DSGVO - Sie haben Fragen - wir antworten

Ja! Die DSGVO gilt für alle Personen oder Organisationen, die mit personenbezogenen Daten arbeiten. Die EU definiert hier den Verantwortlichen wie folgt: „Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO).

Beachten Sie immer, dass Sie personenbezogene Daten nur sammeln und verwenden dürfen wenn dies zweckgebunden und erforderlich ist und die Verarbeitung transparent geschieht.

Zweckgebunden heißt, dass Sie nur Daten sammeln dürfen, um diese auch tatsächlich für einen eindeutig festgelegten Zweck zu verwenden. Einfach mal den Wohnort erfragen, weil man diesen ggf. in entfernter Zukunft mal gebrauchen könnte, darf man also nicht.

Die Daten müssen erforderlich und auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein. Beispielsweise wäre die Emailadresse für einen Newsletter erforderlich. Das Geburtsdatum aber nicht zwingend; Beispielsweise aber dann, wenn ich per Email auch Geburtstagsgrüße verschicke. Im Vereinswesen könnte der Geburtstag in der Mitgliederkartei erforderlich sein, wenn es bspw. Altersklassen gibt oder unterschiedliche Beitrage je nach Alter.

Jede Form der Datenverarbeitung bedarf sodann einer Rechtsgrundlage. Diese kann sich u.a. aus Gesetzen, einer ausdrücklichen Einwilligung des Betroffenen oder daraus ergeben, dass die Datenverarbeitung zur Vertragserfüllung notwendig ist.

Ist eine Einwilligung nötig, sollten Sie diese am besten schriftlich einholen. Eine mündliche Zusage ist im Nachgang meist schwer zu belegen und so ersparen Sie sich im Fall der Fälle Arbeit, Ärger und schlaflose Nächte.

Zu guter Letzt muss dies alles transparent geschehen. Es muss klar kommuniziert werden, dass, wie und wofür ich diese Daten sammle und auch verwende. Darüber hinaus sollten auch die Prozesse definiert sein für die diese Daten genutzt werden. Dies ist besonders wichtig, da jeder Betroffene das Recht auf Auskunft hat. Er darf also anfragen, welche Daten Sie von ihm gespeichert haben. Und Sie müssen ihm Auskunft geben. Die DSGVO verlangt daher eine entsprechende Dokumentation der Prozesse. Aber auch um auf solche Anfragen vorbereitet zu sein, bietet es sich an, ein Verarbeitungsverzeichnis anzulegen. Hier schreiben Sie strukturiert nieder, welche Daten Sie nutzen und wofür, wann Sie die Daten Löschen und wie sie diese Daten schützen. Hier finden Sie genauere Informationen zum Verarbeitungsverzeichnis. 

Darüber hinaus haben die Betroffenen das Recht auf Berichtigung, Löschung und Sperrung. Sollten Sie bestimmte Daten nicht löschen können, weil sie beispielsweise Rechnungen (mit den nötigen Mindestinformationen je nach Rechnungsbetrag) etc. noch entsprechend der Aufbewahrungsfristen aufbewahren müssen, müssen sie diese zumindest für alle anderen Verwendungen sperren.

Interne Weitergabe der Mitgliederdaten:

Ob Mitgliederdaten intern geteilt werden dürfen, hängt also ganz davon ab, ob dies erforderlich ist und zweckgebunden erfolgt bzw. ob die Einwilligung dafür gegeben wurde. Wenn die Mitglieder bspw. zusammenarbeiten, um den Geschäftszweck zu erfüllen, würde sogar die reine Information über die interne Weitergabe der Daten ausreichen.

Wie auch mit dem Outlook Terminen gilt, wenn sie für den Geschäftszweck nötig sind: informieren und am besten dokumentieren. Wenn sie die Kontaktdaten intern teilen möchten, oder es sich um Kundendaten handelt, muss dies zweckgebunden, im erforderlichen Umfang und transparent erfolgen.

Zweckgebunden heißt, dass Sie nur Daten sammeln dürfen, um diese auch tatsächlich für einen eindeutig festgelegten Zweck zu verwenden. Einfach mal den Wohnort erfragen, weil man diesen ggf. in entfernter Zukunft mal gebrauchen könnte, sollte man also nicht.

Die Daten müssen erforderlich und auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein. Beispielsweise wäre die Emailadresse für einen Newsletter erforderlich. Das Geburtsdatum aber nicht zwingen. Beispielsweise aber dann, wenn ich per Email auch Geburtstagsgrüße verschicke. Im Vereinswesen könnte der Geburtstag in der Mitgliederkartei  erforderlich sein, wenn es bspw. Altersklassen gibt oder unterschiedliche Beitrage je nach Alter.

Jede Form der Datenverarbeitung bedarf sodann einer Rechtsgrundlage. Diese kann sich u.a. aus Gesetzen, einer ausdrücklichen Einwilligung des Betroffenen oder daraus ergeben, dass die Datenverarbeitung zur Vertragserfüllung notwendig ist.

Ist eine Einwilligung nötig, sollten Sie diese am besten schriftlich einholen. Eine mündliche Zusage ist im Nachgang meist schwer zu belegen und so ersparen Sie sich im Fall der Fälle Arbeit, Ärger und schlaflose Nächte.

Zu Guter Letzt muss dies alles transparent geschehen. Es muss klar kommuniziert werden, dass, wie und wofür ich diese Daten sammle und auch verwende. Darüber hinaus sollten auch die Prozesse definiert sein für die diese Daten genutzt werden. Dies ist besonders wichtig, da  jeder Betroffene das Recht auf Auskunft hat. Er darf also anfragen, welche Daten Sie von ihm gespeichert haben. Und Sie müssen ihm Auskunft geben. Die DSGVO verlangt daher eine entsprechende Dokumentation der Prozesse. Aber auch um auf solche Anfragen vorbereitet zu sein, bietet es sich an, ein Verarbeitungsverzeichnis anzulegen. Hier schreiben Sie strukturiert nieder, welche Daten Sie nutzen und wofür, wann Sie die Daten Löschen und wie sie diese Daten schützen.

Hier finden Sie genauere Informationen zum Verarbeitungsverzeichnis.

Wenn der Zweck der Datenspeicherung erfüllt ist und die Daten nicht mehr gebraucht werden, müssen Sie diese löschen. Auch darüber müssen Sie informieren. Daher macht es ganz allgemein gesprochen Sinn, im Email Footer einen Hinweis auf die eigene Datenschutzerklärung hinzuweisen.

Hier finden Sie eine Vorlage für eine Datenschutzerklärung auf Ihrer Website. 

Dürfen Kalender im Outlook geteilt werden?

Wenn dies zur Erfüllung des Geschäftszwecks beiträgt ja; Also bspw. Angestellte oder auch Vereinsmitglieder sich so koordinieren können. Nichtsdestotrotz sollte man auf Nummer sicher gehen und die Betroffenen informieren, dass der Kalender im Sinne des Geschäftszwecks für alle Mitglieder sichtbar ist. Dies muss ebenfalls im Verarbeitungsverzeichnis festgehalten wird.

Die DSGVO spricht in Art. 4 Nr. 7 DSGVO von Personen oder Stellen. Daher ist es zunächst egal ob eine Privatperson oder ein Unternehmen Daten verarbeitet. Ausgenommen hiervon sind jedoch persönliche und familiäre Tätigkeiten. Die Frage ist also, in welchem Umfang und zu welchem Zweck Sie Daten verarbeiten. Wenn dies persönliche und familiäre Tätigkeiten übersteigt, muss man sich natürlich fragen: „Sammle und verarbeite ich personenbezogene Daten?“. Wenn sie also keine bspw. Abonnementen-Kartei haben oder sonst keine Daten sammeln, müssen Sie dies auch nicht dokumentieren und entsprechend auch keine Einwilligung zur Nutzung von Daten einholen. Sollten Sie jedoch mit personenbezogenen Daten arbeiten, wie z.B. Emailadressen für Newsletter, Geburtstage etc. muss dies eine Rechtsgrundlage haben. Sie müssen also einen Zweck haben, dürfen nur die hierfür erforderlichen Daten erfragen und müssen die Betroffenen über Ihre Verwendung informieren. Darüber hinaus müssen Sie diese Prozesse in einem entsprechenden Verarbeitungsverzeichnis dokumentieren.

Was sie bestimmt schon wissen: Sollten Sie Bilder von anderen Personen veröffentlichen ist dies auch ein datenschutzrechtlich relevanter Vorgang. Hierfür sollten Sie sich auf jeden Fall die Einwilligung einholen.

Hier finden Sie das entsprechende  Formular Einwilligungserklärung in die Bildnisverwendung. 

Was sie wahrscheinlich noch nicht wussten: Verwenden sie Google Analytics, erheben Sie  auch personenbezogene Daten. Daher empfehlen wir, grundsätzlich auf Nummer sicher zu gehen und eine entsprechende Datenschutzerklärung auf der Website unterzubringen.

Hier finden Sie ein Muster. 

Auf diese könnten Sie auch im Email Footer verweisen und somit direkt auf die Rechte hinweisen.

Hierin befindet sich übrigens auch eine Klausel zum Email Kontakt, in der Sie darüber aufklären, dass die Emailadresse und die entsprechenden Email nur für die Dauer der Korrespondenz gespeichert und verwendet werden. Dies bedeutet dann auch, dass Sie die Emails und die Kontaktdaten entsprechend im Anschluss löschen. Aber das würden sie ja ohnehin tun, da sie personenbezogene Daten selbstverständlich löschen, wenn Sie sie nicht mehr brauchen.

Klassische „Juristen- Antwort“: „Das kommt darauf an…“

Personenbezogene Daten dürfen Sie nur weitergeben, wenn hierfür eine Rechtsgrundlage besteht und zur Verarbeitung im Auftrag nur an Partner mit denen Sie einen Auftragsverarbeitungsvertrag haben, der Ihren Partner zum sachgemäßen Umgang gem. DSGVO verpflichtet.

Hier finden Sie diesen Auftragsverarbeitungsvertrag. 

Ins Ausland dürfen Sie die Daten dann nur unter bestimmten Umständen geben:

Entweder es handelt sich hierbei um ein EU Land, das somit gleichen Standards gemäß DSGVO erfüllt oder es handelt sich z.B. um ein Land, das den Status als anerkannter Drittstaat genießt.

Alternativ müssen Verträge zur Datenübermittlung verfasst werden. All dies setzt aber in der Regel die Zustimmung der jeweils betroffenen Person voraus.

Einen Datenschutzbeauftragen müssen sie dann bestellen, wenn entweder ständig personenbezogene Daten verarbeitet werden oder Ihre Kerntätigkeit eben die Datenverarbeitung von personenbezogenen Daten ist. Darüber hinaus  brauchen Sie einen Datenschutzbeauftragten, wenn Sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder besondere personenbezogene Daten verarbeitet werden.

Hier finden Sie das Formular zur Bestellung des Datenschutzbeauftragten.  

Des Weiteren verpflichtet die DSGVO dazu, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen.

Beispiel Impressum: 

In Datenschutzfragen erreichen Sie uns unter der obigen Adresse oder auch über die E-Mail-Adresse: ###@###.de  

Alternativ auch:

Kontaktdaten des Datenschutzbeauftragten gem. Art 13 Abs. (1) lit. b) DSGVO

Musterfirma GmbH
z. Hd. Datenschutzbeauftragter
Beispielstraße 25
12345 Datenstadt
Telefon: xxx
Email: Datenschutz@Musterfirma.de

Lieferscheine und Rechnungen sind erforderlich zur Erfüllung des Vertrags mit Ihren Kunden. Nach Art 6 Abs 1c DSGVO haben Sie somit eine entsprechende Rechtgrundlage und brauchen keine gesonderte Einwilligung. Bezüglich der Löschung der Daten gibt es die vorgegebenen gesetzlichen Aufbewahrungsfristen. Sie müssen sich somit also nicht den Kopf darüber zerbrechen, wann Sie diese Daten tatsächlich löschen müssen.

Da hier jedoch personenbezogene Daten verarbeitet werden, müssen Sie die Betroffenen informieren und diesen Prozess auch in Ihrem Verarbeitungsverzeichnis aufführen.

Hier finden Sie das entsprechende Formularbuch Verarbeitungsverzeichnis , das sie strukturiert durch die Dokumentation führt.