Datenschutzerklärung

 

1) Information über die Erhebung personenbezogener Daten und Kontaktdaten des Verantwortlichen

 

1.1 Wir freuen uns, dass Sie unsere Website besuchen und bedanken uns für Ihr Interesse. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei Nutzung unserer Website. Personenbezogene Daten sind hierbei alle Daten, mit denen Sie persönlich identifiziert werden können.

 

1.2 Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) sind die

 

Hundefreunde Hochspeyer e,V., Hauptstr. 51, 67677 Enkenbach-Alsenborn,

Tel.: 06303 / 5267, E-Mail: hfhochspeyer@web.de.

 

Der für die Verarbeitung von personenbezogenen Daten Verantwortliche ist diejenige natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

 

1.3 Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogene Daten und anderer vertraulicher Inhalte (z.B. Bestellungen oder Anfragen an den Verantwortlichen) eine SSL-bzw. TLS-Verschlüsselung. Sie können eine verschlüsselte Verbindung an der Zeichenfolge „https://“ und dem Schloss-Symbol in Ihrer Browserzeile erkennen.

 

2) Datenerfassung beim Besuch unserer Website

 

Bei der bloß informatorischen Nutzung unserer Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur solche Daten, die Ihr Browser an unseren Server übermittelt (sog. „Server-Logfiles“). Wenn Sie unsere Website aufrufen, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen die Website anzuzeigen:

  • Unsere besuchte Website

  • Datum und Uhrzeit zum Zeitpunkt des Zugriffes

  • Menge der gesendeten Daten in Byte

  • Quelle/Verweis, von welchem Sie auf die Seite gelangten 

  • Verwendeter Browser

  • Verwendetes Betriebssystem

  • Verwendete IP-Adresse (ggf.: in anonymisierter Form)

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website. Eine Weitergabe oder anderweitige Verwendung der Daten findet nicht statt. Wir behalten uns allerdings vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.

 

3) Cookies

 

Um den Besuch unserer Website attraktiv zu gestalten und die Nutzung bestimmter Funktionen zu ermöglichen, verwenden wir auf verschiedenen Seiten sogenannte Cookies. Hierbei handelt es sich um kleine Textdateien, die auf Ihrem Endgerät abgelegt werden. Einige der von uns verwendeten Cookies werden nach dem Ende der Browser-Sitzung, also nach Schließen Ihres Browsers, wieder gelöscht (sog. Sitzungs-Cookies). Andere Cookies verbleiben auf Ihrem Endgerät und ermöglichen uns oder unseren Partnerunternehmen (Cookies von Drittanbietern), Ihren Browser beim nächsten Besuch wiederzuerkennen (persistente Cookies). Werden Cookies gesetzt, erheben und verarbeiten diese im individuellen Umfang bestimmte Nutzerinformationen wie Browser- und Standortdaten sowie IP-Adresswerte. Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann.

 

Teilweise dienen die Cookies dazu, durch Speicherung von Einstellungen den Bestellprozess zu vereinfachen (z.B. Merken für einen späteren Besuch auf der Website). Sofern durch einzelne von uns implementierte Cookies auch personenbezogene Daten verarbeitet werden, erfolgt die Verarbeitung gemäß Art. 6 Abs. 1 lit. b DSGVO entweder zur Durchführung des Vertrages oder gemäß Art. 6 Abs. 1 lit. f DSGVO zur Wahrung unserer berechtigten Interessen an der bestmöglichen Funktionalität der Website sowie einer kundenfreundlichen und effektiven Ausgestaltung des Seitenbesuchs.

 

 

4) Kontaktaufnahme

 

Im Rahmen der Kontaktaufnahme mit uns (z.B. per Kontaktformular oder E-Mail) werden personenbezogene Daten erhoben. Welche Daten im Falle eines Kontaktformulars erhoben werden, ist aus dem jeweiligen Kontaktformular ersichtlich. Diese Daten werden ausschließlich zum Zweck der Beantwortung Ihres Anliegens bzw. für die Kontaktaufnahme und die damit verbundene technische Administration gespeichert und verwendet. Rechtsgrundlage für die Verarbeitung der Daten ist unser berechtigtes Interesse an der Beantwortung Ihres Anliegens gemäß Art. 6 Abs. 1 lit. f DSGVO. Zielt Ihre Kontaktierung auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO. Ihre Daten werden nach abschließender Bearbeitung Ihrer Anfrage gelöscht, dies ist der Fall, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist und sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

 

 

5) Tools und Sonstiges

 

Google Maps

Auf unserer Website verwenden wir Google Maps, einen Webdienst zur Darstellung von interaktiven (Land-)Karten, um geographische Informationen visuell darzustellen. Über die Nutzung dieses Dienstes wird Ihnen unser Standort angezeigt und eine etwaige Anfahrt erleichtert.

  

Wenn Sie mit der künftigen Übermittlung Ihrer Daten an Google im Rahmen der Nutzung von Google Maps nicht einverstanden sind, besteht auch die Möglichkeit, den Webdienst von Google Maps vollständig zu deaktivieren, indem Sie die Anwendung JavaScript in Ihrem Browser ausschalten. Google Maps und damit auch die Kartenanzeige auf dieser Internetseite kann dann nicht genutzt werden.

 

 

6) Rechte des Betroffenen

 

6.1 Das geltende Datenschutzrecht gewährt Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten umfassende Betroffenenrechte (Auskunfts- und Interventionsrechte), über die wir Sie nachstehend informieren:

  • Auskunftsrecht gemäß Art. 15 DSGVO: Sie haben insbesondere ein Recht auf Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten, die Verarbeitungszwecke, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Beschwerde bei einer Aufsichtsbehörde, die Herkunft Ihrer Daten, wenn diese nicht durch uns bei Ihnen erhoben wurden, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Informationen über die involvierte Logik und die Sie betreffende Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung, sowie Ihr Recht auf Unterrichtung, welche Garantien gemäß Art. 46 DSGVO bei Weiterleitung Ihrer Daten in Drittländer bestehen;

  • Recht auf Berichtigung gemäß Art. 16 DSGVO: Sie haben ein Recht auf unverzügliche Berichtigung Sie betreffender unrichtiger Daten und/oder Vervollständigung Ihrer bei uns gespeicherten unvollständigen Daten;

  • Recht auf Löschung gemäß Art. 17 DSGVO: Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten bei Vorliegen der Voraussetzungen des Art. 17 Abs. 1 DSGVO zu verlangen. Dieses Recht besteht jedoch insbesondere dann nicht, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;

  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, solange die von Ihnen bestrittene Richtigkeit Ihrer Daten überprüft wird, wenn Sie eine Löschung Ihrer Daten wegen unzulässiger Datenverarbeitung ablehnen und stattdessen die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn Sie Ihre Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, nachdem wir diese Daten nach Zweckerreichung nicht mehr benötigen oder wenn Sie Widerspruch aus Gründen Ihrer besonderen Situation eingelegt haben, solange noch nicht feststeht, ob unsere berechtigten Gründe überwiegen;

  • Recht auf Unterrichtung gemäß Art. 19 DSGVO: Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht das Recht zu, über diese Empfänger unterrichtet zu werden.

  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO: Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit dies technisch machbar ist;

  • Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO: Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Im Falle des Widerrufs werden wir die betroffenen Daten unverzüglich löschen, sofern eine weitere Verarbeitung nicht auf eine Rechtsgrundlage zur einwilligungslosen Verarbeitung gestützt werden kann. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt;

  • Recht auf Beschwerde gemäß Art. 77 DSGVO: Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, haben Sie - unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs - das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

 

6.2 WIDERSPRUCHSRECHT

 

WENN WIR IM RAHMEN EINER INTERESSENABWÄGUNG IHRE PERSONENBEZOGENEN DATEN AUFGRUND UNSERES ÜBERWIEGENDEN BERECHTIGTEN INTERESSES VERARBEITEN, HABEN SIE DAS JEDERZEITIGE RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIESE VERARBEITUNG WIDERSPRUCH MIT WIRKUNG FÜR DIE ZUKUNFT EINZULEGEN.
MACHEN SIE VON IHREM WIDERSPRUCHSRECHT GEBRAUCH, BEENDEN WIR DIE VERARBEITUNG DER BETROFFENEN DATEN. EINE WEITERVERARBEITUNG BLEIBT ABER VORBEHALTEN, WENN WIR ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN KÖNNEN, DIE IHRE INTERESSEN, GRUNDRECHTE UND GRUNDFREIHEITEN ÜBERWIEGEN, ODER WENN DIE VERARBEITUNG DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN DIENT.

 

WERDEN IHRE PERSONENBEZOGENEN DATEN VON UNS VERARBEITET, UM DIREKTWERBUNG ZU BETREIBEN, HABEN SIE DAS RECHT, JEDERZEIT WIDERSPRUCH GEGEN DIE VERARBEITUNG SIE BETREFFENDER PERSONENBEZOGENER DATEN ZUM ZWECKE DERARTIGER WERBUNG EINZULEGEN. SIE KÖNNEN DEN WIDERSPRUCH WIE OBEN BESCHRIEBEN AUSÜBEN.

 

MACHEN SIE VON IHREM WIDERSPRUCHSRECHT GEBRAUCH, BEENDEN WIR DIE VERARBEITUNG DER BETROFFENEN DATEN ZU DIREKTWERBEZWECKEN.

 

7) Dauer der Speicherung personenbezogener Daten

 

Die Dauer der Speicherung von personenbezogenen Daten bemisst sich anhand der jeweiligen gesetzlichen Aufbewahrungsfrist (z.B. handels- und steuerrechtliche Aufbewahrungsfristen). Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und/oder unsererseits kein berechtigtes Interesse an der Weiter-speicherung fortbesteht.

Datenschutz im Verein

 

Bei all den Vorteilen, die ein gemeinnütziger Verein genießt, im Bereich des Datenschutzrechts erfährt dieser keine bevorzugte Behandlung. Auch für ihn gelten die Datenschutzgesetze, insbesondere das Bundesdatenschutzgesetz (BDSG). In diesem Artikel werden die für den Verein geltenden datenschutzrechtlichen Grundlagen näher erläutert und häufige Fragestellungen beantwortet, die in der Vereinspraxis auftreten.

Anwendbarkeit des Bundesdatenschutzgesetzes

Soweit ein Verein personenbezogene Daten erhebt, nutzt, weitergibt oder sonst verarbeitet, müssen die Regelungen des BDSG beachtet werden. Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Damit sind nicht nur die zur Identifizierung einer Person erforderlichen Daten wie z.B. der Name und das Geburtsdatum gemeint, sondern auch Angaben wie Familienstand, Anschrift, Beruf, Telefonnummer, E-Mail-Adresse, Interessen, Mitgliedschaften in Organisationen, Wettkampfergebnisse etc.

Mitarbeiter eines Vereins

Die Rechtmäßigkeit der Erhebung, -verarbeitung und -nutzung der Beschäftigtendaten des Vereins richtet sich nach § 32 BDSG. Als Beschäftigte in diesem Sinne sind vor allem die Angestellten eines Vereins – also die hauptamtlichen Mitarbeiter – gemeint.

Danach darf der Verein solche personenbezogenen Daten seiner Mitarbeiter erheben, die für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhält-nisses erforderlich sind.

So darf der Verein als Arbeitgeber gemäß § 32 Abs. 1 S. 1 BDSG im Rahmen eines Fragebogens nur bestimmte Informationen von seinen Mitarbeitern abfragen. Fragen nach der Schwangerschaft oder nach der politischen oder religiösen Gesinnung sind tabu, es sei denn, diese Angaben sind für die zu besetzende Stelle unerlässlich. Im Rahmen einer Online-Bewerbung muss er darauf achten, dass die Bewerber die Bewerbung verschlüsselt verschicken können.

Alle Personen im Verein, die Zugang zu Mitgliederdaten haben, sind schriftlich auf das Datengeheimnis nach § 5 BDSG zu verpflichten.

Daneben sind noch folgende Themen datenschutzrechtlich von Bedeutung:

Mitglieder eines Vereins

Die Mitgliedschaft in einem Verein ist als rechtsgeschäftliches Schuldverhältnis anzusehen. Rahmen und Inhalt dieses Schuldverhältnisses werden im Wesentlichen durch die Vereinssatzung und durch die Vereinsordnung definiert.

Es ist fast selbsterklärend, dass der Wunsch, in einem Verein Mitglied werden zu wollen, persönlich oder dann durch einen gesetzlichen Vertreter erklärt werden soll. Damit hält der Verein sich auch an den Grundsatz, dass personenbezogenen Daten grundsätzlich direkt bei dem Betroffenen zu erheben sind.

28 Abs. 1 Nr. 1 BDSG regelt die Erhebung und Nutzung von personenbezogenen Daten zu Satzungszwecken. Danach ist die Verwendung von Mitgliederdaten für die Begründung, Durchführung und Beendigung der sich durch die Satzung und den Vereinszweck definierten Mitgliedschaft zulässig. Dabei darf der Verein nur solche personenbezogenen Daten seiner Mitglieder erheben und nutzen, die für die Mitgliederbetreuung und -verwaltung sowie für die Verfolgung des Vereinsziels erforderlich sind.

Davon zu trennen sind solche personenbezogenen Daten der Mitglieder, die für den Verein lediglich nützlich sind. Bei einem Aufnahmeantrag muss das potentielle neue Mitglied erkennen können, bei welchen Informationen es sich um freiwillige und bei welchen um Pflichtangaben handelt. Bei den freiwilligen Angaben sollte noch der Hinweis erteilt werden, zu welchem Zweck diese Daten erhoben und genutzt werden.

Spender und Förderer

Auch die Daten von Spender und Förderer sind nur zu dem Zweck zu verwenden, zu welchem diese Daten erhoben wurden. So werden die Daten wie Name und Kontonummer grundsätzlich nur erhoben, um eine bestimmte Geldsumme an den Verein zu spenden. Um den Spendern oder Förderern nachträglich Spendenwerbung oder Informationen zu dem Verein zuschicken zu können, muss grundsätzlich eine Einwilligung eingeholt werden.

Verwendung von Fotos und Videoaufnahmen

Viele Vereine machen auf eigenen Veranstaltungen Fotos oder Videos, um den Verein beispielsweise im Internet effektiver zu präsentieren. Rechtsgrundlage für die Veröffentlichung von Fotos und Videos im Internet bildet das Kunsturhebergesetz (KUG).

Nach § 22 Abs. 1 KUG dürfen Fotos und Videoaufnahmen von natürlichen Personen grundsätzlich nur mit Einwilligung des Abgebildeten veröffentlicht werden. Die Einwilligung soll aus Gründen der Beweisbarkeit schriftlich erteilt werden. In der vorformulierten Einwilligung (i.d.R. Formularblatt) ist anzugeben, welches Foto oder welche Videoaufnahme auf welcher Internetseite zu welchem Zweck veröffentlicht wird. Darüber hinaus muss die Einwilligungserklärung einen Hinweis enthalten, dass die Einwilligung verweigert oder mit Wirkung für die Zukunft widerrufen werden kann. Wird die Einwilligung verweigert oder widerrufen, so darf das Foto oder die Videoaufnahme in der Regel nicht (mehr) auf der Webseite veröffentlicht werden.

Werbung

Möchte ein Verein durch Werbung den eigenen Bekanntheitsgrad erhöhen, muss er sich an bestimmten Regeln halten. Sowohl bei E-Mail- als auch bei Telefonwerbung muss der Empfänger der Werbung eine Einwilligung in den Erhalt der Werbung erteilt haben. Eine Ausnahme besteht bei sog. Listendaten nach § 28 Abs. 3 S. 2 BDSG.

Einsatz von externen Dienstleistern

Setzt ein Verein externe Dienstleister ein, so hat er daran zu denken, dass er mit dem Dienstleister evtl. eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG abzuschließen hat. In der Regel muss eine solche Vereinbarung abgeschlossen werden, wenn ein Dienstleister im Bereich IT oder Marketing und Werbung für den Verein tätig wird.

Datenschutzrechtliche Anforderungen an eine Webseite

Auch Vereine müssen die eigene Webseite rechtssicher gestalten. 

Der Datenschutzbeauftragte

Ob ein Verein gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, richtet sich nach § 4f Abs. 1 BDSG.

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht in der Regel wenn

  • bei einem automatisierten Verfahren mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder

  • bei einer nicht automatisierten Datenverarbeitung mindestens 20 Personen mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind.

Die Aufgabe des Datenschutzbeauftragten ist dafür zu sorgen, dass der Verein die Vorschriften des Datenschutzes einhält.

Hinweis: Nachstehend finden Sie wichtige Informationen zum gefährlichen Halbwissen bezüglich der neuen Datenschutzverordnung. Autor ist Dr. Carsten Ulbricht, Rechtsanwalt und Partner bei der Kanzlei BARTSCH Rechtsanwälte in Stuttgart. Er berät zu allen rechtlichen Themen des Internet, insbesondere Social Media, E-Commerce und Enterprise 2.0. Die Schwerpunkte liegen dabei auf Internetrecht, Urheberrecht, Markenrecht,Wettbewerbsrecht und Datenschutzrecht, aber auch der Erstellung entsprechender AGB bzw. Nutzungsbedingungen und der Prüfung der rechtlichen Zulässigkeit des Geschäftsmodells bzw. der jeweiligen Plattform.

 

Die DSGVO die ab 25.Mai 2018 den Datenschutz in der gesamten Europäischen Union einheitlich regeln soll, sorgt dafür, dass bei sämtlichen IT- und Datenschutzanwälte derzeit „Ausnahmezustand“ herrscht. Bei mir führt die Vielzahl der Projekte und Fragen zur Umsetzung der DSGVO eben auch dazu, dass Blog  nun (zu) lange brach lag.

Nun bringt mich aber auch die DSGVO bzw. eigentlich das ganze diesbezüglich im Internet verbreitete, gefährliche Halbwissen dazu, mich hier im Blog ein wenig aufzuregen und einigen DSGVO Mythen den Garaus zu machen.

 

Die Nervosität, die rund um die DSGVO derzeit herrscht, liegt – neben dem nicht immer einfach zu verstehenden Gesetz selbst und dem „Verunsicherungsinteresse“ diverser Dienstleister – nicht zuletzt daran, dass bestenfalls halb-informierte Betroffene bei Facebook & Co mit anderen “Halbinformierten” über das Diskutieren, was sie mal “irgendwo“ gehört haben. Die Verbreitung solch gefährlichen Halbwissens und Spekulationen diverser „Hobbyjuristen und Freizeitdatenschutzbeauftragter“ sorgt dann leider auch nicht dafür, dass der Informationsgrad zur DSGVO tatsächlich steigt. Stattdessen wird darüber diskutiert, ob man jetzt auch (ACHTUNG ECHTE BEISPIELE) mit der Putzfrau oder der Post eine Auftragsverarbeitung vereinbaren müsse oder man gehört habe, dass man für den kleinen Onlineshop jetzt einen neuen PC brauche, weil private und geschäftliche Daten nicht auf einem Computer liegen dürften.

Solch falschen Informationen und Spekulationen sorgen dafür, dass die Betroffenen falsche Prioritäten setzen und sich die Unsicherheit schlussendlich sogar noch potenziert, weil man überhaupt nicht mehr weiß, was jetzt eigentlich wirklich umgesetzt werden muss.

Bevor ich nachfolgend mit einigen Mythen zur DSGVO aufräumen möchte, deshalb mein dringender Appell:

  1. Suchen Sie sich bei Fragen zur DSGVO verlässliche Quellen. Dabei sollten auch Onlineartikel der Qualitätsmedien bzw. diverser Blogs bisweilen hinterfragt werden, die leider immer öfter auf „Clickbaiting“ und „Aufreger“ setzen, als auf seriös recherchierte Informationen.

  2. Wer im Internet Fragen Dritter beantwortet, sollte seine Aussagen nicht auf Spekulationen oder „Hörensagen“ gründen, sondern  im besten Fall valide Argumente oder Belege anführen. Und bevor man auf Fragen nur spekuliert, sollte man vielleicht manchmal einfach besser gar nichts schreiben.B. Aufklärung zu iversenDSGVO Mythen

Um hier ein wenig aufzuklären, soll nun mit ein paar DSGVO Mythen „aufgeräumt werden:

MYTHOS 1: AB 25.MAI 2018 MUSS FÜR JEDE DATENVERARBEITUNG EINE EINWILLIGUNG EINGEHOLT WERDEN: DAS IST FALSCH.

Nach dem Verbotsprinzip der DSGVO braucht man für jede Verarbeitung personenbezogener Daten einen sogenannten Legitimationstatbestand. Art. 6 DSGVO nennt dann verschiedene  Erlaubnistatbestände, unter denen die Datenverarbeitung legitimiert werden kann.

Neben der informierten Einwilligung (Art.6 Abs.1 lit.a DSGVO) ist eine Datenverarbeitung auch zulässig, wenn einer der nachfolgenden Erlaubnistatbestände eingreift:

  • Wenn die Datenverarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art.6 Abs.1 lit.b DSGVO). Wer im Onlineshop Daten zur Abwicklung der Bestellung (z.B. Name, Adresse, Kontoverbindung) oder Beantwortung einer Produktanfrage (z.B. über ein Kontaktformular) verarbeitet, braucht hierfür keine Einwilligung, weil Art.6 Abs.1 lit.b DSGVO dies eben bereits erlaubt.

  • Wenn die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung der verarbeitenden Stelle erforderlich ist (Art.6 Abs.1 lit.c DSGVO). So sind Unternehmen z.B. nach 257 Abs. 1 HGB verpflichtet, verschiedene geschäftliche Unterlagen für 6 Jahre aufzubewahren. Wer zu etwas gesetzlich verpflichtet ist, braucht für eine entsprechende Datenverarbeitung natürlich auch keine Einwilligung.

  • Wenn die Verarbeitung zur Wahrung berechtigter Interessen der verarbeitenden Stelle oder Dritter erforderlich ist und die Interessen des Betroffen nicht überwiegen (Art.6 Abs.1 lit.f DSGVO). Über die im Rahmen dieses Erlaubnistatbestandes vorzunehmende Interessenabwägung legitimiert eine Vielzahl üblicher und alltäglicher Datenverarbeitungsvorgänge in Unternehmen (z.B. Speicherung von Visitenkartendaten im CRM) ohne dass es hier einer Einwilligung bedürfte

Da die genannten Vorschriften gleichwertig nebeneinander stehen, genügt es wenn einer der Erlaubnistatbestände des Art.6 Abs.1 DSGVO erfüllt ist. Einer Einwilligung bedarf es in all diesen Fällen nicht.

MYTHOS 2: BEI JEDER WEITERGABE PERSONENBEZOGENER DATEN AN DRITTE MUSS EINE AUFTRAGS(DATEN)VERARBEITUNG VEREINBART WERDEN: DAS IST FALSCH.

Die Auftragsdatenverarbeitung, die nach Art. 28 DSGVO jetzt nur noch Auftragsverarbeitung heißt, liegt nur in den Fällen vor, in denen ein Dienstleister beauftragt wird, die Daten NACH WEISUNG des Auftraggebers zu verarbeiten oder personenbezogene Daten im Rahmen einer entsprechenden Beauftragung offengelegt werden (z.B. bei Wartung einer Webseite mit Kundendatenbank). Da weder die Putzfrau noch die Post mit einer weisungsgebundenen Datenverarbeitung beauftragt wird, braucht es hier auch keinen Auftragsverarbeitungsvertrag.

In vielen Fällen werden Daten weitergegeben, bei denen der Datenempfänger eigene Zwecke mit der Datenverarbeitung verfolgt bzw. über die Verarbeitung der Daten entscheidet. Das sind alles KEINE Fällen einer Auftrags(daten)verarbeitung. Hier braucht es für die einheitlich zu bewertende Datenverarbeitung (einschließlich der DAtenweitergabe) also eine andere Rechtsgrundlage aus dem oben beschriebenen Art.6 Abs.1 DSGVO.

MYTHOS 3: FOTOS DÜRFEN UNTER DER DSGVO NUR NOCH MIT SCHRIFTLICHER EINWILLIGUNG DER ABGEBILDETEN VERÖFFENTLICHT WERDEN. DAS GILT AUCH FÜR GRUPPENFOTOS AUF ÖFFENTLICHEN VERANSTALTUNGEN: DAS IST FALSCH.

Tatsächlich ist die Aufnahme und/oder Veröffentlichung von Personenfotos als Verarbeitung personenbezogener Daten zu werten, für die grundsätzlich die DSGVO eingreift.

Auf der Grundlage von Art. 85 DSGVO kann der nationale Gesetzgeber aber gesetzliche Ausnahmen und Abweichungen von der DSGVO vorsehen. Nach Aussagen verschiedener Europapolitiker, die bei der DSGVO mitgewirkt haben, ist das Kunsturhebergesetz (KUG) als enstprechende gesetzlichen Spezialregelung zu werten.

Damit bleibt es schlussendlich bei den altbewährten Vorgaben der §§ 22 und 23 KUG zur Zulässigkeit der Veröffentlichung von Fotos.

Selbst wenn man das für spezifische Verarbeitungsvorgänge anders sehen kann, so bleibt neben der Einwilligung stets auch die Legitimation über berechtigte Interessen, die aufgrund der vorzunehmenden Interessenabwägung sogar weitergehenden Spielraum als § 23 KUG schaffen könnte. Schlussendlich wird eine Person, die als Teil einer öffentlichen Veranstaltung fotografiert wird, vernünftigerweise erwarten müssen, auf diesem Bild auch veröffentlicht zu werden.

Auch dieses Thema, welches derzeit in diversen Facebookgruppen dramatisiert wird, wird sicher nicht so heiß gegessen werden, wie es gekocht wird.

UPDATE 09.05.2018: Eine erste Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit zeigt, dass meine Einschätzung zur steten Notwendigkeit von Einwilligung bei der Veröffentlichung von Fotos offensichtlich auch von den Datenschutzbehörden geteilt wird. Die weiter kursierende Panikwelle erscheint – trotz einiger unbestreitbarer fortbestehender offener Einzelfragen – insofern doch etwas unverhältnimässig. 

MYTHOS 4: AB 25.MAI 2018 DROHEN BEI SÄMTLICHEN VERSTÖSSEN GEGEN DIE DSGVO BALD MILLIONENBUSSGELD: DAS IST FALSCH.

Richtig ist, dass die DSGVO maximale Bußgelder von 20 Millionen Euro bzw. 4 % des Jahresumsatzes vorsieht. Hier wird im Internet vereinzelt die zweifelhafte Vermutung geäußert, die EU wolle hier „abzocken“. Tatsächlich erscheinen solche Maximalbußgelder durchaus nachvollziehbar, wenn man auch Internetgiganten wie Google, Facebook & Co dazu zwingen will, die Vorgaben der DSGVO zum Schutz der EU-Bürger auch tatsächlich umzusetzen. Solche hohen Bußgelder sind insofern wohl alternativlos.

Das heißt gleichwohl nicht, dass Kleinunternehmer oder der deutsche Mittelstand bei allen denkbaren Verstößen gegen die Datenschutzgrundverordnung existenzgefährdende Bußgelder befürchten müssten.

Nach Art.83 Abs.1 DSGVO sollen Bußgelder zwar wirksam und abschreckend, aber eben auch verhältnismäßig sein. Die Verhältnismäßigkeit orientiert sich neben der Art und Schwere des Verstoßes ausdrücklich auch daran, ob vorsätzlich oder fahrlässig gegen die DSGVO verstoßen worden ist. Wer sich also bemüht, die Vorgaben bestmöglich zu erfüllen, braucht auch keine unverhältnismäßigen Bußgelder zu befürchten.

Schließlich ist zu erwarten, dass die Angemessenheit und Verhältnismäßigkeit der ersten substantiellen Bußgelder von den betroffenen Unternehmen ohnehin einer gerichtlichen Prüfung unterzogen werden. Dann wird man sehen, wie welche Bußgelder die Gerichte für verhältnimäßig halten.

 

Resumee:

Zusammenfassend ist festzustellen, dass mit der Datenschutzgrundverordnung eine wichtige Grundlage geschaffen worden ist, um den Datenschutz in Europa einheitlich zu regeln. Im Interesse eines (digitalen) Binnenmarktes macht das sicher Sinn. Auch die hohen Maximalbußgelder erscheinen erforderlich, ausländische Großunternehmen zur Beachtung zu bringen.

Auch wenn sich einige Vorgaben noch konkretisieren werden, kann man heute klar sagen, welche Umsetzungsmaßnahmen priorisiert werden sollten und was getan werden muss, um etwaige Bußgeld- oder Abmahnrisiken auf ein vertretbares Maß zu reduzieren bzw. vollständig zu beseitigen.

Auch diese Mal werden die neuen Regularien nicht dazu führen, dass „das Internet abgeschaltet wird“.

Wer sich hier von der Panikmache nicht anstecken lässt, sondern sich aus vernünftigen Quellen oder bei Beratern informiert, die einen praktikablen Weg zur Umsetzung zeigen und nicht nur mitteilen, wie unsicher und riskant alles wird, der wird auch die Vorgaben der DSGVO sinnvoll umgesetzt bekommen.