Datenschutzgrundverordnung (DGVO)

Nach Erwägungsgrund (171) DSGVO gelten in der Vergangenheit erteilte Einwilligungen fort, wenn die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht.

Wer bisher Opt-Ins eingeholt und dokumentiert hat, muss also keine neuen Einwilligungen einholen. 

Wer ein Opt-in hat, das aber nicht ausreichend dokumentiert ist und deshalb neue Einwilligungen einholen möchte, muss das jetzt tun.

Für Nutzer im alten System bedeutet dies: Das Newslettersystem DirectMail bei TYPO3 verfügt NICHT über eine Opt-In-Funktion und ist deshalb aus datenschutztechnischen Gründen nicht zur Weiternutzung zu empfehlen. 

Die Datenschutzerklärung auf der Website muss an die DSGVO angepasst werden. Bitte verwenden Sie als Mustervorlage die Datenschutzerklärung auf der Sandbox.Eine englischsprachige Version liegt nicht vor, wir würden uns aber freuen wenn uns AHKs eine übersetzte Version zur Verfügung stellen.

Werden personenbezogene Daten im Auftrag durch einen Toolanbieter oder andere Agenturen verarbeitet, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Der Verantwortliche gem. Art. 24 DSGVO hat dafür Sorge zu tragen, dass die Verarbeitung rechtmäßig erfolgt. Außerdem obliegt ihm eine Auswahlverantwortung dahingehend, dass er nur mit Auftragsverarbeitern arbeiten darf, die gem. Art. 28 Abs. 1 DSGVO die Durchführung geeigneter technischer und organisatorischer Maßnahmen hinreichend garantieren können.

Der Website-Dienstleister CPS-IT wird eine entsprechende Vereinbarung mit jeder AHK eingehen.

Die Rechtslage zu Cookies und der Notwendigkeit einer Einwilligung ist derzeit offen. Der DSGVO lässt sich nicht wirklich entnehmen, ob ein Cookie-Banner nötig ist. Zudem ist das Verhältnis der europäischen Datenschutzregeln zum deutschen Telemediengesetz ungeklärt. Die Datenschutzbehörden halten offenbar jedes Tracking-Cookie für einwilligungsbedürftig. Das ist sicher nicht richtig. 

Die AHK-Websites haben Cookie-Banner obligatorisch eingeführt. In der Datenschutzerklärung wird darüber hinaus zwischen notwendigen Cookies (etwa für eine Warenkorbfunktion) und Tracking/Targeting-Cookies unterschieden.

Gemäß Erwägungsgrund (47) S. 7 kann die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Eine Personalisierung der Werbung kann sich deshalb unter Umständen auf ein berechtigtes Interesse stützen. Allerdings will die DSGVO den gläsernen Kunden verhindern, so dass jedenfalls bei einer tiefgreifenden Profilbildung eine Einwilligung erforderlich ist. Jedes CRM-System und jede Data Mining Plattform, in der Kundendaten gespeichert sind, sollte daher einer detaillierten rechtlichen Prüfung unterzogen werden.

Gemäß Art. 37 DSGVO muss ein Datenschutzbeauftragter bestellt werden, wenn die Datenverarbeitung Kerntätigkeit des Unternehmens ist. Darüber hinaus regelt § 38 BDSG-neu für Deutschland, dass dann ein Datenschutzbeauftragter erforderlich ist, wenn in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind. Bei Nichtbestellung droht ein hohes Bußgeld.

Die allgemeinen Anforderungen an die Betroffenenrechte richten sich nach Art. 12 DSGVO. Insbesondere wird unverzügliche Auskunftserteilung gefordert, sobald jemand von seinem Recht auf Auskunft über die gespeicherten Daten Gebrauch macht. Es ist also ein unternehmensinterner Prozess zu schaffen, der eine schnelle Zusammenführung aller über den Kunden oder Interessenten gespeicherten Daten ermöglicht.

Der EuGH wird demnächst über zwei wesentliche Fragen Facebook betreffend entscheiden: Wer ist für die Datenerhebung auf der Facebook-Seite eines Unternehmens verantwortlich und ist die Einbindung eines Facebook-Widgets oder des Like-Buttons eine Datenerhebung durch den Website-Betreiber und eine Datenübertragung an Facebook. Ergebnis offen.

Aus diesem Grund bleibt die AHK-Website weiterhin bei der 2-Klick-Lösung nach der Shariff-Methode.

Sehr wichtig, aber nicht mega-dringend ist die Fertigstellung eines Verzeichnisses der Verarbeitungstätigkeiten. Das ist eine Konkretisierung der allgemeinen Rechenschaftspflichten aus Art. 5 Abs. 2 DSGVO und dient den Datenschutzbehörden als Ausgangspunkt von Kontrollmaßnahmen. Unabhängig von der Unternehmensgröße müssen demnach auch AHKs ein solches Verzeichnis führen. Die Verpflichtung besteht nämlich immer, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt.

Das Verzeichnis muss für jeden einzelnen Datenverarbeitungsprozess zumindest u.a. Name und Zweck der Datenverarbeitung, die Rechtsgrundlage, die Beschreibung der Verarbeitung, die Betroffenen und Empfänger, sowie Zugriffsberechtigten, die personenbezogenen Daten / Datenkategorien, die Regelfristen für die Löschung und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen beinhalten.

Ebenfalls wichtig, aber nicht unbedingt dringend ist die Entwicklung eines Löschkonzepts: Für jedes gespeicherte Datum muss eine Löschfrist abhängig von der Rechtsgrundlage festgelegt werden.

Ausnahmen gelten, wenn gesetzliche Aufbewahrungsfristen angeordnet sind. Um diese Fristen stets sauber einhalten zu können, sollten Löschkonzepte entwickelt werden. Diese müssen dann in der Praxis auch umgesetzt werden, sodass personenbezogene Daten auch tatsächlich gelöscht werden.

Für das TYPO3-System gilt: Im neuen System wird eine automatische Löschung der Daten nach 3 Monaten technisch eingerichtet werden. Im alten System müssen AHK-Redakteure die Löschung von dort hinterlegten personenbezogenen Daten manuell durchführen.

Die DSGVO gilt ab 25.05.2018 auch für die AHKs außerhalb des Europäischen Wirtschaftsraums, weil sie sich mit ihrem Dienstleistungsangebot an Personen wenden, die sich in der EU aufhalten (Marktortprinzip). Die AHKs müssen, zumindest bezüglich der Verarbeitung von personenbezogenen Daten von EU-Bürgern z. B. im Rahmen der Mitgliederverwaltung oder bei der Betreuung von Delegationsreisen, daher die DSGVO einhalten.

Die DSGVO verlangt für solche Institutionen, die selbst keinen Sitz in der EU/dem EWR haben, dass sie als Verantwortliche schriftlich einen Vertreter in der EU benennen (Art. 3 Abs. 2 iVm Art 27 Abs. 1 DSGVO).

Die Unternehmen, die das Serviceangebot der AHKs außerhalb des EWR in Anspruch nehmen und dazu personenbezogenen Daten übermitteln, müssen die R0echtmäßigkeit der Übermittlung als „Verarbeitung von Daten“ prüfen. Die AHKs sind allerdings verpflichtet, die Übermittler darüber zu informieren, wie die Daten in der AHK verarbeitet werden. Dazu gehört auch die Übermittlung an dritte Stellen, wie z. B. Behörden in dem Sitzland, die Deutsche Botschaft oder Durchführer z. B. von Delegationsreisen. Hierfür ist keine namentliche Nennung notwendig, sondern nur der allgemeine Hinweis, dass man sich für die Aufgabe… eines oder mehrerer Dienstleister bedient (dann Angabe, welche Aufgabe jeder Dienstleister hat).

Einwilligungen der betroffenen Personen, deren Daten von den AHKs verarbeitet werden sollen, müssen dann eingeholt und dokumentiert werden, wenn es keine andere Rechtsgrundlage, wie z. B. die Anbahnung oder Abwicklung eines Vertrags gibt. Auch in den Fällen, in denen im Rahmen der Mitgliedschaft oder der Abwicklung von Dienstleistungen über die dafür notwendigen Daten hinaus weitere Daten erhoben werden, bedarf es einer Einwilligung. Daher bietet es sich an, zwischen freiwilligen und Pflichtangaben zu unterscheiden.

Werden im Rahmen des Serviceangebots dabei auch Daten Dritter erhoben, z. B. bei der Lohnabrechnung diejenigen der Arbeitnehmer, ist es Aufgabe der verantwortlichen Stelle, die diese Daten an die AHK übermittelt, für die Rechtmäßigkeit zu sorgen. Eine Klausel, dass der Übermittler/der Unterzeichner bestätigt, dass die von der Übermittlung der personenbezogenen Daten betroffenen Personen damit einverstanden sind, ist hilfreich. (Textvorschlag: Mit der Unterschrift wird bestätigt, dass die personenbezogenen Daten Dritter, die übermittelt werden, rechtmäßig erhoben wurden und übermittelt werden.)

Hier könnte allenfalls die Frage des Übermittlungsprozesses eine Rolle spielen: Werden besonders schützenswerte Daten (z. B. Bankdaten, Gesundheits- oder Religionszugehörigkeitsdaten) übermittelt, ist dafür ein ungeschützter E-Mail-Verkehr nicht geeignet. Es sollte eine Verschlüsselung verwendet werden (z. B. Verzippung der Angaben und getrennte Mitteilung des Entschlüsselungscodes).

Der Widerruf gilt nur für die Zukunft, so dass die davor erhaltenen Daten auch weiter verarbeitet werden können, wenn es notwendig ist. Ein Widerruf z. B. bei Daten, die für eine Vertragsabwicklung erforderlich sind, gilt nicht. Ebenso unbeachtlich ist ein Widerruf, wenn die Daten aufgrund gesetzlicher Vorschriften weiter aufbewahrt werden müssen. Ansonsten sollten die Daten gelöscht werden.

Erfolgt die Anmeldung zu der Veranstaltung per Internet oder wird ein Flyer versandt, müssen die Informationspflichten für Veranstaltungen verwendet werden.

Ja, das ist zulässig für die Überprüfung, wer tatsächlich teilnimmt – also auch mit Unterschrift. Allerdings müssen diese Unterlagen dann vernichtet werden, wenn die Löschung versprochen wurde (vgl. die Formulierung bei den Infopflichten) oder keinerlei Verwendung (z. B. als Nachweis für Projektabrechnungen oder aus steuerrechtlichen Gründen) für die Listen mehr vorhanden ist.

Das ist nur zulässig, wenn dazu vorher jeder Teilnehmer eingewilligt hat.

1. Alt.: Das kann direkt bei der Einladung erfolgen: „Ich bin damit einverstanden, dass mein Name, … mittels einer Teilnehmerliste allen Teilnehmern zur Verfügung gestellt wird (Checkbox für Einwilligungshäkchen vorsehen).

2. Alt.: Bei der Teilnehmerliste entsprechend eine Spalte vorsehen für die Einwilligung.

Hierfür wäre eine ausdrückliche Einwilligung erforderlich.

Bisherige Mitglieder müssen nicht nochmals um ihre Einwilligung gebeten werden, denn die Mitgliedschaft und die sich daraus ergebenden Konsequenzen beruhen nicht auf Einwilligung, sondern auf Vertrag. Das betrifft die Verarbeitung der Mitgliedsdaten, einschließlich des konkreten Ansprechpartners, sowie z. B. die Zusendung des Newsletters/Mitgliedermagazins oder die Einladung zu Veranstaltungen.

AHKs nutzen die Daten von Ex-Mitgliedern über die Beendigung der Mitgliedschaft hinaus z. B. für Veranstaltungen. Auch hier ist die Einholung erneuter Einwilligungen nicht notwendig, wenn dieser Verteiler schon eine Weile verwendet wurde. Es ist zu überlegen, ob dieser Personenkreis bei einer Gelegenheit auf die Datenverarbeitung hingewiesen und gebeten wird, sich zu melden, falls kein Interesse mehr an einem Kontakt besteht. Textvorschlag: Ihre Daten verarbeiten wir, um Sie über unsere Aktivitäten/Veranstaltungen weiter zu informieren. Sollten Sie daran kein Interesse mehr haben, können Sie uns dies über die E-Mail-Adresse … mitteilen. Wir werden Sie dann umgehend aus unserem Verteiler löschen.

Auch hier gilt: Wer seit geraumer Zeit den Newsletter erhalten hat und immer auf seine Möglichkeit der Abbestellung hingewiesen wurde, dessen Einwilligung zum Erhalt des Newsletters muss nicht erneut eingeholt werden.

Werden Datenbanken Dritter oder das Internet allgemein für die Akquise neuer Mitglieder genutzt, ist das zulässig. Allerdings müssen dann diese betroffenen Personen gemäß Art. 14 DSGVO darüber informiert werden, damit sie wissen, dass die AHK diese Daten für welchen Zweck nutzen will. Eine Ansprache dieser Unternehmen, ob sie überhaupt Interesse an einer Mitgliedschaft haben, erfolgt ohnehin, so dass damit auch die Informationen gegeben werden können.

AHKs verwenden für allgemeine Anfragen ein Kontaktformular. Die damit gewonnenen Daten werden für die Akquise neuer Mitglieder verwandt. Das ist eine Zweckänderung, zu er eine Einwilligung eingeholt werden muss. Das Kontaktformular sollte dazu einen entsprechenden Hinweis enthalten mit Checkbox für Einwilligungshäkchen.

Ja, wenn bei Entgegennahme der Visitenkarte klar ist, dass sie dazu übergeben wurde. Eine kurze Nachfrage „Darf ich Sie in unseren Verteiler an einer Mitgliedschaft interessierter Unternehmen aufnehmen?“ reicht aus; einer schriftlichen Einwilligung bedarf es nicht, denn das Unternehmen muss, bevor es als „richtiges“ Mitglied aufgenommen wird, die informationspflichten für Mitgliedsunternehmen erhalten, z. B. per E-Mail. Wurde die Visitenkarte nur zum Austausch von Kommunikationsdaten übergeben, können die Daten nur im persönlichen Adressverteiler gespeichert werden.

AHKs agieren als Partner für Messegesellschaften. In diesen Fällen müssen sie die Mitglieder/interessierten Unternehmen entsprechend informieren und deren Einwilligung für die Verarbeitung der Daten einholen. Das umfasst auch den Hinweis auf die Übermittlung der Daten an die jeweilige Messegesellschaft.

Üblicherweise enthält ein CRM-System mehr Daten, als für die Verwaltung der Mitgliedschaft notwendig ist. Sollte es sich dabei um personenbezogene Daten handeln, z. B. das Geburtsdatum des Ansprechpartners des Mitgliedsunternehmens, ist dafür die Einwilligung der betroffenen Personen notwendig. Wurde sie eingeholt, ist die Verarbeitung dieser Daten auch weiterhin zulässig.

Nimmt die AHK an Projekten z. B. des DIHK oder der DIHK Service GmbH teil und bezieht dazu Mitgliedsunternehmen ein oder auch Dritte, sollten diese entsprechend informiert werden. Das betrifft auch den Hinweis, dass ihre Daten (konkret angeben) an andere Institutionen (z. B. DIHK/DIHK Service GmbH/Bundesministerium) übermittelt werden (vgl. Informationspflichten allgemein).

Die Aufgabe der AHK beruht auf einem Dienstleistungsauftrag. Sie wird kraft eigener Kompetenz tätig. Die AHK entscheidet, welche Daten benötigt werden. Sie stellt sicher, dass die nationalen Vorschriften und Gesetze eingehalten werden und daher obliegt ihr auch, die Rechtmäßigkeit der von ihr verantworteten Datenverarbeitung zu gewährleisten. Sie fungiert vor Ort für den betreffenden Mitarbeiter häufig als Ansprechpartner. Daraus ergibt sich eher eine eigene Verantwortung der AHKs für die Verarbeitung der ihr überlassenen Daten als eine Form der Auftragsverarbeitung. Die Übermittlung der Daten der Beschäftigten durch das beauftragende Unternehmen erfolgt auf der Basis von Art. 6 Abs. 1 lit. f) DSGVO.

Hat der Interessent hierzu schon einige personenbezogene Daten übermittelt, z. B. telefonisch, können diese für das Erstellen bereits vorhandene Daten aufgenommen werden. Dies ist durch Art. 6 Abs. 1 lit b) DSGVO gedeckt, weil die AHK bestimmte Daten benötigt, um das (vor-)vertragliche Verhältnis zum potenziellen Kunden abzuwickeln. Eine Einwilligung ist in diesem Fällen nicht notwendig.

Die Nutzung von social media auf den Websites ist unter bestimmten Bedingungen datenschutzrechtlich zulässig. Notwendig dafür ist die sog. Zwei-Click-Lösung, d. h., dass nicht direkt mit dem Besuch der Homepage der AHK die Daten sofort an facebook usw. übermittelt werden (sog. iframe-Lösung). Das ist ohne die Einwilligung des Nutzers der Seite nicht zulässig. Daher dürfen social media nur per Linklösung auf den Seiten eingebunden werden.

Sehen Sie hierzu auch die Informationen in der To-do-Iste und der Datenschutzerklärung.

Die DSGVO verlangt ein Löschkonzept, weil personenbezogene Daten nur so lange verarbeitet werden dürfen, wie sie benötigt werden. Daher ist zunächst zu prüfen, ob es gesetzliche Grundlagen für die Aufbewahrung gibt (z. B. steuerrelevante Unterlage: 10 Jahre, handelsrechtlich relevante Unterlagen, zu denen auch Mail-Verkehr gehören kann, wenn es sich um Geschäftsbriefe handelt: 6 Jahre, relevante Unterlegen bei zuwendungsgeförderten Projekten: Projektende + 5 Jahre). Kommen keine rechtlich geregelten Fristen in Betracht, müssen eigene Fristen festgelegt werden. Hier kommt es auf eine nachvollziehbare Begründung an. Die Löschfristen müssen auch im Verarbeitungsverzeichnis genannt werden.

Werden Agenturen für Veranstaltungen eingeschaltet oder Webagenturen mit der Gestaltung der Website beauftragt – mit Zugriff z. B. auf die Daten der Besucher der Seiten - oder werden Dienstleistungen, bei denen personenbezogene Daten verarbeitet werden, in Auftrag gegeben, muss parallel immer eine Vereinbarung zur Auftragsverarbeitung geschlossen werden. Hierzu ist ein Muster vorhanden. Wichtig sind dabei die technisch-organisatorischen Maßnahmen (toMs), die die Zuverlässigkeit des Dienstleisters belegen sollen. Daher müssen die toMs vor Abschluss des eigentlichen Vertrags vorliegen, damit ein Vertrag mit einem zuverlässigen (IT-)Dienstleister geschlossen wird.

Diese Frage wird noch geklärt. Da die AHK Verantwortlicher nach Art. 33 DSGVIO ist, muss sie melden. Das von den Aufsichtsbehörden angekündigte Onlinetool für die Meldung ist noch nicht verfügbar.

Die AHKs müssen sowohl auf die datenschutzrechtlichen Regelungen ihres Sitzlandes als auch auf die der DSGVO verweisen. Dabei kann auf die englische – ausschlaggebende – Version (GDPR) oder die deutsche Fassung verwiesen werden. Allerdings sollte der Verweis auf die GDPR/DSGV mit einem Begleittext versehen werden. (Textvorschlag: Die DSGVO gilt ab 25.05.2018 auch für die AHKs außerhalb des Europäischen Wirtschaftsraums, weil sie sich mit ihrem Dienstleistungsangebot an Personen wenden, die sich in der EU aufhalten).

Das Unternehmen hat seinen Sitz in Irland und muss sich daher an die DSGVO halten. Eine Umfrage unter Mitgliedern zur Qualität der Betreuung und des Service-Angebots bedarf keiner Einwilligung, müsste dann aber in der Information angegeben werden.

Soll sich die Umfrage an Dritte richten und werden dabei personenbezogene Daten verarbeitet, müssen Informationspflichten dazu formuliert werden und die Einwilligung zur Durchführung und Auswertung der Umfrage eingeholt werden. Zu prüfen ist stets, ob eine Umfrage tatsächlich die Verwendung personenbezogener Daten benötigt oder ob sie auch anonymisiert durchgeführt werden kann. Der DIHK arbeitet mit Netigate zusammen (www.netigate.net).

Microsoft bietet eine deutsche Cloud an, die aber nicht alle Anwendungen zur Verfügung stellt. Sie ist besonders sicher, weil sie als Treuhänderin die Deutschen Telekom hat. Die MS-Cloud in Irland unterliegt ebenfalls europäischem Datenschutzrecht. Bei anderen Clouds, die in den USA liegen, muss geprüft werden, ob sie der Privacy-Shield-Vereinbarung zwischen der EU und den USA unterfallen.

WhatsApp liest die Daten aus dem mobilen Gerät aus. Sollten also Kommunikationsdaten Dritter auf dem mobilen Gerät sein, findet eine Übermittlung dieser Daten an WhatsApp statt, ohne dass der Dritte eingewilligt hat. Daher sollten nur Geräte für die Kommunikation mit WhatsApp genutzt werden, die keine Kommunikationsdaten Dritter enthalten.

  Nein, dafür gibt es keine Verpflichtung in der DSGVO.