Jetzt muss ich mal eine Lanze brechen für alle, die sich so viele Gedanken um die bevorstehende DSGVO machen. In vielen digitalen Foren und bei Präsenzveranstaltungen führt das Thema Datenschutzgrundverordnung immer wieder zum selben Ergebnis. PANIK! Jeder Unternehmer, vom Solopreneur bis zum Großunternehmer, jeder IT- und HR-Verantwortliche stellt sich die Frage, ob er der neuen Datenschutzgrundverordnung am 25.5.2018 gewachsen ist.
Seit Monaten dreht sich mein Arbeitsalltag um kaum ein anderes Thema als die DSGVO. Ich bereite meine Kunden auf das neue Gesetz vor und helfe bei Online Unternehmern und in Foren mit Praxistipps rund um die DSGVO und das neue Bundesdatenschutzgesetz (welches übrigens mit dem ganzen DSGVO Hype meistens vergessen wird).
Was fällt mir dabei auf und warum ich der Meinung bin, dass Sie die DSGVO problemlos meistern werden?
Inhaltsverzeichnis
Darum werden Sie die DSGVO meistern
1.Sie überlegen sich sehr detailliert, was in Ihrem Verfahrensverzeichnis stehen muss
Die Fragen zum Verfahrensverzeichnis überraschen mich sehr oft. Sie gehen fachlich sehr, sehr tief. Das allein spricht für Sie, dass Sie sich unglaublich viel Gedanken machen. Aus meiner Sicht manchmal vielleicht sogar zu viel. Klar soll das Verfahrensverzeichnis eine Übersicht über alle Verfahren in Ihrem (kleinen oder größeren) Unternehmen listen. An welchen Stellen verarbeiten Sie personenbezogene Daten? Aber was soll es nicht werden? Es soll keine zusätzliche Dokumentation von IT-Systemen werden.
Ziel des Verfahrensverzeichnisses
Beim Datenschutz handelt es sich um ein Verbot mit Erlaubnisvorbehalt. Das heißt, alles ist erst mal verboten, bis es explizit erlaubt ist. An dieser Stelle greift nun das Verfahrensverzeichnis.
Hier beschreiben Sie, warum Ihre Verfahren legal sind und unter welchen Aspekten der Betrieb des Verfahrens statt findet. Daher ist es so wichtig, dass Sie den Zweck gut beschreiben. Warum führen Sie ein bestimmtes Verfahren durch? Schreiben Sie zum Beispiel beim Newsletterversand nicht einfach „Newsletterversand“. Begründen Sie indes den Zweck Ihrer Mailings. WARUM machen Sie das? Weil Sie über aktuelle Angebote informieren und damit die Konversion erhöhen möchten oder weil Sie die Zugriffe auf Ihre Webseite / Ihren Blog erhöhen möchten? Dieser Grund muss gut beschrieben und schlüssig sein. Zudem beschreiben Sie im Verzeichnis noch, welche Daten von welcher Personengruppe erhoben bzw. verarbeitet werden.
Keine IT-Dokumentation
Nutzen Sie, wie beim Newsletterversand, einen externen Dienst? Dann ist es Aufgabe des Dienstleisters, im Vertrag die technischen Maßnahmen zu beschreiben.
Artikel 30 der DSGVO fordert für das Verfahrensverzeichnis eine „wenn möglich, allgemeine Beschreibung der techn. und organisatorischen Schutzmaßnahmen (TOMs)“.
Weniger ist manchmal – und speziell in diesem Fall – mehr!
2. Sie wissen, was eine Auftragsdatenverarbeitung ist und dass diese vertraglich geregelt werden muss
Im Rahmen Ihrer Erstellung des Verfahrensverzeichnisses haben Sie verschiedene Dienstleister identifiziert. Sie nutzen deren Services. Die Dienstleister verarbeiten also Daten für Sie im Auftrag. Daher sind es sogenannte Auftragsverarbeiter oder Auftragsdatenverarbeiter.
Sie müssen mit den Dienstleistern eine ADV (oder AV) abschließen – das wissen Sie bereits. Aber auch hier ist der Hauptaufwand auf Seiten des Dienstleisters. Er muss in diesem Vertrag beschreiben, wie das System geschützt ist. In der Regel haben die großen Dienstleister dafür Standardverträge, die Sie Ihnen zukommen lassen.
Ihre Aufgabe ist es, den Auftragsverarbeiter zu kontaktieren und nach einer ADV zu fragen. Behalten Sie die Übersicht, dass Sie von jedem Dienstleister einen unterzeichneten Vertrag erhalten haben!
3. Sie haben Ihre Onlinepräsenz im Blick
Ihr Aushängeschild in die ganze Welt und für viele die Plattform für das eigentliche Business. Egal ob Blog, Onlineshop oder Portal, es ist die zentrale Stelle, mit der Sie Geld verdienen. Funktionalität, Usability und aber natürlich auch die Anforderungen des Datenschutzes müssen passen.
Viele Fragen über den konformen Einsatz von Plugins und Widgets werden diskutiert. Achten Sie darauf, dass Sie Plugins von Anbietern verwenden, die transparent darstellen, was mit den Daten passiert. Prüfen Sie, ob sich der Software Hersteller dazu äußert, dass die Funktionen DSGVO bzw. GDPR konform sind.
Betreiben Sie Ihre Webseite nur mit einem SSL-Zertifikat. Aber natürlich ist es auch wichtig, dass Sie Ihre Datenschutzerklärung der Webseite aktualisieren und den neuen Anforderungen anpassen.
Sie sind sensibilisiert und achten darauf, welche Software Sie verwenden und welche Dienste Sie heranziehen. Im Zweifelsfall nachfragen und auch direkt den Anbieter kontaktieren. Damit decken Sie schon einen Großteil der Anforderungen ab.
4. Sie investieren Zeit, recherchieren und machen…
… und sind damit definitiv weiter als immer noch viele andere Unternehmen. Ob Sie’s glauben oder nicht. Es gibt immer noch Unternehmer, die noch nicht mal mitbekommen haben, dass sich am 25.05.18 ein paar gravierende Änderungen durchsetzen werden.
Denken Sie an sich! Was haben Sie schon alles gemacht, welche Vorbereitungen haben Sie getroffen. Vergleichen Sie einen Großkonzern nicht mit einem Kleinunternehmen. Machen Sie das, was für Ihre Unternehmensgröße angemessen ist. Machen Sie es gut, hohlen Sie sich Input, aber lassen Sie auch die Kirche im Dorf.
Natürlich bin ich kein Anwalt und Richter und weiß nicht, wie die Urteile fallen werden. Trotzdem habe ich schon viele Auditsituationen in über 10 Jahren Berufserfahrung mitgemacht. Wenn der Auditor etwas finden möchte, wird er immer etwas finden. Das Gesetz ist streng, hat aber auch seine weichen Faktoren. Gerade wie schon oben erwähnt im Punkt Verfahrensverzeichnis. „Wenn möglich, eine allg. Beschreibung….“.
Ich möchte Ihnen Mut und Zuversicht geben! Mit Panik und schlaflosen Nächten ist auch niemanden geholfen 🙂
Und übrigens, der 25.05.2018 ist auch nur ein Freitag 😀
Angst ist ein guter Verkäufer
So sehr es mich auch ärgert, aber die Realität ist leider so. Sehr viele Unternehmen schüren Ängste und machen Panik mit hohen Strafen der DSGVO.
Ich bin davon überzeugt, dass Sie keine Angst vor der DSGVO haben müssen!
Also, lassen Sie sich nicht verunsichern!
5. Sie haben die Datenbeschützerin für Fragen an Ihrer Seite
Und natürlich ein unschlagbarer Punkt: Greifen Sie auf meine Erfahrung und Dienstleistung zurück. Schreiben Sie Ihre Fragen als Kommentar zum Artikel oder auf meiner Facebook Seite. Gerne unterstütze ich Sie bei der Umsetzung der DSGVO Anforderungen.
Da ich Ihnen Ihre vielen Fragen und Bedenken soweit wie möglich abnehmen möchte, biete ich für Sie ein exklusives live Webinar zur DSGVO Praxis an. Wenn Sie kompakt und praxisnah die wesentlichen Anforderungen der DSGVO erhalten möchten, melden Sie sich unbedingt an.
Kostenloses live Webinar zur DSGVO Praxis
Schwerpunkt wird die Erstellung des Verfahrensverzeichnisses sein. Sie erhalten meine Tipps und Hilfen zum Ausfüllen des gesetzlich geforderten Verfahrensverzeichnisses. Natürlich gehe ich noch auf weitere wichtige Punkte der DSGVO ein.
Termine und Anmeldung zum Webinar finden Sie hier:
Verraten Sie mir, was Sie besonders interessieren würde.
Schreiben Sie Ihre Fragen, die ich im Webinar beantworten soll doch in einen Kommentar. Ich versuche, so viel wie möglich im Webinar zu beantworten.
Hallo Frau Stoiber,
mir ist jetzt noch eine Frage in den Sinn gekommen, auf die ich nirgends wirklich eine Antwort finde. Ich lese ständig von einer Opt-out Möglichkeit für den Nutzer um Cookies ggf. an und ausschalten zu lassen.
Für meinen E-Shop benutze ich selbstverständlich Cookies, um die Session des Nutzers zu speichern bspw. für den Warenkorb oder den Login Zustand. Des weiteren habe ich Google Analytics für meine Seite aktiviert, und somit weitere Cookies, die gespeichert werden.
So, meine Frage wäre jetzt: Könnte ich als Shopbetreiber nicht einfach eine Cookie-Bar anzeigen lassen, die man nur dann wegklicken kann, wenn man ALLE Cookies akzeptiert, die ich auf der Seite laufen habe (Analog zu Ihrer Seite)? Ich meine, wenn der Nutzer nicht einverstanden mit meiner Cookie Policy ist, könnte er die Seite einfach verlassen und nicht mehr nutzen.
Oder braucht es hier wirklich eine Opt-Out Lösung für den User?
….da hab ich noch ein To Do, ich weiß, mein Cookie Notice ist glaub ich nicht ganz aktuell (ich selber bekomm ihn ja kaum angezeigt 🙂 ) Der Hinweis zum Akzeptieren der Cookies sollte zusätzlich auf die Datenschutzerklärung verweisen. Dort kann man sich dann mit den Opt-out Möglichkeiten austragen, wenn man möchte.
Natürlich geht Ihre Variante auch, aber user- und businessfreundlich ist die auch nicht 🙂 Ich würde an Ihrer Stelle mit dem Hinweis ganz einfach zur Datenschutzerklärung verweisen und dort die Opt-outs anbieten.
Übrigens, die Cookie Anforderungen werden für Deutschland erst nächstes Jahr geregelt. Momentan gibt es eigentlich in DE ganz offiziell noch kein Gesetz, dass das mit den Cookies so regelt. Jetzt nur die DSGVO, aber nicht explizit das Cookie Thema, wie es in einer EU Richtlinie schon vor längerem verabschiedet wurde.
VG Regina Stoiber
Hallo Frau Stoiber,
ich habe kein Unternehmen, sondern habe lediglich einen kleine Gartenblog. Bislang gemachte Rezessionen und Empfehlungen zu Gartenzeitschriften werde ich löschen. Ansonsten fand nie Werbung bei mir statt, auch keine Zusammenarbeit mit Unternehmen.
Was mich sehr beschäftigt ist die Tatsache, dass ich Follower habe, im Weiteren eine Blogroll und natürlich Kommentare und Verlinkungen zu anderen Garten- Deko- und ähnlichen Blogs. Hiermit wird ja auch eine „Datenspur“ gelegt. Allerdings habe ich lediglich die Blogroll zu verantworten. Die Follower tragen sich ja selbst in dem Wissen und dem Wollen ein, gesehen und gefunden zu werden…
Angeblich sind die kleinen Erkennungsbilder (sowohl bei den Followern als auch bei der Blogroll) schon nicht mehr gesetzeskonform???
Die Links zu anderen Blogs sind Bedingung um an deren Linkpartys teilnehmen zu können, also von dort verlangt. Die Links, welche von mir ausgingen (z. B. bei bislang getätigten Begrüßungen meiner neuen Follower), werde ich löschen!
Ist für die Blogroll, die Kommentare und die Follower noch etwas zu tun? Müssen diese sogar gelöscht werden???
Damit würde allerdings die „Seele“ dieser kleinen privaten Blogs zerstört…
Oder genügt es wenn ich die neue Datenschutzerklärung und ein neues Impressum auf meinem Blog habe?
(Ich hatte bisher schon Beides, aber nicht in der ab 25.5.2018 gültigen Form.)
Für eine Antwort wäre ich sehr dankbar.
Heidemarie Traut
PS: Ich setze jetzt auf meinem neuen Post übrigens auch Links zu diesem Ihrem Blog, denn die Unsicherheit vieler kleiner BloggerInnen ist groß und führte schon zu mancher Auflösung ganz wundervoller Natur- und Gartenblogs. Dem möchte ich mit dem Hinweis auf Ihre ausführlichen Hilfestellungen begegnen. Ich hoffe, das ist in Ordnung so?!
Beste Grüße
Heidemarie Traut
Liebe Frau Traut,
vielen Dank für Ihren Kommentar.
Sie vermischen da ganz viel. Achten Sie immer darauf, wo geht’s denn um personenbezogene Daten. Bei einem Blogroll geht’s nicht um personenbezogene Daten. Das sind reine Links auf andere URLs, also nichts personenspezifisches. Hat also mit Datenschutz erst mal nichts zu tun.
Follower, die sich selber eintragen sind auch ok. Es ist nur die Frage, Follower wo? Auf Ihrem Blog, die dann jedesmal per Mail benachrichtigt werden, wenn es einen neuen Artikel gibt? Dann müssen Sie sicher stellen, dass beim Eintragen als Follower das Double Opt-in Prinzip gewährleistet ist (machen viele Plugins aber eigentlich standardmäßig).
Die kleinen Bilder bei den Followern basieren meistens auf Gravatar. Da bin ich gespannt, wie sich das regeln wird. Aktuell ist meines Wissens das Problem, dass die E-mail Adresse des Kommentierenden mit Gravatar abgeglichen wird. Das ist kein Problem, wenn die E-mail Adresse bei gravatar registriert ist. Schlecht ist, wenn die E-mail Adresse bei Gravatar nicht registriert wurde. Das kann man aber im Blog deaktivieren, bis die Unsicherheit geklärt ist.
Bei den Linkparties ist die Frage, ob die einfach verlinkt sind (dann ist es kein Problem) oder ob da ein Drittanbieter dahinter steckt. Inlinkz soll ja inzwischen auch DSGVO Konformität bestätigt haben, als Anbieter von Linkparties.
Eine aktuelle Datenschutzerklärung brauchen Sie auf jeden Fall.
Und danke für’s Verlinken. Jeder Blogger freut sich über einen Link 🙂
LG Regina
Liebe Frau Stoiber,
ich danke ganz herzlich für die viele Mühe, die Sie sich antun und für Ihre Antworten.
Ich muss allerdings gestehen, einer Argumentation kann ich nicht wirklich folgen: Wieso sind die Links auf andere URLs im Falle der Blogroll nicht personenbezogen. Ich komme doch mit dem Anklicken auf einen Blog und finde dort spätestens im Impressum alle persönlichen Daten der oder des Blogbetreibers…
Ich muss zugeben für mich ist diese ganze DSGVO eine höchst skurrile und widersprüchliche Geschichte, der ich nicht wirklich folgen kann…Diese Unsicherheit betrifft sehr viele BloggerInnen und führt zu schlaflosen Nächten und zu Blogschließungen…
Können Sie noch etwas Licht ins Dunkel bringen?
Dann habe ich noch eine weitere Frage: Muss ich als private Gartenbloggerin ein Verfahrensverzeichnis erstellen und wenn ja, wo stelle ich das ein?
1000 Dank für Ihre freundliche Hilfestellungen und für Ihre Mühen!
Alles Liebe für Sie
Heidemarie Traut
Liebe Frau Traut,
da haben Sie recht, aber der Blogbetreiber agiert in diesem Fall ja als Unternehmen und stellt zudem seine Daten ja freiwillig ins Netz. Sie haben nicht die Aufgabe, diese Daten zu schützen, die der Blogbetreiber veröffentlicht.
Ihre Aufgabe ist es, die Daten Ihrer Webseitenbesucher zu schützen. Und für Ihre Webseitenbesucher hat es keinen Nachteil bezüglich deren persönlicher Daten, wenn sie auf einen Link in ihrer Blogroll klicken. Dabei werden ja vom Webseitenbesucher keine Daten erfasst.
Zu Ihrer zweiten Frage. Als Blogbetreiber gelten Sie als gewerblich und Unternehmer und daher gilt auch die DSGVO für Sie und damit die Anforderung für das Verfahrensverzeichnis. Das sollte für Sie aber überschaubar und kurz sein.
Liebe Grüße
Regina Stoiber
Liebe Frau Stoiber,
ich schließe mich meinen Vorgängern an und danke Ihnen herzlich für ihre Mühen.
Meine Frage bezieht sich auf ein Login-Feld einer Vereinswebsite. Die diesbezüglichen Benutzernamen und Passwörter werden vom Admin erzeugt und an die entsprechenden Benutzer zur Anmeldung weitergegeben. Das spricht vorerst nicht für die Speicherung personenbezogener Daten. Unsicher macht mich jedoch, dass die Website ohne eine SSL-Verschlüsselung arbeitet und es somit Dritten möglich ist sowohl den Benutzernamen als auch das Passwort mitzulesen.
Wie muss man hierbei verfahren? Ist eine SSL-Verschlüsselung notwendig?
Liebe Grüße
Daniel
Lieber Daniel,
danke für deinen Kommentar.
SSL ist zwingend in diesem Fall. Zudem ist das kein wirklich tolles Verfahren, wenn der Admin das Passwort und den Usernamen erzeugt und zusendet. Wenn dann wirklich nur unter der Bedingung, dass das PW dann gleich beim 1. mal verwenden geändert werden muss. Besser fände ich aber, der User registriert sich selber auf der Webseite und wird dann nur vom Admin freigegeben. Dann hat der Admin keine Kenntnis über das Passwort.
Viele Grüße
Regina
Hallo. Diese Webseite ist ein super Job und wirklich informativ. Respekt.
Ich würde hier gerne eine Frage in die Runde stellen, die von vielen Kunden an uns herangetragen wird.
Benötigt jedes Unternehmen mit mehr als 9 Mitarbeitern einen Datenschutzbeauftragten?
Meine bisherigen Recherchen haben zumindest ergeben, dass nur die Mitarbeiter zählen, die auch wirklich Daten verarbeiten. 50 Mitarbeiter, die in einer Halle arbeiten und nichts mit Daten zu tun haben, zählen angeblich nicht.
Aber wo allgemein Unklarheit herrscht und wo auch ich nichts gefunden habe:
Wie verhält es sich bei z.B. einem kleinen Betrieb mit einem Büro unter 9 Leuten, aber mehreren Monteuren im Außendienst, dadurch mehr als 9. Die Monteure haben ja mindestens Kundendaten wie Anschrift und Telefonnummer. An den PCs im Büro sitzen sie nicht. Manche Monteure haben mittlerweile schon Tablets für elektronische Unterschriften.
Wo beginnt da die Datenverarbeitung und wo hört sie auf?
Viele Grüße
John
Danke erst mal für diese ganz tolle Feedback. 🙂
Im Gesetz BDSG neu steht unter Art. 38 (1) …..soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Also da ist es dann wieder Auslegungssache, was heißt ständig. Bei Anschrift und Telefonnummer wäre ich wohl noch zurückhaltend, aber die Sache mit den Tablets geht noch mal einen Schritt weiter. Da wäre es wohl schon zu überlegen, einen DSB zu bestellen.
Durch die etwas offene Formulierung „..in der Regel….ständig…“ liegt schon eine gewisse Interpretation. Da wäre ein Jurist wohl gefragt, wie man das exakt auslegen sollte.
Sorry, dass ich dir auch keine schwarz-weiße Antwort geben kann.
Viele Grüße
Regina
Liebe Frau Stoiber,
danke für IhrenBeitrag, ich fand ihn sehr hilfreich.
Allerdings habe ich noch eine Frage:
Ich benutze die kostenfreie Blogversion von WP, also komplett mit .wordpress.com in der URL usw usf. Ich habe versucht, die Standard-Plugins wie Jetpack etc. zu deinstallieren bzw zu ändern und die DGSVO-konformen Alternativen zu installieren, allerdings wird mir immer nur gesagt, ich müsse für beides auf eine der kostenpflichtigen WP-Versionen upgraden. Aber nur um der DGSVO rechtens zu werden, finde ich diesen Schritt zu drastisch und unnötig – ich mache auf meinem Blog nicht einmal Werbung, oder verlinke Seiten außerhalb von WP. Es ist ja ausschließlich Hobby und zudem bin ich Studentin und kann es mir einfach nicht leisten. Natürlich habe ich bereits eine Datenschutzerklärung in meinem Impressum, in dem ich auch auf die Plugins verweise, bzw. die abgedeckt werden (sollen).
Ich habe mich natürlich auch lang und breit im Netz versucht zu informieren, was ich jetzt wie in meiner Datenschutzerklärung aufnehmen muss. Ich kenne mich mit Gravatar nicht aus oder dessen Deaktivierung bei Nicht-Registrierung einer Email oder auch nicht damit, was ich mit welchen Plugins machen muss, damit ein Double-opt-in gewährleistet ist … wie bereits gesagt: Ich bin absolut verwirrt, v.a. weil von allen Seiten alle möglichen Informationen ungefiltert auf einen einprasseln …
Ich suche seit Tagen im Netz auf der Suche nach etwas, das mir da weiterhilft, aber bisher erfolglos.
Daher wäre ich Ihnen unsagbar dankbar, wenn Sie mir kurz sagen könnten, was ich machen kann in diesem Fall: Brauche ich ein Verfahrensverzeichnis und wenn ja, wie lang, was muss da sonst noch rein, was mach ich, wenn ich diese grundlegenden Plugins nicht verändern oder deaktivieren kann …?
Entschuldigen Sie diese lange Nachricht, ich werde nur langsam angesichts der ganzen Sachlage verzweifelt …
Vielen herzlichen Dank auf jeden Fall, dass Sie sich die Zeit genommen haben, das durchzulesen …
Liebe Grüße
Liebe Eleonore,
danke für Ihre Nachricht. Ich denke, da WordPress.com seine Kunden in der EU nicht verlieren möchte, sind sie gezwungen, die DSGVO Anforderungen umzusetzen und die Plugins und den Betrieb DSGVO konform zu gestalten. Ich würde hier bei wordpress.com anfragen und dann mal abwarten, welche Stellung sie dazu nehmen.
Ich verfolge da eher den pragmatischen Weg und sehe es nicht sinnvoll, jetzt über Umwege eine dürftige Lösung zu stricken, wenn ggf. in ein paar Wochen der Provider WordPress sowieso Änderungen umsetzt (wovon ich persönlich ausgehen würde).
Ansonsten ja, VVZ und AV Verträge sind definitiv nötig.
LG Regina
Sehr geehrte Frau Stoiber,
das hier ist eine tolle und sehr informative Seite. Haben Sie vielen Dank für Ihre Hinweise und Tips.
Ich schreibe seit knapp 5 Jahren ein von Blogger gehostetes Hobby- Blog und beschäftige mich derzeit intensiv mit der DSGVO.
Das Verfahrensverzeichnis macht mir leider trotzdem nach wie vor große Schwierigkeiten, weil ich nicht richtig begreife, was damit gemeint ist.
Woher weiß ich denn, welche Verfahren „hinter den Kulissen“ ablaufen und warum?
Und selbst wenn ich eine Liste erstellen könnte, wohin damit? Muss sie im Blog hinterlegt werden? An welcher Stelle? Oder reicht es, sie bereit zu halten?
Über eine Antwort würde ich mich sehr freuen.
Ratloser Gruß
Claudia
Liebe Claudia,
Sie müssen nur Ihre Verfahren beschreiben, die Sie kennen und die Sie selber umsetzen oder in die Wege leiten.
Hilft Ihnen evtl. mein Onlinekurs dazu weiter?
Das VVZ müssen Sie nicht online stellen. Das behalten Sie für sich und haben es parat, im Falle einer Prüfung.
Zudem ist es hilfreich als zentrales Element in Ihrem Datenschutzmanagement.
Liebe Grüße
Regina
Hallo Regina,
deine Website ist für mich mit Abstand die hilfreichste zum Thema Datenschutz.
Benötigt es bei Bewerbungen (Praktikum, Ausbildung) von Kindern <16 Jahre die Einwilligung von Mama/Papa.
Danke und viele Grüße
Wow, danke für das tolle Feedback.
Gute Frage, bei Bewerbungen. Ich hab nochmal im Gesetz nachgelesen: https://dsgvo-gesetz.de/art-8-dsgvo/
Es wird explizit in Art. 8 (1) auf den Artikel 6 (1) lit. a verwiesen, das heißt, dass es sich um die freiwillige Einwilligung eines Kindes dreht, zur Verarbeitung personenbezogener Daten.
Im Falle einer Bewerbung fällt die Verarbeitung aber nicht unter Art. 6 (1) lit. a (freiwillige Einwilligung), sondern unter Art. 6 (1) lit. b – Verarbeitung der Daten aufgrund eines Vertrags oder vorvertraglicher Maßnahmen.
Wie auch im Art. 8 (3) nochmal steht, „…lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.“ Das heißt in deinem Fall wäre mit dieser Argumentation meines Erachtens keine Einwilligung der Eltern / Erziehungsberechtigten für die Bewerbung nötig.
VG Regina
Hallo Regina,
vielen Dank für deine ausführliche und wirklich wirklich hilfreiche Antwort (leider funktioniert bei mir der „Antworten“-Button nicht?)!!
Wie ich das richtig aus den Kommentaren herauslese, ist es nicht Pflicht, das VVZ auf dem Blog selber zu hinterlegen, sei es als PDF oder separate Seite? Was habe ich jedoch unter „AV“ zu verstehen und gibt es da auch sinnvolle Vorlagen, die mir da weiterhelfen können?
Auf jeden Fall noch einmal ganz lieben Dank! Ich bin da jetzt schon wahnsinnig erleichtert, dass ich nicht gezwungen bin, den Blog offline zu stellen …
Liebe Grüße!
Hallo Regina,
Deine Website und das DSGVO-Paket sind großartig, es hilft mir auf den letzten Metern ungemein. Ein Problem habe ich noch: mir ist noch unklar, welche Angaben zum Datenschutz man in Verträgen machen muss. Wir bieten eine fortlaufende Dienstleistung für Schüler an und rechnen direkt mit den Eltern ab, d.h. es gibt mit allen Eltern einen Vertrag, bei der der Name des Kindes, der Besteller, die Adresse sowie ggf. die Bankverbindung abgefragt wird. Das sind alles Informationen, die wir zur Erfüllung des Vertrags benötigen, daher gehe ich davon aus, dass man keine Einspruchsmöglichkeit gegen die Verarbeitung der Daten anbieten muss.
Kannst Du mir sagen, welche Angaben im Hinblick auf Datenschutz in einen Kundenvertrag hinein müssen? Ich denke an folgende:
-Verantwortlicher und Kontakt Datenschutzbeauftragter
-Umfang der Verarbeitung personenbezogener Daten
-Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung Ihrer personenbezogenen Daten
-Dauer der Speicherung und routinemäßige Löschung von personenbezogenen Daten
Reicht das aus?
Und abschließend noch die Frage: wie verhält es sich mit bestehenden Verträgen? Wenn man also seit 2 Jahren einen Vertrag mit einem Kunden hat, muss man den nun noch ergänzen um Angaben zum Datenschutz?
Viele Grüße!
Martin
Hallo Martin,
sehr schön, wenn dir meine Infos weiter helfen.
1. Frage: Meinst du mit DSGVO Paket meinen Onlinekurs? Falls ja, da gibt es ein Kapitel zur „Informationspflicht“ mit einer Vorlage. da steht genau alles drin, was in den Vertrag noch mit rein muss. Falls du nicht im Onlinekurs bist, dann hier ein Blogartikel dazu: https://regina-stoiber.com/2018/03/03/informationspflicht-dsgvo-bdsg-neu/
Unter dem Kapitel „Inhalt der Informationspflicht“ siehst du die Punkte, die rein müssen.
Genau, bei bestehenden Verträgen musst du nichts machen. Evtl. stellst du die Infos zur Informationspflicht auch ins Internet und verweist bei der nächsten Kommunikation mit den bestehenden Kunden darauf (am einfachsten als Link in der Signatur).
LG Regina
Hallo Regina,
danke für Deine hilfreiche Antwort. Ja, ich meinte den Onlinekurs – ich hatte den Link übersehen.
Viele Grüße
Martin
Hallo Regina, wie verhält sich die Dsgvo mit einer gemeinützigen Einrichtung die die Daten vom Jugendamt bekommt. Was ist da besonders wichtig. Fällt da alles unter sozial Datenschutz. Muss ich von den Jugendlichen oder Eltern z.B.eine Einwilligung holen? ODER eine adv Vertrag vereinbaren? Im Netz finde ich da nicht viel hoffe du kannst mir helfen. Bin schon ganz verzweifelt viele Grüsse Funda
Liebe Funda,
generell natürlich mal ja, auch das fällt unter die DSGVO. Ob du einen AVV oder eine Einwilligung benötigst liegt ganz daran, was genau mit den Daten von euch gemacht wird und warum.
Ohne den Prozessablauf zu kennen würde ich schätzen, eine Einwilligung entfällt, die ihr einholen müsstet. Entweder das Jugendamt müsste die einholen oder es gibt eine Rechtsgrundlage (Vertrag, Gesetz), die die Verarbeitung der Daten regelt.
Mehr kann ich dir ohne weitere Informationen leider nicht sagen.
LG Regina
Liebe Regina, du hast Recht. Einige Informationen zum Prozessablauf. Daten weden vom Jugendamt erhoben Pers.bezogene Daten an uns weiter übermittelt da wir die Aufnahmen für die Unterbringung machen, wir schreiben die Berichte zb Erzieher und Rechn an die Stadt. Wie ist das mit Jugendlichen die schon bei uns sind oder neu aufnehmen über 18 Jahre und Flüchtlinge.Jetzt schonmal vielen vielen Dank🌻