FAQ zum Umgang mit der Datenschutz-Grundverordnung der EU (DSGVO)

Die DSGVO soll ab 25. Mai 2018 nach einer zweijährigen Übergangsfrist durchgesetzt werden und tritt in allen Mitgliedsländern sofort in Kraft.

Wir haben die wichtigsten Hinweise zu Datenschutzerklärung, Datenschutzfolgenabschätzung, Rechenschaftspflichten, Prinzipien und Ausnahmeregelungen gesammelt.

Nationalstaaten können zwar weiterhin in begrenztem Umfang über die Umsetzung bestimmen, zentrale Richtlinien der DSGVO aber nicht ignorieren oder einfach aushebeln.

Was ist die DSGVO?

Anders als die Vorgängerregelung aus dem Jahr 1995 ist die DSGVO keine Richtlinie, sondern eine Verordnung. Sie steht seit 2016 in den Gesetzbüchern. 

Nationalstaaten können zwar weiterhin in begrenztem Umfang über die Umsetzung bestimmen, zentrale Richtlinien der DSGVO aber nicht ignorieren oder einfach aushebeln. 

Ab wann gilt die DSGVO?

Soll ab 25. Mai 2018 nach einer zweijährigen Übergangsfrist durchgesetzt werden. 

Tritt in allen Mitgliedsländern sofort in Kraft und muss nicht wie eine Richtlinie erst in nationales Recht umgesetzt werden.

Was ist das oberste Prinzip der DSGVO?

Die Verarbeitung persönlicher Daten ist grundsätzlich verboten. Allerdings gibt es umfangreiche Ausnahmeregelungen. 

Welche Datenschutzprinzipien gelten?

Rechtmäßigkeit: 

Verarbeitung nur entsprechend dem Gesetz

Transparenz (Art. 13 und 14 DSGVO): 

Verständliche und vollständige Datenschutzerklärung, Hinweis auf die Rechtsgrundlage der Verarbeitung

Verbot mit Erlaubnisvorbehalt: 

Jede Verarbeitung personenbezogener Daten ist verboten, außer wenn sie per Gesetz erlaubt wurde

Zweckbindung:

Daten sollen nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Zu Beginn von Verarbeitungsprozessen ist zu dokumentieren, wofür die Daten benötigt werden. Eine nachträgliche Zweckänderung muss „mit dem ursprünglichen Zweck vereinbar“ (Art 6 Abs. 4 DSGVO) sein.

Datenminimierung:

Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO)

Integrität und Vertraulichkeit:

Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Was sind die Ziele der DSGVO?

Einheitlicher Rechtsrahmen

Erhöhung des Datenschutzniveaus der EU Mitgliedsstaaten

Mit der 99 Artikel umfassenden Grundverordnung soll eine technikneutrale Regelung für den Datenschutz gefunden werden

Im Zentrum steht der Schutz personenbezogener Daten. Um zu unterstreichen, welchen Stellenwert die EU diesen Daten zumisst, wurden die Strafen für Verstöße erheblich nach oben gesetzt

Sie geben den Nutzern mehr Rechte und sie nehmen nicht nur diejenigen in die Pflicht, die diese Daten sammeln, sondern auch diejenigen, die sie verarbeiten, zum Beispiel IT-Dienstleister

Datenschutz bei allen Projekten als Teil von Entwicklungsprozessen ganzheitlich mitdenken (Artikel 25 DSGVO):

„Privacy by Design“: 

Datenschutzmaßnahmen müssen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden

„Privacy by Default“: 

Die Voreinstellungen bei Geräten oder bei Online-Plattformen sollen standardmäßig die höchste Datenschutzstufe haben.

Welche Informationen dürfen gespeichert werden?

Informationen dürfen weiterhin abgespeichert werden, wenn sie zur Erfüllung eines Vertrags notwendig sind (ein Onlineshop benötigt natürlich die Kontaktdaten seiner Kunden), wenn es um lebenswichtige Interessen der Bürger geht oder wenn es zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist. 

Was ist Verarbeitung?

Die Verarbeitung umfasst alles von der Erhebung, Speicherung, Veränderung bis hin zur Auswertung von Daten.  

Was sind personenbezogene Daten?

Angaben jeglicher Art, die sich auf eine zumindest theoretisch identifizierbare Person beziehen 

  • Namen 
  • Pseudonyme Cookies und IP-Adressen als „Online-Kennungen“
  • Autokennzeichen

 und sensible Informationen wie:

  • Geschlecht
  • Biometrische / Genetische Daten 
  • Religiöse oder politische Ansichten
  • Ethnische Herkunft

Diese dürfen nur in Ausnahmefällen erhoben werden

Welche Strafen gelten bei Verstößen?

Bei schweren Verstößen können die Datenschutzbehörden Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen oder aber vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens - je nachdem, welcher Betrag höher ausfällt. Bei großen Firmen kann das in die Milliarden gehen.

Wer ist betroffen?

Die Verordnung erfasst jeden, der personenbezogene Daten verarbeitet, dazu gehören zum Beispiel:

  • Websitebetreiber
  • soziale Netzwerke
  • App-Anbieter
  • Handwerksbetriebe
  • Dax-Konzerne
  • Vereine
  • Blogger
  • Freie Fotografen
  • Ausländische Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten

Je sensibler die Daten sind, desto besser müssen sie geschützt werden. Für Gesundheitsdaten etwa gelten daher besonders strenge Regeln, an die sich Arztpraxen oder Krankenhäuser halten müssen.

Was bedeutet Accountability?

  • Rechenschaftspflichten, d.h. erhöhte Dokumentations- und Nachweispflichten
  • Nachweis über Datenverarbeitungsprozesse führen
  • Belegen, dass deren Zwecke, Art und Umfang und risikomindernde Maßnahmen wie „Privacy by Design“ dokumentiert und die Zulässigkeit geprüft worden sind
  • Ergänzung unternehmerischer Compliance-Anforderungen um eine genaue Dokumentation von Verarbeitungsprozessen sowie u.U. Datenschutzfolgeabschätzungen

Welche gesetzlichen Erlaubnisse gibt es?

  • Verarbeitung im Rahmen von Anfragen und Vertragsabwicklung
  • Verarbeitung aufgrund gesetzlicher Verpflichtungen
  • Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 DSGVO), Abwägung und Prüfung inwieweit Nutzer mit der Onlinebeobachtung vernünftigerweise rechnen müssen
  • Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person.

Was ändert sich für Nutzer?

Recht auf Auskunft über:

  • Abgespeicherte Daten
  • Zweck der Datenerfassung und ihre Verwendung, d.h. was mit den Daten passiert
  • Recht auf Widerspruch der Datenerhebung
  • Reht auf Korrektur falscher, bei einem Dienst gespeicherter Daten
  • Recht das ein Fall von einem Menschen geprüft wird um zu verhindern, dass schlecht angepasste Algorithmen zur Diskriminierung von Bürgern beitragen
  • Recht auf Vergessen: Daten müssen gelöscht werden, wenn diese nicht mehr benötigt werden
  • Recht auf Datenübertragbarkeit und Bereitstellung der Daten: In einem strukturierten, gängigen und maschinenlesbaren Format, beispielsweise für einen Anbieterwechsel
  • Auskunftsanspruch per E-Mail:  Unternehmen können weitere Daten verlangen, etwa die Postadresse des Betroffenen, damit die Identität des Absenders eindeutig geklärt ist 

Was ändert sich für Unternehmer?

  • Änderungen bei Rechenschaftspflichten, Einwilligungen, Erlaubnisgrundlagen, der Verantwortlichkeit von Auftragsdatenverarbeitern und Bußgeldern
  • Websites müssen ihre Besucher darüber aufklären, welche Daten sie erheben
  • Änderungen müssen auf eine leicht verständliche Weise kommuniziert werden
  • Unternehmen und ihre Dienstleister müssen Rechenschaft darüber ablegen, wie personenbezogene Daten in ihren Systemen hin- und herfließen
  • Daten müssen auf Nachfrage des Nutzers binnen eines Monats von den Firmen zur Verfügung gestellt werden
  • Kopplungsverbot: Firmen dürfen einen Vertragsabschluss nicht von der Zustimmung umfangreicher Datenspeicherung abhängig machen. Wenn Daten nicht ausdrücklich zur Vertragserfüllung oder anderer Pflichten notwendig sind, muss der Kunde die Möglichkeit haben, deren Verwendung zu untersagen. 

Beispiele: 

Ein Versandhändler darf den Verkauf nicht von der gleichzeitigen Aufnahme des Kunden in den eigenen Newsletter abhängig machen. 

Wenn jemand beispielsweise ein T-Shirt im Netz kauft, darf der Onlineshop nur die Daten erheben, die wirklich zur Abwicklung der Bestellung benötigt werden – Name, Adresse, vielleicht noch die Telefonnummer. Wenn er aber die Lieferung an die Bedingung knüpft, dass er dem Nutzer Werbung via E-Mail oder per Post schicken kann, würde das gegen die DSGVO verstoßen: Diese Informationen wären für den Einkauf nicht notwendig, die Weitergabe der Daten somit nicht freiwillig.

  • Höhere Bußgelder
  • Recht auf Schadenersatz: 

Konnten Kunden bei Datenschutzverstößen früher nur für konkret nachweisbare Schäden wie Anwaltskosten geltend machen, kann nun auch eine Entschädigung für den Stress und die Unannehmlichkeiten des Datenmissbrauchs verlangt werden

  • Transparenz ist Pflicht: 

Will ein Unternehmen persönliche Daten verarbeiten, muss es die Betroffenen ausführlich unterrichten, welche Daten konkret erhoben werden, zu welchem Zweck sie verwendet werden sollen und wie lange sie abgespeichert bleiben. Statt den Kunden pauschal auf unverständlich formulierte Datenschutzbedingungen zu verweisen, müssen die Firmen diese künftig in klarer und einfacher Sprache erklären

Bisherige Datenverarbeitungen und vor allem Einwilligungen werden nur dann gültig bleiben, wenn sie der DSGVO entsprechen

Der freie Verkehr von Daten und damit auch wirtschaftliche Interessen sind im Artikel 1 der DSGVO kodiert

  • Mittel- und langfristig Standortvorteil:
  1. Chance auf neue Umsätze durch Daten, die in den Abteilungen der Unternehmen anfallen
  2. Know-how Gewinn durch gut geordnete Daten
  3. Anreiz für Unternehmen sich über die Drohung mit Millionen-Bußgeldern hinaus, sich um die DSGVO zu kümmern

Können Firmen explizit um Erlaubnis zur Verarbeitung fragen?

Google und Facebook ihren Kunden zwar die Möglichkeit gegeben, Datenschutzeinstellungen zu ändern – bemühen sich aber, ihre Nutzer zu einer möglichst weiten Datenfreigabe zu drängen, indem sie etwa mit besserem Service argumentieren.

Können Mitgliedsstaaten die Regeln einschränken?

Ja. Österreich hat unter anderem die Möglichkeit für sogenannte Verbandsklagen eingeschränkt und damit ein Instrument gegen den Datenmissbrauch abgeschwächt.

Gelten die Regelungen für Minderjährige unter 16 Jahren?

Ja. In der Folge hat zum Beispiel Messenger WhatsApp das Mindestalter auf eben diese 16 Jahre erhöht. Es gibt allerdings keine Angaben dazu, wie Anbieter das Alter tatsächlich überprüfen müssen.

Wie werden Kinder geschützt?

Internet-Dienste dürfen personenbezogene Daten künftig erst verarbeiten, wenn ein Nutzer 16 Jahre oder älter ist. Sind die Nutzer jünger, müssen die Eltern mitentscheiden.

Die neuen Regeln schreiben aber nicht vor, wie ein Unternehmen das Alter der Betroffenen feststellen soll. Auch wie sich Eltern gegenüber dem Dienst identifizieren sollen, lässt die DSGVO offen. Facebook schlägt beispielsweise vor, dass Kinder unter 16 in bestimmten Fällen die Facebook-Profile ihrer Eltern verlinken oder deren E-Mail-Adresse angeben sollen. 

Auf Eltern könnten daher weitere Datenschutz-E-Mails zukommen. Andere Dienste, wie etwa der Messenger Whatsapp, haben sich entschieden das Nutzungsalter gleich auf 16 Jahre anzuheben, man kann sich allerdings unter Angabe falscher Daten trotzdem anmelden.

Was ist bei Fotos zu beachten?

Generell wird angenommen, dass es sich um personenbezogene Daten handelt, wenn Menschen auf Bildern auftauchen. 

Diese müssten die Verarbeitung erlauben und könnten die Zustimmung später widerrufen

Allerdings gilt die DSGVO nicht für den privaten Bereich: 

Wer ein Gruppenfoto auf Facebook hochlädt, muss deswegen vermutlich nicht eine rechtssichere Erklärung von allen Abgebildeten einholen 

Probleme könnten eher auf Fotografen zukommen, die mit ihren Bildern Geld verdienen. Während einige schon das Ende der Fotografie ausrufen, sehen andere die neuen Regeln gelassener: Bestehende Ausnahmeregeln würden weiterhin gelten, und für kommerzielle Fotografen werde sich wohl kaum etwas ändern. Auch diese Frage dürfte schon bald Gerichte beschäftigen

Wo kann man sich beschweren?

Anlaufstelle sind Unternehmen, eine Verbraucherzentrale wenden oder auch an eine Datenschutzbehörde

Welche Folgen hat die DSGVO?

Unternehmen müssen mit massenhaften Anfragen der Verbraucher zu ihren personenbezogenen Daten rechnen

Zwei von fünf Deutschen (38 Prozent) gaben demnach an, sie wollten in den kommenden sechs Monaten von ihren neuen Auskunftsrechten Gebrauch machen

Welche Branchen sind am stärksten betroffen? 

Soziale Medien, Finanzdienstleister und der Handel. 

Wird es Abmahnwellen geben?

Vermutlich. Datenschutzverstöße können bereits seit 24. Februar 2016 nach § 2 Abs. 2 Nr. 11 des Unterlassungsklagengesetzes (UKlaG) abgemahnt werden. Es ist schwer vorher zu sagen, ob nach Wirksamwerden der DSGVO eine Abmahnwelle entstehen wird. Es ist zu erwarten, dass Verbände und Aufsichtsbehörden Datenschutzerklärungen unter die Lupe nehmen werden.

Wer kontrolliert das alles?

Zuständig für die Kontrolle sind die Datenschutzbehörden der Länder sowie die Bundesdatenschutzbeauftragte. Die Wahrscheinlichkeit, dass Datenschützer ohne einen konkreten Anlass zur Kontrolle anrücken, ist minimal. 

Experten geben zu bedenken, dass alle Betroffenen damit rechnen müssten, dass sie angeschwärzt werden können, zum Beispiel von einem verärgerten Mitarbeiter oder Kunden.

Wie weit ist die Umstellung?

Die DSGVO gilt seit Ende Mai 2016

Eine zweijährige Übergangsfrist sollte den Betroffenen Gelegenheit geben, sich vorzubereiten. Die meisten Großunternehmen haben das auch getan. 

Viele kleine Firmen oder auch Selbständige oder Vereine wissen aber bis heute kaum etwas davon oder haben noch nichts unternommen und sind nun zu spät dran. 

Jedes dritte Start-up in Deutschland hat dem Branchenverband Bitkom zufolge noch nichts in Sachen DSGVO unternommen.

Wie geht es weiter?

Wegen der allgemein gehaltenen Formulierung der DSGVO ist zu erwarten, dass einiges von Gerichten geklärt werden muss

Letzte Instanz ist der Europäische Gerichtshof (EuGH) in Luxemburg

Für eine Präzisierung sollte auch die ePrivacy-Verordnung 

E-Mail-Marketing

Einwilligungspflicht für Tracking- und Targeting-Cookies

sorgen. 

Ursprünglich war geplant, sie zeitgleich mit der Datenschutzgrundverordnung zu verabschieden, doch es gelang nicht, die vielen kollidierenden Interessen unter einen Hut zu bringen.

Welche Nachweispflichten gibt es?

Datenverarbeiter müssen Einwilligungen nachweisen, alle Zweifel gehen zu ihren Lasten (Art. 7 Abs. 1 DSGVO), bestenfalls per Schriftform

Bei Beschäftigten ist Schriftform grundsätzlich vorgeschrieben (§ 26 Abs 2 S. 3 BDSG-Neu), z.B. bei einer Einverständniserklärung zur Veröffentlichung von Mitarbeiterfotos auf der Firmenhomepage

Die schriftliche Einwilligungserklärung der Beschäftigten sollte eine ausführliche Belehrung über die Freiwilligkeit und fehlende Folgen der Weigerung enthalten.

Was bedeutet informierte Einwilligung?

Nutzer müssen immer verständlich darüber informiert werden, zu welchem Zweck ihre Daten verarbeitet werden, auf welche Art, in welchem Umfang, ob deren Daten an Dritte weitergegeben und wann sie gelöscht werden. 

Bei Newslettereinwilligung:

  • Hinweise zum Datenschutz
  • Leseranalyse
  • Versanddienstleister
  • Widerrufsrecht 

Welche Informationen muss eine Einwilligungshandlung online berücksichtigen?

In Datenbank protokolliert:

  • Zeitpunkt („timestamp“) 
  • Gekürzte IP-Adresse 

Immer wenn möglich mit einem Double-Opt-In bestätigt   

Checkliste – Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten

Grundangaben zum Unternehmen

Bestimmung einzelner Verarbeitungstätigkeiten

  • Personalmanagement: Lohnabrechnung, Arbeitszeiterfassung, Bewerber, Bewertung
  • Onlineshop: Vertragsdaten, einzelne Käufe, Bonität, Profiling zum Kaufverhalten
  • Marketingmaßnahmen: Tracking & Remarketing, Newsletter, Postmailings, Gewinnspiele

Angaben zu einzelnen Verarbeitungstätigkeiten (Datenkategorien):

  • Beschäftigtenstammdaten (Namen, Adressen, Lohngruppe, Steuermerkmale)
  • Bewerberdaten (Namen, Kontaktdaten, Qualifikationen, Bewerbungsunterlagen)
  • Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie, Bonitätsdaten)
  • Nutzungsdaten (Klickverhalten, Kaufverhalten, Interessen) 
  • Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten)

Technische und organisatorische Maßnahmen:

Zutrittskontrolle (Sicherheitsschlösser, Videoüberwachung, Beaufsichtigung von Hilfskräften)

Zugriffskontrolle (Sichere Aufbewahrung, Vernichtung, Verschlüsselung)

Weitergabekontrolle (Festlegung Empfänger, Pseudonymisierung, Verschlüsselung)

Eingabekontrolle (Protokollierung)

Auftragskontrolle (Weisungen, Vertragliche Verpflichtungen)

Verfügbarkeitskontrolle (Notfallkonzept, Backup-System)

Gewährleistung des Zweckbindungs-/Trennungsgebotes (zum Beispiel physische Datentrennung, Berechtigungskonzepte)              

Checkliste – Datenschutz-Folgenabschätzung

Risiko:

Unbefugter Zugriff auf die Datenbank

Datenkategorien zur Folgenabschätzung: 

Gesundheitsdaten

Betroffene: 

Newsletterempfänger

Einstufung des Risikos (physisch,materiell,immateriell): 

Eintrittswahrscheinlichkeit: normal.

Schaden für Betroffene: 

erhöht (Spam, Phishing, etc.) an E-Mail-Adresse; 

soziale Nachteile aufgrund des Bekanntwerdens von Krankheiten.

Schutzmaßnahm

  • Hard- und Softwarefirewall, 
  • sofortige Updates der Soft- und Hardware 
  • aktueller Stand der Technik
  • Intrusion Detection Systeme
  • Berechtigungskonzept und Passwortmanagement
  • besondere Belehrung der Beschäftigten
  • zugesicherte Schutzmaßnahmen des Webhosters, Information der Nutzer

Risiko hinreichend gebannt (Abwägung mit verbleibenden Risiken)

Checkliste – Maßnahmen zur Umstellung auf die DSGVO

Alle Datenverarbeitungsprozesse auf deren Zulässigkeit prüfen

Verzeichnis von Verarbeitungstätigkeiten mit der Übersicht aller Datenverarbeitungsprozesse erstellen.

Prüfen ob die Anforderungen an die technisch- organisatorische Sicherheit der Daten betroffener Personen erfüllt werden und gegebenenfalls eine Datenfolgeabschätzung durchzuführen ist.

Prüfen, ob ein Datenschutzbeauftragter benannt werden muss (in Deutschland bereits ab zehn Mitarbeitern verpflichtend, §38BDSG-Neu).

Prüfen ob Datenübermittlungsprozesse zulässig sind und notwendige Auftragsverarbeitungsverträge vorliegen

Prüfen, ob ein Beschwerdemanagement für die Fälle der Geltendmachung von Betroffenenrechten eingerichtet ist (z.B. Auskunft oder Datenübertragung) 

Datenschutzerklärung aktualisieren

Mitarbeiter auf die Vorgaben des Datenschutzes sensibilisieren, auf Vertraulichkeit verpflichten, zur Befolgung der Prinzipien von Privacy by Design und Privacy Default anhalten sowie dazu, alle datenschutzrechtlich relevanten Vorgänge zu dokumentieren (vor allem Verarbeitungsprozesse, Datenschutzvorfälle oder Weisungen gegenüber beauftragten Dienstleistern).

Regelmäßig überwachen, ob die Datenschutzprozesse weiterhin den gesetzlichen Anforderungen entsprechen (je nach Risiko alle 6-12 Monate oder punktuell im Fall von Änderungen der Datenverarbeitungsprozesse)

Checkliste – Prüfung einer wirksamen Einwilligung

Brauche ich eine Einwilligung oder greift eins der anderen Erlaubnisse des Art. 6 DSGVO?

Einwilligungsfähige Person? Minderjährige ab 16 (D), bzw. ab 14 (O?)

Freiwillig abgegeben? Beschäftigte, soziale Zwänge oder Nachteile bei Nichtabgabe

Koppelungsverbot nicht einschlägig?

Erbringung vertraglicher Leistung wird von der Einwilligung abhängig gemacht, obwohl die Einwilligung für die Leistungserbringung nicht erforderlich ist

Über Widerrufsrecht belehrt? Belehrung über 

  • Zweck der Datenverarbeitung
  • Art und Umfang
  • Weitergabe sowie Löschung der Daten
  • Unmissverständliche Erklärung: Schlüssige Erklärung, Opt-In, nicht lediglich Opt-Out
  • Nachweis: Schriftform oder elektronisch protokolliert

Checkliste – Prüfung Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Wurden Vertragsparteien und Zuständige genannt?

Wurde der Gegenstand der Auftragsverarbeitung geregelt?

Sind Regelungen zur Sicherung des Weisungsrechts, Wahrung der Rechte Betroffener und Datensicherheit enthalten?

Sind Kontrollrechte des Auftraggebers und Pflicht zu deren Duldung durch den Auftragnehmer geregelt?

Ist die Beendigung des Vertrages und Pflichten zur Herausgabe/ Löschung von Daten geregelt? 

Ist die Beauftragung von Unterauftragnehmern geregelt?

Sind die technischen und organisatorischen Maßnahmen geregelt?

Checkliste – Pflichtinhalte Datenschutzerklärung

Angaben zum Verantwortlichen, also Name/ Firma und Adresse.

Kontaktdaten,wobei online die Angabe der E-Mailadresse ausreichend ist.

Sofern ein Datenschutzbeauftragter benannt ist (in Deutschland bereits ab zehn Mitarbeitern verpflichtend, § 38 BDSG-Neu), muss zumindest auch dessen E-Mailadresse genannt werden.

Welche Kategorien von Daten für welche Zwecke verarbeitet werden, das heißt Angaben zu den einzelnen Verarbeitungstätigkeiten, von denen Kunden und Nutzer betroffen sind (etwa Weiterleitungen Lieferanten und Paketversender beim E-Shop oder Einsatz von Google Analytics).

Wenn die Daten auf Grundlage der berechtigten Interessen verarbeitet werden (das betrifft vor allem Marketingmaßnahmen, wie zum Beispiel Google Analytics, Facebook-Pixel etc.), dann müssen auch die Interessen benannt werden (etwa „wirtschaftliche Interessen“).

Ferner müssen die Rechtsgrundlagen der Datenverarbeitung genannt werden.

Hinweise zu den Zeitpunkten der Löschung der personenbezogenen Daten.

Falls die Daten nicht von den Nutzern selbst mitgeteilt wurden, deren Quelle (zum Beispiel: „Die Daten stammen aus einem öffentlichen Verzeichnis der IHK“ ).

Hinweise auf die Rechte der Nutzer, das heißt auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerrufsrecht bei Einwilligungen, Beschwerderecht bei Aufsichtsbehörden. Wichtig ist, dass das Widerspruchsrecht gesondert aufgeführt wird (am besten als eigener Unterpunkt).

Abwägung eines berechtigten Interesses

Gesamtbetrachtung statt schematischer Durchführung

Pro

  • Verarbeitung typisch und vernünftigerweise erwartbar 
  • Nutzer verständlich informiert (Datenschutzerklärung) 
  • Keine spürbaren Nachteile für Nutzer zu erwarter Pseudonymisierung
  • Opt-Out-Möglichkeit
  • Werbeinhalte sind für Nutzer relevant
  • Vertragliche Zusicherungen
  • Garantien bei Drittländern (z.B. Privacy Shield-Zerifizierung)

 Contra

  • Umfangreiches Profiling
  • Standortdaten
  • Retargeting
  • Crossdevicetracking
  • Relevante Nachteile für Nutzer zu erwarten Keine Informationen
  • kein Opt-Out
  • Daten Minderjähriger
  • Besonders sensible Arten von Daten Daten Beschäftigter