Tel. (+49) 30-20 88 999 00
sofortdatenschutz@mip-consult.de

Häufig gestellte Fragen (FAQ)

Unter Datenschutz versteht man den Schutz personenbezogener Daten vor Missbrauch. Das steht oft auch im Zusammenhang mit dem Schutz der Privatsphäre. Zweck und Ziel des Datenschutzes ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung der Einzelperson. Jeder soll selbst bestimmen können, wem er wann welche seiner Daten und zu welchem Zweck zugänglich macht.

In Deutschland gilt grundsätzlich, dass ein Unternehmen einen Datenschutzbeauftragten bestellen muss, sofern mindestens 10 Mitarbeiter regelmäßig über Computer, Tablet oder Smartphone personenbezogenen Daten, z.B. von Kunden, Mitarbeitern oder Lieferanten verarbeiten (siehe § 38 BDSG). Für die Berechnung gilt, dass unter “Mitarbeiter” nicht nur Arbeitnehmer fallen, sondern insbesondere auch Praktikanten, freie Mitarbeiter, Leiharbeitnehmer und Auszubildende. Ob es sich um Voll- oder Teilzeitbeschäftigte handelt ist irrelevant, jede Person wird voll gezählt. Angehörige der Geschäftsleitung sind dagegen nicht miteinzubeziehen.

Unabhägig von der Mitarbeiterzahl gilt eine Bennenungspflicht, wenn Unternehmen:

  • Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, § 38 Absatz Satz 2 BDSG;
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, § 38 Absatz Satz 2 BDSG;
  • im Kern ihrer Tätigkeit Verarbeitungen vornehmen, welche aufgrund  ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche  regelmäßige und systematische Überwachung von betroffenen Personen  erforderlich machen, Art. 37 Absatz 1 b DSGVO;
  • im Kern ihrer Tätigkeit umfangreiche Verarbeitungen besonderer Kategorien von Daten gemäß  Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO vornehmen, Art. 37 Absatz 1c DSGVO.

Für Behörden oder öffentlichen Stellen (mit Ausnahme von Gerichten), soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, gilt zudem eine generelle Bennenungspflicht.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ist unabhängig davon, welche datenschutz-rechtlichen Verpflichtungen sich aus der DSGVO für ein Unternehmen ergeben. D.h. die Pflichten aus der DSGVO gelten trotzdem (u.a. Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, Definition technischer und organisatorischer Maßnahmen, Abschluss von Auftragsverarbeitungverträgen, Erstellung von Datenschutzfolgeabschätzungen, usw.).

Die DSGVO gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Dies wird als Haushaltsausnahme bezeichnet. Zum typisch persönlich familiären Bereich der Haushaltsausnahme gehören Freizeit, Urlaub, privater Konsum oder Sport. Während das Teilen von Bildern im familiären Bereich in geschlossenen Nutzergruppen (also z.B. in WhatApp) noch unter die Haushaltsausnahme fallen dürfte, ist dies bei öffentlichem Posten in sozialen Netzwerken nicht mehr der Fall.

Grundsätzlich muss eine Datenschutzerklärung immer dann einem Betroffenen zur Verfügung gestellt werden, wenn von diesem personenbezogene Daten verarbeitet werden. „Verarbeiten“ von Daten ist dabei sehr weit zu verstehen, hierzu gehören u.a. das Erheben, das Erfassen, das Ordnen, die Speicherung, die Veränderung, das Abfragen, die reine Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Damit sind Datenschutzerklärungen insbesondere beim Abschluss von Verträgen mit natürlichen Personen (Mietverträge, Kaufverträge, Betreuungsverträge usw.) notwendig. Mit dem Betreiben einer Webseite – selbst wenn dort keine Daten über Formulare abgefragt werden – entsteht die Pflicht, eine Datenschutzerklärung bereit zu stellen. Dies liegt daran, dass vom Server der Webseite IP-Adressen für die Herstellung der Verbindung zur Webseite benötigt und zumindest kurzfristig gespeichert werden. IP-Adressen werden als personenbezogene Daten eingeordnet, mit der Folge, dass über die Verwendung der IP-Adresse und ggf. weiterer im Rahmen der Webseite genutzter personenbezogener Daten in einer Datenschutzerklärung informiert werden muss.

Zunächst wird in der Einwilligungserklärung nicht deutlich genug beschrieben, wofür (=Zweck) die Einwilligung gegeben werden soll und welche Daten des Betroffenen die Einwilligung tatsächlich umfasst. Ferner wird der Hinweis gemäß Art. 7 Absatz 3 Satz 3 DSGVO vergessen, nämlich das die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann und an wen sich der Betroffene diesbezüglich wenden kann (Kontaktdaten und Kontaktwege). Für die im Rahmen der Einwilligung erhobenen Daten sollte dann auf eine entsprechende die weitere Verwendung erklärende Datenschutzerklärung verwiesen werden.

Der Abschluss von Standardvertragsklauseln mit einem Auftragsverarbeiter, der seinen Sitz in der Europäischen Union (EU) hat, ist nicht möglich (so zumindest die Ansicht der Artikel-29-Datenschutzgruppe bzw. mit der DSGVO neu als Europäischer Datenschutzausschuss bezeichnet). Sollen also von einem Auftragsverarbeiter mit Sitz in der EU Unterauftragnehmer im EU-Ausland beauftragt werden, dann muss der Verantwortliche entweder direkt Standardvertragsklauseln mit dem im EU-Ausland sitzenden Unterauftragnehmer vereinbaren oder dem in der EU sitzenden Auftragsverarbeiter eine entsprechende Vollmacht zum Abschluss von Standardvertragsklauseln einräumen.

Ja, die DSGVO kann auch für Unternehmen ohne Niederlassung in der EU – also z.B. ein Startup in den USA – voll anwendbar sein. Die DSGVO ist immer dann für solche Unternehmen anwendbar, wenn diese personenbezogene Daten von Personen, die sich in der Union befinden, verarbeiten und sie diesen Personen in der Union Waren oder Dienstleistungen anbieten. Die Waren und Dienstleistungen können dabei auch kostenlos sein. Ferner ist die DSGVO anwendbar, wenn Unternehmen ohne Niederlassung in der EU das Verhalten von Personen beobachten, soweit das Verhalten der Personen in der Union erfolgt.

Grundsätzlich gilt die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 Absatz 5 DSGVO nur für Unternehmen mit 250 oder mehr Mitarbeitern. Allerdings gilt dies nicht, wenn die Verarbeitung nicht nur gelegentlich erfolgt, Art. 30 Absatz 5 DSGVO. Bereits mit der Verarbeitung der eigenen Mitarbeiterdaten verarbeitet ein Unternehmen aber Daten nicht mehr nur gelegentlich, womit de facto fast alle Unternehmen wieder unter die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO fallen.

Externe Links zu weiteren Informationsquellen für Interessierte: