Datenschutz – so ist es wirklich!

Das geht nicht, der Datenschutz …

Diesen Satz hören Bürgerinnen und Bürger immer wieder. Die meisten von ihnen akzeptieren es klag- und kritiklos, wenn es heißt, dass der Datenschutz zum Beispiel eine Serviceleistung verhindert. Was mit Sicherheit zum teilweise schlechten Ruf des Datenschutzes beiträgt, was jedoch oft gar nicht zutrifft. Denn der Datenschutz ist nur dann von Relevanz, wenn es um die Verarbeitung von personenbezogenen Daten geht. Was personenbezogene Daten sind? Das sind Daten, die einer Person entweder direkt zugeordnet werden können, wie der Name oder ein Fingerabdruck, oder Daten, mit denen dies indirekt möglich ist – wie unter Umständen bei einem Autokennzeichen.

Weiß man das, kann man sich immer kurz fragen, ob es in einer bestimmten Situation überhaupt um personenbezogene Daten geht und ob die Datenschutzgrundverordnung in diesem Fall überhaupt greift. Und selbst wenn dies der Fall ist, kann man überlegen, ob man sein Ziel vielleicht ohne die Nutzung personenbezogener Daten erreichen kann. Manchmal reicht eine allgemeine Information und schon werden die Daten nicht mehr benötigt. Müssen tatsächlich personenbezogene Daten verarbeitet werden, kann man sich überlegen, unter welchen Bedingungen dies möglich ist und den entsprechenden Rahmen schaffen, indem man beispielsweise für den Schutz der Daten, für angemessene Zugriffsrechte und Transparenz sorgt. Dabei unterstützt das Team von Datenschutz Prinz Sie selbstverständlich gern.

Braucht man wirklich immer eine Einwilligung?

Kurz und bündig: Nein, die braucht man nicht immer. Wer personenbezogene Daten verarbeitet, darf dies auf der Grundlage einer Einwilligung der betroffenen Personen tun. Aber es gibt auch andere Bedingungen, die diese Verarbeitung legitimieren. So können beispielsweise vertragliche Erfordernisse eine Rechtsgrundlage bilden. Etwa wenn eine Bestellung in einem Online-Shop an die persönliche Adresse gesandt werden soll. Oder wenn es eine gesetzliche Verpflichtung zur Verarbeitung personenbezogener Daten gibt, beispielsweise wenn Kundenadressen in der Buchhaltung für die Dauer der gesetzlichen Fristen aufbewahrt werden müssen. Ein weiteres Beispiel ist das sogenannte berechtigte Interesse. Das kann vorliegen, wenn ein Unternehmen seine Kundinnen und Kunden über seine Leistungen informiert. Wobei allerdings die jeweiligen Interessen gegeneinander abzuwägen sind.

Braucht man aber tatsächlich eine Einwilligung, muss man beachten, dass diese nur gilt, wenn sie freiwillig erteilt wurde. Außerdem müssen die Betroffenen vor der Erteilung über die geplante Datenverarbeitung informiert worden sein. Sie können ihre Einwilligung zudem jederzeit widerrufen.

Müssen die Betroffenen in die Datenschutzerklärung einwilligen?

Auch hier ist die Antwort ein ganz klares Nein. Denn mit der Datenschutzerklärung wird eine Pflicht zur Information erfüllt. Sie erklärt, was mit den erhobenen Daten geschieht, auf der Basis welcher Rechtsgrundlage sie verarbeitet werden und welche Rechte die Betroffenen auf welche Weise geltend machen können. Es ist übrigens weder erforderlich noch sinnvoll, die Betroffenen bestätigen zu lassen, dass sie die Datenschutzerklärung akzeptieren. Solch eine Bestätigung führt leicht dazu, dass die Information über die Datenverarbeitung und die Einwilligung in die Datenverarbeitung miteinander verwechselt werden und dass später fälschlich die Meinung vertreten wird, dass die Einwilligung erteilt worden sei. Es ist besser, Einwilligungen ganz eindeutig dann einzuholen, wenn es nötig ist, und ansonsten lediglich über die Datenschutzhinweise zu informieren. Beispielsweise unter dem Menüpunkt „Datenschutzerklärung" auf der eigenen Website.

Muss man Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen?

Nein, einen Auftragsverarbeitungsvertrag muss man nicht mit allen Dienstleistern abschließen, sondern nur mit denen, die im Auftrag und weisungsgebunden personenbezogene Daten verarbeiten. Das ist regelmäßig bei Anbietern von Newsletter-Tools, Hosting und Cloud-Speichern der Fall, aber auch bei einem Support mit Zugriff auf das System des Auftraggebers. Ob man einen Auftragsverarbeitungsvertrag abschließen muss, hängt davon ab, ob der Dienstleister über die Mittel und Zwecke der Datenverarbeitung selbst entscheidet. Ist dem so, ist er entweder allein dafür verantwortlich oder es ist ein Fall der gemeinsamen Verantwortlichkeit. In diesen beiden Fällen sind andere Verträge erforderlich, kein Auftragsverarbeitungsvertrag.

Löschfristen kann man einfach pauschal definieren …

… und handelt es sich um geschäftliche Unterlagen, muss man sie sowieso zehn Jahre aufbewahren. Stimmt das? Nein, das stimmt nicht. Zum einen gilt seit dem 01.01.2025, dass viele Buchungsbelege nur noch acht Jahre aufbewahrt werden müssen. Doch für jede Unterlagenart kann es eigene, abweichende Löschfristen geben. Und zu zeitig dürfen Unterlagen auch nicht gelöscht werden, weil es in vielen Fällen gesetzlich vorgegebene Aufbewahrungsfristen gibt, die keineswegs den acht Jahren für Buchungsbelege entsprechen müssen. Es empfiehlt sich unbedingt, ein Löschkonzept anzulegen, das die jeweiligen Aufbewahrungsfristen berücksichtigt und für alle Beteiligten Klarheit schafft.

Sie möchten weitere Fragen rund um den Datenschutz klären?

Dann kommen Sie gern auf unser Team zu. Wir informieren und beraten Sie sehr gern! Rufen Sie uns unter 09122 6937302 an oder senden Sie uns Ihre Terminanfrage in einer Nachricht. Wir freuen uns darauf, Sie zu unterstützen.

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Datenschutz-Grundverordnung vor möglicher Reform –...
Künstliche Intelligenz und Datenschutz im Unterric...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.