Schlagwort: Informationspflicht

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Landesbeauftragte für den Datenschutz von Baden-Württemberg hat eine Orientierungshilfe zum Thema „Fotografieren und Datenschutz“ veröffentlicht. In diesem Papier wird erläutert, wann die DSGVO überhaupt greift, welche Rechtsgrundlage greifen kann und wie die Betroffenen über die Aufnahmen zu informieren sind

Gilt die DSGVO für Privatpersonen?

  • Grundsätzlich nein, sofern durch Privatpersonen Fotos für familiäre und private Zwecke (z.B. Familienfeiern, angefertigt werden, gilt die DSGVO nicht
  • Aber ACHTUNG! Werden die Fotos veröffentlicht und einen uneingeschränkten Personenkreis zugänglich gemacht, kann die DSGVO in diesen Fällen Anwendung finden
  • Daher die Bilder nicht öffentlich teilen, sondern in einer geschützten Gruppe oder geschlossenem Forum nur bestimmten Personen zugänglich machen

Welche Rechtsgrundlage ist für die Fotoaufnahmen nach der DSGVO einschlägig?

Hier ist die juristische Antwort: „Es kommt drauf an!“ Es können bei Fotoaufnahmen eine von drei Möglichkeiten einschlägig sein.

Einwilligung

  • Der Betroffene hat eingewilligt, dass Fotoaufnahmen und veröffentlicht werden
  • Die Einwilligung ist nicht zwingend schriftlich einzuholen
  • Im Zweifel hat der Verantwortliche jedoch die Einwilligung nachzuweisen
  • Dem Betroffenen ist der Hinweis auf das Widerrufsrecht bereitzustellen

Berechtigtes Interesse

  • Fotoaufnahmen sind unproblematisch wenn das Ergebnis der Interessensabwägung zu Gunsten des Verantwortlichen ausfällt
  • D.h. wenn die Interessen von natürlichen Personen nicht überwiegen
  • Sofern jedoch Kinder fotografiert werden, kann sich nicht auf berechtigte Interesse gestützt werden

Dürfen auf großen und öffentlichen Veranstaltungen Fotos aufgenommen und veröffentlicht werden?

  • Bei großen / öffentlichen Veranstaltungen kann man die Erwartungshaltung dahin gehend auslegen, dass Fotos aufgenommen werden
  • D.h. „Wenn ich das Volksfest besuche, kann ich damit rechnen, dass Fotos für Presse oder Werbezwecke angefertigt und veröffentlicht werden.“

Erfüllung eines Vertrags

  • Sofern z.B. ein Fotograf mit der Dokumentation einer Hochzeit oder Veranstaltung beauftragt wird, erfüllt er den Vertrag mit den Fotoaufnahmen
  • Allerdings ist nur der Auftraggeber, also das Brautpaar, Bestandteil des Vertrags, .d.h. der Fotograf darf Fotos vom Brautpaar machen, jedoch nicht von der Gesellschaft
  • Für die Hochzeitsgesellschaft ist eine andere Rechtsgrundlage zu definieren (z.B. Einwilligung)

Welche anderen Gesetze müssen neben der DSGVO beachtet werden?

  • KUG (Kunsturhebergesetz)
  • APR (Allgemeines Persönlichkeitsrecht

Nach dem KUG bedarf es keiner Einwilligung der Betroffenen, wenn:

  • historische Bilder / Zeitgeschichte
  • die abgebildeten Personen nur Beiwerk sind
  • die Bilder auf Versammlungen, Aufzügen, Umzügen etc. aufgenommen wurden

Muss über die Fotoaufnahmen und die Veröffentlichung informiert werden?

  • Ja, der Verantwortliche hat die Informationspflichten nach Art. 13 DSGVO bereitstellen
  • Bei einer großen Menschenmenge akzeptiert das LfDI, dass durch einen Aushang an den Eingängen mit den wesentlichen Angaben nach Art. 14 Abs. 1 DSGVO die Betroffenen informiert werden
  • Auch die Möglichkeit der „abgestuften“ Informationsbereitstellung ist möglich: 1. Schritt Basisinformationen (Name und Kontaktdaten des Verantwortlichen, Zweck, Rechtsgrundlage, Speicherdauer, Betroffenenrechte) und 2. Schritt (übrige abgehende Informationen)

Dürfen Schulen das Fotografieren verbieten?

  • Die Schule hat das Hausrecht und kann somit Fotoaufnahmen der Eltern verbieten
  • Allerdings kann die DSGVO nicht als Begründung herangezogen werden, da Fotos für Privatzwecke erlaubt sind und nicht unter die DSGVO fallen (s.o.)

Fotografieren und Datenschutz

Quelle

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/09/Fotografieren-und-Datenschutz-September-2019.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat seinen jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung des Datenschutzbeauftragten zum jeweiligen Thema hervorgehoben.

Beschäftigtendatenschutz

  • Kritik des Datenschutzbeauftragten: keine eindeutigen nationalen Regelungen für den Beschäftigtendatenschutz

Informationspflicht gegenüber den Beschäftigten

  • Die Informationspflichten sind nach Art. 13 und/oder Art. 14 DSGVO zu gestalten
  • Empfehlung des DSB Baden-Württemberg: Informationspflicht gegenüber den Mitarbeitern in solch einer Form anbieten, die es den Beschäftigten jederzeit ermöglicht, darauf zuzugreifen (z.B. im Intranet, zentraler Aushang am schwarzen Brett, E-Mail an alle Mitarbeiter)
  • keine Unterschrift oder Empfangsbestätigung der Informationspflicht nötig

Hinweis der Datenbeschützerin

Es bietet sich an, die Informationspflicht für die neuen Mitarbeiter als Anlage zum Arbeitsvertrag beizufügen.

Auch können die Informationspflichten an die Mitarbeiter z.B. als Anhang an die Lohnabrechnung angebracht werden.

Wenn das Foto weg muss…

  • Auf einem Gruppenfoto einer Unternehmensseite war ein ehemaliger Angestellter mit abgebildet
  • Er widerruf seine Einwilligung und verlangte, dass Foto zu löschen
  • Statt der Fotolöschung wurde eine andere Person mit Foto-Retusche hineingeschnitten
  • Die Aufsichtsbehörde kam zum Ergebnis, dass durch das Gruppenfoto keine einzelne Person herausstehen sollte, sondern das Unternehmen allgemein repräsentiert wird
  • Durch die Retusche war der Betroffenen nicht mehr eindeutig identifizierbar und das Recht auf Löschung bestand nicht mehr
  • Zwei Möglichkeiten sofern ein Widerruf seitens der Mitarbeiter ausgesprochen wird: Fotos sind zu löschen oder zu retuschieren, um eine Identifizierung auszuschließen

Ärzte und die DSGVO

Ärztliche Behandlung nur das datenschutzrechtlicher Einwilligung?

  • Nein, da ein Behandlungsvertrag zwischen Patienten und dem Arzt besteht (Art. 6 Abs. 1 lit. b DSGVO)
  • Nur in bestimmten Fällen braucht der Arzt die Einwilligung z.B. bei privatärztlichen Verrechnungsstellen oder vergleichbare Empfänger

Anmerkung der Datenbeschützerin

Das Thema der Einwilligung sorgt immer wieder für Kopfschütteln. Im Blogbeitrag „Warum die Einwilligung die DSGVO kaputt macht“ wird diese Thematik aufgegriffen.

Müssen Patienten mit ihrer Unterschrift den Empfang der Datenschutzinformation einer Arztpraxis quittieren?

  • Nein, da keine Empfangsbestätigung seitens der DSGVO gefordert wird
  • Die Informationen sind zur Verfügung zu stellen z.B. durch Aushang im Wartezimmer oder am Empfang

Technische-Organisatorische Maßnahmen (TOMs)

Datenträgerverschlüsselung

  • Häufigste Datenpanne: Verlust von USB-Sticks, Speicherkarten, externen Festplatten, Laptops oder PCs
  • Wichtige und einfache Maßnahme: Verschlüsselung der gesamten Datenträger
  • Empfehlung: „Full Disk Encryption“ oder für Windows BitLocker; für macOS FileVault; Linux: dm-crypt oder LUKS

Hinweise zum Umgang mit Passwörtern

  • Risiko: Passwörter können von Dritten erraten werden
  • Nutzer sind selbst in der Pflicht starke Passwörter zu wählen
  • Aber auch Hersteller und Administratoren sollten sichere Vorgaben machen

Eine Reihe von Regelungen hat sich dadurch etabliert:

  1. Starke Passwörter wählen
  2. Passwörter niemals doppelt verwenden
  3. Keine Passwörter aus dem Wörterbuch verwenden
  4. Passwörter nicht weitergeben
  5. Passwort-Safe verwenden
  6. Nur bei Kompromittierung ändern
  7. Software-Entwickler dürfen Passwörter keinesfalls im Klartext speichern
  8. Sichere Passwörter auf Smartphones
  9. Standard-Passwörter immer ändern

Anmerkung der Datenbeschützerin

Auch das BayLDA hat prominente Webseiten geprüft und das Ergebnis in seinem Webseitenbericht veröffentlicht. Auch dort wird der Punkt der Passwortsicherheit angesprochen.

Steuerberater und Lohnbuchhaltung

  • Frage: Ist der Steuerberater mit Übernahme der Lohnbuchhaltung Auftragsverarbeiter oder nicht?
  • Sofern der Steuerberater neben seiner eigentlichen Tätigkeit (Hilfe in Steuersachen) zusätzliche weitere Aufgaben übernimmt, handelt es sich um eine Auftragsverarbeitung

Anmerkung der Datenbeschützerin

Das BayLDA nimmt in seinem 8. Tätigkeitsbericht ebenfalls Stellung zu dieser Thematik und gibt an, dass der Steuerberater auch bei Übernahme der Lohnbuchhaltung kein Auftragsverarbeiter ist. Begründet wird dies damit, dass dieser selbstständig arbeitet, weisungsunabhängig ist und der gesetzlichen Schweigepflicht unterliegt.

Es ist jedoch empfehlenswert, dass die Verantwortlichen, die ihren Sitz in Baden-Württemberg haben, der Ansicht der Aufsichtsbehörde folgen oder nochmals nachfragen.

Datenschutz in der Pflege

Datenschutzrechtliche Probleme in Pflegeeinrichtungen

Hier werden einige Fälle aus der Praxis seitens des Landesdatenschutzbeauftragten vorgestellt.

  • Der Geschäftsführer einer Pflegeeinrichtung hatte gleichzeitig die Funktion als DSB – dieser wurde auf den Interessenskonflikt hingewiesen
  • Keine Einwilligung seitens der Heimbewohner für die Veröffentlichung von Bildern in digitalen Fotorahmen – Angabe der Veröffentlichungsorte (Zeitung, Aushang am schwarzen Brett etc.) sind in der Einwilligungserklärung mit abzufragen z.B. durch Ja/Nein-Kästchen
  • Eine Attrappe einer Videokamera wurde im Eingangsbereich eines Pflegeheims angebracht – bloße Attrappen sind ebenfalls datenschutzrechtlich unzulässig, da sich die Betroffenen dennoch beobachtet fühlen können
  • Abfrage von nicht benötigten Daten zukünftiger Bewohner z.B. Religionszugehörigkeit, Staatsangehörigkeit – nur für den Behandlungs- bzw. Pflegevertrag benötigte Daten dürfen abgefragt werden. Weitere Datenerhebungen sind nur mittels einer Einwilligung zulässig. Vertragsvordrucke ggf. mit Hinweisen versehen, dass bestimmte Daten „freiwillige Angaben“ sind.

Der Landesdatenschutzbeauftragte von Baden-Württemberg hat ein FAQ für Pflegeeinrichtungen zusammengestellt.

Bußgelder

Kriterien für die Einleitung eines Bußgeldverfahrens

Folgende Kriterien werden beim Erlass eines Bußgeldes mit eingebracht:

  • Schlechte / keine Zusammenarbeit mit der Aufsichtsbehörde im Verwaltungsverfahrens
  • Grobe Fahrlässigkeit oder Vorsatz
  • Besondere Datenarten
  • Mehrfachverstöße
  • Großer Betroffenenkreis / Große Datenmengen
  • Datenhändler

Datenschutz bei Rechtsanwälten

  • Häufige Beschwerde: E-Mail-Kommunikation ohne Verschlüsselung
  • Pflicht nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO: Ende-zu-Ende-Verschlüsselung

Gesundheit und Soziales

Diskretion in Arztpraxen

  • Empfangstresen und Wartezimmer sollten durch eine verschlossene Tür getrennt werden
  • Eine akustische Schalleindämmung sind bei offenen Räumlichkeiten durch Raumteiler oder Diskretionsbeschallung möglich
  • Telefone sollten mobil tragbar sein, um vertrauliche Telefonate in einem separaten Raum zu führen

Hinweis der Datenbeschützerin

Die Landeszahnärztekammer von Baden-Württemberg veröffentlichte im März 2019 eine Merkblatt zu den TOMs in Arztpraxen. .

Privater Datenschutz

Adresshandel

Zwei Möglichkeiten, um Adresshandel durchzuführen:

  • Einwilligung oder
  • berechtigtes Interesse (Interessensabwägung)

Einwilligung

  • Unproblematisch, wenn Betroffener vorher ausdrücklich und informiert in Adresshandel eingewilligt hat
  • Sofern die Einwilligung auf weitere Unternehmen gelten soll, sind dies namentlich mit Adresse in der Einwilligungserklärung mit anzugeben
  • Pauschale Einwilligungserklärungen sind ungültig
  • Auch wenn die Daten neben den Adresshandel für weitere Zwecke verwendet werden sollen, sind diese mit anzubringen

Interessensabwägung (berechtigtes Interesse)

Es müssen drei Voraussetzungen erfüllt sein, um den Adresshandel auf das berechtigte Interesse stützen zu können:

  • Der für die Verarbeitung Verantwortliche oder ein Dritter haben ein berechtigtes Interesse (rechtlich, wirtschaftlich, tatsächlich oder ideell)
  • Die Verarbeitung ist zur Wahrung des berechtigten Interesse erforderlich
  • Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erforderlich, überwiegen nicht. Insbesondere, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer Verarbeitung rechnen muss

Beispiel: Bei geschäftlichen Beziehungen geht der Betroffenen nicht davon aus, dass seine Kundendaten ungefragt an fremde Unternehmen verkauft oder vermietet werden. Zudem hat der Betroffene ein sehr starkes Interesse daran, dass seine Daten nicht zu einer grenzenlos gehandelten Ware verkommt. Auch könne er sich im Sinne der Transparenz keinen Überblick mehr verschaffen bzw. würde dies erschwert werden.

  • Unzulässig ist auch, die Informationen über den Adresshandel „bösgläubig“ in der Informationspflicht nach Art. 13 und Art. 14 DSGVO bereit zu stellen
  • Art. 13 und Art. 14 DSGVO sollen über die tatsächlichen Datenverarbeitungen informieren und nicht als Erlaubnisbestand gelten oder das Ergebnis der Interessensabwägung vorwegnehmen

Auf Erwägungsgrund 47 kann ein Adresshändler sich nicht stützen, da es hier um Direktwerbung, jedoch nicht um Adresshandel, geht.

Ergebnis: Die Interessensabwägung fällt zugunsten der Betroffenen aus und das berechtigte Interesse fällt somit als Rechtsgrundlage weg.

Ausblick: Der Adresshandel wird wohl nur noch möglich sein, wenn eine Einwilligung seitens der Betroffenen eingeholt wird.

Anmerkung der Datenbeschützerin

Der Tätigkeitsbericht wurde wohl zeitnah nach Inkrafttreten der DSGVO erstellt. Sofern neue Informationen seitens der Behörden bekannt werden, werden diese in der Knowledge-Base veröffentlicht.

34. Tätigkeitsbericht des LfDI

Quelle

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Dürfen die Daten der Mitarbeiter noch verarbeitet werden oder benötige ich ein Einwilligung, damit diese als Beschäftigte angemeldet werden dürfen? Wann wird zwingend eine Einwilligung benötigt und wann nicht? Das DSK-Papier beantwortet diese Fragen.

Rechtsgrundlage § 26 BDSG-neu

  • § 26 BDSG-neu gilt nicht für Beschäftigte bei Behörden, Kommunen und öffentlichen Stellen

Begriff „Beschäftigte“

  • Definition: § 26 Abs. 8 BDSG-neu
  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher;
  • Auszubildende;
  • Rehabilitanden;
  • Freiwillige nach dem Jugendfreiwilligendienstegesetz/Bundesfreiwilligendienstgesetz;
  • wirtschaftlich unselbstständige Personen;
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Inhalt § 26 BDSG-neu

Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses

  • Personenbezogene Daten dürfen von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern es für die Begründung, Durchführung oder Beendigung erforderlich ist
  • Die Verarbeitung ist auch aufgrund von Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen) zulässig (§ 26 Abs. 1 und 4 BDSG)
  • Es dürfen auch die Daten der Beschäftigten sofern es für die Rechte und Pflichten für die Beschäftigtenvertretung erforderlich ist unabhängig von Gesetzen, Verträgen, Vereinbarungen (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu)

Einwilligung

  • Keine Einwilligung für die Verarbeitung der Daten für das Beschäftigungsverhältnis nötig
  • Mitarbeiter können jedoch in eine Datenverarbeitung einwilligen, wenn diese einen rechtlichen oder wirtschaftlichen Vorteil erlangen
  • Dies ist auch möglich, wenn die Interessen zwischen Arbeitgeber und Beschäftigte übereinstimmen

Echte Freiwilligkeit des Beschäftigten?

  • Es wird die die Auffassung vertreten, dass eine Einwilligung der Mitarbeiter durch das Abhängigkeitsverhältnis zum Arbeitgeber nie vollständig unabhängig unterzeichnet wird
  • Die Einwilligung wird deshalb nicht direkt das Arbeitsverhältnis sondern eher Zusatzleistungen (Privatnutzung von Dienstfahrzeugen und EDV-Geräten, Einführung Gesundheitsmanagement, Aufnahme in Geburtstagslisten) betreffen

Anmerkung der Datenbeschützerin

Auch die Veröffentlichung von Mitarbeiterfotos (intern oder extern) bedürfen einer Einwilligung.

Besondere Kategorien personenbezogener Daten

  • Besondere Datenkategorien dürfen nur unter den Voraussetzungen des § 26 Abs. 3 BDSG-neu verarbeitet werden
  • Auch eine Einwilligung für die Verarbeitung der besonderen Datenkategorien ist möglich, sofern sich die Einwilligung ausdrücklich auf diese Daten beruft
  • Es müssen besondere Maßnahmen bei der Verarbeitung getroffen werden (§ 26 Abs. 5 BDSG-neu i.V.m. Art. 5 DSGVO)

Verarbeitung außerhalb von Dateisystemen

  • § 26 BDSG-neu gilt auch für die Verarbeitung außerhalb von Dateisystemen (§ 26 Abs. 7 BDSG-neu)
  • Somit fallen Papierdokumente, mündliche oder tatsächliche Handlungen (z.B. handschriftliche Notizen) unter die datenschutzrechtliche Bestimmungen

Ist die DSGVO überhaupt anwendbar?

  • Die Reichweite des § 26 BDSG-neu ist im Einzelfall zu prüfen
  • Des Weiteren ist Art. 88 DSGVO und § 24 BDSG zu berücksichtigen
  • Es muss jedoch ein Zusammenhang zwischen der Datenverarbeitung und Verwendungszwecken bestehen (Art. 6 Abs. 4 und 1 lit. f DSGVO)
  • Eine Verwendung zu anderen Zwecken (z.B. Verkauf an Dritte zu Werbezwecke) bleibt ausgeschlossen

Welche Folgen resultieren bei Nichtbeachtung des § 26 BDSG-neu?

Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden. Es können auch strafrechtliche Folgen nach § 42 BDSG-neu drohen.

Anmerkung der Datenbeschützerin

Grundsätzlich sind alle Verarbeitungstätigkeiten in Bezug auf das Beschäftigungsverhältnis und freiwillige Einwilligungen in das Verfahrensverzeichnis aufzunehmen. Des Weiteren sind die Mitarbeiter über die Verarbeitungstätigkeiten zu informieren.

Freiwillige Einwilligungen sollten durch einen Vermerk (z.B. in der Personalakte) oder durch ein Formular schriftlich festgehalten werden.

DSK-Kurzpapier Nr. 14

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Wie kann ein Unternehmen die DSGVO umsetzten? Das DSK-Papier gibt hier Antworten auf die Vorgehensweise bei der Umsetzung der DSGVO.

Wer ist für die Umsetzung der DSGVO zuständig?

  • Der Entscheidungsträger z.B. Geschäftsführer
  • Entscheidungsträger = Verantwortlicher

Wie kann die DSGVO umgesetzt werden?

Die Umsetzung kann als Projekt angesehen werden, da verschiedene Abteilungen und Bereiche ineinandergreifen und zusammenarbeiten.

Bestandsaufnahme (Ist-Stand)

  • Prüfung der aktuellen Prozesse in denen personenbezogene Daten verarbeitet werden
  • Zuordnung der zugehörigen Rechtsgrundlage (Vertrag, gesetzliche Vorgabe, berechtigtes Interesse, Einwilligung)
  • Prüfung der aktuellen Datenschutzorganisation (wer ist zuständig, welche Maßnahmen wurden getroffen)
  • Welche Dienstleister werden eingesetzt?
  • Prüfung der bereits vorhandenen Dokumentation oder Vereinbarungen (z.B. Verfahrensverzeichnis, Datenschutzkonzepte, IT-Sicherheitskonzepte)

Ermittlung des Handlungsbedarfs (Soll-Stand)

Sofern der Handlungsbedarf ermittelt wurde, kann eine Analyse zwischen Ist- und Soll-Stand durchgeführt werden.

Vor allem sind folgende Punkte vor dem Hintergrund der DSGVO zu beachten:

Rechtsgrundlagen

  • Prüfung, ob eine Rechtsgrundlage für die Verarbeitung definiert werden kann (Vertrag, berechtigtes Interesse, gesetzliche Forderung, Einwilligung)
  • Prüfung, ob die Einwilligungen den Anforderungen des Art. 7 bzw. des Art. 8 DSGVO erfüllt

Betroffenenrechte

  • Beachtung der zustehenden Betroffenenrechte
  • Z.B. Informationspflichten, Recht auf Auskunft, Berichtigung, Löschung, Einschränkung etc.

Datenschutz durch Technikgestaltung

  • Beachtung der Vorgaben seitens der DSGVO nach Art. 25 DSGVO
  • Anforderungen bei der Prozessgestaltung mit einbinden

Dienstleistungsbeziehungen (Auftragsverarbeiter)

  • Prüfung der vorhandenen Auftragsverarbeitungsverträge

Anmerkung der Datenbeschützerin

Auftragsverarbeitungsverträge, die vor der DSGVO geschlossen wurden, sind nicht mehr gültig. Daher ist die Anforderung eines neuen Vertrags nötig.

Dokumentationspflichten

  • Mit der Dokumentation kann der Verantwortliche seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachweisen
  • Dokumentation nach der DSGVO sind z.B. Verfahrensverzeichnis, Aufzeichnung von Datenschutzvorfällen, Auftragsverarbeitungsverträge

Datenschutz-Folgeabschätzungen (DSFA)

  • Die DSFA erfordert eine umfangreiche Dokumentation
  • Kann auch eine Konsultation mit der Aufsichtsbehörde nach sich ziehen

Meldepflichten

  • Meldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde
  • Meldung von Datenpannen bei der zuständigen Aufsichtsbehörde

Datensicherheit

  • Definition eines angemessenen Schutzniveaus
  • regelmäßige Prüfung der Sicherungsmaßnahmen

Zertifizierung

  • Im Rahmen eines Zertifizierungsverfahren kann der Nachweis über die Einhaltung der DSGVO erfolgen

Hinweis der Datenbeschützerin

Folgende Vorgehensweise wird seitens der Datenbeschützerin vorgenommen. Dabei handelt es sich um eine grobe Beschreibung, um die DSGVO umzusetzen.

  1. Erstellung des Verfahrensverzeichnisses mit einer Risikoanalyse (Ist-Stand) sowie Aufnahme der aktuellen TOMs, Prüfung der Internetseite
  2. Anfertigung eins Managementberichts mit den identifizierten Risiken und Handlungsempfehlungen (Soll-Stand)
  3. Erstellung der Informationspflichten für die Kunden/Geschäftspartner und Mitarbeiter
  4. Einholung und Prüfung von Auftragsverarbeitungsverträgen
  5. Vermittlung von Prozessbeschreibungen zu Datenschutzvorfällen und Betroffenenrechten
  6. Planung und Durchführung von Mitarbeiterschulungen
  7. Jährliche Überprüfung / Audits

DSK-Kurzpapier Nr. 8

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_8.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier nimmt Stellung zum Betroffenenrecht „Auskunft“. In welchem Umfang die Auskunft zu erteilen ist, in welcher Form die Auskunft zu geben ist, ob eine Identifikation erfolgen darf und welche Fristen einzuhalten sind, werden hier beantwortet.

Warum hat man ein Auskunftsrecht?

  • Schaffung von Transparenz über die Verarbeitungsvorgänge
  • Erleichterung des Durchsetzens von weiteren Ansprüchen (z.B. Löschung, Einschränkung, Berichtigung)

Welchen Umfang hat das Auskunftsrecht?

Art. 15 Abs. 1 DSGVO bietet dem betroffenen ein abgestuftes Auskunftsrecht, d.h.

  • der Betroffene kann eine Bestätigung/Negativauskunft des Verantwortlichen verlangen, ob seine Daten dort verarbeitet werden ODER
  • eine konkrete Auskunft verlangen, welche Daten beim Verantwortlichen verarbeitet werden

Neben den beiden Möglichkeiten sind dem Betroffenen jedoch folgende Informationen immer mitzuteilen:

  • Verarbeitungszwecke
  • Kategorien personenbezogener Daten
  • Empfänger selbst bzw. Empfängerkategorien
  • Speicherdauer, falls dies möglich ist
  • zustehende Rechte des Betroffenen (Löschung, Berichtigung, Einschränkung, Widerspruchsrecht)
  • Beschwerderecht bei zuständiger Aufsichtsbehörde
  • Quellen der Daten / Datenherkunft, sofern diese von Dritten mitgeteilt wurden
  • Bestehen einer automatisierten Entscheidungsfindung / Profiling, sofern dies angewandt wird
  • Datenübermittlung in Drittländer, sofern dies durchgeführt wird

Hinweis der Datenbeschützerin

Die oben genannten Informationen sind im Großen und Ganzen inhaltsgleich mit Art. 13 und Art. 14 DSGVO. Daher kann als Anlage an die Rückmeldung an den betroffenen ggf. nochmals die Informationspflicht angehängt werden.

In welcher Form muss die Auskunft erteilt werden?

  • Die Beantwortung kann schriftlich, elektronisch oder mündlich (auf der betroffenen Person)
  • Es kommt jedoch auf den Anfrageweg des Betroffenen an
  • Bei einem elektronischen Auskunftsgesuch ist die Rückmeldung ebenfalls in elektronischer Form zur Verfügung zu stellen (z.B. als PDF)
  • Die Kommunikationswege müssen jedoch angemessene Sicherheitsanforderungen erfüllen (z.B. TLS-Verschlüsselung etc.)

Anmerkung der Datenbeschützerin

Stellt der Anfragende sein Auskunftsgesuch elektronisch per E-Mail, möchte jedoch die Rückmeldung auf dem Postweg erhalten, so ist diesem Folge zu leisten (Art. 15 Abs. 3 Satz 3 DSGVO).

Welche Frist für die Auskunftserteilung ist zu beachten?

  • grds. unverzüglich (Art. 12 Abs. 3 DSGVO) bzw.
  • spätestens aber einen Monat nach Antragseingang
  • Überschreitung der Frist ist nur in begründeten Ausnahmefällen möglich

Kosten der Auskunftserteilung

  • grds. ist die Auskunftserteilung kostenlos zu erteilen
  • fallen jedoch weitere bzw. mehrere Kopien an, darf ein angemessenes Entgelt berechnet werden
  • auch bei dauerhaften oder offenkundigen unbegründeten Anfragen kann ein Entgelt verlangt werden

Darf eine Identifizierung des Betroffenen vorgenommen werden?

  • Der Verantwortliche muss sicherstellen, dass der Anfragende auch wirklich derjenige ist
  • Verhinderung, um Daten an unbefugte Dritte zur Verfügung zu stellen
  • bestehen begründete Zweifel, so kann ein Nachweis über die Identität gefordert werden (Art. 12 Abs. 6 DSGVO)

Anmerkung der Datenbeschützerin

Zur Identifizierung sollten jedoch keine neuen Datensätze erhoben werden, sondern mit den bereits vorhandenen Daten abgeglichen werden. Beispiele: Buchungsnummer/Reservierungsnummer bei Hotels, Kundennummer bei Unternehmen, postalische Adresse bei elektronischem Auskunftsgesuch. Eine Kopie des Ausweises oder Reisepasses sollte nur als letzte Möglichkeit in Betracht gezogen werden. Diese ist nur ein gewissen Einzelfällen zulässig.

Welche Grenzen hat das Auskunftsrecht?

  • Ist eine größere Menge der Datensätze vorhanden, darf der Verantwortliche von dem Betroffenen eine Präzisierung in Bezug auf die Datensätze und Verarbeitungsgänge verlangen
  • Kann bei Banken oder Versicherungen vorkommen
  • Bei unbegründeten oder dauerhaften Anfragen kann eine Ablehnung oder Kostenerstattung folgen; ist jedoch nur in Ausnahmefällen möglich
  • Der Verantwortliche muss nachweisen und gegenüber dem Betroffenen begründen können, dass die Anfrage unbegründet bzw. exzessiv ist
  • § 34 BDSG zieht weitere Grenzen auf Archivdaten und Protokollierungsdaten – ob eine Einschränkung der Ausübung der Betroffenenrechte vorliegt ist im Einzelfall zu entscheiden

Wie sieht es mit den Rechten Dritter aus?

  • Die Auskunftserteilung darf Dritte nicht ihren Rechten und Freiheiten beeinträchtigen
  • jedoch darf die Auskunftserteilung nicht komplett verweigert werden

Was passiert, wenn keine Auskunft gegeben wird?

  • es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden

Empfehlung der Datenbeschützerin

  • Prozessbeschreibung über Betroffenenrechte einführen
  • Mitarbeiter die Prozessbeschreibung im Rahmen einer Mitarbeiterschulung präsentieren und sensibilisieren
  • zuständigen Mitarbeiter innerhalb des Unternehmens für die Beantwortung der Anfragen beauftragen (z.B. interner Datenschutzbeauftragter)
  • Vertretungsregelung bei Abwesenheit der zuständigen Person einführen
  • externer DSB: Anfragen sollten an den DSB weitergeleitet werden und auch die weitere Vorgehensweise besprochen werden

Weitere Informationen finden Sie in unserem Blogartikel: Betroffenenrechte im Datenschutz

DSK-Kurzpapier Nr. 6

Quellen

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Die bayerische Aufsichtsbehörde hat ihren jährlichen Tätigkeitsbericht veröffentlicht. Der Bericht wird nicht im Ganzen wiedergegeben, sondern es werden einzelne Themen vorgestellt. Insbesondere wird die Schlussfolgerung der Aufsichtsbehörde zum jeweiligen Thema hervorgehoben.

Auftragsverarbeitung

Datenschutzrechtliche Anforderungen an den Dienstleister

  • Bei Verweigerung zum Abschluss des Vertrages nach Art. 28 DSGVO oder
  • es erfolgt keine Anpassung an alte Verträge

entfällt die datenschutzrechtliche Grundlage für die Verarbeitung

Konsequenz

  • Auftragsentziehung durch Auftraggeber
  • ggf. neuen Dienstleister mit datenschutzrechtlichen Anforderungen beauftragen

Informationspflichten

Informationspflichten in abgestufter Form

Möglichkeit zur Bereitstellung der Informationspflichten in zwei oder mehreren Stufen:

1. Stufe

  • Informationen zur Identität des Verantwortlichen (Name, Adresse, Erreichbarkeit)
  • Zweck der Verarbeitung (z.B. Kontaktaufnahme)
  • optional: Hinweis auf Betroffenenrechte (je nach Art der Kontakts)

2. Stufe

  • sämtliche restliche Informationen nach Art. 13 und Art. 14 DSGVO (
  • diese Informationen können auf der Webseite hinterlegt sein und mittels Link darauf verwiesen werden oder
  • Informationsblatt kann auch physisch ausgehändigt werden

Empfehlung der Datenbeschützerin

Die Informationspflicht im Internet in der Datenschutzerklärung zur Verfügung stellen und von sämtlichen Dokumenten für Kunden / Geschäftspartner darauf verweisen.

Informationspflichten bei Ärzten

  • Patienten müssen keine Unterschrift leisten, die Informationspflichten zur Kenntnis genommen zu haben
  • Aushang im Wartezimmer oder bei der Anmeldung sind ausreichend

Datenschutz im Internet

Datenschutzbestimmungen auf Webseiten

  • Die Datenschutzerklärung hat sich ebenfalls an Art. 12 bzw. Art. 13 und Art. 14 DSGVO zu orientieren
  • Datenschutzgeneratoren dienen zur Formulierungshilfe
  • Datenschutzerklärung ist jedoch auf die individuelle Webseite anzupassen

Anforderungen an Cookie-Banner

  • beim erstmaligen Aufrufen der Webseite erscheint das Cookie-Banner (Inhalt: Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge z.B. Setzen von Cookies allgemein, Analyse Nutzerverhalten)
  • es darf keine Vorauswahl getroffen sein; der Nutzer muss die Funktionen auswählen können
  • Es darf keine Datenübertragung vor der Aktivierung stattfinden
  • Erst nach Aktivierung (z.B. Häckchen setzen) dürfen die Daten übertragen werden
  • Das Opt-In wird durch den Verantwortlichen gespeichert – das Cookie-Banner erscheint beim nächsten Aufruf nicht mehr
  • Einwilligung muss jederzeit widerrufen werden können (Opt-Out-Möglichkeit)

Anmerkung der Datenbeschützerin

Das BayLDA hat ebenfalls einen Ergebnisbericht Webseitenprüfung veröffentlicht.

Update 29.07.2019: Das EuGH urteilte Bezug auf Cookie Opt-In. Welche Konsequenzen das Urteil für die Webseitenbetreiber bedeutet, haben wir in unserem Blog veröffentlicht.

WhatsApp

  • WhatsApp ist nicht datenschutzkonform, da die Einwilligung zur Nutzung des Messenger unwirksam ist und keine Auskunft über gespeicherte Daten gegeben wird
  • Die Nutzung von WhatsApp ist von Berufsgeheimnisträgern (Ärzten, Anwälten, Wirtschaftsprüfern etc.) nicht gestattet
  • Messenger-Alternativen: Threema, Signal, Wire, Hoccer Chiffry

Wenn WhatsApp dennoch weiterhin eingesetzt wird sind folgende Anforderungen zu erfüllen:

  • keine interne Kommuniktion über Geschäftsabläufe
  • keine Archivierung von den Nachrichtenverläufen
  • Vermeidung von der automatischen Speicherung der Nachrichten im internen Speicher
  • Betrieb von WhatsApp auf separaten Smartphone oder
  • durch eine Container Lösung bzw. MDM (Mobile Device Management) getrennt werden
  • Speicherung von den Kontakten im Telefonbuch, bei denen die Einwilligung vorliegt

Empfehlung der Datenbeschützerin

  • Möglichkeit nutzen, einen datenschutzfreundlichen Messenger einzusetzen: Der Aufwand einen neuen Messenger zu installieren ist sehr gering; den Mitarbeitern und den Geschäftspartnern die Situation erklären
  • Anlegen eines eigenen Adressbuchs für Kontakte, auf welches WhatsApp keinen Zugriff hat

Facebook-Fanpages

  • Facebook-Seiten Betreiber sind gemeinsam mit Facebook für die sog. „Insight-Daten“ gemeinsam verantwortlich
  • Verweis seitens der Behörde auf das DSK-Papier vom 05.09.2019

Empfehlung / Einschätzung der Datenbeschützerin

  • Laut der DSK ist ein Betrieb einer Facebook-Fanpage aktuell rechtswidrig
  • Jeder Seitenbetreiber hat selbst entscheiden, ob er die Seite weiterbetreiben möchte oder offline (nicht löschen) nimmt

Steuerberater und Rechtsanwälte

Auftragsverarbeiter von Steuerberatern

  • Der Steuerberater ist kein Auftragsverarbeiter
  • Begründung: Steuerberater arbeiten selbstständig, weisungsunabhängig und unterliegen der gesetzlichen Geheimhaltungspflicht
  • bei Übernahme der Lohnabrechnung (ohne Finanzbuchhaltung) haben sie ebenfalls aufgrund des Steuerrechts die Verantwortung zu übernehmen (Haftung)

Papier- und Aktenentsorgung

  • Vernichtung richtet sich nach DIN 66399
  • Einteilung in 3 Schutzklassen und 7 Sicherheitsstufen
  • bei Papiervernichtung gelten die Sicherheitsstufen P4 bis P7
  • bei interner Vernichtung ist Schredder mit der Sicherheitsstufe P5 erforderlich

Werbung und Adresshandel

Weihnachts-; Neujahrsglückwunschkarten

  • Grußkarten sind nach der Rechtsprechung als Werbung anzusehen
  • ABER: Art. 6 Abs. 1 lit. f DSGVO steht der Übermittlung der Grußkarten nicht entgegen; Werbewidersprüche sind jedoch zu beachten
  • Kunden sind mittels der Informationspflicht nach Art. 13 und Art. 14 DSGVO auf die Zusendung bzw. auf Werbung hinzuweisen

Handel und Dienstleistung

Kopieren von Personalausweisen

  • Eine Kopie ohne die Zustimmung des Inhabers ist nicht zulässig (§ 20 Abs. 2 PAusWG)
  • Zur Bestimmung der Identität reicht eine Sichtprüfung aus

Anmerkung der Datenbeschützerin

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentliche im Juni 2019 eine Hilfestellung für den Umgang mit Personalausweisdaten.

Der Datenschutzbeauftragte äußerte sich dazu, wann eine Kopie des Personalausweises erlaubt ist.

Beschäftigtendatenschutz

Widerruf Einwilligung von veröffentlichten Mitarbeiterfotos

  • Ausgangssituation: Ein Mitarbeiter widerruft seine Einwilligung. Die Fotos sind bereits den gedruckten Firmenbroschüren veröffentlicht.
  • Der Widerruf hat Auswirkungen auf die Zukunft
  • Eine Interessensabwägung ist durchzuführen -> Abwägung von Umfang und Kosten der Herstellung und des Drucks der Broschüren sowie der Position des Mitarbeiters
  • Ergebnis: Aufgrund der hohen Kosten und des Aufwands des Neudrucks dürfen die Broschüren weiter verwendet werden

Anmerkung der Datenbeschützerin

Die DSK hat ebenfalls Stellung zur Verarbeitung von Mitarbeiterdaten genommen.

Gesundheit und Soziales

Rechtsgrundlage der Verarbeitung in Arztpraxen

  • Es ist keine Einwilligung für die Erhebung und Speicherung der Patientendaten nötig
  • Durch den Behandlungsvertrag und das Berufsgeheimnis liegt eine gesetzliche Grundlage zur Verarbeitung der Daten vor
  • Bei Nichtvorliegen eines Behandlungsvertrages ist eine Einwilligung von Nöten

Abholung von Rezepten und Vereinbarung von Terminen durch den Ehepartner

  • Ehepartner sind im datenschutzrechtlichen Sinne als Dritte anzusehen
  • Eine Schweigepflichtentbindung bzw. Einwilligung des Patienten ist einzuholen (kann auch mündlich erfolgen z.B. am Telefon)
  • Die Einwilligung sollte auch zukünftige Abholungen oder Vereinbarungen abdecken – ansonsten ist bei jedem Besuch die Einwilligung zu erneuern

Verarbeitung von Gesundheitsdaten bei Optikern und Sanitätshäusern

  • Optiker oder Sanitätshäusern gehören dem Gesundheitshandwerk an
  • Folge: Diese benötigen die Einwilligung des Kunden, damit dessen Gesundheitsdaten (z.B. Dioptrien) verarbeitet werden dürfen

Anmerkung der Datenbeschützerin

Die DSK hat sich ebenfalls mit der Thematik der Verarbeitung von besonderen personenbezogenen Daten beschäftigt.

Fotos aus Kindertagesstätten für Eltern

  • Es ist weiterhin erlaubt, angefertigte Fotos über das Kindergartengeschehen zu verteilen
  • Fotos dürfen für die interne Verwendung (Portfolios, Aushänge im Kindergarten, Vorträge für Eltern) ohne Einwilligung verwendet werden (berechtigtes Interesse)
  • Sollen Fotos veröffentlicht werden (im Radio, Presse, Social-Media-Seiten, Internetseite) ist die Einwilligung der Eltern erforderlich

Kindernamen in Kindertagesstätten

  • Kindernamen dürfen für die interne Organisation ersichtlich sein (z.B. an der Garderobe, am Waschplatz, „Postkasten“)

Elternbeirat an Schulen

  • der Elternbeirat ist kein eigener Verantwortlicher sondern die Schule selbst

Vereine und Verbände

Umgang mit Kontaktdaten von Vereinsmitgliedern

  • Zum Zwecke der Kommunikation unter den Vereinsmitgliedern ist die Einwilligung der Mitglieder nötig, da Vereinsmitglieder untereinander trotzdem als Dritte anzusehen sind
  • Den Mitgliedern sollte die Wahl ermöglicht werden, welche Daten für die Kommunikation genutzt werden können z.B. Telefonnummer oder Postanschrift
  • Ausnahme: es bedarf keiner Einwilligung, wenn der Vereinszweck auf die Kontaktpflege gestützt wird

Fotos im Vereinsleben

  • Vereine haben ein berechtigtes Interesse mittels Bilder über das Vereinsleben zu berichten (z.B. Mitgliederversammlungen, Tag der offenen Tür, Musikveranstaltungen etc.)
  • Annahme: Das berechtigte Interesse des Vereins überwiegt gegenüber des Betroffenen; dem Besucher kann zugerechnet werden bei Veranstaltungen (insbesondere bei öffentlichen) fotografiert zu werden
  • ABER: Rechtsverletzung wenn Intimfotos oder sog. „Bierleichen-Bilder“ veröffentlicht werden

Videoüberwachung

Videoüberwachung durch Privatpersonen

  • wird ein öffentlicher Raum durch die Videoüberwachung erfasst, unterliegt der private Betreiber ebenfalls der DSGVO
  • berechtigtes Interesse für die Videoüberwachung: Schutz des Eigentums und Wahrung des Hausrechts
  • Videoaufnahmen der öffentlichen Straße oder des Gehwegs sowie des Nachbargrundstücks unterliegen nicht mehr dem berechtigten Interesse

Folgende Möglichkeiten stehen für die Privatpersonen zur Verfügung:

  • Nachbesserung um einen datenschutzkonformen Zustand zu erreichen (z.B. Nachjustieren der Kameraausrichtung) oder
  • Einhaltung der Videoüberwachung nach der DSGVO (Aushang von Hinweisschildern nach Art. 13 DSGVO)

Empfehlung und Anmerkung der Datenbeschützerin

Die DSK nimmt Stellung zum Thema Videoüberwachung und gibt einen guten mit Handlungsempfehlungen mit auf den Weg.

Blogbeitrag: Zulässige Verwertung und Speicherdauer bei der Videoüberwachung – DSGVO

Technischer Datenschutz und Informationssicherheit

Risikoorientierter Ansatz unter der DSGVO

In folgenden Bereichen ist eine Auseinandersetzung mit der Risikoeinschätzung nötig:

  • Auswahl von Sicherheitsmaßnahmen zur Risikominderung (TOMs)
  • Möglichkeit einer Datenschutzfolgeabschätzung
  • Notwendigkeit zur Erstellung eines Verfahrensverzeichnisses bei nicht regelmäßiger Verarbeitung von personenbezogenen Daten
  • Meldung von Datenschutzverletzungen

Empfehlung der Datenbeschützerin

Blogbeitrag zum Thema Risikoanalyse mit Musterbeispiel

Datenschutzfolgeabschätzung (DSFA)

  • Eine DSFA ist durchzuführen, wenn ein „hohes Risiko“ für die Rechte und Freiheiten für die Betroffenen besteht
  • Die Black-List der Verfahren, für welche eine DSFA vorgesehen wird, wurde seitens der DSK veröffentlich [Hinweis: hier auf die Black-List verweisen)

Empfehlung der Datenbeschützerin

Blogbeitrag zum Thema Datenschutzfolgeabschätzung mit Mustervorlage

8. Tätigkeitsbericht des LDA Bayern

Quelle

Bayerisches Landesamt für Datenschutz: https://www.lda.bayern.de/media/baylda_report_08.pdf

Heutzutage ist es nicht unüblich, dass eine Bonitätsprüfung vor Abschluss eines Vertrages durchgeführt wird.

Wann eine Einwilligung benötigt wird oder sich auf das berechtigte Interesse gestützt werden kann, wird nachfolgend erläutert.

Einwilligung

Grundsätzlich ist immer eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO der Betroffenen für eine Bonitätsprüfung nötig.

Insbesondere wenn

  • Vorkasse
  • Überweisung
  • SEPA-Lastschrift

angeboten wird, ist eine Einwilligung unumgänglich.

Berechtigtes Interesse

Das berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO liegt vor, wenn der Verantwortliche ein Risiko für Zahlungsausfälle sieht. Beim Vorliegen eines berechtigten Interesses ist keine Einwilligung von Nöten. Es ist immer abhängig davon, ob der Verantwortliche/Geschäftsführer in Vorleistung tritt.

Eine Bonitätsprüfung kann vor allem bei

  • Kauf auf Rechnung

durch das berechtigte Interesse gerechtfertigt sein.

Aufbewahrung Bonitiätsergebnis

Es gibt keine gesetzliche Aufbewahrungspflicht für das Ergebnis der Bonitätsabfrage.

Empfehlung der Datenbeschützerin

Eine Aufbewahrung von 1 – 2 Jahren ist empfehlenswert.

Aufnahme in das Verfahrensverzeichnis

Bei Durchführung der Bonitätsprüfung ist Verfahren in das Verfahrensverzeichnis mit aufzunehmen.

Weitere Informationen zum Thema Verfahrensverzeichnis finden Sie in unserem Blogartikel.

Informationen an die Betroffenen

Die Betroffenen sind über die Bonitätsprüfung mittels der Informationspflicht zu informieren.

Informationen zum Thema der Informationspflicht können Sie in unserem Blogartikel nachlesen.