Die häufigsten Praxis-Fehler rund um die DSGVO

07.08.2019 - Michael Kornfeld

Mehr als ein Jahr nach Inkrafttreten der DSGVO sind noch immer Fragen offen, gibt es Missverständnisse (wir haben bereits über die häufigsten Irrtümer berichtet) oder das Thema wird nicht mehr (so) ernst genommen.

 

Zu einem allgemeinen Fazit über ein Jahr DSGVO haben wir vor kurzem ein spannendes Interview mit dem Datenschutz-Experten Eckart Holzinger geführt. Heute wollen wir uns ansehen, welche die häufigsten Fehler in der praktischen Umsetzung der DSGVO sind.

 

Hier ist unsere Hitliste:

 

Fehler #1: Unnötige Einwilligung

Viele Unternehmen holen die Einwilligungen von Kunden, Partnern, User usw. zu allen möglichen Themen ein, um deren Daten verarbeiten zu dürfen.

 

Das ist natürlich grundsätzlich gut, doch die Einwilligung hat einen großen Makel: Sie kann jederzeit (und ohne Angabe von Gründen) widerrufen werden! Und dann ist die Datenverarbeitung in den meisten Fällen sofort unzulässig.

 

Sofern möglich wäre es also wesentlich zielführender, die Datenverarbeitung auf eine andere rechtliche Grundlage zu stellen: So ist zum Beispiel eine Einwilligung des Betroffenen gar nicht notwendig, wenn die Datenverarbeitung aufgrund eines Gesetzes (zum Beispiel für die Erstellung einer Rechnung) erfolgt oder auf Basis einer vertraglichen Verpflichtung.

 

Darüber hinaus kann ein Unternehmen in einigen Fällen auch ein „berechtigtes Interesse“ geltend machen – auch dann wäre eine Einwilligung des Betroffenen nicht notwendig.

 

Dieses berechtigte Interesse muss jedoch höher bewertet werden als das Recht des Betroffenen auf Schutz seiner personenbezogenen Daten. Das klingt nach einer hohen Hürde, doch wird zum Beispiel „Direktmarketing“ explizit in der DSGVO als ein Beispiel für so ein berechtigtes Interesse genannt. Konkret lässt sich diese Frage wohl nur im Einzelfall beantworten – doch als Unternehmen sollte man über diese Möglichkeit nachdenken, denn im Gegensatz zum berechtigten Interesse kann eine Einwilligung jederzeit widerrufen werden.

 

Fehler #2: Zustimmung ist gleich Zustimmung (bei Newslettern)

Es gibt rund um die Zustimmung (im Zuge einer Newsletter-Anmeldung) immer wieder ein großes Missverständnis: Es gibt nämlich zwei (voneinander getrennte!) Zustimmungen - und beide (!) benötigt man in vielen Fällen, um rechtskonform E-Mailings verschicken zu können.

 

Einerseits benötigt man eine Zustimmung nach dem TKG (was den Erhalt des Newsletters betrifft), andererseits zusätzlich noch eine Einwilligung nach der DSGVO (für die Analyse von personenbezogenen Verhaltensdaten).

 

Auf der Website der Newsletter-Experten von dialog-Mail finden Sie eine Erklärung des Unterschieds samt Empfehlungen.

 

Fehler #3: Fehlende Datenschutz-Bestimmungen (Website)

Wenn Sie ein Kontaktformular auf Ihrer Website einsetzen, in dem auf eine Seite mit den Datenschutz-Bestimmungen verwiesen wird, dann ist das grundsätzlich sehr gut!

 

Doch leider werden bei den Datenschutz-Bestimmungen immer wieder formale oder inhaltliche Fehler gemacht und zum Beispiel wichtige Informationen nicht angegeben (so muss z.B. die Dauer der Speicherung angeführt werden).

 

Das Problem: Wenn die Datenschutz-Bestimmungen fehlen oder fehlerhaft sind, dann ist die Zustimmung ungültig; wenn aber die Zustimmung ungültig ist, entfällt die Rechtsgrundlage für die Datenverarbeitung. Anders formuliert: Die Zustimmung ist wertlos, die Daten müssen gelöscht werden.

 

Praxis-Tipp: Überprüfen Sie Ihre Datenschutz-Bestimmungen (z.B. auf der Website) regelmäßig! Denn wenn es eine größere technische oder organisatorische Änderung gab, müssen die Datenschutz-Bestimmungen natürlich angepasst werden.

 

Fehler #4: Dienstleister-Vereinbarungen oft gar nicht notwendig

Wenn ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (zum Beispiel ein Lettershop für den Versand eines postalischen Mailings), dann benötigen Sie eine Dienstleister-Vereinbarung (Auftragsdaten-Vereinbarung). So weit, so bekannt.

 

Hier kommt es aber auf das Wörtchen „personenbezogen“ an. Wenn also Ihre Agentur gar keine personenbezogenen Daten von Ihnen bekommt, dann brauchen Sie in solchen Fällen auch keine entsprechende Vereinbarung!

 

Fehler #5: Fehlerhafte Beantwortung von Auskunftsbegehren

Wenn ein Betroffener Auskunft über die Daten verlangt, die Sie über ihn verarbeiten, dann müssen Sie diesem Begehren nachkommen.

 

Hier ist aber eines wichtig: Sie müssen verpflichtend sicher stellen, dass die Datenauskunft auch an den richtigen (und berechtigten) Empfänger geschickt wird! Sie sollten also eine entsprechende Identifikation (z.B. Kopie eines Reisepasses) verlangen oder die Antwort als RSb-Brief verschicken – insbesondere wenn Sie das Auskunftsbegehren per E-Mail erhalten haben.

 

Achten Sie dabei auch an die Fristen: Auskunftsbegehren müssen innerhalb von 4 Wochen beantwortet werden (in begründeten Fällen kann diese Frist auf maximal 3 Monate verlängert werden).

 

Seminar-Tipp: Keiner kann das Thema Datenschutz so praxisnah und unterhaltsam erklären wie Eckart Holzinger! Muss ein Unternehmen eine Datenschutz-Richtlinie haben? Was ist bei Google Analytics & Co. zu beachten? Und welche Konsequenzen ergeben sich aus der DSGVO? Als das und viiiel mehr erklärt Eckart in seinem Seminar „Datenschutz-Grundlagen für Online-Marketing“. Der nächste Termin ist am 11.09.2019!

 

Gefällt Ihnen dieser Artikel?

Rund 1x/Monat bekommen Sie die besten Artikel kostenlos in Ihre Inbox.

Newsletter abonnieren

 
 
Maus