Datenschutz Steinfurt

nach oben

Wir von Datenschutz Steinfurt finden, dass Fallkonstellationen die Thematik am besten veranschaulichen. Darum hier einmal folgendes Beispiel: Mal angenommen, Sie haben einen Fahrradladen, eine Boutique, einen Heimwerkerbedarfsladen etc. Ein Kunde kommt rein und kauft etwas. Bezahlen möchte er mit EC-Cash. Brauchen Sie hier eine Einwilligung, um seine Zahlungsdaten zu verarbeiten? Nein - die Datenverarbeitung für den Verkauf und die Zahlungsabwicklung ist erlaubt, weil Sie mit dem Kunden einen Kaufvertrag geschlossen haben. In Ihrem Verarbeitungsverzeichnis könnte so ein Prozess z. B. als "Verkauf mit bargeldloser Zahlung" auftauchen. Auf einem ganz anderen Blatt steht in diesem Zusammenhang jedoch, dass Sie als Unternehmer Informationspflichten gegenüber dem Kunden haben, der bargeldlos bezahlen möchte. Dazu in einem Artikel, der sich mit den Informationspflichten der DSGVO beschäftigt, mehr.

Gleiches Szenario, nur dass es nun um Dienstleistung geht: Sie sind z. B. Heizungs-Sanitär-Unternehmer, Elektroinstallateur oder Dachdecker. Der Kunde ruft an, und bestellt ihren Service. Auch hier benötigen Sie natürlich keine Einwilligung, da Sie ja auch aus Vertrag tätig werden. Nur, dass es hier eben kein Kaufvertrag ist, sondern ein Werkvertrag nach § 631 BGB. Nun möchte ein Interessent noch nicht direkt kaufen oder einen Auftrag erteilen, sondern er bittet erst mal um ein Angebot. Selbstverständlich dürfen Sie dann seine Daten verarbeiten, die für die Zusendung und Erstellung des Angebots erforderlich sind. Das sind sog. vorvertragliche Tätigkeiten, die ebenfalls über Art. 6 Abs. 1 lit. b) erlaubt sind.

Werbung, Newsletter, aktuelle Infos und Aktionen - Tipps von Datenschutz Steinfurt

Nun möchten Sie vielleicht hin oder wieder Werbung verschicken. Hier ist folgende Unterscheidung zu treffen:

Mal angenommen, Sie möchten ausschließlich (und absolut sicher!) nur Personen anschreiben, die innerhalb der letzten 3 Jahre etwas bei Ihnen gekauft haben - das wären dann also aktive Kunden. Bei Bestandskunden wird davon ausgegangen, dass diese ein mutmaßliches Interesse an Informationen zu Ihren Produkten haben. Beispiel: Sie als Fahrradhändler bewerben das neueste Mountainbike mit Carbonrahmen und Druckluftfederung zum Sonderpreis. Dazu schreiben Sie alle Personen an, die in den letzten 3 Jahren bei Ihnen ein Fahrrad gekauft haben.

In so einem Fall benötigt das werbende Unternehmen keine explizite Einwilligung. E-Mail-Werbung an Bestandskunden ist ohne ausdrückliche Einwilligung zulässig, sofern die Voraussetzungen des § 7 Absatz 3 UWG erfüllt sind. Unternehmen haben ein anerkanntes (berechtigtes) Interesse an Direktwerbung. Das Oberlandesgericht München hatte ein Urteil in einem Fall zu sprechen, in dem sich der Kläger gegen Werbung eines Partnerportals wehren wollte. Die Richter urteilten wie folgt: "Unter den Voraussetzungen des § 7 Abs. 3 UWG sei nicht von einer unangemessenen Beeinträchtigung des Empfängers einer E-Mail auszugehen und diese daher hinzunehmen." Das gesamte Urteil finden Sie hier: http://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-7250 .

Vorsicht ist allerdings geboten, wenn es sich bei den angeschriebenen Personen eben nicht um aktive Kunden handelt (also vielleicht Kunden die schon sehr lange nichts mehr bei Ihnen gekauft haben), Interessenten, sich nur einmal von Ihnen haben beraten lassen oder selbst recherchierte, zugekaufte oder gemietete Adressen. In diesen Fällen muss eine datenschutzrechtliche Einwilligung vorliegen (die nach Art. 6 Abs. 1 lit. a).

Kreative Unternehmen lösen das Problem, indem Sie ihren Kunden und Interessen die kostenlose Mitgliedschaft in ihrem Kundenclub anbieten :-).  Kundenclub-Mitglieder werden von der Rechtsprechung als "Bestandskunden" angesehen und dürfen ohne Einwilligung Werbung erhalten.

Datenschutz Steinfurt empfiehlt darum:

Bei Werbemaßnahmen muss für den konkreten Fall geprüft werden, ob Einwilligungen erforderlich sind oder nicht.

Sie möchten besondere Datenkategorien verarbeiten? Dann kann es anders aussehen!

Gestalten wir den Fall nun ein wenig anders. Sie sind Inhaberin eines Friseursalons oder Kosmetikstudios. Auf Kundenkarten notieren Sie nicht nur den Namen und die Kontaktdaten des Kunden, sondern Sie haben auch vermerkt, ob die Person bestimmte Allergien hat - da Sie diese Information ja benötigen, um Unfälle beim Färben oder in der kosmetischen Behandlung zu vermeiden.

Damit verarbeiten Sie streng genommen schon besondere Kategorien von Daten (nämlich Gesundheitsdaten). Deren Verarbeitung ist nach Art. 9 Abs. 1 verboten. Die erforderliche Legitimation ergibt sich auch nicht aus Art. 9 Abs. 2 lit. h), da Sie als Friseurin oder Kosmetikerin nicht Angehörige eines Heilberufes sind. Jetzt kommt die datenschutzrechtliche Einwilligung ins Spiel. Sobald Sie die Information zu einer bestehenden Allergie in Ihrem System hinterlegen möchten, benötigen Sie von dem Kunden eine wirksame Einwilligung (und zwar in diesem Fall die Einwilligung nach Art. 9 Abs. 2 lit.a)). Welche Anforderungen eine Einwilligung erfüllen muss, werde ich in einem weiteren Beitrag erläutern.

Aber die DSGVO schützt doch nur Dokumente, die im EDV-System gespeichert werden?!

Bei der Lektüre von Art. 2 DSGVO könnten nun findige Leute auf die Idee kommen, dass Papierdokumente nicht von der DSGVO erfasst sind. Doch bevor Sie vor Freude in die Hände klatschen, lesen Sie bitte auch den Erwägungsgrund 15. Darin wird ausdrücklich gesagt, dass es völlig egal ist, wie die personenbezogenen Daten gespeichert werden. Sie sind schützenswert und damit basta. Das bedeutet auch, dass Sie die Daten technisch und organisatorisch vor unberechtigtem Zugriff schützen müssen. Für die Karteikartenbox im Friseurladen heisst das z. B. dass die Karteikarten nicht einfach nur im Regal für jeden zugänglich stehen dürfen, sondern, dass die Box beispielsweise abschließbar ist oder in einem abschließbaren Schrank steht.

Datenschutz Steinfurt empfiehlt darum:

Sobald Sie besonders sensible Daten speichern und verarbeiten, benötigen Sie eine Einwilligung (die Sie auch nachweisen können sollten), darum lassen Sie sich die Einwilligung am besten schriftlich erteilen. Eine Kopie geht an den Kunden, eine kommt in Ihren Datenschutzordner.

Wie verhalten Sie sich, wenn Sie zur Auftragserfüllung Hilfe von Dritten benötigen?

In unserer heutigen arbeitsteiligen Wirtschaft ist es oft so, dass Sie eine Dienstleistung nicht komplett allein erbringen können. Stellen wir uns einfach einmal vor, Sie sind Architekt und sollen für einen Kunden ein Haus bauen. Typischerweise steht der Architekt nicht selbst auf der Baustelle und mauert, betoniert und schreinert. Vielmehr werden Spezialunternehmen mit den jeweiligen Gewerken beauftragt.

Wenn es darum geht, die personenbezogenen Daten Ihres Kunden an Firmen weiterzugeben, die zur Vertragserfüllung erforderlich sind, ist das aus Art. 6 Abs. 1 lit. b) "Vertragserfüllung" erlaubt. Die Weitergabe steht dann im Interesse des Kunden. Eine gesonderte Einwilligung benötigen Sie nicht! Allerdings gehört ein Hinweis in Ihre Datenschutzerklärung, dass die personenbezogenen Daten des Kunden eben in bestimmten Fällen an ausführende Unternehmen weitergegeben werden. Dazu aber auch an anderer Stelle mehr.

Oder nehmen wir exemplarisch einmal den IT-Service: Gerade kleinere Unternehmen lagern das Thema IT komplett an einen Dienstleister aus. Dieser richtet Rechner ein, verwaltet die Benutzerrechte im Netzwerk, sorgt für Sicherheit und kümmert sich um Backups - kurz: der externe Dienstleister hat Vollrechte im Netzwerk. Während solcher Arbeiten ist es zumindest sehr wahrscheinlich, dass dem Dienstleister auch personenbezogene Daten bekannt werden können. Dabei kann es sich um Usernamen und Loginzeiten Ihrer Mitarbeiter handeln oder einfach nur um Adresslisten Ihrer Kunden, die sich auf der Festplatte befinden. Für die Einbindung eines solchen Dienstleisters gelten die Grundsätze der Auftragsverarbeitung - dazu auch an anderer Stelle mehr. Doch benötigen Sie eine Einwilligung Ihrer Mitarbeiter / Kunden, dass der Dienstleister an den Rechner darf?

Nein! Natürlich nicht. Sie als Unternehmer haben ein berechtigtes Interesse daran, dass Ihre Technik stabil und sicher läuft. Die Erlaubnis findet sich dazu in Art. 6 Abs. 1 lit.f) DSGVO. Ein berechtigtes Interesse besteht u. a. auch dann, wenn Sie Daten an Ihren Steuerberater weitergeben müssen.

Datenschutz Steinfurt empfiehlt:

Datenweitergabe an Dritte ist erlaubt, wenn sie auftragsbezogen und im Interesse des Kunden erfolgt.

Geschäftsmodell Adressverkauf

Nun stellen wir uns weiterhin vor, der findige Unternehmer hat die gute Idee, nicht nur seine Produkte und Dienstleistungen gewinnbringend zu vermarkten, sondern zusätzlich aus seinen vorhandenen qualifizierten Kundendaten Profit zu schlagen. Die Überlegung ist, das qualifizierte Adressmaterial - angereichert mit Informationen, wofür sich die Person genau interessiert und eventuell gar mit einer Kaufkrafteinschätzung an einen Adresshandel zu verkaufen. Sie ahnen es sicher schon: Das entspricht natürlich keinesfalls dem Interesse des Kunden und ist somit grundsätzlich verboten. Ein solches Geschäftsmodell setzt die Einwilligung zur Datenweitergabe voraus.

Datenschutz Steinfurt empfiehlt:

 Sie benötigen eine Einwilligung, wenn Sie die Daten für andere, weitergehende Zwecke weitergeben möchten.

Einwilligung erforderlich beim Absenden des Kontaktformulars?

Beim Ausfüllen und Absenden eines Kontaktformulars auf einer Website werden naturgemäß personenbezogene Daten übertragen. Einerseits sind das die durch den Nutzer eingetragenen Daten im Formular (also z. B. Name, Vorname, Email, Telefonnummer und Anliegen) andererseits werden auch sogenannte Session-Daten übertragen. Das sind z. B. Informationen zum Browser, zum verwendeten Betriebssystem, Uhrzeit der Anfrage und IP-Adresse. Hier stellt sich häufig die Frage, ob für das bloße Absenden des Kontaktformulars eine Einwilligung erforderlich ist.

Auch in so einem Fall empfiehlt sich, das Kontaktformular im Einzelfall anzuschauen. Ergibt die Prüfung, dass es in erster Linie darum geht vorvertragliche Fragen zu klären ergibt sich die Legitimation aus Art. 6 Abs. 1 lit. b). Ein weiterer Aspekt ist auch, dass Unternehmer natürlich ein berechtigtes Interesse daran haben, Anfragen potentieller Kunden schneller als der Wettbewerb zu beantworten und darum diesen Kommunikationskanal anbieten. Damit liegt eine Legitmation aus Art. 6 Abs. 1 lit. f) vor. Darüber hinaus kann das Unternehmen sogar rechtlich dazu verpflichtet sein, Kontaktanfragen über ein Webformular anzubieten. Dies ist z. B. der Fall wenn es um Anfragen zum Datenschutz geht. In diesem Fall ist die Erlaubnisnorm Art. 6 Abs. 1 lit. c).

Datenschutz Steinfurt empfiehlt darum:

Wird das Kontaktformular abgeschickt

• für vorvertragliche oder vertragliche Anfragen,
• zur Erfüllung einer rechtlichen Pflicht oder
• aus berechtigtem Interesse des Unternehmers

brauchen Sie keine Einwilligung. Die Zwangscheckbox kann also weg. Gut und sinnvoll ist es allerdings, dem Kunden vor dem Absenden des Formulars die Möglichkeit zu geben, in Ihre Datenschutzerklärung zu schauen. Ein Deep-Link bietet sich vor dem Absenden-Button darum an.

Anders ist es aber beim Newsletterversand!

Anders sieht es aus, wenn Sie die Daten auch für einen Newsletter verarbeiten möchten. Dann ist es erforderlich den Kunden explizit zu fragen, ob er zukünftig den Newsletter erhalten möchte. Diese Checkbox darf auch nicht vor ausgefüllt sein und das Verarbeiten des Formulars darf nicht davon abhängig sein, dass das Kästchen angehakt ist. Sie lassen sich dann einen Einwilligung zum Newsletterempfang geben - die Sie nach Möglichkeit auch dokumentieren.

Analyse von Websitedaten

Möchten Sie das Nutzungsverhalten Ihrer Websitebesucher näher untersuchen und auswerten ist es sehr beliebt, dies z. B über Tools wie Google Analytics oder den Facebook-Pixel zu machen. Beliebt sind auch Trackingtools und Cookies. Dabei entstehen oft Mehrfachprobleme:

• personenbezogene Daten (in der Regel die IP-Adresse des Nutzers) werden ungefragt an ein drittes Unternehmen weitergegeben
• diese Daten landen dann häufig auf Servern außerhalb der Europäischen Union - in einem sogenannten Drittland.

Ein weiterer ausführlicher Artikel wird sich mit diesem Thema beschäftigen. Hier sei an dieser Stelle nur gesagt, dass Sie für den Einsatz von Analyse- und Trackingtools auf Ihrer Website eine Einwilligung des Nutzers benötigen, es sei denn, Sie nutzen anonymisierte Webanalyse-Tools. Damit ist z. B. gemeint, eine IP-Adresse soweit zu maskieren, dass kein Rückschluss mehr auf eine konkrete Person mehr erfolgen werden kann. Google-Analytics z. B. verfügt über eine solche Möglichkeit, so dass der Einsatz des Tools im anonymisierten Modus dsgvo-konform möglich ist.

Zum Thema Cookies hat der EuGH jüngst ein Urteil veröffentlicht, in dem klargestellt wird, dass auch für die Verwendung von Cookies die aktive Einwilligung des Nutzers erforderlich ist. Das Besondere am Urteil der Richter ist, dass es unerheblich ist, ob im Cookie personenbezogene Daten gespeichert werden oder nicht. Es wird lediglich darauf abgestellt, dass das Setzen von Cookies ein Eingriff in die allgemeinen Persönlichkeitsrechte ist und damit zustimmungspflichtig. Die Pressemitteilung des EuGH zu dieser Rechtssache verlinke ich Ihnen hier.

Wie und mit welchen Tools Sie einen Cookie-Banner in Ihre Website einbauen, werde ich ebenfalls in einem der folgenden Artikel erläutern.

Datenschutz bei Ärzten, Apotheken und Therapeuten

Für Angehöriger medizinischer Berufe gelten einige Besonderheiten, auf die wir ebenfalls nochmal in einem gesonderten Beitrag eingehen werden. An dieser Stelle sei schon einmal folgendes gesagt:

Wenn Sie Angehöriger der o.g. Berufsgruppen sind, dann ist Ihre Erlaubnisnorm Art. 9 Abs. 2 lit. h). D. h. Daten von Patienten und den zugehörigen Befunden dürfen Sie zunächst einmal in Ihrem IT-System speichern und verarbeiten. Absoluter Quatsch ist es, die Behandlungsdienstleistung von der Einwilligung des Patienten abhängig zu machen. Das ist weder erforderlich noch im Interesse des Behandelnden.

Anders sieht es aus, wenn Sie Patientendaten weitergeben möchten. Das kann z. B. dann der Fall sein, wenn Sie mit einem Spezialkollegen die weitere Therapie absprechen möchten oder Informationen statt an den Patienten direkt an Angehörige geben wollen. Dann greift eher nicht der Datenschutz. Vielmehr ist es Berufsgeheimnisträgern nach § 203 StGB (Strafgesetzbuch) verboten, sensible Daten an Dritte weiterzugeben.  § 203 StGB stellt die Verletzung der Schweigepflicht sogar unter Strafe.

Möchten Sie als Arzt, Apotheker, Psychologe oder sonstiger Angehöriger eines Gesundheitsberufes Patientendaten weitergeben (z. B. an Angehörige), dann benötigen Sie eine Einwilligung zur Weitergabe der Daten (nach Art. 9 Abs. 2 lit. a) ) und die Entbindung von der Schweigepflicht.

Was, wenn weitere Unternehmen mit bestimmten Tätigkeiten beauftragt werden sollen?

Auch Praxen und Apotheken bündeln ihre Kompetenzen aus Effizienz- und Kostengründen und lagern Arbeiten an Dienstleister aus. Das kann z. B. ein Clouddienst zum Speichern von Patientenakten sein oder ein IT-Dienstleister, der umfassende Rechte im IT-System der Arztpraxis benötigt. Der neu gefasste § 203 StGB definiert in Absatz 4 einige Tatbestände, die dies ermöglichen, sofern bestimmte Voraussetzungen erfüllt sind. Auch hierzu wird es noch einen speziellen Artikel geben - wenden Sie sich bei Fragen einfach telefonisch an uns. Eine Einwilligung des Patienten ist hierfür jedenfalls nicht erforderlich.

Einwilligung nur im Ausnahmefall anwenden!

Das Instrument der datenschutzrechtlichen Einwilligung ist gleich aus mehreren Gründen mit Vorsicht zu genießen:

1. Eine Einwilligung muss ganz bestimmte, strenge Anforderungen erfüllen, um gültig zu sein:
   Sie muss z. B. freiwillig erteilt werden, einfach formuliert sein, und über die Zwecke der Datenverarbeitung ganz konkret informieren. Wie das aussehen muss und was los ist, wenn die Einwilligung die Bedingungen nicht erfüllt werde ich gesondert ausführen.
2. Einwilligungen im Beschäftigendatenschutz müssen noch strengere Voraussetzungen erfüllen:
   Dazu im Spezialartikel über die Voraussetzungen für eine wirksame Einwilligung Genaueres.
3. Es gilt ein Kopplungsverbot hinsichtlich datenschutzrechtlicher Einwilligung und Leistungserbringung:
   auch dazu an anderer Stelle mehr
4. Eine einmal erteilte Einwilligung kann jederzeit vom Kunden widerrufen werden:
   Stellen Sie sich nur mal vor, Sie sind Inhaberin eines Yoga-Studios, und möchten Laufzeitverträge mit Ihren Kunden schließen. Weil Sie dachten, dass es ab jetzt nötig sei, Einwilligung zu haben, wenn Sie Daten von Kunden verarbeiten wollen, haben Sie von Ihren Kunden eben jeweils eine Einwilligung zur Datenverarbeitung eingeholt. Clevere Kunden könnten nun auf die Idee kommen, fristlos vor Ablauf der Vertragsdauer zu kündigen, indem sie der weiteren Datenverarbeitung widersprechen.

Datenschutz Steinfurt empfiehlt darum:

Ein Rückgriff auf den gesetzlichen Tatbestand ist ausgeschlossen. Heißt auf Deutsch: Wenn die Einwilligung widerrufen wird, können Sie als Unternehmer nicht argumentieren: "Wir haben doch einen Vertrag!". Darum sollten Sie immer dort, wo es eine vertragliche Grundlage für die Datenverarbeitung gibt, auf keinen Fall zusätzlich noch eine Einwilligung holen!

Hier kommt noch ein besonderer Praxistipp von Ihrer Datenschutzbeauftragten: Formulierungen folgender Art sollten Sie in Ihren Verträgen und Formularen suchen und am besten entfernen:

• „Ich stimme der Verarbeitung meiner Daten im Rahme der Kundenbeziehung zu“
• „Ich stimme der Datenschutzerklärung und den AGB zu“
• „Ich stimme der Datenverarbeitung zu Zwecken der Begründung und Durchführung des Beschäftigungsverhältnisses zu“.

Wir hoffen, dass dieser Beitrag spannend und interessant für Sie war. Wir freuen uns über die aktive Weiterempfehlung von Datenschutz Steinfurt. Gern dürfen Sie auch unsere Website verlinken oder verbinden Sie sich mit uns in den Sozialen Medien wie z. B. XING, LinkedIn oder Twitter. Im folgenden erhalten Sie einen kurzen Überblick, wer wir sind und was wir machen:

Ihr externer Datenschutzberater in Steinfurt

Datenschutz Steinfurt ist ein Service von Datenschutzberater Münsterland - Anke Blömer. Wir bieten Datenschutzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in und um Steinfurt und in den Regionen Münsterland, südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten. In bestimmten Fällen ist ein Datenschutzbeauftragter erforderlich. Lesen Sie in unserem Artikel "Wann muss ein Datenschutzbeauftragter bestellt werden?" nach, in welchen Fällen eine Bestellpflicht für den Datenschutzbeauftragten besteht und wann nicht.

Was kostet Datenschutz in Steinfurt?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren "Erstbegehungskosten" an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepasst. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Steinfurt, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüber hinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop sowie in der gesamten Rhein-Ruhr Region für Unternehmen tätig.