FAQ
In dieser Rubrik können Sie auf einem Blick die häufigsten an uns gerichteten Fragen und unsere kurzen Antworten dazu finden. Diese Rubrik wird ständig aktualisiert und ergänzt. Falls Ihre Frage hier nicht auftaucht oder zu kurz bzw. nicht auf Ihr Themengebiet zugeschnitten beantwortet wird, dann nehmen Sie gerne Kontakt mit uns auf, wir Unterstützung Sie jederzeit bei der Umsetzung.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine europäische Datenschutzverordnung in Form eines Gesetzes, die am 25.05.2016 in Kraft getreten und am 25.05.2018 wirksam geworden ist und den Datenschutz in der EU harmonisiert und stärkt.
Wann muss ein Datenschutzbeauftragter benannt werden?
Nach § 38 BDSG besteht die Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Verarbeitung ist dann automatisiert, wenn sie unter Einsatz von z.B. einem Computer / Tablet im Unternehmen erfolgt.
Auch muss ein Datenschutzbeauftragter benannt werden, wenn eine Verarbeitung vorgenommen wird, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Weiterhin muss ein Datenschutzbeauftragter benannt werden, wenn die Kerntätigkeit des Unternehmens in einer umfangreichen Verarbeitung besonderer Daten (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über Verurteilungen und Straftaten besteht.
Auch wenn keine Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, sind alle datenschutzrechtlichen Verpflichtungen einzuhalten. Deshalb sollten Sie zumindest den Rat eines Datenschutzbeauftragten einholen.
Darf Google Fonts (externe Schriftart) auf der Website eingebunden werden?
Es ist grundsätzlich erlaubt externe Schriftarten auf seiner Webseite einzubinden. Allerdings empfehlen wir, diese über den eigenen Webserver einzubinden (lokal) und selbst zu hosten. Ansonsten wird eine Verbindung zu den Servern des Drittanbieters hergestellt, der in der Regel in einem Drittland (z.B. USA) ansässig ist. In solchen Fällen sind die an Drittlandübermittlungen geltenden Anforderungen (Art. 44 ff. DSGVO) zu erfüllen. Insbesondere muss jeder Anwender prüfen, ob die strengen Anforderungen aus dem Schrems-II-Urteil erfüllt worden sind. Wenn nein, dann ist die Übermittlung unzulässig. Zudem ist der Einsatz von Google Fonts auch in der Datenschutzerklärung zu berücksichtigen.
Was sind Cookies im Zusammenhang mit Datenschutz?
Cookies sind kleine Dateien, die von Websites auf Ihrem Computer gespeichert werden und Informationen über Ihr Online-Verhalten sammeln können. Sie sind ein wichtiger Aspekt des Datenschutzes.
Brauche ich einen Cookie-Banner auf meiner Website?
Diese Frage kann nicht pauschal beantwortet werden. Immer dann, wenn ein einwilligungspflichtiger Dienst auf der Website eingebunden wird oder Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) verarbeitet werden, muss vorab eine Einwilligung eingeholt werden. Grundsätzlich bedürfen alle Cookies einer Einwilligung außer der technisch notwendigen Cookies. Der BGH hat in seinem Urteil vom 28.05.2020 „Planet 49 Urteil“ entschieden, dass nur die Möglichkeit des Opt-Ins eine rechtskonforme Einwilligung darstellt. Sprich die Webseitennutzer müssen aktiv einwilligen (z.B. durch Anklicken eines Kästchens und der Setzung eines Kreuzes). Das Entfernen eines Kreuzes (Opt-Out) stellt keine rechtskonforme Einwilligung dar.
Brauche ich für Google Analytics die Einwilligung des Webseitennutzers?
Ja. Auch unabhängig davon, ob die IP-Adresse gekürzt wird oder nicht, muss für den Einsatz von Google Analytics eine Einwilligung eingeholt werden. Dies kann z.B. durch eine Einwilligung im Cookie-Banner geschehen.
Gibt es ein allgemein gültiges Muster für die Datenschutzerklärung auf der Webseite?
Nein, es gibt kein allgemein gültiges Muster, da jede Webseite unterschiedliche Inhalte und Funktionen hat. Es gibt aber zahlreiche Muster, die alle Bausteine einer Datenschutzerklärung aufzeigen können. Jedoch muss die Datenschutzerklärung immer auf die eigene Webseite angepasst werden.
Darf WhatsApp für die Kommunikation im Unternehmen eingesetzt werden?
Durch WhatsApp werden Metadaten in den USA verarbeitet und Adressdaten aus dem telefoneigenen Adressbuch des Nutzers erhoben. Demnach ist ein datenschutzkonformer Einsatz von WhatsApp in der Regel nicht zu begründen. Jedoch gibt es eine Konstellation, Inder WhatsApp im Unternehmen eingesetzt werden kann. In dieser Konstellation muss der Mitarbeiter ein Diensthandy haben, welches nur beruflich genutzt werden darf (keine Privatnutzung) und worauf keine privaten Kontakte gespeichert werden dürfen. Zudem dürfen nur die Kontakte im Adressbuch gespeichert werden, die auch WhatsApp nutzen und somit auch die Datenschutzbestimmungen von WhatsApp akzeptiert haben. Wir empfehlen daher Alternativen zu WhatsApp zu nutzen wie z.B. Threema, Signal und Hoccer.
Besteht bei der Verarbeitung von Gesundheitsdaten (besondere Daten nach Art. 9 DSGVO) immer ein hohes Risiko?
Nein. Das Risiko für die Rechte und Freiheiten der betroffenen Person bestimmt sich bei der konkreten Verarbeitung immer auf die Eintrittswahrscheinlichkeit und Schwere des Risikos. Jedoch kann in der Regel davon ausgegangen werden, dass Gesundheitsdaten oder andere besondere Daten nach Art. 9 DSGVO häufiger zu einem Risiko führen werden als „normale“ personenbezogene Daten (z.B. Name, Privatanschrift, Kontonummer). Bei einer solchen Verarbeitung von besonderen Daten muss ggf. eine Datenschutz-Folgenabschätzung durchgeführt werden.
Wann muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?
Eine Datenschutz-Folgenabschätzung muss durchgeführt werden, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschließlich Profiling;
- umfangreiche Verarbeitung sensibler Daten;
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Es wurden auch entsprechende „Blacklists“ von nationale Datenschutzbehörden veröffentlicht, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Maßnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden.
Muss bei einer Videoüberwachung eine Datenschutz-Folgenabschätzung durchgeführt werden?
Eine Datenschutz-Folgenabschätzung muss nur bei einem hohen Risiko für die Rechte und Freiheiten durchgeführt werden. Dieser Schwellwert des hohen Risikos wird nach Anwendung der technischen und organisatorischen Maßnahmen (TOM) bestimmt, die aufgrund von Art. 25 DSGVO (Datenschutz durch Technikgestaltung) nachweisbar dargelegt werden können. Bei Videoüberwachungen sind deswegen in der Regel keine Datenschutz-Folgenabschätzungen durchzuführen, sondern - im Prinzip wie bei der Vorabkontrolle unter BDSG-alt - Schutzmaßnahmen ohne detaillierte Risikoanalyse auszuwählen (z. B. Begrenzung Speicherdauer, Aufzeichnungsbereich, ...).
Grundsätzlich muss aber immer eine ausführliche Dokumentation erstellt werden.
Muss bei Personaldaten eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?
Wie lange darf ich die Daten von Bewerbern speichern?
Nach Abschluss des Auswahlverfahrens dürfen Bewerberdaten (nach entsprechender Information an den Bewerber) noch maximal sechs Monate gespeichert werden. Eine Speicherung der Bewerberdaten über sechs Monaten hinaus bedarf einer Einwilligung des Bewerbers.
Was muss bei einer Einwilligung beachtet werden?
Eine Einwilligung muss freiwillig und aktiv erteilt werden (z.B. durch Anklicken eines Kästchens und der Setzung eines Kreuzes). Das Entfernen eines Kreuzes (Opt-Out) stellt keine rechtskonforme Einwilligung dar.
Der Betroffene muss bei der Erteilung der Einwilligung über alle Zwecke der Verarbeitung seiner personenbezogenen Daten informiert werden. Eine Einwilligung kann jederzeit widerrufen werden. Über dieses Widerrufsrecht muss bereits mit Erteilung der Einwilligung informiert werden. Der Widerruf muss so einfach wie die Erteilung der Einwilligung möglich sein.
Die Einwilligung kann schriftlich, elektronisch oder auch mündlich erteilt werden. Wichtig für den Verantwortlichen ist jedoch, dass er nachweisen kann, dass eine rechtskonforme Einwilligung erteilt wurde.
Bei Kindern, die das sechzehnte Lebensjahr noch nicht vollendet haben, ist eine Zustimmung des Erziehungsberechtigten erforderlich.
Wann dürfen personenbezogene Daten in Nicht-EU/EWR-Länder übermitteln werden?
Die Datenübermittlung in Länder außerhalb der EU/EWR ist dann erlaubt, wenn
- das Drittland einen „Angemessenheitsbeschluss“ und somit ein angemessenes Datenschutzniveau besitzt,
- „geeignete Garantien“ vorliegen, wie z.B. Standardvertragsklauseln (SCC), Binding Corporate Rules (BCR). Hier dringend zu beachten: In einigen Ländern müssen für die Datenübermittlung unter Umständen ergänzende Maßnahmen getroffen werden. In Fällen, in denen dies nicht gewährleistet werden kann, muss die Drittlandübermittlung unterbleiben.
- eine Ausnahmemöglichkeit aus Art. 49 DSGVO vorliegt
Welche Strafen drohen bei Verstößen gegen die DSGVO?
Bei Verstößen gegen die DSGVO können Geldstrafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des vorgegangenen Geschäftsjahres eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist.