Gut ein Jahr vor dem Start der Datenschutz-Grundverordnung (DSGVO) sollten Sie wissen, unter welchen grundlegenden Voraussetzungen die DSGVO gilt. In zwei Teilen soll deshalb zunächst der sachliche und später auch der räumliche Anwendungsbereich der DSGVO dargestellt werden.
Der Inhalt im Überblick
Sachlicher Anwendungsbereich nach Art. 2 DSGVO
Ausgangspunkt für die Bestimmung des sachlichen Anwendungsbereichs ist Art. 2 Abs. 1 DSGVO:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.
Grundsatz: Weiter sachlicher Anwendungsbereich zwingt zur Vorsicht
Nach Art. 2 Abs. 1 DSGVO kommt es darauf an, ob personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden oder ob bei einer nichtautomatisierten Verarbeitung eine Speicherung in einem Dateisystem erfolgen (soll). Hierzu ist es erforderlich, grundlegende Begriffe zu kennen. Dabei hilft Art. 4 DSGVO.
Wesentlich sind folgende Begriffe:
Personenbezogene Daten
Soweit keine personenbezogenen Daten betroffen sind, ist die Datenschutz-Grundverordnung nicht anzuwenden. Der Begriff der personenbezogenen Daten ist allerdings sehr weit gefasst (Art. 4 Nr. 1 DSGVO) und umfasst beispielsweise Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder aber auch die IP-Adresse einer Person. Ausreichend ist es, wenn die Informationen einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.
Automatisierte und nicht automatisierte Verarbeitung
Die DSGVO bezieht schließlich jede automatisierte Verarbeitung und jede nichtautomatisierte Verarbeitung bei Speicherung in einem Dateisystem mit ein.
Bei einer automatisierten Verarbeitung werden beispielsweise Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer erfasst. Jede Benutzung von Computer, Internet, E-Mail kann also zur Anwendbarkeit der Datenschutz-Grundverordnung führen, wenn personenbezogene Daten betroffen sind.
Eine nichtautomatisierte Verarbeitung liegt insbesondere bei handschriftlichen Aufzeichnungen vor.
Ein Dateisystem ist nach Art. 4 Nr. 6 DSGVO
„(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“.
Dass insbesondere bei handschriftlichen Aufzeichnungen noch ein weiter Anwendungsbereich der DSGVO angestrebt wurde, verdeutlicht die Formulierung „gespeichert werden sollen“ in Art. 2 Abs. 1 DSGVO. Hierbei reicht bereits die Absicht aus, dass personenbezogene Daten in ein Dateisystem aufgenommen werden. Wer etwa eine Aktenverwaltung plant, muss künftig vorsichtig sein.
Verarbeitung
Auch der Begriff der Verarbeitung wird definiert. Die Verarbeitung umfasst nach Art. 4 Nr. 2 DSGVO dabei
(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Wenige Ausnahmen außerhalb des privaten und familiären Lebensbereichs
Nach Art. 2 Abs. 2 DSGVO findet die Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten, wenn
- die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt,
- im Rahmen von Tätigkeiten durch die Mitgliedstaaten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
- natürliche Personen ausschließlich persönliche oder familiäre Tätigkeiten ausüben oder
- die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit tätig werden – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.
Interessant ist, dass die Datenschutz-Grundverordnung nur wenige Ausnahmen zulässt. Unter den Ausnahmen ist regelmäßig nur diejenige interessant, die den privaten und familiären Lebensbereich ausnimmt. Hierunter fällt beispielsweise privater Schriftverkehr, ein privates Anschriftenverzeichnis oder die private Nutzung sozialer Netze und private Online-Tätigkeiten (vgl. Erwägungsgrund 18).
Etwas komplizierter ist darüber hinaus auch das Verhältnis zur sog. ePrivacy-Richtlinie zum Schutz der Vertraulichkeit und der Privatsphäre im Bereich der elektronischen Kommunikation (RL 2002/58/EG, vgl. auch §§ 91 ff. TKG) ausgestaltet, das von Artikel 95 DSGVO normiert wird.
Sonderbereiche
In Art. 2 Abs. 3 DSGVO wird die Datenverarbeitung durch Organe und Einrichtungen der Union geregelt, für die weiterhin die VO (EG) Nr. 45/2001 gilt.
Das Verhältnis zur Richtlinie über den elektronischen Geschäftsverkehr (sog. E-Commerce-Richtlinie, Richtlinie 2000/31/EG) bestimmt Art. 2 Abs. 4 DSGVO für die Verantwortlichkeit von Vermittlern, beispielsweise bei der reinen Durchleitung, beim Caching oder beim Hosting (vgl. §§ 7 ff. TMG).
Teilweise ist jedoch eine Überprüfung der rechtlichen Vorgaben des Datenschutzes durch die Kommission vorgesehen, um einen einheitlichen und kohärenten Datenschutz sicherzustellen (vgl. Art. 98 DSGVO).
Aufhebung der Datenschutzrichtlinie
Schließlich ist noch zu erwähnen, dass die Datenschutzrichtlinie 95/46/EG zum 25.05.2018 aufgehoben wird. Verweise auf die Datenschutzrichtlinie sowie entsprechende Verweise durch die Art. 29-Datenschutzgruppe gelten dann als Verweise auf die Datenschutz-Grundverordnung (vgl. Art. 94 DSGVO).
Sind auch freie Träger der Jugendhilfe (SGB VIII) in den Anwendungsbereiche der DSGVO einbezogen? Wenn ja: gelten sie auch als Unternehmer iSd DSGVO?
Für freie Träger der Jugendhilfe wird es -wie bisher- wohl bei einem vielschichtigem Regelungskomplex insbesondere auf Basis des SGB X und des BDSG bleiben.
Die Unterscheidung in automatisiert und nichtautomatisiert spielt u.a. bei der Löschpflicht gemäß §35 BDSG-neu eine Rollen. Wir wäre folgendes Praxisbeispiel einzustufen:
Angebote an Privatkunden werden manuell in Word erstellt, ausgedruckt und als Brief versendet. Kopien werden nicht aufbewahrt, aber die Word-Dateien werden auf dem Abteilungslaufwerk abgespeichert, und befinden sich dort auch noch Jahre nach dem Brief-Versand. Der Dateiname besteht jeweils aus einer fortlaufenden Nummer (Angebotsnummer) und dem Kundennamen. Handelt es sich
(a) bei der Aufbewahrung als Word-*Datei* auf einem Laufwerk um eine nicht-automatisierte Verarbeitung in einem *Datei*system? Immerhin ist das Laufwerk ja in Form eines Dateisystems (englisch: file system) strukturiert.
(b) oder gilt eine Word-Datei per se als automatisiert, da sowohl der Erfassungs-Vorgang mit Hilfe einer Datenverarbeitungsanlage erfolgt (MS Word), als auch der Speichervorgang (Windows)?
Vielen Dank für Ihre interessanten Fragen.
Ein Dateisystem ist zunächst „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“.
Diese Definition entspricht auch der bisherigen Definition der „Datei“, wie sie noch in Art. 2 lit. c DSRL verwendet wird.
Dabei stellt die Verarbeitung mithilfe einer Word-Datei eine automatisierte Verarbeitung dar.
Eine nicht automatisierte Verarbeitung personenbezogener Daten liegt beispielsweise vor, wenn Sie die Word-Datei ausdrucken würden, d.h. ohne Hilfe eines Computers; Notebooks etc. verarbeiten würden.
Für den Begriff „Dateisystem“ wird es nach der DSGVO letztlich keine Rolle spielen, ob es sich um eine „automatisierte“ oder eine „nicht automatisierte“ Datei handelt, sodass es sich in Ihrem Beispiel letztlich um ein Dateisystem handeln wird.
Hallo Dr. Datenschutz, danke für die Antwort.
Eine Unterscheidung zwischen „automatisiert“ und „nicht automatisierte Datei“ mag zwar in der DSGVO keinen Unterschied machen, allerdings gewährt das neue BDSG-neu §35 eine Ausnahme von den Löschpflichten. Diese Erleichterung gilt allerdings nur für die „nicht automatisierte Datei“.
Ich entnehme dem abschließend Satz in Ihrer Mitteilung vom 09.08.2017, dass Sie die Aufbewahrung von Word-Dateien auf einem Abteilungslaufwerk als „nicht-automatisiert Verarbeitung in einem Dateisystem“ einstufen, so dass gemäß § 35 BDSG-neu eine Löschung unter bestimmten Umständen unterbleiben kann. Habe ich Sie insofern korrekt verstanden?
Es handelt sich dabei um eine automatisierte Verarbeitung.
Sind Praxen niedergelassener Psychotherapeuten davon auch betroffen? Meist sind dies 1-Personen Betriebe ohne weitere Mitarbeiter.
Allerdings sind die Daten, mit denen diese umgehen, besonders sensible Gesundheitsdaten.
Ja, eine Anwendung von verschiedensten Bestimmungen der DSGVO kann sich auch hier durch zahlreiche Fallgestaltungen ergeben.
Sind auch eingetragene, gemeinnützige Vereine betroffen??
Ja, auch hier kann sich eine Anwendung von verschiedensten Bestimmungen der DSGVO durch zahlreiche Fallgestaltungen ergeben. Hilfestellungen finden Sie in diesem Blog und auch hier:
http://www.beck-shop.de/Erste-Hilfe-Datenschutz-Grundverordnung-Unternehmen-Vereine/productview.aspx?product=21443886
Ich bin mir nicht sicher ob diese DSGVO auch für unsere Firma zutrifft. Wir sind ein kleines Transportunternehmen mein Mann fährt und ich bin im Büro tätig. Rechnungen schreibe ich an die Firmen nicht an einzelne Personen.
Die DSGVO dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Dies ergibt sich aus Art. 1 DSGVO. Unter personenbezogene Daten fällt bspw. auch der Name Ihres Ansprechpartners. Sobald Sie also personenbezogene Daten automatisiert verarbeiten, gilt die DSGVO. Sie gilt auch, wenn Sie die Daten nicht-automatisiert verarbeiten, sie aber in einem Dateisystem gespeichert werden. Ein Dateisystem liegt bereits vor, wenn Sie die Daten in einer strukturierten Art und Weise speichern.
Ab welcher Größen Ordnung muss ein Datenschutzbeauftragter bestellt werden. Welche Kriterien sind hier für vorgegeben. Ich finde diese Stelle nicht in der Literatur.
Näheres zu den Vorgaben der DSGVO und des BDSG-neu: https://www.dr-datenschutz.de/datenschutzbeauftragter-und-das-neue-bdsg-weiterhin-verpflichtend/
Wo finde ich Informationen, was ich nun genau TUN muss? Ich bin Freiberufler und habe nur Daten von Kunden (Name, Adresse, E-Mail, Webseite), die ich für die Aufträge brauche. Gespeichert ist das nur auf den Rechnungen, und im E-Mailprogramm, oder auch auf Schriftstücken des Kunden selbst auf meinem Computer und eigenem Server. Was ist mit IP Adressen der Besucher meiner Webseite? Ich finde mich in der Masse an PDF mit Amtsdeutsch beim besten Willen nicht durch. Es ist mir nicht klar, was ich konkret erstellen / tun muss. Vielleicht können Sie, stellvertretend für viele Freiberufler, weiterhelfen?
Vielen Dank für Ihre Frage, die sich sicherlich viele Freiberufler stellen.
Zunächst hilft Ihnen dieser Blog. Ein guter Einstieg ist hier zum Datenschutzmanagement zu erhalten, den Sie hier finden:
Datenschutzmanagement nach der DSGVO – Leitfaden für die Praxis
Darüber hinaus finden Sie gute und einfach verständliche Hinweise von der Datenschutzaufsichtsbehörde aus Bayern:
Buch: Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine
Handreichungen für kleine Unternehmen und Vereine
Wann sind welche Datenschutzgesetze anzuwenden.
Es gibt die DSGVO und das neue BDSG und dazu die LDSG.
Gerade die Diskussion zum Thema RF-Beitrag und Datenschutz stellt hier ein Beispiel dar, dass es nicht einfach ist, was denn nun wie anzuwenden ist und was wann verbindlich gilt.
Es gibt hier die Landesrundfunkanstalten z.B. SWR = BW und RLP
Der SWR muss seinen eigenen Datenschutzbeauftragten stellen. Dann gibt es die LDSG. Die Daten welche die RF-Anstalten beim Beitragservice in Köln Bundeseinheitlich verwalten werden nach dem BMG erfasst und verarbeitet und somit Bundesrecht (BDSG da aber EDV-Verarbeitet DSGVO). Somit würde hier das BDSG zur Anwendung kommen müssen.
Nun ist aber RF-Recht = Landesrecht. Der RBStV. ist zwar von den jeweiligen Länderparlamenten zugestimmt worden, aber die Anwendung erfolgt Bundesweit einheitlich.
Nun stellt sich die Frage für den Bürger woran bin ich eigentlich mit meinen Daten. Die RF-Anstalten sind im Wettbewerb stehende Unternehmen und keine Behörden. Trotzdem die RF-Anstalten behaupten, Sie dürfen die Daten der Bürger zur hoheitlichen Aufgabe, des Einzuges der RF-Beiträge verwenden. Auf der Seite der DSGVO hat jeder Bürger das Recht zu bestimmen, wem und welchem Unternehmen er seine Daten in welchem Umfang zur Verarbeitung freigibt oder einschränkt. Nur bei meinen persönlichen Daten die auf Grund des BMG in den Gemeindeverwaltungen erfasst werden, habe ich keine Möglichkeit die Weitergabe und Einschränkung meiner Daten an die RF-Unternehmen vorzunehmen.
Richtig, die Weitergabe durch die Meldehörden ist mit Blick auf die Rundunkbeiträge grundsätzlich möglich. Gleichwohl haben die Beteiligten die datenschutzrechtlichen Bestimmungen zu beachten.
Wir besitzen einen Lieferservice, der Lebensmittel zu Kunden bringt. Wir beschäftigen Fahrer und Packer. Müssen diese Personen dazugezählt werden, wenn es darum geht ob 10 Personen mit personenbezogenen Daten arbeiten?`Außerdem läuft das ganze über einen Online-Shop. D.h. wir arbeiten mit einem Auftragsdatenverarbeiter zusammen. Müssen wir dann einen Datenschutzbeauftragten stellen oder reicht ein Vertrag mit diesem? Vielen Dank für Ihre Antwort.
Vielen Dank für Ihre Frage. Erste Informationen zum Datenschutzbeauftragten und dem BDSG-neu im Zusammenhang mit der Mitarbeiterzahl finden Sie in unserem Beitrag hier: https://www.dr-datenschutz.de/datenschutzbeauftragter-und-das-neue-bdsg-weiterhin-verpflichtend/. Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der DS-GVO benennen danach der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Die Pflicht zur Benennung eines DSB ist unabhängig von der Pflicht, mit einem Auftragsverarbeiter eine Vereinbarung zur Auftragsverarbeitung zu schließen. Ob eine Pflicht zur Benennung eines DSB besteht, sollten Sie an Ihrem konkreten Fall prüfen lassen
Wir sind ein Betrieb mit 2 Mitarbeitern, 1 im Büro 1 in der Fertigung. Unsere Kunden werden in einem Programm namens lexware gespeichert und verarbeitet. Worauf müssen wir bei der neuen Datenschutzverordnung achten ?
Vielen Dank für Ihre Frage.
Eine Verarbeitung personenbezogener Daten kann auf vielfältige Art und Weise erfolgen, nicht nur bei Einsatz von lexware. Einen ersten guten Überblick finden Sie in unserem Blog unter:
https://www.dr-datenschutz.de/datenschutzmanagement-nach-der-dsgvo-leitfaden-fuer-die-praxis/
Weitere Informationen, insbesondere für kleinere Unternehmen, finden Sie auch direkt bei einer Aufsichtsbehörde:
https://www.lda.bayern.de/de/kleine-unternehmen.html.
Sind von der DSGVO auch die Blogger betroffen, die lediglich ihre kreativen Projekte vorstellen und auf diese Weise mit Gleichgesinnten kommunizieren, weder Produkte etc. bewerben noch in irgendeiner Weise damit Geld verdienen?
Was muss man als einfache Blogger beachten?
Ein pragmatischer Anhaltspunkt ist meines Erachtens folgende Frage: Könnten Sie rein theoretisch, z.B. durch Schaltung von Werbung, mit Ihrem Blog mindestens kostendeckende Einnahmen erzielen, oder erzielen Sie bereits tatsächlich Einnahmen (egal ob kostendeckend oder nicht)? Wenn ja, dann haben Sie definitiv den Bereich einer rein persönlichen bzw. familiäre Sache überschritten. Je näher Sie in diesen Bereich kommen, desto eher sollten Sie die DSGVO einhalten. Wenn Ihr Blog hingegen nur von Ihnen und 20 Ihrer Bekannten gelesen wird, werden Sie wohl in der Praxis nichts zu befürchten haben, auch wenn man sicherlich argumentieren könnte, dass ein öffentliches Blog mit unbestimmtem Empfängerkreis schon vom Prinzip her keinen rein persönlichen bzw. familiären Charakter mehr haben kann. Wenn Sie es also ohne Einhaltung der DSGVO unbedingt rechtssicher machen wollen, dann machen Sie Ihr Blog komplett nichtöffentlich (also nichtmal einen Hinweis dass da überhaupt ein Blog ist, worum es darin geht, oder wo man Sie kontaktieren kann) und schalten Sie den Zugriff nur für Personen frei, mit denen Sie schonmal völlig unabhängig von Ihrem Blog persönlichen Kontakt hatten.
Das würde mich auch interessieren. Ich dachte bisher, dass für mich Art. 2 Absatz 2c gilt, werde aber jetzt doch wieder unsicher.
Ich blogge über WordPress und dachte nun, ich schaue mir mal deren Verbesserungen an, die bei der Erstellung einer Datenschutzerklärung helfen sollen. Nur um festzustellen, dass ich diese Auswahl gar nicht habe. Liegt das vielleicht daran, dass ich die kostenlosse WordPress-Seite nutze und daher keine eigene Domain habe? Ist dann statt mir WordPress verantwortlich? Kann ich das nun entsprechend irgendwo irgendwie erwähnen? Wie?
Verantwortlicher sind Sie selbst, WordPress ist lediglich Ihr Auftragsverarbeiter. Die DSGVO lässt sich genauso wie andere Gesetze nicht mit einem Disclaimergenerator einhalten. Kernpunkt ist, dass Sie ein individuelles Datenverarbeitungsverzeichnis erstellen müssen. Teile davon müssen Sie dann in der Datenschutzerklärung veröffentlichen. Daher ist die Erstellung des Verzeichnisses Voraussetzung für eine DSGVO-konforme Datenschutzerklärung. Sie unterliegen mit der DSGVO einer umfassenden Rechenschaftspflicht, von der das Verzeichnis ein Teil ist. Sie müssen per Dokumentation nachweisen, dass und wie Sie die DSGVO im Detail einhalten. Sie sind schon nicht frei in der Auswahl Ihres Blog-Anbieters. Sie müssen nachweisen, dass Sie WordPress überhaupt wählen dürfen, wenn Sie es einsetzen wollen. Dazu ist der Stand der Technik bei Blogging hinsichtlich technischem Datenschutz festzustellen und zu dokumentieren, warum WordPress diesen erfüllt bzw. warum eine Abweichung gerechtfertigt ist. Die DSGVO ist ganz grausam: Sie müssen als Ein-Mann-Blogger letztlich die gleichen Anforderungen erfüllen wie ein DAX-Unternehmen. Das ist jedoch faktisch nicht möglich. Ich sage es daher mal ganz deutlich: Die DSGVO sagt zwischen den Zeilen, dass nur noch professionelle Unternehmen, die echten Datenschutz technisch und organisatorisch sicherstellen können, erwünscht sind. Hobbyisten bzw. Amateure sollen soziale Netze von professionellen Anbietern für ihre Aktivitäten nutzen (Erwägungsgrund 18) und kein selbstverwaltetes Blog bzw. keine selbstbetriebene Webseite mehr, damit der Betreiber des sozialen Netzes ein als „großer Bruder“ das ganze datenschutzmäßig überwacht.
Wir sind Privatvermieter einer Ferienwohnung und haben auf unserer Homepage ein sog. Kontaktformular. Dort – und nur dort – werden Daten abgefragt, die wir für die Abgabe eines Angebotes benötigen.
Welche Daten darf ich da abfragen ohne dass ich unter die neue Regelung falle (ein Gewerbe ist nicht angemeldet)?
Die Datenschutz-Grundverordnung (DSGVO) gilt für alle personenbezogenen Daten. „Personenbezogene Daten“ sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Es ist davon auszugehen, dass im Kontaktformular personenbeziehbare Daten abgefragt werden (diese benötigen Sie zur Vertragserfüllung), so dass die DSGVO anwendbar ist.
Gerade fällt mir auf, dass ein häufiges Ereignis in der qualitativen Marktforschung lustigerweise nicht in den sachlichen Anwendungsbereich der DSGVO fällt: Der Teilnehmer wird im Interviewraum interviewt, dahinter schauen durch den Einwegspiegel Mitarbeiter des Auftraggebers zu Qualitätskontrollzwecken zu, ohne sich jetzt oder später Notizen zu machen. Naja, immerhin greifen da noch die Marktforschungsrichtlinien und das Recht am eigenen Bild, so dass dem Teilnehmer natürlich gesagt wird, dass der Auftraggeber zuschaut…
Ich brauche ihre Hilfe.
Ich habe eine kleine Änderungsschneiderei mit mir als Chefin und einer Mitarbeiterin. Kundenaufträge werden handschriftlich mit Name und Anschrift in Ausfertigung für den Kunden und für uns, für den Auftrag gefertigt, da die Bearbeitung ohne Vorkasse erfolgt. Bei Abholung wird vom Kunden bezahlt und die Auftragszettel werden geschreddert ,da die Bezahlung über eine elektronische Kasse erfolgt. Ich lege keine Kundendateien an. Was muss ich beachten ?
Danke im Vorraus
Sie müssen die DSGVO genauso einhalten wie Großkonzerne. Ihre Zettelwirtschaft ist im DSGVO-Jargon eine „nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem“ (Und zwar schon vom Prinzip her, da Sie ja den zum individuellen Kunden passenden Zettel bei Abholung schnell wiederfinden können müssen), und für so etwas gilt die DSGVO auch. Desweiteren haben Sie eine Mitarbeiterin und verarbeiten daher notwendigerweise ihre Daten, z.B. für Gehaltszahlung, Abgaben, Personalakte (und wenn diese nur aus Ihrer Ausfertigung des Arbeitsvertrags besteht), usw. Erfasst Ihre Kasse, ob gerade Sie kassieren oder Ihre Mitarbeiterin? Dann ist auch dies DSGVO-relevant. Es gibt sicherlich noch weitere Abläufe wo bei Ihnen Daten anfallen, typisch wäre z.B. eine Kartei von persönlichen Ansprechpartner bei Lieferanten für Stoffe u.ä. Beachten Sie, dass die sofortige Vernichtung Ihrer handschriftlichen Auftragszettel möglicherweise die Grundsätze ordnungsgemäßer Buchführung verletzt.
Grundsätzlich ist das Datenschutzrecht und damit die DSGVO und das BDSG-neu auch für Sie zu beachten. Dies gilt insbesondere auch mit Blick auf den Umgang mit Beschäftigtendaten. Grundsätzlich finden Sie nähere Informationen zur DSGVO in unserem Blog (EU-Datenschutz-Grundverordnung: Das müssen Sie wissen). Für kleinere Unternehmen bietet auch das BayLDA sehr nützliche Hilfestellungen, die Sie hier finden: https://www.lda.bayern.de/de/kleine-unternehmen.html.
Sind studentische Gruppen auch betroffen?
Ja; nur persönliche und familiäre Belange sind ausgenommen und eine studentische Gruppe ist keine solche.
An wen kann ich mich wenden, wenn mir – mich selbst betreffende – Verstöße gegen die Verordnung bekannt werden? Beispiel: Mein Nachbar notiert sich aus Neugier Dinge, die sich an der Grundstücksgrenze abspielen und nach seiner Ansicht unrechtmäßig sind, die er dann nötigenfalls vor Gericht verwenden will.
Was Sie beschreiben ist überhaupt kein Verstoß gegen die DSGVO. Sie gilt nicht für persönliche Angelegenheiten, und selbst wenn das so wäre, dann könnte er sich völlig problemlos auf ein berechtigtes Interesse (sogar ein zwingendes berechtigtes Interesse) berufen, nämlich die Notwendigkeit zur Durchsetzung seiner Rechte.
Ich nutze handschriftlich erfassten Adressen ausschließlich dafür, um ein Mal im Jahr eine Information/Einladung zu versenden, und habe dafür eine Excel-Tabelle eingerichtet damit ich nicht jedes Jahr die Briefumschläge handschriftlich adressieren muß. Muss ich jetzt von jedem einzelnen eine Einverständniserklärung zur Nutzung der Daten für diesen Zweck einholen? Müssen bei Eheleuten beide einwilligen?
Und ich benötige ein Textvorschlag für eine Internetseite die von einer Stiftung betrieben wird. Da gibt es eine Mailfunktion für die Kontaktaufnahme.
Wäre schön eine Antwort zu erhalten. Vielen Dank
Grundsätzlich ist postalische Werbung auch ohne Einwilligung möglich. Einen Textvorschlag –etwa für die Datenschutzerklärung– können wir Ihnen im Rahmen der Kommentarfunktion leider nicht zur Verfügung stellen
Ich bin eine Einzelfirma und kaufe meine Produkte direkt bei dem Hersteller unter meinem Namen ein und verkaufe die Produkte im Direktvertrieb an meine Kunden weiter. Die Kaufverträge werden direkt beim Kunden ausgefüllt. Ich überbringe die Ware persönlich nach erfolgter Vorauszahlung oder in bar vor Ort mit dementsprechender Rechnung. Die benötigten Daten (Name, Anschrift, Telefonnr.) benötige ich nur für den Auftrag und die Rechnung und werden nicht an Andere weitergeleitet. Was muss ich nach der DSGVO beachten ? Besten Dank für Ihre Antwort im Voraus.
Der Wassermann am 15.06.2018
Informationen finden Sie in unserem Blog oder durch die Aufsichtsbehörden, wie etwa dem BayLDA: https://www.lda.bayern.de/de/kleine-unternehmen.html
Ein Dienstleistungsunternehmen hat meine noch unveröffentlichte wissenschaftl. Arbeit, die ich ihm im Rahmen einer technischen Supportanfrage Mitte Mai zur Verfügung gestellt habe, entgegen meiner Aufforderung zur anschließenden Löschung aufgrund einer Schnittstellen-Problematik bei seiner technischen Datenverarbeitung über Google zum Download angeboten. Dies ist mir 3 Wochen später (Anfang Juni) von einer Internetnutzerin gemeldet worden. In der Arbeit sind personenbezogene Daten von mir enthalten (v.a. mein Name, mein Kurz-CV, Angaben zu meinen Familienmitgliedern und Freunden, meine Verbindung zu weiteren Personen aus der wissenschaftlichen Fachwelt). Mir ist dadurch ein immaterieller Schaden entstanden. Lässt sich hier auf Basis der neuen DSGVO ein Schadensersatzanspruch begründen?
Leider sind wir nicht befugt, Ihnen im Rahmen dieses Blogs eine Rechtsberatung zukommen zu lassen. Bitte wenden Sie sich an einen fachkundigen Rechtsanwalt.
Hallo zusammen, ich habe eine Frage zum Thema DGSVO. Ist es rechtens, wenn ein eingetragener Verein mittels WhatsApp Termine / Informationen / Abfragen von Anwesenheit bei geplanten Veranstaltungen an die Mitglieder in einer Gruppe schreibt ? Oder der Vorstand unter Sich über WhatsApp wichtige Termine / Informationen in einer einzelnen Gruppe austauscht. Kollidiert dies mit dem neuen Gesetzt? Wenn ja, wie kann ich dagegen wirken. Über eine Info würde ich mich sehr freuen.
Der Einsatz von WhatsApp wird häufig –mittlerweile auch im Vereinsumfeld– kritisch gesehen. Hintergrund hierfür ist insbesondere, dass Kontaktdaten an WhatsApp weitergegeben werden. Sofern der Verein als Verantwortlicher in Betracht kommt, kann ein datenschutzrechtlich kritischer Einsatz von WhatsApp auch dazu führen, dass WhatsApp nicht weiter genutzt werden sollte – zumindest bis eine datenschutzkonforme Nutzung möglich ist.
Papier-/Dokumentenarchive: Die DSGVO spricht von Dateisystemen. „Dateisystem“ ist dabei jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird. Sind „Papierarchive“ (Dokumentenarchive) von der DSGVO auch dann betroffen, wenn die Ablage nicht nach Personenname, sondern in einem übergeordneten Vorgang erfolgt (hier: ausbildungsbezogen) – ein direktes Auffinden der Personendaten also nicht möglich ist ohne Hintergrundinformationen?
Vielen Dank für die interessante Frage. Um eine Antwort geben zu können, wäre es gut, wenn Sie uns noch nähere Erläuterungen zukommen lassen könnten.
Ich verstehe das nicht! Wir stellen Bierkrüge mit Bild, Name und Vorname und Geburtsdatum her, die unserer Kunden im Familienkreis anlässlich Jubiläen verschenken. Nromalerweise dachten wir, dies ist künftig nur mit Einwilligung des Jubilars erlaubt bzw. wir müssen den vorher informieren. In beiden Fällen wäre die Geburtstagsüberraschung aber futsch und ebenso diese Aufträge in Zukunft. Die Landesdatenschtuzbehörde aber antwortete uns nun: „Der Kunde übergiebt Ihnen Vor- und Nachnamen und ggf. ein Foto des Jubilars. Damit produzieren Sie z. B. einen Geburtstagsbierkrug und dieser wird dem Kunden übergeben. Diese Handlungen stellen keine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar und folglich fallen diese Handlungen nicht unter den Anwendungsbereich der DSGVO.“ Dabei erheben und speichern wir diese Daten … Ich verstehe es nicht und bin jetzt total verwirrt, aber natürlich glücklich, dass das Geschäft nicht leiden muss.
Der Artikel klärt eine wesentliche Frage nicht:
Es wird erwähnt und aus der DSGVO zitiert: …findet keine Anwendung, wenn „die Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt“.
ausführlich heißt es in der DSGVO Art 2: „Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
…“
Art. 2 bezieht sich auf den sachlichen Anwendungsbereich ders DSGVO. der räumliche Geltungsbereich ist in Art. 3 geregelt.
unter diesen Voraussetzungen ergibt sich die Lesart, daß
alle Tätigkeiten, die nicht einheitlich unionsweit durch das Unionsrecht geregelt sind, d.h. die somit nicht in den Anwendungsbereich des Unoinsrechts fallen AUSGENOMMEN (von der DSGVO) sind.
d.h. die Lesart ergibt:
Vereinstätigkeit nach deutschem Vereinsrecht fällt nicht unter Unionsrecht – die DSGVO ist also nicht anzuwenden, Bundesdatenschutzgesetz ebenfalls nicht, da es sich direkt im Sachlichen Geltungsbereich auf die DSGVO bezieht…
genau so z.B.
Tätigkeit nach Vorgaben des Handwerksregisters – deutsches Recht, nicht Unionsrecht
Tätigkeit nach HOAI — Bundesrecht, nicht Unionsrecht
usw.usf.
Wo liegt der Denkfehler?
Ich bin für eine Antwort dankbar, beim Landesdatenschutzbeauftraten warte ich schon seit 4 Wochen auf eine Aufklärung
Vereine fallen grundsätzlich in den Anwendungsbereich der DSGVO. Es geht im Art. 2 Abs. 2 a) DSGVO nicht um die Frage, ob eine Tätigkeit einheitlich unionsweit geregelt wurde, sondern ob der EU-Gesetzgeber für diese Tätigkeit eine Gesetzgebungskompetenz hat. Diese Kompetenz ist relativ weit (vgl. Art. 4 und 6 AEUV), sodass sich für den privatwirtschaftlichen Bereich durch diese Norm keine Änderungen ergeben. Hintergrund zu dieser Regelung im Rahmen des Gesetzgebungsprozesses war der Wunsch, dass die Verarbeitung von personenbezogenen Daten zum Schutz der nationale Sicherheit (alleinige Verantwortung der Mitgliedsstaaten gem. Art. 4 Abs. 2 Satz 3 EUV) von der DSGVO ausgenommen wird.
Ich bin Elternbeirat in unserem Kindergarten. Der Elternbeirat hat von allen Eltern personenbezogene Daten (Name, E-Mail etc) gespeichert und kommuniziert regelmäßig per E-Mail oder WhatsApp mit den Eltern. Fällt das noch unter private Nutzung als natürliche Person und ist somit von der DSGVO nicht betroffen?
Der Elternbeirat als solcher hat keine Rechtsform, Verein oder sonstiges.
Auch die Elternbeiräte der Kindertagesbetreuungsstätten dürften von der DSGVO betroffen sein. Die Nutzung personenbezogener Daten durch den Elternbeirat dürfte insbesondere nicht mehr der eng auszulegenden Ausnahme einer „rein persönlichen oder familiären Nutzung“ unterfallen. Grundsätzlich finden sich in den Kindertagesbetreuungsgesetze der Länder Regelungen dahingehend, dass der Elternbeirat die Erziehungsarbeit der Kinderbetreuungsstelle unterstützt und den Kontakt zum Elternhaus herstellt. Der Elternbeirat kann damit als Teil der Kinderbetreuungsstelle angesehen werden.
Fallen freiwillige Feuerwehren auch unter die DSGVO oder gilt bei denen der Art. 2 (2) d DSGVO? Und falls dieser nicht gilt, braucht die Feuerwehr dann eine eigene Datenschutzerklärung?
Die Vorschriften der DSGVO gelten auch für Vereine und damit auch für Freiwillige Feuerwehren. Hat die Freiwillige Feuerwehr eine eigene Website, muss sich auf dieser eine Datenschutzerklärung befinden.
Wir sind ein Unternehmen, das ausschließlich vertragliche Beziehungen zu anderen Unternehmen hat. Die Namen und Telefonnummern unserer Geschäftspartner sind in unserem Outlook-Adressbuch gespeichert. Darüber hinaus gehende Daten liegen nicht vor. Sind wir überhaupt von der DSGV betroffen?
Auch geschäftliche Kontaktdaten können personenbezogene Daten im Sinne der DSGVO sein, sobald eine natürliche Person durch die Daten identifizierbar wird (z.B. Zuordnung einer Telefonnummer, E-Mail Adresse und Arbeitgeber zu einem Namen). Auch werden die Daten durch Speicherung im Outlook-Adressbuch erhoben und gespeichert und somit „verarbeitet“ (Art. 4 Nr. 1 u. Nr. 2 DSGVO).
Ich bin z.Zt.in einer Reha Klinik und in einem Nebengebäude der Klinik untergebracht.
Zugang haben nur Patienten mit Schlüssel,allerdings werden die Flure alle Video überwacht.
Somit werde ich ja immer überwacht wenn ich komme oder gehe.
Ist das zulässig?
Bedauerlicherweise können wir im Rahmen unseres Blogs nicht auf konkrete Fälle antworten. In Ihrem Fall ist allerdings zu empfehlen, sich dazu zunächst mit dem Datenschutzbeauftragten der Reha-Klinik in Verbindung zu setzen.
Benötigt man als Gemeinde von allen Kameraden der Gemeindefeuerwehren eine Einverständniserklärung oder gilt diese mit Beitritt als erteilt?
Das müsste im Einzelfall geprüft werden. Wird etwa das Mitglied bei Eintritt in einer der DSGVO genügenden Weise über die Verarbeitung seiner Daten aufgeklärt und unterschreibt in Kenntnis dessen, könnte daraus unter Umständen eine Einwilligung abgeleitet werden. Für eine rechtsverbindliche Auskunft, sollte jedoch ein Anwalt konsultiert werden.
Darf eine Gemeinde in einem monatlich erscheinenden „Stadtjournal“ ohne meine Zustimmung meinen Geburtstag veröffentlichen?
Danke für Ihre Antwort, mit freundlichen Grüßen Margot Nerlich
Die Veröffentlichung eines Geburtsdatums stellt eine Verarbeitung personenbezogener Daten dar, für die es stets einer Rechtsgrundlage bedarf.
Die Ermittlung der konkreten Rechtsgrundlage ist stets von den Umständen des Einzelfalls abhängig. Gegebenenfalls könnte die Gemeinde ein berechtigtes Interesse an der Veröffentlichung haben. Dies würde jedoch voraussetzen, dass die betroffene Person vorab über die beabsichtigte Veröffentlichung informiert wurde – einschließlich der Umstände, die ein solches Interesse begründen. Zusätzlich wäre auf ein entsprechendes Widerspruchsrecht hinzuweisen gewesen.
Sofern kein berechtigtes Interesse vorliegt und auch keine weiteren Rechtsgrundlagen greifen, die sich aus dem speziellen Sachverhalt ergeben, wäre grundsätzlich stets eine Einwilligung einzuholen.
Mit diesem letzten Kommentar zum hiesigen Beitrag schließen wir hier den Kommentarbereich, um eine wachsende Unübersichtlichkeit und Überschneidung von Themen zu vermeiden.
Bitte beachten Sie unsere bisherigen Antworten auf die eingegangenen Kommentare.
Wir bedanken uns für die zahlreichen Beiträge.