Europäische Datenschutzverordnung Basiswissen
Auf dieser Seite haben wir Basiswissen zur Europäischen Datenschutzverordnung zusammengetragen. Erkenntnisstand ist der Mai 2018. Sobald neue Erfahungen einlangen, werden wir diese mit allen Interessierten teilen. Die Angaben ohne Gewähr und ohne Anspruch auf korrekte juristische Einschätzung.
Kein Handlungsbedarf besteht bezüglich Basisdaten (Name, Adresse, Telefonnummer), die z.B. ein Handwerker im Zusammenhang mit einem Auftrag und dessen Abwicklung erhebt. Die darf bzw. muss er gemäß den diversten Aufbewahrungsfristen speichern. Diese Daten berechtigen den Handwerk jedoch nicht, nach Ende des Auftrages, diesen Kunden mit einem Newsletter oder Werbe-E-Mails zu beglücken. Dafür benötigt er dessen Zustimmung. Zusendungen per Post sind nach wie vor gestattet.
Foto © Hemera Techn. Inc.
Handlungsbedarf besteht unter Umstänmden bei allen, die Newsletter verschicken, per E-Mail verkehren, Rechnungen als Attachment schicken, Fotos machen, auf denen Menschen abgebildet sind und auf Datenquellen zugreifen oder Datenquellen bestücken oder Fotos bzw. bewegte Bilder sammeln und verwalten, die den Namen einer Person (oder auch mehrerer Personen) enthalten. Ausnahme: private und öffentliche Datenbanken bzw. private Foto- und Bewegtbildsammlungen.
Berechtigtes Interesse?
Die Verwendung von personenbezogenen Daten muss auf einem "berechtigten Interesse" basieren. Ob dieses "berechtigte Interesse" eines Unternehmens auch dann schon gegeben ist, wenn es Ihnen zusätzliche Informationen und Direktwerbung zu diversen Produkten und Dienstleistungen schickt (also eine Fortsetzung der bisherigen Werbe- und Marketing-Aktivitäten), bedarf noch einer juristischen Abklärung. Die diesbezüglichen Stellen im Gesetz betreffen Artikel 6, Absastz 1, Satz 1, Buchstabe f und Absatz 4 der DSGVO enthaltenen Bestimmungen.
Zustimmung einholen
Wie soll man mit personenbezogenen Datensätzen verfahren, für die man noch keine Zustimmung hat? Eigentlich müsste man die nach dem 25. Mai unverzüglich löschen – inklusive den Datensätzen der Datensicherungen. Die Akquisitionsarbeit von Jahren bis Jahrzehnten könnte tatsächlich mit einem Schlag wertlos werden. Fest steht, dass man diese Datensätze zur Aussendung von Werbe-E-Mails und Newsletter nicht mehr verwenden darf. Wie erbarmungslos einen dabei die Rechtsprechung treffen wird, kann man derzeit (Mai 2018) noch nicht einschätzen. Derzeit gilt in Österreich die Maxime "beraten statt strafen".
Man muss von allen elektronische erfassten Personen eine Einwilligung einholen (unterschriebenes Schriftstück oder per aktiver "Häkchensetzung" plus ENTER-Taste unter ein der Person zuordenbares elektronisches Dokument. Als Vorlage für die Einwilligung kann man sich Empfehlungen der WKO oder die Formulare renommierter Firmen ansehen und für den eigenen Bedarf adaptieren. Tipp: gegebenfalls von der WKO in einer persönlichen Beratungsstunde "absegnen" lassen.
Im zu unterschreibenden / zu bestätigenden Schriftstück muss angeführte werden, welche Daten man erfasst (Name, Adresse, Telefonnummer, Bestellungen, Gesprächsnotizen usw.). Um keine zu vergessen, geht man am besten alle Eingabefelder der verwendeten Datenbank durch. Ferner ist der / die Betroffene davon in Kenntnis zu setzen, dass er / sie die Einwilligung jederzeit widerrufen kann (inklusive Angaben, wo und wie er diesen Widerruf tätigen kann).
Die Datensätze von Personen, die die Einwilligung widerrufen müssen zeitnah gelöscht werden (unwiederbringlich, auch auf sämtlichen Sicherungskopien der Datenbank; Tipp: weil schriftliche, offline gesammelte Aufzeichnungen nicht unter die EuDV fallen, kann man von diesen Personen Ausdrucke anfertigen und diese Ausdruck in einem Ordner sammeln.
Personen, die keine Einwilligung geben, müssen (zumutbar zeitnah) aus der Datenbank entfernt werden und können nur noch im direkten Gespräch, telefonisch oder per Post kontaktiert werden. Man darf sie auch nicht mehr via Newsletter kontaktieren. "Cold Calls" per E-Mail, Fax oder Telefon (also Kontaktaufnahmen zu Menschen, zu denen man bislang keine Geschäftsbeziehung gehabt hat), sind nach wie vor verboten und wären unlauterer Wettbewerb.
Datenschutzbeauftragte / Datenschutzbeauftragter
Ob ein Unternehmen einen eigene(n) Datenschutzbeauftragte(n) braucht, regelt der Artikel 37 Absatz 1 der Datenschutz-Grundverordnung. Ein(e) solche(r) ist nur dann notwendig, wenn die Datenverarbeitung durch Behörden oder öffentliche Stellen erfolgt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Somit besteht hier also bei den allermeisten Unternehmen und Vereinen kein Handlungsbedarf. Dennoch empfiehlt es sich, intern jemanden zu haben, der sich dem Schutz der Daten widmet und auf Rechtskonformität achtet.
Schwammige Formulierung und Widersprüche zu anderen Gesetzen
Der Gesetzgeber hätte seit 27. April 2016 Zeit gehabt, schwammige Formulierungen, "Gummiparagraphen" und Widersprüche der Datenschutzverordnung zu anderen Gesetzen und Vorschriften zu eliminieren. Leider ist das nach heutigem Beurteilungsstand nicht oder nur unzureichend geschehen. Auch gibt es "weiße Flecken" im Gesetzestext. Beispiel: Darf man eine Datenbank anlegen von Personen, die einem die Bewilligung nicht gegeben oder verweigert haben? Bislang konnte mir noch kein Jurist diese Frage beantworten.
Ungeordnete Lose-Blatt-Sammlungen erlaubt?
Die Europäische Datenschutzverordnung macht keinen Unterschied zwischen online und offline angelegten Datensammlungen. Auch ist es juristisch unerheblich, ob diese Sammlungen elektronisch oder auf Papier gemacht wurden. Ein juristische "Hintertür" könnte jedoch der Ordnungscharakter von auf Papier gesammelten Daten sein. Ein ungeordnete, keinem Ordnungsprinzip unterliegende Sammlung von Daten scheint nach heutigem Wissensstand (Mai 2018) keine Datensammlung im Sinne der Europäischen Datenschutzverordnung zu sein.
Siehe auch
- Betrug / Betrugsfall, Aufklärung
- Bezirksgerichte in Österreich
- Europäische Datenschutzverordnung Text
- Geschäftsgründung / Unternehmensgründung
- Linksammlung zu Rechtsfragen
- Rechte der Patienten (Patientenrechte [Österreich])
- Rechtsanwalt / Rechtsanwälte
- Rechtschutzversicherung / Rechtsschutzversicherung
- Selbständig machen
- Überprüfung von Geschäftspartnern / Dienstnehmern
- Zustimmungserklärung Europäische Datenschutzverordnung
Neu und aktuell
- Grußbotschaft des Bundespräsidenten Van der Bellen
- Alle Blogs auf einen Blick
- Immobilien 50plus
- Mit der Bahn die Schweiz entdecken
- ESTA / Visum / Visa Waiver Program
- Klassenlotterie
- Pensionserhöhung 2023 und 2024
- Neue und aktualisierte Beiträge
- Kurzbiographie / Werkverzeichnis Andreas Hollinek
© Texte und Fotos (außer anders angegeben) sowie Datenschutz: Andreas Hollinek 1996-2023; www.50plus.at. Inhalte ohne Gewähr. Enthält ggf. PR, Werbung + Cookies, die Werbepartner wie Google (www.google.com) zur Nutzeranalyse verwenden (E-Privacy Info). Seite mit SSL-Sicherheitszertifikat. Impressum.