Die sechs größten Rechtsirrtümer zur Datenschutzgrundverordnung

Nach einer zweijährigen Übergangsfrist trat die Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft. Unternehmen unterliegen hinsichtlich der Umsetzung des neuen Datenschutzrechts oft erheblichen Rechtsirrtümern.

Unsere in Datenschutzfragen erfahrene Rechtsanwaltskanzlei BRH Rechtsanwälte in Berlin berät Sie kompetent – stets sorgfältig auf die Belange Ihres Unternehmens abgestimmt.

Wenn Sie mit uns Kontakt aufnehmen, geben wir Ihnen auf Ihren Wunsch gern eine erste kurze Einschätzung, bevor wir das Beratungsmandat übernehmen.


Ihr Name (Pflichtfeld)

Ihre Email-Adresse (Pflichtfeld)

Ihre Telefonnumer

Wie sollen wir mit Ihnen Kontakt aufnehmen?

Wann sind Sie am besten erreichbar?

Betreff (Pflichtfeld)

Dürfen wir Ihren Internetauftritt überprüfen und rechtssicher machen?Haben Sie einen Online-Shop?Haben Sie einen Account auf Ebay?Haben Sie einen Account auf Amazon?Benötigen Sie Allgemeine Geschäftsbedingungen?Wollen Sie, dass wir Ihre individuellen Werbeslogans auf Rechtssicherheit überprüfen?Soll Ihre Website dauerhaft rechtssicher sein?Haben Sie bereits eine Abmahnung erhalten?Laufen bereits irgendwelche Fristen?

Hier können Sie uns eine Text- oder Grafikdatei übermitteln, auf die sich ihre Anfrage bezieht

Ihre Nachricht

Ihre Daten werden verschlüsselt an die Kanzlei übertragen. Nach Prüfung des Sachverhalts rufen wir Sie kurzfristig zurück oder senden ein Email (Je nach Wunsch der Kontaktaufnahme).

Irrtum 1: Jede Datenverarbeitung erfordert nunmehr eine Einwilligung.

Zwar dürfen personenbezogene Daten nur bei Vorliegen eines Rechtsgrundes verarbeitet werden.

Ein solcher Rechtsgrund kann zwar in einer Einwilligung des von der Datenverarbeitung Betroffenen liegen. Weitere Rechtsgründe für eine Datenverarbeitung sind jedoch laut Artikel 6 Absatz 1 DSGVO unter anderem

  • Vertragserfüllung,
  • Erfüllung anderer rechtlicher Verpflichtungen und
  • berechtigte Interessen des verantwortlichen Datenverarbeiters.

 

In bestimmten Fällen bleibt jedoch eine Einwilligung erforderlich (Beispiel: Entbindung von der Schweigepflicht).

Tipp: Um Unklarheiten und Missverständnissen vorzubeugen, sollten Sie als datenverarbeitendes Unternehmen in einer Datenschutzerklärung genau beschreiben, welche Daten Sie zu welchem Zweck und in welchem Verfahren erheben und verarbeiten.

Irrtum 2: Jede Art von Einwilligung ermöglicht Datenerhebung und Datenverarbeitung

Zwar ermöglicht eine Einwilligung des Betroffenen grundsätzlich die Verarbeitung seiner personenbezogener Daten (Artikel 6 Absatz 1 Buchstabe a DSGVO). Zu beachten sind jedoch einige Voraussetzungen für die Rechtswirksamkeit einer Einwilligung.

Artikel 7 DSGVO:

  • Der für die Datenverarbeitung Verantwortliche muss die Einwilligung des Betroffenen nachweisen können.
  • Die Einwilligung muss freiwillig erfolgen und darf nicht gegen andere Bestimmungen des DSGVO verstoßen.
  • Die Einwilligung gilt nur bis zu ihrem Widerruf. Der Betroffene kann seine Einwilligung jederzeit widerrufen.

Artikel 8 Absatz 1 DSGVO:

  • Minderjährige können eine Einwilligung erst nach Vollendung des 16. Lebensjahres selbst erteilen.
  • Bis zur Vollendung des 16. Lebensjahres ist die Einwilligung nur dann rechtmäßig, wenn die „Träger der elterlichen Verantwortung“ eingewilligt oder zugestimmt haben.

Irrtum 3: Alte Einwilligungen müssen neu eingeholt werden

Alte Einwilligungen müssen nicht erneuert werden, wenn sie ordnungsgemäß eingeholt wurden oder wenn eine vertragliche Grundlage für die Datenverarbeitung vorliegt.

Gegebenenfalls hilft bei der Beurteilung, ob eine Einwilligung erforderlich ist, eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DSGVO. Danach kann die Datenverarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sein. Eine Einwilligung ist dann ebenfalls nicht notwendig.

Allerdings muss der für die Datenverarbeitung Verantwortliche dem Betroffenen möglicherweise zusätzliche Informationen gemäß Artikel 14 Absätze 1 und 2 DSGVO zukommen lassen.

Diese Informationspflicht bezieht sich insbesondere auf

  • die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten,
  • die Zwecke und die Rechtsgrundlage der Datenverarbeitung,
  • die Empfänger personenbezogener Daten,
  • die Dauer der Datenspeicherung,
  • das Bestehen eines Auskunftsrechts des Betroffenen sowie
  • das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.

Irrtum 4: Andere Personen dürfen ohne Einwilligung nicht mehr fotografiert werden.

Hinsichtlich des Umgangs mit Fotografien hat sich durch Einführung der DSGVO kaum etwas geändert. Zu unterscheiden ist zwischen dem Vorgang des Fotografierens und der Veröffentlichung von Fotografien.

  • Das Fotografieren ist zumeist erlaubt.
    – Zudem findet die DSGVO ausdrücklich keine Anwendung auf natürliche Personen bei der „Ausübung persönlicher oder familiärer Tätigkeiten“ (Artikel 2 Absatz 2 Buchstabe c DSGVO).
  • Die Veröffentlichung einer Fotografie bedarf hingegen in der Regel einer Einwilligung.
  • Ein Fotograf benötigt sowohl für die Erstellung als auch für die Veröffentlichung von Fotografien keine Einwilligung, wenn er über ein berechtigtes Interesse verfügt und schutzwürdige Interessen abgebildeter Personen nicht überwiegen (Artikel 6 Absatz 1 Buchstabe f DSGVO).

Irrtum 5: Eine Datenspeicherung in der Cloud ist nicht mehr erlaubt.

Die Datenspeicherung in einer Cloud ist weiterhin zulässig.

Allerdings ist der Daten-Verantwortliche verpflichtet, mit dem Betreiber der Cloud einen Vertrag zur Auftragsverarbeitung abzuschließen. Die Verträge mit Auftragsverarbeitern unterliegen strengeren Vorschriften als dies vor Inkrafttreten der DSGVO der Fall war (Artikel 28 Absatz 3 DSGVO).

Der Daten-Verantwortliche darf nur mit Auftragsverarbeitern zusammenarbeiten,

  • die aufgrund von geeigneten technischen und organisatorischen Maßnahmen eine hinreichende Garantie dafür bieten,
  • dass die Datenverarbeitung
    – in Übereinstimmung mit der DSGVO erfolgt und
    – die Rechte der von der Datenverarbeitung Betroffenen gewährleistet
    (Artikel 28 Absatz 1 DSGVO).

Irrtum 6: eine Datenübermittlung in die USA ist nicht mehr zulässig.

Die DSGVO erlaubt ausdrücklich eine Auftragsverarbeitung auch außerhalb der Europäischen Union (Artikel 45 Absatz 1 DSGVO).

Voraussetzung ist allerdings ein Beschluss der Europäischen Kommission, dass das jeweilige Drittland über ein „angemessenes“ Schutzniveau verfügt.

Bei Vorliegen eines solchen Beschlusses darf ein Daten-Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an das Drittland übermitteln, wenn

  • geeignete Datenschutz-Garantien vorliegen und
  • den von der Datenverarbeitung Betroffenen wirksame Rechte und Rechtsbehelfe zur Verfügung stehen.

BRH Rechtsanwälte in Berlin – Ihre kompetenten Partner in allen Datenschutz-Fragen!

Wir unterstützen Sie in allen Fragen zur Datenschutzgrundverordnung tatkräftig mit kompetenter Beratung und engagierter Rechtsvertretung.

Frau Rechtsanwältin Kerstin Züwerink-Roek, langjährige Fachanwältin für gewerblichen Rechtsschutz ist die erfahrene Rechtsexpertin unserer Kanzlei für den Fachbereich Datenschutzrecht.

Nutzen Sie die Expertise von Fachanwältin Zuwerink-Roek! Verwenden Sie unser Kontaktformular, um schnellstmöglich einen direkten Kontakt zu Ihrer Fachanwältin aufzunehmen.