| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - auf dieser Seite sowie auf unserer nächsten virtuellen Digitalisierungskonferenz smarter mittelstand.
DSGVO-Mythen 15 Irrtümer, mit denen Sie sich das Leben unnötig schwer machen
  • Serie
Die Verunsicherung rund um die DSGVO ist groß.  Nicht nur im Internet kursieren zahlreiche Irrtümer.

Die Verunsicherung rund um die DSGVO ist groß. Nicht nur im Internet kursieren zahlreiche Irrtümer. © knallgrün / photocase.de

„Aufgrund der DSGVO geht das nicht/darf ich das nicht/muss ich das ...“ Das hört man häufig, seit die Datenschutz-Grundverordnung in Kraft getreten ist. Aber oft stimmt es nicht. 15 verbreitete Mythen.

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt nun schon seit knapp neun Monaten, aber die Verunsicherung, was denn nun in Sachen Datenschutz gilt, ist in Unternehmen immer noch groß. Die Folge: Viele schießen mit ihrer Interpretation der Datenschutzverordnung übers Ziel hinaus. Wir haben falsche Annahmen über die DSGVO gesammelt und klären auf, was wirklich gilt.

Mythos 1: Jede Datenerfassung bedarf einer Einwilligung.

Falsch. Auch wenn seit Inkrafttreten der DSGVO ein Phänomen um sich greift, das Experten „Einwilligeritis“ nennen: Eine Einwilligung braucht man nur dann, wenn die Datenverarbeitung nicht ohnehin per Gesetz erlaubt ist. Das ist beispielsweise dann der Fall, wenn es ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten gibt. Viele Einwilligungen sind schlicht überflüssig, denn ein berechtigtes Interesse kann vieles sein: der sichere Betrieb einer Website und sogar – in gewissen Grenzen – Direktmarketing. Eine Einwilligung braucht man auch dann nicht, wenn die Daten nötig sind, um einen Vertrag anzubahnen oder zu erfüllen.

Anzeige

Deshalb müssen etwa impulse-Abonnenten uns nicht um die Einwilligung bitten, unsere Firmendaten zu speichern – sie brauchen die Daten, damit sie ihr Abonnement bezahlen können. Wer auf einer Messe eine Visitenkarte bekommt mit der Bitte, ein Angebot zu erstellen, der darf das Angebot ebenfalls ohne schriftliche Einwilligungserklärung rausschicken. Und auch fürs Beantworten von Anfragen über Kontaktformulare auf Websites ist keine Einwilligungserklärung nötig – die Formulare dienen in der Regel der Vertragsanbahnung. Lesen Sie hier mehr zum Thema Cookie-Hinweis.

Mythos 2: Kunden und Patienten darf man öffentlich nicht mit Namen ansprechen.

Falsch. Es soll doch tatsächlich Metzger geben, die glauben, sie dürften ihre Stammgäste nicht mehr mit ihrem Namen begrüßen. Doch egal ob Wirt, Kioskbesitzer oder Friseur: Keiner muss sich auf die Lippen beißen, denn das Gedächtnis ist schlicht und einfach kein Dateisystem im Sinne der DSGVO.

Wer die Namen seiner Kunden auswendig kennt, darf sie auch weiterhin in der Öffentlichkeit aussprechen. Auch Patienten dürfen weiterhin namentlich im Wartezimmer aufgerufen werden.

Mythos 3: Rechnungen müssen nach drei Monaten gelöscht werden.

Falsch. Man glaubt es kaum, aber als eine Buchhalterin bei einer großen Fluggesellschaft nachträglich eine Rechnung anfordern wollte für ein Flugticket, erhielt sie die Auskunft, wegen der DSGVO sei das nicht möglich: Die Rechnungen müssten nach drei Monaten gelöscht werden, weil sie personenbezogene Daten enthalten.

Das ist natürlich Quatsch: Das Steuerrecht sieht für steuerlich relevante Unterlagen – und dazu gehören selbstverständlich Rechnungen – eine Aufbewahrungsfrist von bis zu zehn Jahren vor. Wer Rechnungen nach drei Monaten vernichtet, der bekommt ganz bestimmt Ärger mit dem Finanzamt. Und die grundsätzliche Löschpflicht, die die DSGVO vorsieht, gilt nicht, wenn man personenbezogene Daten verarbeiten muss, um Verpflichtungen nach deutschem oder EU-Recht zu erfüllen. Das steht übrigens in Artikel 17 Abs. 3 lit. b) DSGVO.

Mythos 4: E-Mails dürfen in Firmen nicht weitergeleitet werden.

Falsch. Ein Unternehmen wunderte sich, dass seine Rechnung an einen Dienstleister nicht bezahlt wurde. Auf Nachfrage erfuhr das Unternehmen, dass die Mail wegen der DSGVO nicht an die Buchhaltung weitergeleitet wurde – man hatte sie nicht direkt an die Buchhaltung des Dienstleisters geschickt, sondern an eine allgemeine E-Mail-Adresse. Die Buchhaltung hätte sonst die E-Mail-Adresse des Rechnungsversenders erfahren, argumentierte der Dienstleister.

Diese Argumentation ist schlicht absurd. Zur Vertragserfüllung erforderliche Daten weiterzugeben, ist immer zulässig – und zwar nicht nur unternehmensintern, sondern auch an Dritte, wie an eine Bank oder den Paketzusteller.

Mythos 5: Wer Menschen fotografiert, muss immer eine schriftliche Genehmigung von allen einholen.

Falsch. Digital erstellte Foto- und Videoaufnahmen sind für den Gesetzgeber zwar tatsächlich eine Verarbeitung von personenbezogenen Daten. Gerichte haben inzwischen aber bestätigt, dass das Kunsturhebergesetz neben der DSGVO weiterhin gilt. Das heißt, journalistische Fotos aus dem Bereich der Zeitgeschichte, Bilder von Versammlungen oder solche, auf denen Personen nur als sogenanntes Beiwerk erscheinen, darf man auch weiterhin ohne Einwilligung des Abgelichteten veröffentlichen.

Zudem können sich Fotografen auch auf Art. 6 Abs. 1 lit. f DSGVO stützen: Ihre Tätigkeit wird im Regelfall als Kunst eingestuft und sie können sich somit auf ein berechtigtes Interesse berufen. Lesen Sie hier, was Sie beachten müssen, wenn Sie auf Veranstaltungen fotografieren.

Mythos 6: Auf der Betriebsfeier darf man keine Fotos machen und veröffentlichen.

Falsch. Zwar gilt die DSGVO grundsätzlich, sobald Fotos im Büro, bei einem Betriebsausflug oder zum Beispiel bei der betrieblichen Weihnachtsfeier gemacht werden. Grundsätzlich ist es aber auch da kein Problem, Fotos zu machen und auch innerhalb des Unternehmens zu verbreiten, schließlich ist das gelebte Praxis und jeder Mitarbeiter muss damit rechnen, dass die Fotos auch für das Team einsehbar sind – zum Beispiel im Intranet.

Die Mitarbeiter sollten aber an geeigneter Stelle (zum Beispiel am Eingang) darüber informiert werden, dass Fotos gemacht werden, und die Fotos dürfen die Personen nicht in diskreditierenden Situationen zeigen. Das Foto vom Abteilungsleiter, wie er betrunken auf dem Tisch tanzt, ist also eher ein No-Go. Nur wenn die Fotos noch weiterverbreitet werden sollen – auf Twitter oder Facebook beispielsweise – müssen die Mitarbeiter um ihre Einwilligung gebeten werden.

Mehr zum Thema Mitarbeiterfotos: Mitarbeiterfotos und DSGVO: Das sollten Arbeitgeber beachten

Mythos 7: Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, müssen einen Auftragsverarbeitungsvertrag unterschreiben.

Falsch. Wenn Handwerksbetriebe für eine Hausverwaltung oder als Subunternehmer für einen Generalunternehmer tätig werden, handelt es sich in aller Regel nicht um eine Auftragsverarbeitung. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Zwar bekommen die Handwerksbetriebe in diesen Fällen Kundendaten. Aber anders als beispielsweise bei Anbietern von Cloudlösungen sind die Daten der Kunden nicht wesentlicher Gegenstand des Vertrags – sie sind lediglich nötig, um den handwerklichen Auftrag erfüllen zu können. Und deshalb ist ein Vertrag zur Auftragsverarbeitung unnötig.

Mythos 8: Klingelschilder mit Namen an Mietwohnungen verstoßen gegen die DSGVO.

Falsch. Vermieter dürfen die Namen ihrer Mieter auch ohne deren Einwilligung auf dem Klingelschild anbringen. Denn „das Ausstatten der Klingelschilder mit Namen für sich genommen stellt weder eine automatisierte Verarbeitung noch eine tatsächliche oder beabsichtigte Speicherung in Dateisystemen dar“, so die Begründung der Bundesdatenschutzbeauftragten Andrea Voßhoff. Daher kann man die DSGVO in diesem Fall nicht angewenden.

Mythos 9: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren.

Falsch. Die DSGVO sieht keinen Zwang zur Verschlüsselung vor, auch wenn diese sicher in vielen Fällen sinnvoll ist. Ob der Versender eine E-Mail verschlüsseln muss, hängt von den übertragenen Daten ab: Nur wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben, ist eine Verschlüsselung notwendig. Dies betrifft beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten. Wie man solche sensiblen Daten DSGVO-konform verschicken kann, lesen Sie in unserem Artikel zur E-Mail-Verschlüsselung.

Mythos 10: Alle alten Adresslisten müssen gelöscht werden.

Falsch. Wer bisher personenbezogene Daten erfasst hat und sich dabei an die Rechtslage gehalten hat und nachweisen kann, dass er eine Einwilligung zur Verarbeitung der Daten hat, der kann vorhandene Adressen weiter nutzen.

Mythos 11: Die DSGVO verbietet die Datenübermittlung in die USA.

Falsch. Was die Auftragsverarbeitung, also das Verarbeiten personenbezogener Daten durch Dienstleister, betrifft, erlaubt die DSGVO nun sogar, dass diese auch außerhalb der EU stattfinden darf. Das war zuvor nicht der Fall.

Die DSGVO knüpft eine Datenübermittlung ins Nicht-EU-Ausland wie die USA allerdings an verschiedene Anforderungen. Dabei geht es darum, dass der Dienstleister, beispielsweise ein amerikanischer Cloud-Service, garantiert, dass das Datenschutzniveau dort dem der Europäischen Union entspricht. Nachweisen lässt sich das etwa durch eine Zertifizierung unter dem EU-US-Privacy-Shield (zertifizierte Firmen finden sich auf der Privacy-Shield Liste) oder durch ein Datenschutz-Zertifikat nach DSGVO, das Firmen künftig erwerben können.

Mythos 12: Jedes Unternehmen muss einen Datenschutzbeauftragten haben.

Falsch. Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist.

Unabhängig von der Mitarbeiterzahl braucht ein Unternehmen auch dann einen Datenschutzbeauftragten, wenn es besonders sensible Daten verarbeitet, für die eine Datenschutz-Folgeabschätzung notwendig ist. Besonders sensibel sind beispielsweise Angaben über die sexuelle Orientierung, die religiöse Überzeugung oder alles, was die Gesundheit betrifft. Und auch für Unternehmen, die personenbezogene Daten an Dritte übermitteln – wie beim klassischen Adresshandel – oder die Daten zu Markt- und Meinungsforschungszwecken verarbeiten, ist ein Datenschutzbeauftragter Pflicht.

Allerdings muss man einen Datenschutzbeauftragten nicht in Vollzeit beschäftigen, es kann sich dabei auch um einen externen Dienstleister handeln.

Mythos 13: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern.

Falsch. Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewahrt werden.

Mythos 14: Werbung ist ohne Einwilligung nicht gestattet.

Falsch. Briefwerbung ist für Unternehmen grundsätzlich ohne Einwilligung erlaubt – auch nach der DSGVO. Ob E-Mail-Werbung zulässig ist, hängt von den Vorgaben eines anderen Gesetzes ab: vom Gesetz gegen den unlauteren Wettbewerb. E-Mail-Werbung kann bei Bestandskunden auch ohne Einwilligung erlaubt sein – allerdings muss man sie auf ihr Recht zum Widerspruch gegen eine werbliche Nutzung ihrer Kontaktdaten hinweisen, wenn man ihre E-Mail-Adresse abfragt.

Wer neuen Kunden E-Mail-Werbung schicken will, der braucht eine vorherige Einwilligung.  Auch für Telefonwerbung ist bei Verbrauchern eine vorherige Einwilligung erforderlich. Telefonwerbung bei Geschäftskunden kann je nach Einzelfall auf eine „mutmaßliche“ Einwilligung gestützt werden.

Mythos Nr. 15: Für jeden Verstoß gegen die DSGVO werden 20 Millionen Euro Strafe oder vier Prozent des Jahresumsatzes fällig.

Falsch. Die Aufsichtsbehörden haben Spielraum und haben bereits angekündigt, hier mit Augenmaß zu entscheiden. Der Maximalrahmen bei den Strafen wird nur in wirklich krassen Fällen ausgeschöpft. Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen von bis zu 300.000 Euro aussprechen – theoretisch. Selbst gegen große Unternehmen betrugen die Bußgelder bisher aber meist nicht mehr als 5000 oder 6000 Euro.

In vielen Fällen dürfte es bei einer Rüge bleiben oder das Unternehmen bekommt eine Anweisung, das Problem zu beheben. Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook.

100 Ideen, die Ihr Unternehmen voranbringen

Sie wünschen sich motivierte Mitarbeiter, mehr Produktivität und zufriedene Kunden? Unsere 100 Ideen bringen Sie diesem Ziel näher. Jetzt kostenlos herunterladen! impulse premium
13 Kommentare
  • Avatar
    Hamid Omari 1. Januar 2020 19:15

    Hallo Heinz,

    ich habe da etwas interessantes gefunden:

    *Was für ein Handyverbot spricht*
    Smartphones lenken ab. Die Mitnahme von Smartphones in die Schule verführt die Schülerinnen und Schüler dazu, das Gerät für private Zwecke zu nutzen. WhatsApp, Instagram und Co. stehen auf dem Stundenplan – die Lehrkraft wird weniger beachtet. Sowohl die Konzentration als auch die Aufmerksamkeit leiden darunter.

    Smartphones helfen beim Spicken. Durch die schnelle Informationsbeschaffung ist keine eigene Denkleistung mehr erforderlich. Das Smartphone gibt den Jugendlichen alle relevanten Daten. Lehrkräfte haben nur wenige Möglichkeiten der Kontrolle.

    Die zwischenmenschliche Kommunikation leidet. Anstatt einer direkten Kommunikation, wählen die Schülerinnen und Schüler lieber den virtuellen Weg. Auf dem Schulhof wird gedaddelt und sich in den sozialen Netzwerken ausgetauscht.

    Mobbing wird unterstützt. Das Smartphone gilt bei vielen als Status-Symbol. Jugendliche, die kein modernes oder aktuelles Smartphone haben oder vielleicht gar keines besitzen werden benachteiligt. Auch das sogenannte Cyber-Mobbing kann durch die Mitnahme des Smartphones unterstützt werden.

    Soziale Medien zeigen eine Scheinwelt. Schnell ein Like bei Facebook verteilen oder das Beste aus 50 gemachten Bildern bei Instagram hochladen – alle zeigen sich auf den sozialen Netzwerken von ihrer besten Seite. Doch nicht alles, was in den sozialen Medien geteilt wird, entspricht auch der Realität. Durch ein Handyverbot an Schulen werden Jugendliche auch mal aus ihrer Social-Media-Scheinwelt herausgeholt.

    Die Abhängigkeit vom Smartphone wird verstärkt. Das Smartphone ist ohnehin schon ein pausenloser Begleiter. Durch das Smartphone-Verbot in Schulen lernen Jugendliche, dass man nicht ständig erreichbar sein muss und es ok ist, auch mal „offline“ zu sein.

    Das Smartphone dient als einzige Quelle. Auf diese Weise wird der Umgang mit anderen Quellen schlichtweg verlernt.

    *Was gegen ein Handyverbot an Schulen spricht*
    Smartphones als Mehrwert für den Unterricht. Viele Schulen sind mit nur wenig digitalem Equipment ausgestattet. Smartphones können schnell und einfach im Unterricht zu Recherchearbeiten eingesetzt werden. Auf diese Weise können auch aktuelle Themen im Unterricht bearbeitet werden.

    Medienkompetenz und Medienerziehung werden geschult. Der richtige Umgang mit Smartphones sollte ein Teil des Unterrichts sein. Die Jugendlichen müssen lernen, sensibel mit ihren eigenen Daten umzugehen und Informationsquellen zu hinterfragen. Zudem sollten andere Nutzungsmöglichkeiten aufgezeigt werden – Smartphones dienen nicht nur als Spaßobjekt.

    Die Denkleistung der Jugendlichen wird gefördert. Mittels Diskussionen über den kritischen Umgang mit Smartphones wird die eigene Denkleistung der Schüler und Schülerinnen geschult. Sie lernen aktiv, Dinge zu hinterfragen.

    Smartphones helfen dabei, Jugendliche zu motivieren. Die Nutzung des Smartphones gehört bei den Schülerinnen und Schülern schlichtweg zu ihrer Lebenswirklichkeit. Wird das Smartphone aktiv an Schulen eingebunden, so kann es hinsichtlich der Motivation auch einen positiven Effekt auf die Jugendlichen haben.

    Ein Verbot macht das Smartphone noch reizvoller. Schülerinnen und Schüler nehmen ihre Handys trotz allem mit und nutzen sie auf dem Schulhof oder sogar im Unterricht heimlich.

    Bessere Kontrollmöglichkeiten der Lehrer und Lehrerinnen. Wird das Smartphone aktiv in den Unterricht miteinbezogen, so liegt es gut sichtbar auf den Schreibtischen der Schüler und Schülerinnen. Auf diese Weise können Lehrkräfte die Handynutzung sogar besser kontrollieren.

    Die Digitalisierung lässt sich nicht aufhalten. Sie ist Bestandteil unseres Lebens und schreitet zukünftig nur noch mehr voran. Dass das Smartphone also auch in die Schule integriert wird, ist folglich nur zeitgemäß und bereitet Schüler und Schülerinnen auf die digitalisierte Welt vor.

    Letztlich zeigen die Argumente, die für und gegen ein Smartphone-Verbot sprechen auf, dass dies zweifelsohne ein sensibles und schwieriges Thema ist, das auch zukünftig zu hitzigen Diskussionen führen wird. Bisher (Februar 2019) gibt es in Deutschland ausschließlich in Bayern ein Handyverbot an Schulen, welches im Gesetz verankert ist. Ob dem auch andere Bundesländer folgen – oder ob Deutschland sich Frankreich gar zum Vorbild nimmt, bleibt abzuwarten. Ganz so schnell lässt sich das Smartphone also vorerst nicht aus unseren Schulen verbannen.

  • Avatar
    Heinz 19. November 2019 18:12

    Sehr geehrte Frau Schmid,

    gratulation zu sehr guten Blog-Beitrag, der gut aufgezählt die geläufigsten Mythen vermittelt. Meine Meinung dazu: Gerade offizielle Behörden und Institutionen benutzen die DSGVO gezielt zur Schikane oder gar Arbeitsbeschaffung.

    Die DSGVO wird von Jenen oft aktiv dafür verwendet, Prozesse zu verlangsamen, einen künstlichen Papierkrieg aufzubauen oder Leute zum Narren zu halten bzw. Intransparenz zu etablieren. (Geht bei dem Thema wie immer mit subtiler Angstmache wirklich leicht)
    Beispiel gefällig?

    Heute in Händen. Da steht doch glatt in einem Elternbrief der Grundschule mit dem Titel: „Thema: Nutzung von privaten digitalen Geräten“ , in dem es um das Verbot digitaler Geräte im Schulgelände geht: (Alles gut, wir haben das schon längst gefordert.)

    Zitat:
    „2. Sollten sie als Eltern dennoch wünschen, dass ihr Kind ein Handy oder eine KidsWatch mitführt, müssen wir nicht nur aus datenschutzrechtlichen Gründen darauf bestehen, dass diese Geräte in der Schule ausgeschaltet im Schulranzen aufbewahrt werde. Dies gilt ausdrücklich auch für das Außengelände.“
    Zitat Ende

    Ich halte das für eine komplett profane Ausrede, sich der Nachweise von immer mehr Eltern, die sich über das respektlose und gewalttätige Verhalten von diversen Schülern von ihren Kindern aufzeichnen lassen, zu entziehen. Die LehrerInnen und Direktorinnen (und wohl auch reiche Eltern potenzieller Gewaltschüler) haben offenbar immense Angst, dass die großteils disziplinär katastrophal gewalttätigen Zustände an den Schulen zu sehr in YT landen. Wenn ich mir ansehe, wie es auf diesem Schulhof zugeht, betrachte dieses Ansinnen zur Verhinderung von Filmmaterial als logisch

    Ich sehe hier einen „Mythos 16“:
    „Vorschieben der DSGVO für ein Verhindern eines Ablaufs, der Arbeit machen könnte.“

    Wie sehen Sie das? (Ich erbitte keine Rechtsauskunft)
    Wie sieht das unter Umständen der Herr Jurist Hamid Omari, der hier postet?

    Es ist doch nicht die Schule, die hier bei einer rechtswidrigen Veröffentlichung (YT und außerhalb der Sicherheitsbehörden) zur Verantwortung gezogen wird, sondern die Eltern der Kinder. Oder?

    Oder wollen uns in dem Fall nicht eher schon die Lehrer hier gerade ihre Welt (besser nicht) erklären?

  • Avatar
    Hamid Omari 20. September 2019 06:45

    Hallo Frau Schmid,

    sorry für die späte Antwort. Leider bin rein zufällig wieder hier gelandet, so dass ich Ihr Comment gesehen hab. Dazu, wie folgt:
    Nein, ich bin kein Anwalt, aber trotzdem ein Jurist. Ich bin Dipl. Jurist, die haben leider keine Prozessvollmacht, weil 2 Fächer weniger als Volljuristen. Das war Absicht von den verantwortlichen Juristen :)

    Zum Thema.
    Ich wollte nicht den Eindruck erwecken, dass Sie oder Ihr Anwalt total falsch liegen. Bei der Juristerei ist es üblich , dass zwei Personen, drei Meinungen vertreten „können“. Beim Datenschutz ist es sogar noch schlimmer, hier können gleichzeitig 4 Meinungen richtig sein. Warum, weil es einfach noch nicht geregelt ist. Der Gesetzgeber wartet noch mit Grundsatzurteilen – er will noch beobachten, wie die Spieler spielen. Was bzgl. meinem Post meinte, ist dass die Auftragsverarbeitung, wenn Sie nicht gilt, dann zumindest aber die Verantwortlichkeit gegeben ist für den Handwerker. Fakt ist, dass personenbezogene Daten fließen. Und wenn das geschieht, dann liegt entsprechend faktisch und rechtlich eine Verarbeitung vor. Folglich muss diese eine Rechtsgrundlage haben.

    LG
    Omari

  • Avatar
    Hamid Omari 19. September 2019 08:26

    Hallo Frau Schmid,

    ich bin Jurist aber kein Rechtsanwalt – ich habe Wirtschaftsrecht studiert, was mich aber nicht weniger kompetent macht :) mir fehlt das Recht zur Rechtsberatung, das bleibt den Volljuristen vorbehalten. Uns haben sie kurzerhand ausgeschlossen – Ja, gemein, sehe ich auch so!

    Ich wollte aufmerksam darauf machen, dass es beim Datenschutz immer verschiedene Meinungen geben wird. Der Spruch 2 Anwälte, 3 Meinungen kommt nicht von irgendwie. Ich möchte nicht sagen, dass Sie oder Ihr Anwalt total falsch liegen – nein, aber ganz richtig kann es aber auch nicht sein. Denn es ist immer berechtigtes Interesse, mit dem sich bestimmt sehr viele Türen öffnen lassen. Die Frage, die man sich hier stellen sollte ist, ob man diese Türe aus Sicht des Datenschutzes öffnen kann, oder man sich lieber eine zweite Meinung einholen sollte. Denn alles was berechtigtes Interesse ist, kann u.U. vor Gericht landen, wenn jemand sich in seinem Recht verletzt fühlt – bester Angriffspunkt ist hier dann natürlich, wenn es an einer rechtliche Grundlage fehlt.

    LG Omari

  • Avatar
    Hamid Omari 19. September 2019 07:11

    Hallo,

    das Bußgeld bekommt natürlich der Staat. Der Geschädigte hat Anspruch auf Schadensersatz, d.h. er müsste wie alle anderen Klage auf Schadensersatz nach 3823 BGB erheben

  • Avatar
    Samuel Zeh 11. Juni 2019 19:54

    Hallo, das ist ein sehr toller Blog! Wer bekommt eigentlich das Bußgeld? Geht das in die Staatskasse ein, oder bekommt das der geschädigte?
    Wäre interessant zu wissen, da eine Firma in Ulm meine Daten veröffentlicht hat.

    [Link entfernt, beachten Sie unsere Netiquette]

  • Avatar
    Hamid Omari 19. Februar 2019 16:35

    Mythos 7: Handwerksbetriebe, die für eine Hausverwaltung arbeiten oder als Subunternehmer tätig sind, müssen einen Auftragsverarbeitungsvertrag unterschreiben. Falsch!

    Das ist so nicht ganz richtig.

    Der Kundenname + Adresse somit p.b.D. iSd Art.2 sind wesentlicher Vertragsgegenstand ist, essentialia negotii: die Namen der Vertragsparteien (Verantwortlicher der Hausverwaltung+Verantwortlicher Handwerker), die DL und der Preis. Sie sagen ja selber, dass der Handwerker die Daten benötigt um seinen Auftrag zu erledigen, folglich ist es zwingender Vertragsbestandteil mit der Hausverwaltung und dem Handwerker. Vielleicht nicht aus dem Hauptvertrag heraus, wohl aber aus dem Vertrag aus dem die Dienstleistung hervorgeht – möge diese auch nur konkludent telefonisch erfolgt sein. Der Handwerker muss seine getätigte Arbeit auch protokollieren, diese auch ggf. vom Kunden unterzeichnen lassen. Dieses Dokument landet beim Chef auf dem Schreibtisch und wird sicher bspw. in einem Ordner „Vorort Besuch Hausverwaltung XY“ abgelegt. Es ist hier noch zu erwähnen, dass vom Handwerker die Daten nach Art. 14 DSGVO nicht direkt beim Kunden erhoben wurden, sondern diese vom Hausverwalter kamen – dennoch werden Daten vom Handwerker genutzt und gespeichert, was wiederum heißt dass eine klassische Verarbeitung gem. Art. 4 Nr. 2 DSGVO statt findet. Weiterhin erstellt der Handwerker eine Rechnung in dem auch der Name des Kunden auftauchen kann. Diese wiederum kommt zurück zum Auftraggeber. Auch dieser legt das in seinem Ordner „Handwerker XY“ ab. Daher ist m.E. eine AVV mit dem Handwerker zwingend notwendig.

    • Dorothée Schmid
      Dorothée Schmid 20. Februar 2019 09:14

      Hallo Herr Omari,

      sind Sie Rechtsanwalt und spezialisiert auf Datenschutz? Unser Artikel wurde von einem auf Datenschutzrecht spezialisierten Rechtsanwalt überprüft und er teilt unsere Auffassung.
      Herzliche Grüße aus der impulse-Redaktion,
      Dorothée Schmid

  • Avatar
    Sabine 8. Februar 2019 10:48

    Sehr geehrte Frau Schmid,

    eine Frage zu 12:
    Gibt es bereits Urteile oder rechtskräftige Aussagen dazu, welche Mitarbeiter zu denen gehören, die „Kerntätigkeiten mit persönlichen Daten“ verarbeiten? Wir sind ein Handwerksbetrieb mit 20 Mitarbeitern, von denen 6 im Büro mit Zugang zu personenbezogenen Daten (am Rechner) arbeiten. Die Anderen im Kundendienst oder auf der Baustelle, die morgens lediglich die Adress- und Baustellendaten der Kunden erhalten.
    Zählen diese dazu oder nicht?

    • Dorothée Schmid
      Dorothée Schmid 8. Februar 2019 11:37

      Hallo Sabine,

      leider können und dürfen wir keine Rechtsberatung in Einzelfällen geben. Ich würde Ihnen raten, sich an den Datenschutzbeauftragten in Ihrem Bundesland zu wenden, der kann bei der Klärung der Frage sicher weiterhelfen.
      Herzliche Grüße aus der impulse-Redaktion
      Dorothée Schmid

    • Avatar
      Hamid Omari 19. Februar 2019 16:47

      Nach § 38 BDSG iVm. Art. 37 DSGVO müssen die Unternehmen einen DSB bestellen/ ernennen, wenn mind. 10 Personen sich mit der automatisierten Verfahren arbeiten.

  • Avatar
    Pascal 6. Februar 2019 12:32

    Hallo,

    eine Nachfrage zu 8.
    Der sachliche Anwendungsbereich der DSGVO ist gem. Art. 2 Abs. 1 folgender:

    „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

    Damit gilt sie ausdrücklich auch für die nichtautomatisierte Verarbeitung. Daneben ist ein Klingelschild eine geordnete Sammlung von Namen (die sind nämlich den Wohnungsklingeln zugeordnet). Ein Dateisystem ist nun laut Art. 4 Abs. 6 DSGVO:

    „„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“

    Das trifft m. E. auf ein Klingelschild ebenfalls zu – in dem die Namen ja nun gespeichert werden. Die Struktur ist nach den Wohnungen geordnet (also wohl funktional oder geographisch).

    Die Frage nun also: Wie lässt sich das mit der Aussage der Datenschutzbeauftragten vereinbaren?

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)