Vielen herzlichen Dank für Ihre vielen, vielen Fragen. Ich bin ganz überwältigt von dem Rücklauf. Falls Sie Ihre Frage nicht eins zu eins im Text wieder finden, kann es sein, dass eine ähnliche Frage bereits formuliert wurde.
Der obligatorische Hinweis: Die Antworten stellen meine Einschätzung und Sicht der Dinge dar. Das kann keine Rechtsberatung darstellen!
Inhaltsverzeichnis
DSGVO Datenschutz FAQ’s – Verfahrensverzeichnis
Verfahrensverzeichnis oder Verarbeitungsverzeichnis – was ist der Unterschied?
Laut Artikel 30 der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Verfahrensverzeichnis oder Verarbeitungsverzeichnis sind einfach in der Praxis die beiden am häufigsten verwendeten Namen dafür.
Wird das Verfahrensverzeichnis einmalig erstellt mit allen nötigen Infos oder muss es laufend mit aktuellen Inhalten aktualisiert werden?
Das Verfahrensverzeichnis wird einmalig erstellt und beschreibt jede Verarbeitung von personenbezogenen Daten ganz allgemein. Hier tauchen zum Beispiel keine Namen von Kunden auf – und auch keine direkten E-Mail Adressen.
Im Sinne des Datenschutzmanagements muss das Verzeichnis allerdings regelmäßig auf geprüft werden, ob es noch den Anforderungen entspricht und die Inhalte passen.
Benötige ich als Einzelunternehmer ohne Mitarbeiter ein Verabeitungsverzeichnis? Ich hatte gelesen, dass es erst ab 250 Mitarbeitern nötig ist.
Das stimmt, allerdings wird das schnell wieder relativiert mit folgendem Satz in Artikel 30 DSGVO: „..die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien….“
In der Regel werden Sie, wenn Sie personenbezogene Daten verarbeiten, diese nicht nur gelegentlich verarbeiten, sondern regelmäßig und daher fällt diese Ausnahme meinem Verständnis nach für die meisten nicht relevant.
Was genau sollte in einem Verarbeitungsverzeichnis stehen?
Dazu habe ich zwei Blogartikel, die Ihnen hier weiter helfen. Zum einen ein Muster in Excel zum Download und zum Anderen eine Übersicht mit möglichen Verfahren für ein Verzeichnis.
Werden im Verfahrensverzeichnis alle Handlungen dokumentiert, bei denen Daten im Spiel sind, z.B. Anfrage per E-Aail, Versand DHL, Kontocheck Geldeingang…?
Genau, Sie müssen diese Verfahren beschreiben, wenn hier personenbezogene Daten im Spiel sind. Aber beschreiben Sie sie, wie schon oben erwähnt, allgemein. Schreiben sie nicht, dass Sie am 19.3. die Daten von Herrn Müller an DHL übermittelt haben. Schreiben Sie einfach,
- Datenübermittlung an DHL zum Versand der Waren
- Prüfen des Geldeingangs zum Abgleich der Rechnungen
Erfassen Sie keine personenbezogenen Daten im Verfahrensverzeichnis, sondern nur die Kategorien.
Müssen WordPress Plugins ins Verarbeitungsverzeichnis?
Hier gibt es kein richtig oder falsch. Meine Empfehlung ist, die Plugins im VVZ zu nennen, wenn es eine eigene Verarbeitung für Ihr Unternehmen darstellt. Google Maps oder Google Fonts wären für mich kein eigenes Verfahren. Das Verfahren ist die Webseite und da sind diese Plugins ein Mittel, um die Webseite anschaulich darzustellen, daher würde ich sie höchstenfalls bei diesem Verfahren erwähnen. In der Datenschutzerklärung müssen Sie natürlich angegeben werden.
Bei Plugins, die ein eigenes Verfahren darstellen, würde ich sie schon nennen. Zum Beispiel das Plugin digistore, mit dem ich einen Mitgliederbereich realisiere. Der Mitgliederbereich ist ja das Verfahren und das kann ich realisieren mit einem spezifischen Plugin.
Muss das Verfahrensverzeichnis in Excel erstellt werden?
Nein, für die Formatierung bzw. die Umsetzung gibt es keine Vorgaben. Es kann mit Standard-Office Tools umgesetzt werden oder mit spezieller Software für ein Verfahrensverzeichnis.
Wir haben einiges ausprobiert und sind jetzt bzw. immer noch bei Excel. Es gibt gute Tools, aber jedes Tool hat seine Eigenheiten und natürlich damit auch seine eigene Interpretation der Umsetzung. Leider sind auch die Kosten für die Tools selten zu vernachlässigen.
Die Flexibilität mit Excel, die es ermöglicht, unser Verständnis des Datenschutzmanagements abzubilden, habe ich bisher noch in keinem Tool gefunden. Trotzdem, ich bin weiterhin mit offenen Augen dabei, mir verschiedene Softwareprodukte anzusehen, die vielleicht doch mal das Excel File ablösen könnten.
DSGVO Datenschutz FAQ’s – Kommunikation
Viele Nutzer sind unsicher wegen ihrer Mail Adresse. Wie sieht es mit der Datenverträglichkeit von Anbietern wie gmx, web.de aus?
[Update 01-06.2018] Das Bay. Landesamt für Datenschutz hat sich dazu geäussert, dass reine E-mail Provider keine Auftragsverarbeiter sind. Eine Stellungnahme auf der Webseite dazu wollen sie noch veröffentlichen.
Sobald allerdings zu der E-mail noch weitere Dienste angeboten werden, ist es ziemlich wahrscheinlich doch wieder eine Auftragsverarbeitung.
DSGVO Datenschutz FAQ’s – Geschäftspartner
Ich habe Handelspartner, die Tee von mir beziehen, was muss ich mit ihnen tun ?
Ich kenne den genauen Ablauf nicht. Aber ich nehme an, der Handelspartner liefert Ihnen rein Ware und hat keine Daten von Ihren Kunden. Daher wäre aus meiner Sicht dieser Handelspartner nicht DSGVO relevant.
Kann ein Auftragsverarbeiter eine Privatperson sein?
Ich würde mal sagen nein, da Sie ja mit ihm einen Dienstleister haben und damit ist er ja automatisch ein Geschäftspartner und ein Unternehmer.
Wir sind Webhoster. Müssen wir den ersten Schritt tun und den Kunden auf die AVV hinweisen, bzw. ihn auffordern?
Letztendlich ist es im Interesse des Auftraggebers, Sie als Auftragnehmer zu „verpflichten“. Sie können ja als Service Ihre Kunden anschreiben und Ihnen das Angebot machen, den AVV abzuschließen.
Und was tun wir, wenn der Kunde sich – wie es in der ausserbrüsseler Praxisnähe der Fall ist – einfach nicht meldet? Müssen wir dann ihm kündigen oder ?
Wie gesagt, es liegt in erster Linie am Auftraggeber. Ich finde gut, wenn Sie es, wie gerade erwähnt, den Kunden aktiv anbieten. Das können Sie dann im Falle einer Prüfung ja auch nachweisen. Zudem könnten Sie auch regelmäßig (jährlich?) noch mal dran erinnern. Kündigen würde ich nach aktuellem Wissenstand nicht.
Wenn ich als Webdesigner mit meinem Kunden einen AVV abgeschlossen habe, muss ich dann nochmal von jedem Kunden eine Einwilligungserklärung unterschreiben lassen beim Beginn eines Projekts?
Hier werden zwei Dinge vermischt. Beim Vertrag zur Auftragsverarbeitung sichert der Dienstleister zu, dass er mit den Daten sicher umgeht (mal ganz grob zusammen gefasst, im Detail steckt natürlich noch mehr drin).
Bei der Einwilligung geht es darum, dass jemand zustimmt, dass seine Daten für etwas verwendet werden, was unter gängigen Voraussetzungen sonst nicht erlaubt wäre. Das heißt, es gibt keinen Vertrag oder ein Gesetz, welches regelt, dass meine Daten von Ihnen verarbeitet werden dürfen. Nur dann brauchen Sie eine explizite Einwilligung. Ihre Kunden stehen ja mit Ihnen im Vertragsverhältnis. Das regelt ja die Verarbeitung der Daten. Sie brauchen also keine Einwilligung – ganz unabhängig vom AVV.
Müssen alle AVV in der der Datenschutzerklärung erwähnt werden? Muss dort erwähnt werden, wo die Webseite gehostet wird und welcher E-Mail Provider genutzt wird?
Was in der DSE stehen muss, regelt Artikel 13 der DSGVO – also die Informationspflicht. Sie müssen u.a. angeben, an wen sie die Daten weiter geben. Ich würde nicht alle Auftragsverarbeiter so sehen, dass die Daten dahin aktiv weiter gegeben werden.
Sie machen aber auf jeden Fall nichts falsch, wenn Sie den Provider immer angeben.
DSGVO Datenschutz FAQ’s – Online Dienstleister
Was ist im Umgang mit Digistore24.com zu beachten. Ich habe z.B. einen Button mit „Bestellen“ auf meiner Homepage. Nach Klick auf diesen Button gelangt mein Kunde zu Digistore24 und kann dort dann seine Adresse eingeben, die Zahlungsart auswählen und bestellen. Muss ich hinsichtlich der DSGVO etwas auf meiner Seite beachten?
Digistore sollte in der Datenschutzerklärung erwähnt werden. Also dass die Zahlungsabwicklung über digistore erfolgt und die Rechtmäßigkeit auf Artikel 6 (1) lit. b Vertrag basiert. Da digistore nach eigener Aussage kein Auftragsverarbeiter ist, sondern „nur“ Zahlungsdienstleister, braucht man keinen Auftragsverarbeitungsvertrag.
Ich habe einen Onlineshop bei Dawanda und speichere bei mir keine Daten. Allerdings verarbeite ich die Daten, indem ich eine Rechnung erstelle und für den Versand übermittle ich die Daten an DHL (Onlinefrankierung über dhl.de) oder an die Deutsche Post.
Darf ich die E-Mail-Adresse meiner Onlineshop-Kunden an die Post weiterleiten, damit sie eine Benachrichtigung zum Sendungsstatus erhalten?
Die DSK hat diese Frage im März 2018 beantwortet. Grundsätzlich ist für die Übermittlung der E-Mail-Adresse an den Postdienstleister die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO nötig.
Viele Onlinehändler wählen allerdings die Alternative. Sie senden in der Regel meist einen Link an den Kunden, welcher dann den Sendungsstatus einsehen kann. Somit ist keine Weitergabe der E-Mail-Adresse nötig. Die DSK erkennt diese Alternative an.
Muss ich als Webdesignerin, die die Homepage bei einem Provider für Kunden einrichtet (Backend: Anmeldung, Emaileinrichtung-weiterleitung etc. ftp.) mit und ohne Kontaktformular einen AV-Vertrag mit der Kundin haben oder sogar mit Provider (da ich ja in dem Moment die Zugangsdaten habe zum backend: Verwaltung).
Wenn es nur rein um die Einrichtung geht, würde ich einen AVV als nicht zwingend sehen. Wenn Sie aber die Webseite auch fortlaufend betreuen, wäre ein AVV schon anzuraten.
Die Server Logs des Hosters, Server-Logs, auf die ich zugreifen könnte – sind deaktiviert, Statistiken – ab 28.05 komplett anonymisiert. Wenn die Logfiles ungekürzte IP’s enthalten, brauche ich da einen AV-Vertrag, Wenn 1. gekürzte IP’s enthält – dann auch?
Einen AVV beim Hoster würde ich nicht in Frage stellen. Ich würde immer empfehlen, einen abzuschließen.
Wenn eine Newsletteranmeldung zusätzlich auf der Homepage ist, muss der Kunde mit z.B. cleverReach einen AV abschließen, und ich?
Thema Google Analytics WIE komme ich an den AVV ich finde nichts, habe irgendwie auf der Analytics Seite irgendwelchen Zusatzvereinbarungen zugestimmt, aber wie komme ich an einen Vertrag?
Speziell bei Google Analytics kann man den Vertrag über das Konto herunterladen. Unter Verwaltung => Kontoeinstellung => Zusatz zur Datenverarbeitung kann man den Vertrag bestätigen.
Ist mit WordPress.org einen AV-Vertrag zu schliessen?
Mit wordpress.org brauchen Sie keinen AVV, aber mit wordpress.com, falls Sie die Seite darüber betreiben.
Ist mit dem Theme-Anbieter, bei mir OptimizePress ein AV-Vertrag zu schliessen?
So wie ich OptimizePress kenne, installieren Sie alles lokal bei Ihnen auf dem Server im CMS. Es werden dadurch keine Daten beim Hersteller gespeichert. In diesem Fall brauchen Sie keinen AVV mit OptimizePress. Sollte es allerdings zusätzliche Funktionen geben, die eine Verarbeitung der Daten durch OptimizePress bedingen, benötigen Sie einen AVV.
Sind AV-Verträge zu machen mit Pluginherstellern?
Eigentlich ist das dieselbe Antwort, wie bei der vorherigen Frage. Das kommt immer auf das Plugin an. Arbeitet das Plugin rein lokal und schickt keine Daten an den Pluginhersteller und verarbeitet sie dort, dann brauchen Sie auch keinen AVV, andernfalls schon. Prüfen Sie die Plugins also immer vorher, wie sie arbeiten. Dann können Sie auch bewusst entscheiden, ob Sie das überhaupt möchten, dass Daten beim Pluginhersteller verarbeitet werden.
DSGVO Datenschutz FAQ’s – Social Media
Was mache ich mit Facebook, was ist zu tun ? ggf. gehe ich raus.
Wir müssen unterscheiden zwischen Ihrem privaten Profil und der Business Page. Ihr privates Profil hat aus Sicht der DSGVO für Sie als Unternehmer erst mal keine Pflichten.
Die Unternehmensseite benötigt eine Datenschutzerklärung und ein Impressum. Die große Unbekannte ist momentan die Gerichtsentscheidung, wer für die Daten auf der Unternehmensseite verantwortlich ist. Ist es Facebook oder der Unternehmer. Nach dieser Entscheidung des Gerichts wird sich hier sicherlich noch einiges tun.
Ich würde Ihnen trotzdem empfehlen die FB Unternehmensseite in Ihrer Datenschutzerklärung zu erwähnen.
DSGVO Datenschutz FAQ’s – Webseite
Was ist mit meiner Website ?
Die sollte DSGVO konform sein – aber schauen wir uns doch die Details in den nächsten Fragen an.
Muß der Menüpunkt „Datenschutz“ sofort sichtbar sein, wenn die Website aufgerufen wird, oder reicht bei einer (langen) One-Page-Seite, die Platzierung im Footer, also ganz zum Schluß?
Es reicht auch zum Schluss im Footer. Wichtig ist, das die DSE mit einem Klick erreichbar ist.
Ist es ausreichend, den Menüpunkt „Datenschutz“ unter dem Menüpunkt „Kontakt“ zu setzen? Wobei „Kontakt“ bei Aufruf der Seite sofort sichtbar ist, und „Datenschutz“ erst per Darüberfahren (nicht Klick) mit der Maus.
Ich würde sagen, dass ist grenzwertig. Abschließend beurteilen kann ich das leider nicht. Ich würde es aber nicht empfehlen.
Müssen alle Third-party requests von einer Seite für die DSGVO-konformität entfernt werden? Das ist zum Teil gar nicht möglich.
Nein, darum geht es auch gar nicht. Die 3rd party requests müssen nur DSGVO konform sein. Das heißt, es dürfen keine Daten übertragen werden, für die keine Rechtsgrundlage existiert bzw. die 3. Partei die Daten nicht sicher verarbeitet. Dass alles seine Richtigkeit hat, muss dann in der DSE erläutert werden.
Gibt es eine Vorgabe für WordPress-Plugins?
Was ist mit Plug-ins der Website? Zum Beispiel ein Backend Plugin oder die Cloud, wo die Backends gespeichert werden?
Sie müssen DSGVO konform sein 🙂 Das ist eine sehr allgemeine Frage. Wichtiger als das Plugin allein finde ich den Einsatzzweck und die Konfiguration. Ich würde nicht verallgemeinern, ob ein Plugin DSGVO konform ist oder nicht, da es manchmal auf den Einsatzzweck ankommt. Erst dadurch wird die Konformität nachvollziehbar.
Es ist nicht grundsätzlich verboten, wenn ein Plugin Daten übermittelt. Wenn es der Zweck rechtfertigt und die Rechtsgrundlage gegeben ist, dann ist der Einsatz ok.
Es gibt keine AV von Word Press. Muss ich in meiner Datenschutzerklärung auf diese im Hintergrund laufenden Plug-Ins eingehen, die Word Press benutzt?
Wenn die Plugins personenbezogene Daten verarbeiten, dann ja. Ansonsten nicht.
Wie ist ab dem 25.05. in Sachen Cookies/Cookiebanner (DSK-Statement!) zu verfahren? Opt-in? Opt-out? Hinweis-Banner? Gar kein Banner?
Die e-privacy Richtlinie hätte ja ebenfalls am 25.5. in Kraft treten sollen, ist aber nicht geschehen. Meine persönliche Empfehlung ist ein Cookie Banner, den man akzeptieren kann und der auf die Datenschutzerklärung verweist (mit Link zum Klicken). Alles andere ist aus meiner Sicht fernab der Realität. Das ist ein Thema, bei dem ich sehr schnell emotional werde und es mir unter den Fingern brennt zu tippen (es beginnt gerade wieder…)
Ich hab mir Plugins, wie z.B. Borlabs angesehen und kann nur den Kopf schütteln. Natürlich mache ich mich damit als Betreiber der Webseite von allem frei, aber dann frage ich mich mal nach der Usabiltiy. Mein Beispiel, mein über 60jähriger Vater, der hin und wieder mal was im Internet sucht, keine Ahnung von Cookies und DSGVO hat und auch nicht haben muss und will. Was macht der, wenn er auf das Borlabs Plugin trifft? Natürlich sofort die Seite und am besten gleich den ganzen Browser schließen. Also Fazit: Rechtssicherheit trifft Usability !
Reicht der normale, obligatorische Link zur Datenschutzerklärung in der Navigation oder müssen Webseiten-Besucher durch ein Pop-Up oder ähnliche Maßnahmen auf die Verwendung von Cookies bzw. einfache Serverlogs hingewiesen werden? Oder müssen Sie sogar Ihre Zustimmung dazu durch einen Klick erklären?
Antwort siehe vorherige Frage.
Alle unsere Homepages werden mit google fonts (Schriftarten) betrieben. Darf ich das weiterhin, wenn ich darauf in der DSE hinweise?
Ich würde sagen, mit einem kleinen Restrisiko: ja. Es gibt ja einen Geschäftszweck (Art. 6 (1) lit. f). Solange Google die IP Adressen nicht auswertet und für andere Zwecke als die zur Verfügungstellung der Fonts verwendet, sehe ich es nicht als Problem.
Darf ich weiterhin die recaptachs von google nutzen? Ich arbeite mit Joomla (nicht Wordpres) und habe bisher keine Alternativen gefunden. Auch das würde in der DSE erwähnt.
Selbe Antwort, wie obige Frage.
Google Adsense: Wie kritisch sehen Sie den Einsatz von Google-Adsense auf der Webite? Man liest auch hier verschiedenes. Einige entfernen Adsense komplett, andere lassen es laufen. Was muss umgesetzt werden, damit es DSGVO konform ist?
Hier muss ich gestehen, dass ich nicht so tief im Thema bin, da das in der Praxis meine Agentur umsetzt, mit der ich zusammen arbeite.
Man muss hier zwischen dem Tracking und dem Einblenden der Werbung unterscheiden würde ich sagen. Für das Tracking würde ich ein Opt-in empfehlen (ich weiß, schwierig zu realisieren). Das reine Einblenden der Werbung würde ich mit einem Opt-out ermöglichen. Ich weiß aber nicht, wie weit man das Trennen kann. Sorry, hier bin ich leider echt nicht fachkundig.
Z.B. bei Twitter oder YouTube besteht die Möglichkeit „embedded links“ in die eigenen Websites und Blogbeiträge aufzunehmen. Ist es korrekt, dass diese embedded links nicht DSGVO-konform sind (weil sie gleichzeitig Infos über den eigenen Besucher an Twitter oder YouTube weiterleiten) und besser durch „Screenshots + externe Verlinkung“ ersetzt werden?
Das ist auch ein Thema, an dem sich die Experten noch nicht einig sind. Auf jeden Fall in der DSE erwähnen. Ohne Risiko ist natürlich der Screenshot und die externe Verlinkung. Ich würde das Risiko der eingebetteten Frames als gering sehen, wenn man es in der DSE erwähnt. Das muss aber jeder für sich selbst entscheiden, ob er das machen möchte, bis hier die Rechtsunsicherheit entschieden wurde.
Checkboxen bei Kontaktformular und bei Newsletteranmeldung – muss zusätzlich eine Checkbox als Einwilligung bei a) Kontaktformular b) bei Newsletter oder reicht jeweils Text und Link zur Datenschutzerklärung?
Bitte keine Checkboxen!! Dazu hat der Datenschutz Guru auf seiner Webseite einen super Podcast, der mir aus der Seele spricht. Nach zig 100 täglichen Mails fragt ihn zum 20x jemand nach der Checkbox. Sehr witzig wie er das formuliert 🙂 Also nein, es reicht die Rechtsgrundlage, die in der DSE erläutert wird. Hinweis auf den Zweck und die DSE sind natürlich Pflicht.
Muss ich bei Formularen auf der Website in Kurzform darauf hinweisen, was mit den Daten passiert, wenn sie gesendet werden? Bzw. reicht hier der Hinweis bzw. Link zur Datenschutzerklärung aus?
Antwort siehe vorherige Frage.
Auf der Website: Angabe meiner E-Mail Adresse, beim Klick durch den User öffnet sich jeweiliges E-Mail Fenster (Outlook, GMail etc. davon abhängig was User nutzt) => ist das ok?
Ja, das ist ok. Es werden ja keine personenbezogene Daten verarbeitet. Sie geben freiwillig Ihre persönliche E-mail Adress preis. Da ist kein Dritter im Spiel, den Sie schütze müssen, bzw. dessen Daten Sie schützen müssen.
Kein SSL: Reicht es wenn ich bis 25.5. dahin mein Kontakt Formular und meinen Newsletter Anmeldung (Clever Reach) von der Website nehme mit Hinweis das die SSL in Arbeit ist? oder muss ich die Seite offline stellen bis das geklärt ist?
Ich würde Formular und NL Anmeldung offline nehmen und das Restrisiko tragen, bis das Zertifikat eingestellt ist. Das geht aber ja innerhalb kürzester Zeit.
Ich habe bisher das Piwik/Matomo Analysetool auf meine Webseite gehabt. Wegen der EU DS-GVO habe ich dies jetzt vorläufig deaktiviert um Probleme zu vermeiden, da das Programm bisher nur die Opt-Out-Funktion angeboten hat.
Ich habe jedoch eine Mail von Matomo erhalten, aus der es behauptet wird, dass ein Update eben DSGVO-konform sei, da man ab sofort alle Daten komplett anonymisieren kann, d.h. IP-Adresse etc. werden nicht korrekt angezeigt. Jetzt meine Frage: reicht das? Es scheint eben nicht eine Möglichkeit für den Webseitenbesucher zu geben das Einsammeln von Daten zu verhindern, sprich die Daten werden sowieso erhoben (ohne Opt-In/Opt-Out… – kann aber auch sein, dass ich mich irre…). Aber würde das reichen, darauf hinzuweisen, dass alles anonym erhoben werden um weiterhin Piwik zu verwenden?
In Kombination mit der Aussage der DSK schwierig. Wenn man ein Opt-out machen kann, dann würde ich das schon anbieten. Aber ich würde hier dem Hersteller auch vertrauen und die Umsetzung so wie vorgeschlagen durchführen, wenn überhaupt kein Opt-out möglich ist. Natürlich auf jeden Fall die Rechtssprechung in diesem Bereich verfolgen!
DSGVO Datenschutz FAQ’s – Software
Muss mit Ticketsystemen, wie Eventim, München Ticket, Reservix o. ä. ein Auftragsverarbeitungsvertrag abgeschlossen werden?
Wenn das System beim Dienstleister gehostet ist, dann ja. Dann muss mit dem Hoster (nicht dem Hersteller) ein AVV geschlossen werden, da ja im Ticketsystem auch personenbezogene Daten gespeichert werden. Wenn der Hersteller oder ein Dienstleister Zugriff auf das System hat zu Wartungszwecken oder Updates, muss auch ein AVV geschlossen werden. Ist das System rein lokal bzw. auf Unternehmensressourcen installiert und Dritte haben keinen Zugriff, im Sinne wie gerade erwähnt, dann ist kein AVV nötig.
E-Mail Verschlüsselung: Sie haben angegeben, dass laut DSGVO manche Dinge im Verhältnis gesehen werden müssen. Gilt dies auch bei der Verschlüsselung von E-Mails?
Denn es gibt Anbieter, wo ich zwar Verschlüsseln kann aber wenn der Empfänger diese Art nicht nutzt, bringt mir das herzlich wenig. Oder aber ich zahle einen Haufen Geld für professionelle Lösungen.
Das sehe ich nach wie vor so. Das teuere Lösung, die sogar nicht immer einsetzbar sind, für kleine Unternehmen nicht realisierbar sind. Natürlich ist aber auch wichtig zu bewerten, welche Art der Daten übertragen wird. Auch innerhalb der personenbezogenen Daten gibt es unterschiedlich wertige Inhalte.
Eine einfache Art der Verschlüsselung ist z.B. der Schutz einer Datei beim Speichern mit einem Passwort. Das funktioniert ohne Zusatzkosten und erfordert keine spezielle Software auf beiden Seiten.
DSGVO Datenschutz FAQ’s – Newsletter
Das das Freebie vom Newsletter-Abo zu Entkoppeln ist habe ich verstanden. Jedoch wie ist früheren Verlinkungen auf das Freebie umzugehen z. B. in Facebook oder Blogbeiträgen? Müssen diese geändert oder gelöscht werden? Oder Landing Page zum Freebie ganz zu löschen bzw. zu ändern?
Seit Jahren sammle ich Mails in meinem gmx- Adressbuch. Bisher also ohne Newsletter-Anbieter.
Die Mailadressen sind von ehemaligen Kursteilnehmern und Menschen die mir, meist mündlich, ihr Interesse an meinem Angebot kundtun (neue Kursangebote, anstehende Ausstellungen etc.)
Wie kann ich damit jetzt umgehen, wenn eigentlich eine nachweisbare Erlaubnis vorliegen muss?
So unschön es auch ist, Sie müssen alle anschreiben (am besten vor dem 25.5.) und nach einer Double Opt-in Bestätigung fragen. Das heißt aber auch, Sie müssen weg vom GMX Adressbuch und hin zu einem Newsletterservice.
DSGVO Datenschutz FAQ’s – Datenerfassung / Fotos
Bisher erbitte ich: Name, Adresse, Telefon, Email, dann Unterschrift und eine Rubrik in der angekreuzt werden kann, ob jemand Infos von mir möchte oder nicht (gibt ja und nein-Kästchen).
Kann ich das weiter machen, wenn ich erläutere warum?
Ja, das können Sie weiter machen. Sie müssen, wie Sie schon sagen, erklären, warum Sie die Daten erheben.
Muss am Kontaktformular eine Einverständniserklärung dran sein? Oder reicht die Aufklärung und Verlinkung zur Datenschutzerklärung.
Ich würde kurz den Zweck (in Kurzform) angeben und dann auf die DSE verlinken. Das Absenden des Buttons ist damit die Einverständniserklärung.
Muss ich alle „Altkunden“ der letzten 10 Jahre auch um eine Einverständniserklärung bitten? Auch wenn ich weiß, dass sie nicht mehr zu mir kommen?
Für Kunden brauchen Sie keine Einverständniserklärung, da Sie deren Daten im Rahmen des Kundenverhältnisses auf Basis des Art. 6 (1) lit. b verarbeiten, also auf Grundlage eines Vertrags. Die Einwilligung bräuchten Sie nur, wenn Sie die Daten der Kunden über das Vertragsverhältnis hinaus verarbeiten wollen, weil Sie z.B. Werbung / Newsletter verschicken.
Ist es erforderlich, einen Rechtsanwalt über die Einwilligungserklärung schauen zu lassen?
Das ist eine persönliche Frage Ihrer Risikobereitschaft 🙂 Das kann ich Ihnen leider nicht mit Ja oder Nein beantworten.
Fotografie
Bitte nehmen Sie zur Kenntnis, dass mit der Anmeldung zur Veranstaltung Fotografien und Videomaterialien, auf denen Sie abgebildet sind, zur Presse-Berichterstattung verwendet und in verschiedensten (Sozialen) Medien, Publikationen und auf Webseiten der Fa. xy veröffentlicht werden können.“aus – wenn der Hinweis sowohl auf der Webseite als auch im Haus sichtbar angebracht wird?
Das ist ein ganz heißes Thema, welches auch noch viele offene Fragen hat. Dazu habe ich erst kürzlich eine gute Dokumentation von lawlikes gelesen (ich hoffe, du magst rosa 🙂 ) , die einige dieser Fragen beantwortet.
Muss für die Veröffentlichung des Fotos eines Mitarbeiters mit Außenkontakt auf der Firmenhomepage seine Einwilligung vorhanden sein oder ist das auch beim Foto (und nicht nur dem Namen und Funktion in der Firma) durch ein berechtigtes Interesse des Verantwortlichen zu begründen?
Auf jeden Fall mit Einwilligung nach Art. 6 (1) lit. a und nicht nach lit. f.
Die gleiche Fragen, nur für die Weitergabe des Abwesenheitsgrunds „Krankheit“ (ohne Art der Erkrankung) an einen bestehenden Kunden? Einwilligung nötig oder berechtigtes Interesse des Arbeitgebers, da es besser „aussieht“ wie wenn man sagen muss, er ist nicht da und näheres darf ich nicht sagen.
Wie sieht es mit dem Tag der voraussichtlichen Wiedererreichbarkeit des Mitarbeiters aus oder im Falle eines Urlaubs?
Weitergabe dieser Information auch nur nach Zustimmung des Betroffenen. Der Grund warum jemand abwesend ist, muss ja nicht dem Kunden übermittelt werden. Man kann ja sagen, der Kollege ist am xx wieder im Büro.
DSGVO Datenschutz FAQ’s – Informationspflicht
Muss in der E-mail Signatur eine Aufklärung hinein?
Das ist eine Möglichkeit der Informationspflicht nach Art. 13 nachzukommen.
Müssen in die Datenschutzerklärung nur Angaben zu personenbezogenen Daten rein, die über die Website erfasst werden oder auch solche die ausschließlich offline gespeichert werden. Bsp.: ein Immobilienmakler erfasst über einen Papierfragebogen auch sensible personenbezogen Daten, etwa zu Einkommens- und Vermögensverhältnissen. Müssen Angaben zu Datenerfassung, Auskunfts- und Löschpflichten in die Datenschutzerklärung.
Das ist eine Frage der Organisation im Unternehmen. Es heißt im Gesetz, diese Informationen müssen vor der Verarbeitung der Daten dem Betroffenen zur Verfügung gestellt werden. Wenn das über die Webseite am besten realisierbar ist oder realisierbar ist, dann würde ich das schon empfehlen. Ich mache das bei meinen Kunden schon meistens, wenn es passt.
Ich habe ja eine Dokumentations- und Auskunftspflicht dem Kunden gegenüber. Muss ich jetzt jede Email und jedes Telefonat, das ich mit einem Kunden geführt habe, dokumentieren?
Nein das heißt nur, wenn ein Betroffener anfragt, müssen ihm die gespeicherten Daten zur Verfügung gestellt werden, bzw. Auskunft dazu erteilt werden. Was nicht gespeichert ist, darüber kann auch nicht informiert werden. Aber wenn was dokumentiert ist, dann muss die Info auf Nachfrage dem Kunden gegeben werden.
Was muss ich bei der Erstellung von Angeboten dem Kunden bzgl. der Verarbeitung personenbezogener Daten nennen / worauf hinweisen? Die personenbezogenen Daten die hier relevant sind, abgesehen von Adressdaten, sind in erster Linie solche wie Geburtsdatum, Vertragsdaten, etc. je nach Art der Urkunde oder des Vertrags.
Das betrifft die Information, was mit den Daten „passiert“, also wie sie verarbeitet werden. Das muss dem Kunden vor der Verarbeitung der Daten mitgeteilt werden. Man kann die Informationen beim Vertragsschluss bzw. beim Angebot (mit einem Link zum Beispiel auf die Informationen) mit dazu geben oder auf eine Stelle verweisen, die der Kunde einsehen kann. Es muss aber über alle Daten informiert werden, die für den Prozess des Angebots und vor allem dann für den Prozess der Beauftragung / des Kaufs verarbeitet werden.
Wenn ich Astrologie Beratungen zum Beispiel über Skype anbiete und Bezahlungen über Pay Pal auf meiner HP auf was muss ich da achten….was brauche ich dann zusätzlich?
Je nachdem, welcher Online Kanal gewählt wird, würde ich einen Abschluss eines Vertrags zur Auftragsverarbeitung empfehlen. Auf der Homepage in der Datenschutzerklärung sollte genau beschrieben sein, welche Daten verarbeitet und weiter gegeben werden und welche Dienstleister im Spiel sind. Themen wie HTTPS Verschlüsselung sollten Standard sein.
Website auf Deutsch, Sitz in Deutschland – aber natürlich auch Leser aus anderen Ländern: muss eine englische Datenschutzerklärung auf der Website eingebunden sein?
Wenn die Zielgruppe englischsprachige Leser sind, also wenn auch der Content teilweise in englisch ist, dann ja. Es heißt, die Information muss leicht verständlich für den Betroffenen sein. Wenn die Webseite aber keine englischsprachigen Leser anspricht, dann würde ich keine englische DSE anbieten, nur für den Fall, dass sich wer „verirrt“ dahin. Diejenigen, die die Artikel in deutsch lesen können, können auch die DSE in deutsch lesen.
Wenn auf meiner Website Links zu anderen Websites gesetzt sind und auch eine E-Mail Möglichkeit zu Dritten, ist diesbezüglich etwas zu beachten?
Wenn Sie die E-mails von Dritten auf Ihrer Webseite publizieren, benötigen Sie deren Einverständnis (also von demjenigen, von dem Sie die Adresse veröffentlichen). Wenn Sie nur auf eine andere Webseite verlinken und dort wiederum E-Mail Adressen veröffentlicht sind, müssen sie nichts beachten.
Eine Homepage die nichts macht außer einem Kontaktformular anzubieten, IP-Adressen werden nur anonymisiert gespeichert. (WordPress-Plugin), Wie sieht die minimale Datenschutzerklärung aus?
Es werden die Punkte die Sie beschrieben haben erläutert und zusätzlich noch die Pflichtangaben aus Art. 13 DSGVO wie z.B. Name und Adresse des Verantwortlichen, Informationen zu den Rechten des Betroffenen, Beschwerderecht bei der Behörde… (siehe Artikel zur Informationspflicht).
DSGVO Datenschutz FAQ’s – Datenschutzbeauftragter
Notwendigkeit zur Bestellung eines Datenschutzbeauftragten bei Kleinbetrieben; Bsp.: Schauspieleragentur
Auf der Website veröffentlicht die Agentur Daten wie Körpergröße, ethnische Erscheinung und auch Fotos der Schauspieler. Ich nehme an, dass intern noch weitere Daten gespeichert werden, wenn etwa gesundheitliche Einschränkungen vorliegen, die bestimmte Rollen nicht in Frage kommen lassen. Gegebenenfalls gibt die Agentur diese Daten auch an Dritte, etwa Caster, weiter.
Die Verträge mit den Schauspielern sollten auf jeden Fall eine entsprechende Einwilligung enthalten und im Hinblick auf die DSGVO überprüft werden. In den o. g. Fällen könnte es aber zusätzlich erforderlich sein, einen externen Datenschutzbeauftragten zu bestellen. Siehe: https://www.lda.bayern.de/media/info_dsb.pdf, S. 2
Zitat: „Unabhängig von der Anzahl der beschäftigten Personen ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung … automatisiert verarbeitet werden.“
Sehe ich das richtig, dass in diesem Fall auch ein Einpersonen-Unternehmen einen externen Datenschutzbeauftragten benötigt?
Da haben Sie nur die Hälfte des Satzes gelesen. Der Satz bezieht sich darauf, wenn Sie in der Markt- und Meinungsforschung tätig sind. Dann trifft das zu. Das sind Sie ja nach obiger Beschreibung nicht.
Kann ein Gesellschafter bzw. eine 450-Kraft zum DSB ernannt werden?
Es heißt, „…der Verantwortliche benennt…“. Wenn der Gesellschafter zugleich der Verantwortliche ist, würde ich sagen nein, wenn er das nicht ist, hätte ich mit ja geantwortet. Hier würde ich aber noch auf eine konkrete Rechtsberatung verweisen, da ich das nicht eindeutig sagen kann. Eine 450 Euro Kraft kann natürlich bestellt werden, wenn sie das Fach-Know How hat.
Hallo Frau Stoiber kurze Frage müssen Bestandskunden aktuell nochmal per Mail über die vorhandene Datenlage informiert werden? Ein Newsletter existiert bei uns nicht. Alle Kunden sind Bestandskunden u d es existieren Kauf und Serviceverträge …. wenn ja wie muss so eine Mail inhaltlich aussehen? Vielen Dank
nein, es geht vor allem um die Neukunden, die sie informieren müssen
Da muss ich jetzt noch mal nachfassen. Grundsätzlich geht‘s um die Neukunden. Ich verfolge gerade die Interpretationen, zu Bestandskunden.
Auf jeden Fall empfehle ich einen Link in die E-Mail Signatur, mit einem Verweis auf die Informationspflicht. Dann hätte man auch Bestandskunden indirekt informiert, wenn man mit Ihnen wieder in E-Mail Kontakt ist. Eine aktive Information machen wir bei der Verarbeitung von sensiblen Daten, z.B. Beim Steuerberater, nicht aber in Industrieunternehmen.
Dürfen interne Datenschutzbeauftragte auf “ Weisung “ des Chefs in einer Fremdfirma datenschutzrechtlich tätig werden? So unter dem Motto: gehen Sie da mal hin und erstellen Sie ein Datenschutzkonzept?
Ich sehe das unabhängig von der internen DS Beauftragung. Wenn die betroffene Person das know how hat und die Firma dies als Dienstleistung verkauft, warum nicht. Dann läuft das wahrscheinlich unter Dienstvertrag und der daraus folgenden rechtlichen Konsequenz.
Hallo Frau Stoiber,
vielen Dank für Ihre übersichtliche Website. Ich mal eine ganz allgemeine Frage zum Datenschutz. Mir ist noch nicht ganz klar, welche Rolle die Mitarbeiter eines Unternehmens spielen. Der Verantwortliche verarbeitet Daten ja selten selbst. Das tut z. B. seine Assistentin. Wenn ich es richtig verstehe ist sie nicht der Auftragsverarbeiter. Ist sie dann Empfänger der Daten?
Eine kurze Rückmeldung hierzu würde mir sehr helfen .
Freundliche Grüße
Tanja Baum
Liebe Frau Baum,
genau, die Mitarbeiter handeln im Auftrag des Verantwortlichen, bzw. für ihn. Sie sind keine Auftragsverarbeiter, da sie ja nach außen im Namen des Verantwortlichen auftreten. Der Verantwortliche delegiert die verarbeitenden Tätigkeiten an seine Mitarbeiter. Aus diesem Grund müssen die Mitarbeiter auf den Datenschutz verpflichtet werden (Art. 29 DSGVO). Ich finde hierzu die Vorlage des Bay. Landesamts für Datenschutz recht gut (Verpflichtungserklärung für Mitarbeiter), zudem können aber auch (oder sollten) regelmäßige Awarenessschulungen oder Inhalte zur Sensibilisieren der Mitarbeiter dienen und gelten auch als Behandlung nach Art. 29. DSGVO.
Im Sinne der Beschreibung eines Verfahrens im Verfahrensverzeichnis kann es durchaus sein, dass interne Mitarbeiter auch Empfänger der Daten sind, wenn z.B. Informationen über Löhne an das Controlling weiter gegeben werden, sind die Mitarbeiter des Controllings die Empfänger.
Ich hoffe, das war hilfreich für Sie!
VG Regina Stoiber
Liebe Frau Stoiber,
vielen herzlichen Dank für diesen Artikel!
Ich hätte eine Rückfrage zu Ihrer Antwort auf die Frage:
> „Kein SSL: Reicht es wenn ich bis 25.5. dahin mein Kontakt Formular und meinen Newsletter Anmeldung (Clever Reach) von der Website nehme mit Hinweis das die SSL in Arbeit ist?“
Sie schrieben:
„Es werden ja auch personenbezogene Daten auf den Serverlogfiles erhoben.“
Technisch ist das jedoch in beiden Fällen (mit TLS und ohne) der Fall. Die (IP-)Adressierung, unabhängig ob nun mittels HTTP oder HTTPS zugegriffen wird, findet ein paar Ebenen unterhalb der HTTP(S)-Daten statt. Genauer findet sich das IP-Protokoll auf Schicht 3 des OSI-Modells, HTTP und auch HTTPS auf den Schichten 5 – 7 ( siehe: https://de.wikipedia.org/wiki/OSI-Modell#Schicht_3_%E2%80%93_Vermittlungsschicht_(Network_Layer) ).
Die IP-Adresse wird daher auch bei HTTPS nicht etwa verschlüsselt, für die IP-Adressierung spielen HTTP und -S auch keine Rolle.
So gesehen macht es für die Erfassung der IP-Adresse auf Seiten des Hosters keinen Unterschied, ob über HTTP oder HTTPS auf die Seite zugegriffen wird. Ein qualitativer Unterschied der Datenschutzrelevanz bei HTTP und HTTPS besteht daher meiner Ansicht nach erst, wenn personenbezogene Daten auf Anwendungsprotokollebene (z. B. über ein Kontaktformular) übertragen werden.
Es müsste dann doch legitim sein, eine Web-Seite rein über HTTP zu betreiben, sofern keine weitere Erfassung personenbezogener Daten auf der Web-Seite wie z. B. über Kontaktformulare oder ggf. externe Ressourcen erfolgt. Sehe ich ev. etwas falsch?
Da haben Sie recht. Das ist nicht korrekt, wie von mir angegeben. Die Daten in das Logfile sind unabhängig von HTTPS oder HTTP. Das wäre kein zwingender Grund für HTTPS.
Danke für das Feedback!
Was muss bei FTP-Servern beachtet werden? Genügen diese oder müssen durch die DSGVO nun SFTP-Server genutzt werden?
Vielen Dank für Ihre Einschätzung
Von FTP Servern würde ich auf jeden Fall abraten. Bei der Passworteingabe (Username + Passwort) werden die Informationen schon unverschlüsselt übertragen. Wenn dann auch noch personenbezogene Daten abgelegt sind, müssen diese auch verschlüsselt übertragen werden. Also unbedingt auf SFTP wechseln!
Sehr geehrte Damen und Herren,
ich führe ein kleines Autohaus und habe immer die Kunden an Wartungstermine und den fälligen TÜV per anschreiben erinnert (auf Wunsch vieler Kunden). Ist dies durch die neue Verordnung noch rechtens, oder muss jeder Kunde dies erst persönlich bewilligen? Vielen Dank im voraus!
Ich würde dafür zwei Möglichkeiten sehen. Sie machen das für alle Ihre Kunden, im Rahmen Ihrer Service Leistung und erinnern die Kunden an die Termine (keine Werbung!), dann wäre es begründbar mit einer vertraglichen Maßnahme nach Art. 6 (1) lit. b DSGVO und bedarf keiner expliziten Zustimmung des Kunden. Natürlich würde ich dem Kunden aber trotzdem die Möglichkeit geben, diesen kostenlosen Service abzubestellen.
Sie können es aber auch generell als freiwillige Einwilligung sehen und jeden Kunden fragen, ob er das möchte und die Unterschrift dazu einholen. Dann basiert die Verarbeitung auf Art. 6 (1) lit. a DSGVO der freiwilligen Einwilligung und der Kunde muss erst explizit zustimmen, bevor Sie ihm was senden dürfen.
Ich könnte mir durchaus vorstellen, dass eine Argumentation wie oben, als Ihr Service auch möglich wäre. Das Risiko ist etwas größer, dass es jemand anders sehen könnte. Bei der Einwilligung gehen Sie immer auf komplett sicher, beim anderen hätten Sie ein kleines Restrisiko. Das wäre meine Interpretation.
Hallo Frau Stoiber,
ist eine Weitergabe von Kontaktdaten an eine eigenständige Gebiets- bzw. Werksvertretung eine Auftragsverarbeitung oder ein „Joint controllership“ oder reicht der Eintrag ins Verarbeitungsverzeichnis aus?
Beide Seiten benötigen die Daten um mit dem Kunden zu kommunizieren. Besten Dank im voraus.
Ja genau, Sie müssen das auf jeden Fall im Verfahrensverzeichnis beschreiben und die Betroffenen im Rahmen der Informationspflicht darüber informieren, bzw. alle Stellen müssen darüber informieren in ihrer Informationspflicht. Im Falle einer gemeinsamen Verantwortlichkeit muss definiert werden, wer für welche Aufgaben zuständig ist, also wer übernimmt z.B. die Tätigkeit die Betroffenenrechte umzusetzen, zu beantworten, bzw. wie läuft das ab. Das müssen die Parteien untereinander klären.
Interessant wäre die Frage nach sogenannten Helpdesk Ticket Systemen. Dort werden ja auch personenbezogene Daten gespeichert, allerdings zu einem berechtigten Zwecke (Auftragserfüllung).
Ja genau, wenn das System in der Cloud läuft oder sogar von einem externen Support Team betreut wird, ist unbedingt ein Vertag zur Auftragsverarbeitung nötig.
Und nicht im Verfahrensverzeichnis vergessen!
Hallo Regina,
vielen Dank für all die nützlichen Informationen, mit denen du mir die Angst vor der DSGVO nimmst!
Ich hätte da noch eine Frage zu den E-Mail-Programmen. Ich habe mir über meinen Webhost zu meiner Website auch eine E-Mail-Adresse eingerichtet. Für den Webhost habe ich einen AVV. Wenn ich die E-Mails an meine auf meinem Notebook eingerichteten E-Mail-Programme von Apple oder Mozilla Thunderbird weiterleiten möchte, brauche ich dann auch einen AVV von Apple oder Mozilla?
Vielen Dank und liebe Grüße,
Christiane
Hallo Christiane,
ich hoffe, ich verstehe deine Frage richtig. Du meinst mit Weiterleiten in diesem Fall wahrscheinlich, in deinem E-mail Programm abrufen. Das heißt, die E-mails deines Providers werden nicht an Apple weiter geleitet, sondern nur in dem Mail Programm von Apple angezeigt. Das heißt, die Mails sind dann nur lokal bei dir auf dem Rechner gespeichert und nicht bei Apple. Weiterleiten an Apple könntest du natürlich auch, würde ich dir aber in diesem Fall nicht empfehlen.
Viele Grüße
Hallo Frau Stoiber,
ist es für die Auskunftspflicht beim Kunden gem. §57 BDSG NEU wirklich notwendig, die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, bis in kleinste Detail zu benennen !? Also z. Bsp. alle Adressdatenverarbeiter, alle Auftragsdatenverarbeiter, alle online Marketing Analyse Unternehmen, die Metadaten aufbereiten usw. ?
Danke vorab für Ihre Antwort !
Danke für Ihre Frage. §57 BDSG neu bezieht sich auf das Auskunftsrecht, also wenn eine betroffene Person aktiv bei Ihnen anfrägt.
Darüber hinaus haben Sie mit dem Artikel 13 / 14 der DSGVO sowieso schon die Pflicht, diese Informationen (also wer sind die Empfänger welcher Datenkategorien) zur Verfügung zu stellen.
Das heißt in Ihrer Informationspflicht schreiben Sie, dass z.B. die Kundendaten (Stamm- und ggf. Bewegungsdaten) an einen externen Dienstleister zur Rechnungsstellung übermittelt werden. Hier müssen Sie dann schon den Dienstleister benennen, seine Adresse, einen Verweis auf seine Datenschutzerklärung…
Das heißt, hier haben Sie schon alle Informationen für den Betroffenen zusammen getragen.
Im Falle einer Auskunftsanfrage durch den Betroffenen müssen Sie nun hier „nur noch“ die tatsächlichen Daten angeben, also welche Informationen Sie von Herrn Müller gespeichert haben.
Ihre Auftragsverarbeiter sollten laut AVV verpflichtet sein, Sie bei dieser Pflicht zu unterstützen. Haben Sie gemeinsame Verantwortliche in Bezug auf die Daten, müssen Sie regeln, wer der Pflicht der Auskunft nachkommt.
Hallo Regina,
vielen Dank für deine Antwort. Genau, ich meinte das Abrufen meiner Mails in meinem E-Mail-Programm von Apple/Thunderbird.
Mir sind da gerade noch 2 Fragen gekommen:
Wie verhält es sich mit Passwort Managern wie z.B. von avira? Braucht man dafür einen AVV?
Und wie sieht es mit der kostenlosen Version von Zoom oder Skype aus? Ist ein AVV nötig?
Danke und viele Grüße
Hi Christiane,
grundsätzlich gibt es zwei wesentliche Punkte, die zu unterschieden sind.
1) Werden beim Passwortmanager die Passwörter in der Cloud beim Dienstleister gespeichert oder nur bei dir lokal?
2) Wenn es um deine privaten Passwörter geht, brauchst du auch keinen AVV. Verträge zur Auftragsverarbeitung benötigst du nur, wenn du z.B. Passwörter von mehreren betrieblichen Personen (z.B. Mitarbeiter) in einem Cloud Passwortspeicher hättest.
Bei den Onlinemeetings wäre auch bei der kostenlosen Version ein AVV nötig.
VG Regina
Hallo Regina,
ich habe eine frage zum Cloudanbieter dropbox und icloud von Apple. Ich bin Webdesigner (Einzelunternehmer) und speichere meine kompletten Kundendaten in der Cloud (Layouts, Rechnungen, Passwörter, FTP, Emailzugänge usw.). Muss ich nun mit den Anbietern einen AV Vertrag abschliesen bzw. die Anbieter in meinem AV-Vertrag für meine Kunden angeben? Ich nutze hauptsächlich dropbox privat, also nicht die Business Version (erst ab drei Mitarbeiter buchbar bzw. man muss dann mal 3 bezahlen). Danke VG Christian
Hallo Christian,
ja du brauchst einen AVV mit dem Cloud Anbieter. Tendenziell würde ich dir dann zu einem Anbieter in der EU raten (was Dropbox Business ja bietet). Ob Apple iCloud für Business Kunden mit AV gedacht ist, kann ich dir aktuell gar nicht sagen. Alternativ wäre ein Cloud Anbieter, der dir einen AVV anbieten kann, auch ohne die 3 user, die Dropbox bezahlt haben möchte.
Hallo Frau Stoiber,
weder mein Provider noch das Internet wollen mir eine Antwort auf folgende zwei Fragen geben:
– Wir sind ein eingetragener Musikverein und haben auf unserer Webseite ein Kontaktformular. Dort werden der Name, die e-Mail-Adresse und die Nachricht abgefragt (Adresse kann, muss aber nicht). Über das Formular melden sich ab und an nur mal Interessenten, die ein Instrument erlernen wollen. Die Nachricht wird auf dem Server nicht gespeichert, sondern wird nur verarbeitet und an uns per Mail geschickt. Ist ein AV-Vertrag notwendig?
– Dazu Frage zwei: Ist deshalb automatisch eine SSL-Verschlüsselung notwendig? Hochsensible Daten wie Kontonummern usw. schickt uns darüber niemand, im Zweifelsfall nehme ich das Adressfeld auch noch raus, damit wirklich nur Name und e-Mail-Adresse verschickt werden.
Ich bin sehr dankbar für eine Antwort! VG, Timon
Hallo Timon,
Mit dem Provider für die Webseite ist immer ein AV Vertrag abzuschließen, da ja Log Informationen der Besucher auch auf den Servern gespeichert werden.
Für das Formular im speziellen ist kein AV nötig, da ja die Daten durch keinen Dritten auf einem anderen Server gespeichert und verarbeitet werden.
Da in dem Formular personenbezogenen Daten eingegeben werden, brauchen Sie unbedingt ein SSL Zertifikat. Es gibt ja verschiedene „Stufen“ an Zertifikaten, in Ihrem Fall dürfte ein „einfaches“ reichen.
Ich hoffe, ich konnte Ihnen weiter helfen.
VG Regina Stoiber
Hallo Frau Stoiber,
muss ich das „Mitarbeiter_Infomartionsschreiben_V3“, das Sie uns in einem Ihrer Module zur Verfügung gestellt haben auf meine Website schreiben? Und muss ich bei meinen E-Mails ebenfalls einen Datenschutz-Anhang beifügen?
Ich bin sehr dankbar für eine Antwort!
VG, Heike
Liebe Heike,
für die Mitarbeiter würde ich das Informationsschreiben nicht im Web publizieren. Das würde ich den Mitarbeitern einmalig aushändigen. Bei neuen Mitarbeitern mit dem Arbeitsvertrag.
Für alle anderen, also für die Geschäftspartner und Kunden würde ich vorschlagen, die Informationspflicht im Web zu veröffentlichen. In der E-mail Signatur können Sie dann nur per Link auf diese Informationspflicht im Web verweisen.
Hallo Regina,
wir haben ein Angebot für einen externen Datenschutzbeauftragten sowie eine Beratung zu Datenschutzthemen vorliegen. Der GF des Unternehmens ist auch der GF eines anderen Unternehmens, dass in unserem Hause die DV-Betreuung durchführt (in die er auch öfters persönlich involviert ist). Ich halte diese Überschneidung für problematisch. Wie siehst Du dies?
VG Jürgen
P.S. Vielen Dank auch für den vielen wertvollen Infos
Hallo Jürgen, danke für die Blumen 🙂
Freut mich, wenn dir die Inhalte weiter helfen.
Den DV-Verantwortlichen oder Beauftragten würde ich auf keinen Fall zum DSB machen, auch niemanden aus seiner Firma. Da gibt es immer Interessenskonflikte. Daher ist der IT-ler in der Regel auch nicht als DSB erlaubt.
Auch wenn hier die Trennung über die verschiedenen Unternehmen wäre, könnte man das sicherlich argumentieren, trotzdem ist der Interessenkonflikt weiterhin da. Solltet ihr sinnvolle Alternativen haben als DSB, dann würde ich die wählen.
Viele Grüße
Regina
Hallo, vielen Dank für den mega interessanten Artikel und die Veröffentlichung der Fragen! 🙂
Eine Frage habe ich aber trotzdem zum Thema DSGVO und Drittländer.
Beispiel: Auftraggeber eines Projektes ist aus Deutschland, Auftragnehmer ist aus Afrika, wo die DSGVO nicht gilt. Der Auftraggeber verarbeitet Daten des Auftragnehmers… ist er hierbei zur Einhaltung der DSGVO verpflichtet? Was ist, wenn es andersherum wäre?
Momentan ganz schön verzwickt die Frage… 😉
Danke fürs Feedback!
Danke Esther für das tolle Feedback.
Die DSGVO ist für alle Unternehmen in der EU einzuhalten, sowie für Unternehmen, die zwar nicht in der EU ansässig sind, aber mit Ansässigen in der EU Geschäfte machen (egal ob B2B oder B2C).
Der Auftragnehmer aus Afrika muss demnach die DSGVO einhalten. Er braucht einen gesetzlichen Vertreter in der EU nach Art. 27 DSGVO. Wen es andersrum wäre, also der AG in der EU sitzt, muss er die DSGVO ja sowieso einhalten.
Ich hoffe, das hilft.
LG Regina
Hallo, mal eine Frage zum Artikel 28 und den Einsatz von Sub`s. Ist es erforderlich, dass der Verarbeiter seine Sub`s im Vertrag namentlich mit Zweck angibt. Laut DSGVO kann eine allgemeine Genehmigung für den Einsatz der Sub`s gegeben werden und der Verarbeiter wird zur Mitteilung verpflichtet (Hinzuziehung, Ersetzung). Ich sehe das so, dass der Verarbeiter die Namen beim Abschluß des Vertrages nennen muss, wie will der Verantwortliche sonst seinen Pflichten und Rechten nachkommen im Bezug auf die Sub`s. Weiterhin könnte eine stillschweigende Änderung durch den Verarbeiter vorgenommen werden. Ich finde aber keine Grundlage in der explizit steht, dass der Name genannt werden muß. Die Aufsichtsbehörde sagt es ist beides möglich, wenn nichts angegeben wird, könnte es aber bei einem Vorfall zu Ungunsten des Verantwortlichen ausgelegt werden. Danke für eine Antwort!
Hallo Thorsten,
Du hast ja sogar schon eine Rückmeldung der Behörde dazu. Dann hat ja die „oberste“ Stelle gesprochen.
Ich würde auch immer empfehlen, den Dienstleister zu nennen. Es geht ja nur um die Dienstleister, die tatsächlich Auswirkungen auf das Kundengeschäft haben. Ich sehe das bei unseren Kunden, dass das ja nur ein Teil der Dienstleister ist, der tatsächlich im AV Vertrag (je nach Dienstleistung) aufgenommen werden muss.
Als Vorlage verwenden wir immer den AV Vertrag der GDD (kostenlos), der fasst diesen Punkt sehr gut in verschiedene Paragraphen.
Viele Grüße
Regina
Ich habe eine Internetseite wo keine Daten gespeichert werden. Wie sieht es denn da mit der Datenschutzerklärung aus? 😉
Gruß
DoBi
Eine DSE brauchst du auf jeden Fall. Da kommst du nicht darum herum.
Ich würde dir in diesem Fall den kostenlosen e-recht24 Generator oder auch den Generator von Dr. Schwenke empfehlen (ebenfalls kostenlos). Da hast du die Grundbausteine automatisch im Text.
VG Regina
Hallo Regina,
von einer Behörde habe ich die Aufforderung erhalten, eine Verdienstbescheinigung für einen Mitarbeiter auszufüllen. Dabei geht es um Leistungen nach dem Unterhaltsvorschussgesetzt. Nach dem UVG bin ich verpflichtet, Auskunft zu geben. Aber darf ich das denn auch nach der DSGVO? Muss ich den Mitarbeiter darüber informieren?
Im Voraus vielen lieben Dank.
Heike
Hallo Heike,
danke für deinen Kommentar.
Die DSGVO und das BDSG sind Auffanggesetze. Das heißt, wenn andere gesetzliche Regelungen gelten, die die Verarbeitung von Daten regeln / fordern, sind diese einzuhalten. Also darfst du die Daten natürlich weiter geben.
Die Mitarbeiter müssen darüber informiert werden, wie ihre Daten verarbeitet werden. Dazu empfehlen wir einmalig jedem Mitarbeiter ein Informationsschreiben nach Art. 13 und Art. 14 DSGVO auszuhändigen. Der Inhalt muss einmal erarbeitet werden. Je nach Branche gibt es auch Vorlagen, die man nur noch anpassen muss.
Falls du dazu Unterstützung benötigst, melde dich gerne.
Viele Grüße
Regina
Hallo, ich lese es nicht so richtig heraus.
Angenommen, für jeglichen E-Mail Versand wird ein externer Provider, wie z.B. Mailbox.org oder Posteo verwendet, muss dies dann in der Datenschutzerklärung erwähnt werden?
Ich will darauf hinaus, dass der Website-Besucher auf der Website beispielsweise ein Kontaktformular mit seiner Anfrage ausfüllen könnte. Die Anfrage und die zugehörigen persönlichen Daten bekäme ich dann ja per E-Mail auf mein Konto bei dem jeweiligen Provider zugesendet, somit landen die Daten ja auch bei diesem Provider.
Ich kann im Netz leider nirgendwo etwas dazu finden.
VG
Julian
Hallo Julian,
es geht nur darum, wer deine Dienstleister sind. An deine Dienstleister gibst du aktiv die Daten der Betroffenen. Wenn der Betroffene, also dein Interessent / Kunde (…) seine Daten an jemanden weiter gibt, bzw. sich für einen E-mail Provider entscheidet, ist das außerhalb deines Einflussbereichs.
Du musst in deiner DSE nur darüber informieren, wer dein E-mail Provider ist und in deinem Namen die Mails verarbeitet. Klar, dass der Provider die E-mails an den Hoster des Empfängers zustellen muss, aber darüber musst du nicht informieren. Der Hoster des Empfängers arbeitet ja nicht in deinem Auftrag, sondern im Auftrag deines Kunden / Interessenten.
VG Regina
Hallo,
ein Disclaimer an der Email – Signatur ist meines Wissens nicht unbedingt erforderlich. Ist ein Hinweis auf die Datenschutzbestimmungen unserer Firma z. B. per Link notwendig.
Hallo Andrea,
ein Hinweis auf die Datenschutzbestimmungen (= Informationspflicht nach Art. 13) in der E-Mail Signatur ist in vielen Fällen sinnvoll und vereinfacht den Prozess. Zwingend notwendig ist er nicht.
Es heißt, der Betroffene muss über die Verwendung seiner Daten vor der Verarbeitung der Daten informiert werden. Wenn er nun eine E-Mail Anfrage stellt, hätte er eigentlich im Voraus schon informiert werden müssen. Geht in der Praxis eigentlich nicht. Aber spätestens, wenn dann die Antwort per E-Mail von euch geschickt wird, muss er informiert werden. Das kann man mit dem Hinweis in der E-Mail Signatur elegant lösen. Aber wie gesagt, ist kein Muss. Wenn man anderweitig sicherstellt, dass die Informationspflicht den Betroffenen zugänglich ist, ist das auch in Ordnung.
Viele Grüße
Regina
Hallo,
wir arbeiten im Bausektor. Wie sieht es da mit unseren Kunden (Auftraggebern) aus? Müssen diese immer erst einmal vor Auftragsverarbeitung eine Datenschutzerklärung unterschreiben oder reicht es aus, wenn wir auf unsere Datenschutzerklärung auf unserer Homepage verweisen?
Hallo Conny,
im Detail ist die Frage ohne weitere Infos schwer abzugrenzen.
Grundsätzlich (wie gesagt, ohne Details zu kennen), handelt es sich im Bausektor bei den Dienstleistungen in der Regel nicht um Auftragsverarbeitung. Ein AV-Vertrag ist daher nicht notwendig.
Der Hinweis auf die Informationspflichten nach Art. 13 und Art. 14 DSGVO (Datenschutzerklärung), sollte ausreichen. Die können dann im Internet liegen und aus dem Angebot / Vertrag, wird darauf verwiesen.
Wenn natürlich personenbezogene Daten zusätzlich benötigt werden, für die eine Einwilligung nötig wäre (weil z.B. wegen Werbung oder….), dann muss speziell dafür eine Einwilligung eingeholt werden. Aber ich denke, darauf bezog sich die Frage nicht.
Das nur als allg. Antwort. Ich hoffe, das reicht, ansonsten gerne melden.
Viele Grüße
Regina
Wir haben vor Kurzem mit einem Dienstleister einen Vertrag erstellen lassen. Gut zu wissen, dass man nur eine explizite Einwilligung zur Verarbeitung der Daten braucht, wenn noch kein Vertrag besteht. Das gebe ich in der Firma so weiter.
Hallo Lea,
das freut uns, wenn wir Klarheit zu diesem Sachverhalt schaffen konnten 🙂
Liebe Grüße,
Jasmin