DSGVO Website Update
Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.
Mit der DSGVO kamen weitere Anforderungen an Unternehmen, wie Daten zu verarbeiten sind. Wir sagen Ihnen, wie Daten verarbeitet werden.
Die Datenschutzgrundverordnung stellt in Kapitel zwei verschiedene Prinzipien heraus, die es bei der Datenverarbeitung zwingend zu beachten gilt. Hierzu gehören neben den in Art. 5 DSGVO genannten Prinzipien auch der Grundsatz der Rechtmäßigkeit in Art. 6 DSGVO, Prinzipien zu Einwilligungen nach Art. 7, 8 DSGVO sowie die weiteren Prinzipien in den Regelungen der Art. 9-11 DSGVO. Hinzu treten aufgrund der vorhandenen Öffnungsklauseln nationale Regelungen.
Diese Prinzipien der DSGVO gilt es durch verschiedene Maßnahmen abzusichern. Hierzu gehört zunächst die technische Absicherung gemäß Art. 25-32 DSGVO, die Dokumentations- und Nachweispflicht, die Beachtung der Rechte der betroffenen Personen nach Art. 12-23 DSGVO, organisatorische Absicherungen des Unternehmens gemäß Art. 24-31; 35-36 DSGVO, die Einhaltung von Standards und Zertifizierungen gemäß Art. 40-43 DSGVO und die Überwachung durch den Datenschutzbeauftragten, soweit einer zu bestellen ist, gemäß Art. 37-39 DSGVO.
PRINZIPIEN DER DATENVERARBEITUNG NACH ART. 5 DSGVO
Die wesentlichen Prinzipien der Datenverarbeitung haben Eingang in Art. 5 DSGVO, analog den Prinzipien des BDSG, gefunden und sind teilweise in den weiteren gesetzlichen Regelungen dann konkretisiert worden. Aus Art. 5 DSGVO ergeben sich die folgenden Prinzipien:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Die Verarbeitung soll auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen.
Zweckbindung Die Verarbeitung darf nur für im vorhinein festgelegte Zwecke erfolgen. Eine Weiterverarbeitung der personenbezogenen Daten in einer nicht mit dem im vorhinein angegebenen Zweck zu vereinbarenden Weise ist unzulässig. Erfolgt im Laufe der Verarbeitung eine Zweckänderung löst dies für Unternehmen eine Prüfungspflicht nach Art. 6 Abs. 4 DSGVO aus, die auch zu dokumentieren ist. Als Prüfungskriterien sind bei dieser Vereinbarkeitsprüfung insbesondere die Verbindung zwischen dem Zweck der Erhebung und der Weiterverarbeitung, der Zusammenhang in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Folgen der beabsichtigten Weiterverarbeitung für die betroffene Person und das Vorhandensein entsprechender Garantien, die auch Verschlüsselungen oder Pseudonomisierungen betreffen können, zu berücksichtigen. Sollte von der betroffenen Person eine Einwilligung auch für weiterverarbeitende Zwecke eingeholt worden sein, so müssen nach Erwägungsgrund 32 alle Zwecke von der Einwilligung umfasst sein, damit eine Weiterverarbeitung aufgrund der Einwilligung zulässig ist.
Datenminimierung Die Verarbeitung muss dem Zweck angemessen sein und auf das notwendige Maß beschränkt sein.
Richtigkeit Die verarbeiteten Daten müssen richtig und auf dem aktuellen Stand sein. Unrichtige Daten müssen unverzüglich berichtigt oder gelöscht werden.
Speicherbegrenzung Eine Speicherung der personenbezogenen Daten darf nur so lange erfolgen, wie es für den betreffenden Zweck erforderlich ist.
Integrität und Vertraulichkeit Das verarbeitende Unternehmen muss für ausreichenden Schutz gegen unbefugte oder unrechtmäßige Verarbeitung, Zerstörung oder Schädigung sorgen.
Rechenschaftspflicht Die Einhaltung der vorstehenden Prinzipien muss durch den Verantwortlichen nachgewiesen werden können. Aus dieser Regelung in Art. 5 Abs.2 DSGVO sowie aus Art. 24 DSGVO ergibt sich dann auch das Erfordernis eines umfassenden Datenschutz-Management-Systems. Denn die Regelungen zur Rechenschaftspflicht begründen eine Beweislastumkehr, nach welcher betroffene Unternehmen nachweisen können müssen, dass sie compliant, also konform der datenschutzrechtlichen Anforderungen, gehandelt haben. Ein solcher Nachweis ist gleichwohl nur durch ein umfassendes Datenschutz-Management-System möglich.
Hierzu müssen dann eine Datenschutzpolicy, die den Datenschutz im Unternehmen regelt und einen Verantwortlichen benennt sowie ein dokumentiertes Datenschutz-Risikomanagement-System mit abgeleiteten Maßnahmen und interne Audits gehören.
ERLAUBNISTATBESTÄNDE
Wie bereits die Datenschutzrichtlinie und das Bundesdatenschutzgesetz, beruht auch die DSGVO auf dem Prinzip des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt, was sich u.a. aus Erwägungsgrund 40 ergibt. Danach ist die Verarbeitung personenbezogener Daten weiterhin unzulässig, es sei denn, die Voraussetzungen eines Erlaubnistatbestands sind erfüllt. Art. 6 Abs. 1 DSGVO enthält diese allgemeinen Rechtfertigungstatbestände.
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
RECHTMÄßIGKEIT DER VERARBEITUNG NACH ART. 6 DSGVO
Im Bereich der Rechtmäßigkeit der Datenverarbeitung findet in Deutschland keine wesentliche Änderung der bisherigen Regelungen statt. Denn auch die bisherige Regelung in §4 Abs. 1 BDSG (alt) sah eine Rechtmäßigkeit der Verarbeitung nur unter bestimmten Voraussetzungen vor, was sich aus dem Wortlaut „ist nur rechtmäßig, wenn …“ ergibt.
Diese Formulierung hat der europäische Verordnungsgeber übernommen und in Art. 6 Abs.1 DSGVO festgelegt, dass die Verarbeitung nur dann rechtmäßig ist, wenn mindestens eine der dort aufgezählten Bedingungen erfüllt ist.
Danach ist die Datenverarbeitung rechtmäßig, wenn
Allgemeine gesetzliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 6 Abs. 1 lit. b) – f) DSGVO.
Die für Unternehmen wichtigsten Regelungen sind dabei in Art. 6 Abs.1 lit. a) und b) DSGVO zu finden, wonach eine Verarbeitung personenbezogener Daten einerseits mit einer Einwilligung zulässig ist, deren Bedingungen in Art. 7 DSGVO konkretisiert werden, und andererseits die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist.
Bei der Datenverarbeitung zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b) DSGVO muss der Verantwortliche wie bisher in §28 Abs.1 S.1 Nr. 2 BDSG (alt) prüfen und sicherstellen, dass die Datenverarbeitung zur Vertragserfüllung erforderlich ist. Der Umfang zulässiger Verarbeitungsvorgänge ergibt sich also insbesondere aus der vertraglichen Leistungsbestimmung. Aber auch, wenn der Betroffene im Rahmen vorvertraglicher Verhandlungen eine Verarbeitung seiner personenbezogenen Daten veranlasst hat, ist die Verarbeitung dieser Daten im Sinne von Art. 6 Abs.1 lit. b) DSGVO erforderlich und damit zulässig.
Hinweis: Die Regelung in Art. 6 lit. d) DSGVO ist nicht im Sinne von polizeilichen Maßnahmen oder sonstigen Sicherheitsvorkehrungen zu verstehen. Die diesbezüglich anwendbaren Regelungen sind zeitgleich mit der hiesigen Regelung in einer Richtlinie verabschiedet worden. Eine Umsetzung der Richtlinie für die Polizeiarbeit ergibt sich deshalb durch die Umsetzung der Richtlinie in das BDSG.
Bei Art. 6 lit. f) DSGVO ist eine Interessenabwägung vorzunehmen, soweit berechtigte Interessen des Verantwortlichen oder eines Dritten die Datenverarbeitung erforderlich macht. In Art. 6 Abs. 1 lit. f) DSGVO ist jetzt ausdrücklich geregelt, dass bei der Verarbeitung personenbezogener Daten von Kindern deren Interessen in besonderem Maße zu berücksichtigen sind. Zur Auslegung und Anwendung der Tatbestandsvoraussetzungen des Art. 6 Abs. 1 lit. f) DSGVO wird man sich an den zu § 28 Abs. 1 S. 1 Nr. 2 BDSG (alt) entwickelten Grundsätzen orientieren können. Ergänzend ergeben sich aus Erwägungsgrund 47 die Kriterien der angemessenen Beziehung zwischen dem Verantwortlichen und dem Betroffenen sowie der Vorhersehbarkeit der Datenverarbeitung für den Betroffenen.
Ein solches berechtigtes Interesse könnte z.B. die Datenübermittlung im Konzernverbund sein. Auch wenn kein grundsätzliches Konzernprivileg vorhanden ist, so wird ein berechtigtes Interesse für die konzerninterne Datenübermittlung für Kundendaten und HR-Daten in Erwägungsgrund 48 aufgeführt. Auch für internationale Übermittlungen kann ein berechtigtes Interesse nach Art. 46, 49 DSGVO vorliegen, wobei diese restriktiv auszulegen sind.
Darüber hinaus kann ein berechtigtes Interesse auch zum Zwecke des Direktmarketings vorliegen, da Direktmarketing als mögliches überwiegendes Interesse in Erwägungsgrund 47 genannt ist. Eine eigene Regelung für das Direktmarketing, wie sie in §28 Abs.3 BDSG (alt) vorgesehen war, gibt es in der DSGVO nicht. Vielmehr ist eine Datenverarbeitung zum Zwecke des Direktmarketings nach der Regelung in §6 Abs.1 lit. f) DSGVO möglich. Gleichwohl entfällt hierdurch die Voraussetzung einer Einwilligung nicht, da diese schon aus wettbewerbsrechtlichen Gründen notwendig ist.
Das berechtigte Interesse des datenverarbeitenden Unternehmens wird allerdings dann hinter den berechtigten Interessen der betroffenen Person zurückstehen, wenn diese nach Art. 21 DSGVO der Verarbeitung widersprochen hat. Unternehmen sind in diesem Zusammenhang insbesondere auf die Regelung in Art. 21 Abs. 4 DSGVO hinzuweisen, wonach die betroffene Person zwingend über das ihr zustehende Widerspruchsrecht zu informieren ist. Insoweit besteht also für Unternehmen eine Informationspflicht.
Sobald eine betroffene Person der Verarbeitung widersprochen hat, entfällt die Rechtmäßigkeit der Verarbeitung für die Zukunft. Ein grundsätzlicher Widerspruch kann für Werbung und Profiling durch betroffene Personen erklärt werden.
Das Widerspruchsrecht der betroffenen Person erfährt nur insoweit eine Einschränkung, als dass der Widerspruch dann nicht durchgreift, wenn ein zwingendes schutzwürdiges Interesse des Verantwortlichen, z.B. zur Rechtsdurchsetzung, besteht. Die hierfür heranzuziehenden Gründe müssen sich aus den persönlichen Umständen des Betroffenen ergeben und müssen damit begründet werden können.
EINWILLIGUNG IN DIE DATENVERARBEITUNG NACH ART. 7 DSGVO
Die Datenverarbeitung ist gemäß Art. 6 Abs.1 lit. a) DSGVO immer dann zulässig, wenn eine Einwilligung der betroffenen Person vorliegt. Die Voraussetzungen für eine Einwilligung sind in Art. 7 DSGVO geregelt. Die dort normierten Anforderungen gehen dabei über die bisherigen Anforderungen des BDSG (alt) hinaus. Auch nach der Datenschutzgrundverordnung wird die Einwilligung also ein wichtiges Mittel zur Rechtfertigung von Datenverarbeitungsprozessen bleiben.
Nach Art. 7 DSGVO muss die betroffene Person zunächst über den Zweck und den Umfang der Verarbeitung informiert werden. Ebenso ist der Betroffene über den Verantwortlichen zu informieren. Anschließend wird eine freiwillige eindeutige Bestätigungshandlung der betroffenen Person verlangt, die zwar auch mündlich oder elektronisch erklärt werden kann, gleichwohl durch die verarbeitende Stelle auch nach Jahren noch nachweisbar sein muss. Sog. Opt-Out-Verfahren werden durch Erwägungsgrund 32 endgültig ausgeschlossen. Auch Schweigen, Untätigkeit oder vorausgefüllte Checkboxen führen zu keiner wirksamen Einwilligung. Darüber hinaus muss die Einwilligung widerrufbar sein durch die betroffene Person und für verschiedene Zwecke und Verarbeitungsvorgänge müssen separate Einwilligungen vorliegen.
Der Text zur Einwilligung muss dabei unmissverständlich sein, d.h. er muss in verständlicher und leicht zugänglicher Form, also klarer und einfacher Sprache, abgefasst sein. Die sich hieraus ergebenden Auswirkungen sind derzeit noch unklar. Unzulässig dürften Einwilligungsvereinbarungen in sog. „Juristen-Deutsch“ oder in einer Fremdsprache sein. Aber auch Schachtelsätze sollten vermieden werden, da diese eine Lesbarkeit ggf. verkomplizieren.
Ob eine Freiwilligkeit der Einwilligung vorliegt bedarf einer Abwägung im Einzelfall unter Berücksichtigung aller Umstände, die zur Erteilung der Einwilligung geführt haben.
Die Handlung des Betroffenen ist nur dann freiwillig, wenn ihm gegenüber kein Druck ausgeübt wird und die Freiwilligkeit auch nicht gemäß Art. 7 Abs.4 DSGVO durch ein Kopplungsgeschäft hergestellt wird. Denn eine Freiwilligkeit liegt schon dann nicht mehr vor, wenn die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung z.B. davon abhängig gemacht wird, dass mehr Daten des Betroffenen abgegeben werden sollen, als für die Erbringung der Leistung erforderlich wäre. Ein Kopplungsgeschäft könnte aber auch dann vorliegen, wenn Daten als „Zahlungsmittel“ für ansonsten unentgeltliche (Internet-)Dienste eingesetzt werden. Ebenfalls könnte eine Freiwilligkeit bei einem Über- und Unterordnungsverhältnis, wie z.B. einem Beschäftigungsverhältnis vorliegen. In einem solchen Fall wäre der Abschluss einer Betriebsvereinbarung für diese Einwilligungen empfehlenswert, da eine Betriebsvereinbarung nach Erwägungsgrund 155 zulässig ist.
LEGAL SMART | Die innovative Legal Tech Kanzlei aus Berlin vereint alle Vorteile. LEGAL SMART vereint sämtliche Vorteile einer klassischen Anwaltskanzlei mit dem userfreundlichen Angebot eines Legal Tech Unternehmens. Wir haben unsere Prozesse wie ein Legal Tech Unternehmen ausgerichtet und können Sie trotzdem mit der Kompetenz einer Rechtsanwaltskanzlei in allen Fragen des Wirtschafts- und Zivilrechts beraten.
Wie geht das? Wir entwickeln seit Jahren innovative Technologie, welche uns bei der täglichen Arbeit für optimale und schnelle Ergebnisse für unsere Mandanten unterstützt oder die wir Ihnen direkt online zur Verfügung stellen können.
Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.
Wenn Sie als Künstler in der Öffentlichkeit stehen können Sie Ihren Künstlernamen eintragen lassen und Ihre Privatsphäre schützen
Mit einer alle Bereiche berücksichtigenden Prüfung erhalten Sie den besten Schutz für Ihre Marke und können Ihre eigene Marke in jeder Hinsicht einsetzen
LEGAL SMART ist eine innovative Legal Tech Kanzlei, die sich auf wirtschaftsrechtliche Themen spezialisiert hat. Durch die Optimierung interner und externer Prozesse bietet LEGAL SMART digitale, vorgerichtliche sowie gerichtliche Beratung und Vertretung für Unternehmen. Das Ziel ist es, Recht für jeden zugänglich zu machen – schnell, digital und mit der Expertise einer erfahrenen Kanzlei. LEGAL SMART bietet zahlreiche Vorteile, die speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen (KMU) zugeschnitten sind. Durch optimierte Prozesse und digitale Lösungen können Unternehmen Zeit und Geld sparen. Die stetige anwaltliche Begleitung und Prüfung aller unternehmerischen Abläufe sorgt für rechtliche Sicherheit in sämtlichen Handlungen. Ein bedeutender Vorteil ist die transparente Preisgestaltung, die rechtliche Dienstleistungen zu fest kalkulierbaren Preisen ermöglicht. LEGAL SMART bietet eine umfassende Palette an Dienstleistungen, die sowohl vorgerichtliche als auch gerichtliche Vertretung umfassen. Dank innovativer technologischer Prozesse können verschiedene anwaltliche Leistungen durch Online-Assistenten jederzeit in Anspruch genommen werden. LEGAL SMART richtet sich primär an kleine und mittelständische Unternehmen sowie Start-Ups, die sich keine eigene Rechtsabteilung leisten können. Diese Unternehmen profitieren besonders von den digitalen und kosteneffizienten Lösungen, die LEGAL SMART bietet. Darüber hinaus bietet LEGAL SMART auch verschiedene Lösungen für Verbraucher an.