auch auf Ihrer Website) genannt werden.
Zu diesen Betroffenenrechten gehören:
- Recht auf Auskunft
Der Betroffene hat das Recht, auf Antrag unentgeltlich Auskunft über die personenbezogenen Daten, die über ihn gespeichert sind, zu erhalten.
WICHTIG: Identifizieren Sie die anfragende Person, bevor Sie Auskünfte zu personenbezogenen Daten geben. Sonst landen personenbezogene Daten schnell in unbefugten Händen. Beispiel für eine sichere Datenauskunft: Senden Sie gespeicherte Daten an die Ihnen bekannte Postanschrift (bitte nicht per Mail!) der betroffenen Person. Der Aufwand einen Brief abzufangen ist deutlich höher als beim Abfangen einer Mail. - Recht auf Berichtigung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenportabilität
Dem Betroffenen muss es gestattet werden, seine personenbezogenen Daten für seine eigenen Zwecke zu erhalten und wiederzuverwenden. Das bedeutet, dass Sie ihrem Kunden diese Daten in einem üblichen Format wie z.B. CSV (Excel-Tabelle) zur Verfügung stellen müssen. - Beschwerderecht bei der zuständigen Aufsichtsbehörde
Erste Anlaufstelle sind hierbei die Landesbeauftragen für Datenschutz und Informationsfreiheit. - Recht auf Löschung
Wünscht ein Betroffener die Löschung der von ihm gespeicherten personenbezogenen Daten, dann müssen Sie diesem Wunsch nachkommen. Vorausgesetzt dem stehen keine Aufbewahrungspflichten gegenüber. Ist das der Fall, so können Sie die Daten zunächst nur sperren. Sperren heißt, dass die Daten von Ihnen gespeichert, aber nicht mehr bearbeitet und genutzt werden dürfen (stellen Sie sich diese Daten wie eine Karteileiche vor). Erst nach Ablauf der Aufbewahrungsfrist darf eine Löschung der Daten erfolgen.
Hinweis: Die Aufbewahrungspflichten finden Sie unter anderem im § 257 Abs. 1 HGB (6. Jahre) und im § 147 Abs. 1 AO (10 Jahre). Eine Besonderheit gilt z. B. bei Bewerberdaten, hier sind die Aufbewahrungsfristen deutlich verkürzt.
Tracking
Trackingdienste spielen im Internet eine große Rolle, um die Wirksamkeit von Werbekampagnen zu messen. Deshalb ist deren Anwendung mittlerweile sehr verbreitet, prominente Beispiele sind Matomo (früher: Piwik) und Google Analytics. Diese Dienste speichern nicht nur personenbezogene und technische Daten, sondern werten diese auch aus. Deshalb sind Sie dazu verpflichtet, Besucher Ihrer Website über die Anwendung dieser Dienste informieren. Ergänzen Sie Ihre Datenschutzerklärung entsprechend.
Praxistipp: Wenn Sie Ihre Website nicht professionell betreuen lassen und Sie sich selbst nicht sicher sind, welche Trackingdienste sie verwenden, dann empfehlen sich Tools wie „Ghostery“ (Browsererweiterung für Firefox, Chrome, Safari etc.).
Bleiben Sie uns als Leser treu und erfahren Sie im nächsten Teil unserer Beitragsreihe zur Datenschutz-Grundverordnung mehr über:
- Das Verzeichnis der Verarbeitungstätigkeit – Nach DSGVO sind Sie dazu verpflichtet eine Aufzählung der einzelnen Verarbeitungstätigkeiten in Ihrem Unternehmen zu führen.
- Die DSGVO-konforme Datenverarbeitung – Wir zeigen Ihnen wie Sie Kundendaten in der Praxis korrekt verarbeiten – von der Erhebung bis zur Löschung.
Gerne unterstützen wir Sie in der Prüfung Ihrer Website, Unternehmens, Datenschutzerklärungen oder Ihres Projektes! Vereinbaren Sie unverbindlich mit einem unserer Juristen, spezialisierten Berater oder externen Datenschutzbeauftragten einen Termin.
Kontaktieren Sie uns per E-Mail :
Ihr Justiziar der RWM-Group
Bartlomiej Zornik
RWM-Group
Wilhelmshöher Allee 191
34121 Kassel
www.rwmgroup.de
