Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

Verarbeitungsverzeichnis DSGVO

 
 
 
 

Werden personenbezogene Daten verarbeitet, so muss hierüber in vielen Fällen ein Verarbeitungsverzeichnis geführt werden.

In dem Verarbeitungsverzeichnis wird unter anderem dokumentiert, wie und für welche Zwecke ein Unternehmen personenbezogene Daten verwendet.

Darüber hinaus werden die vorgenommenen Sicherheitsvorkehrungen und Schutzmaßnahmen dargelegt.

Die Aufsichtsbehörde prüft oft das Verarbeitungsverzeichnis zu allererst. Ein guter Eindruck und eine rechtskonforme Datenverarbeitung sind also das A und O, um hohe Bußgelder zu vermeiden.


Das Wichtigste auf einen Blick

  • Jede datenverarbeitende Stätte muss ein Verarbeitungsverzeichnis führen
  • Es gilt die Schriftform – die elektronische Form kann ebenfalls verwendet werden
  • Inhaltliche Vorgaben sind in Art. 30 Abs. 1 S. 2 lit. a) bis g) DS-GVO aufgeführt


1. Was ist ein Verarbeitungsverzeichnis?

Gemäß Art. 30 DS-GVO hat fast jeder Verantwortliche beim Umgang mit personenbezogenen Daten ein Verarbeitungsverzeichnis zu führen.

In dem Verarbeitungsverzeichnis werden alle Verarbeitungsvorgänge des Unternehmens in Kategorien eingeteilt und dokumentiert. Dabei werden auch die Rechtsgrundlage und der Datenspeicherungszeitraum sowie mögliche Datenübermittlungen und vorhandene Schutzmaßnahmen angegeben.

Das Verarbeitungsverzeichnis ist daher genau an das jeweilige Unternehmen anzupassen und nicht zu verallgemeinern.

Wie bereits erwähnt, trifft diese Pflicht jeden Verantwortlichen eines datenverarbeitenden Unternehmens. Ist ein Auftragsverarbeiter bestellt, so gilt die Pflicht auch für ihn.

Ein Verarbeitungsverzeichnis kann von der zuständigen Person selbst erstellt werden. Bei der Erstellung sind alle inhaltlichen Anforderungen des Art. 30 Abs. 1 lit. a) – g) DS-GVO umzusetzen.

Für eine in diesem Bereich unerfahrene Person, kann dies sehr aufwändig sein. Darüber hinaus sind die selbst erstellten Verarbeitungsverzeichnisse oft anfällig für Fehler. Aufgrund der möglichen Bußgelder ist die Selbstvornahme auch mit einem hohen Risiko verbunden. 

Die Beauftragung eines Experten für die Erstellung und Verwaltung eines Verarbeitungsverzeichnis ist zwar kostenintensiver, aber zugleich der sicherste Weg. 
Ein weitere, sehr gute Möglichkeit ist die persönliche Erstellung eines Verzeichnisses unter der Nutzung eines Datenschutz-Management-Systems.

In beiden Fällen beraten wir Sie gerne und suchen zusammen mit Ihnen nach einer Lösung, die zu Ihren Unternehmen passt.

Bitte verwenden Sie keine Muster aus dem Internet, da diese oft veraltet, zu allgemein oder fehlerhaft sind.

2. Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Grundsätzlich muss ein Verzeichnis bei jedem Unternehmen erstellt werden, welches personenbezogene Daten verarbeitet.

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnis gilt nach Art. 30 Abs. 5 DS-GVO nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen.  

Es sei denn:

  • die vorgenommene Verarbeitung bringt ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es werden besonders sensiblen Daten nach Art. 9 Abs. 1 DS-GVO verarbeitet
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO verarbeitet

Unklarheiten gibt es vor allem bei der Frage nach dem Begriff der „gelegentlichen“ Verarbeitung. Diese liegt vor, wenn zwischen den einzelnen Verarbeitungen größere Zeitabstände liegen oder die Verarbeitung unvorhersehbare Folge des eigentlichen Betriebs ist.

Wir helfen Ihnen gerne dabei herauszufinden, ob Sie ein Verarbeitungsverzeichnis führen müssen.

3. Inhalt des Verarbeitungsverzeichnisses

Die inhaltlichen Anforderungen ergeben sich aus Art. 30 Abs. 1 S. 2 lit. a) – g) DS-GVO.

Jede Tätigkeit, die im Zusammenhang mit der Datenverarbeitung steht, muss aufgeführt werden.

Angegeben werden müssen außerdem: 

  • Name und die Kontaktdaten des Verantwortlichen und ähnlicher Personen
  • Zweck der Verarbeitung
  • die Beschreibung der Kategorien der Betroffenen und der personenbezogenen Daten
  • Bei einer Datenübermittlung: die Kategorien des Empfängers und wenn gegeben des Landes der Übermittlung
  • Wenn möglich: Löschfristen
  • Wenn möglich: allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (TOM’s)

Etwaige Änderungen im Verzeichnis müssen ebenfalls erfasst werden.

Die Tiefe und der Umfang des Verzeichnisses sind gesetzlich nicht bestimmt. Sie werden im Einzelfall, abhängig von den Verarbeitungsvorgängen des Unternehmers festgelegt.

Bei einem unvollständigen oder gänzlich fehlenden Verzeichnis drohen nach Art. 84 Abs. 4a DS-GVO hohe Bußgelder.

4. Form des Verarbeitungsverzeichnisses

Das Verzeichnis ist schriftlich zu führen. Gemäß Art. 30 Abs. 3 DS-GVO ist die elektronische Form genehmigt.

5. Fazit

In den meisten Fällen muss ein Unternehmen ein Verarbeitungsverzeichnis vorweisen. Die Verantwortlichen sollten sich dieser Pflicht bewusst sein und sie wahrnehmen.

Das Verzeichnis ist nicht nur wichtig, um gesetzlichen Vorschriften einzuhalten, sondern bietet dem Unternehmen darüber hinaus einen guten Überblick über alle Verarbeitungsvorgänge und ihre Folgen.

Es kann sehr hilfreich sein, einen Experten zur Seite zu ziehen, um Fehler und Ungenauigkeiten zu vermeiden.

Wir helfen Ihnen sehr gerne bei allen Fragen rund um das Thema Verarbeitungsverzeichnis.

 
 
 
 
 
 
 

Bei Matomo Analytics handelt es sich um ein Programm, welches das Nutzerverhalten auf Webseiten analysiert.

Da hierbei personenbezogene Daten verarbeitet und übermittelt werden, sind die Vorschriften der DS-GVO zu beachten.


Das Wichtigste auf einen Blick

  • Wurden bei Matomo vor Inkrafttreten der DS-GVO Analyseprofile angelegt, so sind diese zu löschen
  • Der Verzicht von Cookies führt nicht zum Wegfall der Einwilligungsbedürftigkeit der Verwendung von Matomo
  • Betroffene sind zu informieren und IP-Adressen zu anonymisieren
  • Die DS-GVO-Konformität ist regelmäßig vom Verantwortlichen zu überprüfen


1. Wofür wird Matomo verwendet?

Matomo wird verwendet, um das Verhalten von Nutzern auf Webseiten zu analysieren. Dies geschieht in der Regel in Form von Cookies.

Die Analyseergebnisse werden auf dem eigenen Server gehostet, wodurch keine dateneinsehenden Drittanbieter zwischengeschaltet sind.

2. Vergleich zu Google Analytics

Google Analytics ist ebenfalls ein Programm zur Analyse von Nutzerverhalten.

Obwohl dieses Programm 80% des Marktanteils innehat, bestehen gerade im Bereich des Datenschutzes erhebliche Mängel und Schwächen. Dadurch ist der Marktführer in den letzten Jahren in die Kritik geraten.

Matomo hält zwar nur zwei Prozent des Marktanteils, wird sich aber voraussichtlich zum ernstzunehmenden Konkurrenten entwickeln. Dies ist auf die vollständige Überarbeitung des Programms und auf die Umsetzung der Vorschriften der DS-GVO zurückzuführen.

Im Vergleich zu Google Analytics ist die Nutzung von Matomo daher aus datenschutzrechtlicher Sicht die bessere und sichere Variante.

3. Matomo und die Vorschriften der DS-GVO

Seit dem Inkrafttreten der DS-GVO im Mai 2018 sind im Umgang mit personenbezogenen Daten besondere Regelungen zu beachten. Diese gelten auch bei der Nutzung vom Matomo.

Bei der Verwendung von Matomo werden unter anderem IP-Adressen gespeichert. Hierbei handelt es sich nach aktueller Rechtsauffassung um die Speicherung personenbezogener Daten. Es gelten daher die Vorschriften der DS-GVO.

Hiernach muss der Verwender die IP-Adresse unter anderem anonymisieren. Diese und weitere Funktionen, die zu einer DS-GVO-konformen Nutzung der Daten beitragen, sind bei Matomo automatisch enthalten und müssen nur aktiviert werden.

4. Das Anlegen von Analyseprofilen

Analyseprofile müssen DS-GVO-konform angelegt werden.

Wie bereits erwähnt, ist hierfür vor allem die Nutzung der Anonymisierungsfunktion erforderlich.

Darüber hinaus muss für den Betroffenen die Möglichkeit bestehen, Widerspruch gegen die Nutzung seiner Daten einzulegen.

Beispielsweise kann das in Form eines Opt-out-Verfahrens vorgenommen werden, bei dem der Betroffene der Datenverwendung widersprechen kann, indem er ein Häkchen setzt.

Zu beachten ist außerdem, dass nur die Nutzerprofile, die nach der Einführung der DS-GVO angelegt worden sind, den Vorschriften der DS-GVO gerecht werden können.

Zuvor eröffnete Profile verstoßen gegen geltendes Recht, wodurch Geldbußen drohen.

In diesen Fällen sind die erhobenen Daten zu löschen und neu zu erheben. Außerdem sollte das Nutzerkonto neu angelegt werden.   

5. Die Nutzung von Cookies mit Matomo

Um Nutzerdaten zu erheben, benötigt Matomo Cookies, die auf dem Endgerät des Nutzers gespeichert werden. Diese Vorgehensweise ist mittlerweile üblich.

Das Grundsatzurteil des EuGHs vom 01.10.2019 (C-673/17) schreibt eine Einwilligung des Betroffenen in diese Art der Speicherung zwingend vor.

Wie bereits erwähnt, kann eine solche Einwilligung durch das Opt-Out-Verfahren oder mit Hilfe von Cookie-Banner eingeholt werden.

Ein Verstoß gegen diese Vorgaben kann schwerwiegend sein: Nach Art. 83 Abs. 5 DS-GVO drohen Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes.

6. Device Fingerprinting mit Matomo

Daten können nicht nur mit dem Einsatz von Cookies erhoben werden.

Wird die Verwendung in Matomo deaktiviert, verwendet das Programm trotzdem „Device Fingerprinting“. Hiermit können unter anderem der Gerätetyp, die Leistung und das Betriebssystem des Betroffenen ermittelt und auf dieser Basis ein Nutzerprofil erstellt werden.

Die bereits aufgeführte Rechtsprechung des EuGHs gilt zwar ausdrücklich für die Nutzung von Cookies, jedoch kann erwartet werden, dass das Urteil aufgrund des ähnlichen Sachverhaltes auch auf die Verwendung von Device Fingerprinting ausgeweitet wird.

Um bereits gespeicherte Daten nicht erneut erheben zu müssen, empfiehlt es sich daher, auch für Device Fingerprinting eine Einwilligungserklärung einzuholen.

7. Fazit

Das Programm Matomo wurde zur Einführung der DS-GVO umfassend an diese angepasst.

Aus diesem Grund ist die Nutzung und die DS-GVO-konforme Verwendung nicht erschwert, sondern vereinfacht worden.

Wichtig ist allerdings, dass der Verwender trotzdem selbst dafür verantwortlich ist, dass diese Konformität dauerhaft besteht. Er hat die Vorgänge also regelmäßig zu überwachen und zu kontrollieren.

Besondere Aufmerksamkeit ist dabei auf die Anonymisierung der gesammelten persönlichen Daten sowie auf die Information der Betroffenen zu legen.

Werden diese Punkte beachtet, so ist die Verwendung von Matomo grundsätzlich in datenschutzrechtlicher Hinsicht unbedenklich möglich.

 
 
 
 
 
 
 

Kundendaten werden praktisch in jedem Unternehmen verarbeitet. Je nach Datenmenge und Anzahl der Verarbeitungsvorgänge, kann das in Verbindung mit datenschutzrechtlichen Regelungen eine große Herausforderung bedeuten.

Die Daten der Kunden und ihre Verwendung sind für ein Unternehmen förderlich. Sie können für die Gewinnung von Neukunden, aber auch zur Erhaltung der bereits gewonnenen Kunden genutzt werden.
Durch die gesetzlichen Regulierungen ist der Umgang mit den genannten Daten erschwert worden.


Das Wichtigste auf einen Blick

  • Unter Kundendaten versteht man alle personenbezogenen Daten, die im Rahmen von Geschäftsprozessen eines Unternehmens erhoben und weiterverarbeitet werden
  • Art. 6 Abs. 1 lit. b) und f) stellen die zentrale Rechtsgrundlage dar
  • Eine Einwilligungserklärung muss vor jeder Nutzung der Daten eingeholt werden, wenn diese nicht gesetzliche zulässig ist
  • Eine Weitergabe der Daten an Dritte ist nur erlaubt, wenn eine Einwilligung oder berechtigtes Interesse vorliegt


1. Definition von Kundendaten

Kundendaten sind alle personenbezogenen Daten, die einer natürlichen Person zuzuordnen sind oder diese identifizierbar machen.

Hauptsächlich sind das personenbezogene Daten, die im Bereich von Geschäftsvorgängen erhoben und genutzt werden.

2. Erlaubte Verarbeitung von Kundendaten

Die Verarbeitung personenbezogener Daten ist nach den unionsrechtlichen Datenschutzvorschriften nur rechtmäßig, wenn sie auf einer Einwilligung des Betroffenen gemäß Art. 7 DS-GVO beruht.

Im Rahmen von Kundendaten ist eine Verarbeitung nach Art. 6 Abs. 1 lit b) und f) gestattet, wenn sie für folgende Punkte maßgeblich ist:

  • Vertragserfüllung oder -abschluss (hierbei ist ein gemeinsamer Vertragswille erforderlich)
  • Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen vorgenommen werden
  • Sicherung berechtigter Interessen des Unternehmens (außer die Rechte des Kunden überwiegen oder die Verarbeitung ist unverhältnismäßig, Art 6 Abs. 1 lit f))

3. Wichtige Vorschriften für den Umgang mit Kundendaten

Wie bei jeder Datenverarbeitung müssen auch bei der Verarbeitung von Kundendaten die Grundsätze der DS-GVO berücksichtigt werden.

Die Verarbeitung hat transparent, auf rechtmäßige Weise und nach Treu und Glauben zu erfolgen. Hierbei muss die Verarbeitung auch zweckgebunden und für den Kunden nachvollziehbar sein.

Daten dürfen nur solange gespeichert werden, bis der Zweck erfüllt ist oder eine gesetzliche Aufbewahrungsfrist greift. 

Darüber hinaus ist es notwendig, dass angemessene Sicherheitsvorkehrungen durch qualifizierte technisch organisatorische Maßnahmen (TOMs) geschaffen und dokumentiert werden, um die Daten vor unrechtmäßiger Verarbeitung, einem Verlust oder einer Schädigung zu schützen.

Um Kundendaten datenschutzkonform zu verarbeiten, ist außerdem ein Verarbeitungsverzeichnis hilfreich und erforderlich. Hier können auch technisch organisatorische Maßnahmen erfasst werden.

Werden sensible Daten unter voraussichtlich hohem Risiko für die persönlichen Rechte und die Freiheit des Betroffenen verarbeitet, so ist eine Datenschutz-Folgeabschätzung durchzuführen.

Um Betroffenheitsrechte geltend zu machen, ist der Kunde darüber zu informieren, welche seiner Daten zu welchem Zweck und in welchem Umfang gespeichert und verarbeitet werden.
Er kann zudem den gesamten Datenbestand anfordern und einsehen.

4. Wichtige Bereiche des Kundendatenschutzes

4.1 Kundenpflege

Im Rahmen der Kundenpflege werden unter anderem Strategien zur systematischen Gestaltung der Kundenbeziehungen entwickelt. Da Programme ein Bild zum Kaufverhalten des Kunden konstruieren können, ist hier eine datenschutzkonforme Handhabung sehr wichtig.

4.2 Werbemaßnahmen

Liegt keine Werbesperre oder kein Widerspruch des Kunden vor, so ist es für Unternehmen im Rahmen eines Vertragsverhältnisses möglich, den Kunden mit Direktmarketing auch ohne Einwilligung zu kontaktieren. Dies lässt sich aus EG 47 der DS-GVO entnehmen: Hiernach stellt Direktwerbung ein berechtigtes Interesse dar. Es ist daher in jedem Einzelfall eine Interessenabwägung erforderlich.

Sicherheit bietet in solchen Fällen eine Einverständniserklärung, die der Unternehmer vom Kunden einholen kann.

Eine Einholung der Zustimmung ist in jeden Fall erforderlich, wenn besondere personenbezogene Daten nach Art. 9 DS-GVO verarbeitet werden sollen.

4.3 Datenweitergabe an Dritte

In vielen Fällen ist es einfacher, die Aufgabe der Kundenpflege an externe Dritte weiterzugeben. Die Datenweitergabe an Dritte ist jedoch nur unter der Voraussetzung der vorherigen Einwilligung des Betroffenen oder dem Vorliegen von berechtigtem Interesse zulässig. In Bezug auf das berechtigte Interesse muss das Bedürfnis des Unternehmens das schutzwürdige Interesse des Betroffenen überwiegen.

Problematisch ist ebenfalls der Adresshandel, bei dem Adressen für Werbezwecke an Dritte verkauft werden. Um Rechtssicherheit zu gewähren kann hier nur die Einholung der Einwilligung des Betroffenen empfohlen werden.

4.4 Kundenverhaltensanalysen

Hat der Kunde nicht in die Nutzung seiner Daten eingewilligt, dieser aber auch nicht widersprochen, so können die Daten trotzdem im Rahmen der Kundenanalyse genutzt werden. Hier ist eine Pseudonymisierung erforderlich, um die Kundendaten nicht direkt der betroffenen Person zuordnen zu können.

5. Fazit

In den letzten Jahren sind die Möglichkeiten der Sammlung und Verwendung von Kundendaten stark gestiegen. Umso wichtiger ist es, personenbezogene Daten zu schützen. Dies geschieht in Form von sorgfältigem Abwägen, aber auch durch die Einhaltungen der gesetzlichen Regelungen der DS-GVO.

Haben Sie Fragen zu der Behandlung Ihrer Kundendaten? Wir stehen Ihnen gerne beratend zur Seite.

 
 
 
 
 
 
 

Die Einwilligungserklärung ist eine der wichtigsten Komponenten des Datenschutzes und der DS-GVO.

Bei der Datenverarbeitung besteht ein Verbot mit Zulässigkeitstatbeständen. Die Verarbeitung ist also grundsätzlich verboten, solange keine gesetzliche Ausnahme vorliegt oder eine ausdrückliche Einwilligung vorgenommen wurde.

Die Wirksamkeit der Einwilligungserklärung ist an einige Voraussetzungen gebunden.


Das Wichtigste auf einen Blick

  • Die Einwilligung sorgt dafür, dass personenbezogene Daten rechtmäßig und DS-GVO-konform verwendet und verwertet werden können
  • Art. 7 DS-GVO und Erwägungsgrund 32 regeln und konkretisieren die Einwilligungsanforderungen
  • Damit die Einwilligung rechtmäßig ist, muss der Betroffene umfassend aufgeklärt worden sein
  • Werden die Anforderungen der DS-GVO nicht erfüllt, so ist die Einwilligung unwirksam
  • Erfolgt trotz unwirksamer Einwilligungserklärungen eine Datenverarbeitung, drohen hohe Bußgelder


1. Die Einwilligungserklärung

Liegt keine gesetzliche Grundlage vor, welche die Erhebung, Verarbeitung und Nutzung von Daten erlaubt, so muss vor der Datenverarbeitung eine Einwilligungserklärung eingeholt werden.

2. Die Form der Einwilligungserklärung

Die Einwilligungserklärung kann ausdrücklich und konkludent abgegeben werden. Schweigen ist jedoch keine wirksame Form der Einwilligung.

Da der Verantwortliche die Einwilligung des Betroffenen und die Aufklärung über die Datenverarbeitung dokumentieren und nachweisen muss, empfiehlt sich bei der Einholung die Schriftform.

Online ist es möglich, die Einwilligung durch Anklicken eines Kontrollkästchens einzufordern. Der Betroffene muss hierbei den Haken aktiv setzen. Diese Vorgehensweise nennt sich Opt-In-Verfahren.

Nicht möglich ist es, ein bereits vorangekreuztes Kästchen einzublenden (Opt-out-Verfahren).

Darüber hinaus kann die Einwilligung in Form des Double-Opt-In Verfahrens online eingeholt werden. Beim Double-Opt-In Verfahren muss erst ein Haken gesetzt und anschließend ein bereitgestellter Link angeklickt werden.

Solange sowohl im Opt-In-, als auch im Double-Opt-In-Verfahren die Einwilligung nachweisbar ist, können die Verfahren online genutzt werden.

3. Wann muss eine Einwilligung eingeholt werden?

Eine Einwilligung ist immer einzuholen, wenn kein gesetzlicher Erlaubnistatbestand erfüllt ist.

Besondere Voraussetzungen gelten bei der Einwilligung durch Minderjährige. Sie können erst ab dem Alter von 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Bis zu diesem Zeitpunkt ist die Genehmigung des gesetzlichen Vertreters erforderlich.

Wurde die Einwilligung vor der Geltung der DS-GVO (25. Mai 2018) wirksam eingeholt, so besteht diese fort. 

Eine Generaleinwilligung gilt hingegen nicht, da sie den gesetzlichen Anforderungen nicht gerecht wird.

In der Praxis ist eine Einwilligung unter anderem in folgenden Fällen erforderlich:

  • Längere Datenspeicherung als gesetzlich vorgesehen
  • Verwendung von Mitarbeiterfotos und Benennung von Kontaktpersonen
  • Veröffentlichung personenbezogener Daten, z.B. Rezensionen
  • Nutzung von Tools (Cookies)auf Webseiten, z.B. Aktionen, Surfaktivität, Käufe und Einstellungen, IP-Adresse, geografische Standorte

4. Was muss in der Einwilligung enthalten sein?

Die Anforderungen an eine wirksame Einwilligung sind in Art. 7 DS-GVO und in Erwägungsgrund 32 zur DS-GVO geregelt.

4.1. Freiwilligkeit

Der Betroffene muss die Einwilligungserklärung freiwillig abgeben. Im Zeitpunkt der Abgabe muss er sich bewusst sein, dass er frei wählen kann ob er die Einwilligung erteilt, oder nicht.  

Die betroffene Person ist die ganze Zeit über in der Position, die Einwilligung zu verweigern oder zurückzuziehen, ohne hierdurch einen Nachteil zu erleben.

Besonders zu untersuchen ist die Freiwilligkeit in Über- und Unterordnungsverhältnissen.

Die Abgabe der Einwilligung erfolgt nicht freiwillig, wenn die Erbringung einer Leistung von der Einwilligungserklärung abhängig gemacht wird. 

Selbstverständlich ist die Freiwilligkeit auch bei Täuschung, Drohung oder sonstigem Zwang (z.B. sozialer Druck) nicht gegeben und die Erklärung damit unwirksam.

4.2. Eindeutigkeit

Eine Einwilligungserklärung muss eindeutig als solche erkennbar sein. Hilfreich ist es, die Einholung und die Abgabe der Erklärung in klarer, verständlicher Sprache zu formulieren, die für den Betroffenen verständlich ist.

4.3. Zweckgebundenheit

Die Einwilligung muss sich auf einen bestimmten Zweck beziehen, der dem Betroffenen erläutert wurde. Abweichungen sind nicht möglich.

Für unterschiedliche Zwecke sind gesonderte Einwilligungen nötig.

4.4. Informationspflicht

Die betroffene Person muss sich der Bedeutung und der Reichweite der Einwilligungserklärung bewusst sein.

Hierfür ist eine umfassende Information erforderlich, bei welcher der Betroffene über den Zweck und den Umfang der Datenverarbeitung, die mögliche Weitergabe an Dritte sowie seine Rechte aufgeklärt wird.

Die Betroffenheitsrechte beinhalten das Recht auf Auskunft, Löschung der Daten und Widerspruch der Verwendung. Außerdem besteht ein Beschwerderecht.

Die Information muss verständlich und in klarer, einfacher Sprache erfolgen.

Ihr Umfang ist einzelfallabhängig.

Es wird empfohlen, die Informationspflicht in Form einer umfassenden Datenschutzerklärung zu erfüllen.

4.5. Widerrufbarkeit

Erteilte Einwilligungen sind jederzeit für die Zukunft widerrufbar.

Nach Art. 7 Abs. 3 muss der Widerruf für den Betroffenen so einfach wie die Abgabe der Einwilligungserklärung sein.

5. Folgen einer unwirksamen Einwilligung

Sind die Voraussetzungen des Art. 7 DS-GVO nicht erfüllt, so ist die Einwilligungserklärung unwirksam. Sie kann damit keine Rechtsgrundlage für die Datenverarbeitung darstellen. Werden trotzdem personenbezogene Daten verarbeitet, so ist die Verarbeitung rechtswidrig.

Aufgrund des Fairness- und Transparenzgrundsatzes der DS-GVO darf bei einer unwirksamen Einwilligung auf keine andere Rechtsgrundlage zurückgegriffen werden.

Nach Art. 83 Abs. 5 lit. a) drohen bei Nichtbeachtung der Regelungen hohe Geldstrafen und Bußgelder.

6. Fazit

Eine wirksame Einwilligung ist an einige Voraussetzungen geknüpft. Die rechtlichen Vorgaben müssen eingehalten werden, damit die Datenverarbeitung nicht rechtswidrig erfolgt.

 
 
 
 
 
 
 

In der DS-GVO wird im Bereich besonders geschützter Daten zwischen verschiedenen Kategorien unterschieden.


Das Wichtigste auf einen Blick

  • Der Umgang mit Gesundheitsdaten ist als wichtigster Anwendungsfall anzusehen
  • Die Kategorien des Art. 9 DS-GVO sind besonders grundrechtrelevant – es besteht ein grundsätzliches Verarbeitungsverbot mit Ausnahmeregelungen
  • Werden besonders sensible Daten verarbeitet, so muss eine Datenschutzfolgeabschätzung vorgenommen, ein Verarbeitungsverzeichnis geführt und in bestimmten Fällen ein Datenschutzbeauftragter gestellt werden  


1. Die Datenkategorien der DS-GVO

Es gibt in der DS-GVO Datenkategorien, die besonderem Schutz unterstellt sind.  

Hierbei handelt es sich um:

  • rassische oder ethische Herkunft
  • politische Meinung
  • religiöse oder weltanschauliche Überzeugung
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten
  • Gesundheitsdaten
  • Sexualleben und sexuelle Orientierung

2. Warum stehen manche Daten unter besonderem Schutz?

Personenbezogene Daten werden durch die DS-GVO umfangreich geschützt.

Daher stellt sich die Frage, weshalb in manchen Fällen ein strengerer Schutz vonnöten ist.

Die in Art. 9 DS-GVO aufgeführten besonderen Kategorien personenbezogener Daten unterscheiden sich von anderen Daten aufgrund ihrer besonderen Sensibilität. Es besteht ein hohes Risiko für Auswirkungen auf die Grundrechte und die Freiheiten von betroffenen Personen.

3. Die wichtigsten Datenkategorien im Überblick

Besonders praxisrelevant sind Gesundheitsdaten, biometrischen und genetischen Daten.

Unter Gesundheitsdaten sind nach Art. 4 Nr. 15 DS-GVO personenbezogene Daten zu verstehen, die Rückschlüsse auf die körperliche und geistige Gesundheit eines Menschen ermöglichen.

Biometrische Daten sind in Art. 4 Nr. 14 DS-GVO definiert. Es handelt sich um Daten, die mithilfe spezieller technischer Verfahren gewonnen wurden. Sie können Informationen zu den physischen, psychologischen oder verhaltenstypischen Merkmalen der betroffenen natürlichen Person beinhalten und ermöglichen daher die eindeutige Identifizierung dieser.

Daten, die Informationen über die ererbten oder erworbenen genetischen Eigenschaften beinhalten und eindeutige Angaben über die Physiologie und die Gesundheit des Betroffenen offenlegen, werden genetische Daten genannt.

Alle genannten Daten geben Auskunft über die intimste Sphäre der betroffenen natürlichen Person. Daher sind sie besonders zu schützen.

4. Das Verarbeitungsverbot und seine Ausnahmen, Art. 9 DS-DS-GVO:

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich verboten. In bestimmten Fällen greift jedoch ein Erlaubnisvorbehalt, der die Verarbeitung unter besonderen Voraussetzungen ermöglicht. Hierbei müssen die Daten weiterhin umfassend geschützt und die Grundrechte gewahrt werden.

Die einzelnen Fälle, in denen eine Verarbeitung personenbezogener Daten erlaubt sind, sind in Art. 9 Abs. 2 lit. a) – j) DS-GVO gelistet.

Nachfolgend sind einige Beispiele aufgeführt.

Zum einen stellt die ausdrückliche Einwilligung des Betroffenen eine Möglichkeit dar, sensible Daten datenschutzrechtkonform zu verarbeiten. Dies gilt nicht, wenn die Einwilligung durch EU-Recht oder nationales Recht untersagt oder als ungültig erklärt worden ist.  

Die Einwilligung ist bestimmten Fällen nicht erforderlich, wenn die Verarbeitung der Gesundheitsvorsorge oder ähnlichem dient.

Außerdem dürfen Daten der besonderen Kategorie verarbeitet werden, wenn der Betroffene diese selbst veröffentlicht hat. Durch die Veröffentlichung sind die Daten weniger schutzwürdig.

Darüber hinaus ist die Verarbeitung besonderes sensibler Daten rechtmäßig, wenn diese für den Schutz lebenswichtiger Interessen relevant ist.

5. Weitere Datenkategorien 

Auch in anderen Artikeln der DS-GVO sind Regelungen zum besonderen Schutz von Daten aufgeführt.

Beispielsweise ist nach Art. 10 die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten einer Person unter bestimmten Umständen erlaubt.

6. Nicht-besondere personenbezogene Daten

Nicht unter die Verarbeitung besonderer Kategorie personenbezogener Daten fällt die Verarbeitung von Lichtbildern. Passbilder fallen hingegen unter biometrische Daten und dürfen nur in bestimmten Fällen verarbeitet werden.  

Ebenfalls nicht von der besonderen Kategorie erfasst ist der Alkoholkonsum einer Person. Anders sieht es bei einer Alkoholabhängigkeit aus, da dies eine Krankheit darstellt.

Er dürfen keine Rückschlüsse geschlossen werden: Beispielsweise ist in der Herkunft einer Person nicht die Religionsangehörigkeit erkennbar.

7. Datenkategorien in der Praxis

Vor allem im Bereich der automatisierten Verarbeitungsprozesse von den in Art. 9 aufgeführten besonders schutzwürdigen Daten, sind einige Vorschriften zu beachten:

Zum einen muss der Betroffenen der Erhebung, Verarbeitung oder Weitergabe seiner Daten ausdrücklich zugestimmt haben.
Um nicht gegen die gesetzlichen Vorgaben der DS-GVO zu verstoßen, sind die Daten regelmäßig zu löschen und Einwilligungserklärungen der betroffenen Personen einzuholen. 

Neben einer Datenschutz-Folgeabschätzung muss auch ein Verarbeitungsverzeichnis geführt werden.

Mehr hierzu erfahren Sie in unserem Artikel zum Verarbeitungsverzeichnis

In bestimmten Fällen ist außerdem die Benennung eines Datenschutzbeauftragten i.S.d. Art. 37 DS-GVO vorzunehmen.

 

8. Fazit

Die DS-GVO sorgt für einen umfassenden Schutz bei der Erhebung, Verarbeitung und Speicherung von Daten der Betroffenen.

Daten, bei denen ein Risiko für die Grundrechte und Freiheiten natürlicher Personen besteht, wurden in die Kategorie besonderer personenbezogener Daten eingeteilt und damit explizit hervorgehoben und geschützt.

Die Verklausulierung der Ausnahmetatbestände ist jedoch als negativ zu bewerten, da der Aufbau des Art. 9 nicht sonderlich übersichtlich erscheint.

 
 
 
 
 
 
 

In Art. 28 sind die Voraussetzungen und Regelungen einer Auftragsverarbeitung aufgeführt.

Unter der Auftragsverarbeitung versteht man das Auslagern der Verarbeitung von Nutzerdaten über einen Verarbeitungsvertrag an einen externen Dritten.


Das Wichtigste auf einen Blick

  • Bei einer Auftragsverarbeitung nimmt der Verantwortliche die Datenverarbeitung nicht selbst vor
  • Der Datenverarbeitungsvertrag kann in der elektronischen Form des § 126b BGB geschlossen werden
  • Die Auftragsverarbeitung kann auch in einem Nicht-EU Land stattfinden
  • Solange der Auftragsverarbeiter den Weisungen des Verantwortlichen folgt, haftet der Verantwortliche


1. Wann spricht man von einer Auftragsverarbeitung?

Sind bei der Datenverarbeitung andere Personen tätig als der Verantwortliche, so könnte eine Auftragsverarbeitung vorliegen.

Tritt die verarbeitende Person nur im Interesse des Verantwortlichen auf und ist dieser auch der Auftraggeber, liegt in der Regel eine Auftragsverarbeitung vor.

Vor dem Beginn des weisungsgebundenen Handelns muss ein Verarbeitungsvertrag geschlossen worden sein.

Die Fälle der Auftragsverarbeitung sind vielfältig. Beispielsweise kann die Speicherung von Daten über einen Cloud-Anbieter eine Auftragsverarbeitung sein. Auch kann eine dritte Person zur Auftragsverarbeitung vertraglich berufen werden.

Ob eine Auftragsverarbeitung vorliegt, muss in jedem Fall einzeln bewertet werden.

2. Der Verarbeitungsvertrag

Für eine wirksame Auftragsverarbeitung ist der Abschluss eines Verarbeitungsvertrages erforderlich. Der Vertrag muss nach Art. 28 Abs. 3 DS-GVO folgende Punkte enthalten:

  • Bindung des Auftragsverarbeitenden in Bezug auf die Weisungen des Verantwortlichen
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Festlegung der Pflichten und Rechte des Verantwortlichen

Viele wesentliche Aspekte des BDSG wurden auch in der DS-GVO aufgegriffen.

Im Vergleich zum BDSG gibt es jedoch bei dem Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter eine Neuerung:

Nach Art. 28 Abs. 9 DS-GVO kann ein solcher Vertrag nun nicht mehr nur schriftlich, sondern auch elektronisch abgeschlossen werden.

In der Praxis betrifft die Neuregelung nicht nur den Vertragsschluss, sondern auch die Widerrufsbelehrung.

Diese muss auch beim elektronischen Vertragsschluss vorgenommen und dauerhaft in unverändertem Zustand bereitgestellt werden. Es wird daher geraten, die Datei als pdf zu übermitteln und/oder zum Download bereitzustellen. 

3. Pflichten des Auftragsverarbeitenden

In Abs. 3 (1) lit. a) – h) sind die Pflichten des Auftragsverarbeitenden geregelt.  

Zum einen bestehen Dokumentations- und Nachweispflichten. Der Verarbeiter muss beweisen können, dass er den Weisungen des Verantwortlichen gefolgt ist und im Rahmen der Vorschriften der DS-GVO gehandelt hat.

In Bezug auf die personenbezogenen Daten besteht eine strenge Vertraulichkeitspflicht.

Daneben müssen Sicherheitsmaßnahmen getroffen, angemessene technisch organisatorische Maßnahmen geschaffen und die Vorschriften der DS-GVO eingehalten werden.

Ist die Tätigkeit beendet, so hat der Auftragsverarbeiter alle Versionen personenbezogener Daten zurückzugeben oder zu löschen. Die Löschung kann nur erfolgen, wenn keine steuerrechtlichen, handelsrechtlichen oder unionsrechtlichen Vorschriften eine Speicherung vorschreiben. 

4. Verantwortlichkeit im Fall des Verstoßes gegen die DS-GVO

Gemäß des Art. 4 Nr. 7 DS-GVO entscheidet der Verantwortliche alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Er ist hierbei für die Einhaltung der Vorschriften der Verordnung verantwortlich und haftet im Fall eines Verstoßes.

Der Auftragsverarbeiter hingegen verarbeitet nach Art. 4 Nr. 8 DS-GVO die personenbezogenen Daten nur im Auftrag des Verantwortlichen.

Wie bereits erwähnt, ist er hierbei weisungsgebunden und trifft im Rahmen seiner zugeteilten Tätigkeit wenige bis keine eigenen Entscheidungen.

Handelt der Auftragsverarbeiter wie beabsichtigt nach den Weisungen des Verantwortlichen und tritt er in dessen Pflichten ein, so muss der Verantwortliche für Fehler einstehen und haften.

Anders ist dies, wenn der Auftragsverarbeiter entgegen der Absprachen zwischen ihm und dem Verantwortlichen agiert und sich somit den Weisungen des Auftraggebers widersetzt.

In diesen Fällen greift Art. 28 Abs. 10 DS-GVO: Der Verarbeiter gilt, weil er gegen die Verordnung verstößt und Zweck und Mittel der Verarbeitung selbst festlegt, als Verantwortlicher und muss auch wie dieser haften.

5. Fazit

Der Art. 28 DS-GVO greift einige Aspekte auf, die bereits im BDSG verankert waren. Modernisierungen gab es im Bereich der Form des Abschlusses des Verarbeitungsvertrages. Der Vertrag kann seit der Einführung der DS-GVO nun auch in elektronischer Form abgeschlossen werden.

Zusammenfassend lässt sich zudem sagen, dass Art. 28 DS-GVO die Ausgliederung der Datenverarbeitung an einen Auftragsverarbeiter erleichtert und zugleich den Schutz der Daten betont und sicherstellt.

Durch Art. 28 DS-GVO bestehen in der Regel keine Haftungsfragen, obwohl mehrere Akteure auftreten.
Trotzdem ist jeder Einzelfall für sich alleine zu betrachten und zu bewerten.

Die Norm hat eine hohe Praxisrelevanz und sollte den Vorgaben entsprechend umgesetzt werden.

 
 
 
 
 
 
 

Das Wichtigste auf einen Blick

  • Nach Art. 15 DS-GVO hat jede natürliche Person ein Auskunftsrecht darüber, ob und welche personenbezogenen Daten vom Verantwortlichen verarbeitet werden
  • Zur Geltendmachung des Auskunftsanspruchs genügt ein formloser Antrag
  • In besonderen Fällen darf die Auskunft vom Verantwortlichen verweigert werden
  • Unsicherheiten bezüglich der Reichweite des Art. 15 DS-GVO sind zugunsten des Antragsstellers zu entscheiden



1. Inhalt des Art. 15 DS-GVO

Nach Art. 15 DS-GVO hat jede natürliche Person ein Auskunftsrecht.

Dieses Recht besteht auf zwei Ebenen:

Zum einen hat der Betroffene das Recht zu erfahren, ob seine personenbezogenen Daten vom Verantwortlichen verarbeitet werden.

Wird eine Verarbeitung vorgenommen, besteht ein Anspruch auf Auskunft darüber, welche Daten für welchen Zweck verarbeitet werden.

Die genauen Informationspunkte sind in Art. 15 Abs. 1 lit. a) – h) DS-GVO aufgeführt.

2. Geltendmachung des Auskunftsanspruchs

Der Auskunftsanspruch kann mit Hilfe eines formlosen Antrags gestellt werden. Es genügt hierfür also ein einfaches Schreiben, aus dem hervorgeht, dass der Verfasser sein Recht auf Auskunft geltend machen möchte.

Anschließend hat der Verantwortliche der Auskunftserteilungspflicht unverzüglich, spätestens nach einem Monat, nachzukommen. Die Informationen sind dem Antragsteller in verständlicher Weise, präzise, transparent und in leicht zugänglicher Form zu übermitteln. Der Verantwortliche kann wählen, ob die Übermittlung in elektronischer oder schriftlicher Form erfolgen soll.

Der Verantwortliche kann in bestimmten Fällen eine Fristverlängerung um zwei Monate beantragen, wenn dies aufgrund der Anzahl und Komplexität von Anfragen erforderlich ist (Art. 12 Abs. 3 S.2).

3. Kosten der Geltendmachung

Grundsätzlich kommen auf den Antragsteller keine Kosten zu, wenn er sein Auskunftsrecht in Anspruch nimmt. Dies ergibt sich unter anderem aus Art. 12 Abs. 5, S. 1 und aus Art. 15 Abs. 3, S. 1 und 2 DS-GVO, in dem von einem „Recht auf Kopie“ gesprochen wird.

Benötigt der Betroffene weitere Kopien, so kann der Verantwortliche die Kosten des Verwaltungsaufwands berechnen und von der betroffenen Person erstattet verlangen.  

4. Ausnahmen der Geltendmachung des Auskunftsanspruchs

Wie bereits festgestellt, hat jeder Betroffene nach Art. 15 DS-GVO ein Recht auf Auskunft. Dieses Recht ist jedoch in bestimmten Fällen beschränkbar. 

Die Gründe für eine mögliche Beschränkung sind in Art. 12 Abs. 2, S. 2 und Abs. 5 DS-GVO, in Art. 15 Abs. 4 sowie in § 34 BDSG aufgeführt.

Gemäß Art. 12 Abs. 2 S. 2 DS-GVO besteht keine Auskunftspflicht, wenn der Betroffene nicht identifizierbar ist.

Auch besteht nach Art. 12 Abs. 5 keine Auskunftspflicht, wenn der Betroffenen die Anträge in exzessiver oder unbegründeter Weise stellt.

Gleiches gilt nach Art. 15 Abs. 4, wenn die Auskunftserteilung die Rechte und Freiheiten anderer Personen beeinträchtigt würde.  

Zuletzt besteht auch kein Anspruch auf Auskunft, wenn die personenbezogenen Daten auf Grundlage von gesetzlichen Vorschriften gespeichert worden sind und nicht gelöscht werden dürfen. Dies ist in § 34 BDSG geregelt.

Die Aufzählung der Ausschlussgründe ist abschließend. Damit kommen keine weiteren Ausnahmen in Frage.

5. Das „Recht auf Kopie“

Es ist noch unklar, ob das Recht auf Kopie ein eigenständiges Recht neben dem Auskunftsanspruch darstellt.

Vertreten wird, dass die Kopie nur die Form der Auskunft genauer erläutern soll. Hiernach würde dies keinen eigenständigen Anspruch begründen.

Anders die Auffassung, dass Art. 15 Abs. 3 DS-GVO als Ergänzung zu Art. 15 Abs. 1 anzusehen ist und ein eigenes Recht begründet.

Bisher ist der Streit nicht entschieden und es herrscht eine uneinheitliche Rechtsprechung.

Auch ist der Umfang des Rechts auf Kopie umstritten. Die Rechtsprechung ist sich auch hier uneinig.

Es ist daher im Einzelfall zu entscheiden, welcher Meinung Vorzug gewährt werden soll.

In jedem Fall besteht eine umfangreiche Auskunftspflicht.

6. Art. 15 I DS-GVO im Prozess

Das Recht auf Auskunft wird des Öfteren in rechtshängigen Verfahren geltend gemacht. Hierbei wird allumfassende Auskunft in Bezug auf sämtliche Konversationen und Daten verlangt.

Da der Umfang des Auskunftsanspruch jedoch umstritten ist, ist es für den Verantwortlichen schwierig einzuschätzen, in wie fern er verpflichtet ist, diesem nachzukommen.

 
 
 
 
 
 
 

 

Das Wichtigste auf einen Blick  

  • Ein Unternehmen kann bei der Nutzung von WhatsApp kaum die Vorgaben der DS-GVO erfüllen 
  • ​Die DS-GVO nicht für Personen, die den WhatsApp-Messenger für rein private Zwecke verwenden 
  • Wird ein Handy mit WhatsApp privat und geschäftlich genutzt, so ist der Einsatz einer Container App empfehlenswert 
  • ​Um WhatsApp DS-GVO konform zu nutzen, sollte die App nicht im Rahmen einer unternehmerischen Tätigkeit verwendet werden 
  • In datenschutzrechtlicher Hinsicht bringt WhatsApp Business keinen Vorteil gegenüber der gängigen Version 
  • Es besteht zwar die Möglichkeit, beinahe deckungsgleiche Alternativen zu WhatsApp zu verwenden, diese sind jedoch zum Großteil sehr wenig verbreitet 



1. Problemanriss  

Der im Großteil der Bevölkerung sehr beliebte Messenger WhatsApp wird seit der Einführung der DS-GVO am 25. Mai 2018 durch die Verschärfung der datenschutzrechtlichen Regelungen kritisiert.  

Grundsätzlich gilt, dass jede Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten die Zustimmung der betroffenen Person erfordert. Der Messenger sollte daher so wenig Daten wie möglich erheben, damit seine Aktivitäten den Vorgaben der DS-GVO nicht zuwiderlaufen.   

In datenschutzrechtlicher Hinsicht ist es problematisch, dass WhatsApp automatisch auf die Telefonkontakte des Nutzers zugreift, um diese mit bestehenden WhatsApp Konten abzugleichen.  

Hierbei handelt es sich gemäß der DS-GVO um eine Verarbeitung von personenbezogenen Daten.  
Diese setzt nach Art. 28 DS-GVO die (vertragliche) Zustimmung des Betroffenen voraus.  

Personen, die WhatsApp nutzen, haben die Zustimmung konkludent abgegeben, da sie den Nutzungs- und Datenschutzbedingungen des Unternehmens zugestimmt haben.  
Anders sieht das bei den Telefonkontakten von Personen aus, die den Messenger nicht verwenden, und deren Telefonnummer trotzdem abgeglichen und somit verarbeitet wird. 

2. Das Privathandy und WhatsApp 

Keine Sorge: Die Datenverarbeitung für private Zwecke ist nach Art. 2 Abs. 2 lit. c) DS-GVO kein Teil der DS-GVO.  
Die Nutzung von WhatsApp verstößt daher während des privaten Gebrauchs nicht gegen die gesetzlichen Vorgaben.  
Damit das so bleibt, ist eine strikte Trennung der Verwendungszwecke zwischen privaten und geschäftlichen Angelegenheiten erforderlich.  

3. ​Das gemischt genutzte Handy und WhatsApp  

Da WhatsApp nicht zwischen privaten und geschäftlichen Kontakten unterscheidet, kann ein gemischt genutztes Handy für datenschutzrechtliche Probleme sorgen.  

Diese Probleme können mit der Nutzung einer Container-App umgangen werden.  

Mit Hilfe dieser Apps werden alle dienstlichen Daten in einen virtuellen Container verschoben, auf den keine andere App zugreifen kann.  
Es kann daher sichergestellt werden, dass nur private Kontaktdaten von der Messenger-App verwendet werden.  

4. Das Firmenhandy und WhatsApp 

Die Problematik der Nutzung von WhatsApp auf dem Firmenhandy liegt darin, dass Sie als Nutzer und Unternehmer indirekt personenbezogene Daten Ihrer Kontakte an den Messenger weitergeben und es hierfür an der erforderlichen Zustimmung der Betroffenen fehlt.  

Damit kein Datenschutzverstoß vorliegt, müssen Sie eine vorherige Einwilligung der Kontakte nachweisen. 
Bei einer unternehmerischen Nutzung empfiehlt sich daher, die Einwilligung zur Weiterverarbeitung von persönlichen Daten ausnahmslos von jeden Ihrer Kontakte schriftlich einzuholen.  

Außerdem ist gemäß Art. 28 DS-GVO ein Auftragsverarbeitungsvertrag mit WhatsApp Inc. verpflichtend. 

Problematisch ist jedoch: einen Auftragsdatenverarbeitungsvertrag können Unternehmen mit WhatsApp aktuell noch nicht schließen, Experten gehen jedoch davon aus, dass sich dies bald ändern wird.  

Kompliziert wird es außerdem, wenn einzelne Betroffene der Nutzung nicht zustimmen, weil Sie WhatsApp selbst nicht verwenden und deshalb den Nutzungs- und Datenschutzbestimmungen des Unternehmens nicht zugestimmt haben. 
Hier sollte für diese Personen eine extra SIM-Karte oder ein extra Handy genutzt werden, um Verstöße gegen die DS-GVO in diesem Bereich sicher zu vermeiden. 

Die Verwendung von WhatsApp auf dem Firmenhandy ist aus den genannten Gründen nicht empfehlenswert.   
Auch Verbot durch die DS-GVO Compliance würde eine gute Möglichkeit bieten, den Verstößen gegen die Verordnung entgegen zu wirken.  

​ 5. WhatsApp Business als Antwort?  

Diese Frage ist mit nein zu beantworten.  

WhatsApp Business bringt keine optimierte DSGVO konforme Neuerungen, sondern lediglich ein für Unternehmen optimiertes Benutzer Interface mit speziellen Funktionen mit sich.  

​ 6. DSGVO konforme Alternativen zu WhatsApp  

Um DS-GVO konform zu sein, müssen die alternativen Messanger einige Voraussetzungen erfüllen:  

Zum einen sollte der Messenger nicht automatisch auf das Kontaktbuch zugreifen und die Kontakte auf externen Servern speichern.  

Außerdem ist erforderlich, dass die alternative Messenger-App eine echte Ende-zu-Ende-Verschlüsselung nutzt. Das heißt, dass selbst wenn ein Dritter die Konversationen abfängt, diese für ihn unleserlich sind und erst aufwendig entschlüsselt werden müssen.  

Erfüllt werden diese Kriterien unter anderem bei iMessage für Apple Nutzer, oder bei der kostenpflichtigen Messenger-App Threema, die sogar von Behörden in der Schweiz genutzt wird.  

7. Fazit 

Die Nutzung von WhatsApp kann datenschutzrechtliche Gefahren mit sich bringen. Es bleibt zu hoffen, dass weitere sichere Lösungen gefunden werden.  

 
 
 

 

 
 
 
 

 

 
 

 

 
 
 
 

Die Datenschutzgrundverordnung hat die Rechte der betroffenen Personen umfangreich gestärkt.  
Unter anderem müssen Unternehmer die Betroffenen bei der Erhebung und Verarbeitung personenbezogener Daten informieren. Diese Informationspflichten ergeben sich unmittelbar aus der DS-GVO, genauer gesagt aus Art. 13 und 14.  

 
 

 

 
 
 
 

Das Wichtigste auf einen Blick  

  • Die Aufklärung des Betroffenen über Aspekte der Datenerhebung und -verarbeitung ist nach Art. 13 und 14 DS-GVO eine Informationspflicht  
  • Informationspflichten bilden die Grundlage der Betroffenheitsrechte  
  • Der Verantwortliche ist verpflichtet, dem Betroffenen alle wesentlichen Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen 
  • Die Informationen sind dem Betroffenen präzise, transparent, verständlich und leicht zugänglich in klarer, einfacher Sprache zur Verfügung zu stellen 
  • Datenerhebungen und -verarbeitungen, die trotz unzureichender Informationen des Betroffenen erfolgen, sind rechtswidrig – Bußgelder und Schadensersatzansprüche sind möglich  





1. Wann bestehen Informationspflichten? 

Es gibt zwei Möglichkeiten der Erhebung:  

Daten können bei den betroffenen Personen entweder direkt (Art. 13 DS-GVO) oder durch öffentliche Quellen erhoben werden (Art. 14 DS-GVO).  

Es ist immer notwendig, dass der Verantwortliche den Betroffenen über den Umstand der Datenerhebung und -verarbeitung informiert.  
Beispielsweise muss ein Unternehmen ein Informationsschreiben herausgeben, sobald personenbezogene Daten von Mitarbeitern oder Kunden verarbeitet werden.  

2. Was muss enthalten sein?  

Die inhaltlichen Anforderungen an die Informationspflicht sind aus Art. 13 und 14 DS-GVO zu entnehmen. Erforderlich sind:  

  • Name und Kontaktdaten des Verantwortlichen (ggf. seines Vertreters) und des Datenschutzbeauftragten zur Geltendmachung der Betroffenheitsrechte   
  • Lückenlose, genaue Mitteilung des Datenverarbeitungszwecks 
  • Nennung der Rechtsgrundlage, Angabe der Datenkategorie 
  • Information, ob eine Übermittlung der Daten an Dritte stattfindet, wenn ja: Angabe des Empfängers und Übermittlungsgrund  
  • Information, ob eine Übermittlung an ein Drittland oder eine internationale Organisation erfolgt, wenn ja: Angabe des Empfängerlandes und Übermittlungsgrund 
  • Wenn das berechtigte Interesse nach Art 6 Abs. 1 lit. f DS-GVO die Rechtsgrundlage darstellt, ist dieses Interesse darzulegen 

Um den DS-GVO-Grundsätzen der Transparenz und Fairness nachzukommen, sollte ein Informationsschreiben nach Art. 13 Abs. 2, 14 Abs. 2 DS-GVO weitere Angaben enthalten:  

  • Auskunft über den Zeitraum der Speicherung/ Aufbewahrung der Daten bzw. Angaben zu den Kriterien für die Festlegung dieses Zeitraums, damit der Betroffene einen Überblick erhält  
  • Aufklärung des Betroffenen über seine Rechte aus den Art. 15 ff. DS-GVO in Bezug auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, Datenübertragung, Widerspruch und Beschwerde bei der zuständigen Aufsichtsbehörde 
  • Bei der Direkterhebung von Daten, muss der Verantwortliche nach Art. 13 DS-GVO angeben, ob eine gesetzliche oder vertragliche Verpflichtung hierfür besteht oder ob diese für den Vertragsschluss erforderlich ist. Hierbei muss immer über die möglichen Folgen der Nichtbereitstellung aufgeklärt werden 
  • Angabe der Herkunft der personenbezogenen Daten (z.B. öffentlich zugängliche Quellen)  
  • Informationen über die Vornahme von Profiling (= automatisierte Entscheidungsfindung auf Basis personenbezogener Daten ohne menschliches Eingreifen) 

Wird eine Änderung des Verwendungszwecks vorgenommen, so ist der Betroffene darüber umgehend zu informieren und sein Einverständnis einzuholen. 

3. Zeitpunkt und Art der Information  

Die Informationen sind nach Art. 13 und 14 DS-GVO spätestens zum Zeitpunkt der Datenerhebung bereitzustellen.  

Erfolgt eine Dritterhebung, so muss die Information gemäß Art. 14 Abs. 3 DS-GVO in einer angemessenen Frist unter Berücksichtigung des Einzelfalls, jedoch spätestens nach 4 Wochen mitgeteilt werden. Etwas anderes gilt, sobald die Daten zur Kommunikation mit dem Betroffenen verwendet werden oder an einem anderen Empfänger offengelegt werden sollen: Hier ist die Information spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erforderlich.  

Relevant werden die Punkte vor allem im Bereich der Online-Präsenz, da bei einem Websitebesuch Informationen gesammelt werden, die an Dritte weitergegeben und/oder für Werbezwecke genutzt werden. Um die Informationspflichten auch online einzuhalten und rechtskonforme Aufklärung des Nutzers zu gewährleisten, sind Cookie-Banner einzubauen.   

Es ist keine Form vorgeschrieben, wie die Informationspflicht umgesetzt werden soll. Sie kann daher sowohl schriftlich als auch elektronisch erfolgen. Wichtig ist, dass die Informationsweitergabe dokumentiert und damit nachgewiesen werden kann.  

Es sind die allgemeinen Vorgaben des Art. 12 Abs. 1 DS-GVO zu beachten: alle Informationen müssen präzise, transparent, verständlich und leicht zugänglich, in klarer, einfacher Sprache vermittelt werden.  

Möglich ist dies unter anderem als sichtbarer Aushang, als Vertragsanlage zur Unterschrift oder online über einen Link oder QR-Code. 

4. Folge einer Pflichtverletzung  

Kommt der Verantwortliche seiner Verpflichtung nicht nach, so kann ihm aufgrund der Verletzung der Betroffenheitsrechte eine Geldstraße von bis zu 20 Millionen Euro oder 4 % des gesamten, weltweit erzielten Jahresumsatzes bevorstehen. Daneben kann der Betroffene bei fehlender oder unvollständiger Information Schadensersatzansprüche nach Art. 82 DS-GVO geltend machen.  

5. Ausnahmen  

Nach Art. 13 Abs. 4 und Art. 15 Abs. 5 besteht die Informationspflicht nicht, wenn die betroffene Person bereits informiert wurde.  
 
Die Pflicht entfällt auch, wenn die Erteilung der Information unmöglich oder unverhältnismäßig oder die Erhebung und Offenlegung gesetzlich geregelt ist.   

6. Fazit  

Die Informationspflichten sind unbedingt einzuhalten und Vornahmen zu dokumentieren, um Schadensersatzansprüche und Bußgelder zu vermeiden.  
Es wird geraten, einen Experten als Unterstützung heranzuziehen.  

 
 
 

 

 
 
 
 

Verbot von WhatsApp und Co 

– Urteil LG München I v. 05.12.2019 – 7 O 5314/18 

Das Münchner Landgericht sprach zuletzt in einem Urteil ein deutschlandweites Verbot für den Betrieb der vom Facebook Konzern angebotenen Dienste Instagram, Facebook und Facebook Messenger sowie WhatsApp aus. Grund dafür ist die Verwendung mehrerer Softwarebestandteile, die vom klagenden Kommunikationsunternehmen Blackberry patentiert sind. Dem Urteil zu Folge dürfen Facebook und die dazugehörigen Dienste in Ihrer jetzigen Form innerhalb der BRD nicht mehr angeboten werden.  

Nach dem Urteil bleibt dem Konzern die Möglichkeit entweder eine Anpassung durch entsprechende Softwareupdates vorzunehmen oder den Betrieb der besagten Dienste innerhalb Deutschland einzustellen. Zwar soll zwischenzeitlich die Gültigkeit der besagten Patente beim Bundespatentgericht angefochten worden sein, die Entscheidung steht allerdings noch aus. Facebook behält sich vor in Berufung zu gehen, um die Entscheidung überprüfen zu lassen. Abgesehen davon, hänge die Vollstreckung des Urteils noch von einer durch die Klägerseite zu entrichtenden Sicherheitsleistung ab, sodass für den Nutzer bisher keine Konsequenzen eingetreten sind.  

Unabhängig vom Ausgang der Patentstreitigkeit ist es für Unternehmen auch aus datenschutzrechtlichen Gründen sinnvoll, die betriebliche Nutzung vom Messenger-Dienst WhatsApp im Hinblick auf den Datenschutz gezielter zu hinterfragen und sich über Alternativen Gedanken zu machen.  

Fest steht, dass die Verwendung der nutzerfreundlichen Kommunikationsplattform WhatsApp, auf die auch Unternehmen gerne zur vereinfachten und schnellen betrieblichen Kommunikation zugreifen, aus datenschutzrechtlichen Gesichtspunkten zu beanstanden sein wird. WhatsApp wird vor allem dafür kritisiert, personenbezogene Daten aus dem Adressbuch seiner Nutzer zu verwenden, um sie unteranderem mit denen der eigenen Server abzugleichen oder diese an Dritte weiterzuleiten. Oftmals haben die Empfänger ihren Sitz außerhalb der EU und somit auch außerhalb des Geltungsbereichs der DSGVO.  

Im Hinblick auf das Urteil des LG München, sowie die ohnehin fortschreitende Sensibilisierung der Nutzer für Datenschutz stellt sich die Frage, auf welche Alternativen Unternehmen zukünftig zurückgreifen können, wenn die Dienste tatsächlich eingestellt werden oder für datenschutzrechtlich unzulässig erklärt werden.  

Eine mit der DSGVO und dem BDSG im Einklang stehende Alternative stellt beispielsweise der 2012 ins Leben gerufene Messengerdienst „Threema“ dar, dessen Fokus abgesehen von der schnellen und nutzerfreundlichen Kommunikation auf Sicherheit und Schutz der Privatsphäre liegt. Die zugehörige App bietet insbesondere auf Unternehmen zugeschnittene Features sowie Sicherheitsstandards an, die unteranderem ohne Zugriff auf die Kontaktdaten auskommt und günstig für die gängigsten Betriebssysteme erworben werden kann.  

 
 
 
Call Now ButtonKontakt aufnehmen